На engagement'е для логистического оператора в прошлом году три из семи обнаруженных в эфире устройств не опознавались стандартными средствами - ESP32 с кастомной прошивкой, управляющие IoT-датчиками температуры на складе. Airodump-ng видел их как безымянные AP с нетипичным OUI, Kismet определял vendor как «Unknown». Пришлось подключать HackRF One и разбираться в спектре, прежде чем выстраивать вектор initial access.
И вот тут начинается интересное. Стандартный тулкит беспроводного пентеста -
aircrack-ng, пара Alfa-адаптеров, может Pineapple - заточен под 802.11. А в реальном эфире всё больше устройств, которые говорят на других языках: LoRa, Zigbee, Sub-GHz. И если ты к этому не готов - ты слеп на один глаз.Место беспроводных атак в цепочке пентеста
Беспроводной пентест не существует в вакууме. Каждая техника занимает конкретное место в kill chain, и без понимания этого контекста результат - набор фокусов, а не actionable findings.Reconnaissance: пассивный сбор SSID, BSSID, каналов, типов шифрования - Wi-Fi Discovery (T1016.002, Discovery). Для нестандартных устройств сюда добавляется SDR-сканирование спектра - определение активности за пределами 802.11.
Initial Access: подключение к целевой сети через слабый PSK или открытую AP, развёртывание rogue access point - Wi-Fi Networks (T1669, Initial Access). Физическое размещение ESP32 или Wi-Fi Pineapple в периметре объекта - Hardware Additions (T1200, Initial Access).
Credential Access: перехват трафика через Network Sniffing (T1040), развёртывание Evil Twin (T1557.004, Credential Access / Collection) для сбора учётных данных WPA2-Enterprise, offline-взлом захваченных хендшейков - Password Cracking (T1110.002).
Post-exploitation: после получения PSK или EAP-учётных данных - подключение к сети, ARP spoofing, сканирование внутренних хостов, lateral movement в корпоративную инфраструктуру. Это уже стандартный внутренний пентест, но точка входа - радиоканал.
[Применимо: внешний пентест / Red Team (физический доступ к периметру здания, парковке), внутренний пентест (на территории офиса с разрешением)]
Когда беспроводной вектор - правильный выбор: заказчик явно включил Wi-Fi в scope; у объекта есть IoT или промышленные беспроводные устройства; в рамках Red Team нужен initial access без социальной инженерии; сетевой периметр закрыт, но Wi-Fi-сигнал ловится со стоянки.
Выбор платформы для тестирования беспроводных сетей: ESP32, Pineapple и SDR
Три платформы закрывают разные задачи. Пытаться решить всё одним устройством - путь к разочарованию.| Платформа | Плюсы | Ограничения | Когда использовать | Когда НЕ использовать |
|---|---|---|---|---|
| ESP32 (Marauder) | Цена $5-15, размер со спичечный коробок, автономная работа от power bank | Только 2.4 GHz, радиус ~50 м, нет полноценного перехвата трафика | Red Team: скрытый deauth, beacon flood, сбор probe requests | Перехват WPA2-Enterprise credentials, анализ 5 GHz сетей |
| Wi-Fi Pineapple (MkVII/MkVIII) | Полноценная Linux-ОС, PineAP-модуль, GUI, поддержка модулей | Цена $100-300+, заметен при досмотре, требует питание USB-C | Evil Twin, KARMA, captive portal, Wi-Fi Pineapple атаки длительного engagement'а | Bluetooth, Zigbee, Sub-GHz, нестандартные IoT-протоколы |
| HackRF One (SDR) | Диапазон 1 MHz - 6 GHz, TX и RX, работа с любым протоколом | GNU Radio / GQRX обязательны, не plug-and-play, кривая обучения крутая | SDR радиоперехват нестандартных IoT, Sub-GHz replay, fingerprinting unknown devices | Стандартный Wi-Fi пентест - aircrack-ng справится за минуты |
Penthertz в описании RF-пентестов перечисляет покрываемые протоколы: 2G-5G, Wi-Fi, Bluetooth/BLE, RFID/NFC, LoRa/LoRaWAN, Sub-GHz (пульты, сигнализации, домофоны), спутниковые системы. Для типового беспроводного пентеста корпоративной сети хватает первых трёх строк таблицы. SDR подключается, когда в эфире обнаруживается что-то за пределами Wi-Fi.
Требования к окружению
- ОС: Kali Linux 2024.1+ (драйвера и инструменты из коробки) или Parrot OS (часть инструментов потребует ручной установки). На Ubuntu/Debian - ручная установка
aircrack-ng,hcxdumptool, драйверовrtl8812au - RAM: минимум 4 ГБ (Kali + aircrack-ng + Kismet одновременно), 8 ГБ при работе с GNU Radio
- Wi-Fi адаптер с monitor mode и packet injection: Alfa AWUS036ACH (RTL8812AU, двухдиапазонный 2.4+5 GHz) или Alfa AWUS036ACSM. TP-Link TL-WN722N - только ревизия v1 (Atheros AR9271), v2/v3 на Realtek не поддерживают injection
- SDR: HackRF One ($300-350, TX+RX) или RTL-SDR v3 ($25-30, только RX). ПО: GNU Radio 3.10+, GQRX, Universal Radio Hacker
- ESP32: плата ESP32-WROOM-32 ($5-15), прошивка через ESP Web Flasher (браузерная утилита)
- Для offline-брутфорса: hashcat 6.2.6+ с GPU (NVIDIA RTX 3060+, минимум 6 ГБ VRAM) или CPU-режим aircrack-ng (в 100-500 раз медленнее)
Разведка эфира: fingerprinting нестандартных устройств
Стандартная разведка -airodump-ng wlan0mon - покажет SSID, BSSID, канал, шифрование. Для типовых Cisco, Ubiquiti, MikroTik этого за глаза. Но при пентесте инфраструктуры с самодельными устройствами картина меняется.Kismet (активно поддерживается, коммиты в 2025 году) работает шире: определяет Wi-Fi, Bluetooth, BLE-рекламы и принимает данные от внешних SDR-источников. В режиме
kismet -c wlan0mon он логирует все беспроводные устройства с OUI-вендором, уровнем сигнала и типом фреймов. Нестандартные устройства выдают себя по характерным признакам:- OUI от Espressif (ESP32/ESP8266): десятки префиксов (
24:0A:C4,30:AE:A4,84:CC:A8,EC:FA:BCи др.) - полный список в IEEE OUI registry. В Kismet фильтруйте по vendor="Espressif" вместо хардкода OUI - Минимальный набор Information Elements в beacon frames (самодельные AP часто не реализуют полный набор IE)
- Отсутствие ответов на probe requests (устройство работает как STA, а не AP, но периодически шлёт beacon)
- Фиксированный канал без roaming
SDR-анализ спектра подключается, когда в эфире есть активность за пределами 802.11. Типичные находки: IoT-датчики на LoRa (868 МГц в РФ/Европе), системы контроля доступа на Sub-GHz (433 МГц), Zigbee-устройства (2.4 ГГц, но протокол 802.15.4 - не Wi-Fi). Программно-определяемое радио с утилитой
hackrf_sweep за минуту показывает все активные частоты в диапазоне, а GQRX позволяет визуально анализировать модуляцию. RTL-SDR v3 достаточен для пассивного приёма; HackRF нужен, если планируется replay или активное взаимодействие.Тут есть нюанс: SDR-анализ требует понимания модуляций (ASK, FSK, LoRa CSS) и опыта работы с GNU Radio. По данным курса SANS SEC617, SDR-компонент - наиболее сложная часть беспроводного пентеста для освоения. Без подготовки спектрограмма останется красивой картинкой и ничем больше.
Большая часть проблем на этом этапе - не криптографические уязвимости, а банальные ошибки конфигурации в духе OWASP A05:2021 (Security Misconfiguration): гостевая сеть без client isolation, WPS включён по умолчанию, AP с дефолтным
admin:admin.Атаки на беспроводные сети: Evil Twin, деаутентификация и перехват credential'ов
ESP32 как инструмент деаутентификации
ESP32-Marauder - прошивка, превращающая плату за $10 в портативный инструмент атак на нестандартное оборудование и стандартные Wi-Fi-сети: деаутентификация клиентов, beacon flood (генерация сотен фиктивных SSID), сбор probe requests для профилирования устройств в округе.В Red Team сценарии ESP32 - «закладка». Плату с power bank прячешь в переговорной, и она деаутентифицирует клиентов целевой AP часами. Одновременно второй инструмент (ноутбук с
airodump-ng или hcxdumptool) перехватывает хендшейки переподключающихся клиентов.Деаутентификация - отправка поддельных Management Frames от имени AP, вынуждающая клиентов разорвать соединение. Работает потому, что WPA2 не требует защиты Management Frames на уровне стандарта (PMF опционален): на старом и SOHO-оборудовании PMF обычно выключен, хотя на свежих корпоративных AP (Cisco, Aruba, MikroTik RouterOS 7) PMF часто включён как capable или required.
Когда техника НЕ работает:
- AP и клиент поддерживают 802.11w (PMF) - deauth-фреймы от ESP32 игнорируются
- WPA3 - PMF обязателен по спецификации
- WIDS (Cisco Adaptive wIPS, Aruba RFProtect) - детектирует массовые deauth и блокирует источник по MAC/местоположению
- Целевая сеть на 5 GHz - ESP32 работает только на 2.4 GHz
Evil Twin и KARMA через Wi-Fi Pineapple
Wi-Fi Pineapple атаки строятся вокруг PineAP - механизма автоматического ответа на probe requests. Телефон ищет сохранённую сеть («CoffeeShop_Free», «Metro_WiFi_Free»), PineAP отвечает: «Это я» - устройство подключается к rogue access point. Классическая KARMA-атака.Evil Twin (T1557.004) - развёртывание AP с тем же SSID, что у целевой сети, но с более сильным сигналом. Клиенты переключаются на поддельную точку, весь трафик идёт через атакующего. Согласно исследованию Synacktiv (2025), даже с TLS-защитой evil twin атака позволяет перехватить DNS-запросы и HTTP-редиректы, а при удачном раскладе - подсунуть поддельный сертификат.
[Применимо: внешний Red Team (Pineapple в зоне действия корпоративного Wi-Fi), внутренний пентест (rogue AP на территории объекта)]
Атака на WPA2-Enterprise: клонирование точки доступа
WPA2-Enterprise (EAP) - тут посерьёзнее. Eaphammer позволяет клонировать корпоративную AP и перехватить EAP-учётные данные. По данным Synacktiv, процесс выглядит так:
Bash:
# Генерация сертификата, имитирующего корпоративный RADIUS
eaphammer --cert-wizard
# Запуск rogue AP с перехватом EAP-credentials
eaphammer -i wlan1 --essid CorpWiFi --channel 6 \
--auth wpa-eap --creds --negotiate autoКогда техника НЕ работает:
- Supplicant настроен на certificate pinning (проверка сертификата RADIUS)
- WPA3-Enterprise 192-bit предъявляет строгие требования к сертификатам (EC P-384/RSA-3072), но реальная защита от evil twin зависит от supplicant policy (certificate pinning/trusted CA)
- MDM-решения (Microsoft Intune, VMware Workspace ONE) блокируют подключение к неизвестным сетям
- Cisco ISE или аналогичный NAC детектирует аномалию
Перехват PMKID и offline-брутфорс
Для WPA2-PSK (Personal) вектор проще. Утилитаhcxdumptool извлекает PMKID без деаутентификации - она ассоциируется с AP и инициирует EAPOL-обмен. Если AP включает PMKID в KDE первого EAPOL-Key фрейма (M1), его можно вытащить без полного 4-way handshake. Далее hcxpcapngtool конвертирует в формат hashcat, а hashcat -m 22000 запускает перебор - Password Cracking (T1110.002).Скорость: при hashcat -m 22000: NVIDIA RTX 4090 ≈ 2.6 MH/s, RTX 3060 ≈ 900 kH/s – 1 MH/s (бенчмарки зависят от драйверов и версии hashcat). Восьмизначный цифровой PSK - секунды. Сложный пароль из 12+ символов с миксом регистров - потребуются словарные и rule-based атаки.
Это прямое следствие OWASP A02:2021 (Cryptographic Failures): слабый PSK - криптографический провал, независимо от стойкости самого WPA2.
SDR-атаки за пределами Wi-Fi: радиочастотный пентест IoT
Самое интересное - за пределами 802.11. На реальных engagement'ах попадается:Bluetooth/BLE: Ubertooth One - специализированный адаптер для перехвата Bluetooth-трафика в promiscuous mode (стандартные адаптеры этого не умеют). Для BLE - Bettercap с BLE-модулем сканирует GATT-характеристики и позволяет читать/писать в незащищённые сервисы IoT-устройств. Атаки на IoT устройства Wi-Fi часто начинаются именно с BLE - через него устройства конфигурируются, и нередко BLE-интерфейс остаётся открытым после первоначальной настройки. Забыли закрыть дверь, через которую вошли.
Zigbee (802.15.4): фреймворк KillerBee исторически поддерживал ApiMote и Atmel RZUSBStick (оба EOL); актуальные варианты - TI CC2531/CC2538 с sniffer-прошивкой (работают с Wireshark напрямую), nRF52840-dongle для BLE/Zigbee. KillerBee перехватывает Zigbee-трафик на каналах 11-26. По данным DeepStrike, утилиты
zbstumbler и zbdump обнаруживают Zigbee-сети и захватывают пакеты. Многие устройства используют дефолтный сетевой ключ - после его извлечения весь трафик расшифровывается и возможна инжекция команд через zbreplay. Классика A06:2021 (Vulnerable and Outdated Components) - устаревшие IoT с дефолтными ключами, которые никто не менял с момента установки.Sub-GHz (433/868 МГц): HackRF One в связке с Universal Radio Hacker (URH) перехватывает и воспроизводит сигналы пультов, датчиков, систем контроля доступа. Replay-атака на системы без rolling code - вопрос минут. Penthertz в описании Red Team операций включает «Sub-GHz jamming & replay» и «alarm system bypass» как стандартные вектора физического проникновения.
[Применимо: пентест IoT-инфраструктуры, промышленные объекты с беспроводными датчиками, Red Team с физическим доступом к периметру]
Ограничения стоит учитывать: для Bluetooth Classic перехват pairing возможен только в реальном времени - ретроспективный анализ невозможен. Для Zigbee с обновлёнными ключами - потребуется sniffing момента key transport, окно атаки ограничено.
Ограничения и детект: когда беспроводной пентест упирается в стену
Пару лет назад на беспроводных engagement'ах регулярно попадался WPA2-PSK с восьмизначным цифровым паролем. Сейчас ситуация медленно меняется - WPA3 появляется на свежем железе. Но организации обновляют точки доступа и забывают про IoT. Температурные датчики, IP-камеры, контроллеры умного освещения - работают на дефолтных ключах, устаревших прошивках и протоколах без шифрования. По данным DeepStrike, к 2025 году подключённых IoT-устройств в мире более 35 миллиардов, средняя организация использует свыше тысячи. Каждое - потенциальная точка входа, и беспроводная безопасность больше не сводится к проверке PSK.
Будущее беспроводного пентеста - не в ломании WPA3 (он хорош), а в работе с тем, что находится рядом. SDR-навыки, умение читать спектр, понимание LoRa, Zigbee, BLE - вот что отличает пентестера, который найдёт реальный вектор initial access, от того, кто запустит
aircrack-ng и напишет «PSK стойкий, рисков нет». Самодельные устройства - ESP32-контроллеры, кастомные IoT-шлюзы, промышленные датчики на Sub-GHz - здесь концентрируются реальные риски, и здесь у большинства команд слепая зона. Хочется руки в крови - лаба с этой техникой ждёт на HackerLab.