-
-
[讨论]windows下802.11包注入和无线网络破解
-
发表于: 2012-12-3 13:59
-
之前搞过个用ndis驱动抓wep数据包破解的,但不能主动注入,只能被动监听效率太低,最近翻出来继续搞了下。
1. CommView
一个无线分析工具,之前用过这个来抓包调试,然后发觉它还能发包。软件分为 驱动/exe/dll 三部分,exe只是个外壳,主要功能都在ca2k.dll和驱动中,调用dll的函数就能控制驱动操作网卡。
驱动支持的网卡列表: http://www.tamos.com/download/main/ca.php
支持的网卡有限,最好用Recommended和Sensitivity 5分的,具体参考对应的tech note,我用的 NETGEAR WN111 v2
2. 驱动
在bin/Drivers下,到设备管理器更新网卡驱动,然后在该目录下搜索,安装成功后网卡前会出现 [CommView] 字样,就表示ok了
3. ca2k.dll
为了知道具体函数调用,用dll劫持替换掉原ca2k.dll后打开CV操作一遍,所有call都记录到了ca2k.log, 函数名经过混淆,用ida分析后得到几个主要函数
F1 - 驱动初始化
SC - 设置网卡频段
S1 - 开始监听某信道
CC - 切换信道
T1 - 发送数据包
S5 - 接收数据包
对这几个函数封装了一下,具体见src/commview/cv.h,简单用例:
有了以上条件,附件wifi.exe是一个完整的无线网络破解工具,包括破解wep,wps
4. wep
破解原理挺巧妙的,具体见:
1. http://aboba.drizzlehosting.com/IEEE/rc4_ksaproc.pdf
2. http://blog.csdn.net/GaA_Ra/article/details/5745278
收集每个数据包的wep_info(3字节iv和数据第1字节),破解率和数据包数是线性关系,所以关键要抓足够多的包。
程序流程:
1. 找一个正在和AP交互的客户端client
2. 注入de_authenticate包让client掉线(client会自动重新连接wifi,连上后会发送arp包)
3. 捕捉client发的arp包,如果超时就返回步骤1,如果有就到4
4. 反复注入该arp,AP会不停应答该arp,产生大量数据包
5. 收集到足够多的包后破解
setting.ini中 enough_packet 是抓包数,默认100, 100个包已经有很大的成功率,如果破解出的密码不对就加大这个数字来提高成功率,比如200,300,注入过快会导致AP响应速度变差,网速变慢,大量丢包,但不用担心丢包问题,因为快接近有敏感包时候会减速。敏感包是指带有[03 FF X], [04 FF X]... 这种形式的iv的包。
设置passive_mode=1为被动监听,即跳过1,2,3,4步,默认是0
5. wps
现在的路由都带wps功能,有的叫qss,配置界面如图
一般路由器买回来自己打开192.168.0.1配置无线参数,如果不会配置的话就用的上这个功能了,只要按一下路由器上的按钮就能上网(谁用这个?)
该功能的另一种使用方式: external registrar,路由表面会标有8位PIN码,连接网络时候输入这8个数字就能上网了,整个过程3秒左右。
这个8位PIN码分3部分,以我的PIN为例
00540773
AP的验证流程:
1. 验证红色的4字节,如果不对就返回nack包, over
2. 验证绿色+蓝色的4字节,如果不对就返回nack包, over
3. 以上都通过的话,AP会把WPA密码加密后发给client
所以只要从0000试到0054,55次就能得出正确的红色部分。然后再从000试到077,一共78次就能得出正确的绿色部分,最后一位蓝色是checksum,通过前7位计算得到
所以理论上破解00540773这个PIN需要的时间是 (55+78)*3 = 6分钟, 但实际上因为无线信号强度关系,通常会超出预估时间很多
如果路由器在一定时间内发觉有XX次失败尝试就会锁定wps功能,被锁住后就连不上了,直到下一次重启路由。所以加了xx次尝试后等待xx秒,见setting.ini中anti_lock部分,默认50次失败后歇菜5分钟
算法部分用的cryptopp,之所以exe有2m多,就是因为链接了这个90m的静态库-_-!
其中比较有意思的diffie hellman key exchange,两个人如何在被第三方监听的条件下交换验证密码信息:http://www.youtube.com/watch?v=YEBfamv-_do
到此,一个精简版无辐射的卡皇就做好了,不过普通网卡的信号强度一般,也许可以做个增益天线,套上个易拉罐什么的就好了哈。。
欢迎技术原理交流,其他问题请勿扰,切勿把我当成卖卡皇的-_-
扣扣:94566062
之前漏了检查数据包正确性,程序碰到错误的包可能会崩溃,ca2k应该是检查了数据包的FCS,然后把结果放在cv_header2.errorFlag,附件加上了数据包crc校验补丁
1. CommView
一个无线分析工具,之前用过这个来抓包调试,然后发觉它还能发包。软件分为 驱动/exe/dll 三部分,exe只是个外壳,主要功能都在ca2k.dll和驱动中,调用dll的函数就能控制驱动操作网卡。
驱动支持的网卡列表: http://www.tamos.com/download/main/ca.php
支持的网卡有限,最好用Recommended和Sensitivity 5分的,具体参考对应的tech note,我用的 NETGEAR WN111 v2
2. 驱动
在bin/Drivers下,到设备管理器更新网卡驱动,然后在该目录下搜索,安装成功后网卡前会出现 [CommView] 字样,就表示ok了
3. ca2k.dll
为了知道具体函数调用,用dll劫持替换掉原ca2k.dll后打开CV操作一遍,所有call都记录到了ca2k.log, 函数名经过混淆,用ida分析后得到几个主要函数
F1 - 驱动初始化
SC - 设置网卡频段
S1 - 开始监听某信道
CC - 切换信道
T1 - 发送数据包
S5 - 接收数据包
对这几个函数封装了一下,具体见src/commview/cv.h,简单用例:
cv::init();
cv::monitor(channel);
cv::inject(packet, packet_len);
while(1) {
wifi_packets = cv::receive();
Sleep(0);
}
有了以上条件,附件wifi.exe是一个完整的无线网络破解工具,包括破解wep,wps
4. wep
破解原理挺巧妙的,具体见:
1. http://aboba.drizzlehosting.com/IEEE/rc4_ksaproc.pdf
2. http://blog.csdn.net/GaA_Ra/article/details/5745278
收集每个数据包的wep_info(3字节iv和数据第1字节),破解率和数据包数是线性关系,所以关键要抓足够多的包。
程序流程:
1. 找一个正在和AP交互的客户端client
2. 注入de_authenticate包让client掉线(client会自动重新连接wifi,连上后会发送arp包)
3. 捕捉client发的arp包,如果超时就返回步骤1,如果有就到4
4. 反复注入该arp,AP会不停应答该arp,产生大量数据包
5. 收集到足够多的包后破解
setting.ini中 enough_packet 是抓包数,默认100, 100个包已经有很大的成功率,如果破解出的密码不对就加大这个数字来提高成功率,比如200,300,注入过快会导致AP响应速度变差,网速变慢,大量丢包,但不用担心丢包问题,因为快接近有敏感包时候会减速。敏感包是指带有[03 FF X], [04 FF X]... 这种形式的iv的包。
设置passive_mode=1为被动监听,即跳过1,2,3,4步,默认是0
5. wps
现在的路由都带wps功能,有的叫qss,配置界面如图
一般路由器买回来自己打开192.168.0.1配置无线参数,如果不会配置的话就用的上这个功能了,只要按一下路由器上的按钮就能上网(谁用这个?)
该功能的另一种使用方式: external registrar,路由表面会标有8位PIN码,连接网络时候输入这8个数字就能上网了,整个过程3秒左右。
这个8位PIN码分3部分,以我的PIN为例
00540773
AP的验证流程:
1. 验证红色的4字节,如果不对就返回nack包, over
2. 验证绿色+蓝色的4字节,如果不对就返回nack包, over
3. 以上都通过的话,AP会把WPA密码加密后发给client
所以只要从0000试到0054,55次就能得出正确的红色部分。然后再从000试到077,一共78次就能得出正确的绿色部分,最后一位蓝色是checksum,通过前7位计算得到
所以理论上破解00540773这个PIN需要的时间是 (55+78)*3 = 6分钟, 但实际上因为无线信号强度关系,通常会超出预估时间很多
如果路由器在一定时间内发觉有XX次失败尝试就会锁定wps功能,被锁住后就连不上了,直到下一次重启路由。所以加了xx次尝试后等待xx秒,见setting.ini中anti_lock部分,默认50次失败后歇菜5分钟
算法部分用的cryptopp,之所以exe有2m多,就是因为链接了这个90m的静态库-_-!
其中比较有意思的diffie hellman key exchange,两个人如何在被第三方监听的条件下交换验证密码信息:http://www.youtube.com/watch?v=YEBfamv-_do
到此,一个精简版无辐射的卡皇就做好了,不过普通网卡的信号强度一般,也许可以做个增益天线,套上个易拉罐什么的就好了哈。。
欢迎技术原理交流,其他问题请勿扰,切勿把我当成卖卡皇的-_-
扣扣:94566062
之前漏了检查数据包正确性,程序碰到错误的包可能会崩溃,ca2k应该是检查了数据包的FCS,然后把结果放在cv_header2.errorFlag,附件加上了数据包crc校验补丁
|
|
|---|---|
|
|
|
|
|
很好很强大,我要蹭网
 。。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
 只能膜拜。
|
|
|
|
|
|
|
|
|
强大,谢谢分享
|
|
|
|
|
|
|
|
|
|
|
|
强大,楼主牛人!
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
