Добавить в корзинуПозвонить
Найти в Дзене
The Codeby
5116 подписчиков

Три радиопротокола — три незакрытых вектора: почему Wi-Fi — лишь верхушка айсберга

44
2 мин
На свежем Red Team-проекте для розничной сети в документации значился WPA3, на площадке стоял Cisco WLC. Казалось, беспроводной периметр закрыт. На деле все точки доступа работали в WPA3 Transition Mode — параллельно принимая WPA2-подключения. Три минуты hcxdumptool без единого deauth-фрейма, 40 минут hashcat с правилами — и PSK подобран. К обеду пентестер уже сидел в корпоративном VLAN. Но самое интересное началось дальше. 🔓 14 BLE-замков на складских дверях — без аутентификации на GATT-запись. Подошёл, отправил команду — дверь открылась. ZigBee-датчики температуры с дефолтным ключом шифрования висели в том же сегменте, что и СКУД. Один объект — три протокола — три точки входа. И это типичная картина в 2025 году. Компании вкладываются в защиту Wi-Fi, а Bluetooth и ZigBee остаются слепой зоной. 📡 Почему PMKID-атака — главный вектор через Wi-Fi Классический перехват handshake требует подключённого клиента и deauth-фрейма, который палит вас перед WIPS. PMKID-подход работает иначе:

Три радиопротокола — три незакрытых вектора: почему Wi-Fi — лишь верхушка айсберга

На свежем Red Team-проекте для розничной сети в документации значился WPA3, на площадке стоял Cisco WLC. Казалось, беспроводной периметр закрыт. На деле все точки доступа работали в WPA3 Transition Mode — параллельно принимая WPA2-подключения. Три минуты hcxdumptool без единого deauth-фрейма, 40 минут hashcat с правилами — и PSK подобран. К обеду пентестер уже сидел в корпоративном VLAN.

Но самое интересное началось дальше.

🔓 14 BLE-замков на складских дверях — без аутентификации на GATT-запись. Подошёл, отправил команду — дверь открылась. ZigBee-датчики температуры с дефолтным ключом шифрования висели в том же сегменте, что и СКУД. Один объект — три протокола — три точки входа.

И это типичная картина в 2025 году. Компании вкладываются в защиту Wi-Fi, а Bluetooth и ZigBee остаются слепой зоной.

📡 Почему PMKID-атака — главный вектор через Wi-Fi

Классический перехват handshake требует подключённого клиента и deauth-фрейма, который палит вас перед WIPS. PMKID-подход работает иначе: точка доступа сама отдаёт нужный хеш в первом сообщении 4-way handshake. Клиенты не нужны, deauth не нужен — для системы мониторинга вы практически невидимы.

Дальше — офлайн-перебор. И тут критична разница в железе: RTX 3060 выдаёт ~400 тысяч хешей/с для WPA2, встроенная графика ноутбука — десятки тысяч. Поэтому на объекте запускайте только захват, а брутфорс гоните удалённо.

🔑 На что обращать внимание при разведке

• WPA3 Transition Mode в airodump-ng отображается как WPA2 WPA3 в колонке ENC. Если видите это — WPA2-часть атакуема стандартными методами

• Скрытые SSID — не защита. Probe request клиента содержит имя сети в открытом виде. Достаточно дождаться переподключения

• WPS включён — проверяйте через wash -i wlan0mon -C. Иногда Pixie Dust — самый быстрый путь внутрь

📱 BLE и ZigBee — забытый фронт

BLE-устройства в корпоративной среде — это замки, трекеры, датчики. Многие из них не требуют аутентификации на уровне GATT. Ubertooth One остаётся единственным доступным инструментом для полного BLE-сниффинга на link layer — проекту уже пять лет, альтернатив нет.

ZigBee-сети автоматизации зданий часто используют дефолтные ключи шифрования. zbstumbler из KillerBee покажет PAN ID и координаторы, а дальше — перехват и replay.

Полный разбор с командами, ограничениями каждого метода и контрмерами — в статье на форуме.

https://codeby.net/threads/besprovodnoi-pentest-v-2025-ataki-na-wi-fi-bluetooth-i-zigbee.93711/

Гаджеты и электроника
5,73 млн интересуются