maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/generic-methodologies-and-resources/pentesting-wifi/REA

Browse Source
This commit is contained in:
Translator 2025-07-13 18:13:24 +00:00
parent 569c1dce41
commit 0bf3f42e4d
3 changed files with 191 additions and 56 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

1
src/SUMMARY.md
View File

@ -25,6 +25,7 @@
- [Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks](generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)
- [Spoofing SSDP and UPnP Devices with EvilSSDP](generic-methodologies-and-resources/pentesting-network/spoofing-ssdp-and-upnp-devices.md)
- [Pentesting Wifi](generic-methodologies-and-resources/pentesting-wifi/README.md)
- [Enable Nexmon Monitor And Injection On Android](generic-methodologies-and-resources/pentesting-wifi/enable-nexmon-monitor-and-injection-on-android.md)
- [Evil Twin EAP-TLS](generic-methodologies-and-resources/pentesting-wifi/evil-twin-eap-tls.md)
- [Phishing Methodology](generic-methodologies-and-resources/phishing-methodology/README.md)
- [Clone a Website](generic-methodologies-and-resources/phishing-methodology/clone-a-website.md)

118
src/generic-methodologies-and-resources/pentesting-wifi/README.md
View File

@ -19,6 +19,12 @@ iwlist wlan0 scan #Scan available wifis
```
## Інструменти
### Hijacker & NexMon (внутрішній Wi-Fi Android)
{{#ref}}
enable-nexmon-monitor-and-injection-on-android.md
{{#endref}}
### EAPHammer
```
git clone https://github.com/s0lst1c3/eaphammer.git
@ -59,34 +65,34 @@ sudo python setup.py install # Install any dependencies
- Сканує можливі мережі - І дозволяє вам вибрати жертву(и)
- Якщо WEP - Запускає WEP атаки
- Якщо WPA-PSK
- Якщо WPS: атака Pixie dust та атака грубої сили (будьте обережні, атака грубої сили може зайняти багато часу). Зверніть увагу, що він не намагається використовувати нульовий PIN або PIN-коди з бази даних/згенеровані PIN-коди.
- Якщо WPS: атака Pixie dust та атака брутфорсом (будьте обережні, атака брутфорсом може зайняти багато часу). Зверніть увагу, що він не намагається використовувати нульовий PIN або PIN-коди з бази/згенеровані PIN-коди.
- Спробує захопити PMKID з AP для його зламу
- Спробує деаутентифікувати клієнтів AP, щоб захопити хендшейк
- Якщо PMKID або хендшейк, спробує зламати за допомогою 5000 найпоширеніших паролів.
- Якщо PMKID або хендшейк, спробує брутфорсити, використовуючи топ5000 паролів.
## Підсумок атак
- **DoS**
- Деаутентифікація/дезасоціація -- Відключити всіх (або конкретний ESSID/клієнт)
- Деаутентифікація/дезасоціація -- Відключити всіх (або конкретний ESSID/Клієнт)
- Випадкові фейкові AP -- Сховати мережі, можливий крах сканерів
- Перевантаження AP -- Спробувати вивести AP з ладу (зазвичай не дуже корисно)
- Перевантаження AP -- Спробувати вбити AP (зазвичай не дуже корисно)
- WIDS -- Грати з IDS
- TKIP, EAPOL -- Деякі специфічні атаки для DoS деяких AP
- **Злам**
- Зламати **WEP** (кілька інструментів і методів)
- **WPA-PSK**
- **WPS** PIN "Груба сила"
- **WPA PMKID** груба сила
- **WPS** PIN "Брутфорс"
- **WPA PMKID** брутфорс
- \[DoS +] **Захоплення WPA хендшейку** + Злам
- **WPA-MGT**
- **Захоплення імені користувача**
- **Груба сила** облікових даних
- **Злий близнюк**або без DoS)
- **Відкритий** Злий близнюк \[+ DoS] -- Корисно для захоплення облікових даних порталу захоплення та/або виконання атак в LAN
- **WPA-PSK** Злий близнюк -- Корисно для мережевих атак, якщо ви знаєте пароль
- **Брутфорс** облікових даних
- **Злий близнюк**DoS або без)
- **Відкритий** Злий близнюк \[+ DoS] -- Корисно для захоплення облікових даних порталу та/або виконання атак в LAN
- **WPA-PSK** Злий близнюк -- Корисно для атак на мережу, якщо ви знаєте пароль
- **WPA-MGT** -- Корисно для захоплення корпоративних облікових даних
- **KARMA, MANA**, **Гучний MANA**, **Відомий маяк**
- **+ Відкритий** -- Корисно для захоплення облікових даних порталу захоплення та/або виконання атак в LAN
- **+ Відкритий** -- Корисно для захоплення облікових даних порталу та/або виконання атак в LAN
- **+ WPA** -- Корисно для захоплення WPA хендшейків
## DOS
@ -95,7 +101,7 @@ sudo python setup.py install # Install any dependencies
**Опис з** [**тут**:](https://null-byte.wonderhowto.com/how-to/use-mdk3-for-advanced-wi-fi-jamming-0185832/)**.**
**Деаутентифікаційні** атаки, поширений метод у Wi-Fi хакінгу, включають підробку "управлінських" кадрів для **примусового відключення пристроїв від мережі**. Ці незашифровані пакети обманюють клієнтів, змушуючи їх вірити, що вони з легітимної мережі, що дозволяє зловмисникам збирати WPA хендшейки для цілей зламу або постійно порушувати мережеві з'єднання. Ця тактика, тривожна у своїй простоті, широко використовується і має значні наслідки для безпеки мережі.
**Деаутентифікаційні** атаки, поширений метод у Wi-Fi хакінгу, включають підробку "управлінських" кадрів, щоб **примусово відключити пристрої від мережі**. Ці незашифровані пакети обманюють клієнтів, змушуючи їх вірити, що вони з легітимної мережі, що дозволяє зловмисникам збирати WPA хендшейки для цілей зламу або постійно порушувати мережеві з'єднання. Ця тактика, тривожна у своїй простоті, широко використовується і має значні наслідки для безпеки мережі.
**Деаутентифікація за допомогою Aireplay-ng**
```
@ -122,7 +128,7 @@ mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F
```
### **Більше DOS атак за допомогою mdk4**
**В** [**цьому місці**](https://en.kali.tools/?p=864)**.**
**В** [**тут**](https://en.kali.tools/?p=864)**.**
**РЕЖИМ АТАКИ b: Затоплення маяками**
@ -146,7 +152,7 @@ mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m
```
**ATTACK MODE p: SSID Probing and Bruteforcing**
Probing Access Points (APs) перевіряє, чи SSID правильно розкритий, і підтверджує діапазон AP. Ця техніка, в поєднанні з **bruteforcing hidden SSIDs** з або без словника, допомагає в ідентифікації та доступі до прихованих мереж.
Пр probing Access Points (APs) перевіряє, чи SSID правильно розкритий, і підтверджує діапазон AP. Ця техніка, в поєднанні з **bruteforcing hidden SSIDs** з або без списку слів, допомагає в ідентифікації та доступі до прихованих мереж.
**ATTACK MODE m: Michael Countermeasures Exploitation**
@ -186,16 +192,16 @@ _**Airgeddon**_ пропонує більшість атак, запропоно
## WPS
WPS (Wi-Fi Protected Setup) спрощує процес підключення пристроїв до маршрутизатора, покращуючи швидкість налаштування та зручність для мереж, зашифрованих за допомогою **WPA** або **WPA2** Personal. Він неефективний для легко скомпрометованої безпеки WEP. WPS використовує 8-значний PIN-код, який перевіряється на дві половини, що робить його вразливим до атак методом перебору через обмежену кількість комбінацій (11,000 можливостей).
WPS (Wi-Fi Protected Setup) спрощує процес підключення пристроїв до маршрутизатора, підвищуючи швидкість налаштування та зручність для мереж, зашифрованих за допомогою **WPA** або **WPA2** Personal. Він неефективний для легко скомпрометованої безпеки WEP. WPS використовує 8-значний PIN-код, який перевіряється на дві половини, що робить його вразливим до атак методом перебору через обмежену кількість комбінацій (11,000 можливостей).
### WPS Bruteforce
Існує 2 основні інструменти для виконання цієї дії: Reaver та Bully.
- **Reaver** був розроблений як надійна та практична атака проти WPS і був протестований на великій кількості точок доступу та реалізацій WPS.
- **Bully** є **новою реалізацією** атаки методом перебору WPS, написаною на C. Він має кілька переваг над оригінальним кодом reaver: менше залежностей, покращена продуктивність пам'яті та процесора, правильне оброблення порядку байтів та більш надійний набір опцій.
- **Bully** є **новою реалізацією** атаки методом перебору WPS, написаною на C. Він має кілька переваг над оригінальним кодом reaver: менше залежностей, покращена пам'ять та продуктивність процесора, правильне оброблення порядку байтів та більш надійний набір опцій.
Атака експлуатує **вразливість WPS PIN**, зокрема його відкритість перших чотирьох цифр та роль останньої цифри як контрольної суми, що полегшує атаку методом перебору. Однак захист від атак методом перебору, такі як **блокування MAC-адрес** агресивних атакуючих, вимагає **ротації MAC-адрес**, щоб продовжити атаку.
Атака експлуатує **вразливість WPS PIN**, зокрема його відкритість перших чотирьох цифр та роль останньої цифри як контрольної суми, що полегшує атаку методом перебору. Однак захист від атак методом перебору, такі як **блокування MAC-адрес** агресивних атакуючих, вимагає **ротації MAC-адрес** для продовження атаки.
Отримавши WPS PIN за допомогою інструментів, таких як Bully або Reaver, атакуючий може вивести WPA/WPA2 PSK, забезпечуючи **постійний доступ до мережі**.
```bash
@ -207,11 +213,11 @@ bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3
Цей вдосконалений підхід націлений на WPS PIN, використовуючи відомі вразливості:
1. **Попередньо виявлені PIN-коди**: Використовуйте базу даних відомих PIN-кодів, пов'язаних з конкретними виробниками, які відомі використанням однакових WPS PIN-кодів. Ця база даних корелює перші три октети MAC-адрес з ймовірними PIN-кодами для цих виробників.
2. **Алгоритми генерації PIN-кодів**: Використовуйте алгоритми, такі як ComputePIN та EasyBox, які обчислюють WPS PIN-коди на основі MAC-адреси AP. Алгоритм Arcadyan додатково вимагає ідентифікатор пристрою, що додає додатковий рівень до процесу генерації PIN-коду.
2. **Алгоритми генерації PIN-кодів**: Використовуйте алгоритми, такі як ComputePIN та EasyBox, які обчислюють WPS PIN-коди на основі MAC-адреси AP. Алгоритм Arcadyan додатково вимагає ідентифікатор пристрою, що додає рівень до процесу генерації PIN-коду.
### Атака WPS Pixie Dust
**Домінік Бонгард** виявив недолік у деяких точках доступу (AP) щодо створення секретних кодів, відомих як **nonce** (**E-S1** та **E-S2**). Якщо ці nonce можна вгадати, зламати WPS PIN AP стає легко. AP розкриває PIN у спеціальному коді (хеші), щоб довести, що він легітимний, а не фальшивий (незаконний) AP. Ці nonce по суті є "ключами" для відкриття "сейфа", що містить WPS PIN. Більше про це можна знайти [тут](<https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-(Offline-WPS-Attack)>).
**Домінік Бонгард** виявив недолік у деяких точках доступу (AP) щодо створення секретних кодів, відомих як **nonce** (**E-S1** та **E-S2**). Якщо ці nonce можна вгадати, зламати WPS PIN AP стає легко. AP розкриває PIN у спеціальному коді (хеш), щоб довести, що він легітимний, а не підроблений (недобросовісний) AP. Ці nonce по суті є "ключами" для відкриття "сейфа", що містить WPS PIN. Більше про це можна знайти [тут](<https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-(Offline-WPS-Attack)>).
Простими словами, проблема в тому, що деякі AP не використовували достатньо випадкові ключі для шифрування PIN-коду під час процесу підключення. Це робить PIN вразливим до вгадування ззовні мережі (офлайн брутфорс атака).
```bash
@ -242,7 +248,7 @@ reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''
## **WEP**
Так зламаний і не використовується в наші дні. Просто знайте, що _**airgeddon**_ має опцію WEP під назвою "All-in-One" для атаки на цей вид захисту. Багато інструментів пропонують подібні опції.
Так зламано і не використовується в наші дні. Просто знайте, що _**airgeddon**_ має опцію WEP під назвою "All-in-One" для атаки на цей вид захисту. Багато інструментів пропонують подібні опції.
![](<../../images/image (432).png>)
@ -254,7 +260,7 @@ reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''
### PMKID
У 2018 році **hashcat** [виявив](https://hashcat.net/forum/thread-7717.html) новий метод атаки, унікальний тим, що йому потрібен **лише один пакет** і не вимагає, щоб будь-які клієнти були підключені до цільової AP — лише взаємодія між атакуючим і AP.
У 2018 році **hashcat** [виявив](https://hashcat.net/forum/thread-7717.html) новий метод атаки, унікальний тим, що йому потрібен **лише один пакет** і не вимагає, щоб клієнти були підключені до цільової AP — лише взаємодія між атакуючим і AP.
Багато сучасних маршрутизаторів додають **додаткове поле** до **першого EAPOL** кадру під час асоціації, відоме як `Robust Security Network`. Це включає `PMKID`.
@ -308,7 +314,7 @@ airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pca
```bash
aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, may not work in all scenarios
```
_Зверніть увагу, що оскільки клієнт був деаутентифікований, він може спробувати підключитися до іншої AP або, в інших випадках, до іншої мережі._
_Зверніть увагу, що оскільки клієнт був деаутентифікований, він міг спробувати підключитися до іншої AP або, в інших випадках, до іншої мережі._
Як тільки в `airodump-ng` з'являється деяка інформація про хендшейк, це означає, що хендшейк був захоплений, і ви можете зупинити прослуховування:
@ -362,34 +368,34 @@ pyrit -r psk-01.cap analyze
### Захоплення імені користувача
Читаючи [https://tools.ietf.org/html/rfc3748#page-27](https://tools.ietf.org/html/rfc3748#page-27), виглядає так, що якщо ви використовуєте **EAP**, то **"Identity"** **повідомлення** повинні бути **підтримувані**, і **ім'я користувача** буде надіслано у **відкритому** вигляді в **"Response Identity"** повідомленнях.
Читаючи [https://tools.ietf.org/html/rfc3748#page-27](https://tools.ietf.org/html/rfc3748#page-27), виглядає так, що якщо ви використовуєте **EAP**, то **"Identity"** **повідомлення** повинні бути **підтримані**, і **ім'я користувача** буде надіслано у **відкритому** вигляді в **"Response Identity"** повідомленнях.
Навіть використовуючи один з найбільш безпечних методів автентифікації: **PEAP-EAP-TLS**, можливо **захопити ім'я користувача, надіслане в протоколі EAP**. Для цього **захопіть автентифікаційне спілкування** (запустіть `airodump-ng` всередині каналу та `wireshark` на тому ж інтерфейсі) і фільтруйте пакети за `eapol`.\
Навіть використовуючи один з найбільш безпечних методів автентифікації: **PEAP-EAP-TLS**, можливо **захопити ім'я користувача, надіслане в протоколі EAP**. Для цього **захопіть автентифікаційне спілкування** (запустіть `airodump-ng` на каналі та `wireshark` на тому ж інтерфейсі) і відфільтруйте пакети за `eapol`.\
У пакеті "**Response, Identity**" з'явиться **ім'я користувача** клієнта.
![](<../../images/image (850).png>)
### Анонімні ідентичності
Приховування ідентичності підтримується як EAP-PEAP, так і EAP-TTLS. У контексті WiFi мережі запит EAP-Identity зазвичай ініціюється точкою доступу (AP) під час процесу асоціації. Щоб забезпечити захист анонімності користувача, відповідь від EAP клієнта на пристрої користувача містить лише основну інформацію, необхідну для початкового RADIUS сервера для обробки запиту. Ця концепція ілюструється через наступні сценарії:
Приховування ідентичності підтримується як EAP-PEAP, так і EAP-TTLS. У контексті WiFi мережі запит EAP-Identity зазвичай ініціюється точкою доступу (AP) під час процесу асоціації. Щоб забезпечити захист анонімності користувача, відповідь від EAP клієнта на пристрої користувача містить лише необхідну інформацію, потрібну для початкового RADIUS сервера для обробки запиту. Ця концепція ілюструється через наступні сценарії:
- EAP-Identity = анонімний
- У цьому сценарії всі користувачі використовують псевдонім "анонімний" як свій ідентифікатор. Початковий RADIUS сервер функціонує як EAP-PEAP або EAP-TTLS сервер, відповідальний за управління серверною стороною протоколу PEAP або TTLS. Внутрішній (захищений) метод автентифікації потім обробляється локально або делегується віддаленому (домашньому) RADIUS серверу.
- EAP-Identity = анонімний@realm_x
- У цій ситуації користувачі з різних доменів приховують свої ідентичності, вказуючи свої відповідні домени. Це дозволяє початковому RADIUS серверу проксувати запити EAP-PEAP або EAP-TTLS до RADIUS серверів у їхніх домашніх доменах, які діють як сервери PEAP або TTLS. Початковий RADIUS сервер функціонує виключно як RADIUS релейний вузол.
- EAP-Identity = anonymous
- У цьому сценарії всі користувачі використовують псевдонім "anonymous" як свій ідентифікатор. Початковий RADIUS сервер функціонує як EAP-PEAP або EAP-TTLS сервер, відповідальний за управління серверною стороною протоколу PEAP або TTLS. Внутрішній (захищений) метод автентифікації потім обробляється локально або делегується віддаленому (домашньому) RADIUS серверу.
- EAP-Identity = anonymous@realm_x
- У цій ситуації користувачі з різних доменів приховують свої ідентичності, вказуючи свої відповідні домени. Це дозволяє початковому RADIUS серверу проксувати запити EAP-PEAP або EAP-TTLS до RADIUS серверів у їхніх домашніх доменах, які діють як сервери PEAP або TTLS. Початковий RADIUS сервер працює виключно як RADIUS релейний вузол.
- Альтернативно, початковий RADIUS сервер може функціонувати як EAP-PEAP або EAP-TTLS сервер і або обробляти захищений метод автентифікації, або пересилати його на інший сервер. Цей варіант полегшує налаштування різних політик для різних доменів.
У EAP-PEAP, як тільки TLS тунель встановлено між PEAP сервером і PEAP клієнтом, PEAP сервер ініціює запит EAP-Identity і передає його через TLS тунель. Клієнт відповідає на цей другий запит EAP-Identity, надсилаючи відповідь EAP-Identity, що містить справжню ідентичність користувача через зашифрований тунель. Цей підхід ефективно запобігає розкриттю справжньої ідентичності користувача будь-кому, хто підслуховує трафік 802.11.
EAP-TTLS слідує трохи іншій процедурі. З EAP-TTLS клієнт зазвичай автентифікується за допомогою PAP або CHAP, захищених TLS тунелем. У цьому випадку клієнт включає атрибут User-Name і або атрибут Password, або атрибут CHAP-Password у початкове TLS повідомлення, надіслане після встановлення тунелю.
Незалежно від вибраного протоколу, сервер PEAP/TTLS отримує знання про справжню ідентичність користувача після встановлення TLS тунелю. Справжня ідентичність може бути представлена як user@realm або просто user. Якщо сервер PEAP/TTLS також відповідає за автентифікацію користувача, він тепер має ідентичність користувача і продовжує з методом автентифікації, захищеним TLS тунелем. Альтернативно, сервер PEAP/TTLS може переслати новий RADIUS запит на домашній RADIUS сервер користувача. Цей новий RADIUS запит не містить шару протоколу PEAP або TTLS. У випадках, коли захищений метод автентифікації є EAP, внутрішні EAP повідомлення передаються на домашній RADIUS сервер без обгортки EAP-PEAP або EAP-TTLS. Атрибут User-Name вихідного RADIUS повідомлення містить справжню ідентичність користувача, замінюючи анонімне User-Name з вхідного RADIUS запиту. Коли захищений метод автентифікації є PAP або CHAP (підтримується лише TTLS), атрибут User-Name та інші атрибути автентифікації, витягнуті з TLS корисного навантаження, замінюються у вихідному RADIUS повідомленні, витісняючи анонімний User-Name та атрибути TTLS EAP-Message, знайдені у вхідному RADIUS запиті.
Незалежно від вибраного протоколу, сервер PEAP/TTLS отримує знання про справжню ідентичність користувача після встановлення TLS тунелю. Справжня ідентичність може бути представлена як user@realm або просто user. Якщо сервер PEAP/TTLS також відповідає за автентифікацію користувача, він тепер має ідентичність користувача і продовжує з методом автентифікації, захищеним TLS тунелем. Альтернативно, сервер PEAP/TTLS може переслати новий RADIUS запит на домашній RADIUS сервер користувача. Цей новий RADIUS запит не містить шару протоколу PEAP або TTLS. У випадках, коли захищений метод автентифікації є EAP, внутрішні EAP повідомлення передаються на домашній RADIUS сервер без обгортки EAP-PEAP або EAP-TTLS. Атрибут User-Name вихідного RADIUS повідомлення містить справжню ідентичність користувача, замінюючи анонімне ім'я користувача з вхідного RADIUS запиту. Коли захищений метод автентифікації є PAP або CHAP (підтримується лише TTLS), атрибут User-Name та інші атрибути автентифікації, витягнуті з TLS корисного навантаження, замінюються у вихідному RADIUS повідомленні, витісняючи анонімне ім'я користувача та атрибути TTLS EAP-Message, знайдені у вхідному RADIUS запиті.
Для отримання додаткової інформації перевірте [https://www.interlinknetworks.com/app_notes/eap-peap.htm](https://www.interlinknetworks.com/app_notes/eap-peap.htm)
Для отримання додаткової інформації перегляньте [https://www.interlinknetworks.com/app_notes/eap-peap.htm](https://www.interlinknetworks.com/app_notes/eap-peap.htm)
### EAP-Bruteforce (password spray)
Якщо очікується, що клієнт використовуватиме **ім'я користувача та пароль** (зверніть увагу, що **EAP-TLS не буде дійсним** у цьому випадку), тоді ви можете спробувати отримати **список** **імен користувачів** (див. наступну частину) та **паролів** і спробувати **зламати** доступ, використовуючи [**air-hammer**](https://github.com/Wh1t3Rh1n0/air-hammer)**.**
Якщо очікується, що клієнт використовуватиме **ім'я користувача та пароль** (зверніть увагу, що **EAP-TLS не буде дійсним** у цьому випадку), ви можете спробувати отримати **список** **імен користувачів** (див. наступну частину) та **паролів** і спробувати **зламати** доступ, використовуючи [**air-hammer**](https://github.com/Wh1t3Rh1n0/air-hammer)**.**
```bash
./air-hammer.py -i wlan0 -e Test-Network -P UserPassword1 -u usernames.txt
```
@ -430,7 +436,7 @@ EAP-TTLS слідує трохи іншій процедурі. З EAP-TTLS кл
Перед тим, як пояснити, як виконувати більш складні атаки, буде пояснено **як** просто **створити** **AP** і **перенаправити** його **трафік** на інтерфейс, підключений **до** **Інтернету**.
Використовуючи `ifconfig -a`, перевірте, що інтерфейс wlan для створення AP та інтерфейс, підключений до Інтернету, присутні.
Використовуючи `ifconfig -a`, перевірте, що wlan інтерфейс для створення AP та інтерфейс, підключений до Інтернету, присутні.
### DHCP & DNS
```bash
@ -496,11 +502,11 @@ echo 1 > /proc/sys/net/ipv4/ip_forward
Атака "злий близнюк" використовує спосіб, яким клієнти WiFi розпізнають мережі, в основному покладаючись на ім'я мережі (ESSID) без вимоги до базової станції (точки доступу) автентифікувати себе для клієнта. Ключові моменти включають:
- **Складність у розрізненні**: Пристрої мають труднощі у відрізненні легітимних і підроблених точок доступу, коли вони мають однаковий ESSID і тип шифрування. У реальних мережах часто використовують кілька точок доступу з однаковим ESSID для безшовного розширення покриття.
- **Переміщення клієнтів і маніпуляція з'єднанням**: Протокол 802.11 дозволяє пристроям переміщатися між точками доступу в межах одного ESS. Зловмисники можуть скористатися цим, заманюючи пристрій відключитися від його поточної базової станції та підключитися до підробленої. Це можна досягти, запропонувавши сильніший сигнал або порушивши з'єднання з легітимною точкою доступу за допомогою методів, таких як пакети деавтентифікації або джемінг.
- **Виклики в реалізації**: Успішне виконання атаки "злий близнюк" в умовах з кількома, добре розташованими точками доступу може бути складним. Деавтентифікація однієї легітимної точки доступу часто призводить до того, що пристрій підключається до іншої легітимної точки доступу, якщо зловмисник не може деавтентифікувати всі сусідні точки доступу або стратегічно розмістити підроблену точку доступу.
- **Складність у розрізненні**: Пристрої мають труднощі у відрізненні легітимних і зловмисних точок доступу, коли вони мають однаковий ESSID і тип шифрування. Реальні мережі часто використовують кілька точок доступу з однаковим ESSID для безшовного розширення покриття.
- **Переміщення клієнтів і маніпуляція з'єднанням**: Протокол 802.11 дозволяє пристроям переміщатися між точками доступу в межах одного ESS. Зловмисники можуть скористатися цим, заманюючи пристрій відключитися від його поточної базової станції та підключитися до зловмисної. Це можна досягти, запропонувавши сильніший сигнал або порушивши з'єднання з легітимною точкою доступу за допомогою методів, таких як пакети деавтентифікації або джемінг.
- **Виклики в реалізації**: Успішне виконання атаки "злий близнюк" в середовищах з кількома, добре розташованими точками доступу може бути складним. Деавтентифікація однієї легітимної точки доступу часто призводить до того, що пристрій підключається до іншої легітимної точки доступу, якщо зловмисник не може деавтентифікувати всі сусідні точки доступу або стратегічно розмістити зловмисну точку доступу.
You can create a very basic Open Evil Twin (no capabilities to route traffic to Internet) doing:
Ви можете створити дуже базовий Open Evil Twin (без можливостей маршрутизації трафіку в Інтернет) роблячи:
```bash
airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon
```
@ -512,13 +518,13 @@ airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon
![](<../../images/image (1088).png>)
Зверніть увагу, що за замовчуванням, якщо ESSID у PNL збережено як захищений WPA, пристрій не підключиться автоматично до відкритого evil Twin. Ви можете спробувати DoS реальний AP і сподіватися, що користувач підключиться вручну до вашого відкритого evil twin, або ви можете DoS реальний AP і використовувати WPA Evil Twin для захоплення хендшейку (використовуючи цей метод, ви не зможете дозволити жертві підключитися до вас, оскільки не знаєте PSK, але ви можете захопити хендшейк і спробувати його зламати).
Зверніть увагу, що за замовчуванням, якщо ESSID у PNL збережено як захищений WPA, пристрій не підключиться автоматично до відкритого evil Twin. Ви можете спробувати DoS реальний AP і сподіватися, що користувач підключиться вручну до вашого відкритого evil twin, або ви можете DoS реальний AP і використовувати WPA Evil Twin для захоплення хендшейку (використовуючи цей метод, ви не зможете дозволити жертві підключитися до вас, оскільки не знаєте PSK, але можете захопити хендшейк і спробувати його зламати).
еякі ОС та AV попередять користувача, що підключення до відкритої мережі є небезпечним..._
еякі ОС та AV попередять користувача, що підключення до відкритої мережі небезпечне..._
### WPA/WPA2 Evil Twin
Ви можете створити **Evil Twin, використовуючи WPA/2**, і якщо пристрої налаштовані на підключення до цього SSID з WPA/2, вони спробують підключитися. У будь-якому випадку, **для завершення 4-way-handshake** вам також потрібно **знати** **пароль**, який клієнт збирається використовувати. Якщо ви **не знаєте** його, **підключення не буде завершено**.
Ви можете створити **Evil Twin, використовуючи WPA/2**, і якщо пристрої налаштовані на підключення до цього SSID з WPA/2, вони спробують підключитися. У будь-якому випадку, **для завершення 4-way-handshake** вам також потрібно **знати** **пароль**, який клієнт буде використовувати. Якщо ви **не знаєте** його, **підключення не буде завершено**.
```bash
./eaphammer -i wlan0 -e exampleCorp -c 11 --creds --auth wpa-psk --wpa-passphrase "mywifipassword"
```
@ -535,7 +541,7 @@ hostapd-wpe ./victim/victim.conf -s
```
У файлі конфігурації ви можете вибрати багато різних параметрів, таких як ssid, канал, файли користувачів, cret/key, dh параметри, версія wpa та автентифікація...
[**Використання hostapd-wpe з EAP-TLS для дозволу входу з будь-яким сертифікатом.**](evil-twin-eap-tls.md)
[**Використання hostapd-wpe з EAP-TLS для дозволу будь-якого сертифіката для входу.**](evil-twin-eap-tls.md)
**Використання EAPHammer**
```bash
@ -566,7 +572,7 @@ GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5
![](<../../images/image (936).png>)
### Налагодження тунелів PEAP та EAP-TTLS TLS в атаках Evil Twins
### Налагодження тунелів TLS PEAP та EAP-TTLS в атаках Evil Twins
ей метод був протестований у з'єднанні PEAP, але оскільки я розшифровую довільний TLS тунель, це також повинно працювати з EAP-TTLS_
@ -577,7 +583,7 @@ _Цей метод був протестований у з'єднанні PEAP,
Тепер або пізніше (коли ви вже захопили деякі спроби автентифікації) ви можете додати приватний RSA ключ до wireshark у: `Edit --> Preferences --> Protocols --> TLS --> (RSA keys list) Edit...`
Додайте новий запис і заповніть форму цими значеннями: **IP адреса = будь-яка** -- **Порт = 0** -- **Протокол = data** -- **Key File** (**виберіть ваш файл ключа**, щоб уникнути проблем, виберіть файл ключа **без захисту паролем**).
Додайте новий запис і заповніть форму цими значеннями: **IP адреса = будь-яка** -- **Порт = 0** -- **Протокол = data** -- **Файл ключа** (**виберіть ваш файл ключа**, щоб уникнути проблем, виберіть файл ключа **без захисту паролем**).
![](<../../images/image (687).png>)
@ -591,14 +597,14 @@ _Цей метод був протестований у з'єднанні PEAP,
Різні типи списків фільтрації доступу до медіа (MFACLs) та їх відповідні режими та ефекти на поведінку зловмисної точки доступу (AP):
1. **Список білих MAC-адрес**:
- Зловмисна AP відповідатиме лише на запити проби від пристроїв, зазначених у білому списку, залишаючись невидимою для всіх інших, хто не вказаний.
2. **Список чорних MAC-адрес**:
- Зловмисна AP ігноруватиме запити проби від пристроїв у чорному списку, ефективно роблячи зловмисну AP невидимою для цих конкретних пристроїв.
3. **Список білих SSID**:
- Зловмисна AP відповідатиме на запити проби лише для конкретних ESSID, зазначених у списку, роблячи її невидимою для пристроїв, чиї списки переважних мереж (PNL) не містять цих ESSID.
4. **Список чорних SSID**:
- Зловмисна AP не відповідатиме на запити проби для конкретних ESSID у чорному списку, роблячи її невидимою для пристроїв, які шукають ці конкретні мережі.
1. **Чорний список на основі MAC**:
- Зловмисна AP буде відповідати лише на запити проби від пристроїв, зазначених у білому списку, залишаючись невидимою для всіх інших, хто не вказаний.
2. **Чорний список на основі MAC**:
- Зловмисна AP буде ігнорувати запити проби від пристроїв у чорному списку, ефективно роблячи зловмисну AP невидимою для цих конкретних пристроїв.
3. **Чорний список на основі SSID**:
- Зловмисна AP буде відповідати на запити проби лише для конкретних ESSID, зазначених у білому списку, роблячи її невидимою для пристроїв, чиї списки переважних мереж (PNL) не містять цих ESSID.
4. **Чорний список на основі SSID**:
- Зловмисна AP не буде відповідати на запити проби для конкретних ESSID у чорному списку, роблячи її невидимою для пристроїв, які шукають ці конкретні мережі.
```bash
# example EAPHammer MFACL file, wildcards can be used
09:6a:06:c8:36:af
@ -632,13 +638,13 @@ name3
```
### Loud MANA
А **Loud MANA атака** є просунутою стратегією для випадків, коли пристрої не використовують спрямоване опитування або коли їхні Списки Улюблених Мереж (PNL) невідомі атакуючому. Вона працює на принципі, що **пристрої в одній і тій же області, ймовірно, ділять деякі імена мереж у своїх PNL**. Замість того, щоб відповідати вибірково, ця атака транслює відповіді на запити для кожного імені мережі (ESSID), знайденого в об'єднаних PNL усіх спостережуваних пристроїв. Цей широкий підхід збільшує шанси на те, що пристрій розпізнає знайому мережу і спробує підключитися до зловмисної Точки Доступу (AP).
А **Loud MANA атака** є просунутою стратегією для випадків, коли пристрої не використовують спрямоване опитування або коли їхні Списки Улюблених Мереж (PNL) невідомі атакуючому. Вона працює на принципі, що **пристрої в одній і тій же області, ймовірно, ділять деякі імена мереж у своїх PNL**. Замість того, щоб відповідати вибірково, ця атака транслює відповіді на запити для кожного імені мережі (ESSID), знайденого в об'єднаних PNL усіх спостережуваних пристроїв. Цей широкий підхід збільшує шанси на те, що пристрій розпізнає знайому мережу і намагається підключитися до зловмисної Точки Доступу (AP).
```bash
./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]
```
### Known Beacon attack
Коли **Loud MANA attack** може бути недостатнім, **Known Beacon attack** пропонує інший підхід. Цей метод **брутфорсить процес підключення, імітуючи AP, який відповідає на будь-яке ім'я мережі, перебираючи список потенційних ESSID, отриманих з словника**. Це імітує наявність численних мереж, сподіваючись знайти ESSID у PNL жертви, що спонукає до спроби підключення до сфабрикованого AP. Атаку можна посилити, поєднуючи її з опцією `--loud` для більш агресивної спроби захоплення пристроїв.
Коли **Loud MANA attack** може бути недостатнім, **Known Beacon attack** пропонує інший підхід. Цей метод **брутфорсить процес підключення, імітуючи AP, який відповідає на будь-яку назву мережі, перебираючи список потенційних ESSID, отриманих з wordlist**. Це імітує наявність численних мереж, сподіваючись знайти ESSID у PNL жертви, що спонукає до спроби підключення до сфабрикованого AP. Атаку можна посилити, поєднавши її з опцією `--loud` для більш агресивної спроби захопити пристрої.
Eaphammer реалізував цю атаку як MANA attack, де всі ESSID у списку активуються (ви також можете поєднати це з `--loud`, щоб створити Loud MANA + Known beacons attack):
```bash
@ -646,7 +652,7 @@ Eaphammer реалізував цю атаку як MANA attack, де всі ESS
```
**Відома атака Beacon Burst**
Атака **Відома атака Beacon Burst** передбачає **швидке транслювання кадрів маяків для кожного ESSID, вказаного у файлі**. Це створює щільне середовище фальшивих мереж, значно підвищуючи ймовірність підключення пристроїв до зловмисної AP, особливо в поєднанні з атакою MANA. Ця техніка використовує швидкість і обсяг, щоб перевантажити механізми вибору мережі пристроїв.
Атака **Відома Beacon Burst** передбачає **швидке транслювання кадрів маяків для кожного ESSID, вказаного у файлі**. Це створює щільне середовище фальшивих мереж, значно підвищуючи ймовірність підключення пристроїв до зловмисної AP, особливо в поєднанні з атакою MANA. Ця техніка використовує швидкість і обсяг, щоб перевантажити механізми вибору мережі пристроїв.
```bash
# transmit a burst of 5 forged beacon packets for each entry in list
./forge-beacons -i wlan1 \
@ -659,7 +665,7 @@ Eaphammer реалізував цю атаку як MANA attack, де всі ESS
**Wi-Fi Direct** - це протокол, який дозволяє пристроям з'єднуватися безпосередньо один з одним за допомогою Wi-Fi без необхідності в традиційній бездротовій точці доступу. Ця можливість інтегрована в різні пристрої Інтернету речей (IoT), такі як принтери та телевізори, що полегшує безпосередню комунікацію між пристроями. Помітною особливістю Wi-Fi Direct є те, що один пристрій виконує роль точки доступу, відомої як власник групи, для управління з'єднанням.
Безпека з'єднань Wi-Fi Direct забезпечується через **Wi-Fi Protected Setup (WPS)**, який підтримує кілька методів для безпечного спарювання, включаючи:
Безпека для з'єднань Wi-Fi Direct забезпечується через **Wi-Fi Protected Setup (WPS)**, який підтримує кілька методів для безпечного спарювання, включаючи:
- **Push-Button Configuration (PBC)**
- **Введення PIN-коду**
@ -684,6 +690,6 @@ Eaphammer реалізував цю атаку як MANA attack, де всі ESS
- [https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-(Offline-WPS-Attack)](<https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-(Offline-WPS-Attack)>)
- [https://www.evilsocket.net/2019/02/13/Pwning-WiFi-networks-with-bettercap-and-the-PMKID-client-less-attack/](https://www.evilsocket.net/2019/02/13/Pwning-WiFi-networks-with-bettercap-and-the-PMKID-client-less-attack/)
TODO: Ознайомтеся з [https://github.com/wifiphisher/wifiphisher](https://github.com/wifiphisher/wifiphisher) (вхід через Facebook та імітація WPA в каптивних порталах)
TODO: Ознайомтеся з [https://github.com/wifiphisher/wifiphisher](https://github.com/wifiphisher/wifiphisher) (вхід через facebook та імітація WPA в каптивних порталах)
{{#include ../../banners/hacktricks-training.md}}

128
src/generic-methodologies-and-resources/pentesting-wifi/enable-nexmon-monitor-and-injection-on-android.md Normal file
View File

@ -0,0 +1,128 @@
# Увімкнення режиму моніторингу NexMon та ін'єкції пакетів на Android (чіпи Broadcom)
{{#include ../../banners/hacktricks-training.md}}
## Огляд
Більшість сучасних телефонів Android оснащені чіпсетом Wi-Fi Broadcom/Cypress, який постачається без можливостей режиму моніторингу 802.11 або ін'єкції кадрів. Відкритий фреймворк NexMon патчує власне ПЗ, щоб додати ці функції та надає їх через спільну бібліотеку (`libnexmon.so`) та CLI допоміжний засіб (`nexutil`). Завантажуючи цю бібліотеку в стандартний драйвер Wi-Fi, пристрій з root-доступом може захоплювати сирий трафік 802.11 та ін'єктувати довільні кадри усуваючи необхідність у зовнішньому USB-адаптері.
Ця сторінка документує швидкий робочий процес, який використовує повністю патчений Samsung Galaxy S10 (BCM4375B1) як приклад, використовуючи:
* Модуль NexMon Magisk, що містить патчений прошивку + `libnexmon.so`
* Додаток Hijacker для автоматизації перемикання режиму моніторингу
* Додатковий Kali NetHunter chroot для запуску класичних бездротових інструментів (aircrack-ng, wifite, mdk4 …) безпосередньо проти внутрішнього інтерфейсу
Та ж техніка застосовується до будь-якого телефону, для якого доступний публічний патч NexMon (Pixel 1, Nexus 6P, Galaxy S7/S8 тощо).
---
## Передумови
* Android телефон з підтримуваним чіпсетом Broadcom/Cypress (наприклад, BCM4358/59/43596/4375B1)
* Root з Magisk ≥ 24
* BusyBox (більшість ROM/NetHunter вже включають його)
* NexMon Magisk ZIP або самостійно скомпільований патч, що надає:
* `/system/lib*/libnexmon.so`
* `/system/xbin/nexutil`
* Hijacker ≥ 1.7 (arm/arm64) https://github.com/chrisk44/Hijacker
* (Додатково) Kali NetHunter або будь-який Linux chroot, де ви плануєте запускати бездротові інструменти
---
## Прошивка патчу NexMon (Magisk)
1. Завантажте ZIP для вашого точного пристрою/прошивки (приклад: `nexmon-s10.zip`).
2. Відкрийте Magisk -> Модулі -> Встановити з пам'яті -> виберіть ZIP та перезавантажте.
Модуль копіює `libnexmon.so` у `/data/adb/modules/<module>/lib*/` та забезпечує правильність міток SELinux.
3. Перевірте установку:
```bash
ls -lZ $(find / -name libnexmon.so 2>/dev/null)
sha1sum $(which nexutil)
```
---
## Налаштування Hijacker
Hijacker може автоматично перемикати режим моніторингу перед запуском `airodump`, `wifite` тощо. У **Налаштування -> Розширені** додайте наступні записи (відредагуйте шлях до бібліотеки, якщо ваш модуль відрізняється):
```
Prefix:
LD_PRELOAD=/data/user/0/com.hijacker/files/lib/libnexmon.so
Enable monitor mode:
svc wifi disable; ifconfig wlan0 up; nexutil -s0x613 -i -v2
Disable monitor mode:
nexutil -m0; svc wifi enable
```
Увімкніть “Start monitor mode on airodump start”, щоб кожен скан Hijacker відбувався в рідному моніторному режимі (`wlan0` замість `wlan0mon`).
Якщо Hijacker показує помилки під час запуску, створіть необхідний каталог на загальному сховищі та знову відкрийте додаток:
```bash
mkdir -p /storage/emulated/0/Hijacker
```
### Що означають ці прапори `nexutil`?
* **`-s0x613`** Записати змінну прошивки 0x613 (FCAP_FRAME_INJECTION) → `1` (увімкнути TX довільних кадрів).
* **`-i`** Перевести інтерфейс в моніторний режим (заголовок radiotap буде додано).
* **`-v2`** Встановити рівень детальності; `2` виводить підтвердження та версію прошивки.
* **`-m0`** Відновити керований режим (використовується в команді *disable*).
Після виконання *Увімкнути моніторний режим* ви повинні побачити інтерфейс у моніторному стані та мати можливість захоплювати сирі кадри за допомогою:
```bash
airodump-ng --band abg wlan0
```
---
## Ручний однорядковий (без Hijacker)
```bash
# Enable monitor + injection
svc wifi disable && ifconfig wlan0 up && nexutil -s0x613 -i -v2
# Disable and return to normal Wi-Fi
nexutil -m0 && svc wifi enable
```
Якщо вам потрібно лише пасивне прослуховування, пропустіть прапорець `-s0x613`.
---
## Використання `libnexmon` всередині Kali NetHunter / chroot
Стандартні інструменти користувацького простору в Kali не знають про NexMon, але ви можете змусити їх використовувати його через `LD_PRELOAD`:
1. Скопіюйте попередньо зібраний спільний об'єкт у chroot:
```bash
cp /sdcard/Download/kalilibnexmon.so <chroot>/lib/
```
2. Увімкніть моніторний режим з **Android хоста** (команда вище або через Hijacker).
3. Запустіть будь-який бездротовий інструмент всередині Kali з попереднім завантаженням:
```bash
sudo su
export LD_PRELOAD=/lib/kalilibnexmon.so
wifite -i wlan0 # або aircrack-ng, mdk4 …
```
4. Коли закінчите, вимкніть моніторний режим, як зазвичай, на Android.
Оскільки прошивка вже обробляє ін'єкцію radiotap, інструменти користувацького простору поводяться так само, як на зовнішньому адаптері Atheros.
---
## Типові можливі атаки
Якщо монітор + TX активні, ви можете:
* Захоплювати WPA(2/3-SAE) хендшейки або PMKID за допомогою `wifite`, `hcxdumptool`, `airodump-ng`.
* Ін'єктувати кадри деавторизації / дисасоціації, щоб змусити клієнтів перепідключитися.
* Створювати довільні управлінські/дані кадри за допомогою `mdk4`, `aireplay-ng`, Scapy тощо.
* Будувати підроблені AP або виконувати атаки KARMA/MANA безпосередньо з телефону.
Продуктивність на Galaxy S10 порівнянна з зовнішніми USB NIC (~20 dBm TX, 2-3 M pps RX).
---
## Усунення неполадок
* `Device or resource busy` переконайтеся, що **сервіс Wi-Fi Android вимкнено** (`svc wifi disable`) перед увімкненням моніторного режиму.
* `nexutil: ioctl(PRIV_MAGIC) failed` бібліотека не попередньо завантажена; перевірте шлях `LD_PRELOAD`.
* Ін'єкція кадрів працює, але пакети не захоплені деякі ROM жорстко блокують канали; спробуйте `nexutil -c <channel>` або `iwconfig wlan0 channel <n>`.
* SELinux блокує бібліотеку встановіть пристрій у *Permissive* або виправте контекст модуля: `chcon u:object_r:system_lib_file:s0 libnexmon.so`.
---
## Посилання
* [Hijacker на Samsung Galaxy S10 з бездротовою ін'єкцією](https://forums.kali.org/t/hijacker-on-the-samsung-galaxy-s10-with-wireless-injection/10305)
* [NexMon фреймворк патчування прошивки](https://github.com/seemoo-lab/nexmon)
* [Hijacker (графічний інтерфейс aircrack-ng для Android)](https://github.com/chrisk44/Hijacker)
{{#include ../../banners/hacktricks-training.md}}