-
-
远程frame注入 802.11n 网络的POC
-
发表于: 2015-7-8 13:35
-
新闻链接:http://1937cn.com/?p=383
新闻时间:2015-07-03
正文:agger注入
aggr注入是实现A-MPDU frame注入攻击的概念验证,它允许攻击者远程注入原始的Wi-Fi 帧到未加密的网络。Poc利用802.11n帧聚合机制的漏洞,并能够对现在几乎所有Wi-Fi芯片进行注入,因为目标连接到一个开放的网络。这个研究的结果发表在一篇paper上,并在ACM WiSec 2015年安全会议上进行展示。
t01384379947f4b6294
背景
一个常规的802.11n Wi-Fi 帧如下:
802.11n标准规定了一个新的MAC帧(MPDU)聚合机制,即在发送多帧数据时要降低开销。从本质上说,发送方将聚集多个MPDU中的单个PHY帧如下:
t01dd23eebe06cbeba4
在这里,每个子帧都被换成了分隔符,以指示其在聚合帧内开始的位置和长度。当接收方接收到聚合帧时,分隔符被分离,并且每个子帧被解聚,并转发给内核做进一步处理。
漏洞
802.11n标准中规定的解聚算法是有缺陷的,因为MPDU分隔符使用相同的数据速率和调制方式发送帧有效载荷。这就允许我们在任何较高层创建我们自己的子帧(底层帧),比如HTTP, FTP, ICMP等等。换句话说,我们可以嵌入一个包括一个外部帧的分隔符的恶意MAC帧,例如一个HTTP帧。当这些帧聚合,在外部帧的分隔符出现任意一比特错误,这个错误都会导致接收方解释我们恶意的内部帧。
t010df5738b55b2a5c8
一个攻击者如何执行攻击的示例场景如下。在这里,攻击者提供一个包含恶意帧的.jpg文件在web服务器上。当这个.jpg文件被下载,接受者将看到攻击者的恶意帧,这个帧在HTTP子帧分隔符中每次出现都带有一比特错误。
t01c6373634c5f98105
后果
取决于攻击者是否知道攻击目标的MAC地址,几个攻击者可以使用aggr注入进行的几个攻击:
Deauthenticate 客户端
注入恶意信标帧(比如过长的SSID字段)
执行主机或端口扫描
绕过防火墙规则
ARP欺骗
….
所有这些攻击都可以远程完成并不用拥有无线设备来执行,由于解聚发生在最后一跳,并且分组如何到达目的地并没有多大影响。
实践证明概念
如果你想要看在你自己网络中的攻击,执行PoC中的选项1来初始化包含信标子帧(300MB)的图片,然后将其上传到Web服务器。最后,当连接到一个带有帧聚合功能的打开的802.11n网络时下载图片。然后,当下载进行时,使用Wireshark或者网络列表进行检查(通常需要几个下载的图片才能使它出现在网络列表中),你应该看到一个新来自MAC地址00:00:00:00:00:00的名为”injected SSID”新网络。你看到的信标总数取决于在你的网络中帧的损坏速度有多快,还有你的AP执行聚合的频率。
新闻时间:2015-07-03
正文:agger注入
aggr注入是实现A-MPDU frame注入攻击的概念验证,它允许攻击者远程注入原始的Wi-Fi 帧到未加密的网络。Poc利用802.11n帧聚合机制的漏洞,并能够对现在几乎所有Wi-Fi芯片进行注入,因为目标连接到一个开放的网络。这个研究的结果发表在一篇paper上,并在ACM WiSec 2015年安全会议上进行展示。
t01384379947f4b6294
背景
一个常规的802.11n Wi-Fi 帧如下:
802.11n标准规定了一个新的MAC帧(MPDU)聚合机制,即在发送多帧数据时要降低开销。从本质上说,发送方将聚集多个MPDU中的单个PHY帧如下:
t01dd23eebe06cbeba4
在这里,每个子帧都被换成了分隔符,以指示其在聚合帧内开始的位置和长度。当接收方接收到聚合帧时,分隔符被分离,并且每个子帧被解聚,并转发给内核做进一步处理。
漏洞
802.11n标准中规定的解聚算法是有缺陷的,因为MPDU分隔符使用相同的数据速率和调制方式发送帧有效载荷。这就允许我们在任何较高层创建我们自己的子帧(底层帧),比如HTTP, FTP, ICMP等等。换句话说,我们可以嵌入一个包括一个外部帧的分隔符的恶意MAC帧,例如一个HTTP帧。当这些帧聚合,在外部帧的分隔符出现任意一比特错误,这个错误都会导致接收方解释我们恶意的内部帧。
t010df5738b55b2a5c8
一个攻击者如何执行攻击的示例场景如下。在这里,攻击者提供一个包含恶意帧的.jpg文件在web服务器上。当这个.jpg文件被下载,接受者将看到攻击者的恶意帧,这个帧在HTTP子帧分隔符中每次出现都带有一比特错误。
t01c6373634c5f98105
后果
取决于攻击者是否知道攻击目标的MAC地址,几个攻击者可以使用aggr注入进行的几个攻击:
Deauthenticate 客户端
注入恶意信标帧(比如过长的SSID字段)
执行主机或端口扫描
绕过防火墙规则
ARP欺骗
….
所有这些攻击都可以远程完成并不用拥有无线设备来执行,由于解聚发生在最后一跳,并且分组如何到达目的地并没有多大影响。
实践证明概念
如果你想要看在你自己网络中的攻击,执行PoC中的选项1来初始化包含信标子帧(300MB)的图片,然后将其上传到Web服务器。最后,当连接到一个带有帧聚合功能的打开的802.11n网络时下载图片。然后,当下载进行时,使用Wireshark或者网络列表进行检查(通常需要几个下载的图片才能使它出现在网络列表中),你应该看到一个新来自MAC地址00:00:00:00:00:00的名为”injected SSID”新网络。你看到的信标总数取决于在你的网络中帧的损坏速度有多快,还有你的AP执行聚合的频率。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
