
<html>

  <head>

    <meta content="text/html; charset=ISO-8859-1"

      http-equiv="Content-Type">

  </head>

  <body bgcolor="#FFFFFF" text="#000000">

    Hi,<br>

    <br>

    <blockquote

      cite="mid:AC8293D9-1349-4980-9C23-FCA74468ABB0@freeradius.org"

      type="cite"><base href="x-msg://1942/">

      <div><br>

        <blockquote type="cite"><span class="Apple-style-span"

            style="border-collapse: separate; font-family: Helvetica;

            font-style: normal; font-variant: normal; font-weight:

            normal; letter-spacing: normal; line-height: normal;

            orphans: 2; text-align: -webkit-auto; text-indent: 0px;

            text-transform: none; white-space: normal; widows: 2;

            word-spacing: 0px; -webkit-border-horizontal-spacing: 0px;

            -webkit-border-vertical-spacing: 0px;

            -webkit-text-decorations-in-effect: none;

            -webkit-text-size-adjust: auto; -webkit-text-stroke-width:

            0px; font-size: medium; ">

            <div class="hmmessage" style="font-size: 10pt; font-family:

              Tahoma; ">

              <div dir="ltr">I was told there is a plugin for FreeRadius

                that can be used to retrieve the username/password of

                the EAP request. Is this true?<br>

              </div>

            </div>

          </span></blockquote>

        <div><br>

        </div>

        <div>No...?</div>

        <div><br>

        </div>

        <div>There's <a moz-do-not-send="true"

            href="http://www.willhackforsushi.com/FreeRADIUS_WPE.html">http://www.willhackforsushi.com/FreeRADIUS_WPE.html</a>,

          but it's not a complete solution in itself...</div>

        <br>

      </div>

    </blockquote>

    <br>

    Uh, what a lame thing. It will only work on the assumption that the

    user does not check the server certificate, which really bad

    practice.<br>

    The rest is a setup of FreeRADIUS which is designed to be compatible

    with as many EAP types as possible; so as not to disturb the end

    user experience.<br>

    It also can't figure out if the user entered his real credentials or

    had a typo/intentionally put in something different.<br>

    The "patch" is a few sample clients, nothing more.<br>

    <br>

    A nice exercise, for sure, but calling this "Pwnage Edition" is

    somewhat exaggerated. As I read the headline, I expected more bang

    for the buck :-)<br>

    <br>

    Greetings,<br>

    <br>

    Stefan Winter<br>

  </body>

</html>