maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/generic-methodologies-and-resources/pentesting-wifi/REA

Browse Source
This commit is contained in:
Translator 2025-07-13 18:11:33 +00:00
parent c8e114e10a
commit 8a135c5cf4
3 changed files with 179 additions and 44 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

1
src/SUMMARY.md
View File

@ -25,6 +25,7 @@
- [Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks](generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)
- [Spoofing SSDP and UPnP Devices with EvilSSDP](generic-methodologies-and-resources/pentesting-network/spoofing-ssdp-and-upnp-devices.md)
- [Pentesting Wifi](generic-methodologies-and-resources/pentesting-wifi/README.md)
- [Enable Nexmon Monitor And Injection On Android](generic-methodologies-and-resources/pentesting-wifi/enable-nexmon-monitor-and-injection-on-android.md)
- [Evil Twin EAP-TLS](generic-methodologies-and-resources/pentesting-wifi/evil-twin-eap-tls.md)
- [Phishing Methodology](generic-methodologies-and-resources/phishing-methodology/README.md)
- [Clone a Website](generic-methodologies-and-resources/phishing-methodology/clone-a-website.md)

94
src/generic-methodologies-and-resources/pentesting-wifi/README.md
View File

@ -19,6 +19,12 @@ iwlist wlan0 scan #Scan available wifis
```
## Narzędzia
### Hijacker & NexMon (wewnętrzne Wi-Fi Androida)
{{#ref}}
enable-nexmon-monitor-and-injection-on-android.md
{{#endref}}
### EAPHammer
```
git clone https://github.com/s0lst1c3/eaphammer.git
@ -64,22 +70,22 @@ To narzędzie automatyzuje ataki **WPS/WEP/WPA-PSK**. Automatycznie:
- Próbuje deautoryzować klientów AP, aby przechwycić handshake
- Jeśli PMKID lub Handshake, próbuje złamać hasła używając 5000 najpopularniejszych haseł.
## Podsumowanie Ataków
## Podsumowanie ataków
- **DoS**
- Deautoryzacja/disasocjacja -- Rozłącza wszystkich (lub konkretny ESSID/Klient)
- Losowe fałszywe AP -- Ukrywa sieci, możliwe awarie skanerów
- Przeciążenie AP -- Próbuje zabić AP (zwykle mało użyteczne)
- WIDS -- Bawi się z IDS
- WIDS -- Bawi się IDS
- TKIP, EAPOL -- Niektóre specyficzne ataki DoS na niektóre AP
- **Cracking**
- Złamanie **WEP** (wiele narzędzi i metod)
- Złamanie **WEP** (kilka narzędzi i metod)
- **WPA-PSK**
- **WPS** pin "Brute-Force"
- **WPA PMKID** brute-force
- \[DoS +] **WPA handshake** przechwytywanie + Złamanie
- **WPA-MGT**
- **Przechwytywanie nazwy użytkownika**
- **Przechwytywanie nazw użytkowników**
- **Brute-force** poświadczenia
- **Evil Twin** (z lub bez DoS)
- **Open** Evil Twin \[+ DoS] -- Użyteczne do przechwytywania poświadczeń portalu przechwytywania i/lub przeprowadzania ataków LAN
@ -91,11 +97,11 @@ To narzędzie automatyzuje ataki **WPS/WEP/WPA-PSK**. Automatycznie:
## DOS
### Pakiety Deautoryzacji
### Pakiety deautoryzacji
**Opis z** [**tutaj**:](https://null-byte.wonderhowto.com/how-to/use-mdk3-for-advanced-wi-fi-jamming-0185832/)**.**
Ataki **deautoryzacji**, powszechnie stosowana metoda w hackingu Wi-Fi, polegają na fałszowaniu "ram zarządzających", aby **wymusić rozłączenie urządzeń z sieci**. Te niezaszyfrowane pakiety oszukują klientów, sprawiając, że wierzą, że pochodzą z legalnej sieci, co umożliwia atakującym zbieranie handshake'ów WPA do celów łamania lub ciągłego zakłócania połączeń sieciowych. Ta taktyka, niepokojąca w swojej prostocie, jest szeroko stosowana i ma znaczące implikacje dla bezpieczeństwa sieci.
Ataki **deautoryzacji**, powszechnie stosowana metoda w hackingu Wi-Fi, polegają na fałszowaniu "ram zarządzających", aby **wymusić rozłączenie urządzeń z sieci**. Te niezaszyfrowane pakiety oszukują klientów, sprawiając, że wierzą, iż pochodzą z legalnej sieci, co umożliwia atakującym zbieranie handshake'ów WPA w celach łamania lub trwałe zakłócanie połączeń sieciowych. Ta taktyka, niepokojąca w swojej prostocie, jest szeroko stosowana i ma znaczące implikacje dla bezpieczeństwa sieci.
**Deautoryzacja przy użyciu Aireplay-ng**
```
@ -109,9 +115,9 @@ aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0
### Pakiety Dezaktywacji
**Pakiety dezaktywacji**, podobnie jak pakiety deautoryzacji, są rodzajem ramki zarządzającej używanej w sieciach Wi-Fi. Pakiety te służą do zerwania połączenia między urządzeniem (takim jak laptop lub smartfon) a punktem dostępowym (AP). Główna różnica między dezaktywacją a deautoryzacją leży w ich scenariuszach użycia. Podczas gdy AP emituje **pakiety deautoryzacji, aby explicite usunąć nieautoryzowane urządzenia z sieci, pakiety dezaktywacji są zazwyczaj wysyłane, gdy AP przechodzi w tryb wyłączenia**, restartu lub przenoszenia, co wymaga rozłączenia wszystkich podłączonych węzłów.
**Pakiety dezaktywacji**, podobnie jak pakiety deautoryzacji, są rodzajem ramki zarządzającej używanej w sieciach Wi-Fi. Pakiety te służą do zerwania połączenia między urządzeniem (takim jak laptop lub smartfon) a punktem dostępowym (AP). Główna różnica między dezaktywacją a deautoryzacją polega na ich scenariuszach użycia. Podczas gdy AP emituje **pakiety deautoryzacji, aby usunąć nieautoryzowane urządzenia z sieci, pakiety dezaktywacji są zazwyczaj wysyłane, gdy AP przechodzi w tryb wyłączenia**, restartu lub przenoszenia, co wymaga rozłączenia wszystkich podłączonych węzłów.
**Ten atak można przeprowadzić za pomocą mdk4(tryb "d"):**
**Ten atak można przeprowadzić za pomocą mdk4 (tryb "d"):**
```bash
# -c <channel>
# -b victim_client_mac.txt contains the MAC address of the device to eliminate
@ -126,7 +132,7 @@ mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F
**TRYB ATAKU b: Flooding Beaconów**
Wysyła ramki beaconów, aby pokazać fałszywe APs u klientów. Może to czasami spowodować awarię skanerów sieciowych, a nawet sterowników!
Wysyła ramki beaconów, aby pokazać fałszywe AP na klientach. Może to czasami spowodować awarię skanerów sieciowych, a nawet sterowników!
```bash
# -a Use also non-printable caracters in generated SSIDs and create SSIDs that break the 32-byte limit
# -w n (create Open) t (Create WPA/TKIP) a (Create WPA2/AES)
@ -146,7 +152,7 @@ mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m
```
**TRYB ATAKU p: Probing SSID i Bruteforcing**
Probing Access Points (APs) sprawdza, czy SSID jest prawidłowo ujawniony i potwierdza zasięg AP. Ta technika, w połączeniu z **bruteforcingiem ukrytych SSID** z lub bez listy słów, pomaga w identyfikacji i uzyskiwaniu dostępu do ukrytych sieci.
Probing Access Points (APs) sprawdza, czy SSID jest prawidłowo ujawniony i potwierdza zasięg AP. Ta technika, w połączeniu z **bruteforcing ukrytych SSID** z lub bez listy słów, pomaga w identyfikacji i uzyskiwaniu dostępu do ukrytych sieci.
**TRYB ATAKU m: Wykorzystanie Środków Przeciwdziałających Michaelowi**
@ -167,7 +173,7 @@ mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l]
Różne ataki na zarządzanie łączami i routowanie w sieciach mesh.
**TRYB ATAKU w: Confuzja WIDS**
**TRYB ATAKU w: Confusion WIDS**
Krzyżowe łączenie klientów z wieloma węzłami WDS lub fałszywymi AP może manipulować systemami wykrywania i zapobiegania włamaniom, tworząc zamieszanie i potencjalne nadużycia systemu.
```bash
@ -186,14 +192,14 @@ _**Airgeddon**_ oferuje większość ataków zaproponowanych w poprzednich komen
## WPS
WPS (Wi-Fi Protected Setup) upraszcza proces łączenia urządzeń z routerem, zwiększając szybkość i łatwość konfiguracji dla sieci szyfrowanych z **WPA** lub **WPA2** Personal. Jest nieskuteczny dla łatwo kompromitowanej ochrony WEP. WPS wykorzystuje 8-cyfrowy PIN, weryfikowany w dwóch częściach, co czyni go podatnym na ataki brute-force z powodu ograniczonej liczby kombinacji (11 000 możliwości).
WPS (Wi-Fi Protected Setup) upraszcza proces łączenia urządzeń z routerem, zwiększając szybkość i łatwość konfiguracji dla sieci szyfrowanych z **WPA** lub **WPA2** Personal. Jest nieskuteczny dla łatwo kompromitowanego zabezpieczenia WEP. WPS wykorzystuje 8-cyfrowy PIN, weryfikowany w dwóch częściach, co czyni go podatnym na ataki brute-force z powodu ograniczonej liczby kombinacji (11 000 możliwości).
### WPS Bruteforce
Istnieją 2 główne narzędzia do przeprowadzenia tej akcji: Reaver i Bully.
- **Reaver** został zaprojektowany jako solidny i praktyczny atak przeciwko WPS i był testowany na szerokiej gamie punktów dostępowych i implementacji WPS.
- **Bully** to **nowa implementacja** ataku brute force WPS, napisana w C. Ma kilka zalet w porównaniu do oryginalnego kodu reaver: mniej zależności, poprawiona wydajność pamięci i CPU, prawidłowe obsługiwanie endianness oraz bardziej rozbudowany zestaw opcji.
- **Bully** to **nowa implementacja** ataku brute force WPS, napisana w C. Ma kilka zalet w porównaniu do oryginalnego kodu reaver: mniej zależności, poprawioną wydajność pamięci i CPU, prawidłowe zarządzanie endianness oraz bardziej rozbudowany zestaw opcji.
Atak wykorzystuje **wrażliwość PIN-u WPS**, szczególnie jego ujawnienie pierwszych czterech cyfr oraz rolę ostatniej cyfry jako sumy kontrolnej, co ułatwia atak brute-force. Jednak obrony przed atakami brute-force, takie jak **blokowanie adresów MAC** agresywnych atakujących, wymagają **rotacji adresów MAC**, aby kontynuować atak.
@ -207,11 +213,11 @@ bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3
To udoskonalone podejście celuje w PIN-y WPS wykorzystując znane luki:
1. **Wcześniej odkryte PIN-y**: Wykorzystaj bazę danych znanych PIN-ów powiązanych z konkretnymi producentami, którzy używają jednolitych PIN-ów WPS. Ta baza danych koreluje pierwsze trzy oktety adresów MAC z prawdopodobnymi PIN-ami dla tych producentów.
2. **Algorytmy generowania PIN-ów**: Wykorzystaj algorytmy takie jak ComputePIN i EasyBox, które obliczają PIN-y WPS na podstawie adresu MAC AP. Algorytm Arcadyan dodatkowo wymaga identyfikatora urządzenia, co dodaje warstwę do procesu generowania PIN-u.
2. **Algorytmy generacji PIN-ów**: Wykorzystaj algorytmy takie jak ComputePIN i EasyBox, które obliczają PIN-y WPS na podstawie adresu MAC AP. Algorytm Arcadyan dodatkowo wymaga identyfikatora urządzenia, co dodaje warstwę do procesu generacji PIN-u.
### WPS Pixie Dust attack
**Dominique Bongard** odkrył lukę w niektórych punktach dostępowych (AP) dotyczących tworzenia tajnych kodów, znanych jako **nonces** (**E-S1** i **E-S2**). Jeśli te nonces można odgadnąć, złamanie PIN-u WPS AP staje się łatwe. AP ujawnia PIN w specjalnym kodzie (hash), aby udowodnić, że jest legitny, a nie fałszywy (rogue) AP. Te nonces są zasadniczo "kluczami" do odblokowania "sejfu", który przechowuje PIN WPS. Więcej na ten temat można znaleźć [tutaj](<https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-(Offline-WPS-Attack)>).
**Dominique Bongard** odkrył błąd w niektórych punktach dostępowych (AP) dotyczący tworzenia tajnych kodów, znanych jako **nonces** (**E-S1** i **E-S2**). Jeśli te nonces można odgadnąć, złamanie PIN-u WPS AP staje się łatwe. AP ujawnia PIN w specjalnym kodzie (hash), aby udowodnić, że jest on legitny, a nie fałszywym (rogue) AP. Te nonces są zasadniczo "kluczami" do odblokowania "sejfu", który przechowuje PIN WPS. Więcej na ten temat można znaleźć [tutaj](<https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-(Offline-WPS-Attack)>).
Mówiąc prosto, problem polega na tym, że niektóre AP nie używały wystarczająco losowych kluczy do szyfrowania PIN-u podczas procesu łączenia. To sprawia, że PIN jest podatny na odgadnięcie z zewnątrz sieci (offline brute force attack).
```bash
@ -242,7 +248,7 @@ Wszystkie proponowane ataki WPS można łatwo przeprowadzić za pomocą _**airge
## **WEP**
Tak zniszczony i nieużywany w dzisiejszych czasach. Po prostu wiedz, że _**airgeddon**_ ma opcję WEP o nazwie "All-in-One", aby zaatakować ten rodzaj ochrony. Wiele narzędzi oferuje podobne opcje.
Tak zniszczony i nieużywany w dzisiejszych czasach. Po prostu wiedz, że _**airgeddon**_ ma opcję WEP nazwaną "All-in-One", aby zaatakować ten rodzaj ochrony. Wiele narzędzi oferuje podobne opcje.
![](<../../images/image (432).png>)
@ -262,9 +268,9 @@ Jak wyjaśnia oryginalny post, **PMKID** jest tworzony przy użyciu znanych dany
```bash
PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)
```
Biorąc pod uwagę, że "Nazwa PMK" jest stała, znamy BSSID AP i stacji, a `PMK` jest identyczny z tym z pełnego 4-etapowego uścisku dłoni, **hashcat** może wykorzystać te informacje do złamania PSK i odzyskania hasła!
Biorąc pod uwagę, że "Nazwa PMK" jest stała, znamy BSSID AP i stacji, a `PMK` jest identyczny z tym z pełnego 4-etapowego uścisku, **hashcat** może wykorzystać te informacje do złamania PSK i odzyskania hasła!
Aby **zgromadzić** te informacje i **bruteforce** lokalnie hasło, możesz zrobić:
Aby **zgromadzić** te informacje i **bruteforce'ować** lokalnie hasło, możesz zrobić:
```bash
airmon-ng check kill
airmon-ng start wlan0
@ -276,7 +282,7 @@ hcxdumptool -o /tmp/attack.pcap -i wlan0mon --enable_status=1
#You can also obtains PMKIDs using eaphammer
./eaphammer --pmkid --interface wlan0 --channel 11 --bssid 70:4C:A5:F8:9A:C1
```
Złapane **PMKID-y** będą wyświetlane w **konsoli** i również **zapisane** w \_ **/tmp/attack.pcap**\_\
Złapane **PMKIDy** będą wyświetlane w **konsoli** i również **zapisane** w \_ **/tmp/attack.pcap**\_\
Teraz przekształć zrzut do formatu **hashcat/john** i złam go:
```bash
hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
@ -293,11 +299,11 @@ hccap2john pmkid.hccapx > handshake.john
john handshake.john --wordlist=/usr/share/wordlists/rockyou.txt
aircrack-ng /tmp/att.pcap -w /usr/share/wordlists/rockyou.txt #Sometimes
```
_Zauważyłem, że niektóre przechwycone handshake za pomocą tego narzędzia nie mogły być złamane, nawet znając poprawne hasło. Zalecałbym również przechwytywanie handshake w tradycyjny sposób, jeśli to możliwe, lub przechwytywanie ich w większej liczbie za pomocą tego narzędzia._
_Zauważyłem, że niektóre przechwycone handshake za pomocą tego narzędzia nie mogły być złamane, nawet znając poprawne hasło. Zalecałbym również przechwytywanie handshake w tradycyjny sposób, jeśli to możliwe, lub przechwytywanie ich kilku za pomocą tego narzędzia._
### Przechwytywanie handshake
Atak na **WPA/WPA2** sieci można przeprowadzić poprzez przechwycenie **handshake** i próbę **złamania** hasła **offline**. Proces ten polega na monitorowaniu komunikacji konkretnej sieci i **BSSID** na określonym **kanale**. Oto uproszczony przewodnik:
Atak na sieci **WPA/WPA2** można przeprowadzić, przechwytując **handshake** i próbując **złamać** hasło **offline**. Proces ten polega na monitorowaniu komunikacji konkretnej sieci i **BSSID** na określonym **kanale**. Oto uproszczony przewodnik:
1. Zidentyfikuj **BSSID**, **kanał** i **połączonego klienta** docelowej sieci.
2. Użyj `airodump-ng`, aby monitorować ruch sieciowy na określonym kanale i BSSID, mając nadzieję na przechwycenie handshake. Komenda będzie wyglądać następująco:
@ -308,7 +314,7 @@ airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pca
```bash
aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, may not work in all scenarios
```
_Uwaga, że gdy klient został wylogowany, mógł spróbować połączyć się z innym AP lub, w innych przypadkach, z inną siecią._
_Uwaga, że gdy klient został zdezautoryzowany, mógł spróbować połączyć się z innym AP lub, w innych przypadkach, z inną siecią._
Gdy w `airodump-ng` pojawią się informacje o handshake, oznacza to, że handshake został przechwycony i możesz przestać nasłuchiwać:
@ -364,7 +370,7 @@ Możesz znaleźć więcej informacji na temat tych metod uwierzytelniania [tutaj
Czytając [https://tools.ietf.org/html/rfc3748#page-27](https://tools.ietf.org/html/rfc3748#page-27), wygląda na to, że jeśli używasz **EAP**, to **"Identity"** **messages** muszą być **obsługiwane**, a **nazwa użytkownika** będzie wysyłana w **czystym** w **"Response Identity"** messages.
Nawet używając jednej z najbezpieczniejszych metod uwierzytelniania: **PEAP-EAP-TLS**, możliwe jest **przechwycenie nazwy użytkownika wysłanej w protokole EAP**. Aby to zrobić, **przechwyć komunikację uwierzytelniającą** (uruchom `airodump-ng` w obrębie kanału i `wireshark` na tym samym interfejsie) i filtruj pakiety według `eapol`.\
Nawet używając jednej z najbezpieczniejszych metod uwierzytelniania: **PEAP-EAP-TLS**, możliwe jest **przechwycenie nazwy użytkownika wysłanej w protokole EAP**. Aby to zrobić, **przechwyć komunikację uwierzytelniającą** (uruchom `airodump-ng` w kanale i `wireshark` na tym samym interfejsie) i filtruj pakiety według `eapol`.\
Wewnątrz pakietu "**Response, Identity**" pojawi się **nazwa użytkownika** klienta.
![](<../../images/image (850).png>)
@ -373,9 +379,9 @@ Wewnątrz pakietu "**Response, Identity**" pojawi się **nazwa użytkownika** kl
Ukrywanie tożsamości jest obsługiwane zarówno przez EAP-PEAP, jak i EAP-TTLS. W kontekście sieci WiFi, żądanie EAP-Identity jest zazwyczaj inicjowane przez punkt dostępowy (AP) podczas procesu asocjacji. Aby zapewnić ochronę anonimowości użytkownika, odpowiedź od klienta EAP na urządzeniu użytkownika zawiera tylko niezbędne informacje wymagane do przetworzenia żądania przez początkowy serwer RADIUS. Koncepcja ta jest ilustrowana przez następujące scenariusze:
- EAP-Identity = anonymous
- W tym scenariuszu wszyscy użytkownicy używają pseudonimowego "anonymous" jako swojego identyfikatora użytkownika. Początkowy serwer RADIUS działa jako serwer EAP-PEAP lub EAP-TTLS, odpowiedzialny za zarządzanie stroną serwera protokołu PEAP lub TTLS. Wewnętrzna (chroniona) metoda uwierzytelniania jest następnie obsługiwana lokalnie lub delegowana do zdalnego (domowego) serwera RADIUS.
- EAP-Identity = anonymous@realm_x
- EAP-Identity = anonimowy
- W tym scenariuszu wszyscy użytkownicy używają pseudonimowego "anonimowego" jako swojego identyfikatora użytkownika. Początkowy serwer RADIUS działa jako serwer EAP-PEAP lub EAP-TTLS, odpowiedzialny za zarządzanie stroną serwera protokołu PEAP lub TTLS. Wewnętrzna (chroniona) metoda uwierzytelniania jest następnie obsługiwana lokalnie lub delegowana do zdalnego (domowego) serwera RADIUS.
- EAP-Identity = anonimowy@realm_x
- W tej sytuacji użytkownicy z różnych realmów ukrywają swoje tożsamości, jednocześnie wskazując swoje odpowiednie realm. Umożliwia to początkowemu serwerowi RADIUS proxy żądania EAP-PEAP lub EAP-TTLS do serwerów RADIUS w ich domowych realmach, które działają jako serwer PEAP lub TTLS. Początkowy serwer RADIUS działa wyłącznie jako węzeł przekaźnikowy RADIUS.
- Alternatywnie, początkowy serwer RADIUS może działać jako serwer EAP-PEAP lub EAP-TTLS i albo obsługiwać chronioną metodę uwierzytelniania, albo przekazywać ją do innego serwera. Ta opcja ułatwia konfigurację odmiennych polityk dla różnych realmów.
@ -383,7 +389,7 @@ W EAP-PEAP, po nawiązaniu tunelu TLS między serwerem PEAP a klientem PEAP, ser
EAP-TTLS postępuje nieco inną procedurą. W przypadku EAP-TTLS klient zazwyczaj uwierzytelnia się za pomocą PAP lub CHAP, zabezpieczonych przez tunel TLS. W tym przypadku klient dołącza atrybut User-Name oraz atrybut Password lub CHAP-Password w początkowej wiadomości TLS wysyłanej po nawiązaniu tunelu.
Bez względu na wybrany protokół, serwer PEAP/TTLS uzyskuje wiedzę o prawdziwej tożsamości użytkownika po nawiązaniu tunelu TLS. Prawdziwa tożsamość może być reprezentowana jako user@realm lub po prostu user. Jeśli serwer PEAP/TTLS jest również odpowiedzialny za uwierzytelnienie użytkownika, teraz posiada tożsamość użytkownika i kontynuuje metodę uwierzytelniania chronioną przez tunel TLS. Alternatywnie, serwer PEAP/TTLS może przekazać nowe żądanie RADIUS do domowego serwera RADIUS użytkownika. To nowe żądanie RADIUS pomija warstwę protokołu PEAP lub TTLS. W przypadkach, gdy chroniona metoda uwierzytelniania to EAP, wewnętrzne wiadomości EAP są przesyłane do domowego serwera RADIUS bez opakowania EAP-PEAP lub EAP-TTLS. Atrybut User-Name w wychodzącej wiadomości RADIUS zawiera prawdziwą tożsamość użytkownika, zastępując anonimową nazwę użytkownika z przychodzącego żądania RADIUS. Gdy chroniona metoda uwierzytelniania to PAP lub CHAP (obsługiwane tylko przez TTLS), atrybut User-Name i inne atrybuty uwierzytelniające wyodrębnione z ładunku TLS są zastępowane w wychodzącej wiadomości RADIUS, zastępując anonimową nazwę użytkownika oraz atrybuty TTLS EAP-Message znajdujące się w przychodzącym żądaniu RADIUS.
Bez względu na wybrany protokół, serwer PEAP/TTLS uzyskuje wiedzę o prawdziwej tożsamości użytkownika po nawiązaniu tunelu TLS. Prawdziwa tożsamość może być reprezentowana jako user@realm lub po prostu user. Jeśli serwer PEAP/TTLS jest również odpowiedzialny za uwierzytelnienie użytkownika, teraz posiada tożsamość użytkownika i kontynuuje metodę uwierzytelniania chronioną przez tunel TLS. Alternatywnie, serwer PEAP/TTLS może przekazać nowe żądanie RADIUS do domowego serwera RADIUS użytkownika. To nowe żądanie RADIUS pomija warstwę protokołu PEAP lub TTLS. W przypadkach, gdy chroniona metoda uwierzytelniania to EAP, wewnętrzne wiadomości EAP są przesyłane do domowego serwera RADIUS bez opakowania EAP-PEAP lub EAP-TTLS. Atrybut User-Name w wychodzącej wiadomości RADIUS zawiera prawdziwą tożsamość użytkownika, zastępując anonimowy User-Name z przychodzącego żądania RADIUS. Gdy chroniona metoda uwierzytelniania to PAP lub CHAP (obsługiwane tylko przez TTLS), atrybut User-Name i inne atrybuty uwierzytelniające wyodrębnione z ładunku TLS są zastępowane w wychodzącej wiadomości RADIUS, zastępując anonimowy User-Name i atrybuty TTLS EAP-Message znajdujące się w przychodzącym żądaniu RADIUS.
Aby uzyskać więcej informacji, sprawdź [https://www.interlinknetworks.com/app_notes/eap-peap.htm](https://www.interlinknetworks.com/app_notes/eap-peap.htm)
@ -432,7 +438,7 @@ Zanim wyjaśnione zostanie, jak przeprowadzać bardziej złożone ataki, zostani
Używając `ifconfig -a`, sprawdź, czy interfejs wlan do utworzenia AP oraz interfejs podłączony do Internetu są obecne.
### DHCP i DNS
### DHCP & DNS
```bash
apt-get install dnsmasq #Manages DHCP and DNS
```
@ -494,10 +500,10 @@ echo 1 > /proc/sys/net/ipv4/ip_forward
```
## Evil Twin
Atak evil twin wykorzystuje sposób, w jaki klienci WiFi rozpoznają sieci, polegając głównie na nazwie sieci (ESSID) bez konieczności uwierzytelniania stacji bazowej (punktu dostępowego) dla klienta. Kluczowe punkty to:
Atak evil twin wykorzystuje sposób, w jaki klienci WiFi rozpoznają sieci, polegając głównie na nazwie sieci (ESSID) bez konieczności uwierzytelniania stacji bazowej (punktu dostępowego) wobec klienta. Kluczowe punkty to:
- **Trudności w rozróżnieniu**: Urządzenia mają trudności z odróżnieniem legalnych punktów dostępowych od nieautoryzowanych, gdy dzielą tę samą ESSID i typ szyfrowania. Rzeczywiste sieci często używają wielu punktów dostępowych z tą samą ESSID, aby płynnie rozszerzyć zasięg.
- **Roaming klientów i manipulacja połączeniem**: Protokół 802.11 pozwala urządzeniom na roaming między punktami dostępowymi w tej samej ESS. Atakujący mogą to wykorzystać, kusząc urządzenie do rozłączenia się z aktualną stacją bazową i połączenia z nieautoryzowaną. Można to osiągnąć, oferując silniejszy sygnał lub zakłócając połączenie z legalnym punktem dostępowym za pomocą metod takich jak pakiety deautoryzacji lub zakłócanie.
- **Roaming klientów i manipulacja połączeniem**: Protokół 802.11 pozwala urządzeniom na przemieszczanie się między punktami dostępowymi w tej samej ESS. Atakujący mogą to wykorzystać, kusząc urządzenie do rozłączenia się z aktualną stacją bazową i połączenia z nieautoryzowaną. Można to osiągnąć, oferując silniejszy sygnał lub zakłócając połączenie z legalnym punktem dostępowym za pomocą metod takich jak pakiety deautoryzacji lub zakłócanie.
- **Wyzwania w realizacji**: Skuteczne przeprowadzenie ataku evil twin w środowiskach z wieloma, dobrze umiejscowionymi punktami dostępowymi może być trudne. Deautoryzacja pojedynczego legalnego punktu dostępowego często skutkuje połączeniem urządzenia z innym legalnym punktem dostępowym, chyba że atakujący może deautoryzować wszystkie pobliskie punkty dostępowe lub strategicznie umieścić nieautoryzowany punkt dostępowy.
Możesz stworzyć bardzo podstawowy Open Evil Twin (bez możliwości routowania ruchu do Internetu) wykonując:
@ -512,7 +518,7 @@ Lub używając Airgeddon: `Options: 5,6,7,8,9 (w menu ataku Evil Twin).`
![](<../../images/image (1088).png>)
Proszę zauważyć, że domyślnie, jeśli ESSID w PNL jest zapisany jako chroniony WPA, urządzenie nie połączy się automatycznie z otwartym evil Twin. Możesz spróbować DoSować prawdziwy AP i mieć nadzieję, że użytkownik połączy się ręcznie z twoim otwartym evil twin, lub możesz DoSować prawdziwy AP i użyć WPA Evil Twin, aby przechwycić handshake (używając tej metody nie będziesz w stanie pozwolić ofierze połączyć się z tobą, ponieważ nie znasz PSK, ale możesz przechwycić handshake i spróbować go złamać).
Proszę zauważyć, że domyślnie, jeśli ESSID w PNL jest zapisany jako chroniony WPA, urządzenie nie połączy się automatycznie z otwartym evil Twin. Możesz spróbować DoS prawdziwego AP i mieć nadzieję, że użytkownik połączy się ręcznie z twoim otwartym evil twin, lub możesz DoS prawdziwego AP i użyć WPA Evil Twin, aby przechwycić handshake (używając tej metody nie będziesz w stanie pozwolić ofierze połączyć się z tobą, ponieważ nie znasz PSK, ale możesz przechwycić handshake i spróbować go złamać).
_Niektóre systemy operacyjne i oprogramowanie antywirusowe ostrzegą użytkownika, że połączenie z otwartą siecią jest niebezpieczne..._
@ -524,7 +530,7 @@ Możesz stworzyć **Evil Twin używając WPA/2** i jeśli urządzenia są skonfi
```
### Enterprise Evil Twin
Aby zrozumieć te ataki, zalecałbym przeczytanie wcześniej krótkiego [wyjaśnienia WPA Enterprise](#wpa-enterprise-mgt).
Aby zrozumieć te ataki, zalecam wcześniejsze przeczytanie krótkiego [wyjaśnienia WPA Enterprise](#wpa-enterprise-mgt).
**Używanie hostapd-wpe**
@ -545,11 +551,11 @@ W pliku konfiguracyjnym możesz wybrać wiele różnych rzeczy, takich jak ssid,
# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds
```
Domyślnie, EAPHammer proponuje te metody uwierzytelniania (zauważ GTC jako pierwszą, aby spróbować uzyskać hasła w postaci czystego tekstu, a następnie użycie bardziej solidnych metod uwierzytelniania):
Domyślnie, EAPHammer proponuje te metody uwierzytelniania (zauważ GTC jako pierwszą, którą należy spróbować, aby uzyskać hasła w postaci czystego tekstu, a następnie użycie bardziej solidnych metod uwierzytelniania):
```
GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5
```
To jest domyślna metodologia, aby uniknąć długich czasów połączenia. Możesz jednak również określić metody uwierzytelniania na serwerze od najsłabszej do najsilniejszej:
To jest domyślna metodologia, aby uniknąć długich czasów połączenia. Możesz jednak również określić metody uwierzytelniania od najsłabszej do najsilniejszej:
```
--negotiate weakest
```
@ -571,7 +577,7 @@ Or you could also use:
_Ta metoda była testowana w połączeniu PEAP, ale ponieważ odszyfrowuję dowolny tunel TLS, powinna również działać z EAP-TTLS._
W **konfiguracji** _hostapd-wpe_ **zakomentuj** linię, która zawiera _**dh_file**_ (z `dh_file=/etc/hostapd-wpe/certs/dh` na `#dh_file=/etc/hostapd-wpe/certs/dh`)\
To spowoduje, że `hostapd-wpe` będzie **wymieniać klucze za pomocą RSA** zamiast DH, dzięki czemu będziesz mógł **odszyfrować** ruch później **znając prywatny klucz serwera**.
To spowoduje, że `hostapd-wpe` **wymieni klucze używając RSA** zamiast DH, więc będziesz mógł **odszyfrować** ruch później **znając prywatny klucz serwera**.
Teraz uruchom **Evil Twin** używając **`hostapd-wpe`** z tą zmodyfikowaną konfiguracją jak zwykle. Uruchom również **`wireshark`** w **interfejsie**, który przeprowadza atak Evil Twin.
@ -596,7 +602,7 @@ Różne typy list filtrów dostępu do mediów (MFACLs) oraz ich odpowiadające
2. **MAC-based Blacklist**:
- Fałszywy AP zignoruje zapytania probe od urządzeń na czarnej liście, skutecznie czyniąc fałszywy AP niewidocznym dla tych konkretnych urządzeń.
3. **SSID-based Whitelist**:
- Fałszywy AP będzie odpowiadał na zapytania probe tylko dla określonych ESSID-ów wymienionych na liście dozwolonej, czyniąc go niewidocznym dla urządzeń, których preferowane listy sieci (PNL) nie zawierają tych ESSID-ów.
- Fałszywy AP będzie odpowiadał na zapytania probe tylko dla określonych ESSID-ów wymienionych na liście dozwolonej, czyniąc go niewidocznym dla urządzeń, których preferencyjne listy sieci (PNL) nie zawierają tych ESSID-ów.
4. **SSID-based Blacklist**:
- Fałszywy AP nie będzie odpowiadał na zapytania probe dla konkretnych ESSID-ów na czarnej liście, czyniąc go niewidocznym dla urządzeń poszukujących tych konkretnych sieci.
```bash
@ -620,13 +626,13 @@ name3
```
### KARMA
Ta metoda pozwala **atakującemu na stworzenie złośliwego punktu dostępowego (AP), który odpowiada na wszystkie zapytania probe** od urządzeń próbujących połączyć się z sieciami. Ta technika **oszukuje urządzenia, zmuszając je do połączenia się z AP atakującego** poprzez naśladowanie sieci, których urządzenia szukają. Gdy urządzenie wysyła żądanie połączenia do tego nieuczciwego AP, nawiązuje połączenie, co prowadzi do błędnego połączenia urządzenia z siecią atakującego.
Ta metoda pozwala **atakującemu na stworzenie złośliwego punktu dostępowego (AP), który odpowiada na wszystkie zapytania probe** od urządzeń próbujących połączyć się z sieciami. Ta technika **oszukuje urządzenia, zmuszając je do połączenia się z AP atakującego** poprzez naśladowanie sieci, których urządzenia szukają. Gdy urządzenie wysyła żądanie połączenia do tego fałszywego AP, nawiązuje połączenie, co prowadzi do błędnego połączenia urządzenia z siecią atakującego.
### MANA
Następnie **urządzenia zaczęły ignorować niesolidne odpowiedzi sieciowe**, co zmniejszyło skuteczność pierwotnego ataku karma. Jednak nowa metoda, znana jako **atak MANA**, została wprowadzona przez Iana de Villiersa i Dominica White'a. Metoda ta polega na tym, że nieuczciwy AP **przechwytuje Listy Preferowanych Sieci (PNL) z urządzeń, odpowiadając na ich rozgłosowe zapytania probe** nazwami sieci (SSID), które wcześniej były solidne dla tych urządzeń. Ten zaawansowany atak omija zabezpieczenia przed pierwotnym atakiem karma, wykorzystując sposób, w jaki urządzenia zapamiętują i priorytetyzują znane sieci.
Następnie **urządzenia zaczęły ignorować niesolidne odpowiedzi sieciowe**, co zmniejszyło skuteczność pierwotnego ataku karma. Jednak nowa metoda, znana jako **atak MANA**, została wprowadzona przez Iana de Villiersa i Dominica White'a. Metoda ta polega na tym, że fałszywy AP **przechwytuje Listy Preferowanych Sieci (PNL) z urządzeń, odpowiadając na ich rozgłoszone zapytania probe** nazwami sieci (SSID), które wcześniej były solidne dla tych urządzeń. Ten zaawansowany atak omija zabezpieczenia przed pierwotnym atakiem karma, wykorzystując sposób, w jaki urządzenia zapamiętują i priorytetyzują znane sieci.
Atak MANA działa, monitorując zarówno skierowane, jak i rozgłosowe zapytania probe z urządzeń. W przypadku skierowanych zapytań rejestruje adres MAC urządzenia oraz żądaną nazwę sieci, dodając te informacje do listy. Gdy otrzymane zostanie zapytanie rozgłosowe, AP odpowiada informacjami odpowiadającymi któremukolwiek z sieci na liście urządzenia, zachęcając urządzenie do połączenia się z nieuczciwym AP.
Atak MANA działa, monitorując zarówno skierowane, jak i rozgłoszone zapytania probe z urządzeń. W przypadku skierowanych zapytań rejestruje adres MAC urządzenia oraz żądaną nazwę sieci, dodając te informacje do listy. Gdy otrzymane zostanie zapytanie rozgłoszone, AP odpowiada informacjami odpowiadającymi którejkolwiek z sieci na liście urządzenia, zachęcając urządzenie do połączenia się z fałszywym AP.
```bash
./eaphammer -i wlan0 --cloaking full --mana --mac-whitelist whitelist.txt [--captive-portal] [--auth wpa-psk --creds]
```
@ -636,11 +642,11 @@ Atak **Loud MANA** to zaawansowana strategia, gdy urządzenia nie używają kier
```bash
./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]
```
### Atak Znanych Beaconów
### Atak znanych beaconów
Gdy **atak Loud MANA** może być niewystarczający, **atak Znanych Beaconów** przedstawia inne podejście. Ta metoda **brute-forces proces połączenia, symulując AP, który odpowiada na dowolną nazwę sieci, przechodząc przez listę potencjalnych ESSID-ów** pochodzących z listy słów. To symuluje obecność licznych sieci, mając nadzieję na dopasowanie ESSID-u w PNL ofiary, co skłania do próby połączenia z fałszywym AP. Atak można wzmocnić, łącząc go z opcją `--loud`, aby uzyskać bardziej agresywną próbę przechwycenia urządzeń.
Gdy **atak Loud MANA** może być niewystarczający, **atak znanych beaconów** przedstawia inne podejście. Ta metoda **brute-forces proces połączenia, symulując AP, który odpowiada na dowolną nazwę sieci, przechodząc przez listę potencjalnych ESSID-ów** pochodzących z listy słów. To symuluje obecność licznych sieci, mając nadzieję na dopasowanie ESSID-u w PNL ofiary, co skłania do próby połączenia z fałszywym AP. Atak można wzmocnić, łącząc go z opcją `--loud`, aby uzyskać bardziej agresywną próbę przechwycenia urządzeń.
Eaphammer zaimplementował ten atak jako atak MANA, w którym wszystkie ESSID-y z listy są ładowane (możesz również połączyć to z `--loud`, aby stworzyć atak Loud MANA + Znane beacony):
Eaphammer zaimplementował ten atak jako atak MANA, w którym wszystkie ESSID-y z listy są ładowane (możesz również połączyć to z `--loud`, aby stworzyć atak Loud MANA + znane beacony):
```bash
./eaphammer -i wlan0 --mana [--loud] --known-beacons --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]
```
@ -665,7 +671,7 @@ Bezpieczeństwo połączeń Wi-Fi Direct jest ustanawiane za pomocą **Wi-Fi Pro
- **PIN entry**
- **Near-Field Communication (NFC)**
Metody te, szczególnie wprowadzenie PIN-u, są podatne na te same luki, co WPS w tradycyjnych sieciach Wi-Fi, co czyni je celem dla podobnych wektorów ataków.
Metody te, szczególnie wprowadzenie PIN-u, są podatne na te same luki jak WPS w tradycyjnych sieciach Wi-Fi, co czyni je celem dla podobnych wektorów ataków.
### EvilDirect Hijacking
@ -684,6 +690,6 @@ Metody te, szczególnie wprowadzenie PIN-u, są podatne na te same luki, co WPS
- [https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-(Offline-WPS-Attack)](<https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-(Offline-WPS-Attack)>)
- [https://www.evilsocket.net/2019/02/13/Pwning-WiFi-networks-with-bettercap-and-the-PMKID-client-less-attack/](https://www.evilsocket.net/2019/02/13/Pwning-WiFi-networks-with-bettercap-and-the-PMKID-client-less-attack/)
TODO: Sprawdź [https://github.com/wifiphisher/wifiphisher](https://github.com/wifiphisher/wifiphisher) (logowanie przez facebooka i imitacja WPA w portalach przechwytujących)
TODO: Take a look to [https://github.com/wifiphisher/wifiphisher](https://github.com/wifiphisher/wifiphisher) (login con facebook e imitacionde WPA en captive portals)
{{#include ../../banners/hacktricks-training.md}}

128
src/generic-methodologies-and-resources/pentesting-wifi/enable-nexmon-monitor-and-injection-on-android.md Normal file
View File

@ -0,0 +1,128 @@
# Włącz tryb monitorowania NexMon i wstrzykiwanie pakietów na Androidzie (układy Broadcom)
{{#include ../../banners/hacktricks-training.md}}
## Przegląd
Większość nowoczesnych telefonów z Androidem zawiera układ Wi-Fi Broadcom/Cypress, który jest dostarczany bez trybu monitorowania 802.11 lub możliwości wstrzykiwania ramek. Framework open-source NexMon łata zastrzeżone oprogramowanie układowe, aby dodać te funkcje i udostępnia je za pośrednictwem biblioteki współdzielonej (`libnexmon.so`) oraz pomocnika CLI (`nexutil`). Poprzez wstępne załadowanie tej biblioteki do standardowego sterownika Wi-Fi, zrootowane urządzenie może przechwytywać surowy ruch 802.11 i wstrzykiwać dowolne ramki eliminując potrzebę zewnętrznego adaptera USB.
Ta strona dokumentuje szybki workflow, który wykorzystuje w pełni załatany telefon Samsung Galaxy S10 (BCM4375B1) jako przykład, używając:
* Moduł NexMon Magisk zawierający załatane oprogramowanie układowe + `libnexmon.so`
* Aplikacja Hijacker na Androida do automatyzacji przełączania trybu monitorowania
* Opcjonalnie Kali NetHunter chroot do uruchamiania klasycznych narzędzi bezprzewodowych (aircrack-ng, wifite, mdk4 …) bezpośrednio na wewnętrznym interfejsie
Ta sama technika ma zastosowanie do każdego telefonu, który ma publicznie dostępny patch NexMon (Pixel 1, Nexus 6P, Galaxy S7/S8 itp.).
---
## Wymagania wstępne
* Telefon z Androidem z obsługiwanym układem Broadcom/Cypress (np. BCM4358/59/43596/4375B1)
* Root z Magisk ≥ 24
* BusyBox (większość ROM-ów/NetHunter już go zawiera)
* ZIP NexMon Magisk lub samodzielnie skompilowany patch dostarczający:
* `/system/lib*/libnexmon.so`
* `/system/xbin/nexutil`
* Hijacker ≥ 1.7 (arm/arm64) https://github.com/chrisk44/Hijacker
* (Opcjonalnie) Kali NetHunter lub dowolny Linux chroot, w którym zamierzasz uruchomić narzędzia bezprzewodowe
---
## Flashowanie patcha NexMon (Magisk)
1. Pobierz ZIP dla swojego dokładnego urządzenia/oprogramowania (przykład: `nexmon-s10.zip`).
2. Otwórz Magisk -> Moduły -> Zainstaluj z pamięci -> wybierz ZIP i uruchom ponownie.
Moduł kopiuje `libnexmon.so` do `/data/adb/modules/<module>/lib*/` i zapewnia, że etykiety SELinux są poprawne.
3. Zweryfikuj instalację:
```bash
ls -lZ $(find / -name libnexmon.so 2>/dev/null)
sha1sum $(which nexutil)
```
---
## Konfigurowanie Hijacker
Hijacker może automatycznie przełączać tryb monitorowania przed uruchomieniem `airodump`, `wifite` itp. W **Ustawienia -> Zaawansowane** dodaj następujące wpisy (edytuj ścieżkę do biblioteki, jeśli twój moduł się różni):
```
Prefix:
LD_PRELOAD=/data/user/0/com.hijacker/files/lib/libnexmon.so
Enable monitor mode:
svc wifi disable; ifconfig wlan0 up; nexutil -s0x613 -i -v2
Disable monitor mode:
nexutil -m0; svc wifi enable
```
Włącz „Rozpocznij tryb monitorowania przy starcie airodump”, aby każde skanowanie Hijacker odbywało się w natywnym trybie monitorowania (`wlan0` zamiast `wlan0mon`).
Jeśli Hijacker wyświetla błędy przy uruchamianiu, utwórz wymaganą katalog na wspólnej pamięci i ponownie otwórz aplikację:
```bash
mkdir -p /storage/emulated/0/Hijacker
```
### Co oznaczają te flagi `nexutil`?
* **`-s0x613`** Zapisz zmienną firmware 0x613 (FCAP_FRAME_INJECTION) → `1` (włącz TX dowolnych ramek).
* **`-i`** Ustaw interfejs w trybie monitorowania (nagłówek radiotap zostanie dodany).
* **`-v2`** Ustaw poziom szczegółowości; `2` drukuje potwierdzenie i wersję firmware.
* **`-m0`** Przywróć tryb zarządzany (używany w poleceniu *disable*).
Po uruchomieniu *Włącz tryb monitorowania* powinieneś zobaczyć interfejs w stanie monitorowania i być w stanie przechwytywać surowe ramki za pomocą:
```bash
airodump-ng --band abg wlan0
```
---
## Ręczny one-liner (bez Hijacker)
```bash
# Enable monitor + injection
svc wifi disable && ifconfig wlan0 up && nexutil -s0x613 -i -v2
# Disable and return to normal Wi-Fi
nexutil -m0 && svc wifi enable
```
Jeśli potrzebujesz tylko pasywnego sniffingu, pomiń flagę `-s0x613`.
---
## Używanie `libnexmon` w Kali NetHunter / chroot
Standardowe narzędzia w przestrzeni użytkownika w Kali nie znają NexMon, ale możesz zmusić je do jego użycia za pomocą `LD_PRELOAD`:
1. Skopiuj wstępnie zbudowany obiekt współdzielony do chroot:
```bash
cp /sdcard/Download/kalilibnexmon.so <chroot>/lib/
```
2. Włącz tryb monitorowania z **gospodarza Android** (polecenie powyżej lub przez Hijacker).
3. Uruchom dowolne narzędzie bezprzewodowe w Kali z preload:
```bash
sudo su
export LD_PRELOAD=/lib/kalilibnexmon.so
wifite -i wlan0 # lub aircrack-ng, mdk4 …
```
4. Po zakończeniu, wyłącz tryb monitorowania jak zwykle na Androidzie.
Ponieważ oprogramowanie układowe już obsługuje wstrzykiwanie radiotap, narzędzia w przestrzeni użytkownika zachowują się tak samo jak na zewnętrznym adapterze Atheros.
---
## Typowe ataki możliwe
Gdy monitor + TX jest aktywny, możesz:
* Przechwytywać handshake WPA(2/3-SAE) lub PMKID za pomocą `wifite`, `hcxdumptool`, `airodump-ng`.
* Wstrzykiwać ramki deautoryzacji / dezasocjacji, aby zmusić klientów do ponownego połączenia.
* Tworzyć dowolne ramki zarządzające/dane za pomocą `mdk4`, `aireplay-ng`, Scapy itp.
* Budować fałszywe AP lub przeprowadzać ataki KARMA/MANA bezpośrednio z telefonu.
Wydajność na Galaxy S10 jest porównywalna z zewnętrznymi NIC USB (~20 dBm TX, 2-3 M pps RX).
---
## Rozwiązywanie problemów
* `Device or resource busy` upewnij się, że **usługa Wi-Fi Android jest wyłączona** (`svc wifi disable`) przed włączeniem trybu monitorowania.
* `nexutil: ioctl(PRIV_MAGIC) failed` biblioteka nie jest wstępnie załadowana; sprawdź ścieżkę `LD_PRELOAD`.
* Wstrzykiwanie ramek działa, ale nie przechwycono pakietów niektóre ROM-y blokują kanały; spróbuj `nexutil -c <channel>` lub `iwconfig wlan0 channel <n>`.
* SELinux blokuje bibliotekę ustaw urządzenie na *Permissive* lub napraw kontekst modułu: `chcon u:object_r:system_lib_file:s0 libnexmon.so`.
---
## Odniesienia
* [Hijacker na Samsung Galaxy S10 z wstrzykiwaniem bezprzewodowym](https://forums.kali.org/t/hijacker-on-the-samsung-galaxy-s10-with-wireless-injection/10305)
* [NexMon framework do patchowania oprogramowania układowego](https://github.com/seemoo-lab/nexmon)
* [Hijacker (interfejs graficzny aircrack-ng dla Androida)](https://github.com/chrisk44/Hijacker)
{{#include ../../banners/hacktricks-training.md}}