这个博客里面有很多是课程ppt上的东西,后面也没实验部分的截图。课程视频的话应该比较容易搜到。
爆破无线路由器管理页面登录密码,这部分加入了自己的操作,其他的没啥独特的。
WiFi安全简介及案例
WiFi是一种无线技术,常见的无线技术:
- 3G/4G
- 蓝牙
- 红外连接
- NFC近场通讯(常见的一个例子就是用手机刷公交卡)
WiFi的标准:
802.11标准,目前比较多的是后面的bgn,和ac
WiFi的网络是从有线的方式转换过来的,并不像3G、4G那样可以通过客户端与远距离的基站进行数据通信。
WiFi常见术语
- SSID:service Set Identifier服务集标识符,就是看到的WiFi名字
- BSSID:基本服务单元ID,一个BSSID在不同的信道上面可能会对应到多个SSID。(?理解为物理设备)
- WAP:wireless Application Protocol无线应用协议
- AP:Access Point访问点
- WEP:Wired Equivalent Privacy一种加密方式
- WPA:WiFi Protected Access常用的无线网络认证机制之一,分为个人和企业两种
- Station:站点,网络中最基本的组成部门,通常指无线客户端
- 信道:Channel,是对频段的一种划分,每个频段称为一个信道,信道选择可以让设备自动进行。
网卡的模式:
- 监听模式允许网卡不用连接wifi就可以抓取特性频道的数据,就是在空气中抓取某个波段的数据。可以用在破解wifi密码上
- 混杂模式(连接wifi)就是接收所有经过网卡的数据包,包括不是发给本机的包,即不验证MAC地址
- 普通模式下网卡只接收发给本机的包
无线路由器常见设置和加密方式
无线路由器的连接
在路由器网址可以进行WiFi的设置,比如SSID广播是否开启,连接密码等
加密方式
WEP:
WPA/WPA2
系统环境的准备
网卡接入后的设置:
- 加载无线网卡:ifconfig wlan0 up
- 激活无线网卡至监听模式:airmon-ng start wlan0
- 探测无线网络,抓取无线数据包:airodump-ng wlan0mon(这个是wlan0在监听模式下的名字,也可能不一样)
Aircrack-ng之Airodump-ng输出以及命令参数解析
破解WPA2-PSK加密
这个可以抓到一个包,但是最后还是得靠猜解密码来进行攻击
思路展开:
如果有一个东西需要密码进行登录,而且会限制次数。可以考虑将某个成功登录的信息帧之类的东西进行抓捕下来然后就可以反复进行测试了。
WPA与WPA-PSK的区别
使用WPA这种安全类型,路由器将选用Radius服务器进行身份认证,并得到密钥的WPA或WPA2安全形式。因为要架设一台专用的认证服务器,价格比较贵。
WPA-PSK则是一种简化版本,他依据共享密钥的WPA形式
psk有一个初始安全密钥,可以自己设置(可能现在没有了),之后会有一个更新密钥的时间,每隔一段时间会将密钥进行更改
使用Aircrack-ng抓取WPA2-PSK握手包
握手包在建立的过程中会传递密码,之后进行通信就不再传递密码信息了。
-
设置无线网卡至监听模式
-
扫描周位WPA2-PSK加密的无线信号
airodump-ng wlan0mon 输出中如果有(not associated)则表示客户端没有连接到任何接入点
-
新建一个终端,抓取握手包
airodump-ng -c [num] -w wpa2 wlan0mon num为指定的信道
-
等待过程中,可以发起DeAuth攻击,强制将客户端踢下线重连,抓取握手包
aireplay-ng -0 5 -a BSSID -c STATION wlan0mon#设置为发起5次攻击
-
等待监控窗口,提示WPA handshake
使用EWSA破解密码
工具的使用,不会就百度
DeAuth攻击原理:
DeAuth:取消身份验证洪水攻击
简单的说就是建立联系的过程中有一种帧可以终止客户端的连接。由此引出客户端与AP建立与断开连接的过程。
从抓的包中可以看到deAuth的过程中会有通信双方的交流过程,最后客户端会收到一个类似于ACK的东西。(还是有些细节不太清楚,比如最后那个为什么可以没有源地址。无效打码,不想改了
客户端与AP建立与断开连接的过程
简述版:
扫描阶段
就是搜索可以连接的wifi点
主要有两种扫描方式:
- 主动扫描
主动扫描就是站点自己发送请求连接的帧
- 被动扫描
在不同的信道进行监听,等AP点发送的连接帧
认证阶段
就是输密码的过程
关联阶段
当用户通过指定SSID选择无线网络,并通过AP认证后,就可以向AP发送关联请求帧。AP将用户信息添加到数据库,向用户回复关联响应。
WiFi模块的工作模式:
一个设备上的WiFi模块工作模式有两种工作模式:
AP:简单的说就是开热点
STA:就是一个使用WiFi的设备
利用WPS功能破解及本地恢复密码
WPS:致力于简化无线局域网安装及安全性能的配置工作。
在使用WPS功能连接WiFi的时候,不需要输入密码,而是直接开启WPS然后按一下WPS那个按钮(不清楚的话可以用手机操作一下)
WPS加密中PIN码是网络设备间获得接入的唯一要求。
- WPS PIN码是一个随机产生的8位数字,手机上是这样的。但是路由器上好像是固定的
- PIN的8位数字中第8位是校验位,而且前4位和后3位没有什么联系也就是(10 ^ 3+10 ^ 4)
- PIN码的尝试尽可能慢一点,一个是可能把路由器跑死,另一个可能会被路由器屏蔽
- 一旦破解成功,记住PIN码下一次就可以直接介入目标WiFi了
突破MAC地址过滤
mac地址过滤就是在路由器中有一个类似于黑(白)名单之类的表,阻止(允许)相对应mac地址的设备接入网络。
步骤:
- 获取合法客户端的mac地址
- 更改mac来伪造身份(在网卡停用的情况下)
- macchanger(linux)
- SMAC(win)
- 有时候需要多执行几次。有可能驱动不同导致最后可能修改不成功
- 重新载入网卡
- 连接无线接入点
突破关闭广播SSID
DeAuth攻击获取SSID:
关闭了广播仅仅意味beacon帧中不会再有SSID的名称但是还是有beacon帧在发送。
原理就是已经连接上的设备是知道SSID的,把他踢下线之后,会自动进行重连然后握手包中就有SSID,因为已经连上过的设备是知道SSID的
kismet被动探测SSID
等合法客户端与无线接入点进行连接时探测到SSID。因为有些时候路由器可以配置为:不回复那些将SSID设置为“任意”的探测请求帧(attacker发送的),指的应该是有的设备会主动发送连接请求,这种情况下所设置的帧中的SSID就是任意的,而这种请求帧会被忽视。
爆破无线路由器管理页面登录密码
总体来说的技术就是使用bp进行爆破,主要就是密码传给路由器的时候会经过一次加密。找到加密步骤然后使用字典进行尝试就行:
抓包结果:
密码被加密过了
找加密代码
然后找到$.auth方法,在jquery.js中,但是这个好像是厂商自己写的
密码是a,第一个参数。也就是orgAuthPwd函数的返回结果
调用函数就行,bp好像不支持使用脚本对字典中的内容进行修改,可以把字典先预先处理一下在用
内网初步探测与扫描
使用nmap对内网进行初步探测与扫描,扫描主机,路径跟踪。
然后更加扫描得到的信息,简单分析内网架构,探测其他网段、出口IP、服务器等
爆破内网路由和主机登录密码
就是一些类似ssh服务开启的主机的登陆密码的爆破。还有FTP,数据库,远程桌面等等
ARP欺骗攻击
什么是ARP欺骗攻击
在知道IP地址的时候,使用ARP协议来获取对应的mac地址。
ARP欺骗:
attacker向受害者说自己是路由器,向路由器说自己是受害机(分别对应与正向方向欺骗)。通过IP与mac之间的对应关系。
使用arpspoof进行ARP欺骗攻击
首先要开启流量转发功能:使得受害机发送的流量包能够通过attacker转发给路由器
# 开启攻击机的流量转发功能
echo 1>>/proc/sys/net/ipv4/ip_forward
arpspoof -i eth0 -t 192.168.0.205 192.168.0.1
arpspoof -i eth0 -t 192.168.0.1 192.168.0.205
# 双向欺骗:向路由器伪装受害机。向受害机伪装路由器
使用ettercap进行arp欺骗攻击
一个图形化工具
使用driftnet配合arp攻击进行数据截取
这个好像只是抓取流量中的图片内容
也可以使用wireshark
DNS劫持
DNS劫持简介
就是劫持受害机的DNS请求,然后攻击机来返回DNS解析结果。常用于网络钓鱼
使用ettercap进行DNS劫持
MAC地址表泛洪攻击
原理简介:
拒绝服务攻击的思想,就是路由器会学习新的mac地址,并记录到mac地址表中,然后只要不断地发送伪造的mac就可以冲爆mac表。等冲爆了之后,路由器就会丢失一些mac地址,这样如果这个时候有包要传送到那个mac地址对应的主机,就只能广播。
攻击达到缓冲被充满之后,路由器会自动刷新缓冲。也有的路由器设置的静态mac绑定,这样就有判断依据不再接受哪一部分的mac。有的高级路由器则能够检测到这种恶意填充而直接拒绝。
工具:
macof命令
DHCP地址池耗尽攻击
原理:
利用工具伪装成大量主机去请求DHCP的IP地址池中的地址。造成没有多余的IP分配给正常接入设备。
工具:
yersinia
创建恶意无线热点
beacon泛洪攻击
就是不断向周围发送信标,告诉这里有一个WiFi
也可以伪造成同名的WiFi。然后加大WiFi的信号功率,进而覆盖另一个WiFi
工具
mdk3