kali无线渗透之获取客户端信息11

在WiFi网络中，获取客户端的信息也是非常重要的。用户可以通过
获取到的客户端信息，判断出是否有人在蹭网，或者查看客户端运行的一些应用程序等。本节将介绍使用Wireshark工具，分析并获取客户端的信息。

客户端连接的AP

用户通过捕获包可知道，每个AP会定时地广播SSID的信息，以表示AP的存在。这样，当客户端进入一个区域之后，就能够通过扫描知道这个区域是否有AP的存在。在默认情况下，每个SSID每100ms就会发送一个Beacon信标报文，这个报文通告WiFi网络服务，同时和无线网卡进行信息同步。当客户端扫描到这些存在的AP时，就会选择与某个AP建立连接。下面将介绍如何查看客户端连接的AP。
在介绍如何查看客户端连接的AP之前，首先介绍下无线接入过程。

客户端首先会扫描无线网络中存在的AP，然后根据获取的AP的SSID，发送探测请求，并得到AP的响应。当接收到AP的响应后，会与其AP进行认证、关联请求和响应。所以，用户可以通过过滤Association Request类型的包来确定客户端请求连接了某个AP。

原理

 

实例 

 为了使用户更清楚地理解客户端接入AP的过程，这里捕获了一个捕获文件。在捕获文件中捕获到一个客户端连接AP的过程，其接入过程如图。

从该界面显示的包信息中可以看到，客户端与AP建立连接时，经过了

探测请求(Probe Request，582帧)和响应(Probe Response，583帧)

认证请求(Authentication，587帧)和响应(Authentication，588帧)

关联请求(Association Request，589帧)和响应(Association Response，590帧)

3个过程。

下面以一个捕获文件为例，查看客户端与AP的连接。
使用显示过滤器wlan.fc.type_subtype eq 0x00，过滤所有的Association Request包

该界面可以看到，显示的4个包的目标地址相同，并且可以看到每个包的SSID名称都是Test。这说明，有4个客户端与SSID名为Test的AP发送了关联，也就是说这些客户端要连接该AP

注意:在无线网络中有两种探测机制，一种是客户端被动的侦听Beacon帧之后，根据获取的无线网络情况选择AP建立连接;另一种是客户端主动发送Probe request探测周围的无线网络，然后根据获取的Probe Response报文获取周围的无线网络选择AP建立连接。 

判断是否有客户端蹭网

当用户发现自己的网速很慢时，通常会想是否有人在蹭网。这时候用户可以使用Wireshark工具捕获数据包，并进行分析。下面将介绍判断是否有客户端蹭网。
通常人们蹭网，目的是想要看视频或者上QQ聊天。如果要看视频的话，将会从某个服务器上下载内容。当客户端有大量的下载内容时在Wireshark中将会看到有大量的UDP协议包;当有人使用QQ聊天时在Wireshark捕获的包中，可以看到有OICQ协议的包，并且在其包中可以看到他们的QQ号码。下面将通过使用Wireshark工具捕获包，并分析查看是否有人蹭网。

捕获无线网络中的数据包，然后通过分析包，看是否有人在下载资源(如迅雷)。

实操

具体操作步骤如下所述:
启动Wireshark工具。
在Wireshark中选择捕获接口，并设置捕获文件的位置及名称。为了减小用户对包的分析量，用户可以设置捕获过滤器。例如，仅过滤捕获某个AP(Test)的包。

在该界面设置仅捕获AP(Test)的包，其Mac地址为8c:21:0a:44:09:f8。

ether host 8c:21:0a:44:09:f8

从该界面看到，目前捕获到的包都是802.11协议的包，并且都是AP在广播自己的SSID包。这时候为了使Wireshark捕获到有巨大流量产生的数据包，用户可以使用迅雷下载一个视频(如电影)或在网页中看视频等。本例中，选择使用迅雷下载一个视频。
当客户端使用迅雷正常下载视频时，返回到Wireshark捕获包界面，将看到有大量UDP协议的包

从该界面可以看到，显示的包都是UDP协议的包，并且这些包的目的地址和目的端口是相同的，源地址和源端口是不同的。这是因为迅雷使用P2P的方式下载资源。用户也可以根据这些包的目标地址，查看该地址是否是当前AP允许连接的客户端地址。在包详细信息中可以查看到包的IP地址及Mac地址等信息。然后用户可以采取措施，将该客户端踢下线并且禁止它连接。 

查看客户端使用的QQ号

当客户端开启QQ程序时，使用Wireshark工具捕获的数据包中可以查看到客户端的QQ号码。但是，客户端发送或接收的消息都是加密的。如果想查看QQ的传输消息，则需要了解它的加密方式并进行破解才可以查看。

实操

下面将介绍如何通过Wireshark查看客户端使用的QQ号
用户在分析数据包之前，首先要捕获到相关的数据包。用户可以使用捕获过滤器，指定捕获特定客户端数据包，如使用P地址和Mac地址捕获过滤器。这里捕获了一个捕获文件，该界面显示了捕获文件。由于QQ通信使用的是OICQ协议，所以用户可以使用OICQ显示过滤器来过滤器所有的OICQ包。g捕获文件过滤后，显示结果如图。

 从该界面可以看到，显示的包中Protocol列都是OICQ协议。

此时:用户可以在Wireshark的Packet Details面板中查看包的详细信息，或者双击要查看的包，将会显示包的详细信息，在界面显示了第一个包的详细信息。

在该包的详细信息中，OICQ-IM software,popular in China行的展开内容中包括了OICQ的相关信息。如该包的标志、版本、执行的命令及QQ号等。隐藏的部分就是显示Q0号码的位置。以上执行的命令是RequestKEY(29)，表示客户端登录过程中的密码验证。

前面提到QQ传输的数据都是加密的，这里来确认下是否真的是加密的。如查看捕获文件中的一个QQ会话内容。选择第一个包(1021帧)，然后单击右键，将弹出如图所示的界面。

在该菜单栏中选择Follow UDP Stream命令，将显示如图所示的界面。 

该界面显示的内容就是第一个0Q会话的内容。从该界面可以看到，这些内容都是加密的.

 

查看手机客户端是否有流量产生

在手机客户端，可能有一些程序在后台自动运行，并且产生一定的数据流量。如果用户不能确定是否有程序运行，就可以使用Wireshark工具捕获数据包，并从中分析是否有程序在后台运行。下面将介绍如何查看手机客户端是否有流量运行。

实操

下面以Mac地址为14:f6:5a:ce:ee:2a的手机客户端为例，查看是否有流量产生。这里首先捕获该客户端的数据包，为了避免捕获到太多无用的数据包，下面使用捕获过滤器指定仅捕获Mac地址为14:f6:5a:ce:ee:2a客户端的数据包。 

ether host 14:f6:5a:ce:ee:2a

从该界面可以看到，目前没有捕获到任何数据包。这是因为当前的手机客户端还没有连接到WiFi网络中。如果在使用Wireshark捕获包之前，手机客户端已经连接到一个加密的Wi-Fi网络，那么通过Wireshark捕获到的数据包将会是加密的。这是因为加密的Wi-Fi网络使用了一种加密协议（例如WPA或WPA2），对数据包进行保护，以防止未经授权的访问。

所以，启动Wireshark捕获数据包后，再将客户端连接到WiFi网络中，当客户端连接到AP后，用户就可以查看Wireshark捕获到的数据包。当捕获几分钟后，停止捕获，将显示如图。

在该界面显示了客户端连接到WiFi网络的相关数据包。通常人们在手机上安装的一些使用流量的软件有QQ、微信和播放器等。这些软件都是应用类的软件，如果启动的话，会连接对应的服务器。这时候用户可以使用http显示过滤器，过滤并分析相关的包

从该界面可以看到，显示的都是HTTP协议的包，用户可以从包的Info列信息，简单分析出每个包产生的程序。用户也可以通过分析包的详细信息，查看客户端访问了哪些资源。由于客户端使用HTTP协议时，通常会使用GET方法或POST方法发送请求。所以，用户可以通过查看这些请求包的信息，以了解客户端访问的资源。如查看第463帧的详细信息，显示结果如图

 

在该界面Hypertext Transfer Protocol的展开内容中，可以看到客广端请求的全链接。此时用户双击该链接，即可打开对应的网页，从该界面可以看到，这些微信手机客户端的功能，由此可以判断出当前手机客户端上运行了微信应用程序。通过以上的方法，用户可以查看客户端浏览过的一些网页信息。

如果客户端有播放器产生流量的话，将会捕获到大量的UDP协议包。用户可以使用UDP显示过滤器过滤，显示结果如图。

 

如果用户看到类似该界面的包，说明有客户端可能在使用播放器看视频或者下载资源。