• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Статья Пять лучших способов получить доступ к вашей беспроводной сети [Перевод]

g00db0y

g00db0y

Red Team
11.06.2018
85
335
Данная статья является переводом. Первоисточник

Во время пентеста, либо услуг Red Team, мне всегда нравится заниматься проблемой получения доступа к хорошо защищенным беспроводным сетям. Red Team неспроста уделяют много внимания беспроводным сетям, и зачастую начинают свой аудит именно с них.

Обычные ошибки конфигурации, уязвимости и последовательность общих сетевых атак при выполнении беспроводной оценки могут привести к получению доступа к корпоративной сети за пару часов! Как я писал в своей последней серии , многие векторы атак, которые использовались много лет назад, работают и в 2018 году.

1. RADIUS Уязвимости, связанные с выдачей себя за другого человека

Lo0tBo0ty KARMA

Использование Lootbooty с KARMA также позволило мне собрать учетные данные для других доменов, которые можно использовать для получения доступа к корпоративной сети. Используя hostapd-wpe, Lo0tBo0ty и KARMA против открытых и корпоративных сетей WPA2, я смог получить учетные данные для сетей EAP и TTLS, где другие Evil Twins не работают. Набор действительных учетных данных пользователя может позволить повысить привилегии, Red Team может удерживать привилегии разных рангов в течении недели.

Пять лучших способов получить доступ к вашей беспроводной сети [Перевод]

KARMA + HOSTAPD-WPE + Lo0tBo0ty

Пять лучших способов получить доступ к вашей беспроводной сети [Перевод]

Корпоративный беспроводной доступ, полученный от KARMA Lo0tBo0ty



На конференции DEF CON 21 Джош Гувер (@wishbone1138) и Джеймс Снодграсс (@PunK1nPO0P) прекратили исследования по использованию Generic Token Cards для получения текстовых данных с мобильных устройств, подключенных к корпоративной беспроводной сети. Джош проделал фантастическую работу по раскрытию технических деталей, поэтому я не буду описывать их здесь снова, но суть в том, что, попросив ваш сервер аутентификации запросить одноразовый пароль (т.е. GTC) и отправив успешное соединение обратно клиенту, вы сможете получить полномочия предприятий в чистом виде с мобильных устройств. Я протестировал его на Android 5.01, и он все еще работает! В разговоре DEF CON Джош и Джеймс выпустили свой инструмент "lootbooty", который содержит патч для freeradius-2.2. Кроме того, их инструмент включал скрипт для установки и разрушения среды. Похоже на идеальный футляр для контейнера Docker!
Примечание: Их инструмент также включал атаку на устройства ios, но, похоже, теперь все исправлено.
Инструмент тут -

Hostapd-wpe

hostapd-wpe является заменой .

Он реализует атаки IEEE 802.1x Authenticator и Authentication Server impersonation для получения клиентских полномочий а также установления соединения с клиентом и запуска других атак, где это можно реализовать.

hostapd-wpe поддерживает следующие типы EAP для подделки:
  1. EAP-FAST/MSCHAPv2 (Фаза 0)
  2. PEAP/MSCHAPv2
  3. EAP-TTLS/MSCHAPv2
  4. EAP-TTLS/MSCHAP
  5. EAP-TTLS/CHAP
  6. EAP-TTLS/PAP
Пять лучших способов получить доступ к вашей беспроводной сети [Перевод]
Пример легитимного сертификата Radius Cert


Мой трюк, при создании Radius сертификата для моего Evil Twin, заключается в том, чтобы попытаться сделать поддельный сертификат как можно более похожим на настоящий. Если существуют неправильные настройки, сделанные в среде, или клиентская политика не требует проверки законности сертификата сервера Radius, пользователи будут подключаться к вашей hostapd-wpe независимо от этого; но наличие почти идентичного сертификата может привлечь еще больше ничего не подозревающих жертв для вашего Evil Twin.

Пять лучших способов получить доступ к вашей беспроводной сети [Перевод]

Hostapd-WPE mschapv2 хэш-файл

Я использую hostapd-wpe из-за его гибкости по сравнению с использованием автономного hostapd. Hostapd-wpe, как я уже писал, является заменой FreeRADIUS-WPE и может выдавать себя за большее количество протоколов EAP, занимая меньше места, чем сам FreeRADIUS-WPE. Hostapd-wpe также сосуществует с патчем RADIUS а также с патчем PuNk1n.patch (тот же Lo0tBo0ty), позволяющим использовать KARMA Lo0tBo0ty.

Вооруженный учетными данными, я имел доступ к корпоративной беспроводной сети, а также к VPN компаний.
Идея остается прежней: поднять Evil Twin и перехватить данные. Маршрутизаторы и устройства, упомянутые ниже, позволяют проводить активное или скрытое тестирование.
Существует так много оберток (или варперов) для создания Evil Twins, которые используют hostapd wpe, что существует буквально обертки для чужих скриптов.

добавляет некоторые дополнительные функции и функциональность к :




Среда для Docker:


Мощные фреймворки:


Специализированные маршрутизаторы:


Raspberry Pi’s




Пять лучших способов получить доступ к вашей беспроводной сети [Перевод]

Мое любимое мобильное устройство для тестирования беспроводных сетей

2. Открытая и закрытая сеть Evil Twin.

Иногда мы перестаем атаковать EAP-TLS или сильный WPA2-PSK, и тогда переводим свое внимание, ориентируясь на незащищенных или устаревших клиентов беспроводных приложений. Клиентские устройства все еще посылают маячки для сетей. Когда речь заходит о проникновении в крупную и сложную корпорацию, можно обнаружить, что корпорация приняла правильные меры для того, чтобы EAP-TLS находилась на месте, а гостевая сеть - WPA2-PSK. Вы не сможете взломать рукопожатие WPA2 и восстановить ключевую фразу. Но что же делать? Мы сдадимся в машину и едем домой, нет... мы упорно продолжаем!

атаки.

KARMA - это набор инструментов для оценки безопасности беспроводных клиентов на нескольких уровнях. Беспроводные инструменты для снифинга обнаруживают клиентов и их предпочитаемые/надежные сети, пассивно прослушивая 802.11 Probe Request. Оттуда, отдельные клиенты могут стать жертвой, путем создания точки доступа Rogue AP (Rogue Acess Points, мошенические точки доступа) для одной из уже использованных сетей (к которой они могут присоединиться автоматически) или с помощью пользовательского драйвера, который отвечает на запросы для любого SSID. Фальшивые сервисы более высокого уровня могут затем захватывать учетные данные или использовать уязвимости клиентской стороны на хосте.

Пять лучших способов получить доступ к вашей беспроводной сети [Перевод]

Открываем KARMA Evil Twin .

Да, KARMA, все еще работает в 2018 году, и я успешно использовал hostapd-wpe с KARMA и Dynamic Host Configuration Protocol server ("DHCP") для подготовки беспроводной сети "Evil Twin", которая покажется жертвам в качестве знакомой им сети, с которо они были связаны.

“attwifi” сеть будет отвечать всем устройствам, которые запрашивают любую открытую сеть, используя KARMA. Большинство пользователей не удаляют свою историю открытых сетей, к которым они подключены, что делает их идеальной мишенью для такого рода атак.

При правильном выполнении, мы должны впоследствии получить несколько клиентских соединений. Как только устройство подключается, ему присваивается IP-адрес и он подвергается атакам типа MitM на контролируемую экспертом сеть.

Пять лучших способов получить доступ к вашей беспроводной сети [Перевод]

Перехваченные хеши при помощи KARMA Open Evil Twin

3. Гостевые сети

Часто корпорации используют защищенные гостевые сети, для доступа к которым требуются временные учетные данные или парольная фраза WPA2-PSK. Эти гостевые сети предназначены для использования гостями, но часто используются сотрудниками. В зависимости от окружающей среды, ключ WPA2 может поставляться или даже сообщаться в лобби многих корпораций. Отказ от постоянной смены этих ключей позволяет легко успешно провести атаку Evil Twin.

Пять лучших способов получить доступ к вашей беспроводной сети [Перевод]

Страница портала регистрации Cisco

Существует две наиболее распространенные ошибки, реализованные в гостевых сетях, о которых я говорил:

a.) Проблемы с конфигурацией гостевой беспроводной сети

После подключения к беспроводной сети иногда можно обнаружить живые хосты в среде гостевой внутренней сети.​
Пять лучших способов получить доступ к вашей беспроводной сети [Перевод]
Перечисление открытых портов хоста
Пять лучших способов получить доступ к вашей беспроводной сети [Перевод]
Включенная сеть Telnet в гостевой сети
b.) WPA-2 PSK Гость Злой Близнец Злой
Что если в гостевой сети включена ? Иногда гостевая сеть использует WPA2 с предустановленным ключом. Изоляция клиентов включена, и атаки типа MitM не работают! Лично я дважды проверил это при помощи wireshark и bettercap, чтобы изоляция клиентов действительно выполняла свою работу.​
Изоляция беспроводных клиентов - это функция безопасности, которая не позволяет беспроводным клиентам общаться друг с другом. Добавление уровня безопасности для ограничения атак и угроз между устройствами, подключенными к беспроводным сетям, полезна для гостевых и BYOD SSID.​
, действительно выделяется здесь - это единственный скрипт, которые позволяют вам автоматически поддерживать WPA2-PSK Evil Twin Network в автоматическом режиме. Как только устройства подключены, изоляция клиентов, очевидно, не применяется в вашей сети. MITM уже можно провернуть, но будьте осторожны и ответственны, когда имеете дело с личными беспроводными endpoints.​
Пять лучших способов получить доступ к вашей беспроводной сети [Перевод]
Evil Network - 10.”666".0/24.

Главный урок, который мы извлекли из этого - менять беспроводной ключ. Если теоретически я останусь в системе и вернусь через год, и мне не нужно будет проходить повторную аутентификацию, то вы делаете что-то не так. Многие сотрудники сохраняют эти гостевые сети в своей истории беспроводных сетей, и стандартным поведением большинства операционных систем и устройств является автоматическое подключение, когда они доступны.
4. Взлом WEP & WPA2-PSK

Wifite 2 является обновленным преемником печально известного python скрипта Wifite, который является инструментов для аудита беспроводных сетей.

Я использую Wifite для взлома сетей WEP (да, они все еще существует).

Полный список функций
  • Reaver Pixie-Dust атака(--pixie)
  • Reaver WPS PIN атака(--reaver)
  • Перехват WPA рукопожатий(--no-reaver)
  • Проверяет рукопожатия против pyrit, tshark, cowpatty, и aircrack-ng.
  • Различные WEP атаки (replay, chopchop, fragment и т.д.)
  • Поддержка 5 ГГц для беспроводных карт, поддерживающих частоту 5 ГГц (опция -5)
  • Хранит взломанные пароли и рукопожатия в текущем каталоге с метаданными о точке доступа (через --cracked).
  • Выявление скрытых точек доступа при фиксированном канале (опция -c <channel>).
  • Предоставляет команды для взлома захваченных WPA рукопожатий (с помощью команды --crack).
- это набор инструментов с открытым исходным кодом для взлома WEP и WPA/WPA2-Personal ключей, который работает на Windows, Mac OS X, Linux и OpenBSD. Он также может быть загружен в виде образа VMware и Live CD. Вы можете перехватить пакеты данных, вводить и воспроизводить трафик, а также дешифровывать ключи шифрования после захвата достаточного количества пакетов.

Посмотрите мой предыдущий в блоге для получения дополнительной информации о работе Aircrack-ng и Kismet с новыми картами Alfa USB 3.0, которые поддерживают инъекции в 5 ГГц.

Если вы все же предпочитаете делать вещи в ручную, давайте перехватим рукопожатия инструментом aircrack-ng

Следуя приведенным ниже шагам, вы можете вручную захватить рукопожатие; сохранить их и попытаться восстановить ключевую фразу, используя словарь и GPU взломщик типа hashcat для перебора вероятных или возможных паролей.
Код:
# put your network device into monitor mode
Set interface down
$ sudo ip link set wlan0 downSet monitor mode
# iwconfig wlan0 mode monitorSet interface up
# ip link set wlan0 up# listen for all nearby beacon frames to get target BSSID and
# airodump-ng wlan0 --band abgSet 5 GHz channel
# iwconfig wlan0 channel 149Start listening for the handshake
# airodump-ng -c 149 --bssid P4:E4:E4:92:60:71 -w cap01.cap wlan0Optionally deauth a connected client to force a handshake
# aireplay-ng -D -0 2 -a 9C:5C:8E:C9:AB:C0 -c P4:E4:E4:92:60:71 wlan0Convert cap to hccapx
# root@kali:~# aircrack-ng -J file.cap capture.hccapCrack with hashcat:>hashcat.exe -m 2500 capture.hccapx rockyou.txt
5. Rogue AP

При обнаружении устройств во время оценки, чтобы получить захваты пакетов беспроводной сети и идентифицировать беспроводные сети в области; вы можете найти устройства, которые имеют непреднамеренный доступ к инфраструктуре компании.

Проходя мимо объектов при сканировании радиочастотных сигналов (RF) из беспроводных точек доступа (WAP), обычно описываемых как "ходьба в бою" (war-walking), вы можете определить потенциальные мошеннические точки доступа.

Пять лучших способов получить доступ к вашей беспроводной сети [Перевод]

Rogue AP, обеспечивающая доступ к корпоративной сети

Вышеуказанный маршрутизатор NETGEAR является примером несанкционированной точки доступа, которая была идентифицирована во время тестирования, но не была явно включена в список авторизованных точек/адресов доступа, то есть является мошеннической. Учетная запись администратора и доступ к веб-интерфейсу точки доступа использовали пароль по умолчанию. Используя основанный на словарях пароль, я смог войти в административный интерфейс маршрутизатора и управлять настройками конфигурации сетевого устройства.

Злоумышленники используют внешние сети для обхода фаерволов, которые обычно отслеживают сетевой трафик только на управляемых сетевых устройствах внутри сети. Кроме того, учитывая, что беспроводная сеть не шифрует данные во время передачи, злоумышленник может легко перехватить трафик и получить доступ к потенциально конфиденциальной информации.
 
Последнее редактирование:
Римма Севцова

Римма Севцова

Happy New Year
29.04.2019
7
1
У меня вопрос. Aircrack-ng может перехватить трафик в котором будет какая-то информация? Или я не так понимаю? Почти везде TLS сейчас же, и все передается в неявном виде. Или не так?
 
g00db0y

g00db0y

Red Team
11.06.2018
85
335
У меня вопрос. Aircrack-ng может перехватить трафик в котором будет какая-то информация? Или я не так понимаю? Почти везде TLS сейчас же, и все передается в неявном виде. Или не так?
Конечно будет, не все сайты используют TLS.
 
nynenado

nynenado

Happy New Year
16.11.2019
6
0
чем wireshark не подходит?
 
Мы в соцсетях: