search
Xtormin GithubLinkedIn

file-linesMetodología de Pentest Wifi

Las vulnerabilidades clásicas (WEP, WPS con PIN estático) están casi extintas en entornos corporativos serios. El enfoque moderno se centra en fallos de protocolo (client-less) y ataques a la identidad (Enterprise).

Las fases en las que se pueden dividir las pruebas son:

  1. Descubrimiento de dispositivos.

  2. Análisis de configuración, protocolos y autenticación.

  3. Análisis y explotación de vulnerabilidades.

  4. Post-explotación y análisis de la infraestructura interna.

hashtag
Fase 0: Preparación del entorno de pruebas

Para preparar el entorno, se deberá contar con hardware adecuado para poder realizar las pruebas sin impedimentos.

¿Cuántos SSID están dentro del alcance?

Como mínimo, se recomiendan dos antenas para poder realizar pruebas en las redes con comodidad. Si el número de SSID es elevado, es mejor contar con más antenas para poder realizar más pruebas en paralelo sin perder tiempo.

¿En qué banda emiten?

Las antenas deberán contar con compatibilidad con las bandas permitidas por los dispositivos dentro del alcance. Normalmente se emite en 2,4Ghz y 5Ghz. No obstante, es posible que durante las pruebas se encuentre que los AP emiten solo en 5Ghz y si alguna de las antenas no lo permite, no nos servirá de nada y dificultará la realización de las pruebas.

Para conocer más detalles de qué hardware elegir: Herramientas

hashtag
Configuración del entorno de pruebas

Antes de comenzar, habrá que conectar las antenas al dispositivo, por ejemplo, máquina virtual y verificar que se detectan correctamente.

Se ejecuta el siguiente comando para listar las interfaces de red:

hashtag
Escáner de redes

Antes de comenzar a capturar el tráfico en modo monitor, se pueden escanear las redes fácilmente con el siguiente comando:

hashtag
Fase 1: Descubrimiento de dispositivos

Para poder identificar los dispositivos, es necesario saber que se trata de una relación cliente-servidor. En la cuál los dispositivos que emiten las redes Wi-Fi (routers, AP, etc.) son el "servidor" y los dispositivos que se conectan a dichas redes (portátil, móvil, IoT, etc.) son los "clientes".

Sabiendo esto, se deberán capturar los paquetes que se transmiten por ambas partes, tanto de forma individual como en conjunto, para poder obtener información de dichos paquetes.

Para identificar los dispositivos, tanto AP como clientes, se podrá utilizar aircrack-ng para capturar paquetes que luego podrán ser analizados para extraer información relevante en adelante para la ejecución de las pruebas y explotación de posibles vulnerabilidades.

hashtag
Identificación de redes disponibles

Para poder capturar paquetes, habrá que configurar las antenas en modo monitor. Ante la duda de si las redes están emitiendo en 2,4Ghz o 5Ghz, mejor configurarla en 5Ghz, que capturará ambas redes:

Modo monitor

Con la tarjeta de red, por ejemplo, wlan0 en modo monitor, se utiliza airodump-ng para capturar los paquetes de todas las redes al alcance y escribir la información en un fichero PCAP:

Si se quiere obtener información de una red en concreto, por ejemplo, las redes dentro del alcance o redes de la organización objetivo, se puede usar el argumento --essid-regex, que permite filtrar según el nombre de la red:

Si se quiere obtener mejor la captura de un punto de acceso en concreto, se utiliza el argumento --bssid para indicar la MAC objetivo y el canal que se quiera utilizar con el parámetro --channel:

hashtag
Nombres de redes ocultas (Hidden SSIDs)

Es posible obtener el nombre de redes ocultas si se capturan paquetes de conexiones de clientes a esta red (Probe Response).

Por ejemplo, si se ejecuta la herramienta de airodump capturando paquetes, inicialmente no se verán los nombres de las redes. No obstante, cuando un cliente se conecte a la red, se capturará el paquete Probe Response y se identificará el BSSID al que se encuentra asociada la SSID.

Esta conexión por parte del cliente a la red puede ocurrir de dos formas:

  • El cliente se conecta a la red.

  • Se deautentica al cliente de la red, forzando a que vuelva a conectarse: Para esto, habrá que identificar qué clientes están conectados al SSID oculto y deautenticarlos. Deautenticación

El nombre de la SSID se mostrará asociada al BSSID en vivo en la salida de airodump, aunque también se puede consultar posteriormente en el pcap filtrando el paquete de Probe Response Probe Response (AP).

Si solo hay una red oculta, se pude realizar la misma captura afinando más el comando para apuntar al BSSID objetivo:

triangle-exclamation

¿Y si no consigo que se muestre el nombre?

Se pude deber a muchos motivos, algunos de ellos pueden ser:

  • Que no se conecten clientes a la red en el momento de capturar los paquetes.

  • Que cuando se deautentica un cliente, este se conecte a un AP distinto al que no tengamos alcance.

hashtag
Análisis de los paquetes

Usando wireshark es posible filtrar los paquetes y obtener información relevante sobre las redes.

hashtag
Fase 2: Análisis de configuración, protocolos y autenticación

Existen dos tipos de autenticación:

  • Open Key: Redes abiertas.

  • Shared Key: Autenticación con clave compartida.

  • Simultaneous Authentication of Equals (SAE): Autenticación simultánea de iguales.

hashtag
Top Vulnerabilidades Explotables

hashtag
Attack PMKID (Client-less WPA2/WPA3)

  • Por qué es top: Fue descubierto en 2018, pero las herramientas para explotarlo (hcxdumptool) han madurado increíblemente en los últimos 3 años.

  • La vulnerabilidad: Muchos routers modernos incluyen un campo opcional en el primer frame del handshake (RSN IE) llamado PMKID.

  • La ventaja: No necesitas esperar a un usuario. Puedes atacar al router directamente y obtener el hash para crackear. Funciona incluso en redes con WPA3 si están en "Transition Mode".

hashtag
EAP Downgrade & Hostile Portal (WPA-Enterprise)

  • Por qué es top: Las empresas usan WPA2-Enterprise (Usuario/Password). El eslabón débil no es el cifrado, es la configuración de los clientes (Windows/Android).

  • La vulnerabilidad: Los "Evil Twins" modernos (EAPHammer) fuerzan a los dispositivos a usar protocolos de autenticación más débiles (GTC) para robar credenciales en texto plano, o capturan el hash NetNTLM para pasarlo por Hashcat.

hashtag
WPA3-Transition Mode Attacks

  • Por qué es top: Como WPA3 puro no es compatible con dispositivos viejos, las empresas usan el modo "Transition" (WPA2 + WPA3).

  • La vulnerabilidad: Permite ataques de degradación (downgrade attacks). Puedes forzar a un cliente capaz de WPA3 a conectarse usando WPA2 y atacar ese protocolo.

hashtag
OWE (Opportunistic Wireless Encryption) Evil Twin

  • Por qué es top: Es el reemplazo de las redes "Abiertas" (Open) en el estándar WiFi 6/6E.

  • La vulnerabilidad: Aunque cifra el tráfico, no autentica al AP. Un atacante puede crear un gemelo malvado OWE y el cliente cifrará el tráfico hacia el atacante creyendo que es seguro.

hashtag
Ataques según el tipo de red

hashtag
Redes personales

circle-wifiWPA2-PSK / Red personalchevron-right

hashtag
Redes corporativas

circle-wifiWPA2-MGT / Red corporativachevron-right

hashtag
Fase 5: Post-Explotación

Si se consigue RCE en un equipo Windows, se puede intentar obtener el contenido en claro de las claves con el siguiente comando:

AnteriorHerramientasSiguienteWEP

Última actualización