首页
社区
课程
招聘
[原创]wifi安全
发表于: 2016-6-11 15:32 44200

[原创]wifi安全

2016-6-11 15:32
44200

0×00 前言
在很多智能家居的环境中.wifi是安全的第一道门槛.也是最重要的一道门槛.一般智能家居设备都是处于NAT网络中.通过外网操作的方式非常局限.即便是路由器都对外网都是有防火墙的.大部分功能也只对内网设备开放.当如果wifi这道门槛被攻破了.后果将不堪设想.

0×01 突破点

路由器wps功能漏洞

路由器使用者往往会因为步骤太过麻烦,以致干脆不做任何加密安全设定,因而引发许多安全上的问题。WPS用于简化Wi-Fi无线的安全设置和网络管理。它支持两种模式:个人识别码(PIN)模式和按钮(PBC)模式。路由器在出产时默认都开启了wps但这真的安全么!在2011年12月28日,一名名叫Stefan Viehbock的安全专家宣布,自己发现了无线路由器中的WPS(Wi-Fi Protected Setup)漏洞,利用这个漏洞可以轻易地在几小时内破解WPS使用的PIN码以连上无线路由器的Wifi网络。

个人识别码(PIN)

有人可能会问了什么是pin码?WPS技术会随机产生一个八位数字的字符串作为个人识别号码(PIN)也就是你路由底部除了后台地址账号密码之后的一组八位数的数字,通过它可以快速登录而不需要输入路由器名称和密码等。

Pin码会分成前半四码和后半四码。前四码如果错误的话,那路由器就会直接送出错误讯息,而不会继续看后四码,意味着试到正确的前四码,最多只需要试 10000 组号码。一旦没有错误讯息,就表示前四码是正确的,而我们便可以开始尝试后四码。 后四码比前四码还要简单,因为八码中的最后一码是检查码,由前面七个数字产生,因此实际上要试的只有三个数字,共一千个组合。这使得原本最高应该可达一千万组的密码组合(七位数+检查码),瞬间缩减到仅剩 11,000 组,大幅降低破解所需的时间.


根据路由MAC地址算出默认pin码

另外有种更快破解wifi的方法就是根据路由MAC地址(MAC是路由器的物理地址,是唯一的识别标志)算出默认出产时的pin码例如以下软件 还可以通过别人共享的找到pin码!http://mac-pin.456vv.net/

 


 
抓取握手包破解

提前条件是有客户端连接wifi.另外作者是不会讲破解wep的.使用的小伙伴好自为之. 就简单介绍下原理吧 一个TCP包走进一家酒吧,对服务员说:“给我来瓶啤酒”。服务员说:“你要来瓶啤酒?”。TCP包说:“是的,来瓶啤酒”服务员说:“好的”

1、当一个无线客户端与一个无线AP连接时,先发出连接认证请求(握手申请:你好!)

2、无线AP收到请求以后,将一段随机信息发送给无线客户端(你是?)

3、无线客户端将接收到的这段随机信息进行加密之后再发送给无线AP (这是我的名片)

4、无线AP检查加密的结果是否正确,如果正确则同意连接 (哦~ 原来是自己人呀!)

通常我们说的抓“握手包”,是指在无线AP与它的一个合法客户端在进行认证时,捕获“信息原文”和加密后的“密文”。 利用Deauth验证攻击。也就是说强制让合法无线客户端与AP被断开,当它被从WLAN 中断开后,这个无线客户端会自动尝试重新连接到AP上,在这个重新连接过程中,数据包通信就产生了,然后利用airodump捕获一个无线路由器与无线客户端四次握手的过程,生成一个包含四次握手的cap包。然后再利用字典进行暴力破解.

另外也提下关于这行的黑色产业.当我们抓到带数据的握手包时.这时候黑色产业往往会帮我们很大的忙.GPU速度也是我们普通设备跑密码的速度上百倍.所以我是不建议自己跑密码的!吧包发给那些团队,跑的出密码才收10-30rmb不等的费用(根据需要跑的密码定价分普通包还有金刚包,普通包的字典只使用十个G的字典.金刚包会使用五十G以上的字典收费也会偏贵些)不过也有一些团队会收取电费(既跑不跑的出密码都会收取一定的费用)...另外这样的设备非常耗电不是一般人的消耗的起的哦.一般闲置的时候会利用这样的机器挖矿

 

 
分布式破解

《骇客追缉令》片中的主人公都是有使用到分布式破解的.拿电影中的米特尼克来说吧.剧情中他拿到下村勉的加密后的密文,一般电脑来说要跑出密码需要几十年至几百年的时间才有机会跑出密码.此时的米特尼克利用了伪装.欺骗了某大学保安.偷偷的潜入进去使用大学中的超级电脑,只使用了几个小时就能到了想要的结果!《血色星期一》中的主角三浦春马使用了傀儡网络(肉鸡)使他在半个小时拿到了密码.(两部电影因为太久没看了可能有些地方说错了见谅。)于2009年9月26日晚ZerOne无线安全团队与AnyWlan无线门户成功完成国内首次分布式破解项目. http://www.freebuf.com/tools/38668.html 工具附上.另外想说是分布式破解只是思路。不是破解方案。破不出来也没有关系。

Wifi万能钥匙 or wifi分享

其实我是十分不愿意提到这款流氓软件的.但这也是大部分网友主要的破解wifi的途径.为什么我不愿意提这款软件.又必须提到呢.答:这款最流氓的功能也就是这款软件最核心的功能.就是集成了全国各地的wifi账号密码.这必定包括一些恶意分享和一些无意分享出来的使用这款软件开始的时候有两个选项一.自动分享热点.二.分享前提示我.默认是选择一的.有些心急破解wifi的小伙伴可能看到没看就直接点击了下一步.将自己本机保存的wifi账号无意间公之于众.酱紫即使wifi密码强度在强也会因为猪一样的队友.团灭.这样误操作的例子真的很多.不得不提到的就是这款软件强大的集成了全国各地的wifi账号密码.当你使用这款软件的时候可以很方便的根据附近的ssid.mac地址在万能钥匙的数据库中找到正确的密码.这方便了用户也方便了不怀好意的童鞋~~ 小米科技也试着模仿盛大的万能钥匙.可最终还是死在了摇篮里。 13年9月5日晚间消息,小米科技今日年度发布会上发布的MIUI新功能——Wifi密码自助分享引发争议,众多网友指责小米此行为将导致Wifi严重安全隐患,有咖啡店主甚至指责小米此行为如同偷窃。从2013-8-2开始到发布会截止前,一个月就分享了32万个公共Wi-Fi密码,也对这个新功能十分愤怒,他表示:“我们只剩下两个选择:1、拒绝向使用小米手机的朋友提供家里/公司的wifi密码。2、使用小米手机的朋友离开之后马上更改家里\公司的wifi密码。”另外为什么万能钥匙没有遭到封杀我也不得而知了.但我想劝大家一句.逼不得已千万不要依靠万能钥匙.

弱密码

WPA-PSK的密码空间用浩瀚来形容一点不为过,所以直接进行字典攻击是傻子的行为.但是作为一个密码对字典攻击来说有强密码和弱密码的区别.强密码就是破解希望极其渺茫的密码.弱密码是很有希望破解的密码当然强弱也是个相对概念,他也是依赖于加安全制的.银行的密码一般都为6 位.像这样密码空间如此小的密码.普通情况下都为弱密码.但是银行的ATM 一天只让你试三次.三次密码不对锁卡.有这样的机制6 位的就不再是弱密码了.由弱密码组成的字典叫弱密码字典. http://www.freebuf.com/articles/web/42120.html 这篇文章讲的更为详细.

有一定联系性规律性密码

例子:有人曾破如此一个WPA-PSK 密码IX1V7051242.如果你不了解这个密码的背景你肯能会觉得很神奇,这么强的密码也能破。这样的密码是在西班牙的tele2 这样的AP 上有,而且这样AP_ESSID 里都有tele2 字段。这样的密码后面的8 位是相同的有真正的密码只有四位。四位密码其密码空间很小很容易被字典攻击出来。这个也是AP的默认密码。所以这个密码被破解是因为AP本身产生的随机密码就是个弱密码。是AP的厂家自己降低了安全性的做法。例如有一些餐厅.酒店.事业单位.等等.SSID总会改成名字的拼音.密码当然是跟ssid相关的.最常见的就是这个单位的电话号码!

社会工程学

有目的性的社工师多多少少都掌握着WIFI使用者的个人信息~.不然怎么会叫做有目的的社工师呢.哈哈~~

例一个目标说吧了.会将跟目标有关系的人生日组合.姓名缩写(即开头字母).姓名拼音.手机号码.一般目标的恋爱对象.暗恋对象.重要的人.不排除基友~.成功率最高.还有目标的.姓名.生日.手机号码.邮箱号码.网名(即ID.这招对黑阔很管用).习惯用的字符,当然还有常用的密码!!!.还有一些特殊号码.特殊日子(结婚纪念日.开始恋爱)等等资料生成一个字典.】

举一个例子一位在安全圈混的一位小黑阔.具有很高的安全意识,知道AP要使用一个很强大的密码比如hack!@#1024.但他这个人比较懒到那都使用着这个密码.然后这位黑阔在某个论坛某个网站注册了账号习惯性的输入了引以为傲的强密码.然后这些网站被黑(拖库)社工师根据密码生成了一个字典(根据泄露出来密码进行组合)然后就不用我多说了.这样的例子不少!《剑鱼行动》中那个黑客是如何在一分钟进入国家安全信息网的啊。就是网络上工作着为他收集密码的程序。而他就是通过这样的字典迅速破解的。而这样的字典真正的黑客也是不愿意发布出来的。

0×02 实战

抓取握手包破解.

网卡的选择也十分重要.一般使用笔记本内置网卡破解的话一定要看一下网卡型号kali有没有驱动.我用的是8187卡,kali自带驱动我就不说了。 本次的实例是根据抓握手包破解进行的



Airmon-ng start wlan0

意思是启动网卡的监听模式.敲完这条命令后设备名 wlan=mon0 一般命令后都是要跟上设备名



Airodump-ng mon0 

在抓包前肯定是要先选择目标.这条命令的意思是探测无线网络.选好目标,首选是客户端连接多的.复制好BSSID即MAC地址.记住信道(CH)


Airodump-ng -c 1 --bssid XX:XX:XX:XX:XX -w mobi mon0

-C参数是选择目标信道.如果该信道就目标一个AP使用的话不用加上--bssid,这个参数是为了跟精准的锁定目标~~ -w 是保存握手包的名字.获取后会在当前目录生成一个mobi-01.cap的握手包。这时就不用关闭这条shell而是另外打开一个shell



Aireplay-ng -0 10 -a (AP的mac) -c (客户端的mac) 
-0参数是发起deauth攻击.10 是次数可以调节

-a 即第一条shell中BSSID.下面的AP路由器MAC地址

-c 即STATION下客户机的MAC地址(这条为可选项)



Aircrack-ng -w /pentest/passwords/sxsx.lst mobi-01.cap

-w 选择字典 mobi-01.cap 即抓到的握手包

Ps:我是不建议自己跑密码的.我直接挂载u盘吧握手包copy到u盘里在.通过QQ方式吧包发给跑包团队. 然后是吧正确密码添加到了我的字典里。才会出现上图(既成功破解后的图)! 另外是密码使用有一定联系性规律性密码

破解方案二:利用路由器wps功能漏洞

Airodump-ng mon0 查看附近无线情况。在MB这行带点的“.”表示能跑出pin码。使用wash -i mon0 -C可查看是否开启了wps功能



Reaver -i mon0 -b xx:xx:xx:xx -vv


reaver命令参数

-i 监听后接口名称

-b 目标mac地址

-a 自动检测目标AP最佳配置

-S 使用最小的DH key(可以提高PJ速度)

-vv 显示更多的非严重警告

-d 即delay每穷举一次的闲置时间 预设为1秒

-t 即timeout每次穷举等待反馈的最长时间

-c 指定频道可以方便找到信号,如-c1 指定1频道,大家查看自己的目标频道做相应修改 (非TP-LINK路由推荐–d9 –t9 参数防止路由僵死

示例:

reaver -i mon0 -b MAC -a -S –d9 –t9 -vv

应因状况调整参数(-c后面都已目标频道为1作为例子) 目标信号非常好:

reaver -i mon0 -b MAC -a -S -vv -d0 -c 1

目标信号普通:

reaver -i mon0 -b MAC -a -S -vv -d2 -t 5 -c 1

目标信号一般:

reaver -i mon0 -b MAC -a -S -vv -d5 -c 1

0×03 当进入这个无线网络后



看我任何突MAC封锁!


客户机的截图模拟主人使用MAC过滤功能!.

 
 
在路由器上使用mac过滤.黑客就一点办法的没有了么?.no!



由于路由器只接受白名单的数据包.所以kali无法从dns服务器获取到域名IP
 

 
   
伪装MAC地址上网由于有两个无线客户端.所有的数据包都会发送至两个客户端.难免会出现数据包丢失的!

关闭dhcp真的有用么?
 

  

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2020-1-1 13:58 被kanxue编辑 ,原因:
收藏
免费 7
支持
分享
最新回复 (47)
雪    币: 99
活跃值: (110)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
支持 很精彩
2016-6-11 16:33
0
雪    币: 1176
活跃值: (1264)
能力值: ( LV12,RANK:380 )
在线值:
发帖
回帖
粉丝
3
支持支持 ~
2016-6-11 17:41
0
雪    币: 90
活跃值: (60)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
4
这帖子总结就两条  1.PIN码穷举破解 2.握手包跑字典
2016-6-11 17:47
0
雪    币: 12
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
这帖子在哪里见过
2016-6-11 18:10
0
雪    币: 6790
活跃值: (4441)
能力值: (RANK:600 )
在线值:
发帖
回帖
粉丝
6
楼主辛苦,鼓励一下,希望以后多发好文章!
2016-6-11 18:27
0
雪    币: 1047
活跃值: (1050)
能力值: ( LV9,RANK:190 )
在线值:
发帖
回帖
粉丝
7
.....
2016-6-11 18:31
0
雪    币: 1047
活跃值: (1050)
能力值: ( LV9,RANK:190 )
在线值:
发帖
回帖
粉丝
8
这个文章是我写的..不过是最开始投给了乌云drops
2016-6-11 18:32
0
雪    币: 6790
活跃值: (4441)
能力值: (RANK:600 )
在线值:
发帖
回帖
粉丝
9
发现前面科普知识不少地方是东凑西拼出来的,文章貌似是2014年的,不过还是感谢楼主的分享和辛勤劳动。
2016-6-11 18:45
0
雪    币: 1047
活跃值: (1050)
能力值: ( LV9,RANK:190 )
在线值:
发帖
回帖
粉丝
10
文章确实挺老的..科普知识基本上都是经验之谈吧..
2016-6-11 19:05
0
雪    币: 59
活跃值: (1481)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
跑包跑死也跑不出来。。。。这是个问题
2016-6-11 20:11
0
雪    币: 1047
活跃值: (1050)
能力值: ( LV9,RANK:190 )
在线值:
发帖
回帖
粉丝
12
https://www.wifi4.cn/
2016-6-11 20:20
0
雪    币: 1432
活跃值: (3022)
能力值: ( LV9,RANK:156 )
在线值:
发帖
回帖
粉丝
13
pin过几个,老款腾达可以直接用公式算出来。
2016-6-11 21:47
0
雪    币: 298
活跃值: (43)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
14
你是
http://www.wooyun.org/whitehats/末笔丶
么,之前在这里看到转载了的
http://bbs.ixsec.org/forum.php?mod=viewthread&tid=256
2016-6-12 10:43
0
雪    币: 2882
活跃值: (1262)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yjd
15
前几年无线论坛非常火那时候默认是wpa。
近几年出的路由默认都是wpa2,前不久再去看论坛好冷清。
2016-6-12 11:07
0
雪    币: 1047
活跃值: (1050)
能力值: ( LV9,RANK:190 )
在线值:
发帖
回帖
粉丝
16
= = 对呀.那个内容我看不到耶.写转载的还有点良心..有些连出处都不写的.
2016-6-12 11:46
0
雪    币: 2528
活跃值: (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
WIFI渗透从入门到精通
末笔丶 · 2014/10/28 15:56
2016-6-12 16:40
0
雪    币: 6790
活跃值: (4441)
能力值: (RANK:600 )
在线值:
发帖
回帖
粉丝
18
为了鼓励大家发好文,升为精华帖,希望楼主多多分享好文章。
2016-6-12 21:30
0
雪    币: 1604
活跃值: (640)
能力值: ( LV13,RANK:460 )
在线值:
发帖
回帖
粉丝
19
第5张图片那2个机架上的显卡数量确实有够夸张的,以50张显卡,每显卡200个流处理器来计算,
这黑产用来执行wpa hash并行高速破解的GPU数量就有10000个(想想如果只用CPU,普通台式机顶多也只能8路并行破解),但是50GB的预计算hash彩虹表
字典就太少了,由于wpa hash是SSID加上密钥形成的散列值,不仅需要穷举常见的SSID也需要穷举
常用的密码,这使得小于500GB的彩虹表字典在实战上没啥意义,因此只有高速并行计算结合海量hash数据库才是王道。另外,WPS功能就是易用性和安全性相互矛盾的一个最好例子。
2016-6-12 23:13
0
雪    币: 162
活跃值: (41)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
标题可以更具体一些。
2016-6-13 04:41
0
雪    币: 1047
活跃值: (1050)
能力值: ( LV9,RANK:190 )
在线值:
发帖
回帖
粉丝
21
我觉得吧wps..易用性和安全性并不冲突...话说之前杨哲老师弄了一个集群的跑包的平台..之前注册了几个账号来着..现在域名忘记了QAQ
2016-6-13 10:01
0
雪    币: 1604
活跃值: (640)
能力值: ( LV13,RANK:460 )
在线值:
发帖
回帖
粉丝
22
你可以联系它的邮箱啊,无线网络安全攻防实战这本书里应该有他的联系方式。之前都用 backtrack5
上的aircrack-ng 套件,现在backtrack 5 停止维护,也不更新了,大家都转移到kali上,但是2者应该都是基于ubuntu的变体,差别不大。顺便请教一下:如果要将kali安装到硬盘上,而不是作为
LiveCD启动,那么kali支持的amd/intel芯片组有哪些,你们的笔记本都是用什么芯片组来运行kali的?
2016-6-13 14:28
0
雪    币: 1047
活跃值: (1050)
能力值: ( LV9,RANK:190 )
在线值:
发帖
回帖
粉丝
23
上次偷偷加了杨老师微信呢.不过是因为很久没用所以才忘记了域名....貌似只有BlackTrack 才是基于ubuntu的.Kali我记得是用的是debian..现在没谁还用LiveCD吧..又不能保存数据..我现在是用mlc芯片的U盘读写500+左右.像windows to go 类似的win10 ubuntu woobuntu 写到U盘里非常方便..芯片组不兼容的情况还没有遇到过..只遇到过ubuntu 15.10 n卡驱动问题..
2016-6-13 17:29
0
雪    币: 1604
活跃值: (640)
能力值: ( LV13,RANK:460 )
在线值:
发帖
回帖
粉丝
24
没用过windows to go,既然kali对主板芯片组的支持度比较好,那就决定用它了,kali应该有自带n卡驱动,所以应该不会无法识别n卡才对,之前我用的那个backtrack 5安装在硬盘上,启动时在内核初始化阶段就崩溃了,因为无法识别n卡。。。
2016-6-13 18:38
0
雪    币: 1047
活跃值: (1050)
能力值: ( LV9,RANK:190 )
在线值:
发帖
回帖
粉丝
25
  我觉得你可以试一试 woobuntu..
2016-6-13 19:08
0
游客
登录 | 注册 方可回帖
返回
//