無線區域網攻防之Wi-Fi破解

2021-10-16 18:00:01

前期準備

kail linunx系統 
無線網路卡接收器(晶片為3070或者1887L都支援Linux)
字典
下面是我自己比較推薦的兩個網路卡接收器

 

 

無線網路加密方式和破解方式簡介

1.WEP加密方式及破解

1)wEP加密方式

有線等效保密,協定使用的死RC4,串流加密技術保證機密性,並使用CRC-32校驗和保證資料的正確性,包含開放式系統認證和共有健認證。不過隨著時代的發展,wep加密方式日漸淘汰,因為這種加密方式非常容易破解安全性不高,現在只有一小部分使用這種加密方式加密無線網路。

2)wEP漏洞及破解

(1)802.2頭資訊和簡單RC4串流加密法演演算法。導致攻擊者在有使用者端並有大量有效通訊時,可以分析出wEP的密碼。

(2)重複使用。導致攻擊者在遊使用者端少量 通訊或者沒用通訊時,可以使用ARP重放的方法獲得大量有效的資料。

(3)無身份驗證機制,使用線性函數CRC- 32進行完整性校驗。導致攻擊者能使用虛連線和AP建立偽連線,進而獲得×oR檔案。使用線性函數CRC-32進行完整性校驗,導致攻擊者能用×oR檔案偽造一個ARP的包,然後依靠這個包去捕獲大量有效資料

破解wEP加密的無線訊號依賴兩個因素:

1)訊號強度;

2)是否有線上使用者端。通過抓包、注入,然 後獲取密碼,只要有這類訊號就是百分之百可以破解的。

2.WPA加密方式

現在大部分的無線網路都是使用WPA方式來加密的,這種加密方式安全性高。WPA為Wi-Fi網路安全存取,有WPA和WPA2兩個標準,是基於有線等效加密方式中幾個嚴重的弱點而產生的。WPA加密方式目前有四種認證:WPA、WPA-PSK、WPA2、WPA2-PSK。

wPA加密流程如下:

(1)無線AP定期傳送beacon封包,使無線終端更新自己的無線網路列表。

(2)無線終端在每個通道(1-13)廣播Probe Request (非隱藏型別的wi"含ESSlD,隱藏型別的wi"不含ESSlD)。

(3)每個通道的AP迴應,Probe Response,包含ESSlD及RSN資訊

(4)無線終端給目標AP傳送AUTH包。AUTH認證型別有兩種:0為開放式,1為共用式(wPA/wPA2必須是開放式)。

(5)AP迴應網路卡AUTH包。

(6)無線終端向AP傳送關聯請求包Association Request封包。

(7)AP向無線終端傳送關聯響應包Association Request封包。

(8)EAPoL四次握手進行認證(握手包是破解的關鍵)。

(9)完成認證可以上網。

2)wPA破解
wPA的wi"密碼破解分兩種方法:抓包和跑Pin碼。
(1)抓包破解。wi"訊號是加密的,登入無線路由器,就要向路由器傳送一個請求,請求和無線路由器建立連線,這個請求就是一個包, 名叫握手包,這個包裡面包含了傳送過去的一個密碼,但是這個密碼是加密的。抓包破解成

功與否取決於以下四個方面:訊號強度、是否有使用者端線上、跑包的機器是否足夠強大、字典是否好用等等。

(2)跑Pin碼破解。wPS(QSS 或 AoSS) 功能是wi"保護設定的英文縮寫。對於一般使用者,wPS提供了一種相當簡便的加密方法。通過該功能,不僅可將具有wPS功能的wi"裝置和無線路由器進行快速互連,還會隨機產生一個八位數位的字串作為個人識別號碼(Pin)進行加密操作。省去了使用者端需要連入無線網路時,必須手動新增網路名稱(SSlD)及輸入冗長的無線加密密碼的煩瑣過程。

實戰——Aircrack破解wifi

我們使用的是kali自帶的一個工具模組,windows也可以安裝
Aircrack-ng是一個包含了多款工具的套裝,我們需要使用其中幾個模組

airmon-ng
  airodump-ng
  aireplay-ng
  aircrack-ng

測試分為六個步驟

準備
探測
抓包
攻擊
字典
破解

1.準備

我們首先開啟kali,連線我們的無線接收器
選擇連線到kali系統

 

我們首先看下kali的無線網路卡狀態,檢視wlan0是否開啟

 


如果它連線了其他WiFi,那wlan0就會有IP地址。沒有就不在連線狀態。我們必須保證它沒有連線wifi

我們檢視網路卡狀態

iwconfig

擴充套件;iwconfig和ifconfig
iwconfig:這是開發板上的一塊物理網路卡和一個wifi模組。我們可以看到IP資訊,網路卡地址等等。這個命令還常用來設定網路資訊
iwconfig:僅僅和無線網路相關。用來設定引數等。

 


可以看到wlan0是處於沒有啟用的狀態
我們需要啟用無線網路卡到monitor即監聽模式下

airmon-ng start wlan0

 

我們再次檢視,發現網路卡以改變為wlan0mon,說明啟用成功

 

2.探測

利用無線網路卡接收器搜尋周圍WiFi資訊

airodump-ng wlan0mon


ESSID是wifi名字
BSSID是wifi的mac地址
ENC是加密方式
CH是工作頻道
PWR 是訊號強度(絕對值越小,訊號越強)
Data 是路由器的線上資料吞吐量,數值越大,數值上傳量越大

 

我們需要記住的是自己的mac地址,要攻擊者wifi的mac地址以及要攻擊者的工作頻道

qq是退出,不要強制退出,不然可能漏包

3.抓包

我們得到以上資訊後,利用airodump-ng進行抓包

sudo airodump-ng --ivs --bssid MAC地址 -w baixi -c 4 wlan0mon

--bssid 後面是路由器mac地址
-w  是寫入到檔案longas中,後面跟的是檔案名字
    (雖然我們儲存的檔名是baixi,但儲存下來的名字是baixi-01.ivs)
-c   後面的數位是要破解wifi的頻道
--ivs 是隻抓取可用於破解的IVS資料包文


STATION是本地連線使用者,我們需要斷開他們 ,讓他們進行重新連線
這裡我們需要裝置與路由傳輸資料才可以

 

4.攻擊

謹記:需要開新的視窗

原理:為了破解所需要的WPA2握手驗證的完整封包,會發一個」Deauth「封包,斷開對方的網路,讓對方再次連線,重新抓包,對方自動連線會攜帶了key,所以攻擊·的·時候必須有人已經連線這個wifi

我們需要開一個新的shell

aireplay-ng -0 1 -a 24:00:FA:AB:C5:68 -c E8:65:D4:A2:0E:71 wlan0mon

-0採用的deauth攻擊模式,後面是攻擊次數 
-a 後面是要攻擊wifi的mac地址
-c 後面是已連線wifi的mac地址

 

當出現右上角出現WPA handshake的時候說明抓包完成,獲取到了wifi包的加密祕鑰(舉一個成功的例子)

 

5.字典

可以使用kali自帶的祕鑰字典

cd /usr/share/wordlists/
sudo gzip -d rockyou.txt.gz


或者使用原生的密碼本
亦或者收集資訊自動生成字典crunch

 

6.破解

ivs封包爆破

aircrack-ng -w password.txt baixi-01.ivs

 

破解速度與使用的電腦效能有關,當中間出現

KEY FOUND!

後面括號就是該wifi的密碼

防護建議

設定複雜且長的密碼

不要使用WEP加密方式

加強個人資訊保護,不給其收集字典的資訊