本文介绍了如何利用Fluxion工具进行WPA密码的捕获。Fluxion是一个基于Kali Linux的社会工程学攻击工具,通过创建假的WiFi接入点诱导用户输入密码。它需要两个AP,通过捕获握手包来验证密码。文章详细阐述了Fluxion的工作原理和攻击步骤,包括安装、扫描、选择目标、创建假登录页面等。警告:未经许可使用此类工具是非法的。
前言
由于ISP替代了易受攻击的路由器,供渗透测试人员选择的诸如Reaver这样的工具越来越少,对于特定的目标,哪些工具有用与否能够确定的也很少。而如果采用暴力破解WPA密码,可能会需要大量的时间。幸运的是,几乎所有的系统都有一个常见的漏洞,那就是用户。
挑选最弱的一环攻击
用户几乎总是系统中最薄弱的环节,所以对他们的攻击往往是首选,因为他们成本低而又有效。尤其是对于那些网络安全经验比较匮乏的用户或者是非专业技术型的中小型企业来说,他们的电脑或者系统存在许多易受攻击和未修复的漏洞,比如默认的路由管理密码,很容易利用其无线网络进行攻击。对于针对用户的无线wifi攻击,往往wifi钓鱼和欺骗攻击时首选工具。
主角Fluxion以及如何工作
Fluxion(项目源码)的技术和社会工程学自动化的一个混合,它的特点在于诱骗用户自己输入并移交wifi密码。Fluxion需要使用两个AP来工作,集成了干扰和握手包捕获的功能。与Wifiphisher功能类似,但 Wifiphisher缺少了验证WPA密码的功能。
Fluxion是从一个叫做Lindset的高级社会工程攻击演变而来,Fluxion是一个以欺骗无经验的用户泄露网络的密码的重写攻击。
Fluxion是唯一一个通过使用WPA握手功能来控制登录页面的行为和控制整个脚本的行为的工具。它会阻塞原始网络并创建一个具有相同名称的克隆网络,引起断开连接后的用户加入。 并且提供了一个虚假的路由器重新启动或加载固件,并请求网络密码继续登录的页面。 就那么简单^-^。
该工具通过捕获握手包来获得输入的密码,使用Aircrack-ng来验证密码的准确性,期间一直卡住目标AP,直到输入正确密码。
系统兼容性和要求
Fluxion适用于在Kali Linux中运行,确保系统和依赖关系是最新的即可。 可以是专用的Kali系统,虚拟机,甚至是在Raspberry Pi中运行。
这个工具不能通过SSH使用,因为它使用时还依赖别的窗口。 无线USB网卡方面可选择Atheros AR9271(RTL3070,RTL8187芯片的都可以), 只要确保能够进入监听模式并可以被Kali识别即可。输入iwconfig或ifconfig可以看到。
如何通过Fluxion捕获WPA密码
本文中我们将对连接到接入点“Probe”的用户发起攻击,捕获握手包,设置克隆AP,阻止目标AP,设置假登录页面,并确认输入的密码 。
步骤演示
1. 安装Fluxion
要在kali系统上使用Fluxion,请使用git命令下载项目源码:
最低0.47元/天 解锁文章
762
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
