admin管理员组文章数量:1637701
0x01前言概述
针对开放式(没有密码)无线网络的企业攻击,我个人感觉比较经典的攻击方式有2种,一种是eviltwin
,一种是karma
。karma
应该是eviltwin
攻击手法的升级版,攻击者只需要简单的监听客户端发的ssid探测和响应包就可以实现中间人了,受害者很少会有察觉。而且坊间曾有一个错误的认识,认为隐藏的ssid是不受karma
影响的。但是实际情况是,客户端如果曾经连接过隐藏的ssid,也会广播这些网络的探测包。尽管karma
这种攻击方式已经有10多年的历史了,但是在MAC OSX,ubuntu,老版本的andorid系统上依然有效。win7的默认配置居然是防护karma
攻击的。
对加密的无线网络,针对个人网络,很多是使用wpa2-psk预共享密钥的方法来限制访问。而公司的无线网络有使用wpa2企业认证的,也有使用radius服务提供独立的用户名和密码来实现802.1x标准认证的。
0x02 实现过程
我这里是的攻击是使用hostapd
扮演一个无线访问点,然后通过打补丁的freeraidus wpe
来捕捉密码hash,最后用asleep
来离线破解密码,来对抗相对安全的使用radius服务器提供独立的用户名和密码实现的802.1x认证的企业无线网络环境。
所需设备:
1 2 3 |
|
首先安装freeradius-wpe
,既可以使用dpkg
直接安装freeradius-server-wpe_2.1.12-1_i386.deb
,也可以通过源码编译来安装,通过deb包安装方法的命令如下:
1 2 3 4 5 6 |
|
通过源码安装的步骤如下:
1 2 3 4 5 6 7 |
|
然后执行radiusd -X
开启debug
模式验证是否安装成功,如果运行此命令的时候提示
1 2 |
|
则需要建立相应的目录
1 2 |
|
接下来安装hostapd
,命令如下:
1 2 3 4 5 6 |
|
如果安装的时候提示:
1 2 3 4 |
|
则需要安装libnl
开发包,命令如下:
1 2 |
|
然后编辑hostapd-wpe.conf
文件,如下
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
|
实际操作需要修改的地方只有ssid项,如果你的目标企业无线网络的ssid叫corp-lobby,则修改ssid=corp-lobby
,运行 hostapd -dd hostapd-wpe.conf
开启伪造的无线热点
这时候如果有企业员工在你附近,他的手机会自动连接你的伪造的无线热点,你就可以通过
1 2 |
|
看到抓到的用户名和MSCHAPv2的响应hash和挑战hash。
有了challenge和response,就可以使用asleep
工具来基于字典的暴力破解,命令如下
使用radius实现802.1x认证的企业无线网络相对来说还是比较安全的,如果每个用户的密码足够复杂的话。后续的国外研究者也对这种攻击增加了针对客户端和路由设备的心跳漏洞的工具,集成的项目叫cupid,有兴趣的可以参考http://www.sysvalue/en/heartbleed-cupid-wireless/
0x03 参考文章
http://phreaklets.blogspot.sg/2013/06/cracking-wireless-networks-protected.html Instant KARMA Might Still Get You
本文章来源于乌云知识库,此镜像为了方便大家学习研究,文章版权归乌云知识库!
版权声明:本文标题:破解使用radius实现802.1x认证的企业无线网络 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/dianzi/1729254262a1192496.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论