• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Статья Nethunter 3.0: Mana Wireless Toolkit

U

Underwood

Nethunter 3.0: Mana Wireless Toolkit

Приветствую уважаемых участников и гостей форума!
После небольшого перерыва, хочу продолжить серию статей, посвященных детальному обзору инструментов Kali Nethunter 3.0
В этой статье, речь пойдет про Mana Wireless Toolkit - набор утилит и скриптов для реализации векторов комплексных MITM-атак на 802.1х Wi-Fi точки доступа.

Сначала немного истории, Mana Toolkit впервые был представлен широкой публике на хакерской конференции DEFCON-22 в 2014 году, специалистами по безопасности компании
По сути это модифицированный hostapd, способный программно поднимать rogue AP (мошенническую точку доступа) и набор скриптов для реализации нескольких векторов MITM-атак с использованием Bettercap и Bdfproxy, а также незаметно проводить атаки на точки доступа в режиме безопасности WPA2-Enterprise, с аутентификацией с помощью RADIUS-сервера.

Теперь давайте подробнее рассмотрим интерфейс и возможности версии этого инструмента для Kali Nethunter 3.0
Nethunter 3.0: Mana Wireless Toolkit

Утилита запускается из контекстного меню графической оболочки NetHunter Home (Скрин 1) и состоит из восьми отдельных вкладок, запускающих предварительно сконфигурированные скрипты.

1) hostapd-karma.conf (Скрин 2)
Реализация широко известной но почти утратившей актуальность атаки KARMA
Суть которой в том, что поднятая на устройстве точка доступа, сканирует исходящие запросы на подключение (Probe Request), которые содержать в сервисных фреймах ESSID наименование сохраненных/доверенных сетей от всех устройств в пределах радиуса действия и отвечает на них (Probe Response), подменяя свое BSSID на запрашиваемое индивидуально для каждого клиента, чтобы устройство подключилось к нашей AP для реализации MITM
Другими словами, если на вашем телефоне активна опция "подключаться автоматически", например к AP с наименованием "Mosmetro_free" и находясь за пределами подземки телефон "вдруг подключился" к этой сети, то скорее всего вы стали жертвой подобной атаки.

2) hostapd-wpe.conf (Скрин 3)
Пожалуй самая интересная и востребованная возможность Mana Wireless Toolkit - атака на точки доступа с защитой WPA2-Enterprise, с аутентификацией с помощью RADIUS-сервера.
Рассмотрим этот вектор детально на примере атаки из реальной жизни в конце статьи

3) dhcpd.conf
Файл конфигурации DHCP сервера нашей поддельной AP (Скрин 4)

Nethunter 3.0: Mana Wireless Toolkit

4) dnsspoof.conf
Файл конфигурации плагина Bettercap для подмены dns

5) nat-mana-full (Скрин 5)
Запуск скрипта поднимает мошенническую AP с NAT в интернет, через мобильную сеть/другой адаптер для MITM-атак с помощью Bettercap и Bdfproxy

6) nat-mana-simple (Скрин 6)
Запуск скрипта поднимает мошенническую AP с NAT в интернет без Bettercap и Bdfproxy

7) nat-mana-bettercap (Скрин 7)
Запуск скрипта поднимает мошенническую AP с NAT в интернет с функционалом утилиты Bettercap

8) bdfproxy.cfg
Файл конфигурации Bdfproxy (Скрин 8)

Nethunter 3.0: Mana Wireless Toolkit



Далее, как и обещал детально рассмотрим атаку на 802.1х точки доступа корпоративного сегмента WPA2-Enterprise, с помощью утилиты hostapd-wpe
Сначала разберемся с теорией, основное отличие WPA2-Enterprise от других стандартов безопасности беспроводных сетей, в том что аутентификация осуществляется с помощью RADIUS-сервера. Клиент устанавливает соединение с RADIUS-сервером, используя шифрование при помощи TLS, сервер проверяет подлинность сертификата клиента по следующим протоколам EAP-FAST/MSCHAPv2; PEAP/MSCHAPv2; EAP-TTLS/MSCHAPv2; EAP-TTLS/MSCHAP; EAP-TTLS/CHAP; EAP-TTLS/PAP

Представим ситуацию, в рамках тестирования на проникновение, нам необходимо скрытно провести аудит беспроводной сети WPA2-Enterprise крупной организации с контролируемым периметром. В нашем распоряжении смартфон Kali Nethunter 3.0 + внешний сетевой адаптер TP-Link TL-WN722N и мы знаем ESSID и MAC-адрес маршрутизатора целевого сегмента сети.

Поднимаем фейковую точку доступа, с помощью hostapd-wpe, используя ESSID и BSSID реквизиты целевой сети и занимаем позицию на парковке офисного здания в конце рабочего дня. Как только кто либо из сотрудников, с настройками Wi-Fi смартофона "подключаться автоматически" окажется достаточно близко к нашей точке доступа, он попробует аутентифицироваться, а мы получим NTLM-хеш, сохраненный в ./hostapd-wpe.log
Файл конфигурации hostapd-wpe
Код:
# General Options - Likely to need to be changed if you're using this

# Interface - Probably wlan0 for 802.11, eth0 for wired
interface=wlan1
# May have to change these depending on build location
eap_user_file=/usr/share/hostapd-wpe/hostapd-wpe.eap_user
ca_cert=/usr/share/hostapd-wpe/certs/ca.pem
server_cert=/usr/share/hostapd-wpe/certs/server.pem
private_key=/usr/share/hostapd-wpe/certs/server.pem
private_key_passwd=whatever
dh_file=/usr/share/hostapd-wpe/certs/dh
# 802.11 Options - Uncomment all if 802.11
ssid=FreeInternet
bssid=00:13:10:95:fe:0b
hw_mode=b
channel=6
# WPE Options - Dont need to change these to make it all work
#
# wpe_logfile=somefile              # (Default: ./hostapd-wpe.log)
# wpe_hb_send_before_handshake=0    # Heartbleed True/False (Default: 1)
# wpe_hb_send_before_appdata=0      # Heartbleed True/False (Default: 0)
# wpe_hb_send_after_appdata=0       # Heartbleed True/False (Default: 0)
# wpe_hb_payload_size=0             # Heartbleed 0-65535 (Default: 50000)
# wpe_hb_num_repeats=0              # Heartbleed 0-65535 (Default: 1)
# wpe_hb_num_tries=0                # Heartbleed 0-65535 (Default: 1)
# Dont mess with unless you know what you're doing
eap_server=1
eap_fast_a_id=101112131415161718191a1b1c1d1e1f
eap_fast_a_id_info=hostapd-wpe
eap_fast_prov=3
ieee8021x=1
pac_key_lifetime=604800
pac_key_refresh_time=86400
pac_opaque_encr_key=000102030405060708090a0b0c0d0e0f
wpa=1
wpa_key_mgmt=WPA-EAP
wpa_pairwise=TKIP CCMP
Но брутить хеш на смартфоне это все же из разряда "Месье знает толк в извращениях", поэтому копируем log-файл на карту памяти командой: cp ./hostapd-wpe.log /sdcard/Download, чтобы на нормальном компьютере взломать полученные хеш, с помощью Asleap или John the Ripper

Справедливости ради, стоит отметить, что не всегда удается перехватить хеши пользователей таким образом, так как устройства на базе iOS и Windows Phone в отличии от Android, при первичном подключении всегда спрашивают, доверяет ли пользователь сертификату, который используется RADIUS-сервером в данной Wi-Fi-сети, но согласно официальной статистике Android занимает 69.2% мирового рынка мобильных устройств!

Благодарю за внимание!
 
Последнее редактирование модератором:
L

Logo404

Member
11.07.2018
8
0
Не поможете. Запускаю через Нетхантер нажимаю старт Hostapd-wpe, выходит терминал, и пишет мне эту пургу bash: /usr/bin/hostapd-wpe: No such file or directory. hostapd-wpe Установил с помощью команды apt-get install hostapd-wpe, сидит этот гад в директории kali-armhf/etc/hostapd-wpe. В /usr/bin вообще нет никаких папок тем более связанных с ним, перемешал и туда...
 
Последнее редактирование:
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб