SniffAir – это инфраструктура безопасности с открытым исходным кодом, которая позволяет легко анализировать пассивно собранные данные о беспроводных сетях, а также запускать сложные беспроводные атаки.
SniffAir заботится о проблемах, связанных с управлением большими или несколькими файлами pcap, при этом тщательно проверяя и анализируя трафик, выискивая потенциальные недостатки безопасности.
Наряду с предварительно созданными запросами SniffAir позволяет пользователям создавать пользовательские запросы для анализа беспроводных данных, хранящихся в серверной базе данных SQL.
SniffAir основан на концепции использования этих запросов для извлечения данных для отчетов о тестах на проникновение беспроводной связи.
Данные также могут быть использованы для настройки сложных беспроводных атак, включенных в SniffAir в качестве модулей.
Установка
SniffAir был разработан на Python версии 2.7
Протестирован и поддерживается на Kali Linux, Debian и Ubuntu.
Для установки запустите скрипт setup.sh
$./setup.sh
Использование
% * ., %
% ( ,# (..# %
/@@@@@&, *@@% &@, @@# /@@@@@@@@@ .@@@@@@@@@. ,/ # # (%%%* % (.(. .@@ &@@@@@@%.
.@@& *&@ %@@@@. &@, @@% %@@,,,,,,, ,@@,,,,,,, .( % % %%# # % # ,@@ @@(,,,#@@@.
%@% %@@(@@. &@, @@% %@@ ,@@ /* # /*, %.,, ,@@ @@* #@@
,@@& %@@ ,@@* &@, @@% %@@ ,@@ .# //#(, (, ,@@ @@* &@%
.@@@@@. %@@ .@@( &@, @@% %@@%%%%%%* ,@@%%%%%%# (# ##. ,@@ @@&%%%@@@%
*@@@@ %@@ .@@/ &@, @@% %@@,,,,,, ,@@,,,,,,. %#####% ,@@ @@(,,%@@%
@@% %@@ @@( &@, @@% %@@ ,@@ % (*/ # ,@@ @@* @@@
%@% %@@ @@&&@, @@% %@@ ,@@ % # .# .# ,@@ @@* @@%
.@@&/,,#@@@ %@@ &@@@, @@% %@@ ,@@ /(* /(# ,@@ @@* @@#
*%@@@&* *%# ,%# #%/ *%# %% #############. .%# #%. .%%
(@Tyl0us & @theDarracott)
>> [default]# help
Commands
========
workspace Manages workspaces (create, list, load, delete)
live_capture Initiates a valid wireless interface to collect wireless pakcets to be parsed (requires the interface name)
offline_capture Begins parsing wireless packets using a pcap file-kismet .pcapdump work best (requires the full path)
offline_capture_list Begins parsing wireless packets using a list of pcap file-kismet .pcapdump work best (requires the full path)
query Executes a query on the contents of the acitve workspace
help Displays this help menu
clear Clears the screen
show Shows the contents of a table, specific information across all tables or the available modules
inscope Add ESSID to scope. inscope [ESSID]
SSID_Info Displays all information (i.e all BSSID, Channels and Encrpytion) related to the inscope SSIDS
use Use a SniffAir module
info Displays all variable information regarding the selected module
set Sets a variable in module
exploit Runs the loaded module
run Runs the loaded module
exit Exit SniffAir
>> [default]#
Начало работы
Сначала создайте или загрузите новое или существующее рабочее пространство с помощью команды workspace create <workspace>
или команды workspace load <workspace>
.
Чтобы просмотреть все существующие рабочие пространства, используйте команду list workspace list и команду delete <workspace> delete, чтобы удалить желаемое рабочее пространство:
>> [default]# workspace
Manages workspaces
Command Option: workspaces [create|list|load|delete]
>> [default]# workspace create demo
[+] Workspace demo created
offline_capture <the full path to the pcap file>
.offline_capture_list <the full path to the file containing the list of pcap name>
(этот файл должен содержать полные исправления для каждого файла pcap).live_capture <interface name>
для захвата живого беспроводного трафика с использованием беспроводного интерфейса.>> [demo]# offline_capture /root/sniffair/demo.pcapdump
[+] Importing /root/sniffair/demo.pcapdump
\
[+] Completed
[+] Cleaning Up Duplicates
[+] ESSIDs Observed
Команда Show
Команда show отображает содержимое таблицы, конкретную информацию по всем таблицам или доступным модулям, используя следующий синтаксис:
>> [demo]# show table AP
+------+-----------+-------------------+-------------------------------+--------+-------+-------+----------+--------+
| ID | ESSID | BSSID | VENDOR | CHAN | PWR | ENC | CIPHER | AUTH |
|------+-----------+-------------------+-------------------------------+--------+-------+-------+----------+--------|
| 1 | HoneyPot | c4:6e:1f:##:##:## | TP-LINK TECHNOLOGIES CO. LTD. | 4 | -17 | WPA2 | TKIP | MGT |
| 2 | Demo | 80:2a:a8:##:##:## | Ubiquiti Networks Inc. | 11 | -19 | WPA2 | CCMP | PSK |
| 3 | Demo5ghz | 82:2a:a8:##:##:## | Unknown | 36 | -27 | WPA2 | CCMP | PSK |
| 4 | HoneyPot1 | c4:6e:1f:##:##:## | TP-LINK TECHNOLOGIES CO. LTD. | 36 | -29 | WPA2 | TKIP | PSK |
| 5 | BELL456 | 44:e9:dd:##:##:## | Sagemcom Broadband SAS | 6 | -73 | WPA2 | CCMP | PSK |
+------+-----------+-------------------+-------------------------------+--------+-------+-------+----------+--------+
>> [demo]# show SSIDS
---------
HoneyPot
Demo
HoneyPot1
BELL456
Hidden
Demo5ghz
---------
Команда query
может использоваться для отображения уникального набора данных на основе заданных значений параметров.
Команда query использует синтаксис sql.
Incope
Команда inscope <SSID> может использоваться для добавления SSID в таблицы inscope, загрузки всех связанных данных в таблицы inscope_AP, inscope_proberequests и inscope_proberesponses.
Чтобы просмотреть сводную информацию по всем inscope SSIDS, введите команду SSID_Info.
Modules
Модули можно использовать для анализа данных, содержащихся в рабочих пространствах, или для совершения беспроводных атак с использованием команды <module name>.
Для некоторых модулей могут потребоваться дополнительные переменные. Они могут быть установлены с помощью команды set <variable name> <variable value>
:
>> [demo]# show modules
Available Modules
=================
[+] Auto EAP - Automated Brute-Force Login Attack Against EAP Networks
[+] Auto PSK - Automated Brute-Force Passphrase Attack Against PSK Networks
[+] AP Hunter - Discover Access Point Within a Certain Range Using a Specific Type of Encrpytion
[+] Captive Portal - Web Based Login Portal to Capture User Entered Credentials (Runs as an OPEN Network)
[+] Certificate Generator - Generates a Certificate Used by Evil Twin Attacks
[+] Exporter - Exports Data Stored in a Workspace to a CSV File
[+] Evil Twin - Creates a Fake Access Point, Clients Connect to Divulging MSCHAP Hashes or Cleartext Passwords
[+] Handshaker - Parses Database or .pcapdump Files Extracting the Pre-Shared Handshake for Password Guessing (Hashcat or JTR Format)
[+] Mac Changer - Changes The Mac Address of an Interface
[+] Probe Packet - Sends Out Deauth Packets Targeting SSID(s)
[+] Proof Packet - Parses Database or .pcapdump Files Extracting all Packets Related to the Inscope SSDIS
[+] Hidden SSID - Discovers the Names of HIDDEN SSIDS
[+] Suspicious AP - Looks for Access Points that: Is On Different Channel, use a Different Vendor or Encrpytion Type Then the Rest of The Network
[+] Wigle Search SSID - Queries wigle for SSID (i.e. Bob's wifi)
[+] Wigle Search MAC - Queries wigle for all observations of a single mac address
>> [demo]#
>> [demo]# use Captive Portal
>> [demo][Captive Portal]# info
Globally Set Varibles
=====================
Module: Captive Portal
Interface:
SSID:
Channel:
Template: Cisco (More to be added soon)
>> [demo][Captive Portal]# set Interface wlan0
>> [demo][Captive Portal]# set SSID demo
>> [demo][Captive Portal]# set Channel 1
>> [demo][Captive Portal]# info
Globally Set Varibles
=====================
Module: Captive Portal
Interface: wlan0
SSID: demo
Channel: 1
Template: Cisco (More to be added soon)
>> [demo][Captive Portal]#
Экспорт
Чтобы экспортировать всю информацию, хранящуюся в таблицах рабочего пространства, используйте модуль Exporter и задайте нужный путь.
¯\_(ツ)_/¯
Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.