WiFi 无线渗透流程及思路整理

作者

一、必知的一些名词和术语

SSID

Service Set Identifier,服务集标识符。用来标识某一无线局域网的唯一标识符,无线客户端用它入网后与接入点进行通信。SSID是人为可设置的,大家在设置无线路由器的无线信号时,自定义的无线网络名称就是SSID。SSID的存在可以将无线局域网划定为一个SSID名称对应一个密码,形成专用的一组认证机制。只有匹配成功的SSID名称和密码才能使无线客户端接入对应的无线网络。SSID信号由无线路由器或者AP进行向外发射。
## WiFi 名称、备注

WAP

Wireless Application Protocol,无线应用协议,利用它可以把网络上的信息传送到移动电话或其他无线通信终端上。

AP

Access Point,无线访问点或接入点。客户端需要连接AP才能获得登录互联网的能力。具备路由功能的AP就是一个无线路由器。

WEP

Wired Equivalent Privacy,802.11定义下的一种加密方式,是常见的一种无线网络的认证机制。这种加密认证机制基本已经被淘汰,是一种WiFi早期使用的加密方式,目的是给无线网络传输中的数据内容进行加密。WEP特性里使用了RSA数据安全性公司开发的rc4 ping算法。

WPA

WiFi Protected Access,常用的无线网络认证机制之一,有WPA和WPA2两个标准,并且分为个人和企业的WPA-Personal和WAP-Enterprise两种。它是为了完善WEP加密方式的安全性不足应运而生的一种加密方式。

Station

站点,网络最基本的组成部分,通常指接入网络的无线客户端,例如手机、笔记本电脑、平板电脑等。

BSSID

基本服务单元ID,在无线安全审计软件中通常显示为接入点的MAC地址。SSID和BSSID不一定一一对应, 一个BSSID在不同的信道上面可能会对应到多个SSID,但在一个信道上它们是一一对应的。

信道

Channel,是对频段的进一步划分,比如2.4G的频段范围再划分为几个小的频段,每个频段称为一个信道,处于不同传输信道上面的数据,如果覆盖范围没有重叠,那么不会相互干扰。信道选择可让设备自动进行,大家可以将网络通信链路想象为高速公路,那么信道就是高速公路上的各个车道。

信道宽度

Channel Width,例如有20MHz、40MHz等,表示一个信道的宽度。

抓包

将网络传输发送与接受的数据包进行截获、重发、编辑、转存等操作,在我们讨论的WiFi安全中,通常指无线数据包的截取等。

二、破解网络

信息收集

Nmap

WiFi 密码破解
密码泄露

工具:WiFi 万能钥匙

弱加密(WPS,WEP)

基于弱加密(WPS,WEP)的破解,以及对WPA/WPA2的暴力破解,就加密算法来说wep<wpa<wpa2<wpa3

参考文章:WIFI密码破解之WPS加密

wifite、Gerix-wifi-cracker

钓鱼 WiFi

现如今市场上的主流路由器加密方式都是wpa2,所以只能通过字典进行暴力破解,但是在爆破前尝试钓鱼攻击或许有意想不到的收获,可以省不少事。

wifiphisher 钓鱼

参考文章:
wifiphisher实现无线渗透WiFi钓鱼
wifiphisher自定义钓鱼登陆界面_Flynn的博客-CSDN博客_wifiphisher修改页面

自定义钓鱼页面,所有的攻击方式认证网页都在这个文件夹

/usr/local/lib/python3.8/dist-packages/wifiphisher-1.4-py3.8.egg/wifiphisher/data/phishing-pages

fluxion 钓鱼

参考文章:
使用fluxion钓鱼获得wifi密码 | 秋澪冬安

https://blog.csdn.net/moRickyer/article/details/115494456

未完待续。。。。。

爆破握手包

如果钓鱼没有效果就只能爆破了,抓握手包很容易,能否爆破出密码就看字典强不强大。

top 1万弱密码——》社会工程学字典——》爆破强力字典

wifite 自动化破解工具

参考文章:
使用Kali的wifite和aircrack-ng联合破解wifi密码 – 尚码园
wifite自动化Wi-Fi渗透(RTL8812AU)

aircrack-ng

Hashcat 爆破

支持 GPU 爆破

用Hashcat每秒计算1.4亿个密码,破解隔壁WIFI密码 – 方方和圆圆 – 博客园

三、网络干扰

Authentication 验证请求攻击
Deauthentication 强制解除验证攻击
Beacon 泛洪攻击

(工具:MDK3 是一款无线DOS 攻击测试工具 ,参考: 无线大杀器mdk3

# 查看网卡信息
ifconfig

# 激活无线网卡至监听模式
airmon-ng start wlan0

### beacon flood mode:
发射大量死亡ssid来干扰其他使用者

使用
-n <ssid>               #自定义ESSID
 -f <filename>           #读取ESSID列表文件
 -v <filename>           #自定义ESSID和BSSID对应列表文件
 -d                     #自定义为Ad-Hoc模式
 -w                      #自定义为wep模式
 -g                      #54Mbit模式
 -t                      # WPA TKIP encryption
 -a                      # WPA AES encryption
 -m                      #读取数据库的mac地址
 -c <chan>               #自定义信道
 -s <pps>                #发包速率

使用样例
mdk3 wlan0mon b -f /root/list.txt -c 6 -s 100

### Authentication DoS:
验证请求攻击模式:自动模拟随机产生的mac向目标AP发起大量验证请求,导致AP忙于处理过多的请求而停止对正常连接客户端的响应,迫使AP主人重启路由。(对于新型路由器效果不明显)
mdk3 --help a  #查看详细内容

### Deauthentication/Disassociation Amok:
强制解除验证解除连接!在这个模式下,软件会向周围所有可见AP发起循环攻击,可以造成一定范围内的无线网络瘫痪.
//这是最好玩的模式
mdk3 --help d #查看详细内容

### Basic probing and ESSID Bruteforce mode:
探测AP基本信息和ESSID猜解
mdk3 --help p #查看详细信息

侵入网络后的攻击

MAC 地址表泛洪攻击
DHCP 地址池耗尽攻击
无线IPS并访问控制
限速同LAN主机 毒化同LAN主机

工具:路由器卫士(限速)

四、内网渗透

网络探测扫描

Nmap

中间人攻击

树莓派随身工具箱:中间人劫持获取控制权 – FreeBuf网络安全行业门户

中间人攻击在渗透测试中的利用

ARP欺骗
工具:Ettercap、Arpspoof
劫持会话/分析上网流量

劫持会话重定向,插入图片,js脚本

分析流量获取账户密码,敏感信息,上网图片

针对HTTPS协议获取账号密码

Ettercap中间人攻击——DNS劫持、替换网页内容与ARP欺骗_Mr_Wanderer的博客-CSDN博客

毒化内网用户无法上网

劫持目标上网流量再丢包

DNS 欺骗

什么是DNS欺骗?

百度百科:DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。 原理:如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。
工具:Ettercap、Arpspoof

可结合社会工程学欺骗至软件下载页传输木马渗透内网,或路由器登录页钓鱼,获取路由器权限。

权限提升
Telnet、SSH 等端口爆破

Nmap、hydra

配置文件泄露
路由器登录爆破

hydra

路由器漏洞

Routerpwn.com  是一个网站,上面汇集了全球存有漏洞的路由设备。如:TP-Link、D-Link、等

Gophish 钓鱼框架

https://github.com/gophish/gophish

五、扩展

其他无线安全

GSM劫持

短信嗅探技术

蓝牙

近源渗透——WiFi渗透 – FreeBuf网络安全行业门户

GSM Sniffing嗅探设备组装之短信嗅探 – FreeBuf网络安全行业门户

 

发表评论