Данная статья является переводом. Первоисточник
Во время пентеста, либо услуг Red Team, мне всегда нравится заниматься проблемой получения доступа к хорошо защищенным беспроводным сетям. Red Team неспроста уделяют много внимания беспроводным сетям, и зачастую начинают свой аудит именно с них.
Обычные ошибки конфигурации, уязвимости и последовательность общих сетевых атак при выполнении беспроводной оценки могут привести к получению доступа к корпоративной сети за пару часов! Как я писал в своей последней серии
1. RADIUS Уязвимости, связанные с выдачей себя за другого человека
Lo0tBo0ty KARMA
Использование Lootbooty с KARMA также позволило мне собрать учетные данные для других доменов, которые можно использовать для получения доступа к корпоративной сети. Используя hostapd-wpe, Lo0tBo0ty и KARMA против открытых и корпоративных сетей WPA2, я смог получить учетные данные для сетей EAP и TTLS, где другие Evil Twins не работают. Набор действительных учетных данных пользователя может позволить повысить привилегии, Red Team может удерживать привилегии разных рангов в течении недели.
KARMA + HOSTAPD-WPE + Lo0tBo0ty
Корпоративный беспроводной доступ, полученный от KARMA Lo0tBo0ty
На конференции DEF CON 21 Джош Гувер (
Hostapd-wpe
hostapd-wpe является заменой
Он реализует атаки IEEE 802.1x Authenticator и Authentication Server impersonation для получения клиентских полномочий а также установления соединения с клиентом и запуска других атак, где это можно реализовать.
hostapd-wpe поддерживает следующие типы EAP для подделки:
Мой трюк, при создании Radius сертификата для моего Evil Twin, заключается в том, чтобы попытаться сделать поддельный сертификат как можно более похожим на настоящий. Если существуют неправильные настройки, сделанные в среде, или клиентская политика не требует проверки законности сертификата сервера Radius, пользователи будут подключаться к вашей hostapd-wpe независимо от этого; но наличие почти идентичного сертификата может привлечь еще больше ничего не подозревающих жертв для вашего Evil Twin.
Hostapd-WPE mschapv2 хэш-файл
Я использую hostapd-wpe из-за его гибкости по сравнению с использованием автономного hostapd. Hostapd-wpe, как я уже писал, является заменой FreeRADIUS-WPE и может выдавать себя за большее количество протоколов EAP, занимая меньше места, чем сам FreeRADIUS-WPE. Hostapd-wpe также сосуществует с патчем RADIUS а также с патчем PuNk1n.patch (тот же Lo0tBo0ty), позволяющим использовать KARMA Lo0tBo0ty.
Вооруженный учетными данными, я имел доступ к корпоративной беспроводной сети, а также к VPN компаний.
Rogue добавляет некоторые дополнительные функции и функциональность к eaphammer:
InfamousSYN/rogue
s0lst1c3/eaphammer
Среда для Docker:
Мощные фреймворки:
github.com
Специализированные маршрутизаторы:
Raspberry Pi’s
Мое любимое мобильное устройство для тестирования беспроводных сетей
2. Открытая и закрытая сеть Evil Twin.
Иногда мы перестаем атаковать EAP-TLS или сильный WPA2-PSK, и тогда переводим свое внимание, ориентируясь на незащищенных или устаревших клиентов беспроводных приложений. Клиентские устройства все еще посылают маячки для сетей. Когда речь заходит о проникновении в крупную и сложную корпорацию, можно обнаружить, что корпорация приняла правильные меры для того, чтобы EAP-TLS находилась на месте, а гостевая сеть - WPA2-PSK. Вы не сможете взломать рукопожатие WPA2 и восстановить ключевую фразу. Но что же делать? Мы сдадимся в машину и едем домой, нет... мы упорно продолжаем!
KARMA - это набор инструментов для оценки безопасности беспроводных клиентов на нескольких уровнях. Беспроводные инструменты для снифинга обнаруживают клиентов и их предпочитаемые/надежные сети, пассивно прослушивая 802.11 Probe Request. Оттуда, отдельные клиенты могут стать жертвой, путем создания точки доступа Rogue AP (Rogue Acess Points, мошенические точки доступа) для одной из уже использованных сетей (к которой они могут присоединиться автоматически) или с помощью пользовательского драйвера, который отвечает на запросы для любого SSID. Фальшивые сервисы более высокого уровня могут затем захватывать учетные данные или использовать уязвимости клиентской стороны на хосте.
Открываем KARMA Evil Twin .
Да, KARMA, все еще работает в 2018 году, и я успешно использовал hostapd-wpe с KARMA и Dynamic Host Configuration Protocol server ("DHCP") для подготовки беспроводной сети "Evil Twin", которая покажется жертвам в качестве знакомой им сети, с которо они были связаны.
“attwifi” сеть будет отвечать всем устройствам, которые запрашивают любую открытую сеть, используя KARMA. Большинство пользователей не удаляют свою историю открытых сетей, к которым они подключены, что делает их идеальной мишенью для такого рода атак.
При правильном выполнении, мы должны впоследствии получить несколько клиентских соединений. Как только устройство подключается, ему присваивается IP-адрес и он подвергается атакам типа MitM на контролируемую экспертом сеть.
Перехваченные хеши при помощи KARMA Open Evil Twin
3. Гостевые сети
Часто корпорации используют защищенные гостевые сети, для доступа к которым требуются временные учетные данные или парольная фраза WPA2-PSK. Эти гостевые сети предназначены для использования гостями, но часто используются сотрудниками. В зависимости от окружающей среды, ключ WPA2 может поставляться или даже сообщаться в лобби многих корпораций. Отказ от постоянной смены этих ключей позволяет легко успешно провести атаку Evil Twin.
Страница портала регистрации Cisco
Существует две наиболее распространенные ошибки, реализованные в гостевых сетях, о которых я говорил:
a.) Проблемы с конфигурацией гостевой беспроводной сети
Главный урок, который мы извлекли из этого - менять беспроводной ключ. Если теоретически я останусь в системе и вернусь через год, и мне не нужно будет проходить повторную аутентификацию, то вы делаете что-то не так. Многие сотрудники сохраняют эти гостевые сети в своей истории беспроводных сетей, и стандартным поведением большинства операционных систем и устройств является автоматическое подключение, когда они доступны.
Wifite 2 является обновленным преемником печально известного python скрипта Wifite, который является инструментов для аудита беспроводных сетей.
Я использую Wifite для взлома сетей WEP (да, они все еще существует).
Полный список функций
Посмотрите мой предыдущий
Если вы все же предпочитаете делать вещи в ручную, давайте перехватим рукопожатия инструментом aircrack-ng
Следуя приведенным ниже шагам, вы можете вручную захватить рукопожатие; сохранить их и попытаться восстановить ключевую фразу, используя словарь и GPU взломщик типа hashcat для перебора вероятных или возможных паролей.
5. Rogue AP
При обнаружении устройств во время оценки, чтобы получить захваты пакетов беспроводной сети и идентифицировать беспроводные сети в области; вы можете найти устройства, которые имеют непреднамеренный доступ к инфраструктуре компании.
Проходя мимо объектов при сканировании радиочастотных сигналов (RF) из беспроводных точек доступа (WAP), обычно описываемых как "ходьба в бою" (war-walking), вы можете определить потенциальные мошеннические точки доступа.
Rogue AP, обеспечивающая доступ к корпоративной сети
Вышеуказанный маршрутизатор NETGEAR является примером несанкционированной точки доступа, которая была идентифицирована во время тестирования, но не была явно включена в список авторизованных точек/адресов доступа, то есть является мошеннической. Учетная запись администратора и доступ к веб-интерфейсу точки доступа использовали пароль по умолчанию. Используя основанный на словарях пароль, я смог войти в административный интерфейс маршрутизатора и управлять настройками конфигурации сетевого устройства.
Злоумышленники используют внешние сети для обхода фаерволов, которые обычно отслеживают сетевой трафик только на управляемых сетевых устройствах внутри сети. Кроме того, учитывая, что беспроводная сеть не шифрует данные во время передачи, злоумышленник может легко перехватить трафик и получить доступ к потенциально конфиденциальной информации.
Ссылка скрыта от гостей
Во время пентеста, либо услуг Red Team, мне всегда нравится заниматься проблемой получения доступа к хорошо защищенным беспроводным сетям. Red Team неспроста уделяют много внимания беспроводным сетям, и зачастую начинают свой аудит именно с них.
Обычные ошибки конфигурации, уязвимости и последовательность общих сетевых атак при выполнении беспроводной оценки могут привести к получению доступа к корпоративной сети за пару часов! Как я писал в своей последней серии
Ссылка скрыта от гостей
, многие векторы атак, которые использовались много лет назад, работают и в 2018 году.1. RADIUS Уязвимости, связанные с выдачей себя за другого человека
Lo0tBo0ty KARMA
Использование Lootbooty с KARMA также позволило мне собрать учетные данные для других доменов, которые можно использовать для получения доступа к корпоративной сети. Используя hostapd-wpe, Lo0tBo0ty и KARMA против открытых и корпоративных сетей WPA2, я смог получить учетные данные для сетей EAP и TTLS, где другие Evil Twins не работают. Набор действительных учетных данных пользователя может позволить повысить привилегии, Red Team может удерживать привилегии разных рангов в течении недели.
KARMA + HOSTAPD-WPE + Lo0tBo0ty
Корпоративный беспроводной доступ, полученный от KARMA Lo0tBo0ty
Ссылка скрыта от гостей
На конференции DEF CON 21 Джош Гувер (
Ссылка скрыта от гостей
) и Джеймс Снодграсс
Ссылка скрыта от гостей
) прекратили исследования по использованию Generic Token Cards для получения текстовых данных с мобильных устройств, подключенных к корпоративной беспроводной сети. Джош проделал фантастическую работу по раскрытию технических деталей, поэтому я не буду описывать их здесь снова, но суть в том, что, попросив ваш сервер аутентификации запросить одноразовый пароль (т.е. GTC) и отправив успешное соединение обратно клиенту, вы сможете получить полномочия предприятий в чистом виде с мобильных устройств. Я протестировал его на Android 5.01, и он все еще работает! В разговоре DEF CON Джош и Джеймс выпустили свой инструмент "lootbooty", который содержит патч для freeradius-2.2. Кроме того, их инструмент включал скрипт для установки и разрушения среды. Похоже на идеальный футляр для контейнера Docker!Инструмент тут - Lo0tBo0ty Wifi-To0lz
Hostapd-wpe
hostapd-wpe является заменой
Ссылка скрыта от гостей
.Он реализует атаки IEEE 802.1x Authenticator и Authentication Server impersonation для получения клиентских полномочий а также установления соединения с клиентом и запуска других атак, где это можно реализовать.
hostapd-wpe поддерживает следующие типы EAP для подделки:
- EAP-FAST/MSCHAPv2 (Фаза 0)
- PEAP/MSCHAPv2
- EAP-TTLS/MSCHAPv2
- EAP-TTLS/MSCHAP
- EAP-TTLS/CHAP
- EAP-TTLS/PAP
Пример легитимного сертификата Radius Cert
Мой трюк, при создании Radius сертификата для моего Evil Twin, заключается в том, чтобы попытаться сделать поддельный сертификат как можно более похожим на настоящий. Если существуют неправильные настройки, сделанные в среде, или клиентская политика не требует проверки законности сертификата сервера Radius, пользователи будут подключаться к вашей hostapd-wpe независимо от этого; но наличие почти идентичного сертификата может привлечь еще больше ничего не подозревающих жертв для вашего Evil Twin.
Hostapd-WPE mschapv2 хэш-файл
Я использую hostapd-wpe из-за его гибкости по сравнению с использованием автономного hostapd. Hostapd-wpe, как я уже писал, является заменой FreeRADIUS-WPE и может выдавать себя за большее количество протоколов EAP, занимая меньше места, чем сам FreeRADIUS-WPE. Hostapd-wpe также сосуществует с патчем RADIUS а также с патчем PuNk1n.patch (тот же Lo0tBo0ty), позволяющим использовать KARMA Lo0tBo0ty.
Вооруженный учетными данными, я имел доступ к корпоративной беспроводной сети, а также к VPN компаний.
Существует так много оберток (или варперов) для создания Evil Twins, которые используют hostapd wpe, что существует буквально обертки для чужих скриптов.
Rogue добавляет некоторые дополнительные функции и функциональность к eaphammer:
InfamousSYN/rogue
s0lst1c3/eaphammer
Среда для Docker:
Ссылка скрыта от гостей
Мощные фреймворки:
sensepost/mana
*DEPRECATED* mana toolkit for wifi rogue AP attacks and MitM - sensepost/mana
github.com
Специализированные маршрутизаторы:
Ссылка скрыта от гостей
Raspberry Pi’s
Ссылка скрыта от гостей
Ссылка скрыта от гостей
Мое любимое мобильное устройство для тестирования беспроводных сетей
2. Открытая и закрытая сеть Evil Twin.
Иногда мы перестаем атаковать EAP-TLS или сильный WPA2-PSK, и тогда переводим свое внимание, ориентируясь на незащищенных или устаревших клиентов беспроводных приложений. Клиентские устройства все еще посылают маячки для сетей. Когда речь заходит о проникновении в крупную и сложную корпорацию, можно обнаружить, что корпорация приняла правильные меры для того, чтобы EAP-TLS находилась на месте, а гостевая сеть - WPA2-PSK. Вы не сможете взломать рукопожатие WPA2 и восстановить ключевую фразу. Но что же делать? Мы сдадимся в машину и едем домой, нет... мы упорно продолжаем!
Ссылка скрыта от гостей
атаки.KARMA - это набор инструментов для оценки безопасности беспроводных клиентов на нескольких уровнях. Беспроводные инструменты для снифинга обнаруживают клиентов и их предпочитаемые/надежные сети, пассивно прослушивая 802.11 Probe Request. Оттуда, отдельные клиенты могут стать жертвой, путем создания точки доступа Rogue AP (Rogue Acess Points, мошенические точки доступа) для одной из уже использованных сетей (к которой они могут присоединиться автоматически) или с помощью пользовательского драйвера, который отвечает на запросы для любого SSID. Фальшивые сервисы более высокого уровня могут затем захватывать учетные данные или использовать уязвимости клиентской стороны на хосте.
Открываем KARMA Evil Twin .
Да, KARMA, все еще работает в 2018 году, и я успешно использовал hostapd-wpe с KARMA и Dynamic Host Configuration Protocol server ("DHCP") для подготовки беспроводной сети "Evil Twin", которая покажется жертвам в качестве знакомой им сети, с которо они были связаны.
“attwifi” сеть будет отвечать всем устройствам, которые запрашивают любую открытую сеть, используя KARMA. Большинство пользователей не удаляют свою историю открытых сетей, к которым они подключены, что делает их идеальной мишенью для такого рода атак.
При правильном выполнении, мы должны впоследствии получить несколько клиентских соединений. Как только устройство подключается, ему присваивается IP-адрес и он подвергается атакам типа MitM на контролируемую экспертом сеть.
Перехваченные хеши при помощи KARMA Open Evil Twin
3. Гостевые сети
Часто корпорации используют защищенные гостевые сети, для доступа к которым требуются временные учетные данные или парольная фраза WPA2-PSK. Эти гостевые сети предназначены для использования гостями, но часто используются сотрудниками. В зависимости от окружающей среды, ключ WPA2 может поставляться или даже сообщаться в лобби многих корпораций. Отказ от постоянной смены этих ключей позволяет легко успешно провести атаку Evil Twin.
Страница портала регистрации Cisco
Существует две наиболее распространенные ошибки, реализованные в гостевых сетях, о которых я говорил:
a.) Проблемы с конфигурацией гостевой беспроводной сети
После подключения к беспроводной сети иногда можно обнаружить живые хосты в среде гостевой внутренней сети.
Перечисление открытых портов хоста
Включенная сеть Telnet в гостевой сети
b.) WPA-2 PSK Гость Злой Близнец Злой
Что если в гостевой сети включена
Ссылка скрыта от гостей
? Иногда гостевая сеть использует WPA2 с предустановленным ключом. Изоляция клиентов включена, и атаки типа MitM не работают! Лично я дважды проверил это при помощи wireshark и bettercap, чтобы изоляция клиентов действительно выполняла свою работу.
Изоляция беспроводных клиентов - это функция безопасности, которая не позволяет беспроводным клиентам общаться друг с другом. Добавление уровня безопасности для ограничения атак и угроз между устройствами, подключенными к беспроводным сетям, полезна для гостевых и BYOD SSID.
Rogue, действительно выделяется здесь - это единственный скрипт, которые позволяют вам автоматически поддерживать WPA2-PSK Evil Twin Network в автоматическом режиме. Как только устройства подключены, изоляция клиентов, очевидно, не применяется в вашей сети. MITM уже можно провернуть, но будьте осторожны и ответственны, когда имеете дело с личными беспроводными endpoints.
Evil Network - 10.”666".0/24.
Главный урок, который мы извлекли из этого - менять беспроводной ключ. Если теоретически я останусь в системе и вернусь через год, и мне не нужно будет проходить повторную аутентификацию, то вы делаете что-то не так. Многие сотрудники сохраняют эти гостевые сети в своей истории беспроводных сетей, и стандартным поведением большинства операционных систем и устройств является автоматическое подключение, когда они доступны.
4. Взлом WEP & WPA2-PSKWifite 2 является обновленным преемником печально известного python скрипта Wifite, который является инструментов для аудита беспроводных сетей.
Я использую Wifite для взлома сетей WEP (да, они все еще существует).
Полный список функций
- Reaver Pixie-Dust атака(--pixie)
- Reaver WPS PIN атака(--reaver)
- Перехват WPA рукопожатий(--no-reaver)
- Проверяет рукопожатия против pyrit, tshark, cowpatty, и aircrack-ng.
- Различные WEP атаки (replay, chopchop, fragment и т.д.)
- Поддержка 5 ГГц для беспроводных карт, поддерживающих частоту 5 ГГц (опция -5)
- Хранит взломанные пароли и рукопожатия в текущем каталоге с метаданными о точке доступа (через --cracked).
- Выявление скрытых точек доступа при фиксированном канале (опция -c <channel>).
- Предоставляет команды для взлома захваченных WPA рукопожатий (с помощью команды --crack).
Ссылка скрыта от гостей
- это набор инструментов с открытым исходным кодом для взлома WEP и WPA/WPA2-Personal ключей, который работает на Windows, Mac OS X, Linux и OpenBSD. Он также может быть загружен в виде образа VMware и Live CD. Вы можете перехватить пакеты данных, вводить и воспроизводить трафик, а также дешифровывать ключи шифрования после захвата достаточного количества пакетов.Посмотрите мой предыдущий
Ссылка скрыта от гостей
в блоге для получения дополнительной информации о работе Aircrack-ng и Kismet с новыми картами Alfa USB 3.0, которые поддерживают инъекции в 5 ГГц.Если вы все же предпочитаете делать вещи в ручную, давайте перехватим рукопожатия инструментом aircrack-ng
Следуя приведенным ниже шагам, вы можете вручную захватить рукопожатие; сохранить их и попытаться восстановить ключевую фразу, используя словарь и GPU взломщик типа hashcat для перебора вероятных или возможных паролей.
Код:
# put your network device into monitor mode
Set interface down
$ sudo ip link set wlan0 downSet monitor mode
# iwconfig wlan0 mode monitorSet interface up
# ip link set wlan0 up# listen for all nearby beacon frames to get target BSSID and
# airodump-ng wlan0 --band abgSet 5 GHz channel
# iwconfig wlan0 channel 149Start listening for the handshake
# airodump-ng -c 149 --bssid P4:E4:E4:92:60:71 -w cap01.cap wlan0Optionally deauth a connected client to force a handshake
# aireplay-ng -D -0 2 -a 9C:5C:8E:C9:AB:C0 -c P4:E4:E4:92:60:71 wlan0Convert cap to hccapx
# root@kali:~# aircrack-ng -J file.cap capture.hccapCrack with hashcat:>hashcat.exe -m 2500 capture.hccapx rockyou.txtПри обнаружении устройств во время оценки, чтобы получить захваты пакетов беспроводной сети и идентифицировать беспроводные сети в области; вы можете найти устройства, которые имеют непреднамеренный доступ к инфраструктуре компании.
Проходя мимо объектов при сканировании радиочастотных сигналов (RF) из беспроводных точек доступа (WAP), обычно описываемых как "ходьба в бою" (war-walking), вы можете определить потенциальные мошеннические точки доступа.
Rogue AP, обеспечивающая доступ к корпоративной сети
Вышеуказанный маршрутизатор NETGEAR является примером несанкционированной точки доступа, которая была идентифицирована во время тестирования, но не была явно включена в список авторизованных точек/адресов доступа, то есть является мошеннической. Учетная запись администратора и доступ к веб-интерфейсу точки доступа использовали пароль по умолчанию. Используя основанный на словарях пароль, я смог войти в административный интерфейс маршрутизатора и управлять настройками конфигурации сетевого устройства.
Злоумышленники используют внешние сети для обхода фаерволов, которые обычно отслеживают сетевой трафик только на управляемых сетевых устройствах внутри сети. Кроме того, учитывая, что беспроводная сеть не шифрует данные во время передачи, злоумышленник может легко перехватить трафик и получить доступ к потенциально конфиденциальной информации.
Последнее редактирование:
