Einleitung
In diesem Lab betreten Sie die letzte Phase eines Captive-Portal-Angriffs. Wir gehen davon aus, dass ein Tool wie Fluxion bereits verwendet wurde, um ein gefälschtes Wi-Fi-Netzwerk und ein Captive Portal zu erstellen, und dass ein Benutzer seine Anmeldedaten übermittelt hat. Ihre Aufgabe ist es, die Ergebnisse dieses simulierten Angriffs zu analysieren. Sie lernen, wie Sie die Datei mit den erfassten Anmeldedaten lokalisieren, deren Inhalt untersuchen und das Passwort verifizieren. Dieser Prozess ist entscheidend für die Bestätigung des Erfolgs eines Angriffs zur Erfassung von Anmeldedaten in einem Penetration-Testing-Szenario.
Warten auf die Eingabe eines Passworts durch einen Benutzer im Portal
In diesem Schritt simulieren wir die Wartezeit eines Captive-Portal-Angriffs. In einem realen Szenario würde der Angreifer nach der Einrichtung des gefälschten Access Points und des Captive Portals das Terminalfenster des Fluxion-Tools überwachen. Sie würden darauf warten, dass ein Opfer sich mit Ihrem gefälschten Wi-Fi-Netzwerk verbindet, zur Anmeldeseite des Captive Portals weitergeleitet wird und sein Netzwerkpasswort eingibt.
Dieses Lab simuliert, dass dieses Ereignis bereits eingetreten ist. In diesem Schritt sind keine Befehle auszuführen. Wir bereiten lediglich die Bühne für die nachfolgende Analyse vor. Fahren Sie mit dem nächsten Schritt fort, um zu sehen, wie eine erfolgreiche Erfassung aussieht.
Beobachten Sie das Fluxion-Fenster auf eine 'KEY FOUND'-Nachricht
In diesem Schritt besprechen wir das Bestätigungssignal eines erfolgreichen Angriffs. Wenn ein Benutzer sein Passwort über das Captive Portal eingibt, verifiziert Fluxion es und zeigt bei Erfolg eine klare Nachricht in seinem Terminalfenster an.
Typischerweise sehen Sie eine Nachricht ähnlich der folgenden, die darauf hinweist, dass das Passwort (WPA-Schlüssel) erfasst wurde:
[+] KEY FOUND! [ password123 ]
Diese Nachricht ist Ihr Zeichen dafür, dass die Anmeldedaten erfolgreich erfasst und gespeichert wurden. Fluxion speichert automatisch den erfassten Netzwerknamen (ESSID) und das Passwort in einer Textdatei zur späteren Überprüfung. Im nächsten Schritt erfahren Sie, wie Sie diese Datei finden.
Lokalisieren Sie die Datei 'fluxion_capture.txt'
In diesem Schritt lokalisieren Sie die Datei, in der Fluxion die erfassten Anmeldedaten speichert. Fluxion organisiert seine Angriffsdaten in einem strukturierten Verzeichnis. Bei einem Captive-Portal-Angriff werden die Daten in einer Datei namens fluxion_capture.txt im Verzeichnis fluxion/attacks/Captive Portal/ gespeichert.
Um diese Datei in unserer simulierten Umgebung im Verzeichnis ~/project zu finden, können Sie den Befehl find verwenden. Dieser Befehl sucht nach Dateien und Verzeichnissen, die einem gegebenen Namen entsprechen.
Führen Sie den folgenden Befehl in Ihrem Terminal aus:
find ~/project -name fluxion_capture.txt
Der Befehl sucht im Verzeichnis ~/project nach einer Datei namens fluxion_capture.txt und gibt deren vollständigen Pfad aus.
Erwartete Ausgabe:
/home/labex/project/fluxion/attacks/Captive Portal/fluxion_capture.txt
Nachdem Sie die Datei gefunden haben, sind Sie bereit, ihren Inhalt zu überprüfen.
Öffnen Sie die Datei, um die erfasste ESSID und das Passwort anzuzeigen
In diesem Schritt öffnen Sie die Capture-Datei, um die Anmeldedaten anzuzeigen. Da Sie nun den genauen Speicherort von fluxion_capture.txt aus dem vorherigen Schritt kennen, können Sie einen Befehl wie cat verwenden, um dessen Inhalt direkt im Terminal anzuzeigen.
Verwenden Sie den Befehl cat, gefolgt vom vollständigen Pfad zur Datei:
cat /home/labex/project/fluxion/attacks/"Captive\ Portal"/fluxion_capture.txt
Hinweis: Der Leerzeichen im Verzeichnisnamen "Captive Portal" erfordert, dass Sie entweder den Pfad in Anführungszeichen setzen oder einen Backslash
\verwenden, um das Leerzeichen zu maskieren, wie oben gezeigt.
Erwartete Ausgabe:
ESSID: LabEx-WiFi
KEY: password123
Wie Sie sehen können, listet die Datei klar die ESSID (den Namen des Wi-Fi-Netzwerks) und den erfassten KEY (das Passwort) auf.
Überprüfen Sie das erfasste Passwort gegen das bekannte korrekte Passwort
In diesem letzten Schritt führen Sie den letzten Teil der Analyse durch: die Verifizierung. Bei einem echten Penetrationstest ist das Erfassen eines Passworts nicht das Ende. Sie müssen verifizieren, dass es sich um das korrekte Passwort handelt.
Für dieses Labor gehen wir davon aus, dass wir wissen, dass das korrekte Passwort für das Netzwerk LabEx-WiFi tatsächlich password123 lautet.
Durch den Vergleich der Ausgabe aus der Datei fluxion_capture.txt aus dem vorherigen Schritt mit diesen bekannten Informationen können Sie Folgendes bestätigen:
- Erfasste ESSID:
LabEx-WiFi(Entspricht dem Zielnetzwerk) - Erfasster KEY:
password123(Entspricht dem bekannten korrekten Passwort)
Dieser Vergleich bestätigt, dass der Captive-Portal-Angriff erfolgreich war und Sie gültige Anmeldedaten für das Zielnetzwerk erhalten haben. Damit ist die Analyse der erfassten Daten abgeschlossen. In diesem Schritt sind keine Befehle auszuführen.
Zusammenfassung
In diesem Labor haben Sie den Prozess der Analyse von Anmeldedaten gelernt, die bei einem simulierten Captive-Portal-Angriff erfasst wurden. Sie haben die letzten Phasen eines Wi-Fi-Penetrationstests durchlaufen, beginnend ab dem Punkt, nachdem ein Benutzer sein Passwort eingegeben hat.
Sie haben gelernt, wie Sie die spezifische von Fluxion generierte Capture-Datei lokalisieren, deren Inhalt anzeigen, um die ESSID des Netzwerks und das erfasste Passwort zu identifizieren, und wie Sie die Gültigkeit des Passworts konzeptionell überprüfen. Dieser analytische Prozess ist eine entscheidende Fähigkeit, um den Erfolg eines Angriffs zur Ernte von Anmeldedaten zu bestätigen und die Ergebnisse zu berichten.