无线渗透和审计神器
包含各种功能的工具套件
网络检测
嗅探抓包
包注入
密码破解
AIRODUMP-NG
BSSID:AP的MAC地址
PWR:网卡接收到的信号强度,距离越近信号越强
-1:驱动不支持信号强度,STA距离超出信号接受范围
RXQ:最近10秒成功接收的数据帧的百分比(数据、管理帧),只有在固定信道时才出现
BEACONS:接收到此AP发送的beacon帧数量
#Data:抓到的数据帧数量(WEP表示IV数量),包含广播数据帧
#/s:最近10秒内,每秒平均抓到的帧的数量
CH:信道号(从beacon帧中获得),信道重叠是可能发现其他信道
MB:AP支持的最大速率
ENC:采用的无线安全技术WEP、WPA、WPA2、OPEN
CIPHER:采用的加密套件CCMP、TKIP、WEP40、WEP04
AUTH:身份验证方法MGT、PSK、SKA、OPEN
ESSID:无线网络名称,隐藏AP此值可能为空, airodump从Probe和association帧中发现隐藏AP
STATION:STA的MAC地址
LOST:通过Sequence Number判断最近10秒STA发送丢失的数据包流量(管理帧、数据帧)
干扰、距离
发包不能收、收包不能发
Packets:STA发送的数据包流量
Probes:STA探测的ESSID
AIREPLAY-NG
产生或者加速无线通信流量
向无线网络中注入数据包
伪造身份验证
强制重新身份验证
抓包重放
用于后续WEP和WPA密码破解
支持10种包注入
获取包的两种途径
指定接口 (-i)
抓包文件pcap (-r)
aireplay-ng name>(侦听后的网卡)
filter命令选项 (除0、1两种攻击方式)
Replay命令选项
AIREPLAY-NG排错
Aireplay-ng命令挂起没有任何输出
无线网卡与AP工作在不同信道
报错“write failed: Cannot allocate memory wi_write():illegal seek"
无线网卡使用Broadcom芯片(bcm43xx), 替换为b43驱动可解决
可注入但速度很慢,并提示内核消息”rtc:lost some interrupts at 1024Hz"
没有修正方法,此时可以启动多个aireplay-ng命令提高速度
使用-h参数指定注入MAC地址与网卡MAC地址不一致报错
建议保持一致(macchange)
AIREPLAY-NG包注入测试
检测网卡是否可以注入包
检测AP的响应时间
回包率反应链路质量
如果有两个无线网卡,可以检测具体可以注入哪种攻击
基本测试检测AP对Probe广播的响应
向每AP发30包
网卡成功发送并可接收包的能力
aireplay-ng -9 wlan0 //检测注入能力
如果有两个已经monitor的网卡,则可以进行 card to card注入测试
具体攻击方式
-i作为AP的网卡
5/7 Faild
注入MAC和真实MAC相同时都可以使用
机场、火车站WEP 得到密码后:可能有MAC地址绑定
WEP共享密钥破解
WEP密码破解原理
IV并非完全随机
每224个包可能出现一次IV重用
收集大量IV之后找出相同IV及其对应密文,分析得出共享密码
ARP回包中包含IV
IV足够多的情况下,任何复杂程度的wep密码都可以被破解
WPA PSK攻击
只有一种密码破解攻击
WPA不存在WEP的弱点
只能暴力破解
CPU资源
时间
字典质量
网上共享的字典
泄露密码
地区电话号码段
crunch生成字典
kali中自带的字典文件
PSK破解过程
启动monitor
开始抓包并保存
Deauthentication攻击获取4步握手信息
使用字典暴力破解
**命令:**
airmon-ng check kill //杀死影响无线破解的进程
airmon-ng start wlan0 //开启monitor
iwconfig //检查情况
airodump-ng wlan0mon --bssid 00:00:00:00:00:00 -c 11 -w wpa (保存的文件名称)
aireplay -0 2 -a -c wlan0mon
aircrack-ng -w 字典 WPA.cap
**无AP情况下的WPA密码破解**
启动monitor
开始抓包并保存
根据Probe信息伪造相同ESSID的AP
抓取四步握手中的前两个包
使用字典暴力破解
AIROLIB 破解密码
设计用于存储ESSID和密码列表
计算生成不变的PMK(计算资源消耗型)
PMK在破解阶段被用于计算PTK(速度快,计算资源要求少)
通过完整性摘要值破解密码
SQLite3数据库存储数据
过程:
echo kifi>essid.txt //将一个ESSID放如一个TXT文本中
airolib-ng db --import essid essid.txt //将有ESSID的TXT文本导入到 db 数据库中
airolib-ng db --stats //查看数据库
airolib-ng db --import passwd //导入字典,会自动剔除不合格的WPA字典
airolib-ng db -batch //生成PMK
dirolib-ng -r db wpa.cap 读取数据库破解包
COWPATTY破解密码
WPA密码通用破解工具
使用密码字典
cowpatty -r wpa.cap -f 字典 -s Essid名称
使用彩虹表 (PMK)
genpmk- -f 字典 -d pmkhash(保存在什么文件) -s essid
cowpatty -r wpa.cap -d pmkhash -s essid
PYRIT破解密码
与airolib、cowpatty相同,支持基于预计算的PMK提高破解速度
独有的优势
除CPU之外pyrit可以运用GPU的强大运算能力加速生成PMK
本身支持抓包获取四步握手过程,无需Airodump抓包
也支持传统的读取airodump抓包获取四步握手的方式
只抓取WPA四次握手过程包
pyrit -r wlan0mon -o wpapyrit stripLive
pyrit -r wpapyrit.cap analyze
从airodump抓包导并筛选
pyrit -r wpa.cap -o wpapyrit.cap strip
使用密码字典直接破解
pyrit -r wpapyrit.cap -i 字典 -b MAC> attack passthrough
数据库模式破解 //推荐,*
默认使用基于文件的数据库,支持连接SQL数据库,将计算的PMK存入数据库
查看默认数据库状态: pyrit eval
导入密码字典:pyirt -i 字典 import_passwords (剔除不合格的密码)
指定ESSID:pyrit -e essid名称 create_essid
计算PMK: pyrit batch (发挥GPU计算能力)
破解密码:pyrit -r wpapyrit.cap -b MAC> attack ab
WPS
WPS是WIFI联盟2006年开发的一项技术
通过PIN码来简化无线接入的操作,无需记住PSK
路由器和网卡各按一个按钮就能接入无线
PIN码是分为前后各4位的2段共8位数字
安全漏洞
2011年被发现安全涉及漏洞
接入发起方可以根据路由器的返回信息判断前4位是否正确
而PIN码的后4位只有1000种定义的组合 (最后一位是checksum)
所以全部穷举破解只需要11000次尝试
PSK:218,340,105,584,896
标准本身没有设计锁定机制,目前多个厂商已实现锁定机制
包括Linksys在内的很多厂商的无线路由器无法关闭WPS功能
即使在WEB界面中有关闭WPS,配置也不会生效
攻击难度相对较低,防御却十分困难
一般可在4-10小时爆破密码
PSK
用计算器直接算出PIN
C83A35、00B00C
流程:
启动侦听模式后,发现支持WPS的AP
wash C -i wlan0mon
airodump-ng wlan0mon --wps
爆破PIN码
reaver -i wlan0mon -b -vv
秒破PIN码
reaver -i wlan0mon -b -vv -k 1
pixiewps
只适用于固定厂商的芯片,成功率很低
reaver -i wlan0mon -b -w -p 88888888(PIN码)
问题:
很多厂家实现了锁定机制,所以爆破时应注意限速
一旦触发锁定,可尝试耗尽AP连接数,令其重启并解除、WPS锁定
综合自动化无线密码破解工具 wifite
WPS
airbase-ng -a --essid “kifi” -c 11 wlan0mon
apt-get install bridge-utils
brctl addbr bridge
brctl addif wifi-Bridge eth0
brctl addif wifi-Bridge at0
ifconfig eth0 0.0.0.0 up
ifconfig at0 0.0.0.0 up
ifconfig bridge 192.168.1.10 up
route add-net 0.0.0.0 netmask 0.0.0.0 gw 192.168.1.1
/EVIL TWIN AP/ ROGUE AP
3vilTwinAttacker
git clone https://github.com/P0cL4bs/3vilTwinAttacker.git
cd 3vilTwinAttacker
chmod +x install.sh
./install.sh --install
如果在安装的过程显示代码错误,就用./install.sh --uninstall卸载掉。找到问题解决后再重新安装
WPA企业
hostapd-wpe
取代了FreeRADIUS-wpe
EAP-FAST/MSCHAPv2 (phase 0)
PEAP/MSCHAPv2
EAP-TTLS/MSCHAPv2
EAP-TTLS/MSCHAP
EAP-TTLS/CHAP
EAP-TTLS/PAP
身份认证的方法
过程:
apt-get install libssl-dev
wget http://ftp.debian.org/debian/pool/main/libn/libnl/libnl-dev_1.1-7_amd64.deb
get http://hostap.epitest.fi/releases/hostapd-2.6.tar.gz
tar -zxf hostapd-2.6.tar.gz
cd hostapd-2.6
patch -p1 < …/hostapd-wpe/hostapd-wpe.patch
cd hostapd/要修改,还有很多错误,不曾实践。
AIRDECAP-NG
去除802.11头
airdecap-ng -b 1.pcap
解密WEP加密数据
airdecap-ng -w -b 1.pcap
必须有与AP建立关联关系
解密WPA加密数据
airecap-ng -e kifi -p -b 1.pcap
抓包文件中必须包含4步握手信息,否则无解
AIRSERV-NG
通过网络提供无线网卡服务器
某些网卡不支持客户端/服务器模式
启动无线监听
服务端
airserv-ng -p 3333 -d wlan0mon
客户端
airodump-ng 192.168.1.1:3333
某些防火墙会影响C/S之间的通信
AIRTUN-NG
无线入侵检测wIDS
无线密码和BSSID
需要获得握手信息
中继和重放
Repeate/Replay
BESSID-NG
无线侦察
kismet
kismet*.nettxt
kismet*.pcapdump
gpsd -n -N -D4/dev/ttyUSBO
giskismet -k Kismet-*.netxml
giskismet -q "select*from wireless"-o gps.kml
下载Google-earth打开kml文件