Salut à tous !
Qui n'a jamais connu la frustration qu'on peut ressentir après avoir démarré un pentest, être parti au boulot, être revenu et de ne voir aucun résultat... ?
J'ai pu ressentir la même frustration après avoir envoyé un SMS à ma copine qui n'a plus jamais répondu. Mais aussi après un test de hack sur mon réseau wifi en WPA2.
Une petite perle a vu le jour il y a déjà un petit moment mais n'étant pas dans le pack de base de kali linux, il n'est pas si connu que ça...
Je veux parler de : FLUXION !
En bref : Fluxion est plus un script qu'un outil. Il regroupe plusieurs outils présents de base dans kali linux (et en ajoute 4 autres plutôt cools, mais eux aussi peuvent être apparentés à des "simplifications").
Fluxion permet de lancer simplement les commandes pour : passer la carte wifi en monitoring (automatique, plus de code à entrer !),
Puis scanner les réseaux (automatique aussi !), puis en sélectionner un (ils sont classés par numéro, plus besoin de copier coller le bssid !),
Puis lancer la désauthentification de tous les appareils (automatique !),
Puis récupérer le handshake (automatique !).
N'est-ce pas merveilleux ? Oui, mais ça ne s'arrête pas la...
Fluxion créé un faux réseau, du même nom que celui attaqué, et OUVERT (sans demande de clé).
L'utilisateur se reconnecte donc sans faire attention. Il est connecté au faux réseau. Ensuite ? Ensuite, à la moindre demande de page web, il arrive en fait sur une page pré construite dans la langue voulue (français disponible, pas de faute d'orthographe, plutôt pro et au design récent).
Cette page demande la clé WPA si c'est protégé par WPA, WEP si c'est protégé par WEP etc... (Cependant si c'est protégé par WEP pourquoi faites vous ça ? Il y a mieux et plus rapide...).
Une fois la clé entrée par l'utilisateur, elle apparaitra dans la boite de commande en haut a droite de votre écran.
Encore une fois, quand la sécurité d'une machine est trop forte, celle de l'humain ne l'est peut être pas assez. C'est donc à tenter !
Comment télécharger Fluxion (taper dans l'invite de commande): git clone https://github.com/deltaxflux/fluxion
Installation, lancement et tutoriel complet (rapide) : http://www.kalitutorials.net/2016/08...2-without.html
PS1 : Ça fontionne nickel pour moi !
PS2 : Lors de l'installation il conseille de suivre une autre méthode que celle conventionnelle, ne l'écoutez pas le problème semble avoir été résolu puisque je n'ai eu aucune erreur.
PS3 : Le réseau ouvert affiche un petit texte de mise en garde sur sa sécurité (sur iPhone uniquement)
PS4 : Le vrai réseau n'est plus affiché dans les réseaux disponible ! L'utilisateur se trompera très certainement en se disant que le manque de l'icone de cadenas est du au fait que la clé est enregistrée dans son ordinateur !
Des bisous !
Qui n'a jamais connu la frustration qu'on peut ressentir après avoir démarré un pentest, être parti au boulot, être revenu et de ne voir aucun résultat... ?
J'ai pu ressentir la même frustration après avoir envoyé un SMS à ma copine qui n'a plus jamais répondu. Mais aussi après un test de hack sur mon réseau wifi en WPA2.
Une petite perle a vu le jour il y a déjà un petit moment mais n'étant pas dans le pack de base de kali linux, il n'est pas si connu que ça...
Je veux parler de : FLUXION !
En bref : Fluxion est plus un script qu'un outil. Il regroupe plusieurs outils présents de base dans kali linux (et en ajoute 4 autres plutôt cools, mais eux aussi peuvent être apparentés à des "simplifications").
Fluxion permet de lancer simplement les commandes pour : passer la carte wifi en monitoring (automatique, plus de code à entrer !),
Puis scanner les réseaux (automatique aussi !), puis en sélectionner un (ils sont classés par numéro, plus besoin de copier coller le bssid !),
Puis lancer la désauthentification de tous les appareils (automatique !),
Puis récupérer le handshake (automatique !).
N'est-ce pas merveilleux ? Oui, mais ça ne s'arrête pas la...
Fluxion créé un faux réseau, du même nom que celui attaqué, et OUVERT (sans demande de clé).
L'utilisateur se reconnecte donc sans faire attention. Il est connecté au faux réseau. Ensuite ? Ensuite, à la moindre demande de page web, il arrive en fait sur une page pré construite dans la langue voulue (français disponible, pas de faute d'orthographe, plutôt pro et au design récent).
Cette page demande la clé WPA si c'est protégé par WPA, WEP si c'est protégé par WEP etc... (Cependant si c'est protégé par WEP pourquoi faites vous ça ? Il y a mieux et plus rapide...).
Une fois la clé entrée par l'utilisateur, elle apparaitra dans la boite de commande en haut a droite de votre écran.
Encore une fois, quand la sécurité d'une machine est trop forte, celle de l'humain ne l'est peut être pas assez. C'est donc à tenter !
Comment télécharger Fluxion (taper dans l'invite de commande): git clone https://github.com/deltaxflux/fluxion
Installation, lancement et tutoriel complet (rapide) : http://www.kalitutorials.net/2016/08...2-without.html
PS1 : Ça fontionne nickel pour moi !
PS2 : Lors de l'installation il conseille de suivre une autre méthode que celle conventionnelle, ne l'écoutez pas le problème semble avoir été résolu puisque je n'ai eu aucune erreur.
PS3 : Le réseau ouvert affiche un petit texte de mise en garde sur sa sécurité (sur iPhone uniquement)
PS4 : Le vrai réseau n'est plus affiché dans les réseaux disponible ! L'utilisateur se trompera très certainement en se disant que le manque de l'icone de cadenas est du au fait que la clé est enregistrée dans son ordinateur !
Des bisous !
Commentaire