NOTICE:本实验仅供学习普及信息安全知识以及加强信息安全意识之用,本文所构造的实验环境均为本地实验环境,不要乱用哦,俺们不承担一切非法用途后果

前言

很不巧昨天晚上断网了,我只好拿出了我珍藏半年之久的大功率802.11n wlan网卡,手机开设热点来上网了,既然这样,我们就来“科普”一下如何利用外置网卡+kali linux aircrack-ng模块来优雅的“蹭网”

0x01

准备工作:一块Kali linux支持的外置网卡,kali的官网上有支持的驱动型号,我这里使用的是RT3072

以及kali linux

以及一个强大的字典,后面你会发现破解WPA/WPA2能不能破解出来其实完全靠字典

0x02

wifi加密方式

wifi加密方式大多数分为三种,分别是WEP.WPA.WPA2,,其中还有一个特殊的WPS,预共享密钥模式,这也是不安全可破解的,WEP是一种老旧的加密方式,已经验证存在缺陷,通过大量的抓包,无需字典就可以轻松破解WIFI密码。WPA/WPA2安全性要比WEP高一点,但是我们仍然可以通过监听抓包跑字典的方式破解其WIFI密码,而能不能破解出来的关键在于你的字典中是否真正包含正确的密码

0x03

首先我们将网卡连接到kali虚拟机上,输入

  • airmon-ng #查看网卡状态以及名称
  • 这里我们可以看到我们此时的网卡名称为wlan0,相应的驱动等信息都一一在目

0x04

然后我们开始我们寻找猎物的过程,开启无线嗅探,将网卡设置为监听模式,输入命令

  • airmon-ng start wlan0
  • 此时我们可以看到,命令成功执行,网卡wlnan0已经变为了监听模式,此时你在网络状态中是看不见无线网卡的,同时输入ifconfig,查看网卡状态,你会发现wlan0的名称变为wlan0mon,其中mon表示monitor,监听模式
  • 再输入airodump-ng wlan0mon命令来探测我们这片区域有哪些WIFI热点
  • 我们这边就那么多WIFI热点了,其中TPLINK是我们自己的,下面是参数的详细说明
  • BSSID:无线的IP地址。
  • PWR:网卡报告的信号水平。
  • Beacons:无线发出的通告编号。
  • Data:被捕获到的数据分组的数量,包括广播分组。

  • /s:过去10秒钟内每秒捕获数据分组的数量。

  • CH:信道号(从Beacons中获取)。
  • MB:无线所支持的最大速率。如果MB=11,它是802.11b;如果MB=22,它是802.11b+;如果更高就是802.11g。后面的点(高于54之后)表明支持短前导码。
  • ENC:使用的加密算法体系。OPN表示无加密。WEP?表示WEP或者WPA/WPA2模式,WEP(没有问号)表示静态或动态WEP。如果出现TKIP或CCMP,那么就是WPA/WPA2。
  • CIPHER:检测到的加密算法,是CCMP、WRAAP、TKIP、WEP和WEP104中的一个。典型的来说(不一定),TKIP与WPA结合使用,CCMP与WPA2结合使用。如果密钥索引值大于0,显示为WEP40。标准情况下,索引0-3是40bit,104bit应该是0。
  • AUTH:使用的认证协议。常用的有MGT(WPA/WPA2使用独立的认证服务器,平时我们常说的802.1x、radius和eap等)、SKA(WEP的共享密钥)、PSK(WPA/WPA2的预共享密钥)或者OPN(WEP开放式)。
  • ESSID:指所谓的SSID号。如果启用隐藏的SSID的话,它可以为空。这种情况下,airodump-ng试图从proberesponses和associationrequests中获取SSID。
  • STATION:客户端的MAC地址,包括连上的和想要搜索无线来连接的客户端。如果客户端没有连接上,就在BSSID下显示“notassociated”。
  • Rate:表示传输率。
  • Lost:在过去10秒钟内丢失的数据分组,基于序列号检测。它意味着从客户端来的数据丢包,每个非管理帧中都有一个序列号字段,把刚接收到的那个帧中的序列号和前一个帧中的序列号一减就能知道丢了几个包。
  • Frames:客户端发送的数据分组数量。
  • Probe:被客户端查探的ESSID。如果客户端正试图连接一个无线,但是没有连接上,那么就显示在这里。

0x05

WEP破解

可以看到,我们的WIFI加密方式为WPA2,很不巧我们这款路由器没有WEP加密方式的,因此关于WEP的破解我们无法演示,但是比WPA2破解要简单多了,这里我们说下方法

首先前面的操作是一样的,然后我们使用airodump-ng命令来捕获数据并破解

  • airodump -c 信道 -W(保存文件名称) –ivs –bssid wlan0mon(网卡名称) -o(保存文件路径)

然后使用aireplay-ng命令截获热点数据包

  • aireplay-ng -3 -b AP的物理地址 -h 客户端的物理地址 wlan0mon(监听模式网卡名称)
  • -3 指采用ARPRequesr注入攻击模式;-b 后跟AP的MAC地址,这里就是前面我们探测到的SSID为TPLINK的AP的MAC;-h 后跟客户端的MAC地址,也就是我们前面探测到的有效无线客户端的MAC;
  • PS:记得重新打开一个命令终端

最后使用aircrack-ng命令破解WIFI热点密码

  • aircrack-ng XX-1.ivs(破解WEP不需要字典)

0x06

WPA/WPA2破解

终于进入了我们的重头戏了,实际上现实生活中WEP基本已经绝迹了,就像我们的WIFI压根就没有WEP的选项,实际上大多数WIFI还是采用WPA/WPA2加密方式的,破解起来的话,前面的方法也是一样的,首先将网卡设置为监听模式,然后阻断抓包,最后破解,命令如下

  • airodump -c 信道 -W(保存文件名称) –ivs –bssid wlan0mon(网卡名称) -o(保存文件路径)

然后使用aireplay-ng命令截获热点数据包

  • aireplay-ng -0 -b AP的物理地址 -h 客户端的物理地址 wlan0mon(监听模式网卡名称)
  • PS:这里使用的是发送死亡包模式,aire-play攻击模式共有9种,我这里就直接粘贴网上找来的信息了
  • –deauth count–deauth count-0 count 反授權攻擊模式:對Client發送連線中斷訊息,從而使Client重新發出授權請求,再擷取其請求的封包,而產生有用的arp資訊。count 是指執行阻斷的次數,如果設為 0 表循環攻擊,Client 將無法上網。–fakeauth delay-1 delay 偽裝請求授權模式:當對AP進行攻擊,但沒有Client連到AP時,以致沒有封包產生,就會利用此法來讓AP產生封包。(只適用 WEP,不能用於WPA/WPA2)(一個Console進行 fakeauth 攻擊,另一個console 就可以進行其他監聽或注入)delay 是指每次重送授權請求的間隔秒數–interactive-2 互動模式:具備封包擷取與封包注入功能–arpreplay-3 封包重送模式:擷取封包分析再重發的方式,目的在對AP產生足夠的請求,讓AP吐出更多封包以供 aircrack-ng 分析。–chopchop-4 對 WEP 封包進行解密作業(不一定能成功)–fragment-5 如果成功,可以得到1500字節PRGA(虛擬隨機產生演算法)-6 Cafe-latte attack利用擷取 client 發送的 ARP 封包,調整後再回送給 client 端,進而破解 WEP 的金鑰(只適於 WEP)-7 Client-oriented fragmentation attacHirte attack,跟 -6 相同,只是不限於 ARP 封包,也可以利用 IP 封包–test-9 測試目前有哪些AP,以及注入的成功率

最后使用aircrack-ng命令破解WIFI热点密码

  • aircrack-ng -w 字典.txt 001-1.ivs
  • 这里我们攻击同样是我们路由的访客wifi,同样是WPA2加密
  • 输入airodump-ng -c 1 -w 001 -bssid 42:FC:68:14:26:30  wlan0mon开始捕获,此时是还没有捕获的,因为我们还没有开始攻击,然后再开一个终端输入
  • aireplay-ng -0 5 -a 30:FC:68:14:26:30 -c 48:DB:50:34:69:22 wlan0mon
  • 发送死亡包,断开客户端与AP直接的连接,此时客户端会重新尝试连接AP,然后我们就会利用这个机会来捕获数据包
  • 这里右图出现WPA handshake表示抓包成功了,为了增加破解成功率,最好等待data捕获到1万以上
  • 从输出的信息中可以看到ESSID为Test无线路由器的#Data一直在变化,表示有客户端正与无线发生数据交换。以上命令执行成功后,会生成一个名为wirelessattack-01.ivs的文件,而不是wirelessattack.ivs。这是因为airodump-ng工具为了方便后面破解的时候调用,所有对保存文件按顺序编了号,于是就多了-01这样的序号,以此类推。在进行第二次攻击时,若使用同样文件名wirelessattack保存的话,就会生成名为wirelessattack-02.ivs文件。
  • 然后我们来进行破解,首先需要准备一个字典文件
  • 这里为了节省时间,我们直接把wifi密码加进了字典当中
  • 然后输入
  • aircrack-ng -w test.txt 001-01.ivs
  • 可以看到提示Key found!,我们成功破解了WIFI密码!
  • 然后我们就可以连上目标WIFI,进一步开始攻陷路由或者同一网段主机了

0x07

破解开启WPS的WIFI热点

WPS是由Wi-Fi联盟所推出的全新Wi-Fi安全防护设定标准。该标准主要是为了解决无线网络加密认证设定的步骤过于繁杂的弊病。因为通常用户往往会因为设置步骤太麻烦,以至于不做任何加密安全设定,从而引起许多安全上的问题。所以很多人使用WPS设置无线设备,可以通过个人识别码(PIN)或按钮(PBC)取代输入一个很长的密码短语。当开启该功能后,攻击者就可以使用暴力攻击的方法来攻击WPS。我们将介绍使用各种工具攻击WPS。

很不幸,我们的路由比较落后,WPS功能也没有,但我们可以使用WIFIte工具来寻找破解WPS热点

我们扫了一会,巧了,恰好发现了一个开启WPS功能的热点

 

  • 那我们就来使用WIFITE这个工具尝试破解其WIFI密码
  • 我们这里使用reaver一起跑着
  • reaver -i wlan0mon -b 78:EB:14:35:B1:12 -vv
  • 讲道理,真的有点慢,于是我们同时干点别的事情,这里就让先让他跑着
  • 这里有一个警告信息,可能这个热点并没有开启WPS功能
  • 这里提示失败,想了一下可能是信号太弱的缘故,这个热点应该是离我很远,同时只有我一个客户端尝试连接,也有可能是一个死AP,发死亡包不成功,抓包不成功,从原理上来讲破解WPS的热点本身就需要很长时间,实质是暴力破解8位的PIN码,改天把网卡搬出去再试试吧

结束语

那么如何加强你的WIFI呢,建议有三

  1. 丢弃WEP加密方式,虽然现在很多路由根本不自带了,但是如果有,在设置密码的时候注意加密方式
  2. 关闭WPS
  3. 设置密码足够长,20位以上(是不是要求有点高了),同时脱离社会工程学范畴(这里要要讲一下什么是社会工程学范畴,也就是说攻击者可以利用你的其他信息来构造字典破解,这样增加破解成功的机率,比如咱们中国人就爱使用生日、日期、QQ号码、手机号+姓名缩写等等组合来构造密码,所以如果攻击者知道你的其他已知公开信息比如手机号,而你又正好用了手机号来构造密码,那么你的系统就很危险了),所以,设置密码尽量无关联、无规则,这样即使攻击者用了100G的字典,那也有可能无法破解成功,而且——意义何在呢?

所以破解成功最关键的一点在于,字典中包含有正确的密码,否则就算跑100年,也是无法破解滴

 

 

 

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注