从无线安全到内网渗透

《从无线安全到内网渗透》由会员分享，可在线阅读，更多相关《从无线安全到内网渗透（12页珍藏版）》请在金锄头文库上搜索。

1、从无线安全到内网渗透从无线安全到内网渗透前一阵子很火的 Evi1m0 牛写的那篇蹭网之后，能做些什么？：，不知各位童鞋看过没？ 还有闹得沸沸扬扬的路由器安全漏洞可能大家也都耳闻了，你觉得你家路由器还安全吗：）路由器安全真是越来越火了，有句话说的落后就要挨打啊，那么今天我就 给各位童鞋科普下无线网络安全的知识，你以为加个密就万无一失了吗，突破这第一道防线轻松带微笑有木有， WiFi 在手，天下我有电脑医生网1.1.神兵利器神兵利器俗话说的好，巧妇难为无米之炊，这是需要硬件支持的，你需要买一张 USB 无线网卡。当然网卡也不是随便都行的，特定的芯片对破解算法支持比较好，列 举几个流行的芯片给你们参

2、考下，有 AR9271，8187L，RT3070 这几种。从我实践经验来看，8187 和 3070 信号虚标比较严重，9271 的信 号比较真实一点。说完了硬件就轮到软件了，你可以选择大名鼎鼎的 kali 渗透测试系统，感觉有点大材小用，其实用网上非常流行的定制版的 cdlinux 就 行了，才 100 多 M 里面已经帮你集成了众多WiFi 破解工具了，如果用 kali 的话还要手动安装 deb 包。不推荐用 Ubuntu 之类的”裸机”，如果你不 嫌麻烦把一个个依赖包都装好也无所谓。常用的工具有minidwep-gtk，feedingbottle，inflator，reaver 这几个。在

3、 kali 下，除了集成的 reaver 之外其他都要手动安装，用命令 dpkg i xx.deb 就行了。cdlinux下已经集成了我说的那几个工具。这几个工具依赖的基础都是 aircrack-ng，其中minidwep-gtk 和 feedingbootle 是 aircrack-ng 的 GUI 版本，inflator 是 reaver的 GUI 版本。2.”2.”秒杀秒杀”WEP”WEP 加密加密米都准备好了，准备下锅了，把无线网卡连接到虚拟机里面，开始干活吧。先ifconfig 下，确定认到无线网卡 wlanx 就行了既然是科普，那就先从最古老的 WEP 加密说起吧，这种加密方式现在

4、很少见了，如果你发现周围有用 wep 加密的信号，那就爽歪歪了，拿不下会被鄙视 的。wep 加密方式存在天生的算法缺陷，只要捕捉到足够多的数据包，就能还原出 WiFi 明文密码。这其中的算法安全问题感兴趣的东西不妨谷歌下。wep 的 用 minidwep-gtk就能轻松搞定，这里我就用 minidwep 来说明，因为操作简单，自动化，feedingbottle 类似，但是略麻烦适合爱 折腾的同学。打开 minidwep 先扫描下信号，scan，加密方式 encryption 选择 wep，果断点运行 lanch，喝口水等密码出来吧看到 key 了吧，那就是你想要的密码。不管密码多复杂，破解只是

5、时间问题，只需要稍作等待。feedingbottle 和 minidwep 类似了，只是更加手工话一点，你需要详细了解 aircrack-ng 套件的工作原理，才能灵活驾驭。也就是说 wep 加密是属于秒杀级别的，不过你还是需要面对满地 wpa 的残酷现实。说难其实也不难，问题在于大家喜欢给 WiFi 设置弱口令，可以像 Evi1m0 那样通过字典把密码给搞定了。好好想想自己的 WiFi 用的什么密码了：）3.WPA3.WPA 加密对策加密对策WPA 密码破解可以利用两种方式： 抓 WPA 握手包然后跑字典 字典的好坏直接决定成功率reaver 穷举 pin 码 这种方式需要时间，但是如果可行

6、，密码是百分百可以破解的3.1 抓包破解攻击先说第一种吧，抓握手包跑字典，这主要看你的字典给不给力了，拼人品的时间到了，和破解 wep 操作一样的，选中信号点 lanch 开始抓包，抓包的时 候路由器是一定要有用户使用，目的是攻击导致对方掉线，在自动重连的过程中抓取 WPA 认证的四次握手包。如果一直没找到在线的客户端，就抓不到包的，只能 等有人用的时候再试了。弹出下面这个提示，说明抓包成功了，把包拷出来用 EWSA 验证下是不是完整的握手包，要包含完整的四次握手信息才能用来破解。只有提示是有效的数据包才能进行字典破解，像下面这样的数据包就是可以利用的。接下来请出 hash 神器，hashca

7、t。可能有些人会奇怪我为什么不用 ewsa 直接跑字典，因为 hashcat 的效率比 ewsa 高很多，而且功能 也强大很多，字典跑不出密码还可以用灵活多变的暴力规则方式继续搞。新手推荐用 hashcat-GUI 吧，带界面操作简单很多。wpa 加密方式本身不像 wep 加密那样有漏洞，错就错在大家都喜欢用弱密码，看我下面列举的这几个，欢迎对号入座 8 位纯数字本地固话本地手机号码弱密码（1234567890 等等）躺枪了没？这些都是分分钟秒杀的节奏，特别是本地手机号码是绝大部分人最喜欢用的密码，我破解的 16 个 WiFi 密码中，有 13 个是用手机号或者固话 的。其实hashcat 也

8、是 minidwep 调用的跑 wpa 密码的软件，但是在虚拟机里面，效率就可想而知了。在宿主机外面你可以用显卡跑 hashcat，效率是成倍的提高。hashcat的用法就不赘述了，百度一下就有了32 穷举 pin 码攻击接下来重点来说说第二种破解 wpa 加密的方式，用 reaver 跑 pin 码。大部分无线路由器都有个 WPS 快速连接的功能，只要连接的时候输入路由器 正确的 pin 管理码，就可以自动的根据算法协商密钥连上 WiFi。这个 pin 码是 8 位纯数字，前 4位和后 4 位是分开验证的，第 8 位是检验码（根据前 7 位按 照一定的算法可以推出第 8 位）。也就是说如果要

9、穷举这个 pin 码，只需要 104+103=11000 次，reaver 就是干这个差事的工具。只要路由 器开启了 WPS 功能，并且没有锁死 WPS的机制，是百分百可以尝试出正确的 pin 码，得到 pin 码后就能获取到 wpa 密码了。而且大部分情况下，路由器出 厂开放 WPS 功能哦：）。不过要说明的是有些路由器，试错 pin 码多次会锁死，这种情况下只能用第一种抓包跑密码了。下面来说下 reaver 的使用方法。先开启网卡的混杂模式，用命令 airmon-ng start wlan1，提示 monitor mode enabled on mon0 就代表成功了。然后用命令 wash

10、 i mon0 C 来搜索支持 WPS的 ap。图中的 BSSID 为 ap 的 mac，channel 是信道，RSSI 是信号值，数字部分越小代表信号越强，WPS Locked 就是刚才说的 WPS 锁死机制，ESSID 是信号名称。选个信号强一点的没有 WPS 锁死机制的 ap 就可以用 reaver 开始破解了，信号差的效率低，容易丢包，时不时会报错，要注意参数调节。列举 reaver 的几个常用参数?1 2 3 4 5 6 7 8 9 10 11-i 监听后接口名称 网卡的监视接口，通常是 mon0 -b 目标 mac 地址 AP 的 MAC 地址 -a 自动检测目标 AP 最佳配置

11、 -S 使用最小的 DH key，可以提高破解速度 -vv 显示更多的非严重警告 -d 即 delay，延时 每穷举一次的闲置时间 预设为 1 秒 -t 即 timeout，超时 每次穷举等待反馈的最长时间 -c 指定信道,可以方便找到信号 -p PIN 码四位或八位 （如果是 7 位第 8 位自动补全） -N 不发送 NACK 信息（如果一直 pin 不动，可以尝试这个参数） -n 对目标 AP 总是发送 NACK举个例子reaver i mon0 -b 00:11:22:33:44:55 -a -S -d 3 -t 3 -vv -c 6特别重要的一点：要根据 reaver 反馈的信息来调整

12、-d 和-t 参数，如果 pin 的速度太快，会 pin 死掉，无限报错，也就是跑死了，除非重启路由器才行。特别是信号差的更要注意这一点。接着抖一些干货：磊科和 Dlink 的某些路由器不能加-S 参数来优化，否则不会出正确的 pin 码。如果有信号跑到 99.99%还是没出密码，就可以考虑去掉-S 参数。或者要跑 reaver 之前用 wireshark 分析下包，判断路由器的品牌。信号不好的时候，可能会出现正确的 pin 码验证不成功即漏码，强制指定-n 参数即可。如果实在没把握对节奏 pin 死了，可以尝试用 mdk3 来攻击对方路由器，迫使路由器主人重启路由器。无线路由器前 6 位 M

13、AC 地址是 C83A35，00B00C(腾达)或 081075，081076 (磊科部分可以)的，可以根据 MAC 后六位算出正确的 pin 码， 用自带的科学计算器就能准确算出来。把计算器调为程序员型，选十六进制，比如 08:10:76:0F:B3:5C 这个 MAC 地址，取后六位，输入完后选十进制就算出 pin 码前 7 位了。然后用-p 参数指定 7 位 pin码就可以出密码了，第 8 位程序会自动补全。总结一下，如果是 WEP 加密，用 minidwep 挂着一定可以出密码，如果是 wpa 可以先抓握手包包，然后用 hashcat 跑字典，同时可以用 reaver 跑 pin 码，

14、如果hashcat 搞定了就关掉 reaver 吧，不然你就老老实实等吧，reaver 平均速度要半天搞不好要过夜，所以 reaver 还是适合定点投放啊= =#这里就不重复说 inflator的用法了，reaver 的界面版，操作更简单了，如果你掌握了命令行的reaver，inflator 用起来是毫无压 力的。4.4.旁门左道旁门左道另外补充一个投机取巧的办法，用 WiFi 万能钥匙获取 WiFi 密码，前提是已经root 的安卓手机。WiFi 万能钥匙相信大家不陌生吧，WiFi 万 能钥匙从服务器获取到别人分享的密码来连接 WiFi，断开后就把密码清除了。重点来了，WiFi 在连接的过程

15、中密码是保存在本机的/data/misc /wifi/wpa_supplicant.conf 上的，我们可以强行终止 WiFi 万能钥匙进程，那密码就永久保存下来了，这时候用带文件管理器比如 re 或者 es 浏览器，打开/data/misc/wifi/wpa_supplicant.conf 就能看到密码了。或者装个 app 吧，搜下 WiFi 连接管理器，长按显示密码就行了，都需要 root 权限的。到这里就讲的差不多了，如果小伙伴们有想到别的办法欢迎补充。如果你掌握以上的方法，百分之 80 以上的 WiFi 加密都是可以轻松突破的，I promise，要不要我给你看下我的 WiFi 密码本

16、啊；）5.5.防范对策防范对策突破这第一道防线之后，你就和对方处于同一局域网了，这时候能干点啥呢，arp欺骗啊，挂马啊，metasploit 你懂得，简直没有隐私可言了，咳咳，小心艳照门中招了科普完了还要说下防破解的对策，毕竟有个不速之客在你的局域网里是很危险的事情，看看 E 说的女神的下场你就知道了。选择 wpa 加密不会错，密码要够 健壮，弱密码见光死啊，嗯，像 wujt396900*&这样略给力的密码就行但是千万不要忘记在设置里面把路由器 WPS 功能关闭 掉，tplink 水星之类的路由器设置里面是叫QSS 功能最后记得不要随便分享你的 WiFi 密码！能做到以上这几点，理论上你的 WiFi 是牢不可破的，除非他丫的动用 了超级计算机来跑你的密码；）下集预告想在别人局域网里面刷下存在感？都说不猥琐的黑客不是好黑客，下集我会给大家讲解在无线局域网里叱咤江湖这件小事