0x00 企业级无线渗透

---

注：
这篇文章里我详细说一下针对企业802.1X的安全解析，还有一些针对数据协议的分析方法和浅析关于个人渗透太多太啰嗦我就不写了，有机会在说。
因为我不想一部分一部分的写，所以索性就把三个内容写在了一起，如果大家觉得那里有问题，欢迎指正与交流。

一．关于网卡

工欲善其事，必先利其器。在无线渗透或者是无线攻击中，并不是任何支持linux的网卡都支持无线工具的。推荐过一款网卡 ：‘AWUS036H’我用过这款网卡，是RT8187芯片的。确实不错，完美的支持工具。当然，也可以选用RTL3070芯片。
其实除了不兼容工具外，选好网卡还有个很重要的因素就是质量问题，质量不好的可能不稳定，造成断开，或者是蓝屏，嗅探抓包时出现丢包等状况。

二．企业级无线渗透

互联网企业里只要有一定规模的公司，一般无线架设都会选用Radius。WPA+Radius应该算是标配了。

这是一个简单的Radius的工作原理图，我画图画不好，就弄个简单的，复杂的也不一定有人看，能表示就行了。

在个人无线网设置里面会有一些让我们选择认证机制和加密方式（WPA-WPA2 TKIP-AES CCMP）等 。在802.11X中也有一些认证机制，最多使用的是基于TLS的身份验证。TLS是出自IETF组织。就跟802.11出自IEEE一个道理。现在有三种标准被开发并被部署到了无线网中。

1. EAP-TLS : EAP传输层安全
2. EAP-TTLS : 隧道传输层安全
3. EAP-PEAP : 受保护的PEAP

EAP是一个802.1x认证的协议。EAP给802.1X提供了一个验证框架，是一个可扩展性协议，支持多种验证方式。

EAP在企业WPA-802.11X的认证方式（果然还是老外的图易懂）：

802.1X协议是在第二层，上一层是EAP。EAP上一层是各种认证方法，最底层是802.11（图不画了。请君脑补。） 整个EAP通信，包括EAP的协商都是通过TLS隧道执行。

上面刚刚列举了三种现在常用的机制，其实认证机制有好多，什么Leap，eap-MD5等等....最火的就是这三种。

因为本身EAP是没有保护的，它的EAP-Identity明文显示，EAP-Success等信息被仿冒或抓取：

（1） EAP-TLS：它是一个双向认证的机制，Server与client之间完成的认证。它哪里都好，就是两个缺点致命：（1）是传输用户名用的是明文可以抓到（2）是他要求企业部署PKI，因为它基于这个证书体系。但是PKI太庞大太复杂了。所以....

（2） EAP-TTLS&&PEAP：因为上面的那个缺陷,所以有了EAP-TTLS，这两个可以放在一起说，就像是WPA/WPA2 相似度很高。它们也要证书，不过是要Server端的而不是Client的。这两个相比，还是peap从各个方面来说方便，而且兼容好。所以企业一般都是PEAP。

EAP需要进行保护，EAP协商就在安全隧道（TLS）内部来做，保证所有通信的数据安全性。那么它在内部也会选择一些认证来：【EAP-MS-CHAPv2】【EAP-GTC】

这是WPA/WPA2允许的两个PEAP子类型。企业使用最多的就是第一种域架构【EAP-MS-CHAPv2】。说了这么多，可能公司企业无线部署是这样情况的能明白，没遇到种架构的可能比较难脑补。我给几张图：

就是这样的，一般情况下，用你的域账号登陆进去，就可以连接你公司的无线网络了。

关于MSCHAPV2

其实在MSCHAPV2之前是有个MSCHAPV1版本的，是因为前者安全性的加密和认证都比后者好而把它取代。

在PEAP-MSCHAPV2认证流程中呢，会有一些Server与client的交互，这里面包含了EAP-Respons/Identitye和challenge字符串。在PEAP的保护下，因为它们的认证是在内部TLS隧道里，所以我们很难直接对MSCHAPV2做什么手脚，但是MSCHAPV2爆出了漏洞可被暴力破解。所以我们就可以对它进行fake AP从而取得它们的hash。

如果没有验证服务器的TLS证书.那么通过模拟的AP，攻击者就可以诱骗客户连接到恶意接入点，并获得客户的内部认证。很遗憾，上面已经说过了pki的问题。就这样，黑客就进入到了你的企业域。具体的攻击方式呢，就是利用 hostapd-wpe这个工具。它替代了freeradius-wpe.

Github：https://github.com/OpenSecurityResearch/hostapd-wpe

支持EAP的类型：

1. EAP-FAST/MSCHAPv2
2. PEAP/MSCHAPv2
3. EAP-TTLS/MSCHAPv2
4. EAP-TTLS/MSCHAP
5. EAP-TTLS/CHAP
6. EAP-TTLS/PAP

当我们建立伪AP的同时，会产生两个相同的SSID。如果我们是指定目标攻击，而我们我目标已经连上了正常的无线网络，那我们可以对此SSID进行Deauth攻击，使其强制断线重连到我们的Fake AP。

命令: aireplay-ng -0 10 –a <ap mac> -c <my mac> mon0

当目标连接到我们的Fake AP 上时：

这是抓取到的hash。你所有抓取的hash都在 hostapd目录下的一个名为host-wpe.log的文件内。

当我们抓到这些hash以后，需要破解它，可以用asleap破解密码。Kali内置了好像。也可以自己去github。

可能有的人觉得，一个暴力破解，关键还是要看字典，密码设置的复杂就没有关系。但是大家有没有想过，一个无线架构在radius的企业，我假设它有2000人。2000人中我保守一点估计抓了1000的人hash。难道我连1000/5的概率都没有么？更何况无线其他攻击也很多,拿到几个域账号根本没难度。组合攻击的手法还是不容小觑的。

EAP-MD5

还有一种认证是EAP—MD5，这个可能现在见不到了，不过应该也有吧，凡事不绝对，遇到了就简单提一下，它的认证我就不说了，其实也没什么可说的，没安全性可言，数据不受ssl保护，只有个MD5，只提供了最低级加密，MD5hash能被字典破掉，而且不支持密钥生成，所以就根本不适合企业加密。我也不知道这是谁想出来的，可能开发这个加密的时候还没无线安全呢吧。抓包就能抓出来。

这是一个在连接了EAP-MD5认证的AP。通过抓包我们直接可以看到了它的challenge. 我们把他们通讯的整个过程抓下来。就像WPA/WPA2的握手包一样。捕获数据包之后，有一个专门针对EAP-MD5的破解工具叫做：eapmd5Pass。

使用方法也简单:

LEAP

Cisco的东西。叫轻量级EAP，特点也是数据不受SSL保护，用的是MS-CHAPV1，也就是我上面说的那个第一个版本。这就更别说了，还不如个WEP，03年就能黑了。

EAP-FAST

LEAP的升级版，有个受保护的访问凭证（PAC）在TLS端验证，说也是有漏洞，但是我对这个加密接触不是太多，也没遇到过，可能见识短吧，大家有遇到的可以交流交流，但是估计也没啥价值。

LEAP的破解方法也是捕获四次握手，然后暴力破解。具体方法见上面都一个道理。简单的东西不多说.

针对一些高复杂的密码呢，我们可以去试试John the Ripper。 也叫JTR，也不错。支持的算法也多：

https://github.com/magnumripper/JohnTheRipper

在我们针对一个未知的不了解的企业热点进行渗透时，我们需要事先清楚它是采用什么加密，我们可以通过wireshark过滤一下类型：

也算个小技巧，受用。

顺便再贴一个MDK3关于802.1X的攻击方法。

MDK3 X 1 -t <目标mac地址> -c <客户端mac地址>

再推荐个工具吧：3vilTiwnAttacker

老外写的一款做无线劫持，嗅探为一体的工具。新出的，觉得不错大家可以试试。

https://github.com/joridos/3vilTiwnAttacker 里面附带演示视频

其实呢，我觉得吧，大家如果是真想研究的话呢，不妨去自己下载个FreeRadius去研究下。

http://freeradius.org/

买个路由器，一般里面都有设置Radius的选项，没用的也可以刷个固件。虽说安装环节有点慢，但是真能学到很多东西，我本来是想把每一步涉及到Radius的设置和配置文件说一下的，无奈学校上网客户端的限制我安不了路由器，悲催了，以后再说吧。

还有一个关于企业wifi的backdoor，worm的一个思路，我放个pdf大家有兴趣的看下：

http://www.securitybyte.org/resources/2011/presentations/enterprise-wi-fi-worms-backdoors-and-botnets-for-fun-and-profit.pdf