На доработке Аудит Wi-Fi сетей.

СТАТЬЯ В ДОРАБОТКЕ.
Здравствуйте многоуважаемые форумчане и гости форума. В данной статье я бы хотел рассказать о технологии которая использует стандарт IEEE 802.11, о том как можно получить к ней доступ в обход защитных технологий, какие могут быть от этого последствия и как максимально обезопасить свою wifi сеть.

Дисклеймер
Я, автор данной статьи, никого не призываю к противозаконной деятельности, так как она противозаконна(логично? да).
Вся предоставленная информация представлена для познания стандарта IEEE 802.11.

Для начала я бы хотел поделиться с вами, статьями о теории, в целом для этого подойдёт , ознакомиться с этим можно самому, ибо информации много, а статья должна закончиться.
Теперь немного о том что придумали люди для защиты.

  1. WEP
  2. WPA
  3. WPA2
  4. WPA3
  5. WPS PIN
  6. Идентификация в браузере.
Самое первое это - Wired Equivalent Privacy (WEP) — алгоритм для обеспечения безопасности сетей Wi-Fi. Используется для обеспечения конфиденциальности и защиты передаваемых данных авторизированных пользователей беспроводной сети от прослушивания. (немного вики вам).
В целом в вики написаны векторы атак. К моему сожаления показать я не могу, т.к. мой маршрутизатор и телефон не поддерживают WEP (настолько он устарел).
Поэтому вот пару ссылочек как такое крякать и (второе прикольнее как по мне).

- (Wi-Fi Protected Access), WPA2 и WPA3 — программы сертификации устройств беспроводной связи, разработанные объединением Wi-Fi Alliance для защиты беспроводной Wi-Fi-сети. Технология WPA первой версии пришла на замену технологии WEP. Плюсами WPA являются усиленная безопасность данных и ужесточённый контроль доступа к беспроводным сетям. Немаловажной характеристикой является совместимость между множеством беспроводных устройств как на аппаратном, так и на программном уровнях.

WPA2​

WPA2 определяется стандартом IEEE 802.11i, принятым в июне 2004 года, и призван заменить WPA. В нём реализовано CCMP и шифрование AES, за счёт чего WPA2 стал более защищённым, чем свой предшественник. С 13 марта 2006 года поддержка WPA2 является обязательным условием для всех сертифицированных устройств Wi-Fi.

WPA3​

В начале 2018 года международный альянс Wi-Fi Alliance анонсировал новейший протокол беспроводной безопасности — WPA3. Основными дополнениями, реализованными в этом протоколе, станут: встроенная защита от брутфорс-атак; индивидуальное шифрование данных для усиления конфиденциальности пользователей в открытых сетях Wi-Fi; упрощенная настройка IoT-устройств; усовершенствованный криптографический стандарт для сетей Wi-Fi — «192-разрядный пакет безопасности».
Хоть данная информация и не сложно гуглиться, пускай она тут присутствует.

- (защищённая установка), WPS — стандарт (и одноимённый протокол) полуавтоматического создания беспроводной сети Wi-Fi, созданный Wi-Fi Alliance. Официально запущен 8 января 2007 года.

Целью протокола WPS является упрощение процесса настройки беспроводной сети, поэтому изначально он назывался Wi-Fi Simple Config. Протокол призван оказать помощь пользователям, которые не обладают широкими знаниями о безопасности в беспроводных сетях, и как следствие, имеют сложности при осуществлении настроек. WPS автоматически обозначает имя сети и задаёт шифрование для от несанкционированного доступа в сеть, при этом нет необходимости вручную задавать все параметры.

Есть два типа WPS: WPS с пин-кодом из 8 цифр, на клиенте нужно ввести тот же код, что и на точке доступа; и кнопка WPS — нужно нажать кнопку на точке доступа и на клиенте с интервалом меньше двух минут, тогда они соединятся друг с другом.

В роутерах компании TP-Link эта функция раньше называлась QSS (Quick Security Setup) и выполняет аналогичные функции.

Идентификация в браузере(на вики не нашёл поэтому своими словами). Мы смотрим рекламу и на наш BSSID привязывается ip минут на 5 или сколько-то там, когда заканчивается wifi от нас уходит.

Я думаю с теорией можно закончить и приступить к практике, ну как практика (я показываю - вы читаете)



Первое что нам предстоит сделать, это узнать наш беспроводной интерфейс.
ip l. У меня 3 интерфейса.
lo (loopback device) – это виртуальный интерфейс. Он используется для отладки сетевых программ и запуска серверных приложений на локальной машине. С этим интерфейсом всегда связан адрес 127.0.0.1.
eno0 или eth0 – интерфейс, связанный с сетевой картой, работающей через Ethernet (по кабелю).
wlan0 или wlo0 – интерфейс, связанный с сетевой картой, работающей через wifi.
Если бы сетевых карт было несколько, то 0 был бы 1 и т.д., то что у меня с 1 не имеет значения.
Команды systemctl отключают сервисы, которые скорее всего будут мешать сет. карте находиться в режиме монитора.
airmon-ng start wlo1 переводит карту в режим монитора. Режим монитора - это режим при котором сет. карта ловит все пакеты передающиеся беспроводным подключением, даже те которые не предназначены нам.
ipl.png

Теперь нам надо начать сканирование местности. Команда airodump-ng wlo1, wlo1 - это наш интерфейс в режиме монитора.
У airodump-ng есть большое множество ключей для фильтрации и т.п., вот некоторые из них.(что бы посмотреть все ключи airodump-ng --help)
Код:
--write      <prefix>  : сохраняет в файл
-w                    : тоже что и --write
--update       <secs> : время обновления в секундах
-r             <file>  : Чтение пакетов из файла
--wps                 : Показывает информацию о wps (если есть)
--output-format
                  <formats> : Оставляет только в формате:
                              pcap, ivs, csv, gps, kismet, netxml, logcsv
(Если не указать зн. то сохранит во всех форматах)
  Filter options:
--bssid     <bssid>   : фильтрует по BSSID
--essid     <essid>   : фильтрует по ESSID
--channel <channels>  : сканирует только указанный канал
airodump-ng.png

Теперь следует поговорить про каждый из столбиков.
Код:
BSSID   -  MAC-адрес точки доступа
PWR     -  Уровень сигнала. Чем число выше, тем сигнал хуже. Если PWR=-1 то возможно точка доступа уже вне зоны доступа, а airodump перехватил хотя бы 1 пакет.
RXQ     -  Измеряется процентом пакетов, успешно принятых за последние 10 секунд.
Beacons -  Количество пакетов объявлений, отправленных точкой доступа.
#Data   -  Количество захваченных пакетов данных (если WEP, уникальное количество IV), включая широковещательные пакеты данных.
#/s     -  Количество пакетов данных в секунду. Измеряется за последние 10 секунд.
CH      -  Канал на котором расположена точка доступа.
MB      -  Максимальная скорость, поддерживаемая точкой доступа. Если MB = 11, это 802.11b, если MB = 22, это 802.11b +, а до 54 - 802.11g. Все, что выше, - это 802.11n или 802.11ac. Точка (после 54 выше) указывает на то, что поддерживается короткая преамбула. Отображается буква “e” после значения скорости в МБ, если в сети включен QoS.
ENC     -  Используемый алгоритм шифрования. OPN = нет шифрования, “WEP?” = WEP или выше (недостаточно данных для выбора между WEP и WPA /WPA2), WEP (без вопросительного знака) указывает на статический или динамический WEP, а также WPA, WPA2 или WPA3, если присутствует TKIP или CCMP (WPA3 с TKIP позволяет использовать WPA или WPA2 ассоциации, чистый WPA3 допускает только CCMP). Это для оппортунистического беспроводного шифрования, также известного как Enhanced Open.
CIPHER  -  Обнаружен шифр. Один из CCMP, WRAP, TKIP, WEP, WEP40 или WEP104.
AUTH    -  Используемый протокол аутентификации. Один из MGT (WPA/WPA2 с использованием отдельного сервера аутентификации), SKA (общий ключ для WEP), PSK (предварительно общий ключ для WPA/WPA2) или OPEN (открыть для WEP).
ESSID   -  Показывает имя беспроводной сети. Так называемый “SSID”, который может быть пустым, если активировано скрытие SSID. В этом случае airodump-ng попытается восстановить SSID из ответов зонда и запросов на ассоциацию.
STATION -  MAC-адрес каждой связанной станции или станций, ищущих точку доступа для подключения. Клиенты, которые в данный момент не связаны с точкой доступа, имеют BSSID “(not associated)”.
Rate    -  скорость приема станции, за которой следует скорость передачи. Отображается буква “e” после каждого тарифа, если в сети включен QoS.
Lost    -  Количество пакетов данных, потерянных за последние 10 секунд,
Frames  -  Количество пакетов данных, отправленных клиентом.
Notes   -  Дополнительную информацию о клиенте, такую как захваченный EAPOL или PMKID.
Probes  -  Зондирует идентификаторы, проверенные клиентом. Это сети, к которым клиент пытается подключиться, если он в данный момент не подключен.

Это мы узнали. Время сканировать одну точку доступа, и та которую я буду взламывать называется kop.
Команда, которой я воспользуюсь выглядит так airodump-ng --bssid xx:xx:xx:xx:24:24 --channel 11 -w hack --output-format pcap wlo1.
airo-key.png

В данном случае я взламываю точку доступа посредством перехвата хендшейка. Сам хендшейк представляет из себя 3 пакета, которых достаточно для взлома пароля.
Пакет 1: Обращение клиента к маршрутизатору;
Пакет 2: Запрос маршрутизатором пароля;
Пакет 3: Отправка пароля маршрутизатору.
И если пароль валидный пользователь подключается к сети.
Чтобы перехватить хендшейк нужно подождать, пока клиент подключиться к точке доступа. Но это может быть достаточно долгий процесс, поэтому мы реализуем отключение клиента сами.
Для этого существует инструмент aireplay-ng. Сразу хочется сказать, что для разных типов атак могут использоваться разные ключи. Так например для атаки деаунтефикации место ключа -b будет ключ -a. Ключи и виды атак вы можете посмотреть командой aireplay-ng --help.
Для отключения клиента используем команду aireplay-ng --deauth 20 -a xx:xx:xx:xx:24:24 -c xx:xx:xx:xx:5C:AB wlo1
В случае атаки деаунтификации вот несколько ключей.
Код:
-x nbpps  : количество пакетов в секунду
-p fctrl  : установить управляющее слово кадра (шестнадцатеричное)
-a bssid  : установка MAC-адреса точки доступа
-c dmac   : установить MAC-адрес назначения
-h smac   : установить MAC-адрес источника
-g value  : изменение размера кольцевого буфера (по умолчанию: 8)
handshake.png

Можем заметить WPA handshake xx:xx:xx:xx:24:24, а это означает, что можно прекращать мониторить wifi и преступать к перебору паролей.
Но перед этим следует очистить хендшейк утилитой wpaclean, т.к. на протяжении той же минуты у меня захватилось около 8000 пакетов, а как я сказал ранее для хендшейка нужно три пакета.
Cинтаксис команды таков wpaclean new_file.cap old_file.cap.
wpaclean.png

Далее приступаем к брутфорсу посредством aircrack-ng. aircrack-ng --help для просмотра справки.
По сути брутфорс это использования либо словаря, либо по маске. Я буду по словарю ибо по маске aircrack-ng не умеет.
итоговая команда будет выглядеть aircrack-ng cleanhack-01.cap -w /root/SecLists/Passwords/WiFi-WPA/probable-v2-wpa-top4800.txt(ключ -w задаёт путь к словарю). Если в словаре есть пароль, вы увидите такой вывод:


crack.png
 
Последнее редактирование:

f22

Codeby Team
Gold Team
05.05.2019
1 717
180
ip a - мы смотрим какой у нас сетевой интерфейс, в моём случае wlo1.
а почему не enol и не lo? как вы догадались?

systemctl stop NetworkManager.service - чтобы не мешало мониторить wifi.
посмотрите на ваш скришот - там же есть ещё одна программа, почему вы её не завершили?

3.
что представляет из себя данная команда? Мы начинаем мониторить точку с опред. bssid и на опред. канале (11)
-w означает запись всех пакетов в файл под названием ... (то которое вы указали)
что такое bssid? откуда мы его должны узнать?

1662686248433.png

мда...

2. мы пишем airodump-ng wlo1 - для сканирования точек доступа, надеюсь интуитивно понятно что значит каждый столбик.
На самом деле ни разу не понятно

4.
данная команда будет отправлять пакеты деаунтефикации -0 20 на мак адресс -а хх:хх:хх:хх:хх:хх и отправлять с мак адресса который вы указали -с хх:хх:хх:хх:хх:хх.
aireplay-ng -0 20 -а хх:хх:хх:хх:хх:хх -с хх:хх:хх:хх:хх:хх wlo1
данная команда отправит ровно 20 пакетов деаунтификации клиента с мак адресом, указанным после -с <тут>
Чтобы указать мак адрес, с которого отправляются пакеты, нужно использовать ключ -h


как бы вот, да, в итоговой команде убрал -с, но да не важно, и так, и так работает.
почему вы убрали? почему работает?

Почему? Потому что идентификация происходит в три шага.
1) клиент просит у роутера интернет
2) роутер спрашивает пароль, и получает его
3) если пароль валидный, клиент получает доступ
Откуда эта информация?) что значит "просит у роутера интернет"?
Вы же статью пишете - разберитесь в вопросе, чтобы в статье не задавать его...

Для какой цели вы используете команду tcpdump?

теперь мы запускаем то что будет непосредственно подбирать пароль.
Так что мы запускаем? что значат ключи?


Статья с очень громким названием, но, откровенно слабым содержимым.
Неужели аудит строится только на том, чтобы перехватить часть трафика и попытаться расшифровать в нём ключ?
Других векторов атаки нет? Других способов нет? Других утилит нет?
Вы же хотите описать "аудит" - а это полноценное исследование возможных уязвимостей сети.

Выше вы упоминаете про WPS, так почему же не нашли ключ airodump-ng, который покажет версию WPS
Чем отличаются эти версии, какая версия уязвима? Какие есть утилиты для атаки на эту уязвимость, как они реализуются?

Как можно с помощью airodump-ng сортировать выдачу, как помечать нужные сети, как фильтровать - это же очень мощная утилита.

Как понять, что данные для подбора уже есть в нашем файле? Какая утилита для этого существует? Как ей пользоваться?
Информация о том, что мы перехватили handshake не всегда может быть верной

Что значат ключи aircrack-ng, какие ещё есть ключи?

Ну и пару слов про оформление - грамматические ошибки, пунктуационные - это всё в хорошей статье недопустимо.
Качество скриншотов ужасное - если хотите доносить материал до читателя в понятном виде, не нужно что-то замазывать, используйте блюр, а ещё лучше сами создавайте фейковые точки доступа, благо для Linux полно утилит подобного функционал. А уже на их примере показывайте атаки.


Подобная тема рассматривалась уже не один десяток раз.
А вот каких-то оригинальных подходов, интересных идей в целом нет - вы просто научились запускать определённые команды, но для написания статьи этого недостаточно.
 
  • Нравится
Реакции: Morlis, Domingo и Dzen

jiltfi

Green Team
21.01.2022
42
4
а почему не enol и не lo? как вы догадались?


посмотрите на ваш скришот - там же есть ещё одна программа, почему вы её не завершили?


что такое bssid? откуда мы его должны узнать?

Посмотреть вложение 63077
мда...


На самом деле ни разу не понятно


aireplay-ng -0 20 -а хх:хх:хх:хх:хх:хх -с хх:хх:хх:хх:хх:хх wlo1
данная команда отправит ровно 20 пакетов деаунтификации клиента с мак адресом, указанным после -с <тут>
Чтобы указать мак адрес, с которого отправляются пакеты, нужно использовать ключ -h



почему вы убрали? почему работает?


Откуда эта информация?) что значит "просит у роутера интернет"?
Вы же статью пишете - разберитесь в вопросе, чтобы в статье не задавать его...

Для какой цели вы используете команду tcpdump?


Так что мы запускаем? что значат ключи?


Статья с очень громким названием, но, откровенно слабым содержимым.
Неужели аудит строится только на том, чтобы перехватить часть трафика и попытаться расшифровать в нём ключ?
Других векторов атаки нет? Других способов нет? Других утилит нет?
Вы же хотите описать "аудит" - а это полноценное исследование возможных уязвимостей сети.

Выше вы упоминаете про WPS, так почему же не нашли ключ airodump-ng, который покажет версию WPS
Чем отличаются эти версии, какая версия уязвима? Какие есть утилиты для атаки на эту уязвимость, как они реализуются?

Как можно с помощью airodump-ng сортировать выдачу, как помечать нужные сети, как фильтровать - это же очень мощная утилита.

Как понять, что данные для подбора уже есть в нашем файле? Какая утилита для этого существует? Как ей пользоваться?
Информация о том, что мы перехватили handshake не всегда может быть верной

Что значат ключи aircrack-ng, какие ещё есть ключи?

Ну и пару слов про оформление - грамматические ошибки, пунктуационные - это всё в хорошей статье недопустимо.
Качество скриншотов ужасное - если хотите доносить материал до читателя в понятном виде, не нужно что-то замазывать, используйте блюр, а ещё лучше сами создавайте фейковые точки доступа, благо для Linux полно утилит подобного функционал. А уже на их примере показывайте атаки.


Подобная тема рассматривалась уже не один десяток раз.
А вот каких-то оригинальных подходов, интересных идей в целом нет - вы просто научились запускать определённые команды, но для написания статьи этого недостаточно.
приму к сведению и перепишу статью
 
  • Нравится
Реакции: Dzen
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!