maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/generic-methodologies-and-resources/pentesting-wifi/REA

Browse Source
This commit is contained in:
Translator 2025-07-13 18:12:05 +00:00
parent 1dc5e841b5
commit cc3970d224
3 changed files with 198 additions and 63 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

1
src/SUMMARY.md
View File

@ -25,6 +25,7 @@
- [Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks](generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)
- [Spoofing SSDP and UPnP Devices with EvilSSDP](generic-methodologies-and-resources/pentesting-network/spoofing-ssdp-and-upnp-devices.md)
- [Pentesting Wifi](generic-methodologies-and-resources/pentesting-wifi/README.md)
- [Enable Nexmon Monitor And Injection On Android](generic-methodologies-and-resources/pentesting-wifi/enable-nexmon-monitor-and-injection-on-android.md)
- [Evil Twin EAP-TLS](generic-methodologies-and-resources/pentesting-wifi/evil-twin-eap-tls.md)
- [Phishing Methodology](generic-methodologies-and-resources/phishing-methodology/README.md)
- [Clone a Website](generic-methodologies-and-resources/phishing-methodology/clone-a-website.md)

132
src/generic-methodologies-and-resources/pentesting-wifi/README.md
View File

@ -19,6 +19,12 @@ iwlist wlan0 scan #Scan available wifis
```
## Araçlar
### Hijacker & NexMon (Android dahili Wi-Fi)
{{#ref}}
enable-nexmon-monitor-and-injection-on-android.md
{{#endref}}
### EAPHammer
```
git clone https://github.com/s0lst1c3/eaphammer.git
@ -60,9 +66,9 @@ Bu araç **WPS/WEP/WPA-PSK** saldırılarını otomatikleştirir. Otomatik olara
- Eğer WEP ise - WEP saldırılarını başlatır
- Eğer WPA-PSK ise
- Eğer WPS ise: Pixie dust saldırısı ve brute-force saldırısı (brute-force saldırısının uzun sürebileceğine dikkat edin). Null PIN veya veritabanı/üretim PIN'lerini denemediğini unutmayın.
- Kırmak için AP'den PMKID yakalamaya çalışır
- Bir el sıkışma yakalamak için AP'nin istemcilerini deauthentike etmeye çalışır
- Eğer PMKID veya El Sıkışma varsa, en iyi 5000 şifreyi kullanarak brute-force denemesi yapar.
- PMKID'yi AP'den yakalamaya çalışır
- Bir el sıkışma yakalamak için AP'nin istemcilerini deauthenticate etmeye çalışır
- PMKID veya El Sıkışma varsa, en iyi 5000 şifreyi kullanarak brute-force denemesi yapar.
## Saldırı Özeti
@ -71,13 +77,13 @@ Bu araç **WPS/WEP/WPA-PSK** saldırılarını otomatikleştirir. Otomatik olara
- Rastgele sahte AP'ler -- Ağları gizle, olası tarayıcıları çökert
- AP'yi aşırı yükle -- AP'yi öldürmeye çalış (genellikle çok faydalı değildir)
- WIDS -- IDS ile oyna
- TKIP, EAPOL -- Bazı AP'lere DoS yapmak için belirli saldırılar
- TKIP, EAPOL -- Bazı AP'lere DoS yapmak için bazı özel saldırılar
- **Kırma**
- **WEP** kırma (birçok araç ve yöntem)
- **WPA-PSK**
- **WPS** pin "Brute-Force"
- **WPA PMKID** brute-force
- \[DoS +] **WPA el sıkışması** yakalama + Kırma
- \[DoS +] **WPA el sıkışma** yakalama + Kırma
- **WPA-MGT**
- **Kullanıcı adı yakalama**
- **Bruteforce** Kimlik Bilgileri
@ -95,7 +101,7 @@ Bu araç **WPS/WEP/WPA-PSK** saldırılarını otomatikleştirir. Otomatik olara
**Açıklama** [**buradan**:](https://null-byte.wonderhowto.com/how-to/use-mdk3-for-advanced-wi-fi-jamming-0185832/)**.**
**Deauthentication** saldırıları, Wi-Fi hacking'inde yaygın bir yöntemdir ve "yönetim" çerçevelerini sahteleyerek **cihazları bir ağdan zorla ayırmayı** içerir. Bu şifrelenmemiş paketler, istemcileri meşru ağdan geldiklerine inandırarak, saldırganların kırma amaçları için WPA el sıkışmalarını toplamasına veya ağ bağlantılarını sürekli olarak kesintiye uğratmasına olanak tanır. Bu basitlikteki taktik, yaygın olarak kullanılmakta ve ağ güvenliği için önemli sonuçlar doğurmaktadır.
**Deauthentication** saldırıları, Wi-Fi hacking'inde yaygın bir yöntemdir ve "yönetim" çerçevelerini sahteleyerek **cihazları bir ağdan zorla ayırmayı** içerir. Bu şifrelenmemiş paketler, istemcileri meşru ağdan geldiklerine inandırarak, saldırganların kırma amaçları için WPA el sıkışmalarını toplamasına veya ağ bağlantılarını sürekli olarak kesintiye uğratmasına olanak tanır. Bu taktik, basitliği ile korkutucu olup, yaygın olarak kullanılmakta ve ağ güvenliği üzerinde önemli etkileri bulunmaktadır.
**Aireplay-ng kullanarak Deauthentication**
```
@ -109,7 +115,7 @@ aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0
### Disassociation Packets
**Disassociation packets**, deauthentication paketlerine benzer şekilde, Wi-Fi ağlarında kullanılan bir yönetim çerçevesidir. Bu paketler, bir cihaz (örneğin, bir dizüstü bilgisayar veya akıllı telefon) ile bir erişim noktası (AP) arasındaki bağlantıyı kesmek için kullanılır. Disassociation ve deauthentication arasındaki temel fark, kullanım senaryolarındadır. Bir AP, **ağdan kötü niyetli cihazlarııkça kaldırmak için deauthentication paketleri yayarken, disassociation paketleri genellikle AP kapandığında, yeniden başlatıldığında veya yer değiştirdiğinde gönderilir; bu da bağlı tüm düğümlerin bağlantısının kesilmesini gerektirir.**
**Disassociation packets**, deauthentication paketlerine benzer şekilde, Wi-Fi ağlarında kullanılan bir yönetim çerçevesidir. Bu paketler, bir cihaz (örneğin bir dizüstü bilgisayar veya akıllı telefon) ile bir erişim noktası (AP) arasındaki bağlantıyı kesmek için kullanılır. Disassociation ve deauthentication arasındaki temel fark, kullanım senaryolarındadır. Bir AP, **ağdan kötü niyetli cihazlarııkça kaldırmak için deauthentication paketleri yayarken, disassociation paketleri genellikle AP kapatıldığında, yeniden başlatıldığında veya yer değiştirirken gönderilir; bu da bağlı tüm düğümlerin bağlantısının kesilmesini gerektirir.**
**Bu saldırı mdk4(mode "d") ile gerçekleştirilebilir:**
```bash
@ -120,9 +126,9 @@ aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0
# Notice that these and other parameters aare optional, you could give onli the ESSID and md4k will automatically search for it, wait for finding clients and deauthenticate them
mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F
```
### **mdk4 ile Daha Fazla DOS Saldırısı**
### **Daha Fazla DOS saldırısı mdk4 ile**
**Burada** [**bulunmaktadır**](https://en.kali.tools/?p=864)**.**
**Burada** [**bulabilirsiniz**](https://en.kali.tools/?p=864)**.**
**SALDIRI MODU b: Beacon Flooding**
@ -134,7 +140,7 @@ Müşterilere sahte AP'leri göstermek için beacon çerçeveleri gönderir. Bu
# All the parameters are optional and you could load ESSIDs from a file
mdk4 wlan0mon b -a -w nta -m
```
**ATTACK MODE a: Kimlik Doğrulama Hizmet Reddi**
**ATTACK MODE a: Kimlik Doğrulama Hizmet Dışı Bırakma**
Erişim alanındaki tüm erişim noktalarına (AP) kimlik doğrulama çerçeveleri göndermek, özellikle birçok istemci söz konusu olduğunda bu AP'leri aşırı yükleyebilir. Bu yoğun trafik, sistem kararsızlığına yol açabilir ve bazı AP'lerin donmasına veya hatta sıfırlanmasına neden olabilir.
```bash
@ -146,19 +152,19 @@ mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m
```
**ATTACK MODE p: SSID Probing and Bruteforcing**
Access Point'ları (AP'ler) sorgulamak, bir SSID'nin düzgün bir şekilde ifşa edilip edilmediğini kontrol eder ve AP'nin menzilini doğrular. Bu teknik, **gizli SSID'leri** bir kelime listesi ile veya kelime listesi olmadan bruteforcing ile birleştirildiğinde, gizli ağları tanımlamaya ve erişmeye yardımcı olur.
Access Point'ları (AP) sorgulamak, bir SSID'nin düzgün bir şekilde ifşa edilip edilmediğini kontrol eder ve AP'nin menzilini doğrular. Bu teknik, **gizli SSID'leri** bir kelime listesi ile veya kelime listesi olmadan bruteforcing ile birleştirildiğinde, gizli ağları tanımlamaya ve erişmeye yardımcı olur.
**ATTACK MODE m: Michael Countermeasures Exploitation**
Farklı QoS kuyruklarına rastgele veya kopya paketler göndermek, **TKIP AP'ler** üzerinde Michael Karşı Önlemlerini tetikleyebilir ve bir dakikalık AP kapatılmasına yol açabilir. Bu yöntem, etkili bir **DoS** (Hizmet Reddi) saldırı taktiğidir.
Farklı QoS kuyruklarına rastgele veya kopya paketler göndermek, **TKIP AP'lerde** Michael Karşı Önlemlerini tetikleyebilir ve bir dakikalık AP kapatılmasına yol açabilir. Bu yöntem, etkili bir **DoS** (Hizmet Reddi) saldırı taktiğidir.
```bash
# -t <BSSID> of a TKIP AP
# -j use inteligent replay to create the DoS
mdk4 wlan0mon m -t EF:60:69:D7:69:2F [-j]
```
**ATTACK MODE e: EAPOL Başlangıç ve Logoff Paket Enjeksiyonu**
**ATTACK MODE e: EAPOL Başlatma ve Çıkış Paketi Enjeksiyonu**
Bir AP'yi **EAPOL Başlangıç çerçeveleri** ile doldurmak **sahte oturumlar** oluşturur, AP'yi aşırı yükler ve meşru istemcileri engeller. Alternatif olarak, **sahte EAPOL Logoff mesajları** enjekte etmek istemcileri zorla bağlantıdan keser, her iki yöntem de ağ hizmetini etkili bir şekilde kesintiye uğratır.
Bir AP'yi **EAPOL Başlatma çerçeveleri** ile doldurmak **sahte oturumlar** oluşturur, AP'yi aşırı yükler ve meşru istemcileri engeller. Alternatif olarak, **sahte EAPOL Çıkış mesajları** enjekte etmek istemcileri zorla bağlantıdan keser, her iki yöntem de ağ hizmetini etkili bir şekilde kesintiye uğratır.
```bash
# Use Logoff messages to kick clients
mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l]
@ -180,7 +186,7 @@ Farklı paket kaynakları ve paket manipülasyonu için kapsamlı bir değiştir
### **Airggedon**
_**Airgeddon**_ önceki yorumlarda önerilen saldırıların çoğunu sunar:
_**Airgeddon**_ önceki yorumlarda önerilen saldırıların çoğunu sunmaktadır:
![](<../../images/image (95).png>)
@ -195,7 +201,7 @@ Bu eylemi gerçekleştirmek için 2 ana araç vardır: Reaver ve Bully.
- **Reaver**, WPS'ye karşı sağlam ve pratik bir saldırı olarak tasarlanmış ve çeşitli erişim noktaları ve WPS uygulamaları üzerinde test edilmiştir.
- **Bully**, C dilinde yazılmış **yeni bir WPS brute force saldırı uygulamasıdır**. Orijinal reaver koduna göre birkaç avantajı vardır: daha az bağımlılık, geliştirilmiş bellek ve CPU performansı, endianlık yönetiminde doğru işlem ve daha sağlam bir seçenek seti.
Saldırı, **WPS PIN'inin zayıflığını** istismar eder; özellikle ilk dört hanenin ifşası ve son hanenin kontrol toplamı olarak rolü, brute-force saldırısını kolaylaştırır. Ancak, saldırganların agresif MAC adreslerini **engelleme** gibi brute-force saldırılarına karşı savunmalar, saldırıya devam etmek için **MAC adresi döngüsü** gerektirir.
Saldırı, **WPS PIN'inin zayıflığını** istismar eder, özellikle ilk dört hanenin ifşası ve son hanenin kontrol toplamı olarak rolü, brute-force saldırısını kolaylaştırır. Ancak, saldırganların agresif MAC adreslerini **engelleme** gibi brute-force saldırılarına karşı savunmalar, saldırıya devam etmek için **MAC adresi döngüsü** gerektirir.
Bully veya Reaver gibi araçlarla WPS PIN'i elde edildikten sonra, saldırgan WPA/WPA2 PSK'sını çıkarabilir ve **kalıcı ağ erişimi** sağlayabilir.
```bash
@ -206,14 +212,14 @@ bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3
Bu rafine yaklaşım, bilinen güvenlik açıklarını kullanarak WPS PIN'lerini hedef alır:
1. **Önceden keşfedilmiş PIN'ler**: Belirli üreticilere bağlı bilinen PIN'lerin yer aldığı bir veritabanını kullanın; bu üreticilerin standart WPS PIN'leri kullandığı bilinmektedir. Bu veritabanı, MAC adreslerinin ilk üç oktetini bu üreticilere ait olası PIN'lerle ilişkilendirir.
1. **Önceden keşfedilmiş PIN'ler**: Belirli üreticilere bağlı bilinen PIN'lerin yer aldığı bir veritabanı kullanın; bu üreticilerin standart WPS PIN'leri kullandığı bilinmektedir. Bu veritabanı, MAC adreslerinin ilk üç oktetini bu üreticiler için muhtemel PIN'lerle ilişkilendirir.
2. **PIN Üretim Algoritmaları**: AP'nin MAC adresine dayalı olarak WPS PIN'lerini hesaplayan ComputePIN ve EasyBox gibi algoritmaları kullanın. Arcadyan algoritması ayrıca bir cihaz kimliği gerektirir ve PIN üretim sürecine bir katman ekler.
### WPS Pixie Dust saldırısı
**Dominique Bongard**, bazı Erişim Noktaları (AP'ler) ile ilgili gizli kodların oluşturulmasında bir hata keşfetti; bu kodlara **nonce** denir (**E-S1** ve **E-S2**). Bu nonceler çözülebilirse, AP'nin WPS PIN'ini kırmak kolaylaşır. AP, meşru olduğunu ve sahte (rogue) bir AP olmadığını kanıtlamak için PIN'i özel bir kod (hash) içinde açığa çıkarır. Bu nonceler, WPS PIN'ini saklayan "kasayı" açmanın "anahtarları" gibidir. Bununla ilgili daha fazla bilgi [burada](<https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-(Offline-WPS-Attack)>).
Basitçe ifade etmek gerekirse, sorun bazı AP'lerin bağlantı sürecinde PIN'i şifrelemek için yeterince rastgele anahtarlar kullanmamasıdır. Bu, PIN'in ağın dışından tahmin edilmesine (offline kaba güç saldırısı) karşı savunmasız hale getirir.
Basit terimlerle, sorun bazı AP'lerin bağlantı sürecinde PIN'i şifrelemek için yeterince rastgele anahtarlar kullanmamasıdır. Bu, PIN'in ağın dışından tahmin edilmesine (offline kaba güç saldırısı) karşı savunmasız hale getirir.
```bash
reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -N -vv
bully wlan1mon -b 00:C0:CA:78:B1:37 -d -v 3
@ -224,7 +230,7 @@ Cihazı izleme moduna geçirmek istemiyorsanız veya `reaver` ve `bully` ile ilg
```
### Null Pin saldırısı
Bazı kötü tasarlanmış sistemler, **Null PIN** (boş veya mevcut olmayan PIN) ile erişim sağlamaya izin verir, bu oldukça alışılmadık bir durumdur. **Reaver** aracı, bu zafiyeti test etme yeteneğine sahiptir, **Bully** ise bunu yapamaz.
Bazı kötü tasarlanmış sistemler, erişim izni vermek için **Null PIN** (boş veya mevcut olmayan PIN) kullanılmasına izin verir, bu oldukça alışılmadık bir durumdur. Bu zafiyeti test edebilen araç **Reaver**'dır, **Bully** ise bunu yapamaz.
```bash
reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''
```
@ -262,7 +268,7 @@ Orijinal gönderide açıklandığı gibi, **PMKID** bilinen veriler kullanılar
```bash
PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)
```
Verilen "PMK Adı" sabit olduğundan, AP'nin ve istasyonun BSSID'sini bildiğimizde, ve `PMK` tam bir 4-yol el sıkışmasından elde edilenle aynı olduğunda, **hashcat** bu bilgileri kullanarak PSK'yı kırabilir ve şifreyi geri kazanabilir!
Verilen "PMK Adı" sabit olduğundan, AP'nin ve istasyonun BSSID'sini bildiğimizde, `PMK` tam bir 4-yol el sıkışmasından elde edilenle aynı olduğundan, **hashcat** bu bilgileri kullanarak PSK'yı kırabilir ve şifreyi geri kazanabilir!
Bu bilgileri **toplamak** ve şifreyi yerel olarak **bruteforce** etmek için şunları yapabilirsiniz:
```bash
@ -276,16 +282,16 @@ hcxdumptool -o /tmp/attack.pcap -i wlan0mon --enable_status=1
#You can also obtains PMKIDs using eaphammer
./eaphammer --pmkid --interface wlan0 --channel 11 --bssid 70:4C:A5:F8:9A:C1
```
**Yakalanan PMKID'ler** **konsolda** gösterilecek ve ayrıca \_ **/tmp/attack.pcap**\_ içinde **kaydedilecektir**.\
**Yakalanan PMKID'ler** **konsolda** gösterilecek ve ayrıca **/tmp/attack.pcap** içine **kaydedilecektir**.\
Şimdi, yakalamayı **hashcat/john** formatına dönüştürün ve kırın:
```bash
hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt
john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt
```
Lütfen doğru bir hash formatının **4 parça** içerdiğini unutmayın, örneğin: `4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838` Eğer sizin **sadece** **3 parça** içeriyorsa, o zaman bu **geçersizdir** (PMKID yakalama geçerli değildi).
Lütfen doğru bir hash'in **4 parça** içerdiğini unutmayın, örneğin: `4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838` Eğer sizin **sadece** **3 parça** içeriyorsa, o zaman bu **geçersizdir** (PMKID yakalama geçerli değildi).
`hcxdumptool` **aynı zamanda el sıkışmaları da yakalar** (şu şekilde bir şey görünecektir: **`MP:M1M2 RC:63258 EAPOLTIME:17091`**). **El sıkışmalarını** `hashcat`/**john** formatına `cap2hccapx` kullanarak **dönüştürebilirsiniz**.
`hcxdumptool` **aynı zamanda el sıkışmaları da yakalar** (buna benzer bir şey görünecektir: **`MP:M1M2 RC:63258 EAPOLTIME:17091`**). **El sıkışmalarını** `hashcat`/**john** formatına `cap2hccapx` kullanarak **dönüştürebilirsiniz**.
```bash
tcpdump -r /tmp/attack.pcapng -w /tmp/att.pcap
cap2hccapx pmkid.pcapng pmkid.hccapx ["Filter_ESSID"]
@ -297,10 +303,10 @@ _Bu aracı kullanarak yakalanan bazı el sıkışmalarının doğru şifre bilin
### El Sıkışma Yakalama
**WPA/WPA2** ağlarına yönelik bir saldırı, bir **el sıkışma** yakalayarak ve şifreyi **çevrimdışı** **kırmaya** çalışarak gerçekleştirilebilir. Bu süreç, belirli bir ağın ve **BSSID**'nin belirli bir **kanalda** iletişimini izlemeyi içerir. İşte basit bir kılavuz:
**WPA/WPA2** ağlarına yönelik bir saldırı, bir **el sıkışma** yakalayarak ve şifreyi **çevrimdışı** **kırmaya** çalışarak gerçekleştirilebilir. Bu süreç, belirli bir ağın ve belirli bir **kanaldaki** **BSSID**'sinin iletişimini izlemeyi içerir. İşte basit bir kılavuz:
1. Hedef ağın **BSSID**'sini, **kanalını** ve bir **bağlı istemcisini** belirleyin.
2. Belirtilen kanal ve BSSID üzerinde ağ trafiğini izlemek için `airodump-ng` kullanın, bir el sıkışma yakalamayı umarak. Komut şöyle görünecektir:
1. Hedef ağın **BSSID**'sini, **kanalını** ve bir **bağlı istemciyi** belirleyin.
2. Belirtilen kanal ve BSSID üzerindeki ağ trafiğini izlemek için `airodump-ng` kullanın, bir el sıkışma yakalamayı umarak. Komut şöyle görünecek:
```bash
airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pcap
```
@ -318,7 +324,7 @@ Handshake yakalandıktan sonra, bunu `aircrack-ng` ile **çözebilirsiniz**:
```
aircrack-ng -w /usr/share/wordlists/rockyou.txt -b 64:20:9F:15:4F:D7 /tmp/psk*.cap
```
### Dosyada el sıkışma olup olmadığını kontrol et
### Dosyadaki el sıkışmasını kontrol et
**aircrack**
```bash
@ -332,7 +338,7 @@ tshark -r psk-01.cap -n -Y eapol #Filter handshake messages #You should have the
```
cowpatty -r psk-01.cap -s "ESSID" -f -
```
_Eğer bu araç, tamamlanmış bir el sıkışmadan önce bir ESSID'nin tamamlanmamış el sıkışmasını bulursa, geçerli olanı tespit edemez._
_Eğer bu araç, tamamlanmış bir el sıkışmadan önce bir ESSID'nin tamamlanmamış el sıkışmasını bulursa, geçerli olanı tespit edemeyecektir._
**pyrit**
```bash
@ -362,7 +368,7 @@ Bu kimlik doğrulama yöntemleri hakkında daha fazla bilgi bulabilirsiniz [bura
### Kullanıcı Adı Yakalama
[https://tools.ietf.org/html/rfc3748#page-27](https://tools.ietf.org/html/rfc3748#page-27) adresinde okuduğuma göre, **EAP** kullanıyorsanız **"Kimlik"** **mesajlarının** **desteklenmesi** gerekir ve **kullanıcı adı**, **"Yanıt Kimliği"** mesajlarında **düz metin** olarak gönderilecektir.
[https://tools.ietf.org/html/rfc3748#page-27](https://tools.ietf.org/html/rfc3748#page-27) adresinde okuduğuma göre, **EAP** kullanıyorsanız **"Kimlik"** **mesajları** **desteklenmelidir** ve **kullanıcı adı** **"Yanıt Kimliği"** mesajlarında **açık** olarak gönderilecektir.
En güvenli kimlik doğrulama yöntemlerinden biri olan **PEAP-EAP-TLS** kullanılsa bile, **EAP protokolünde gönderilen kullanıcı adını yakalamak** mümkündür. Bunu yapmak için, **bir kimlik doğrulama iletişimini yakalayın** (bir kanalda `airodump-ng` başlatın ve aynı arayüzde `wireshark` kullanın) ve paketleri `eapol` ile filtreleyin.\
**"Yanıt, Kimlik"** paketinin içinde, istemcinin **kullanıcı adı** görünecektir.
@ -379,11 +385,11 @@ Kimlik gizleme, hem EAP-PEAP hem de EAP-TTLS tarafından desteklenmektedir. Bir
- Bu durumda, farklı alanlardan gelen kullanıcılar kimliklerini gizlerken kendi alanlarını belirtirler. Bu, ilk RADIUS sunucusunun EAP-PEAP veya EAP-TTLS isteklerini kendi ev alanlarındaki RADIUS sunucularına yönlendirmesine olanak tanır; bu sunucular PEAP veya TTLS sunucusu olarak işlev görür. İlk RADIUS sunucusu yalnızca bir RADIUS iletim düğümü olarak çalışır.
- Alternatif olarak, ilk RADIUS sunucusu EAP-PEAP veya EAP-TTLS sunucusu olarak işlev görebilir ve ya korunan kimlik doğrulama yöntemini yönetebilir ya da başka bir sunucuya iletebilir. Bu seçenek, farklı alanlar için farklı politikaların yapılandırılmasını kolaylaştırır.
EAP-PEAP'te, PEAP sunucusu ile PEAP istemcisi arasında TLS tüneli kurulduktan sonra, PEAP sunucusu bir EAP-Kimlik isteği başlatır ve bunu TLS tüneli aracılığıyla iletir. İstemci, bu ikinci EAP-Kimlik isteğine, kullanıcının gerçek kimliğini içeren bir EAP-Kimlik yanıtı göndererek yanıt verir. Bu yaklaşım, 802.11 trafiğini dinleyen herhangi birine kullanıcının gerçek kimliğinin ifşa edilmesini etkili bir şekilde engeller.
EAP-PEAP'te, PEAP sunucusu ile PEAP istemcisi arasında TLS tüneli kurulduktan sonra, PEAP sunucusu bir EAP-Kimlik isteği başlatır ve bunu TLS tüneli aracılığıyla iletir. İstemci, bu ikinci EAP-Kimlik isteğine yanıt olarak kullanıcının gerçek kimliğini içeren bir EAP-Kimlik yanıtı gönderir. Bu yaklaşım, 802.11 trafiğini dinleyen herhangi birine kullanıcının gerçek kimliğinin ifşa edilmesini etkili bir şekilde engeller.
EAP-TTLS, biraz farklı bir prosedür izler. EAP-TTLS ile istemci genellikle PAP veya CHAP kullanarak kimlik doğrulaması yapar ve bu, TLS tüneli ile güvence altına alınır. Bu durumda, istemci, tünel kurulduktan sonra gönderilen ilk TLS mesajında bir Kullanıcı Adı niteliği ve ya bir Şifre ya da CHAP-Şifre niteliği içerir.
EAP-TTLS, biraz farklı bir prosedür izler. EAP-TTLS ile istemci genellikle PAP veya CHAP kullanarak kimlik doğrulaması yapar ve bu, TLS tüneli ile güvence altına alınır. Bu durumda, istemci, tünel kurulumu sonrasında gönderilen ilk TLS mesajında bir Kullanıcı-Adı niteliği ve ya bir Şifre ya da CHAP-Şifre niteliği içerir.
Seçilen protokolden bağımsız olarak, PEAP/TTLS sunucusu TLS tüneli kurulduktan sonra kullanıcının gerçek kimliğini öğrenir. Gerçek kimlik, user@realm veya basitçe user olarak temsil edilebilir. Eğer PEAP/TTLS sunucusu aynı zamanda kullanıcıyı kimlik doğrulamakla da sorumluysa, artık kullanıcının kimliğine sahiptir ve TLS tüneli ile korunan kimlik doğrulama yöntemine devam eder. Alternatif olarak, PEAP/TTLS sunucusu kullanıcının ev RADIUS sunucusuna yeni bir RADIUS isteği iletebilir. Bu yeni RADIUS isteği, PEAP veya TTLS protokol katmanını atlar. Korunan kimlik doğrulama yöntemi EAP olduğunda, iç EAP mesajları, EAP-PEAP veya EAP-TTLS sarmalayıcısı olmadan ev RADIUS sunucusuna iletilir. Çıkan RADIUS mesajının Kullanıcı Adı niteliği, gelen RADIUS isteğinden anonim Kullanıcı Adı yerine kullanıcının gerçek kimliğini içerir. Korunan kimlik doğrulama yöntemi PAP veya CHAP (yalnızca TTLS tarafından desteklenir) olduğunda, TLS yükünden çıkarılan Kullanıcı Adı ve diğer kimlik doğrulama nitelikleri, çıkan RADIUS mesajında anonim Kullanıcı Adı ve gelen RADIUS isteğinde bulunan TTLS EAP-Mesaj niteliklerinin yerini alacak şekilde değiştirilir.
Seçilen protokolden bağımsız olarak, PEAP/TTLS sunucusu TLS tüneli kurulduktan sonra kullanıcının gerçek kimliğini öğrenir. Gerçek kimlik, user@realm veya sadece user olarak temsil edilebilir. Eğer PEAP/TTLS sunucusu aynı zamanda kullanıcıyı kimlik doğrulamakla sorumluysa, artık kullanıcının kimliğine sahiptir ve TLS tüneli ile korunan kimlik doğrulama yöntemine devam eder. Alternatif olarak, PEAP/TTLS sunucusu kullanıcının ev RADIUS sunucusuna yeni bir RADIUS isteği iletebilir. Bu yeni RADIUS isteği, PEAP veya TTLS protokol katmanını atlar. Korunan kimlik doğrulama yöntemi EAP olduğunda, iç EAP mesajları, EAP-PEAP veya EAP-TTLS sarmalayıcısı olmadan ev RADIUS sunucusuna iletilir. Çıkan RADIUS mesajının Kullanıcı-Adı niteliği, gelen RADIUS isteğinden anonim Kullanıcı-Adı ile değiştirilerek kullanıcının gerçek kimliğini içerir. Korunan kimlik doğrulama yöntemi PAP veya CHAP (yalnızca TTLS tarafından desteklenir) olduğunda, TLS yükünden çıkarılan Kullanıcı-Adı ve diğer kimlik doğrulama nitelikleri, çıkan RADIUS mesajında anonim Kullanıcı-Adı ve gelen RADIUS isteğinde bulunan TTLS EAP-Mesajı niteliklerinin yerini alacak şekilde değiştirilir.
Daha fazla bilgi için [https://www.interlinknetworks.com/app_notes/eap-peap.htm](https://www.interlinknetworks.com/app_notes/eap-peap.htm) adresine bakın.
@ -416,21 +422,21 @@ Bu saldırıyı `eaphammer` kullanarak da gerçekleştirebilirsiniz:
### Pasif Tarama
- AP'ler, varlıklarını ve özelliklerini duyuran sinyal çerçevelerini periyodik olarak yayınlar, AP'nin ESSID'sini yayınlamayı devre dışı bırakmadıkça.
- Pasif tarama sırasında, istasyonlar sinyal çerçevelerini dinler. Eğer bir sinyalin ESSID'si istasyonun PNL'sindeki bir girişle eşleşirse, istasyon otomatik olarak o AP'ye bağlanabilir.
- Bir cihazın PNL'sinin bilgisi, bilinen bir ağın ESSID'sini taklit ederek potansiyel istismar için kullanılabilir ve cihazı sahte bir AP'ye bağlanmaya kandırabilir.
- AP'ler, varlıklarını ve özelliklerini duyuran, AP'nin ESSID'sini içeren işaret çerçevelerini periyodik olarak yayınlar, yayınlama devre dışı bırakılmadığı sürece.
- Pasif tarama sırasında, istasyonlar işaret çerçevelerini dinler. Eğer bir işaretin ESSID'si istasyonun PNL'sindeki bir girişle eşleşirse, istasyon otomatik olarak o AP'ye bağlanabilir.
- Bir cihazın PNL'sinin bilgisi, bilinen bir ağın ESSID'sini taklit ederek potansiyel istismar için olanak sağlar ve cihazı sahte bir AP'ye bağlanmaya kandırır.
### Aktif Sorgulama
- Aktif sorgulama, istasyonların yakınlardaki AP'leri ve özelliklerini keşfetmek için sorgu talepleri göndermesini içerir.
- Yönlendirilmiş sorgu talepleri, belirli bir ESSID'yi hedef alır ve belirli bir ağın menzil içinde olup olmadığını tespit etmeye yardımcı olur, hatta bu gizli bir ağ olsa bile.
- Yayınlanan sorgu talepleri, boş bir SSID alanına sahiptir ve tüm yakınlardaki AP'lere gönderilir, böylece istasyon, PNL içeriğini ifşa etmeden herhangi bir tercih edilen ağı kontrol edebilir.
- Aktif sorgulama, istasyonların yakınlardaki AP'leri ve özelliklerini keşfetmek için sorgu istekleri göndermesini içerir.
- Yönlendirilmiş sorgu istekleri, belirli bir ESSID'yi hedef alır ve belirli bir ağın menzil içinde olup olmadığını tespit etmeye yardımcı olur, hatta gizli bir ağ olsa bile.
- Yayın sorgu istekleri, boş bir SSID alanına sahiptir ve tüm yakınlardaki AP'lere gönderilir, bu da istasyonun PNL içeriğini açıklamadan herhangi bir tercih edilen ağı kontrol etmesine olanak tanır.
## Basit AP ile İnternete Yönlendirme
Daha karmaşık saldırıları nasıl gerçekleştireceğini açıklamadan önce, sadece bir **AP** oluşturmanın ve **trafik** yönlendirmesinin **nasıl** yapılacağııklanacaktır **İnternete** bağlı bir arayüze.
`ifconfig -a` komutunu kullanarak, AP'yi oluşturmak için wlan arayüzünün ve İnternete bağlı arayüzün mevcut olduğunu kontrol edin.
`ifconfig -a` kullanarak, AP'yi oluşturmak için wlan arayüzünün ve İnternete bağlı arayüzün mevcut olduğunu kontrol edin.
### DHCP & DNS
```bash
@ -453,7 +459,7 @@ Sonra **IP'leri** ve **yolları** ayarlayın:
ifconfig wlan0 up 192.168.1.1 netmask 255.255.255.0
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1
```
Ve sonra **dnsmasq'ı** başlatın:
Ve sonra **dnsmasq**'ı başlatın:
```bash
dnsmasq -C dnsmasq.conf -d
```
@ -494,13 +500,13 @@ echo 1 > /proc/sys/net/ipv4/ip_forward
```
## Evil Twin
Evil twin saldırısı, WiFi istemcilerinin ağları tanıma şekillerini istismar eder, esasen ağ adını (ESSID) kullanarak, temel istasyonun (erişim noktası) istemciye kendini doğrulamasını gerektirmeden. Anahtar noktalar şunlardır:
Evil twin saldırısı, WiFi istemcilerinin ağları tanıma şekillerini istismar eder, esasen ağ adını (ESSID) kullanarak, erişim noktasının istemciye kendini doğrulamasını gerektirmeden. Anahtar noktalar şunlardır:
- **Ayrım Zorluğu**: Cihazlar, aynı ESSID ve şifreleme türüne sahip olduklarında meşru ve sahte erişim noktalarını ayırt etmekte zorlanır. Gerçek dünya ağları genellikle kapsama alanını kesintisiz uzatmak için aynı ESSID'ye sahip birden fazla erişim noktası kullanır.
- **İstemci Geçişi ve Bağlantı Manipülasyonu**: 802.11 protokolü, cihazların aynı ESS içindeki erişim noktaları arasında geçiş yapmasına olanak tanır. Saldırganlar, bir cihazı mevcut temel istasyonundan ayırıp sahte birine bağlanmaya ikna ederek bunu istismar edebilir. Bu, daha güçlü bir sinyal sunarak veya meşru erişim noktasına olan bağlantıyı deauthentikasyon paketleri veya sinyal karıştırma gibi yöntemlerle keserek gerçekleştirilebilir.
- **İstemci Gezinme ve Bağlantı Manipülasyonu**: 802.11 protokolü, cihazların aynı ESS içindeki erişim noktaları arasında gezinmesine olanak tanır. Saldırganlar, bir cihazı mevcut baz istasyonundan ayırıp sahte birine bağlanmaya ikna ederek bunu istismar edebilir. Bu, daha güçlü bir sinyal sunarak veya meşru erişim noktasına olan bağlantıyı deauthentikasyon paketleri veya sinyal karıştırma gibi yöntemlerle keserek gerçekleştirilebilir.
- **Uygulama Zorlukları**: Birden fazla, iyi yerleştirilmiş erişim noktasının bulunduğu ortamlarda evil twin saldırısını başarıyla gerçekleştirmek zor olabilir. Tek bir meşru erişim noktasını deauthentikasyon yapmak, genellikle cihazın başka bir meşru erişim noktasına bağlanmasına neden olur, saldırgan tüm yakın erişim noktalarını deauthentikasyon yapmadıkça veya sahte erişim noktasını stratejik olarak yerleştirmedikçe.
Çok temel bir Open Evil Twin (İnternete trafik yönlendirme yeteneği olmadan) oluşturabilirsiniz:
Çok temel bir Open Evil Twin (İnternete trafik yönlendirme yeteneği olmayan) oluşturabilirsiniz:
```bash
airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon
```
@ -512,7 +518,7 @@ Or using Airgeddon: `Options: 5,6,7,8,9 (inside Evil Twin attack menu).`
![](<../../images/image (1088).png>)
Lütfen, varsayılan olarak PNL'deki bir ESSID WPA korumalı olarak kaydedilmişse, cihazın otomatik olarak açık bir evil twin'e bağlanmayacağını unutmayın. Gerçek AP'yi DoS yapmayı deneyebilir ve kullanıcının manuel olarak açık evil twin'inize bağlanmasını umabilirsiniz, ya da gerçek AP'yi DoS yapıp bir WPA Evil Twin kullanarak el sıkışmayı yakalayabilirsiniz (bu yöntemi kullanarak kurbanın size bağlanmasını sağlayamazsınız çünkü PSK'yı bilmiyorsunuz, ancak el sıkışmayı yakalayabilir ve kırmayı deneyebilirsiniz).
Lütfen, varsayılan olarak PNL'deki bir ESSID WPA korumalı olarak kaydedilmişse, cihazın otomatik olarak açık bir evil Twin'e bağlanmayacağını unutmayın. Gerçek AP'yi DoS yapmayı deneyebilir ve kullanıcının manuel olarak açık evil twin'inize bağlanmasını umabilirsiniz, ya da gerçek AP'yi DoS yapıp bir WPA Evil Twin kullanarak el sıkışmayı yakalayabilirsiniz (bu yöntemi kullanarak kurbanın size bağlanmasını sağlayamazsınız çünkü PSK'yı bilmiyorsunuz, ancak el sıkışmayı yakalayabilir ve kırmaya çalışabilirsiniz).
_Bazı işletim sistemleri ve antivirüs yazılımları, açık bir ağa bağlanmanın tehlikeli olduğunu kullanıcıya bildirecektir..._
@ -545,7 +551,7 @@ Yapılandırma dosyasında ssid, kanal, kullanıcı dosyaları, cret/key, dh par
# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds
```
Varsayılan olarak, EAPHammer bu kimlik doğrulama yöntemlerini önerir (ilk olarak düz metin şifrelerini elde etmeye çalışmak için GTC'yi ve ardından daha sağlam kimlik doğrulama yöntemlerinin kullanımını dikkate alarak):
Varsayılan olarak, EAPHammer bu kimlik doğrulama yöntemlerini amaçlar (ilk olarak düz metin şifrelerini elde etmeye çalışmak için GTC'yi ve ardından daha sağlam kimlik doğrulama yöntemlerinin kullanımını dikkate alarak):
```
GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5
```
@ -553,15 +559,15 @@ Bu, uzun bağlantı sürelerini önlemek için varsayılan metodolojidir. Ancak,
```
--negotiate weakest
```
Or you could also use:
Ya da şunu da kullanabilirsiniz:
- `--negotiate gtc-downgrade` yüksek verimli GTC downgrade uygulamasını (düz metin şifreleri) kullanmak için
- `--negotiate manual --phase-1-methods PEAP,TTLS --phase-2-methods MSCHAPV2,GTC,TTLS-PAP` sunulan yöntemleri manuel olarak belirtmek için (saldırının gerçekleştirileceği organizasyonla aynı sırada aynı kimlik doğrulama yöntemlerini sunmak, tespiti çok daha zor hale getirecektir).
- [Find more info in the wiki](http://solstice.sh/wireless/eaphammer/2019/09/10/eap-downgrade-attacks/)
- `--negotiate gtc-downgrade` yüksek verimli GTC downgrade uygulamasını (düz metin şifreler) kullanmak için
- `--negotiate manual --phase-1-methods PEAP,TTLS --phase-2-methods MSCHAPV2,GTC,TTLS-PAP` sunulan yöntemleri manuel olarak belirtmek için (saldırının tespit edilmesi, organizasyonun sunduğu aynı kimlik doğrulama yöntemlerini aynı sırayla sunmakla çok daha zor olacaktır).
- [Wiki'de daha fazla bilgi bulun](http://solstice.sh/wireless/eaphammer/2019/09/10/eap-downgrade-attacks/)
**Airgeddon Kullanımı**
`Airgeddon`, daha önce oluşturulmuş sertifikaları kullanarak WPA/WPA2-Enterprise ağlarına EAP kimlik doğrulaması sunabilir. Sahte ağ, bağlantı protokolünü EAP-MD5'e düşürecektir, böylece **kullanıcının ve şifrenin MD5'ini yakalayabilecektir**. Daha sonra, saldırgan şifreyi kırmaya çalışabilir.\
`Airgeddon`, daha önce oluşturulmuş sertifikaları kullanarak WPA/WPA2-Enterprise ağlarına EAP kimlik doğrulaması sunabilir. Sahte ağ, bağlantı protokolünü EAP-MD5'e düşürecektir, böylece **kullanıcıyı ve şifrenin MD5'ini yakalayabilecektir**. Daha sonra, saldırgan şifreyi kırmaya çalışabilir.\
`Airgeddon`, size **sürekli Evil Twin saldırısı (gürültülü)** veya **birisi bağlanana kadar sadece Evil Attack oluşturma (sakin)** olanağını sunar.
![](<../../images/image (936).png>)
@ -570,14 +576,14 @@ Or you could also use:
_Bu yöntem bir PEAP bağlantısında test edildi, ancak ben keyfi bir TLS tünelini şifrelediğim için bu EAP-TTLS ile de çalışmalıdır._
**hostapd-wpe** _konfigürasyonunun_ içinde **dh_file** içeren satırı **yorumlayın** (`dh_file=/etc/hostapd-wpe/certs/dh`'den `#dh_file=/etc/hostapd-wpe/certs/dh`'ye)\
Bu, `hostapd-wpe`'nin **RSA kullanarak anahtar değişimi** yapmasını sağlayacak, böylece **sunucunun özel anahtarını bilerek** trafiği daha sonra **şifreleyebilirsiniz**.
**hostapd-wpe**'nin **konfigürasyonu** içinde, _**dh_file**_ içeren satırı **yorumlayın** (`dh_file=/etc/hostapd-wpe/certs/dh`'den `#dh_file=/etc/hostapd-wpe/certs/dh`'ye)\
Bu, `hostapd-wpe`'nin **RSA kullanarak anahtar değişimi** yapmasını sağlayacak, böylece daha sonra **sunucunun özel anahtarını bilerek** trafiği **şifreleyebilirsiniz**.
Şimdi, her zamanki gibi o değiştirilmiş konfigürasyonla **`hostapd-wpe`** kullanarak **Evil Twin**'i başlatın. Ayrıca, **Evil Twin saldırısını** gerçekleştiren **arayüzde** **`wireshark`**'ı başlatın.
Şimdi veya daha sonra (zaten bazı kimlik doğrulama girişimlerini yakaladığınızda) özel RSA anahtarını wireshark'a ekleyebilirsiniz: `Edit --> Preferences --> Protocols --> TLS --> (RSA keys list) Edit...`
Yeni bir giriş ekleyin ve formu bu değerlerle doldurun: **IP adresi = herhangi biri** -- **Port = 0** -- **Protokol = veri** -- **Anahtar Dosyası** (**anahtar dosyanızı seçin**, sorun yaşamamak için **şifre korumalı olmayan** bir anahtar dosyası seçin).
Yeni bir giriş ekleyin ve bu değerlerle formu doldurun: **IP adresi = herhangi** -- **Port = 0** -- **Protokol = data** -- **Anahtar Dosyası** (**anahtar dosyanızı seçin**, sorun yaşamamak için **şifre korumalı olmayan** bir anahtar dosyası seçin).
![](<../../images/image (687).png>)
@ -585,7 +591,7 @@ Ve yeni **"Şifrelenmiş TLS" sekmesine** bakın:
![](<../../images/image (231).png>)
## KARMA, MANA, Loud MANA ve Bilinen işaretçiler saldırısı
## KARMA, MANA, Loud MANA ve Bilinen işaretçi saldırısı
### ESSID ve MAC kara/beyaz listeleri
@ -594,11 +600,11 @@ Farklı türdeki Medya Erişim Kontrol Filtre Listeleri (MFACL'ler) ve bunların
1. **MAC tabanlı Beyaz Liste**:
- Sahte AP, yalnızca beyaz listede belirtilen cihazlardan gelen probe isteklerine yanıt verecek, listede olmayan diğer tüm cihazlara görünmez kalacaktır.
2. **MAC tabanlı Kara Liste**:
- Sahte AP, kara listedeki cihazlardan gelen probe isteklerini görmezden gelecek, bu da sahte AP'yi o belirli cihazlara görünmez kılacaktır.
- Sahte AP, kara listedeki cihazlardan gelen probe isteklerini görmezden gelecek, böylece sahte AP bu belirli cihazlara görünmez hale gelecektir.
3. **SSID tabanlı Beyaz Liste**:
- Sahte AP, yalnızca belirli ESSID'ler için gelen probe isteklerine yanıt verecek, bu da onu Tercih Edilen Ağ Listeleri (PNL'ler) o ESSID'leri içermeyen cihazlara görünmez kılacaktır.
- Sahte AP, yalnızca belirli ESSID'ler için gelen probe isteklerine yanıt verecek, bu ESSID'leri içermeyen cihazlara görünmez olacaktır.
4. **SSID tabanlı Kara Liste**:
- Sahte AP, kara listedeki belirli ESSID'ler için gelen probe isteklerine yanıt vermeyecek, bu da onu o belirli ağları arayan cihazlara görünmez kılacaktır.
- Sahte AP, kara listedeki belirli ESSID'ler için gelen probe isteklerine yanıt vermeyecek, bu belirli ağları arayan cihazlara görünmez hale gelecektir.
```bash
# example EAPHammer MFACL file, wildcards can be used
09:6a:06:c8:36:af
@ -620,7 +626,7 @@ name3
```
### KARMA
Bu yöntem, **bir saldırganın, ağlara bağlanmaya çalışan cihazlardan gelen tüm probe isteklerine yanıt veren kötü niyetli bir erişim noktası (AP) oluşturmasına** olanak tanır. Bu teknik, **cihazları, aradıkları ağları taklit ederek saldırganın AP'sine bağlanmaya kandırır**. Bir cihaz bu sahte AP'ye bir bağlantı isteği gönderdiğinde, bağlantıyı tamamlar ve cihazın yanlışlıkla saldırganın ağına bağlanmasına neden olur.
Bu yöntem, **bir saldırganın, ağlara bağlanmaya çalışan cihazlardan gelen tüm probe isteklerine yanıt veren kötü niyetli bir erişim noktası (AP) oluşturmasına** olanak tanır. Bu teknik, **cihazları, saldırganın AP'sine bağlanmaya kandırarak** cihazların aradığı ağları taklit eder. Bir cihaz bu sahte AP'ye bir bağlantı isteği gönderdiğinde, bağlantıyı tamamlar ve cihazın yanlışlıkla saldırganın ağına bağlanmasına neden olur.
### MANA
@ -632,15 +638,15 @@ MANA saldırısı, cihazlardan gelen hem yönlendirilmiş hem de yayınlanmış
```
### Loud MANA
Bir **Loud MANA saldırısı**, cihazların yönlendirilmiş sorgulama kullanmadığı veya Tercih Edilen Ağ Listeleri (PNL) saldırgana bilinmediği durumlar için gelişmiş bir stratejidir. Bu, **aynı alandaki cihazların PNL'lerinde bazı ağ adlarını paylaşma olasılığının yüksek olduğu** ilkesine dayanır. Seçici bir şekilde yanıt vermek yerine, bu saldırı gözlemlenen tüm cihazların birleştirilmiş PNL'lerinde bulunan her ağ adı (ESSID) için sorgu yanıtlarını yayınlar. Bu geniş yaklaşım, bir cihazın tanıdık bir ağı tanıma ve sahte Erişim Noktasına (AP) bağlanma girişiminde bulunma şansını artırır.
Bir **Loud MANA saldırısı**, cihazların yönlendirilmiş sorgulama kullanmadığı veya Tercih Edilen Ağ Listeleri (PNL) saldırgana bilinmediği durumlar için gelişmiş bir stratejidir. Bu, **aynı alandaki cihazların PNL'lerinde bazı ağ adlarını paylaşma olasılığının yüksek olduğu** prensibine dayanır. Seçici bir şekilde yanıt vermek yerine, bu saldırı gözlemlenen tüm cihazların birleştirilmiş PNL'lerinde bulunan her ağ adı (ESSID) için sorgu yanıtlarını yayınlar. Bu geniş yaklaşım, bir cihazın tanıdık bir ağı tanıma ve sahte Erişim Noktasına (AP) bağlanma girişiminde bulunma şansını artırır.
```bash
./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]
```
### Bilinen Beacon saldırısı
### Known Beacon attack
When the **Loud MANA attack** may not suffice, the **Bilinen Beacon saldırısı** presents another approach. This method **brute-forces the connection process by simulating an AP that responds to any network name, cycling through a list of potential ESSIDs** derived from a wordlist. This simulates the presence of numerous networks, hoping to match an ESSID within the victim's PNL, prompting a connection attempt to the fabricated AP. The attack can be amplified by combining it with the `--loud` option for a more aggressive attempt to ensnare devices.
**Loud MANA attack** yeterli olmadığında, **Known Beacon attack** başka bir yaklaşım sunar. Bu yöntem, **bir ağ adıyla yanıt veren bir AP'yi simüle ederek bağlantı sürecini brute-force ile zorlar, bir kelime listesinden türetilen potansiyel ESSID'lerin bir listesini döngüye alır**. Bu, birçok ağın varlığını simüle eder, mağdurun PNL'sindeki bir ESSID ile eşleşmeyi umarak, uydurulan AP'ye bir bağlantı denemesi yapar. Saldırı, cihazları yakalamak için daha agresif bir deneme yapmak amacıyla `--loud` seçeneği ile birleştirilerek güçlendirilebilir.
Eaphammer implemented this attack as a MANA attack where all the ESSIDs inside a list are charged (you could also combine this with `--loud` to create a Loud MANA + Bilinen beacons attack):
Eaphammer, bu saldırıyı bir MANA saldırısı olarak uyguladı; burada bir listedeki tüm ESSID'ler kullanılır (bunu `--loud` ile birleştirerek Loud MANA + Known beacons saldırısı oluşturabilirsiniz):
```bash
./eaphammer -i wlan0 --mana [--loud] --known-beacons --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]
```
@ -665,7 +671,7 @@ Wi-Fi Direct bağlantıları için güvenlik, birkaç güvenli eşleştirme yön
- **PIN girişi**
- **Near-Field Communication (NFC)**
Bu yöntemler, özellikle PIN girişi, geleneksel Wi-Fi ağlarındaki WPS ile aynı zayıflıklara maruz kalmaktadır ve benzer saldırı vektörlerinin hedefi haline gelmektedir.
Bu yöntemler, özellikle PIN girişi, geleneksel Wi-Fi ağlarındaki WPS ile aynı güvenlik açıklarına maruz kalmaktadır ve benzer saldırı vektörlerinin hedefi haline gelmektedir.
### EvilDirect Hijacking

128
src/generic-methodologies-and-resources/pentesting-wifi/enable-nexmon-monitor-and-injection-on-android.md Normal file
View File

@ -0,0 +1,128 @@
# NexMon İzleme Modunu ve Paket Enjeksiyonunu Android'de Etkinleştirin (Broadcom yongaları)
{{#include ../../banners/hacktricks-training.md}}
## Genel Bakış
Çoğu modern Android telefonu, 802.11 izleme modu veya çerçeve enjeksiyon yetenekleri olmadan gönderilen bir Broadcom/Cypress Wi-Fi yongası içerir. Açık kaynak NexMon çerçevesi, bu özellikleri eklemek için özel yazılımı yamanlar ve bunları paylaşılan bir kütüphane (`libnexmon.so`) ve bir CLI yardımcı programı (`nexutil`) aracılığıyla açığa çıkarır. Bu kütüphaneyi stok Wi-Fi sürücüsüne önceden yükleyerek, köklü bir cihaz ham 802.11 trafiğini yakalayabilir ve rastgele çerçeveler enjekte edebilir bu da harici bir USB adaptörüne olan ihtiyacı ortadan kaldırır.
Bu sayfa, tamamen yamalanmış bir Samsung Galaxy S10 (BCM4375B1) örneğini kullanarak hızlı bir iş akışını belgelemektedir:
* Yamalanmış yazılım + `libnexmon.so` içeren NexMon Magisk modülü
* İzleme modu geçişini otomatikleştirmek için Hijacker Android uygulaması
* Dahili arayüze doğrudan klasik kablosuz araçları (aircrack-ng, wifite, mdk4 …) çalıştırmak için isteğe bağlı Kali NetHunter chroot
Aynı teknik, kamuya açık bir NexMon yaması bulunan herhangi bir cep telefonuna uygulanabilir (Pixel 1, Nexus 6P, Galaxy S7/S8, vb.).
---
## Ön Koşullar
* Desteklenen bir Broadcom/Cypress yongası olan Android cep telefonu (örn. BCM4358/59/43596/4375B1)
* Magisk ≥ 24 ile kök erişimi
* BusyBox (çoğu ROM/NetHunter zaten içerir)
* Aşağıdaki bileşenleri sağlayan NexMon Magisk ZIP veya kendinden derlenmiş yaman:
* `/system/lib*/libnexmon.so`
* `/system/xbin/nexutil`
* Hijacker ≥ 1.7 (arm/arm64) https://github.com/chrisk44/Hijacker
* (İsteğe bağlı) Kali NetHunter veya kablosuz araçları çalıştırmayı planladığınız herhangi bir Linux chroot
---
## NexMon yamasını flaşlama (Magisk)
1. Tam cihazınız/yazılımınız için ZIP'i indirin (örnek: `nexmon-s10.zip`).
2. Magisk'i açın -> Modüller -> Depodan yükle -> ZIP'i seçin ve yeniden başlatın.
Modül, `libnexmon.so` dosyasını `/data/adb/modules/<module>/lib*/` dizinine kopyalar ve SELinux etiketlerinin doğru olmasını sağlar.
3. Kurulumu doğrulayın:
```bash
ls -lZ $(find / -name libnexmon.so 2>/dev/null)
sha1sum $(which nexutil)
```
---
## Hijacker'ı Yapılandırma
Hijacker, `airodump`, `wifite` vb. çalıştırmadan önce izleme modunu otomatik olarak geçiştirebilir. **Ayarlar -> Gelişmiş** bölümüne aşağıdaki girişleri ekleyin (modülünüz farklıysa kütüphane yolunu düzenleyin):
```
Prefix:
LD_PRELOAD=/data/user/0/com.hijacker/files/lib/libnexmon.so
Enable monitor mode:
svc wifi disable; ifconfig wlan0 up; nexutil -s0x613 -i -v2
Disable monitor mode:
nexutil -m0; svc wifi enable
```
“Start monitor mode on airodump start” seçeneğini etkinleştirerek her Hijacker taramasının yerel izleme modunda (`wlan0` yerine `wlan0mon`) gerçekleşmesini sağlayın.
Eğer Hijacker başlatıldığında hatalar gösteriyorsa, paylaşılan depolama alanında gerekli dizini oluşturun ve uygulamayı yeniden açın:
```bash
mkdir -p /storage/emulated/0/Hijacker
```
### Bu `nexutil` bayrakları ne anlama geliyor?
* **`-s0x613`** Firmware değişkeni 0x613 (FCAP_FRAME_INJECTION) yaz → `1` (rastgele çerçevelerin TX'ini etkinleştir).
* **`-i`** Arayüzü izleme moduna al (radiotap başlığı eklenecek).
* **`-v2`** Ayrıntılı düzeyi ayarla; `2` onay ve firmware sürümünü yazdırır.
* **`-m0`** Yönetilen modu geri yükle (kullanılan *devre dışı bırak* komutunda).
*İzleme modunu etkinleştirdikten sonra* arayüzü izleme durumunda görmeli ve ham çerçeveleri yakalamalısınız:
```bash
airodump-ng --band abg wlan0
```
---
## Manuel tek satır (Hijacker olmadan)
```bash
# Enable monitor + injection
svc wifi disable && ifconfig wlan0 up && nexutil -s0x613 -i -v2
# Disable and return to normal Wi-Fi
nexutil -m0 && svc wifi enable
```
Eğer sadece pasif sniffing'e ihtiyacınız varsa, `-s0x613` bayrağını atlayın.
---
## Kali NetHunter / chroot içinde `libnexmon` kullanma
Kali'deki stok kullanıcı alanı araçları NexMon'u tanımıyor, ancak `LD_PRELOAD` ile kullanmaya zorlayabilirsiniz:
1. Önceden derlenmiş paylaşılan nesneyi chroot içine kopyalayın:
```bash
cp /sdcard/Download/kalilibnexmon.so <chroot>/lib/
```
2. **Android ana bilgisayarı** üzerinden izleme modunu etkinleştirin (yukarıdaki komut veya Hijacker aracılığıyla).
3. Kali içinde herhangi bir kablosuz aracı preload ile başlatın:
```bash
sudo su
export LD_PRELOAD=/lib/kalilibnexmon.so
wifite -i wlan0 # veya aircrack-ng, mdk4 …
```
4. İşiniz bittiğinde, Android'de her zamanki gibi izleme modunu devre dışı bırakın.
Firmware zaten radiotap enjeksiyonunu işlediğinden, kullanıcı alanı araçları harici bir Atheros adaptörü gibi davranır.
---
## Olası Tipik Saldırılar
Monitor + TX aktif olduğunda şunları yapabilirsiniz:
* `wifite`, `hcxdumptool`, `airodump-ng` ile WPA(2/3-SAE) el sıkışmalarını veya PMKID'leri yakalayın.
* Müşterileri yeniden bağlanmaya zorlamak için deauthentication / disassociation çerçeveleri enjekte edin.
* `mdk4`, `aireplay-ng`, Scapy vb. ile keyfi yönetim/veri çerçeveleri oluşturun.
* Telefon üzerinden sahte AP'ler oluşturun veya KARMA/MANA saldırıları gerçekleştirin.
Galaxy S10'daki performans, harici USB NIC'lerle karşılaştırılabilir (~20 dBm TX, 2-3 M pps RX).
---
## Sorun Giderme
* `Device or resource busy` izleme modunu etkinleştirmeden önce **Android Wi-Fi hizmetinin devre dışı olduğundan emin olun** (`svc wifi disable`).
* `nexutil: ioctl(PRIV_MAGIC) failed` kütüphane önceden yüklenmemiş; `LD_PRELOAD` yolunu kontrol edin.
* Çerçeve enjeksiyonu çalışıyor ama paket yakalanmıyor bazı ROM'lar kanalları sert bir şekilde engeller; `nexutil -c <channel>` veya `iwconfig wlan0 channel <n>` deneyin.
* SELinux kütüphaneyi engelliyor cihazı *Permissive* olarak ayarlayın veya modül bağlamını düzeltin: `chcon u:object_r:system_lib_file:s0 libnexmon.so`.
---
## Referanslar
* [Samsung Galaxy S10'da kablosuz enjeksiyon ile Hijacker](https://forums.kali.org/t/hijacker-on-the-samsung-galaxy-s10-with-wireless-injection/10305)
* [NexMon firmware yamanlama çerçevesi](https://github.com/seemoo-lab/nexmon)
* [Hijacker (Android için aircrack-ng GUI)](https://github.com/chrisk44/Hijacker)
{{#include ../../banners/hacktricks-training.md}}