ANTICHAT - Пять лучших способов получить доступ к вашей беспроводной сети [Перевод]

Данная статья является переводом. Первоисточник тут

Во время пентеста, либо услуг Red Team, мне всегда нравится заниматься проблемой получения доступа к хорошо защищенным беспроводным сетям. Red Team неспроста уделяют много внимания беспроводным сетям, и зачастую начинают свой аудит именно с них.

Обычные ошибки конфигурации, уязвимости и последовательность общих сетевых атак при выполнении беспроводной оценки могут привести к получению доступа к корпоративной сети за пару часов! Как я писал в своей последней серии Top 5, многие векторы атак, которые использовались много лет назад, работают и в 2018 году.

1. RADIUS Уязвимости, связанные с выдачей себя за другого человека

Lo0tBo0ty KARMA

Использование Lootbooty с KARMA также позволило мне собрать учетные данные для других доменов, которые можно использовать для получения доступа к корпоративной сети. Используя hostapd-wpe, Lo0tBo0ty и KARMA против открытых и корпоративных сетей WPA2, я смог получить учетные данные для сетей EAP и TTLS, где другие Evil Twins не работают. Набор действительных учетных данных пользователя может позволить повысить привилегии, Red Team может удерживать привилегии разных рангов в течении недели.

https://forum.antichat.xyz/attachmen...4010851808.png

KARMA + HOSTAPD-WPE + Lo0tBo0ty

https://forum.antichat.xyz/attachmen...4010885333.png

Корпоративный беспроводной доступ, полученный от KARMA Lo0tBo0ty
Встряхни их при помощи атаки понижения доступа GTC (GTC downgrade attack )

На конференции DEF CON 21 Джош Гувер (@wishbone1138) и Джеймс Снодграсс (@PunK1nPO0P) прекратили исследования по использованию Generic Token Cards для получения текстовых данных с мобильных устройств, подключенных к корпоративной беспроводной сети. Джош проделал фантастическую работу по раскрытию технических деталей, поэтому я не буду описывать их здесь снова, но суть в том, что, попросив ваш сервер аутентификации запросить одноразовый пароль (т.е. GTC) и отправив успешное соединение обратно клиенту, вы сможете получить полномочия предприятий в чистом виде с мобильных устройств. Я протестировал его на Android 5.01, и он все еще работает! В разговоре DEF CON Джош и Джеймс выпустили свой инструмент "lootbooty", который содержит патч для freeradius-2.2. Кроме того, их инструмент включал скрипт для установки и разрушения среды. Похоже на идеальный футляр для контейнера Docker!

Цитата:

Примечание: Их инструмент также включал атаку на устройства ios, но, похоже, теперь все исправлено.

Инструмент тут - Lo0tBo0ty Wifi-To0lz

Hostapd-wpe

hostapd-wpe является заменойFreeRADIUS-WPE.

Он реализует атаки IEEE 802.1x Authenticator и Authentication Server impersonation для получения клиентских полномочий а также установления соединения с клиентом и запуска других атак, где это можно реализовать.

hostapd-wpe поддерживает следующие типы EAP для подделки:

EAP-FAST/MSCHAPv2 (Фаза 0)
PEAP/MSCHAPv2
EAP-TTLS/MSCHAPv2
EAP-TTLS/MSCHAP
EAP-TTLS/CHAP
EAP-TTLS/PAP

https://forum.antichat.xyz/attachmen...4011037610.png

Пример легитимного сертификата Radius Cert

Мой трюк, при создании Radius сертификата для моего Evil Twin, заключается в том, чтобы попытаться сделать поддельный сертификат как можно более похожим на настоящий. Если существуют неправильные настройки, сделанные в среде, или клиентская политика не требует проверки законности сертификата сервера Radius, пользователи будут подключаться к вашей hostapd-wpe независимо от этого; но наличие почти идентичного сертификата может привлечь еще больше ничего не подозревающих жертв для вашего Evil Twin.

https://forum.antichat.xyz/attachmen...4011091556.png

Hostapd-WPE mschapv2 хэш-файл

Я использую hostapd-wpe из-за его гибкости по сравнению с использованием автономного hostapd. Hostapd-wpe, как я уже писал, является заменой FreeRADIUS-WPE и может выдавать себя за большее количество протоколов EAP, занимая меньше места, чем сам FreeRADIUS-WPE. Hostapd-wpe также сосуществует с патчем RADIUS а также с патчем PuNk1n.patch (тот же Lo0tBo0ty), позволяющим использовать KARMA Lo0tBo0ty.

Вооруженный учетными данными, я имел доступ к корпоративной беспроводной сети, а также к VPN компаний.

Цитата:

Идея остается прежней: поднять Evil Twin и перехватить данные. Маршрутизаторы и устройства, упомянутые ниже, позволяют проводить активное или скрытое тестирование.

Существует так много оберток (или варперов) для создания Evil Twins, которые используют hostapd wpe, что существует буквально обертки для чужих скриптов.

Rogue добавляет некоторые дополнительные функции и функциональность к eaphammer:

InfamousSYN/rogue
s0lst1c3/eaphammer

Среда для Docker:

When Whales Fly – Building a Wireless Pentest Environment using Docker

By @awhitehatter Docker has surged in popularity over the last couple of years and is not showing any signs of slowing down. In case you have been living in the bottom of the ocean and missi…

foxglovesecurity.com

Мощные фреймворки:

sensepost/mana

*DEPRECATED* mana toolkit for wifi rogue AP attacks and MitM - sensepost/mana

github.com

Специализированные маршрутизаторы:

Hostapd-wpe for OpenWrt Barrier Breaker

Raspberry Pi’s

Re4son-Kernel-current | Re4son

whitedome.com.au

Nethunter

https://forum.antichat.xyz/attachmen...4011271913.png

Мое любимое мобильное устройство для тестирования беспроводных сетей

2. Открытая и закрытая сеть Evil Twin.

Иногда мы перестаем атаковать EAP-TLS или сильный WPA2-PSK, и тогда переводим свое внимание, ориентируясь на незащищенных или устаревших клиентов беспроводных приложений. Клиентские устройства все еще посылают маячки для сетей. Когда речь заходит о проникновении в крупную и сложную корпорацию, можно обнаружить, что корпорация приняла правильные меры для того, чтобы EAP-TLS находилась на месте, а гостевая сеть - WPA2-PSK. Вы не сможете взломать рукопожатие WPA2 и восстановить ключевую фразу. Но что же делать? Мы сдадимся в машину и едем домой, нет... мы упорно продолжаем!

KARMA Open Network Evil Twinатаки.

KARMA - это набор инструментов для оценки безопасности беспроводных клиентов на нескольких уровнях. Беспроводные инструменты для снифинга обнаруживают клиентов и их предпочитаемые/надежные сети, пассивно прослушивая 802.11 Probe Request. Оттуда, отдельные клиенты могут стать жертвой, путем создания точки доступа Rogue AP (Rogue Acess Points, мошенические точки доступа) для одной из уже использованных сетей (к которой они могут присоединиться автоматически) или с помощью пользовательского драйвера, который отвечает на запросы для любого SSID. Фальшивые сервисы более высокого уровня могут затем захватывать учетные данные или использовать уязвимости клиентской стороны на хосте.

https://forum.antichat.xyz/attachmen...4011391576.png

Открываем KARMA Evil Twin .

Да, KARMA, все еще работает в 2018 году, и я успешно использовал hostapd-wpe с KARMA и Dynamic Host Configuration Protocol server ("DHCP") для подготовки беспроводной сети "Evil Twin", которая покажется жертвам в качестве знакомой им сети, с которо они были связаны.

“attwifi”сеть будет отвечать всем устройствам, которые запрашивают любуюоткрытую сеть, используя KARMA. Большинство пользователей не удаляют свою историю открытых сетей, к которым они подключены, что делает их идеальной мишенью для такого рода атак.

При правильном выполнении, мы должны впоследствии получить несколько клиентских соединений. Как только устройство подключается, ему присваивается IP-адрес и он подвергается атакам типа MitM на контролируемую экспертом сеть.

https://forum.antichat.xyz/attachmen...4011419189.png

Перехваченные хеши при помощи KARMA Open Evil Twin

3. Гостевые сети

Часто корпорации используют защищенные гостевые сети, для доступа к которым требуются временные учетные данные или парольная фраза WPA2-PSK. Эти гостевые сети предназначены для использования гостями, но часто используются сотрудниками. В зависимости от окружающей среды, ключ WPA2 может поставляться или даже сообщаться в лобби многих корпораций. Отказ от постоянной смены этих ключей позволяет легко успешно провести атаку Evil Twin.

https://forum.antichat.xyz/attachmen...4011450013.png

Страница портала регистрации Cisco

Существует две наиболее распространенные ошибки, реализованные в гостевых сетях, о которых я говорил:

a.)Проблемы с конфигурацией гостевой беспроводной сети

После подключения к беспроводной сети иногда можно обнаружить живые хосты в среде гостевой внутренней сети.

https://forum.antichat.xyz/attachmen...4011635668.png

Перечисление открытых портов хоста

https://forum.antichat.xyz/attachmen...4011697488.png
Включенная сеть Telnet в гостевой сети

b.) WPA-2 PSK Гость Злой Близнец Злой

Что если в гостевой сети включена изоляция клиентов? Иногда гостевая сеть использует WPA2 с предустановленным ключом. Изоляция клиентов включена, и атаки типа MitM не работают! Лично я дважды проверил это при помощи wireshark и bettercap, чтобы изоляция клиентов действительно выполняла свою работу.

Изоляция беспроводных клиентов - это функция безопасности, которая не позволяет беспроводным клиентам общаться друг с другом. Добавление уровня безопасности для ограничения атак и угроз между устройствами, подключенными к беспроводным сетям, полезна для гостевых и BYOD SSID.

Rogue, действительно выделяется здесь - это единственный скрипт, которые позволяют вам автоматически поддерживать WPA2-PSK Evil Twin Network в автоматическом режиме. Как только устройства подключены, изоляция клиентов, очевидно, не применяется в вашей сети. MITM уже можно провернуть, но будьте осторожны и ответственны, когда имеете дело с личными беспроводными endpoints.

https://forum.antichat.xyz/attachmen...4011753885.png

Evil Network - 10.”666".0/24.

Главный урок, который мы извлекли из этого - менять беспроводной ключ. Если теоретически я останусь в системе и вернусь через год, и мне не нужно будет проходить повторную аутентификацию, то вы делаете что-то не так. Многие сотрудники сохраняют эти гостевые сети в своей истории беспроводных сетей, и стандартным поведением большинства операционных систем и устройств является автоматическое подключение, когда они доступны.

4. Взлом WEP & WPA2-PSK

Wifite 2 является обновленным преемником печально известного python скрипта Wifite, который является инструментов для аудита беспроводных сетей.

Я использую Wifite для взлома сетей WEP (да, они все еще существует).

Полный список функций

Reaver Pixie-Dust атака(--pixie)
Reaver WPS PIN атака(--reaver)
Перехват WPA рукопожатий(--no-reaver)
Проверяет рукопожатия против pyrit, tshark, cowpatty, и aircrack-ng.
Различные WEP атаки (replay, chopchop, fragment и т.д.)
Поддержка 5 ГГц для беспроводных карт, поддерживающих частоту 5 ГГц (опция -5)
Хранит взломанные пароли и рукопожатия в текущем каталоге с метаданными о точке доступа (через --cracked).
Выявление скрытых точек доступа при фиксированном канале (опция -c ).
Предоставляет команды для взлома захваченных WPA рукопожатий (с помощью команды --crack).

Aircrack-ng - это набор инструментов с открытым исходным кодом для взлома WEP и WPA/WPA2-Personal ключей, который работает на Windows, Mac OS X, Linux и OpenBSD. Он также может быть загружен в виде образа VMware и Live CD. Вы можете перехватить пакеты данных, вводить и воспроизводить трафик, а также дешифровывать ключи шифрования после захвата достаточного количества пакетов.

Посмотрите мой предыдущий пост в блоге для получения дополнительной информации о работе Aircrack-ng и Kismet с новыми картами Alfa USB 3.0, которые поддерживают инъекции в 5 ГГц.

Если вы все же предпочитаете делать вещи в ручную, давайте перехватим рукопожатия инструментом aircrack-ng

Следуя приведенным ниже шагам, вы можете вручную захватить рукопожатие; сохранить их и попытаться восстановить ключевую фразу, используя словарь и GPU взломщик типа hashcat для перебора вероятных или возможных паролей.

Код:

Код:

# put your network device into monitor mode

Set interface down

$ sudo ip link set wlan0 downSet monitor mode

# iwconfig wlan0 mode monitorSet interface up

# ip link set wlan0 up# listen for all nearby beacon frames to get target BSSID and

# airodump-ng wlan0 --band abgSet 5 GHz channel

# iwconfig wlan0 channel 149Start listening for the handshake

# airodump-ng -c 149 --bssid P4:E4:E4:92:60:71 -w cap01.cap wlan0Optionally deauth a connected client to force a handshake

# aireplay-ng -D -0 2 -a 9C:5C:8E:C9:AB:C0 -c P4:E4:E4:92:60:71 wlan0Convert cap to hccapx

# root@kali:~# aircrack-ng -J file.cap capture.hccapCrack with hashcat:>hashcat.exe -m 2500 capture.hccapx rockyou.txt

5. Rogue AP

При обнаружении устройств во время оценки, чтобы получить захваты пакетов беспроводной сети и идентифицировать беспроводные сети в области; вы можете найти устройства, которые имеют непреднамеренный доступ к инфраструктуре компании.

Проходя мимо объектов при сканировании радиочастотных сигналов (RF) из беспроводных точек доступа (WAP), обычно описываемых как "ходьба в бою" (war-walking), вы можете определить потенциальные мошеннические точки доступа.

https://forum.antichat.xyz/attachmen...4012111978.png

Rogue AP, обеспечивающая доступ к корпоративной сети

Вышеуказанный маршрутизатор NETGEAR является примером несанкционированной точки доступа, которая была идентифицирована во время тестирования, но не была явно включена в список авторизованных точек/адресов доступа, то есть является мошеннической. Учетная запись администратора и доступ к веб-интерфейсу точки доступа использовали пароль по умолчанию. Используя основанный на словарях пароль, я смог войти в административный интерфейс маршрутизатора и управлять настройками конфигурации сетевого устройства.

Злоумышленники используют внешние сети для обхода фаерволов, которые обычно отслеживают сетевой трафик только на управляемых сетевых устройствах внутри сети. Кроме того, учитывая, что беспроводная сеть не шифрует данные во время передачи, злоумышленник может легко перехватить трафик и получить доступ к потенциально конфиденциальной информации.