> For the complete documentation index, see [llms.txt](https://www.xtormin.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://www.xtormin.com/pentesting-en-infraestructuras/redes-wi-fi/ataques-wi-fi/wpa2-mgt-red-corporativa.md).

# WPA2-MGT / Red corporativa

En WPA-MGT o Enterprise, la autenticación es gestionada por un servidor RADIUS, para ello, se utilizan los métodos EAP que gestionan las credenciales de acuerdo al tipo de método utilizado.

Según los métodos que sean soportados, podrán realizarse distintos ataques con mayor o menor probabilidad de éxito.

Para la captura de credenciales, se crea un AP falso con el mismo SSID que la red objetivo. Si los métodos EAP soportados son inseguros, podría llegar a capturarse las credenciales (dependerá de la configuración tanto por parte del cliente como del AP y servidor).

## <mark style="color:red;">Métodos EAP</mark>

{% embed url="<https://en.wikipedia.org/wiki/Extensible_Authentication_Protocol>" %}

{% embed url="<https://www.intel.com/content/www/us/en/support/articles/000006999/wireless/legacy-intel-wireless-products.html>" %}

## <mark style="color:red;">Métodos inseguros</mark>

Existen múltiples métodos que se consideren inseguros, ya que permiten que sean crackeados sin necesidad de un AP falso.

* **EAP-MD5.**
* **EAP-GTC**.
* **LEAP.**

Por otro lado, existen métodos seguros que pueden llegar a ser inseguros si no se implementan adecuadamente, pudiendo ser explotados por medio de la creación de un AP falso:

* PEAP.
* TTLS.

## <mark style="color:red;">Enumeración</mark>

### Nombres de usuario

En las redes MGT se usan identidades para autenticar usuario y/o dispositivos.

Estas identidades se envían antes de que se cree el túnel TLS para cifrar la autenticación, por lo que, es posible obtener los nombres de los usuarios de los clientes de la red en el momento en que se autentican.

[Análisis de paquetes](/pentesting-en-infraestructuras/redes-wi-fi/analisis-de-paquetes.md#nombres-de-identidades)

{% hint style="success" icon="bug-slash" %}
**Mitigación**

Configurar los clientes para que se mande la identidad anónima antes del cifrado y una vez se establezca el túnel ya se enviaría el nombre de usuario real.
{% endhint %}

### Extracción de certificados

Cuando se establece un túnel TLS entre el cliente (dispositivo o equipo) y servidor (AP) se envía la parte pública del certificado en texto claro. Este certificado se puede usar para recolectar información que luego puede ser útil para montar un servidor falso (FakeAP / RogueAP / etc).

{% code overflow="wrap" %}

```bash
wget https://gist.githubusercontent.com/r4ulcl/f3470f097d1cd21dbc5a238883e79fb2/raw/78e097e1d4a9eb5f43ab0b2763195c04f02c4998/pcapFilter.sh
```

{% endcode %}

{% code overflow="wrap" %}

```bash
chmod +x pcapFilter.sh
./pcapFilter.sh -f <fichero o carpeta de ficheros .cap> -C
```

{% endcode %}

### Enumeración de métodos EAP soportados por el servidor RADIUS

Es necesario contar con una identidad válida para realizar esta prueba de enumeración.

{% code overflow="wrap" %}

```bash
wget https://raw.githubusercontent.com/blackarrowsec/EAP_buster/refs/heads/master/EAP_buster.sh
```

{% endcode %}

{% code overflow="wrap" %}

```bash
./EAP_buster.sh <nombre del SSID> <nombre de la identidad> <interfaz de red>
./EAP_buster.sh mi-wifi-corp usuarioA wlan0
```

{% endcode %}

## <mark style="color:red;">Ataques</mark>

{% content-ref url="/pages/EayNgjorTayxIILoxAHy" %}
[Captura de credenciales](/pentesting-en-infraestructuras/redes-wi-fi/ataques-wi-fi/wpa2-mgt-red-corporativa/ataques/captura-de-credenciales.md)
{% endcontent-ref %}

{% content-ref url="/pages/SmzY5pNMj1eaXqnNi0vu" %}
[Fuerza bruta](/pentesting-en-infraestructuras/redes-wi-fi/ataques-wi-fi/wpa2-mgt-red-corporativa/ataques/fuerza-bruta.md)
{% endcontent-ref %}

{% content-ref url="/pages/FjbZIGxsjpECOhJ933DM" %}
[Ataque de retransmisión / relay](/pentesting-en-infraestructuras/redes-wi-fi/ataques-wi-fi/wpa2-mgt-red-corporativa/ataques/ataque-de-retransmision-relay.md)
{% endcontent-ref %}

### Ataque de downgrade

### Ataque de password spray


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://www.xtormin.com/pentesting-en-infraestructuras/redes-wi-fi/ataques-wi-fi/wpa2-mgt-red-corporativa.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.