利用 Hostapd-WPE 渗透企业无线网络
最近,我们致力于企业无线网络的渗透式入侵,最终目的是获取用户终端的证书,提高权限来获取管理员账号。在这个案例中我的客户使用拥有PEAP 认证的 WPA2 企业网络。
早期时候,我们通常需要特定版本的 Kali、带有 WPE(Wireless Pwnage Edition)补丁的 freeradius 认证服务器还有 hostapd。几个月前,Kali rolling 获得了 hostapd-wpe 作为基本包,因此你不必单独下载 freeradius 服务器。
首先,我们来看看当前配置,硬件方面,我们用的是 TP-LINK TL-WN722N 无线网卡和 Kali rolling 2016.2。
第一步是先升级 Kali 的版本,通过运行下面的命令,更新好后安装 hostapd-wpe
在 Kali 运行的情况下将 TP-link 无线网卡插到机器上。同时用 iwconfig 命令检测 Kali 是否检测到接口。然后运行 aircrack-ng 和 check kill,当接口带有 aircrack-ng 套件时将会检查和结束进程。
然后,输入 /etc/hostapd-wpe/hostapd-wpe.conf 来配置 AP 性能。例如更新 AP 名字,这样会更加吸引受害者。然后利用 hostapd-wpe 和分别配置好的可以捕获用户验证文件的散列表到我们的伪 AP 中的文件。
一旦受害机链接上攻击者广播的 AP,用户的请求和回应都会在 hostapd-wpe 的屏幕上显示
但是用以上的步骤可以捕获比较低级的 WiFi 安全意识受害者的散列表。因为当受害者链接上我们广播的 AP,他总是会被询问是否信任伪证书;"Example Server Certificate"会引起一些人的注意。
为了匹配真的证书去伪造证书的详细资料也许会很痛苦。因此,可以用 python 脚本来辅助我们,通过命名 apd_launchpad 是一个方便的方法来创建 hostapd-wpe 配置文件和关联的伪造证书
所以在 hostapd-wpe cert 路径下下载 python 脚本。
配置文件和应用保存在 DEMOBANK 文件夹。
现在受害者将会看到和真的证书相一样的证书(减小怀疑)
运行一会儿,我们就可以获得受害者的散列表
一旦获取请求和回应,用 asleap 和密码字典文件破解
root@kali:~# zcat rockyou.txt.gz | asleap -C <Challenge> -R <Response> -W -
破解的证书可以用来连接真实 AP并探索加强局域网管理员技术的横向发展。
本文由 看雪翻译小组 南极小虾 编译,来源 bits of security
❤ 往期热门内容推荐
更多优秀文章,长按下方二维码,“关注看雪学院公众号”查看!
看雪论坛:http://bbs.pediy.com/
微信公众号 ID:ikanxue
微博:看雪安全
投稿、合作:www.kanxue.com