0×00 前言
寫這篇文章的初衷也是因爲狗哥的一篇文章 看到狗哥的這篇文章不禁感觸.不過我還是想說一句不一定免費的wifi纔有風險哦~~.
0×01 讓小綿羊知道自己是怎麼被黑的.
路由器wps功能漏洞
路由器使用者往往會因爲步驟太過麻煩,以致乾脆不做任何加密安全設定,因而引發許多安全上的問題。WPS用於簡化Wi-Fi無線的安全設置和網絡管理。它支持兩種模式:個人識別碼(PIN)模式和按鈕(PBC)模式。路由器在出產時默認都開啓了wps但這真的安全麼!在2011年12月28日,一名名叫Stefan Viehbock的安全專家宣佈,自己發現了無線路由器中的WPS(Wi-Fi Protected Setup)漏洞,利用這個漏洞可以輕易地在幾小時內破解WPS使用的PIN碼以連上無線路由器的Wifi網絡。
個人識別碼(PIN)
有人可能會問了什麼是pin碼?WPS技術會隨機產生一個八位數字的字符串作爲個人識別號碼(PIN)也就是你路由底部除了後臺地址賬號密碼之後的一組八位數的數字,通過它可以快速登錄而不需要輸入路由器名稱和密碼等。
Pin碼會分成前半四碼和後半四碼。前四碼如果錯誤的話,那路由器就會直接送出錯誤訊息,而不會繼續看後四碼,意味着試到正確的前四碼,最多隻需要試 10000 組號碼。一旦沒有錯誤訊息,就表示前四碼是正確的,而我們便可以開始嘗試後四碼。 後四碼比前四碼還要簡單,因爲八碼中的最後一碼是檢查碼,由前面七個數字產生,因此實際上要試的只有三個數字,共一千個組合。這使得原本最高應該可達一千萬組的密碼組合(七位數+檢查碼),瞬間縮減到僅剩 11,000 組,大幅降低破解所需的時間.
根據路由MAC地址算出默認pin碼
另外有種更快破解wifi的方法就是根據路由MAC地址(MAC是路由器的物理地址,是唯一的識別標誌)算出默認出產時的pin碼例如以下軟件 還可以通過別人共享的找到pin碼!http://mac-pin.456vv.net/
抓取握手包破解
提前條件是有客戶端連接wifi.另外作者是不會講破解wep的.使用的小夥伴好自爲之. 就簡單介紹下原理吧 一個TCP包走進一家酒吧,對服務員說:“給我來瓶啤酒”。服務員說:“你要來瓶啤酒?”。TCP包說:“是的,來瓶啤酒”服務員說:“好的”
1、當一個無線客戶端與一個無線AP連接時,先發出連接認證請求(握手申請:你好!)
2、無線AP收到請求以後,將一段隨機信息發送給無線客戶端(你是?)
3、無線客戶端將接收到的這段隨機信息進行加密之後再發送給無線AP (這是我的名片)
4、無線AP檢查加密的結果是否正確,如果正確則同意連接 (哦~ 原來是自己人呀!)
通常我們說的抓“握手包”,是指在無線AP與它的一個合法客戶端在進行認證時,捕獲“信息原文”和加密後的“密文”。 利用Deauth驗證攻擊。也就是說強制讓合法無線客戶端與AP被斷開,當它被從WLAN 中斷開後,這個無線客戶端會自動嘗試重新連接到AP上,在這個重新連接過程中,數據包通信就產生了,然後利用airodump捕獲一個無線路由器與無線客戶端四次握手的過程,生成一個包含四次握手的cap包。然後再利用字典進行暴力破解.
另外也提下關於這行的黑色產業.當我們抓到帶數據的握手包時.這時候黑色產業往往會幫我們很大的忙.GPU速度也是我們普通設備跑密碼的速度上百倍.所以我是不建議自己跑密碼的!吧包發給那些團隊,跑的出密碼才收10-30rmb不等的費用(根據需要跑的密碼定價分普通包還有金剛包,普通包的字典只使用十個G的字典.金剛包會使用五十G以上的字典收費也會偏貴些)不過也有一些團隊會收取電費(既跑不跑的出密碼都會收取一定的費用)...另外這樣的設備非常耗電不是一般人的消耗的起的哦.一般閒置的時候會利用這樣的機器挖礦
分佈式破解
《駭客追緝令》片中的主人公都是有使用到分佈式破解的.拿電影中的米特尼克來說吧.劇情中他拿到下村勉的加密後的密文,一般電腦來說要跑出密碼需要幾十年至幾百年的時間纔有機會跑出密碼.此時的米特尼克利用了僞裝.欺騙了某大學保安.偷偷的潛入進去使用大學中的超級電腦,只使用了幾個小時就能到了想要的結果!《血色星期一》中的主角三浦春馬使用了傀儡網絡(肉雞)使他在半個小時拿到了密碼.(兩部電影因爲太久沒看了可能有些地方說錯了見諒。)於2009年9月26日晚ZerOne無線安全團隊與AnyWlan無線門戶成功完成國內首次分佈式破解項目.http://www.freebuf.com/tools/38668.html 工具附上.另外想說是分佈式破解只是思路。不是破解方案。破不出來也沒有關係。
Wifi萬能鑰匙 or wifi分享
其實我是十分不願意提到這款流氓軟件的.但這也是大部分網友主要的破解wifi的途徑.爲什麼我不願意提這款軟件.又必須提到呢.答:這款最流氓的功能也就是這款軟件最核心的功能.就是集成了全國各地的wifi賬號密碼.這必定包括一些惡意分享和一些無意分享出來的使用這款軟件開始的時候有兩個選項一.自動分享熱點.二.分享前提示我.默認是選擇一的.有些心急破解wifi的小夥伴可能看到沒看就直接點擊了下一步.將自己本機保存的wifi賬號無意間公之於衆.醬紫即使wifi密碼強度在強也會因爲豬一樣的隊友.團滅.這樣誤操作的例子真的很多.不得不提到的就是這款軟件強大的集成了全國各地的wifi賬號密碼.當你使用這款軟件的時候可以很方便的根據附近的ssid.mac地址在萬能鑰匙的數據庫中找到正確的密碼.這方便了用戶也方便了不懷好意的童鞋~~ 小米科技也試着模仿盛大的萬能鑰匙.可最終還是死在了搖籃裏。 13年9月5日晚間消息,小米科技今日年度發佈會上發佈的MIUI新功能——Wifi密碼自助分享引發爭議,衆多網友指責小米此行爲將導致Wifi嚴重安全隱患,有咖啡店主甚至指責小米此行爲如同偷竊。從2013-8-2開始到發佈會截止前,一個月就分享了32萬個公共Wi-Fi密碼,可想而知後續這個雪球會滾得更加大。微博網友@王偉 也對這個新功能十分憤怒,他表示:“我們只剩下兩個選擇:1、拒絕向使用小米手機的朋友提供家裏/公司的wifi密碼。2、使用小米手機的朋友離開之後馬上更改家裏\公司的wifi密碼。”另外爲什麼萬能鑰匙沒有遭到封殺我也不得而知了.但我想勸大家一句.逼不得已千萬不要依靠萬能鑰匙.
弱密碼
WPA-PSK的密碼空間用浩瀚來形容一點不爲過,所以直接進行字典攻擊是傻子的行爲.但是作爲一個密碼對字典攻擊來說有強密碼和弱密碼的區別.強密碼就是破解希望極其渺茫的密碼.弱密碼是很有希望破解的密碼當然強弱也是個相對概念,他也是依賴於加安全制的.銀行的密碼一般都爲6 位.像這樣密碼空間如此小的密碼.普通情況下都爲弱密碼.但是銀行的ATM 一天只讓你試三次.三次密碼不對鎖卡.有這樣的機制6 位的就不再是弱密碼了.由弱密碼組成的字典叫弱密碼字典.http://www.freebuf.com/articles/web/42120.html 這篇文章講的更爲詳細.
有一定聯繫性規律性密碼
例子:有人曾破如此一個WPA-PSK 密碼IX1V7051242.如果你不瞭解這個密碼的背景你肯能會覺得很神奇,這麼強的密碼也能破。這樣的密碼是在西班牙的tele2 這樣的AP 上有,而且這樣AP_ESSID 裏都有tele2 字段。這樣的密碼後面的8 位是相同的有真正的密碼只有四位。四位密碼其密碼空間很小很容易被字典攻擊出來。這個也是AP的默認密碼。所以這個密碼被破解是因爲AP本身產生的隨機密碼就是個弱密碼。是AP的廠家自己降低了安全性的做法。例如有一些餐廳.酒店.事業單位.等等.SSID總會改成名字的拼音.密碼當然是跟ssid相關的.最常見的就是這個單位的電話號碼!
社會工程學
有目的性的社工師多多少少都掌握着WIFI使用者的個人信息~.不然怎麼會叫做有目的的社工師呢.哈哈~~
例一個目標說吧了.會將跟目標有關係的人生日組合.姓名縮寫(即開頭字母).姓名拼音.手機號碼.一般目標的戀愛對象.暗戀對象.重要的人.不排除基友~.成功率最高.還有目標的.姓名.生日.手機號碼.郵箱號碼.網名(即ID.這招對黑闊很管用).習慣用的字符,當然還有常用的密碼!!!.還有一些特殊號碼.特殊日子(結婚紀念日.開始戀愛)等等資料生成一個字典.】
舉一個例子一位在安全圈混的一位小黑闊.具有很高的安全意識,知道AP要使用一個很強大的密碼比如hack!@#1024.但他這個人比較懶到那都使用着這個密碼.然後這位黑闊在某個論壇某個網站註冊了賬號習慣性的輸入了引以爲傲的強密碼.然後這些網站被黑(拖庫)社工師根據密碼生成了一個字典(根據泄露出來密碼進行組合)然後就不用我多說了.這樣的例子不少!《劍魚行動》中那個黑客是如何在一分鐘進入國家安全信息網的啊。就是網絡上工作着爲他收集密碼的程序。而他就是通過這樣的字典迅速破解的。而這樣的字典真正的黑客也是不願意發佈出來的。
0×02 實例
抓取握手包破解.
網卡的選擇也十分重要.一般使用筆記本內置網卡破解的話一定要看一下網卡型號kali有沒有驅動.我用的是8187卡,kali自帶驅動我就不說了。 本次的實例是根據抓握手包破解進行的
Airmon-ng start wlan0
意思是啓動網卡的監聽模式.敲完這條命令後設備名 wlan=mon0 一般命令後都是要跟上設備名
Airodump-ng mon0
在抓包前肯定是要先選擇目標.這條命令的意思是探測無線網絡.選好目標,首選是客戶端連接多的.複製好BSSID即MAC地址.記住信道(CH)
Airodump-ng -c 1 --bssid XX:XX:XX:XX:XX -w mobi mon0
-C
參數是選擇目標信道.如果該信道就目標一個AP使用的話不用加上--bssid
,這個參數是爲了跟精準的鎖定目標~~ -w
是保存握手包的名字.獲取後會在當前目錄生成一個mobi-01.cap
的握手包。這時就不用關閉這條shell而是另外打開一個shell
Aireplay-ng -0 10 -a (AP的mac) -c (客戶端的mac)
-0參數是發起deauth攻擊.10 是次數可以調節
-a 即第一條shell中BSSID.下面的AP路由器MAC地址
-c 即STATION下客戶機的MAC地址(這條爲可選項)
Aircrack-ng -w /pentest/passwords/sxsx.lst mobi-01.cap
-w
選擇字典 mobi-01.cap
即抓到的握手包
Ps:我是不建議自己跑密碼的.我直接掛載u盤吧握手包copy到u盤裏在.通過QQ方式吧包發給跑包團隊. 然後是吧正確密碼添加到了我的字典裏。纔會出現上圖(既成功破解後的圖)! 另外是密碼使用有一定聯繫性規律性密碼
破解方案二:利用路由器wps功能漏洞
Airodump-ng mon0 查看附近無線情況。在MB這行帶點的“.”表示能跑出pin碼。使用wash -i mon0 -C可查看是否開啓了wps功能
Reaver -i mon0 -b xx:xx:xx:xx -vv
reaver命令參數
-i 監聽後接口名稱
-b 目標mac地址
-a 自動檢測目標AP最佳配置
-S 使用最小的DH key(可以提高PJ速度)
-vv 顯示更多的非嚴重警告
-d 即delay每窮舉一次的閒置時間 預設爲1秒
-t 即timeout每次窮舉等待反饋的最長時間
-c 指定頻道可以方便找到信號,如-c1 指定1頻道,大家查看自己的目標頻道做相應修改 (非TP-LINK路由推薦–d9 –t9 參數防止路由僵死
示例:
reaver -i mon0 -b MAC -a -S –d9 –t9 -vv
應因狀況調整參數(-c後面都已目標頻道爲1作爲例子) 目標信號非常好:
reaver -i mon0 -b MAC -a -S -vv -d0 -c 1
目標信號普通:
reaver -i mon0 -b MAC -a -S -vv -d2 -t 5 -c 1
目標信號一般:
reaver -i mon0 -b MAC -a -S -vv -d5 -c 1
0×03 防禦只是一個步驟.安全是一個系統.
看我任何突MAC封鎖!
客戶機的截圖模擬主人使用MAC過濾功能!.
在路由器上使用mac過濾.黑客就一點辦法的沒有了麼?.no!
由於路由器只接受白名單的數據包.所以kali無法從dns服務器獲取到域名IP
僞裝MAC地址上網由於有兩個無線客戶端.所有的數據包都會發送至兩個客戶端.難免會出現數據包丟失的!
關閉dhcp真的有用麼?
首先我先模擬WIFI的管理員.吧DHCP關了.並且設置了一個只有自己知道的網關IP.
可以清楚的看到.kali並不在管理員使用的網段內.但在OSI二層環境中.kali抓取了路由器與客戶端的ARP報文.