近年来，黑客通过企业无线网络倡议的企业内网渗透事件频发，在某缝隙平台检索时发明仅2015年便产生了数十起知名企业因WiFi相关安适问题导致内网被入侵的事件，对企业造成了十分恶劣的影响。

到了2016年，无线网络已经成为企业移动化办公的重要根本设施，但这些无线网络遍及缺乏有效的打点，无线网络也越来越多的成为黑客入侵企业内网的打破口。

天巡尝试室在本年上半年对几个大中型企业进行了基于无线的安适处事，发明实际情况比想象中更为严峻。本次，在得到了此中某一客户授权情况下，我们将为大家分享一次由无线为入口的黑盒渗透测试。

打击过程

我们在方针公司相近发明存在两个无线网络，颠末确认一个是开放式的WiFi，通过Portal进行认证；另一个则是802.1X网络。我们来分袂进行检测。

Portal安适检测

在连上这个开放式热点后，跳转到了Portal认证页面。

很快我们就发明了一个很遍及的“缝隙”，通过Portal登录返回信息,可以判断用户名是否存在。

用户不存在如下：

用户存在如下：

按照他们的测试法则，可以看到用户名为姓名全拼。通过使用中国人姓名top1000，操作burp进行了爆破，抓取了一批存在的用户。我们操作这些存在的用户进行暴力破解。

可以从上图看到，对爆破做了限制,但是可以使用“多用户名，单暗码”这样的计谋，不会触发他们法则。很快获取到了一个账户暗码，登录告成。有很多的Portal的ACL有问题，接入Portal直接分配到的IP可以访谒内网的资源(对付对渗透人来说，能不能上网不存眷，我只需要能接入你的内网就行了)，如果存在这种情况，就不用非得获取Portal的用户名暗码。

颠末分析发明，这个网络与企业的办公网络断绝，大抵是供给给员工进行日常上网用的。对付此次的渗透目的来说，此网段并不能接触到我们的方针。我们将目光看向另一个无线网络，这个WiFi使用的是802.1x认证。

802.1x破解

企业在部署802.1X无线网络时，出于兼容性及结合域账户便当性考虑，一般城市给与PEAP-MSCHAP v2的架构。PEAP的认证过程分为两个阶段：

阶段一：处事器身份验证和成立TLS地道。Server向Client发送证书信息实现“Client对Server的认证”。

阶段二：客户端身份验证。在阶段一成立的TLS地道内通过多种认证要领（一般为EAP-TLS 或 EAP-MSCHAPv2）与PEAP共用实现“Server对Client的认证”。

PEAP的问标题问题前主要出在客户端对处事器证书的验证上，它通过类似SSL机制为认证供给传输层的安适，需要企业去向CA采办证书，或者自建PKI系统，签署用于无线的证书，同时将根证书部署到每个客户端。大大都企业都选择自签名一个证书，但“将根证书部署到每个客户端”过于繁琐，被直接忽视。

打击手法为成立伪热点骗取用户连接成立TLS地道，在阶段二中获取MSCHAP v2认证时传输的账号hash值，操作字典破解出暗码。

在这里我们操作hostapd-wpe成立一个1X的同名热点，我们静静的期待周围下楼来吸烟遛弯的鱼儿上钩即可。

不一会儿，就获取到了8条hash值。我们先测验考试操作Top100W的字典跑一下，跑不出的话再花十几元找人跑一下。

对照幸运的是，在测验考试第4条hash时，发明使用了top 100w里的弱暗码。结合之前明文的用户名，我们可以接入这个无线网络了。

信息收集