Accesso alla password WPA / WPA2 dal modulo di autenticazione nativo su un router non autorizzato

1

Sto cercando di avvolgere la mia testa intorno al WPA / WPA2 Handshake a 4 vie nel tentativo di determinare se è possibile che un access point wireless inaffidabile recuperi una versione in chiaro (o hash) della password di un router fornita tramite un modulo di autenticazione legittimo richiesto da un client sistema operativo nativo. Ho un sacco di esperienza nell'acquisire strette di mano e craccarle in diversi scenari di pentesting, ma sono interessato ad esplorare il seguente scenario:

  1. Un router honeypot canaglia risponde a una richiesta di sonda STA (con la risposta di probe o beacon). Questo honeypot avvia il processo di autenticazione WPA / WPA2.

  2. Il client, credendo che l'AP sia una rete conosciuta, tenta di connettersi, ma viene inizialmente respinto perché la password WPA / WPA2 non corrisponde alla password per il router vero. Per tutti i client sa, la rete è la stessa, tuttavia l'amministratore ha cambiato la password. Un modulo di autenticazione OS nativo viene presentato al client dal gestore del sistema operativo / rete (probabilmente con una password pre-compilata). Il client invia la password alla rete honeypot che utilizza il SSID temporaneo della rete attendibile.

  3. ???. È possibile per l'honeypot, che presenta lo STA con richieste di autenticazione legittime (utilizzando qualsiasi password WPA arbitraria sul router) per visualizzare la versione in chiaro della password inviata dallo STA nel tentativo di autenticare? In caso contrario, in quale formato questa password viene presentata all'AP per l'autenticazione?

Sono interessato ad apprendere le opzioni correnti (cli / tools) per questo tipo di attacco di phishing (di nuovo, basandomi interamente su un modulo di autenticazione WPA OS naive, non su una pagina di phishing HTML di tipo captive portal). Se non ce ne sono, sono curioso di sapere se WPA / WPA2 consentirebbe addirittura che lo scenario descritto nei passaggi precedenti si verifichi. Sono un programmatore molto comodo e sono disposto a correggere Hostapd o utilizzare libpcap per implementare questo tipo di funzionalità, se necessario. Sto solo avendo difficoltà a determinare se questo tipo di attacco è persino possibile.

    
posta Brannon 01.08.2017 - 04:26
fonte

1 risposta

1

Ti consiglierei di comprendere l' handshake a quattro vie di WPA / WPA2 primo. La risorsa nella tua domanda collegata è molto dettagliata, ma l' articolo di Wikipedia dovrebbe anche darti una comprensione adeguata del processo.

Non è necessario che l'utente immetta la password nel modulo di autenticazione del sistema operativo nativo. Se un cliente trova una rete che conosce, tenta automaticamente di connettersi ad essa. (Questo è il comportamento normale della maggior parte dei client.) Dopo l'associazione, viene avviato l'handshake a quattro direzioni. Anche se il punto di accesso ha un PSK diverso da quello del client (ad esempio un router di honeypot rouge), i primi due messaggi verranno scambiati, poiché solo con il terzo passo il client può verificare che l'AP abbia lo stesso PSK. Ma un attaccante ha bisogno solo dei primi due messaggi di una stretta di mano per eseguire un attacco di forza bruta sul PSK. È disponibile uno strumento per cracking degli handshake a metà strada disponibili su GitHub .

Il modulo di autenticazione del sistema operativo è un dettaglio di implementazione del client (ad esempio Windows). Il client riconosce con il terzo messaggio dell'handshake, che l'AP utilizza un PSK diverso e consente all'utente di inserire una nuova password, nel caso in cui l'abbia modificata di recente nel suo router. Se lo fa, il client si associerà nuovamente con l'AP e tenterà di eseguire l'handshake a quattro direzioni. Non c'è alcun vantaggio per l'attaccante, se l'utente reinserisce la password. In nessun caso il PSK sarà inviato in testo semplice.

    
risposta data 01.08.2017 - 14:16
fonte

Leggi altre domande sui tag