Evil Twin Attack Wpa2/Enterprise

Esta técnica es mas vieja que el tebeo, pero lo escribo por aquí con la esperanza de que las empresas dejen de usar NTLMV1 o NTLMV2, oh no :P

La configuración de seguridad de las redes wifis empresariales, se suelen basar en la aplicación del soporte WPA2-ENTERPRISE(RADIUS), que permite que solo los usuarios pertenecientes a un determinado dominio, bajo un servidor de AD(Active Directory) puedan validarse en la red corporativa a través de la red wifi. Para ello lo que hace el Ap en cuestión es mandar las credenciales, introducidas por el usuario, en la red corporativa a un servidor de validación RADIUS y este a un servidor de dominio(AD) para que valide que las credenciales son correctas y permita el acceso.

Hasta aquí todo suena muy bien, y el problema no esta en RADIUS, pero si en una de las capas que se usa en esta infraestructura:el cifrado para almacenar las contraseñas en el AD NTLM, pero esto lo vemos mas adelante.

Los problemas de NTLM

  • NTLM es un protocolo de autenticación que se inicio en windows 2000, que lleva 17 años totalmente abandonado, sacaron la versión NTLMV2 pero es igual de insegura.
  • El hash de NTLM esta basado en MD4
  • El protocolo es vulnerable a «relay attack».
  • El algoritmo de cifrado es muy débil, pero el principal problema de NTLM es que el nos va a permitir continuar con ese articulo, cuando un usuario quiere autenticarse, este tiene que responder a un «challengue» enviado desde el objetivo, esto hace que el hash quede expuesto para ser crackeado de manera offline.

Hostapd-wpe

Hostapd-wpe es una utilidad en linea de comandos que nos permite impersonar un AP, osea convertir nuestro equipo en un punto de acceso y así poder suplantar otro. Para instalarlo podemos bajarlo de github o bien instalarlo sencillamente mediante apt-get en kali y podemos compilarlo y parchearlo con las instrucciones de su github para debian https://github.com/OpenSecurityResearch/hostapd-wpe

apt install hostapd-wpe

Luego editamos su fichero de configuracion

vim /etc/hostapd-wpe/hostapd-wpe.conf

Y lo dejamos tal que así:

# 802\.11 Options

interface=EL NUESTRO ssid=EL QUE QUERAMOS SUPLANTAR channel=EL MISMO DEL AP

una vez tenemos el programa a la escucha nos conectamos desde un dispositivo (usaremos un móvil) al AP introduciendo usuario y contraseña del dominio del AD. Podemos ver que el programa hostapd-wpe captura el hash del usuario, como se muestra en la siguiente pantalla:

Una vez obtenido el hash de la contraseña NETNTLM, solo nos queda crackearlo con un buen diccionario o ataque de diccionario/fuerza bruta con o sin rainbow_tables lo que nos daría como resultado el hash del usuario. El propio programa nos muestra el hash en formato hashcat para que podamos crackearlo(en modo fuerza bruta ) bajo este programa, con la siguiente sintaxis.

hashcat -m 5500 --force -a 0 HASH 

O usando un diccionario, por ejemplo el de kali o bajar uno de aqui https://wiki.skullsecurity.org/Passwords

   hashcat -m 5500 --force -a 0 HASH /usr/share/wordlist/rockyou.txt

En el siguiente ejemplo se ha usado Jhon ripper con un diccionario ajustado solo para mostrar que el hash puede ser crackeado sin problemas, con un diccionario adecuado.

Happy hacking ;)

Compartir

2 Comentarios

  1. Todo bien siempre y cuando el diccionario que vayan a usar tenga su buen trabajo de social engineering con algún personal del objetivo(empresa) a atacar, de lo contrario es tiempo perdido. Creo

Deja una respuesta a Adrian Cancelar respuesta

Your email address will not be published. Required fields are marked *

To create code blocks or other preformatted text, indent by four spaces:

    This will be displayed in a monospaced font. The first four 
    spaces will be stripped off, but all other whitespace
    will be preserved.
    
    Markdown is turned off in code blocks:
     [This is not a link](http://example.com)

To create not a block, but an inline code span, use backticks:

Here is some inline `code`.

For more help see http://daringfireball.net/projects/markdown/syntax