En las redes Wi-Fi que usan WPA/2-Enterprise (WPA MGT), las identidades se utilizan para autenticar a los usuarios y dispositivos que intentan conectarse, funcionando como el nombre de usuario al iniciar sesión. Por diseño, estas identidades se envían antes de establecer el túnel TLS que cifra la autenticación, lo que permite que, mediante una monitorización pasiva, se puedan obtener los nombres de usuario de los clientes durante el proceso de conexión. Para evitarlo, se pueden configurar identidades anónimas en los dispositivos, de modo que primero se envíe una identidad común (igual para todos) y, una vez creado el túnel cifrado, se transmita la identidad real. Sin embargo, como esto depende de la configuración del cliente, es común que no se utilicen identidades anónimas, dejando expuestos los nombres de usuario.

Existen varios tipos de identidades que se pueden emplear en la infraestructura, y cada uno ofrece un nivel distinto de información. Entre ellos, se encuentran las identidades estándar, como el nombre de usuario simple (“usuario”), el User Principal Name (UPN) que combina el usuario y dominio (“usuario@dominio.com”), el SAMAccountName en formato de dominio y usuario (“dominio\usuario”), y la dirección de correo electrónico (“correo@dominio.com”). Además, en ciertas configuraciones específicas pueden usarse atributos personalizados como el número de empleado u otros atributos en plataformas como Azure en el caso de integraciones con la nube de Microsoft. Por otro lado, cuando se emplea una identidad anónima, aún es posible obtener cierto grado de información. Esto se debe a que muchos administradores configuran la identidad anónima incluyendo el nombre de dominio, lo que permite identificar el dominio con solo monitorizar la red. Por ejemplo, en el formato CONTOSO\anonymous o anonymous@CONTOSO.local es evidente el nombre de dominio.

15. What is the domain of the users of the wifi-regional network?

  • Primero vamos a comenzar escaneando la red que se encuentra en el canal 44 y vamos a exportar todo a un .cap.

root@WiFiChallengeLab:~/tools/wifi_db# python3 wifi_db.py -d wifichallenge.db /home/user/temp/captura-01.cap

root@WiFiChallengeLab:~/tools/wifi_db# sqlitebrowser wifichallenge.db
  • Vemos el dominio al que pertenecen los usuarios.

16. What is the email address of the servers certificate?

  • Nos dice que para poder ver el datos del certificado podemos usar esta herramienta: pcapFilter.sh lo que vamos a hacer es comenzar escaneando para ver donde se encuentre esa red wifi:.

  • Para crear el túnel TLS entre el AP y un cliente, el AP envía el certificado al cliente en texto claro, por lo que cualquiera puede verlo. Esta información puede ser útil para crear un certificado falso con los mismos campos en un ataque RogueAP o para obtener información sobre el dominio corporativo, correos internos u otra información relevante sobre el AP.

  • Solo basta con escanear la red y exportar todo.

root@WiFiChallengeLab:~/xd# airodump-ng wlan0mon --band abg --wps -c44 -w yi

<p align”center”> </p>

root@WiFiChallengeLab:~/tools# ./pcapFilter.sh -f ~/xd/yi-01.cap -C | more

17. What is the EAP method supported by the wifi-global AP?

  • Una vez se dispone de un usuario válido, se pueden probar diversos métodos de autenticación EAP soportados por el AP utilizando herramientas como EAP_buster, esto nos permite conocer que métodos de autenticación están soportados en el AP.
root@WiFiChallengeLab:~/tools/wifi_db# airmon-ng check kill

root@WiFiChallengeLab:~/tools/EAP_buster# bash ./EAP_buster.sh wifi-global 'GLOBAL\\GlobalAdmin' wlan1

EAP_buster by BlackArrow [https://github.com/blackarrowsec/EAP_buster]

WARNING
You need to use legitimate EAP identities in order to start the 802.1X authentication process and get reliable results (EAP identites can be collected using sniffing tools such as crEAP, just make sure you use a real identity and not an anonymous one => https://github.com/Snizz/crEAP)

supported      =>  ***-***