Acceso a la contraseña WPA / WPA2 desde un formulario de autenticación nativo en un enrutador no autorizado

Navega tus respuestas
1

Estoy tratando de envolver mi cabeza alrededor de la WPA / WPA2 4-way handshake en un intento por determinar si es posible que un punto de acceso inalámbrico deshonesto recupere una versión de texto plano (o hash) de la contraseña de un enrutador que se entrega a través de un formulario de autenticación legítima solicitada por un cliente OS nativo. Tengo mucha experiencia capturando apretones de manos y resolviéndolos en diferentes escenarios de pentesting, pero estoy interesado en explorar el siguiente escenario:

  1. Un enrutador de honeypot no autorizado responde a una solicitud de sonda STA (con respuesta de sonda o baliza). Este honeypot inicia el proceso de autenticación WPA / WPA2.

  2. El cliente, creyendo que el AP es una red conocida, intenta conectarse, pero inicialmente se rechaza porque la contraseña WPA / WPA2 no coincide con la contraseña del verdadero enrutador. Por lo que sabe el cliente, la red es la misma, sin embargo, el administrador ha cambiado la contraseña. El OS / Network Manager presenta un formulario de autenticación de sistema operativo nativo (probablemente con una contraseña ya completada). El cliente envía la contraseña a la red de honeypot que utiliza el SSID temporal de la red de confianza.

  3. ???. ¿Es posible que el honeypot, que está presentando a la STA una solicitud de autenticación legítima (utilizando una contraseña WPA arbitraria en el enrutador) vea la versión de texto sin formato de la contraseña que la STA envió para intentar autenticarse? De no ser así, ¿en qué formato se presenta esta contraseña al AP para la autenticación?

Estoy interesado en aprender las opciones actuales (cli / herramientas) para este tipo de ataque de phishing (nuevamente, confiando completamente en un formulario de autenticación WPA del sistema operativo ingenuo, no en una página de phishing HTML cautiva del portal). Si no existe ninguno, tengo curiosidad de que WPA / WPA2 permita incluso que se produzca el escenario descrito en los pasos anteriores. Soy un programador muy cómodo y estoy dispuesto a parchear Hostapd o usar libpcap para implementar este tipo de funcionalidad si es necesario. Solo tengo problemas para determinar si este tipo de ataque es posible.

    
pregunta Brannon 01.08.2017 - 04:26
fuente

1 respuesta

1

Le recomendaría que comprenda el protocolo de enlace de cuatro vías de WPA / WPA2 primero. El recurso en su pregunta vinculada es muy detallado, pero el artículo de Wikipedia también debería proporcionarle Una adecuada comprensión del proceso.

No es necesario que el usuario ingrese la contraseña en el formulario de autenticación nativo del sistema operativo. Si un cliente encuentra una red que conoce, automáticamente intenta conectarse a ella. (Este es el comportamiento normal de la mayoría de los clientes). Después de la asociación, se inicia el protocolo de cuatro vías. Incluso si el punto de acceso tiene un PSK diferente al del cliente (por ejemplo, es un enrutador de honeypot de colorete), los dos primeros mensajes se intercambiarán, porque solo con el tercer paso el cliente puede verificar que el AP tenga el mismo PSK. Pero un atacante solo necesita los dos primeros mensajes de un apretón de manos para realizar un ataque de fuerza bruta en el PSK. Hay una herramienta para descifrar apretones de manos a medio camino disponibles en GitHub .

El formulario de autenticación del sistema operativo es un detalle de implementación del cliente (por ejemplo, Windows). El cliente reconoce con el tercer mensaje del protocolo de enlace, que el AP está utilizando un PSK diferente y le permite al usuario ingresar una nueva contraseña, en caso de que la haya cambiado recientemente en su enrutador. Si lo hace, el cliente se asociará nuevamente con el AP e intentará realizar el saludo de cuatro vías. No hay ninguna ventaja para el atacante, si el usuario vuelve a ingresar la contraseña. En ningún caso, el PSK se enviará en texto sin formato.

    
respondido por el sven.to 01.08.2017 - 14:16
fuente

Lea otras preguntas en las etiquetas

Si un sistema operativo está protegido por cifrado de disco completo (FDE), ¿el software de recuperación puede recuperar los archivos eliminados del disco después de desbloquear FDE? ¿Cuál es el beneficio adicional de tener un token CSRF para un enlace de activación de cuenta?