欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

企业级无线渗透与无线数据浅析

来源:本站整理 作者:icecolor 时间:2016-06-22 TAG: 我要投稿

 author: icecolor

0x00 企业级无线渗透


注:
这篇文章里我详细说一下针对企业802.1X的安全解析,还有一些针对数据协议的分析方法和浅析关于个人渗透太多太啰嗦我就不写了,有机会在说。
因为我不想一部分一部分的写,所以索性就把三个内容写在了一起,如果大家觉得那里有问题,欢迎指正与交流。

一.关于网卡

工欲善其事,必先利其器。在无线渗透或者是无线攻击中,并不是任何支持linux的网卡都支持无线工具的。推荐过一款网卡 :‘AWUS036H’我用过这款网卡,是RT8187芯片的。确实不错,完美的支持工具。当然,也可以选用RTL3070芯片。
其实除了不兼容工具外,选好网卡还有个很重要的因素就是质量问题,质量不好的可能不稳定,造成断开,或者是蓝屏,嗅探抓包时出现丢包等状况。

二.企业级无线渗透

互联网企业里只要有一定规模的公司,一般无线架设都会选用Radius。WPA+Radius应该算是标配了。

p1

这是一个简单的Radius的工作原理图,我画图画不好,就弄个简单的,复杂的也不一定有人看,能表示就行了。

在个人无线网设置里面会有一些让我们选择认证机制和加密方式(WPA-WPA2 TKIP-AES CCMP)等 。在802.11X中也有一些认证机制,最多使用的是基于TLS的身份验证。TLS是出自IETF组织。就跟802.11出自IEEE一个道理。现在有三种标准被开发并被部署到了无线网中。

  1. EAP-TLS : EAP传输层安全
  2. EAP-TTLS : 隧道传输层安全
  3. EAP-PEAP : 受保护的PEAP

EAP是一个802.1x认证的协议。EAP给802.1X提供了一个验证框架,是一个可扩展性协议,支持多种验证方式。

EAP在企业WPA-802.11X的认证方式(果然还是老外的图易懂):

p2

802.1X协议是在第二层,上一层是EAP。EAP上一层是各种认证方法,最底层是802.11(图不画了。请君脑补。) 整个EAP通信,包括EAP的协商都是通过TLS隧道执行。

上面刚刚列举了三种现在常用的机制,其实认证机制有好多,什么Leap,eap-MD5等等....最火的就是这三种。

因为本身EAP是没有保护的,它的EAP-Identity明文显示,EAP-Success等信息被仿冒或抓取:

p3

(1) EAP-TLS:它是一个双向认证的机制,Server与client之间完成的认证。它哪里都好,就是两个缺点致命:(1)是传输用户名用的是明文可以抓到(2)是他要求企业部署PKI,因为它基于这个证书体系。但是PKI太庞大太复杂了。所以....

(2) EAP-TTLS&&PEAP:因为上面的那个缺陷,所以有了EAP-TTLS,这两个可以放在一起说,就像是WPA/WPA2 相似度很高。它们也要证书,不过是要Server端的而不是Client的。这两个相比,还是peap从各个方面来说方便,而且兼容好。所以企业一般都是PEAP。

EAP需要进行保护,EAP协商就在安全隧道(TLS)内部来做,保证所有通信的数据安全性。那么它在内部也会选择一些认证来:【EAP-MS-CHAPv2】【EAP-GTC】

这是WPA/WPA2允许的两个PEAP子类型。企业使用最多的就是第一种域架构【EAP-MS-CHAPv2】。说了这么多,可能公司企业无线部署是这样情况的能明白,没遇到种架构的可能比较难脑补。我给几张图:

p4

p5

就是这样的,一般情况下,用你的域账号登陆进去,就可以连接你公司的无线网络了。

关于MSCHAPV2

其实在MSCHAPV2之前是有个MSCHAPV1版本的,是因为前者安全性的加密和认证都比后者好而把它取代。

在PEAP-MSCHAPV2认证流程中呢,会有一些Server与client的交互,这里面包含了EAP-Respons/Identitye和challenge字符串。在PEAP的保护下,因为它们的认证是在内部TLS隧道里,所以我们很难直接对MSCHAPV2做什么手脚,但是MSCHAPV2爆出了漏洞可被暴力破解。所以我们就可以对它进行fake AP从而取得它们的hash。

p6

如果没有验证服务器的TLS证书.那么通过模拟的AP,攻击者就可以诱骗客户连接到恶意接入点,并获得客户的内部认证。很遗憾,上面已经说过了pki的问题。就这样,黑客就进入到了你的企业域。具体的攻击方式呢,就是利用 hostapd-wpe这个工具。它替代了freeradius-wpe.

Github:https://github.com/OpenSecurityResearch/hostapd-wpe

支持EAP的类型:

  1. EAP-FAST/MSCHAPv2
  2. PEAP/MSCHAPv2
  3. EAP-TTLS/MSCHAPv2
  4. EAP-TTLS/MSCHAP
  5. EAP-TTLS/CHAP
  6. EAP-TTLS/PAP

当我们建立伪AP的同时,会产生两个相同的SSID。如果我们是指定目标攻击,而我们我目标已经连上了正常的无线网络,那我们可以对此SSID进行Deauth攻击,使其强制断线重连到我们的Fake AP。

命令: aireplay-ng -0 10 –a <ap mac> -c <my mac> mon0

[1] [2] [3] [4] [5] [6]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载