kali linux之無線滲透

無線技術變化大，難度大，既新鮮刺激，又壓力山大。一半協議  一半理論

 

無線技術特色：

行業發展迅猛

互聯網的重要入口

邊界模糊

安全實施缺失並且困難

對技術不瞭解形成配置不當

企業網絡私自接入ap破壞網絡邊界

 

 

IEEE

電氣和電子工程師協會（IEEE，全稱是Institute of Electrical and Electronics Engineers）是一個國際性的電子技術與信息科學工程師的協會，是目前全球最大的非營利性專業技術學會，其會員人數超過40萬人，致力於電氣、電子、計算機工程和與科學有關的領域的開發和研究，在太空、計算機、電信、生物醫學、電力及消費性電子產品等領域已制定了900多個行業標準，現已發展成爲具備較大影響力的國際學術組織。

 

IEEE分爲不一樣的技術委員會，其中802委員會負責lan，man標準的制定

以太網

令牌環網

無線局域網

網橋

 

 

無線工做：

數據鏈路層---邏輯鏈路控制子層LLC--媒體訪問控制子層MAC

物理層

 

 

 平常使用

 

802.11：

發佈於1997年，速率1Mbps或2Mbps，紅外線傳輸介質（未實現）

無線射頻編碼（radio frequencies）

   Direct-Sequence Spread-Spectrum (DSSS)----------直序擴頻
   Frequency Hopping Spread-Spectrum (FHSS)------跳頻擴頻

 媒體訪問方式--------CSMA/CA  c=b+log2（1+s/n）

   根據算法偵聽必定時長

   發送數據前發包聲明

Request to Send/Clear to Send （RTS/CTS）

 

 

802.11b：

Complementary Code Keying (CCK)------補充代碼鍵

   5.5 and 11Mbit/s

   2.4GHz band （2.4GHz---2.485 GHz）

   14個重疊的信道 channels

   每一個信道22MHz帶寬

   只有三個徹底不重複的信道

美國--1 to 11（2.412 GHz --- 2.462 GHz）

歐洲--1 to 13（2.412 GHz --- 2.472 GHz）

日本--1 to 14（2.412 GHz --- 2.484 GHz）

 

 

802.11B：

 

 

802.11A：

與802.11b幾乎同時發佈，因設備價格問題一直沒有獲得普遍使用

使用5GHz帶寬

    2.4GHz帶寬干擾源多（微波，藍牙，無線電話）

    5GHz頻率有更多帶寬空間，可容納更多不重疊的信道

    OFDM信號調製方法--正交頻分複用技術

    更高速率54Mbps，每一個信道20MHz帶寬

    變頻------5.15-5.35GHz室內，5.7-5.8GHz室外

 

 

802.11G：

2.4G頻率

OFDM信號調製方法

與802.11a速率相同

可全局降速，向後兼容802.11b，並切換爲CCK信號調製方法

每一個信道20/22MHz帶寬

 

 

802.11N：

2.4或5Ghz頻率

   300Mbps 最高600Mbps

   MIMO多進多出通訊技術

   多天線，多無線電波，獨立收發信號

   可使用40MHz信道帶寬是數據傳輸速率翻倍

全802.11n設備網絡中，可使用新報文格式，使速率達到最大

每一個信道20/40MHz帶寬

 

 

 

 

無線網絡運做模式

無線網絡架構：

Infrastructure

    AP維護SSID

AD-Hoc

   STA維護SSID

Service Set Identifier（SSID）

   AP每秒鐘約10次經過beacon幀廣播SSID

   客戶端鏈接到無線網絡後也會宣告SSID

 

 

MONITOR MODE

monitor不是一種真的無線模式

   可是對無線滲透相當重要

   容許無線網卡沒有任何篩選的抓包（802.11包頭）

   與有線網絡的混雜模式能夠類比

  適合的網卡和驅動不但能夠monitor，更能夠injection

 

 

選擇無線網卡：

這是個痛苦和受挫的過程，無線網卡的芯片型號是成敗的關鍵

發送功率-------遠程鏈接

接受靈敏性----適當下降靈敏度，接收效果更佳

沒有所謂的標準，可是Aircrack-ng suite做者給出的建議

  Realtek 8187芯片

  1000 mW發送功率

天線---RP-SMA 可擴展

 

 

 

 

 

定向天線：

  八木天線------引向反射天線

 

   扇形天線---經常使用與移動電話網絡，3到4個扇形天線聯合使用可實現全向信號覆蓋

 

 

  120度扇形天線波形

          

 

 

 網裝天線--射束帶寬更加集中，功率更強

     

 

 

 

 

 

linux無線協議棧

 

 

 

 

802.11頭部

DU（Data Unit）即數據單元，信息傳輸的最小數據集合

傳遞過程逐層封裝

SDU（Service Data Unit）/PDU（Portocol Data Unit）

MSDU》MIC》分幀》添加IV》加密》添加MAC頭部》MPDU

MPDU/PSDU+物理頭=PPUD》RF發射

 

 802.11MAC頭部結構

 

 802.11

Protocol Version（2bit）：802.11協議版本，始終爲0.1.2.3

Type（2bit）：規定幀的具體用途（3種幀類型）

     控制幀（1）

     數據幀（2）

     管理幀（0）

Sub Type（4bit）

     每一個類型對應多個子類型，協議規定不一樣類型/子類型的幀完成不一樣功能的操做

 

 

 

 

 

無線通訊過程

Probe----------------------STA向全部信道發出probe幀，發現AP。AP應道Response

Authentication------------STA向AP發出驗證請求，發生認證過程，AP響應STA的認證結果

Association----------------STA發出關聯請求，AP響應關聯請求，關聯成功，開始通訊

 

WEP探測過程

Beacon標識使用WEP加密，STA發送普通Probe幀，AP響應Probe Response幀聲明採用WEP加密

兩個AP的beacon包內容不一樣，但都聲明採用了WPA加密（不一樣廠商對802.11標準的實現方式不一樣），包頭包含WPA1字段信息

 

WEP open認證過程

正確認證後通訊數據被WEP加密，若是認證時客戶端輸入錯誤密碼（認證依然能夠經過，AP將丟棄該STA的數據包，起始向量被錯誤的密鑰解密後完整性被破壞，但數據傳輸將失敗）。認證響應正確，身份驗證成功。

 

 

WEP PSK認證過程

STA發認證請求

AP返回隨機Challenge消息

STA使用PSK加密Cha併發回給AP

AP使用PSK解密密文，得到Cha並與原始Cha對比，相同則驗證成功，不一樣則驗證失敗

大部分無線驅動首先嚐試open驗證，如失敗則嘗試PSK

 

 

 

WEP共享密鑰認證過程

不管使用什麼加密架構，關聯過程徹底相同（STA向AP發送關聯請求，AP向STA發送關聯成功或失敗結果）

隱藏AP（STA關聯包中必須包含目標AP的ESSID，嗅探到此關聯包，說明有隱藏AP存在）

 
 

 

 

 

無線網卡配置

 

查看信道頻率

 

 

掃描附近AP

 

 

 

 

 

 

無線滲透和審計神器：aircrack-ng

包含多種功能的工具套件----網絡檢測，嗅探抓包，包注入，密碼破解

 

檢測網卡

 

 

開啓網卡

 

 再次查看網卡

 

或者指定啓動在哪一個信道

 

 

 

 airodump-ng

 

BSSID：AP的mac地址

PWR：網卡接收到的信號強度，距離越近信號越強（-1-----信號不夠，超出了範圍，或者驅動不支持）

RXQ：最近10秒成功接收的數據幀的百分比（數據幀，管理幀，只有在固定信道纔會出現）

Beacons：接收到次AP發送的beacon幀數量

#Data：抓到的數據幀數量（WEP表示IV數量），包含廣播數據幀

#/s：最近10秒內，每秒平均抓到的幀數量

CH：信道號（從beacon幀中得到），信道重疊時可能發現其餘信道

MB：AP支持的最大速率

ENC：採用的無線安全技術，WEP，WPA，WPA2，OPEN

CIPHER：採用的加密套件，CCMP，TKIP，WEP40，WEP104

AUTH：身份認證方法，MGT，PSK，SKA，OPEN

ESSID：無線網絡名稱，隱藏AP此值可能爲空

STAION：STA的mac地址

Lost：經過sequence number判斷最近10秒STA發送丟失的數據包數量（管理幀，數據幀），干擾，距離，發包不能收，收包不能發

Frames：STA發送的數據包數量

Probes：STA探測的ESSID

 

 

 抓取指定信道

 

 

 抓取信道一的40:31:3C:E4:E3:15的數據包 -w保存到自定義文件裏

 

 

aireplay-ng

產生或者加速無線通訊流量，向無線網絡中注入數據包，僞造身份驗證，強制從新身份驗證，抓包重放

用於後續WEP和WPA密碼破解，支持10種包注入

獲取包的兩種途徑--（-i：指定接口，-r 抓包文件pcap）

 

aireplay-ng <options> <replay interface>

參數

過濾選項：

       -b bssid：MAC地址，接入點
       -d dmac：MAC地址，目標
       -s smac：MAC地址，來源
       -m len：最小數據包長度
       -n len：最大包長度
       -u type：幀控制，類型字段
       -v subt：幀控制，子類型字段
       -t tods：幀控制，到DS位
       -f fromds：幀控制，從DS位
       -w iswep：幀控制，WEP位
       -D：禁用AP檢測

 

 重放選項：
      -x nbpps：每秒數據包數
      -p fctrl：設置幀控制字（十六進制）
      -a bssid：設置接入點MAC地址
      -c dmac：設置目標MAC地址
      -h smac：設置源MAC地址
      -g value：更改環緩衝區大小（默認值：8）
      -F：選擇第一個匹配的數據包

 Fakeauth攻擊選項：
      -e essid：設置目標AP SSID
      -o npckts：每一個突發的數據包數（0 = auto，默認值：1）
      -q sec：保持活動之間的秒數
      -Q：發送從新關聯請求
      -y prga：共享密鑰身份驗證的密鑰流
      -T n：重試假身份驗證請求n次後退出

 Arp Replay攻擊選項：
      -j：注入FromDS包

 碎片攻擊選項：
      -k IP：設置片斷中的目標IP
      -l IP：設置片斷中的源IP

測試攻擊選項：
      -B：激活比特率測試

 來源選擇：
      -i iface：今後接口捕獲數據包
      -r file：今後pcap文件中提取數據包

 其餘選擇：
      -R：禁用/ dev / rtc用法
      --ignore-negative-one：若是沒法肯定接口的通道， 忽略未修補的cfg80211所需的不匹配
      --deauth-rc rc：取消認證緣由代碼[0-254]（默認值：7）

 攻擊模式（可以使用數字）：
      --deauth count：deauthenticate 1或all station（-0）
      --fakeauth延遲：使用AP進行僞身份驗證（-1）
      --interactive：交互式框架選擇（-2）
      --arpreplay：標準ARP請求重播（-3）
      --chopchop：decrypt / chopchop WEP包（-4）
      --fragment：生成有效的密鑰流（-5）
      --caffe-latte：查詢客戶端的新IV（-6）
      --cfrag：針對客戶端的碎片（-7）
      --migmode：攻擊WPA遷移模式（-8）
      --test：測試注射和質量（-9）

 

基本測試，測試無線網卡的注入質量--Injection is working!

 

 

 

 

MAC地址綁定攻擊 

管理員誤認爲mac地址綁定是一種安全機制，限制能夠關聯的客戶端mac地址，其實這並不算是一種安全機制

 

開啓網卡

 

查看是不是Monitor模式

 

 查看在哪一個信道

 

幀聽11信道

 

指定偵聽的目標

若是此時有其餘的客戶端鏈接這個AP，就能夠把隨便一個客戶端的mac地址複製，把本機的mac修改成那個客戶端，既可繞過mac地址綁定

ifconfig wlan0mon down（先關閉網卡）

macchanger -m  複製的mac wlan0

ifconfig wlan0mon up（再次啓動網卡）

查看無線網卡的mac地址，而後直接連接上AP

 

 

 

 

 

WEP攻擊 （沒什麼人用，不演示了）

WEP密碼破解原理：IV並不是徹底隨機，每224個包可能出現一次IV重用

收集大量的IV以後找出相同IV及其對應密文，分析得出共享密碼

ARP回包中包含IV

IV足夠多的狀況下，任何複雜程度的WEP密碼均可以被破解

 

 

 

 

 

 

WPA攻擊

 

WPA PSK攻擊

只有一種破解方法，WPA不存在WEP弱點，只能暴力破解

CPU資源，時間，字典質量--網上共享的密碼，泄露密碼，地區電話號碼段，crunch生成的字典，kali自帶的字典

破解過程：啓動monitor》抓包並保存》Deauthentication攻擊獲取4步握手信息》使用字典暴力破解

 

啓動monitor

 

偵聽

 

 

抓取指定的目標

 

 

 新開一個終端，攻擊切斷客戶端與AP的鏈接

aireplay-ng -0 2 -a APmac -c 客戶端鏈接mac wlan0mon

 

直到出現了 WPA handshake: 2C:43:1A:48:EA:70  出現這個，說明已經抓到包了

 

 

用aircrack-ng破解文件

aircrack-ng -w /usr/share/john/password.lst test-01.cap （-w 指定字典文件）

然而我字典根本不夠強大

 

 

 

 

友情連接  http://www.cnblogs.com/klionsec

                http://www.cnblogs.com/l0cm

                http://www.cnblogs.com/Anonyaptxxx

                http://www.feiyusafe.cn