從無線安全到內網滲透(轉)

時間 2019-11-05

標籤無線安全滲透欄目無線简体版

原文原文鏈接

前一陣子很火的Evi1m0牛寫的那篇《蹭網以後，能作些什麼？》，不知各位童鞋看過沒？還有鬧得沸沸揚揚的路由器安全漏洞可能你們也都耳聞了，你以爲你家路由器還安全嗎：）路由器安全真是愈來愈火了，有句話說的落後就要捱打啊，那麼今天我就給各位童鞋科普下無線網絡安全的知識，你覺得加個密就萬無一失了嗎，突破這第一道防線輕鬆帶微笑有木有，WiFi在手，天下我有~linux

1.神兵利器

俗話說的好，巧婦難爲無米之炊，這是須要硬件支持的，你須要買一張USB無線網卡。固然網卡也不是隨便都行的，特定的芯片對破解算法支持比較好，列舉幾個流行的芯片給大家參考下，有AR9271，8187L，RT3070這幾種。從我實踐經驗來看，8187和3070信號虛標比較嚴重，9271的信號比較真實一點。說完了硬件就輪到軟件了，你能夠選擇大名鼎鼎的kali滲透測試系統，感受有點大材小用，其實用網上很是流行的定製版的cdlinux就好了，才100多M裏面已經幫你集成了衆多WiFi破解工具了，若是用kali的話還要手動安裝deb包。不推薦用Ubuntu之類的」裸機」，若是你不嫌麻煩把一個個依賴包都裝好也無所謂。經常使用的工具備minidwep-gtk，feedingbottle，inflator，reaver這幾個。在kali下，除了集成的reaver以外其餘都要手動安裝，用命令dpkg –i xx.deb就好了。cdlinux下已經集成了我說的那幾個工具。這幾個工具依賴的基礎都是aircrack-ng，其中minidwep-gtk和feedingbootle是aircrack-ng的GUI版本，inflator是reaver的GUI版本。程序員

2.」秒殺」WEP加密

米都準備好了，準備下鍋了，把無線網卡鏈接到虛擬機裏面，開始幹活吧。先ifconfig下，肯定認到無線網卡wlanx就好了~算法

既然是科普，那就先從最古老的WEP加密提及吧，這種加密方式如今不多見了，若是你發現周圍有用wep加密的信號，那就爽歪歪了，拿不下會被鄙視的。wep加密方式存在天生的算法缺陷，只要捕捉到足夠多的數據包，就能還原出WiFi明文密碼。這其中的算法安全問題感興趣的東西不妨谷歌下。wep的用minidwep-gtk就能輕鬆搞定，這裏我就用minidwep來講明，由於操做簡單，自動化，feedingbottle相似，可是略麻煩適合愛折騰的同窗。打開minidwep先掃描下信號，scan，加密方式encryption選擇wep，果斷點運行lanch，喝口水等密碼出來吧~promise

看到key了吧，那就是你想要的密碼。無論密碼多複雜，破解只是時間問題，只須要稍做等待。feedingbottle和minidwep相似了，只是更加手工話一點，你須要詳細瞭解aircrack-ng套件的工做原理，才能靈活駕馭。瀏覽器

也就是說wep加密是屬於秒殺級別的，不過你仍是須要面對滿地wpa的殘酷現實。說難其實也不難，問題在於你們喜歡給WiFi設置弱口令，能夠像Evi1m0那樣經過字典把密碼給搞定了。好好想一想本身的WiFi用的什麼密碼了：）安全

3.WPA加密對策

WPA密碼破解能夠利用兩種方式：服務器

抓WPA握手包而後跑字典字典的好壞直接決定成功率

reaver窮舉pin碼這種方式須要時間，可是若是可行，密碼是百分百能夠破解的

3.1抓包破解攻擊

先說第一種吧，抓握手包跑字典，這主要看你的字典給不給力了，拼人品的時間到了，和破解wep操做同樣的，選中信號點lanch開始抓包，抓包的時候路由器是必定要有用戶使用，目的是攻擊致使對方掉線，在自動重連的過程當中抓取WPA認證的四次握手包。若是一直沒找到在線的客戶端，就抓不到包的，只能等有人用的時候再試了。網絡

彈出下面這個提示，說明抓包成功了，把包拷出來用EWSA驗證下是否是完整的握手包，要包含完整的四次握手信息才能用來破解。app

只有提示是有效的數據包才能進行字典破解，像下面這樣的數據包就是能夠利用的。工具

接下來請出hash神器，hashcat。可能有些人會奇怪我爲何不用ewsa直接跑字典，由於hashcat的效率比ewsa高不少，並且功能也強大不少，字典跑不出密碼還能夠用靈活多變的暴力規則方式繼續搞。新手推薦用hashcat-GUI吧，帶界面操做簡單不少。wpa加密方式自己不像wep加密那樣有漏洞，錯就錯在你們都喜歡用弱密碼，看我下面列舉的這幾個，歡迎對號入座~

8位純數字

本地固話

本地手機號碼

弱密碼（1234567890等等）

躺槍了沒？這些都是分分鐘秒殺的節奏，特別是本地手機號碼是絕大部分人最喜歡用的密碼，我破解的16個WiFi密碼中，有13個是用手機號或者固話的。其實hashcat也是minidwep調用的跑wpa密碼的軟件，可是在虛擬機裏面，效率就可想而知了。在宿主機外面你能夠用顯卡跑hashcat，效率是成倍的提升。hashcat的用法就不贅述了，百度一下就有了~

3．2窮舉PIN碼攻擊

接下來重點來講說第二種破解wpa加密的方式，用reaver跑pin碼。大部分無線路由器都有個WPS快速鏈接的功能，只要鏈接的時候輸入路由器正確的pin管理碼，就能夠自動的根據算法協商密鑰連上WiFi。這個pin碼是8位純數字，前4位和後4位是分開驗證的，第8位是檢驗碼（根據前7位按照必定的算法能夠推出第8位）。也就是說若是要窮舉這個pin碼，只須要10^4+10^3=11000次，reaver就是幹這個差事的工具。只要路由器開啓了WPS功能，而且沒有鎖死WPS的機制，是百分百能夠嘗試出正確的pin碼，獲得pin碼後就能獲取到wpa密碼了。並且大部分狀況下，路由器出廠開放WPS功能哦：）。不過要說明的是有些路由器，試錯pin碼屢次會鎖死，這種狀況下只能用第一種抓包跑密碼了。

下面來講下reaver的使用方法。

先開啓網卡的混雜模式，用命令airmon-ng start wlan1，提示monitor mode enabled on mon0就表明成功了。而後用命令wash –i mon0 –C來搜索支持WPS的ap。圖中的BSSID爲ap的mac，channel是信道，RSSI是信號值，數字部分越小表明信號越強，WPS Locked就是剛纔說的WPS鎖死機制，ESSID是信號名稱。選個信號強一點的沒有WPS 鎖死機制的ap就能夠用reaver開始破解了，信號差的效率低，容易丟包，時不時會報錯，要注意參數調節。

列舉reaver的幾個經常使用參數

`01`	`-i 監聽後接口名稱網卡的監視接口，一般是mon0`

`02`	`-b 目標mac地址 AP的MAC地址`

`03`	`-a 自動檢測目標AP最佳配置`

`04`	`-S 使用最小的DH key，能夠提升破解速度`

`05`	`-vv 顯示更多的非嚴重警告`

`06`	`-d 即delay，延時每窮舉一次的閒置時間預設爲1秒`

`07`	`-t 即timeout，超時每次窮舉等待反饋的最長時間`

`08`	`-c 指定信道,能夠方便找到信號`

`09`	`-p PIN碼四位或八位（若是是7位第8位自動補全）`

`10`	`-N 不發送NACK信息（若是一直pin不動，能夠嘗試這個參數）`

`11`	`-n 對目標AP老是發送NACK`

舉個例子

reaver –i mon0 -b 00:11:22:33:44:55 -a -S -d 3 -t 3 -vv -c 6

特別重要的一點：要根據reaver反饋的信息來調整-d和-t參數，若是pin的速度太快，會pin死掉，無限報錯，也就是跑死了，除非重啓路由器才行。特別是信號差的更要注意這一點。

接着抖一些乾貨：

磊科和Dlink的某些路由器不能加-S參數來優化，不然不會出正確的pin碼。若是有信號跑到99.99%仍是沒出密碼，就能夠考慮去掉-S參數。或者要跑reaver以前用wireshark分析下包，判斷路由器的品牌。

信號很差的時候，可能會出現正確的pin碼驗證不成功即漏碼，強制指定-n參數便可。

若是實在沒把握對節奏pin死了，能夠嘗試用mdk3來攻擊對方路由器，迫使路由器主人重啓路由器。

無線路由器前6位MAC地址是C83A35，00B00C(騰達)或081075，081076 (磊科部分能夠)的，能夠根據MAC後六位算出正確的pin碼，用自帶的科學計算器就能準確算出來。

把計算器調爲程序員型，選十六進制，好比08:10:76:0F:B3:5C這個MAC地址，取後六位，輸入完後選十進制就算出pin碼前7位了。而後用-p參數指定7位pin碼就能夠出密碼了，第8位程序會自動補全。

總結一下，若是是WEP加密，用minidwep掛着必定能夠出密碼，若是是wpa能夠先抓握手包包，而後用hashcat跑字典，同時能夠用reaver跑pin碼，若是hashcat搞定了就關掉reaver吧，否則你就老老實實等吧，reaver平均速度要半天搞很差要過夜，因此reaver仍是適合定點投放啊= =#這裏就不重複說inflator的用法了，reaver的界面版，操做更簡單了，若是你掌握了命令行的reaver，inflator用起來是毫無壓力的。

4.旁門左道

另外補充一個投機取巧的辦法，用WiFi萬能鑰匙獲取WiFi密碼，前提是已經root的安卓手機。WiFi萬能鑰匙相信你們不陌生吧，WiFi萬能鑰匙從服務器獲取到別人分享的密碼來鏈接WiFi，斷開後就把密碼清除了。重點來了，WiFi在鏈接的過程當中密碼是保存在本機的/data/misc/wifi/wpa_supplicant.conf上的，咱們能夠強行終止WiFi萬能鑰匙進程，那密碼就永久保存下來了，這時候用帶文件管理器好比re或者es瀏覽器，打開/data/misc/wifi/wpa_supplicant.conf就能看到密碼了。

或者裝個app吧，搜下WiFi鏈接管理器，長按顯示密碼就好了，都須要root權限的。

到這裏就講的差很少了，若是小夥伴們有想到別的辦法歡迎補充。若是你掌握以上的方法，百分之80以上的WiFi加密都是能夠輕鬆突破的，I promise，要不要我給你看下個人WiFi密碼本啊；）

5.防範對策

突破這第一道防線以後，你就和對方處於同一局域網了，這時候能幹點啥呢，arp欺騙啊，掛馬啊，metasploit你懂得，簡直沒有隱私可言了，咳咳，當心豔照門中招了

科普完了還要說下防破解的對策，畢竟有個不速之客在你的局域網裏是很危險的事情，看看E說的女神的下場你就知道了。選擇wpa加密不會錯，密碼要夠健壯，弱密碼見光死啊，嗯，像wujt@396900*&這樣略給力的密碼就行~可是千萬不要忘記在設置裏面把路由器WPS功能關閉掉，tplink 水星之類的路由器設置裏面是叫QSS功能~最後記得不要隨便分享你的WiFi密碼~！能作到以上這幾點，理論上你的WiFi是牢不可破的，除非他丫的動用了超級計算機來跑你的密碼；）

下集預告~想在別人局域網裏面刷下存在感？都說不猥瑣的黑客不是好黑客，下集我會給你們講解在無線局域網裏叱吒江湖這件小事~