Приветствую уважаемых участников и гостей форума!
После небольшого перерыва, хочу продолжить серию статей, посвященных детальному обзору инструментов Kali Nethunter 3.0
В этой статье, речь пойдет про Mana Wireless Toolkit - набор утилит и скриптов для реализации векторов комплексных MITM-атак на 802.1х Wi-Fi точки доступа.
Сначала немного истории, Mana Toolkit впервые был представлен широкой публике на хакерской конференции DEFCON-22 в 2014 году, специалистами по безопасности компании SensePost
По сути это модифицированный hostapd, способный программно поднимать rogue AP (мошенническую точку доступа) и набор скриптов для реализации нескольких векторов MITM-атак с использованием Bettercap и Bdfproxy, а также незаметно проводить атаки на точки доступа в режиме безопасности WPA2-Enterprise, с аутентификацией с помощью RADIUS-сервера.
Теперь давайте подробнее рассмотрим интерфейс и возможности версии этого инструмента для Kali Nethunter 3.0
Утилита запускается из контекстного меню графической оболочки NetHunter Home (Скрин 1) и состоит из восьми отдельных вкладок, запускающих предварительно сконфигурированные скрипты.
1) hostapd-karma.conf (Скрин 2)
Реализация широко известной но почти утратившей актуальность атаки KARMA
Суть которой в том, что поднятая на устройстве точка доступа, сканирует исходящие запросы на подключение (Probe Request), которые содержать в сервисных фреймах ESSID наименование сохраненных/доверенных сетей от всех устройств в пределах радиуса действия и отвечает на них (Probe Response), подменяя свое BSSID на запрашиваемое индивидуально для каждого клиента, чтобы устройство подключилось к нашей AP для реализации MITM
Другими словами, если на вашем телефоне активна опция "подключаться автоматически", например к AP с наименованием "Mosmetro_free" и находясь за пределами подземки телефон "вдруг подключился" к этой сети, то скорее всего вы стали жертвой подобной атаки.
2) hostapd-wpe.conf (Скрин 3)
Пожалуй самая интересная и востребованная возможность Mana Wireless Toolkit - атака на точки доступа с защитой WPA2-Enterprise, с аутентификацией с помощью RADIUS-сервера.
Рассмотрим этот вектор детально на примере атаки из реальной жизни в конце статьи
3) dhcpd.conf
Файл конфигурации DHCP сервера нашей поддельной AP (Скрин 4)
4) dnsspoof.conf
Файл конфигурации плагина Bettercap для подмены dns
5) nat-mana-full (Скрин 5)
Запуск скрипта поднимает мошенническую AP с NAT в интернет, через мобильную сеть/другой адаптер для MITM-атак с помощью Bettercap и Bdfproxy
6) nat-mana-simple (Скрин 6)
Запуск скрипта поднимает мошенническую AP с NAT в интернет без Bettercap и Bdfproxy
7) nat-mana-bettercap (Скрин 7)
Запуск скрипта поднимает мошенническую AP с NAT в интернет с функционалом утилиты Bettercap
8) bdfproxy.cfg
Файл конфигурации Bdfproxy (Скрин 8)
Далее, как и обещал детально рассмотрим атаку на 802.1х точки доступа корпоративного сегмента WPA2-Enterprise, с помощью утилиты hostapd-wpe
Сначала разберемся с теорией, основное отличие WPA2-Enterprise от других стандартов безопасности беспроводных сетей, в том что аутентификация осуществляется с помощью RADIUS-сервера. Клиент устанавливает соединение с RADIUS-сервером, используя шифрование при помощи TLS, сервер проверяет подлинность сертификата клиента по следующим протоколам EAP-FAST/MSCHAPv2; PEAP/MSCHAPv2; EAP-TTLS/MSCHAPv2; EAP-TTLS/MSCHAP; EAP-TTLS/CHAP; EAP-TTLS/PAP
Представим ситуацию, в рамках тестирования на проникновение, нам необходимо скрытно провести аудит беспроводной сети WPA2-Enterprise крупной организации с контролируемым периметром. В нашем распоряжении смартфон Kali Nethunter 3.0 + внешний сетевой адаптер TP-Link TL-WN722N и мы знаем ESSID и MAC-адрес маршрутизатора целевого сегмента сети.
Поднимаем фейковую точку доступа, с помощью hostapd-wpe, используя ESSID и BSSID реквизиты целевой сети и занимаем позицию на парковке офисного здания в конце рабочего дня. Как только кто либо из сотрудников, с настройками Wi-Fi смартофона "подключаться автоматически" окажется достаточно близко к нашей точке доступа, он попробует аутентифицироваться, а мы получим NTLM-хеш, сохраненный в ./hostapd-wpe.log
Файл конфигурации hostapd-wpe
Код:
# General Options - Likely to need to be changed if you're using this
# Interface - Probably wlan0 for 802.11, eth0 for wired
interface=wlan1
# May have to change these depending on build location
eap_user_file=/usr/share/hostapd-wpe/hostapd-wpe.eap_user
ca_cert=/usr/share/hostapd-wpe/certs/ca.pem
server_cert=/usr/share/hostapd-wpe/certs/server.pem
private_key=/usr/share/hostapd-wpe/certs/server.pem
private_key_passwd=whatever
dh_file=/usr/share/hostapd-wpe/certs/dh
# 802.11 Options - Uncomment all if 802.11
ssid=FreeInternet
bssid=00:13:10:95:fe:0b
hw_mode=b
channel=6
# WPE Options - Dont need to change these to make it all work
#
# wpe_logfile=somefile # (Default: ./hostapd-wpe.log)
# wpe_hb_send_before_handshake=0 # Heartbleed True/False (Default: 1)
# wpe_hb_send_before_appdata=0 # Heartbleed True/False (Default: 0)
# wpe_hb_send_after_appdata=0 # Heartbleed True/False (Default: 0)
# wpe_hb_payload_size=0 # Heartbleed 0-65535 (Default: 50000)
# wpe_hb_num_repeats=0 # Heartbleed 0-65535 (Default: 1)
# wpe_hb_num_tries=0 # Heartbleed 0-65535 (Default: 1)
# Dont mess with unless you know what you're doing
eap_server=1
eap_fast_a_id=101112131415161718191a1b1c1d1e1f
eap_fast_a_id_info=hostapd-wpe
eap_fast_prov=3
ieee8021x=1
pac_key_lifetime=604800
pac_key_refresh_time=86400
pac_opaque_encr_key=000102030405060708090a0b0c0d0e0f
wpa=1
wpa_key_mgmt=WPA-EAP
wpa_pairwise=TKIP CCMP
Но брутить хеш на смартфоне это все же из разряда "Месье знает толк в извращениях", поэтому копируем log-файл на карту памяти командой: cp ./hostapd-wpe.log /sdcard/Download, чтобы на нормальном компьютере взломать полученные хеш, с помощью Asleap или John the Ripper
Справедливости ради, стоит отметить, что не всегда удается перехватить хеши пользователей таким образом, так как устройства на базе iOS и Windows Phone в отличии от Android, при первичном подключении всегда спрашивают, доверяет ли пользователь сертификату, который используется RADIUS-сервером в данной Wi-Fi-сети, но согласно официальной статистике Android занимает 69.2% мирового рынка мобильных устройств!
Благодарю за внимание!
Последнее редактирование модератором: