maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/generic-methodologies-and-resources/pentesting-wifi/REA

Browse Source
This commit is contained in:
Translator 2025-07-13 18:11:30 +00:00
parent 039b0fcd73
commit 29eb4e712a
3 changed files with 189 additions and 54 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

1
src/SUMMARY.md
View File

@ -25,6 +25,7 @@
- [Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks](generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)
- [Spoofing SSDP and UPnP Devices with EvilSSDP](generic-methodologies-and-resources/pentesting-network/spoofing-ssdp-and-upnp-devices.md)
- [Pentesting Wifi](generic-methodologies-and-resources/pentesting-wifi/README.md)
- [Enable Nexmon Monitor And Injection On Android](generic-methodologies-and-resources/pentesting-wifi/enable-nexmon-monitor-and-injection-on-android.md)
- [Evil Twin EAP-TLS](generic-methodologies-and-resources/pentesting-wifi/evil-twin-eap-tls.md)
- [Phishing Methodology](generic-methodologies-and-resources/phishing-methodology/README.md)
- [Clone a Website](generic-methodologies-and-resources/phishing-methodology/clone-a-website.md)

114
src/generic-methodologies-and-resources/pentesting-wifi/README.md
View File

@ -17,7 +17,13 @@ iwconfig wlan0mon mode managed #Quit mode monitor - managed mode
iw dev wlan0 scan | grep "^BSS\|SSID\|WSP\|Authentication\|WPS\|WPA" #Scan available wifis
iwlist wlan0 scan #Scan available wifis
```
## Tools
## Gereedskap
### Hijacker & NexMon (Android interne Wi-Fi)
{{#ref}}
enable-nexmon-monitor-and-injection-on-android.md
{{#endref}}
### EAPHammer
```
@ -45,7 +51,7 @@ v1s1t0r1sh3r3/airgeddon
```
### wifiphisher
Dit kan Evil Twin, KARMA, en Known Beacons aanvalle uitvoer en dan 'n phishing-sjabloon gebruik om die werklike wagwoord van die netwerk te verkry of sosiale netwerk inligting te vang.
Dit kan Evil Twin, KARMA, en Known Beacons aanvalle uitvoer en dan 'n phishing-sjabloon gebruik om die werklike wagwoord van die netwerk te verkry of sosiale netwerk geloofsbriewe te vang.
```bash
git clone https://github.com/wifiphisher/wifiphisher.git # Download the latest revision
cd wifiphisher # Switch to tool's directory
@ -56,22 +62,22 @@ sudo python setup.py install # Install any dependencies
Hierdie hulpmiddel outomatiseer **WPS/WEP/WPA-PSK** aanvalle. Dit sal outomaties:
- Die koppelvlak in monitor modus stel
- Soek vir moontlike netwerke - En jou laat kies die slagoffer(s)
- Soek na moontlike netwerke - En jou laat kies die slagoffer(s)
- As WEP - WEP aanvalle begin
- As WPA-PSK
- As WPS: Pixie dust aanval en die bruteforce aanval (wees versigtig, die brute-force aanval kan 'n lang tyd neem). Let daarop dat dit nie probeer om null PIN of databasis/gegenereerde PINs nie.
- As WPS: Pixie dust aanval en die bruteforce aanval (wees versigtig, die brute-force aanval kan 'n lang tyd neem). Let daarop dat dit nie probeer om null PIN of databasis/gegenereerde PINs te gebruik nie.
- Probeer om die PMKID van die AP te vang om dit te kraak
- Probeer om kliënte van die AP te deauthentiseer om 'n handshake te vang
- As PMKID of Handshake, probeer om te bruteforce met die top5000 wagwoorde.
## Aanvalle Samevatting
## Aanvalle Opsomming
- **DoS**
- Deauthentisering/disassosiasie -- Ontkoppel almal (of 'n spesifieke ESSID/Kliënt)
- Random vals APs -- Versteek netwerke, moontlike crash scanners
- Ewekansige vals APs -- Versteek netwerke, moontlike crash scanners
- Oorlaai AP -- Probeer om die AP te dood te maak (gewoonlik nie baie nuttig nie)
- WIDS -- Speel met die IDS
- TKIP, EAPOL -- Sommige spesifieke aanvalle om sommige APs te DoS
- TKIP, EAPOL -- Sommige spesifieke aanvalle om sekere APs te DoS
- **Kraak**
- Kraak **WEP** (verskeie hulpmiddels en metodes)
- **WPA-PSK**
@ -104,12 +110,12 @@ aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0
- -0 beteken de-authentisering
- 1 is die aantal de-auths om te stuur (jy kan meerdere stuur as jy wil); 0 beteken stuur hulle voortdurend
- -a 00:14:6C:7E:40:80 is die MAC-adres van die toegangspunt
- -c 00:0F:B5:34:30:30 is die MAC-adres van die kliënt om te de-authentiseer; as dit weggelaat word, dan word broadcast de-authentisering gestuur (werk nie altyd nie)
- -c 00:0F:B5:34:30:30 is die MAC-adres van die kliënt om te de-authentiseer; as dit weggelaat word, word broadcast de-authentisering gestuur (werk nie altyd nie)
- ath0 is die interface naam
### Ontkoppeling Pakkette
**Ontkoppeling pakkette**, soortgelyk aan de-authentisering pakkette, is 'n tipe bestuursraam wat in Wi-Fi-netwerke gebruik word. Hierdie pakkette dien om die verbinding tussen 'n toestel (soos 'n skootrekenaar of slimfoon) en 'n toegangspunt (AP) te verbreek. Die primêre onderskeid tussen ontkoppeling en de-authentisering lê in hul gebruiks scenario's. Terwyl 'n AP **de-authentisering pakkette uitstuur om onwettige toestelle eksplisiet uit die netwerk te verwyder, word ontkoppeling pakkette tipies gestuur wanneer die AP 'n afsluiting**, herstart of verskuiwing ondergaan, wat die ontkoppeling van alle gekonnekte nodes noodsaak.
**Ontkoppeling pakkette**, soortgelyk aan de-authentisering pakkette, is 'n tipe bestuursraam wat in Wi-Fi-netwerke gebruik word. Hierdie pakkette dien om die verbinding tussen 'n toestel (soos 'n skootrekenaar of slimfoon) en 'n toegangspunt (AP) te verbreek. Die primêre onderskeid tussen ontkoppeling en de-authentisering lê in hul gebruiks scenario's. Terwyl 'n AP **de-authentisering pakkette uitstuur om onwettige toestelle eksplisiet uit die netwerk te verwyder, word ontkoppeling pakkette tipies gestuur wanneer die AP 'n afsluiting**, herstart of verskuiwing ondergaan, wat die ontkoppeling van alle gekonnekteerde nodes noodsaak.
**Hierdie aanval kan uitgevoer word deur mdk4(mode "d"):**
```bash
@ -136,7 +142,7 @@ mdk4 wlan0mon b -a -w nta -m
```
**AANVAL MODUS a: Verifikasie Ontkenning-van-Diens**
Die stuur van verifikasiekaders na alle toeganklike Toegangspunte (AP's) binne bereik kan hierdie AP's oorlaai, veral wanneer talle kliënte betrokke is. Hierdie intense verkeer kan lei tot stelselinstabiliteit, wat veroorsaak dat sommige AP's vries of selfs herbegin.
Die stuur van verifikasiekaders na alle toeganklike Toegangspunte (AP's) binne bereik kan hierdie AP's oorlaai, veral wanneer talle kliënte betrokke is. Hierdie intense verkeer kan lei tot stelselinstabiliteit, wat sommige AP's kan laat vries of selfs herbegin.
```bash
# -a BSSID send random data from random clients to try the DoS
# -i BSSID capture and repeat pakets from authenticated clients
@ -150,24 +156,24 @@ Probing Access Points (APs) kontroleer of 'n SSID behoorlik onthul is en bevesti
**ATTACK MODE m: Michael Countermeasures Exploitation**
Die stuur van ewekansige of duplikaat pakkette na verskillende QoS-rye kan Michael Countermeasures op **TKIP APs** aktiveer, wat lei tot 'n een minuut lange AP-afskakeling. Hierdie metode is 'n doeltreffende **DoS** (Denial of Service) aanvalstaktiek.
Die stuur van ewekansige of duplikaat pakkette na verskillende QoS rye kan Michael Countermeasures op **TKIP APs** aktiveer, wat lei tot 'n een minuut AP afsluiting. Hierdie metode is 'n doeltreffende **DoS** (Denial of Service) aanvalstaktiek.
```bash
# -t <BSSID> of a TKIP AP
# -j use inteligent replay to create the DoS
mdk4 wlan0mon m -t EF:60:69:D7:69:2F [-j]
```
**AANVAL MODUS e: EAPOL Begin en Logoff Pakket Inspuiting**
**AANVAL MODUS e: EAPOL Begin en Afsluit Pakket Inspuiting**
Vloed 'n AP met **EAPOL Begin rame** om **valse sessies** te skep, wat die AP oorweldig en wettige kliënte blokkeer. Alternatiewelik, die inspuiting van **valse EAPOL Logoff boodskappe** ontkoppel kliënte met geweld, beide metodes onderbreek effektief netwerkdiens.
Die oorstroming van 'n AP met **EAPOL Begin rame** skep **valse sessies**, wat die AP oorweldig en wettige kliënte blokkeer. Alternatiewelik, die inspuiting van **valse EAPOL Afsluit boodskappe** ontkoppel kliënte met geweld, beide metodes onderbreek effektief netwerkdiens.
```bash
# Use Logoff messages to kick clients
mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l]
```
**AANVALSMODE s: Aanvalle vir IEEE 802.11s mesh-netwerke**
**ATTACK MODE s: Aanvalle vir IEEE 802.11s mesh-netwerke**
Verskeie aanvalle op skakelbestuur en routering in mesh-netwerke.
**AANVALSMODE w: WIDS Verwarring**
**ATTACK MODE w: WIDS Verwarring**
Kruisverbinding van kliënte na verskeie WDS-knope of vals rogue APs kan Intrusie Detectie en Voorkomingstelsels manipuleer, wat verwarring en potensiële stelselmishandeling skep.
```bash
@ -211,7 +217,7 @@ Hierdie verfynde benadering teiken WPS PINs deur gebruik te maak van bekende kwe
### WPS Pixie Dust aanval
**Dominique Bongard** het 'n fout ontdek in sommige Toegangspunte (APs) rakende die skepping van geheime kodes, bekend as **nonces** (**E-S1** en **E-S2**). As hierdie nonces uitgevind kan word, word dit maklik om die AP se WPS PIN te kraak. Die AP openbaar die PIN binne 'n spesiale kode (hash) om te bewys dat dit wettig is en nie 'n vals (rogue) AP nie. Hierdie nonces is in wese die "sleutels" om die "kluis" wat die WPS PIN bevat, te ontsluit. Meer hieroor kan gevind word [here](<https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-(Offline-WPS-Attack)>).
**Dominique Bongard** het 'n fout ontdek in sommige Toegangspunte (APs) rakende die skepping van geheime kodes, bekend as **nonces** (**E-S1** en **E-S2**). As hierdie nonces uitgevind kan word, word dit maklik om die AP se WPS PIN te kraak. Die AP openbaar die PIN binne 'n spesiale kode (hash) om te bewys dat dit wettig is en nie 'n vals (rogue) AP nie. Hierdie nonces is in wese die "sleutels" om die "kluis" wat die WPS PIN bevat, te ontsluit. Meer hieroor kan gevind word [hier](<https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-(Offline-WPS-Attack)>).
In eenvoudige terme is die probleem dat sommige APs nie genoegsame ewekansige sleutels gebruik het om die PIN tydens die verbindsproses te enkripteer nie. Dit maak die PIN kwesbaar om van buite die netwerk geraai te word (offline brute force aanval).
```bash
@ -242,7 +248,7 @@ Al die voorgestelde WPS-aanvalle kan maklik uitgevoer word met _**airgeddon.**_
## **WEP**
So gebroke en ongebruik vandag. Weet net dat _**airgeddon**_ 'n WEP-opsie het genaamd "All-in-One" om hierdie tipe beskerming aan te val. Meer gereedskap bied soortgelyke opsies aan.
So gebroke en nie meer in gebruik nie. Weet net dat _**airgeddon**_ 'n WEP-opsie het genaamd "All-in-One" om hierdie tipe beskerming aan te val. Meer gereedskap bied soortgelyke opsies aan.
![](<../../images/image (432).png>)
@ -254,7 +260,7 @@ So gebroke en ongebruik vandag. Weet net dat _**airgeddon**_ 'n WEP-opsie het ge
### PMKID
In 2018 het **hashcat** [onthul](https://hashcat.net/forum/thread-7717.html) 'n nuwe aanvalmetode, uniek omdat dit net **een enkele pakket** benodig en nie enige kliënte vereis om aan die teiken AP gekoppel te wees nie—net interaksie tussen die aanvaller en die AP.
In 2018 het **hashcat** [ontbloot](https://hashcat.net/forum/thread-7717.html) 'n nuwe aanvalmetode, uniek omdat dit net **een enkele pakket** benodig en nie enige kliënte vereis om aan die teiken AP gekoppel te wees nie—net interaksie tussen die aanvaller en die AP.
Baie moderne routers voeg 'n **opsionele veld** by die **eerste EAPOL** raam tydens assosiasie, bekend as `Robust Security Network`. Dit sluit die `PMKID` in.
@ -276,16 +282,16 @@ hcxdumptool -o /tmp/attack.pcap -i wlan0mon --enable_status=1
#You can also obtains PMKIDs using eaphammer
./eaphammer --pmkid --interface wlan0 --channel 11 --bssid 70:4C:A5:F8:9A:C1
```
Die **PMKIDs gevang** sal in die **konsole** vertoon word en ook **gestoor** word binne \_ **/tmp/attack.pcap**\_\
Die **PMKIDs wat gevang is** sal in die **konsole** vertoon word en ook **gestoor** word binne \_ **/tmp/attack.pcap**\_\
Nou, omskep die vangste na **hashcat/john** formaat en breek dit:
```bash
hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt
john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt
```
Neem asseblief kennis dat die formaat van 'n korrekte hash **4 dele** bevat, soos: `4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838` As joune **slegs** **3 dele** bevat, dan is dit **ongeldig** (die PMKID-kaping was nie geldig nie).
Neem asseblief kennis dat die formaat van 'n korrekte hash **4 dele** bevat, soos: `4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838`. As joune **slegs** **3 dele** bevat, dan is dit **ongeldig** (die PMKID-kaping was nie geldig nie).
Let daarop dat `hcxdumptool` **ook handshakes** **vang** (iets soos hierdie sal verskyn: **`MP:M1M2 RC:63258 EAPOLTIME:17091`**). Jy kan die **handshakes** na **hashcat**/**john** formaat omskakel met `cap2hccapx`
Let daarop dat `hcxdumptool` **ook handshakes** **vang** (iets soos hierdie sal verskyn: **`MP:M1M2 RC:63258 EAPOLTIME:17091`**). Jy kan die **handshakes** na **hashcat**/**john** formaat omskakel met `cap2hccapx`.
```bash
tcpdump -r /tmp/attack.pcapng -w /tmp/att.pcap
cap2hccapx pmkid.pcapng pmkid.hccapx ["Filter_ESSID"]
@ -308,7 +314,7 @@ airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pca
```bash
aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, may not work in all scenarios
```
_Note dat soos die kliënt gede-authentiseer is, kan dit probeer om met 'n ander AP of, in ander gevalle, met 'n ander netwerk te verbind._
_Noot dat terwyl die kliënt gede-authentiseer is, kan dit probeer om met 'n ander AP of, in ander gevalle, met 'n ander netwerk te verbind._
Sodra daar in die `airodump-ng` 'n paar handshake-inligting verskyn, beteken dit dat die handshake gevang is en jy kan stop om te luister:
@ -350,12 +356,12 @@ In **onderneming WiFi-opstellings, sal jy verskeie autentikasie metodes teëkom*
2. **EAP-MD5 (Berig Digest 5)**:
- Dit behels die sending van die MD5-hash van die wagwoord vanaf die kliënt. Dit is **nie aanbeveel** nie weens kwesbaarheid vir woordeboekaanvalle, gebrek aan bedienerverifikasie, en onmoontlikheid om sessie-spesifieke WEP-sleutels te genereer.
3. **EAP-TLS (Transport Laag Sekuriteit)**:
- Maak gebruik van beide kliënt- en bediener-sertifikate vir verifikasie en kan dinamies gebruikersgebaseerde en sessie-gebaseerde WEP-sleutels genereer om kommunikasie te beveilig.
- Dit gebruik beide kliënt- en bediener-sertifikate vir verifikasie en kan dinamies gebruikersgebaseerde en sessie-gebaseerde WEP-sleutels genereer om kommunikasie te beveilig.
4. **EAP-TTLS (Tunneled Transport Laag Sekuriteit)**:
- Bied wedersydse verifikasie deur 'n versleutelde tonnel, saam met 'n metode om dinamiese, per-gebruiker, per-sessie WEP-sleutels af te lei. Dit vereis slegs bediener-sertifikate, met kliënte wat kredensiale gebruik.
- Dit bied wedersydse verifikasie deur 'n versleutelde tonnel, saam met 'n metode om dinamiese, per-gebruiker, per-sessie WEP-sleutels af te lei. Dit vereis slegs bediener-sertifikate, met kliënte wat kredensiale gebruik.
5. **PEAP (Beskermde Uitbreidbare Verifikasie Protokol)**:
- Funksioneer soortgelyk aan EAP deur 'n TLS-tonnel te skep vir beskermde kommunikasie. Dit laat die gebruik van swakker verifikasieprotokolle bo-op EAP toe weens die beskerming wat deur die tonnel gebied word.
- **PEAP-MSCHAPv2**: Word dikwels as PEAP verwys, dit kombineer die kwesbare MSCHAPv2 uitdaging/antwoord-meganisme met 'n beskermende TLS-tonnel.
- Dit funksioneer soortgelyk aan EAP deur 'n TLS-tonnel te skep vir beskermde kommunikasie. Dit laat die gebruik van swakker verifikasieprotokolle bo-op EAP toe weens die beskerming wat deur die tonnel gebied word.
- **PEAP-MSCHAPv2**: Dit word dikwels as PEAP verwys, dit kombineer die kwesbare MSCHAPv2 uitdaging/antwoord meganisme met 'n beskermende TLS-tonnel.
- **PEAP-EAP-TLS (of PEAP-TLS)**: Soortgelyk aan EAP-TLS, maar begin 'n TLS-tonnel voordat sertifikate uitgewissel word, wat 'n addisionele laag van sekuriteit bied.
Jy kan meer inligting oor hierdie verifikasie metodes [hier ](https://en.wikipedia.org/wiki/Extensible_Authentication_Protocol)en [hier](https://www.intel.com/content/www/us/en/support/articles/000006999/network-and-i-o/wireless-networking.html) vind.
@ -374,14 +380,14 @@ Binne die "**Antwoord, Identiteit**" pakket, sal die **gebruikersnaam** van die
Identiteit verborge word deur beide EAP-PEAP en EAP-TTLS ondersteun. In die konteks van 'n WiFi-netwerk, word 'n EAP-Identiteit versoek tipies deur die toegangspunt (AP) tydens die assosiasie proses geïnisieer. Om die beskerming van gebruikersanonieme te verseker, bevat die antwoord van die EAP-kliënt op die gebruiker se toestel slegs die noodsaaklike inligting wat benodig word vir die aanvanklike RADIUS-bediener om die versoek te verwerk. Hierdie konsep word geïllustreer deur die volgende scenario's:
- EAP-Identiteit = anoniem
- In hierdie scenario gebruik alle gebruikers die pseudonieme "anoniem" as hul gebruikersidentifiseerder. Die aanvanklike RADIUS-bediener funksioneer as 'n EAP-PEAP of EAP-TTLS bediener, verantwoordelik vir die bestuur van die bediener-kant van die PEAP of TTLS protokol. Die binneste (beskermde) verifikasie metode word dan of plaaslik hanteer of aan 'n afstands (huis) RADIUS-bediener gedelegeer.
- In hierdie scenario gebruik alle gebruikers die pseudonieme "anoniem" as hul gebruikersidentifiseerder. Die aanvanklike RADIUS-bediener funksioneer as 'n EAP-PEAP of EAP-TTLS bediener, verantwoordelik vir die bestuur van die bediener-kant van die PEAP of TTLS protokol. Die binneste (beskermde) verifikasie metode word dan of plaaslik hanteer of aan 'n afgeleë (huis) RADIUS-bediener gedelegeer.
- EAP-Identiteit = anoniem@realm_x
- In hierdie situasie verberg gebruikers van verskillende koninkryke hul identiteite terwyl hulle hul onderskeie koninkryke aandui. Dit laat die aanvanklike RADIUS-bediener toe om die EAP-PEAP of EAP-TTLS versoeke na RADIUS-bedieners in hul huis koninkryke te proxy, wat as die PEAP of TTLS bediener optree. Die aanvanklike RADIUS-bediener funksioneer slegs as 'n RADIUS relay-knoop.
- In hierdie situasie verberg gebruikers van verskillende koninkryke hul identiteite terwyl hulle hul onderskeie koninkryke aandui. Dit laat die aanvanklike RADIUS-bediener toe om die EAP-PEAP of EAP-TTLS versoeke na RADIUS-bedieners in hul huis koninkryke te proxy, wat as die PEAP of TTLS bediener optree. Die aanvanklike RADIUS-bediener funksioneer slegs as 'n RADIUS relay node.
- Alternatiewelik kan die aanvanklike RADIUS-bediener as die EAP-PEAP of EAP-TTLS bediener funksioneer en of die beskermde verifikasie metode hanteer of dit na 'n ander bediener deurstuur. Hierdie opsie fasiliteer die konfigurasie van verskillende beleide vir verskillende koninkryke.
In EAP-PEAP, sodra die TLS-tonnel tussen die PEAP-bediener en die PEAP-kliënt gevestig is, begin die PEAP-bediener 'n EAP-Identiteit versoek en stuur dit deur die TLS-tonnel. Die kliënt antwoord op hierdie tweede EAP-Identiteit versoek deur 'n EAP-Identiteit antwoord te stuur wat die gebruiker se werklike identiteit deur die versleutelde tonnel bevat. Hierdie benadering voorkom effektief die onthulling van die gebruiker se werklike identiteit aan enigiemand wat die 802.11-verkeer afluister.
EAP-TTLS volg 'n effens ander prosedure. Met EAP-TTLS, verifieer die kliënt tipies met behulp van PAP of CHAP, beveilig deur die TLS-tonnel. In hierdie geval sluit die kliënt 'n User-Name attribuut en óf 'n Wagwoord of CHAP-Wagwoord attribuut in die aanvanklike TLS-boodskap wat gestuur word na tonnel vestiging.
EAP-TTLS volg 'n effens ander prosedure. Met EAP-TTLS, verifieer die kliënt tipies met PAP of CHAP, beveilig deur die TLS-tonnel. In hierdie geval sluit die kliënt 'n User-Name attribuut en óf 'n Wagwoord of CHAP-Wagwoord attribuut in die aanvanklike TLS-boodskap wat gestuur word na tonnel vestiging.
Ongeag die protokol wat gekies word, verkry die PEAP/TTLS-bediener kennis van die gebruiker se werklike identiteit nadat die TLS-tonnel gevestig is. Die werklike identiteit kan voorgestel word as user@realm of eenvoudig user. As die PEAP/TTLS-bediener ook verantwoordelik is vir die verifikasie van die gebruiker, het dit nou die gebruiker se identiteit en gaan voort met die verifikasie metode wat deur die TLS-tonnel beskerm word. Alternatiewelik kan die PEAP/TTLS-bediener 'n nuwe RADIUS versoek na die gebruiker se huis RADIUS-bediener deurstuur. Hierdie nuwe RADIUS versoek laat die PEAP of TTLS protokol laag weg. In gevalle waar die beskermde verifikasie metode EAP is, word die binneste EAP-boodskappe na die huis RADIUS-bediener gestuur sonder die EAP-PEAP of EAP-TTLS omhulsel. Die User-Name attribuut van die uitgaande RADIUS-boodskap bevat die gebruiker se werklike identiteit, wat die anonieme User-Name van die inkomende RADIUS versoek vervang. Wanneer die beskermde verifikasie metode PAP of CHAP is (slegs deur TTLS ondersteun), word die User-Name en ander verifikasie attribuut wat uit die TLS payload onttrek is, in die uitgaande RADIUS-boodskap vervang, wat die anonieme User-Name en TTLS EAP-Message attribuut wat in die inkomende RADIUS versoek gevind word, vervang.
@ -403,15 +409,15 @@ Jy kan ook hierdie aanval doen met `eaphammer`:
```
## Klientaanval Teorie
### Netwerk Keuse en Roaming
### Netwerkkeuse en Roaming
- Die 802.11 protokol definieer hoe 'n stasie by 'n Extended Service Set (ESS) aansluit, maar spesifiseer nie die kriteria vir die keuse van 'n ESS of 'n toegangspunt (AP) daarin nie.
- Die 802.11 protokol definieer hoe 'n stasie by 'n Uitgebreide Diensstel (ESS) aansluit, maar spesifiseer nie die kriteria vir die keuse van 'n ESS of 'n toegangspunt (AP) daarin nie.
- Stasies kan tussen APs roamer wat dieselfde ESSID deel, en sodoende konneksie oor 'n gebou of area handhaaf.
- Die protokol vereis stasie-authentisering aan die ESS, maar vereis nie AP-authentisering aan die stasie nie.
- Die protokol vereis stasie-authentisering by die ESS, maar vereis nie AP-authentisering by die stasie nie.
### Gekoesterde Netwerk Lyste (PNLs)
### Gunsteling Netwerk Lyste (PNLs)
- Stasies stoor die ESSID van elke draadlose netwerk waaraan hulle aansluit in hul Gekoesterde Netwerk Lys (PNL), saam met netwerk-spesifieke konfigurasiedetails.
- Stasies stoor die ESSID van elke draadlose netwerk waaraan hulle aansluit in hul Gunsteling Netwerk Lys (PNL), saam met netwerk-spesifieke konfigurasiedetails.
- Die PNL word gebruik om outomaties aan bekende netwerke te verbind, wat die gebruiker se ervaring verbeter deur die konneksieproses te stroomlyn.
### Passiewe Skandering
@ -423,12 +429,12 @@ Jy kan ook hierdie aanval doen met `eaphammer`:
### Aktiewe Probing
- Aktiewe probing behels dat stasies probe versoeke stuur om nabygeleë APs en hul eienskappe te ontdek.
- Gerigte probe versoeke teiken 'n spesifieke ESSID, wat help om te detecteer of 'n spesifieke netwerk binne bereik is, selfs al is dit 'n versteekte netwerk.
- Uitsendingsprobe versoeke het 'n nul SSID veld en word na alle nabygeleë APs gestuur, wat die stasie toelaat om enige gekoesterde netwerk te kontroleer sonder om sy PNL-inhoud bekend te maak.
- Gerigte probe versoeke teiken 'n spesifieke ESSID, wat help om te bepaal of 'n spesifieke netwerk binne bereik is, selfs al is dit 'n versteekte netwerk.
- Uitsendingsprobe versoeke het 'n nul SSID-veld en word na alle nabygeleë APs gestuur, wat die stasie toelaat om enige gunsteling netwerk te kontroleer sonder om die inhoud van sy PNL bekend te maak.
## Eenvoudige AP met herleiding na die Internet
Voordat verduidelik word hoe om meer komplekse aanvalle uit te voer, sal verduidelik word **hoe** om net 'n **AP** te **skep** en sy **verkeer** na 'n koppelvlak wat **aan** die **Internet** gekoppel is, te **herlei**.
Voordat verduidelik word hoe om meer komplekse aanvalle uit te voer, sal verduidelik word **hoe** om net **'n AP** te **skep** en sy **verkeer** na 'n koppelvlak wat **aan** die **Internet** gekoppel is, te **herlei**.
Gebruik `ifconfig -a` om te kontroleer dat die wlan-koppelvlak om die AP te skep en die koppelvlak wat aan die Internet gekoppel is, teenwoordig is.
@ -461,7 +467,7 @@ dnsmasq -C dnsmasq.conf -d
```bash
apt-get install hostapd
```
Skep 'n konfigurasie-lêer `hostapd.conf`:
Skep 'n konfigurasie lêer `hostapd.conf`:
```ini
interface=wlan0
driver=nl80211
@ -496,15 +502,15 @@ echo 1 > /proc/sys/net/ipv4/ip_forward
'n Evil twin-aanval benut die manier waarop WiFi-kliënte netwerke herken, hoofsaaklik deur op die netwerknaam (ESSID) te staatmaak sonder om die basisstasie (toegangspunt) te vereis om homself aan die kliënt te verifieer. Sleutelpunte sluit in:
- **Moeilikheid in Differensiasie**: Toestelle sukkel om tussen wettige en onwettige toegangspunte te onderskei wanneer hulle dieselfde ESSID en versleutelingstipe deel. Regte wêreldnetwerke gebruik dikwels verskeie toegangspunte met dieselfde ESSID om dekking naatloos uit te brei.
- **Moeilikheid om te onderskei**: Toestelle sukkel om tussen wettige en onwettige toegangspunte te onderskei wanneer hulle dieselfde ESSID en versleutelingstipe deel. Regte wêreldnetwerke gebruik dikwels verskeie toegangspunte met dieselfde ESSID om dekking naatloos uit te brei.
- **Kliënt Roaming en Verbinding Manipulasie**: Die 802.11-protokol laat toestelle toe om tussen toegangspunte binne dieselfde ESS te roam. Aanvallers kan dit benut deur 'n toestel te lok om van sy huidige basisstasie af te skakel en met 'n onwettige een te verbind. Dit kan bereik word deur 'n sterker sein aan te bied of die verbinding met die wettige toegangspunt te ontwrig deur metodes soos deauthenticatie-pakkette of jamming.
- **Uitvoeringsuitdagings**: Om 'n evil twin-aanval suksesvol uit te voer in omgewings met verskeie, goed geplaasde toegangspunte kan uitdagend wees. Om 'n enkele wettige toegangspunt te deauthentiseer, lei dikwels daartoe dat die toestel met 'n ander wettige toegangspunt verbind, tensy die aanvaller alle nabye toegangspunte kan deauthentiseer of die onwettige toegangspunt strategies kan plaas.
- **Uitvoeringsuitdagings**: Om 'n evil twin-aanval suksesvol uit te voer in omgewings met verskeie, goed geplaasde toegangspunte kan uitdagend wees. Deauthentisering van 'n enkele wettige toegangspunt lei dikwels daartoe dat die toestel met 'n ander wettige toegangspunt verbind, tensy die aanvaller alle nabye toegangspunte kan deauthentiseer of die onwettige toegangspunt strategies kan plaas.
Jy kan 'n baie basiese Open Evil Twin (geen vermoëns om verkeer na die Internet te roete nie) skep deur:
```bash
airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon
```
Jy kan ook 'n Evil Twin skep met **eaphammer** (let op dat die koppelvlak **nie** in **monitor** modus **moet wees** om evil twins met eaphammer te skep):
Jy kan ook 'n Evil Twin skep met **eaphammer** (let op dat om evil twins met eaphammer te skep, die koppelvlak **nie** in **monitor** modus **moet wees**):
```bash
./eaphammer -i wlan0 --essid exampleCorp --captive-portal
```
@ -518,7 +524,7 @@ _Sommige OS en AV sal die gebruiker waarsku dat dit gevaarlik is om aan 'n Open
### WPA/WPA2 Evil Twin
Jy kan 'n **Evil Twin met WPA/2** skep en as die toestelle geconfigureer is om aan daardie SSID met WPA/2 te verbind, sal hulle probeer om te verbind. In elk geval, **om die 4-way-handshake te voltooi** moet jy ook die **wagwoord** weet wat die kliënt gaan gebruik. As jy dit **nie weet nie**, sal die **verbinding nie voltooi word**.
Jy kan 'n **Evil Twin met WPA/2** skep en as die toestelle geconfigureer is om aan daardie SSID met WPA/2 te verbind, gaan hulle probeer om te verbind. In elk geval, **om die 4-way-handshake te voltooi** moet jy ook die **wagwoord** weet wat die kliënt gaan gebruik. As jy dit **nie weet nie**, sal die **verbinding nie voltooi word**.
```bash
./eaphammer -i wlan0 -e exampleCorp -c 11 --creds --auth wpa-psk --wpa-passphrase "mywifipassword"
```
@ -545,11 +551,11 @@ In die konfigurasie lêer kan jy 'n klomp verskillende dinge kies soos ssid, kan
# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds
```
Standaard doel EAPHammer hierdie autentikasie metodes (let op GTC as die eerste een om te probeer om tekswagte te verkry en dan die gebruik van meer robuuste autentikasie metodes):
Standaard stel EAPHammer hierdie autentikasie metodes voor (let op GTC as die eerste een om te probeer om tekswagte te verkry en dan die gebruik van meer robuuste autentikasie metodes):
```
GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5
```
Dit is die standaard metodologie om lang verbindtye te vermy. U kan egter ook spesifiseer om die outentikasie metodes van die swakste na die sterkste te bedien:
Dit is die standaardmetodologie om lang verbindtye te vermy. U kan egter ook die verifikasiemetodes van die swakste na die sterkste spesifiseer:
```
--negotiate weakest
```
@ -562,22 +568,22 @@ Of jy kan ook gebruik:
**Gebruik Airgeddon**
`Airgeddon` kan voorheen gegenereerde sertifikate gebruik om EAP-outentikasie aan WPA/WPA2-Enterprise-netwerke aan te bied. Die vals netwerk sal die verbindingsprotokol na EAP-MD5 afgradeer sodat dit in staat sal wees om die **gebruiker en die MD5 van die wagwoord** te **vang**. Later kan die aanvaller probeer om die wagwoord te kraak.\
`Airgeddon` bied jou die moontlikheid van 'n **deurlopende Evil Twin-aanval (rumoerig)** of **net die Evil Attack te skep totdat iemand aansluit (glad).**
`Airgeddon` bied jou die moontlikheid van 'n **deurlopende Evil Twin-aanval (rumoerig)** of **net die Evil-aanval te skep totdat iemand aansluit (glad).**
![](<../../images/image (936).png>)
### Foutopsporing van PEAP en EAP-TTLS TLS tonnels in Evil Twins-aanvalle
_Hierdie metode is getoets in 'n PEAP-verbinding, maar aangesien ek 'n arbitrêre TLS-tunnel ontcijfer, behoort dit ook met EAP-TTLS te werk._
_Hierdie metode is getoets in 'n PEAP-verbinding, maar aangesien ek 'n arbitrêre TLS-tonnel ontcijfer, behoort dit ook met EAP-TTLS te werk._
Binne die **konfigurasie** van _hostapd-wpe_ **kommenteer** die lyn wat _**dh_file**_ bevat (van `dh_file=/etc/hostapd-wpe/certs/dh` na `#dh_file=/etc/hostapd-wpe/certs/dh`)\
Dit sal `hostapd-wpe` laat **sleutel ruil met RSA** in plaas van DH, sodat jy later die verkeer kan **ontcijfer** **met kennis van die bediener se privaat sleutel**.
Dit sal `hostapd-wpe` laat **sleutelruil met RSA** in plaas van DH, sodat jy in staat sal wees om die verkeer later te **ontcijfer** **met kennis van die bediener se privaat sleutel**.
Begin nou die **Evil Twin** met **`hostapd-wpe`** met daardie gewysigde konfigurasie soos gewoonlik. Begin ook **`wireshark`** in die **koppelvlak** wat die Evil Twin-aanval uitvoer.
Nou of later (wanneer jy reeds 'n paar outentikasie pogings gevang het) kan jy die privaat RSA-sleutel by wireshark voeg in: `Edit --> Preferences --> Protocols --> TLS --> (RSA keys list) Edit...`
Voeg 'n nuwe inskrywing by en vul die vorm met hierdie waardes: **IP adres = enige** -- **Port = 0** -- **Protocol = data** -- **Key File** (**kies jou sleutel lêer**, om probleme te vermy, kies 'n sleutel lêer **sonder om met 'n wagwoord beskerm te wees**).
Voeg 'n nuwe inskrywing by en vul die vorm met hierdie waardes in: **IP adres = enige** -- **Port = 0** -- **Protocol = data** -- **Key File** (**kies jou sleutel lêer**, om probleme te vermy, kies 'n sleutel lêer **sonder om met 'n wagwoord beskerm te wees**).
![](<../../images/image (687).png>)
@ -596,7 +602,7 @@ Verskillende tipes Media Access Control Filter Lyste (MFACLs) en hul ooreenstemm
2. **MAC-gebaseerde Blacklist**:
- Die rogue AP sal navraag versoeke van toestelle op die blacklist ignoreer, wat effektief die rogue AP onsigbaar maak vir daardie spesifieke toestelle.
3. **SSID-gebaseerde Whitelist**:
- Die rogue AP sal slegs op navraag versoeke vir spesifieke ESSIDs wat gelys is, reageer, wat dit onsigbaar maak vir toestelle wie se Gunsteling Netwerk Lyste (PNLs) nie daardie ESSIDs bevat nie.
- Die rogue AP sal slegs op navraag versoeke vir spesifieke ESSIDs wat gelys is, reageer, wat dit onsigbaar maak vir toestelle wie se Voorkeur Netwerk Lyste (PNLs) nie daardie ESSIDs bevat nie.
4. **SSID-gebaseerde Blacklist**:
- Die rogue AP sal nie op navraag versoeke vir die spesifieke ESSIDs op die blacklist reageer nie, wat dit onsigbaar maak vir toestelle wat daardie spesifieke netwerke soek.
```bash
@ -620,11 +626,11 @@ name3
```
### KARMA
Hierdie metode laat 'n **aanvaller toe om 'n kwaadwillige toegangspunt (AP) te skep wat op alle proefversoeke** van toestelle wat probeer om met netwerke te verbind, reageer. Hierdie tegniek **mislei toestelle om met 'n aanvaller se AP te verbind** deur die netwerke na te boots waarna die toestelle soek. Sodra 'n toestel 'n verbindingsversoek na hierdie onwettige AP stuur, voltooi dit die verbinding, wat die toestel lei om verkeerdelik met die aanvaller se netwerk te verbind.
Hierdie metode laat 'n **aanvaller toe om 'n kwaadwillige toegangspunt (AP) te skep wat op alle proefversoeke** van toestelle wat probeer om met netwerke te verbind, reageer. Hierdie tegniek **mislei toestelle om met 'n aanvaller se AP te verbind** deur die netwerke na te boots waarna die toestelle soek. Sodra 'n toestel 'n verbindingsversoek na hierdie onwettige AP stuur, voltooi dit die verbinding, wat die toestel lei om per ongeluk met die aanvaller se netwerk te verbind.
### MANA
Toe het **toestelle begin om onbetroubare netwerkreaksies te ignoreer**, wat die doeltreffendheid van die oorspronklike karma-aanval verminder het. 'n Nuwe metode, bekend as die **MANA-aanval**, is egter deur Ian de Villiers en Dominic White bekendgestel. Hierdie metode behels dat die onwettige AP **die Gekose Netwerk Lyste (PNL) van toestelle vasvang deur op hul uitsendingsproefversoeke te reageer** met netwerkname (SSID's) wat voorheen deur die toestelle gesien is. Hierdie gesofistikeerde aanval omseil die beskerming teen die oorspronklike karma-aanval deur die manier waarop toestelle bekende netwerke onthou en prioriteit gee, te benut.
Toe het **toestelle begin om onbetroubare netwerkreaksies te ignoreer**, wat die doeltreffendheid van die oorspronklike karma-aanval verminder het. 'n Nuwe metode, bekend as die **MANA-aanval**, is egter deur Ian de Villiers en Dominic White bekendgestel. Hierdie metode behels dat die onwettige AP **die Gekose Netwerk Lyste (PNL) van toestelle vasvang deur op hul uitsendingsproefversoeke te reageer** met netwerkname (SSID's) wat voorheen deur die toestelle as betroubaar beskou is. Hierdie gesofistikeerde aanval omseil die beskerming teen die oorspronklike karma-aanval deur die manier waarop toestelle bekende netwerke onthou en prioriteit gee, te benut.
Die MANA-aanval werk deur beide gerigte en uitsendingsproefversoeke van toestelle te monitor. Vir gerigte versoeke, registreer dit die toestel se MAC-adres en die versoekte netwerknaam, en voeg hierdie inligting by 'n lys. Wanneer 'n uitsendingsversoek ontvang word, reageer die AP met inligting wat ooreenstem met enige van die netwerke op die toestel se lys, wat die toestel aanmoedig om met die onwettige AP te verbind.
```bash
@ -640,7 +646,7 @@ Die MANA-aanval werk deur beide gerigte en uitsendingsproefversoeke van toestell
Wanneer die **Luid MANA-aanval** dalk nie genoegsaam is nie, bied die **Bekende Beacon-aanval** 'n ander benadering. Hierdie metode **brute-forces die verbindsproses deur 'n AP te simuleer wat op enige netwerknaam reageer, terwyl dit deur 'n lys van potensiële ESSIDs uit 'n woordlys draai**. Dit simuleer die teenwoordigheid van talle netwerke, in die hoop om 'n ESSID binne die slagoffer se PNL te pas, wat 'n verbindoogpoging na die gefabriseerde AP uitlok. Die aanval kan versterk word deur dit te kombineer met die `--loud` opsie vir 'n meer aggressiewe poging om toestelle te vang.
Eaphammer het hierdie aanval as 'n MANA-aanval geïmplementeer waar al die ESSIDs binne 'n lys opgelê word (jy kan dit ook met `--loud` kombineer om 'n Luid MANA + Bekende beacons-aanval te skep):
Eaphammer het hierdie aanval as 'n MANA-aanval geïmplementeer waar al die ESSIDs binne 'n lys opgelaad word (jy kan dit ook met `--loud` kombineer om 'n Luid MANA + Bekende beacons-aanval te skep):
```bash
./eaphammer -i wlan0 --mana [--loud] --known-beacons --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]
```
@ -659,7 +665,7 @@ Die **Bekende Beacon Burst-aanval** behels **vinnige uitsending van beacon-raamw
**Wi-Fi Direk** is 'n protokol wat toestelle in staat stel om direk met mekaar te skakel deur middel van Wi-Fi sonder die behoefte aan 'n tradisionele draadlose toegangspunt. Hierdie vermoë is geïntegreer in verskeie Internet of Things (IoT) toestelle, soos drukkers en televisies, wat direkte toestel-tot-toestel kommunikasie fasiliteer. 'n Opmerkelijke kenmerk van Wi-Fi Direk is dat een toestel die rol van 'n toegangspunt, bekend as die groepseienaar, aanneem om die verbinding te bestuur.
Sekuriteit vir Wi-Fi Direk verbindings word gevestig deur middel van **Wi-Fi Protected Setup (WPS)**, wat verskeie metodes vir veilige paarvorming ondersteun, insluitend:
Sekuriteit vir Wi-Fi Direk verbindings word gevestig deur middel van **Wi-Fi Beskermde Instelling (WPS)**, wat verskeie metodes vir veilige paarvorming ondersteun, insluitend:
- **Drukknop Konfigurasie (PBC)**
- **PIN invoer**
@ -669,7 +675,7 @@ Hierdie metodes, veral PIN invoer, is kwesbaar vir dieselfde kwesbaarhede as WPS
### EvilDirect Kaap
**EvilDirect Kaap** is 'n aanval wat spesifiek op Wi-Fi Direk gerig is. Dit weerspieël die konsep van 'n Evil Twin aanval, maar teiken Wi-Fi Direk verbindings. In hierdie scenario, doen 'n aanvaller asof hy 'n legitieme groepseienaar is met die doel om toestelle te mislei om met 'n kwaadwillige entiteit te verbind. Hierdie metode kan uitgevoer word met behulp van gereedskap soos `airbase-ng` deur die kanaal, ESSID, en MAC adres van die geïmplanteerde toestel te spesifiseer:
**EvilDirect Kaap** is 'n aanval wat spesifiek op Wi-Fi Direk gerig is. Dit weerspieël die konsep van 'n Evil Twin aanval, maar teiken Wi-Fi Direk verbindings. In hierdie scenario, doen 'n aanvaller asof hy 'n wettige groepseienaar is met die doel om toestelle te mislei om met 'n kwaadwillige entiteit te verbind. Hierdie metode kan uitgevoer word met behulp van gereedskap soos `airbase-ng` deur die kanaal, ESSID, en MAC adres van die geïmpliseerde toestel te spesifiseer:
## Verwysings

128
src/generic-methodologies-and-resources/pentesting-wifi/enable-nexmon-monitor-and-injection-on-android.md Normal file
View File

@ -0,0 +1,128 @@
# Aktiveer NexMon Monitor Modus & Pakket Inspuiting op Android (Broadcom-skyfies)
{{#include ../../banners/hacktricks-training.md}}
## Oorsig
Meeste moderne Android fone bevat 'n Broadcom/Cypress Wi-Fi skyfie wat sonder 802.11 monitor modus of raam-inspuitingsvermoëns verskaf word. Die oopbron NexMon-raamwerk patch die eiendomsfirmware om daardie funksies by te voeg en stel dit bloot deur 'n gedeelde biblioteek (`libnexmon.so`) en 'n CLI-helper (`nexutil`). Deur daardie biblioteek in die standaard Wi-Fi bestuurder te laai, kan 'n ge-root toestel rou 802.11 verkeer vasvang en arbitrêre rame inspuit wat die behoefte aan 'n eksterne USB-adapter verwyder.
Hierdie bladsy dokumenteer 'n vinnige werksvloei wat 'n volledig-gepatchte Samsung Galaxy S10 (BCM4375B1) as 'n voorbeeld neem, met behulp van:
* NexMon Magisk module wat die gepatchte firmware + `libnexmon.so` bevat
* Hijacker Android toepassing om monitor-modus skakeling te outomatiseer
* Opsionele Kali NetHunter chroot om klassieke draadlose gereedskap (aircrack-ng, wifite, mdk4 …) direk teen die interne koppelvlak te laat loop
Dieselfde tegniek geld vir enige toestel wat 'n publiek beskikbare NexMon patch het (Pixel 1, Nexus 6P, Galaxy S7/S8, ens.).
---
## Voorvereistes
* Android toestel met 'n ondersteunde Broadcom/Cypress skyfie (bv. BCM4358/59/43596/4375B1)
* Root met Magisk ≥ 24
* BusyBox (meeste ROMs/NetHunter sluit dit reeds in)
* NexMon Magisk ZIP of self-gecompileerde patch wat voorsien:
* `/system/lib*/libnexmon.so`
* `/system/xbin/nexutil`
* Hijacker ≥ 1.7 (arm/arm64) https://github.com/chrisk44/Hijacker
* (Opsioneel) Kali NetHunter of enige Linux chroot waar jy van plan is om draadlose gereedskap te laat loop
---
## Flits die NexMon patch (Magisk)
1. Laai die ZIP vir jou presiese toestel/firmware af (voorbeeld: `nexmon-s10.zip`).
2. Maak Magisk oop -> Modules -> Installeer vanaf stoor -> kies die ZIP en herbegin.
Die module kopieer `libnexmon.so` na `/data/adb/modules/<module>/lib*/` en verseker dat SELinux etikette korrek is.
3. Verifieer installasie:
```bash
ls -lZ $(find / -name libnexmon.so 2>/dev/null)
sha1sum $(which nexutil)
```
---
## Konfigureer Hijacker
Hijacker kan monitor modus outomaties skakel voordat dit `airodump`, `wifite`, ens. laat loop. In **Instellings -> Gevorderd** voeg die volgende inskrywings by (wysig die biblioteek pad as jou module verskil):
```
Prefix:
LD_PRELOAD=/data/user/0/com.hijacker/files/lib/libnexmon.so
Enable monitor mode:
svc wifi disable; ifconfig wlan0 up; nexutil -s0x613 -i -v2
Disable monitor mode:
nexutil -m0; svc wifi enable
```
Stel “Begin monitor-modus op airodump begin” in sodat elke Hijacker skandering in die oorspronklike monitor-modus plaasvind (`wlan0` in plaas van `wlan0mon`).
As Hijacker foute by die bekendstelling toon, skep die vereiste gids op gedeelde stoorplek en heropen die toepassing:
```bash
mkdir -p /storage/emulated/0/Hijacker
```
### Wat beteken daardie `nexutil` vlae?
* **`-s0x613`** Skryf firmware veranderlike 0x613 (FCAP_FRAME_INJECTION) → `1` (aktiveer TX van arbitrêre rame).
* **`-i`** Plaas die koppelvlak in monitor modus (radiotap kop sal voorafgevoeg word).
* **`-v2`** Stel die verbose vlak; `2` druk bevestiging en firmware weergawe.
* **`-m0`** Herstel bestuurde modus (gebruik in die *deaktiveer* opdrag).
Na die uitvoering van *Aktiveer monitor modus* behoort jy die koppelvlak in monitor toestand te sien en in staat te wees om rou rame te vang met:
```bash
airodump-ng --band abg wlan0
```
---
## Handmatige een-liner (sonder Hijacker)
```bash
# Enable monitor + injection
svc wifi disable && ifconfig wlan0 up && nexutil -s0x613 -i -v2
# Disable and return to normal Wi-Fi
nexutil -m0 && svc wifi enable
```
As jy net passiewe sniffing benodig, laat die `-s0x613` vlag weg.
---
## Gebruik `libnexmon` binne Kali NetHunter / chroot
Standaard gebruikersruimte gereedskap in Kali weet nie van NexMon nie, maar jy kan hulle dwing om dit te gebruik via `LD_PRELOAD`:
1. Kopieer die voorafgeboude gedeelde objek in die chroot:
```bash
cp /sdcard/Download/kalilibnexmon.so <chroot>/lib/
```
2. Aktiveer monitor modus vanaf die **Android gasheer** (opdrag hierbo of deur Hijacker).
3. Begin enige draadlose gereedskap binne Kali met die preload:
```bash
sudo su
export LD_PRELOAD=/lib/kalilibnexmon.so
wifite -i wlan0 # of aircrack-ng, mdk4 …
```
4. Wanneer jy klaar is, deaktiveer monitor modus soos gewoonlik op Android.
Omdat die firmware reeds radiotap inspuiting hanteer, gedra gebruikersruimte gereedskap net soos op 'n eksterne Atheros-adapter.
---
## Tipiese Aanvalle Moglik
Sodra monitor + TX aktief is, kan jy:
* WPA(2/3-SAE) handshakes of PMKID met `wifite`, `hcxdumptool`, `airodump-ng` vang.
* De-authentisering / disassosiasie rame inspuit om kliënte te dwing om weer aan te sluit.
* Willekeurige bestuur/data rame saamstel met `mdk4`, `aireplay-ng`, Scapy, ens.
* Rogue AP's bou of KARMA/MANA aanvalle direk vanaf die foon uitvoer.
Prestasie op die Galaxy S10 is vergelykbaar met eksterne USB NIC's (~20 dBm TX, 2-3 M pps RX).
---
## Probleemoplossing
* `Device or resource busy` maak seker **Android Wi-Fi diens is gedeaktiveer** (`svc wifi disable`) voordat jy monitor modus aktiveer.
* `nexutil: ioctl(PRIV_MAGIC) failed` die biblioteek is nie vooraf gelaai nie; dubbelkontroleer `LD_PRELOAD` pad.
* Raam inspuiting werk maar geen pakkette gevang sommige ROMs hard-blok kanale; probeer `nexutil -c <channel>` of `iwconfig wlan0 channel <n>`.
* SELinux blokkeer biblioteek stel toestel op *Permissive* of reguleer module konteks: `chcon u:object_r:system_lib_file:s0 libnexmon.so`.
---
## Verwysings
* [Hijacker op die Samsung Galaxy S10 met draadlose inspuiting](https://forums.kali.org/t/hijacker-on-the-samsung-galaxy-s10-with-wireless-injection/10305)
* [NexMon firmware patching framework](https://github.com/seemoo-lab/nexmon)
* [Hijacker (aircrack-ng GUI vir Android)](https://github.com/chrisk44/Hijacker)
{{#include ../../banners/hacktricks-training.md}}