近源渗透——WiFi渗透 - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

无线安全

近源渗透——WiFi渗透

2021-08-04 14:39:17

声明

文章来自作者日常学习笔记，也有少部分文章是经过原作者授权后转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者无关。

近源渗透--wifi渗透

如今信息时代，信息安全变的格外重要，国家也越来越重视其中的利害。遂鼓励并要求相关企业加强网络安全防护，意识。
于是攻防演习，护网实战，应运而生，并愈演愈烈
经过多次的红蓝对抗，在失败与上级要求之下，企业对网络安全的防护不断升级，这也迫使攻击队寻找新的突破口------近源渗透。。。。

就目前来说，我将其分为三点：

一、wifi渗透
二、HLD攻击
三、社会工程学

本篇主要分享wifi渗透的相关知识，HID攻击后续分享

wifi渗透，我将其分为两点：

wifi密码的破解
钓鱼wifi

wifi密码的破解

前置知识：
a，自备无线网卡（支持Monitor模式，即监听模式）
我们平时用的网卡都是混杂模式的，是不支持监听模式的，需要自备，淘宝买一个就ok
监听模式：监听模式下，可以监听到经过它的所有流量，并且不需要与无线接入点建立连接，就可以接收到目标的mac地址等信息

b，握手包
握手包：当终端与路由器建立连接时，会先进行认证，认证过程中传输的报文就是握手包。其中包括了路由器的密码，所以抓取握手包，获取密码并破解即可实现
通过网卡的监听模式，可以监听来自经过它的所有流量，从而可以抓取目标的握手包

c，wifi密码的破解方式
破解方式有很多种，利用路由器的相关漏洞，基于弱加密（WPS，WEP）的破解，以及对WPA/WPA2的暴力破解，就加密算法来说wep<wpa<wpa2<wpa3
然而现如今市场上的主流路由器加密方式都是wpa2的，所以只能通过字典进行暴力破解

d，Aircrack-ng，是一套用于无线审计的工具，kali自带，里面包含了多种工具，此处主要用到了以下工具
airmon-ng：改变网卡的工作模式
airodump-ng：捕获802.11的数据报文
aireplay-ng：发送注入数据包攻击目标，为后续捕获握手包做准备
aircrack-ng：对捕获的握手包进行暴力破解

e，密码字典生成工具
推荐使用crunch，kali自带
https://blog.csdn.net/weixin_44912169/article/details/105719706

开始

1，插入无线网卡，并将其连接至虚拟机kali中，通过iwconfig查看是否接入
iwconfig主要是查看无线网卡配置的相关信息

2，启用网卡
启用网卡前，建议先kill掉可能会影响的进程：
airmon-ng check kill
airmon-ng start wlan0
start后加网卡的名称，通过上一步可以看到
启用之后ifconfig中可以看到本地的网卡信息：
iwconfig也可以看到网卡的工作模式成为Monitor

3，查看附近要攻击目标的wifi相关信息
airodump-ng wlan0mon
airodump-ng 加无线网卡的名字，启用监听模式之后无线网卡名称会发生变化，再次通过iwconfig查看即可
图中可以看到目标wifi的相关信息
我介绍几个主要的参数含义：
bssid：为目标的mac地址
但是有时候会遇到一个wifi有多个bssid？？？
在说什么是bssid之前先介绍一下什么是ap的漫游？

ap可以理解为无线路由器，ap的漫游就是为多个ap设置相同的ssid进行组合，这样可以在其它组合起来的ap上不用输入密码就可以提供服务，比如从一楼到五楼只需要输入一次密码就可以实现跨ap的使用，所以附近的ap都是以漫游的形式组网提供无线服务的
也就是说，此处嗅探到的bssid代表一个独立的ap，也就是它的mac地址，但是为什么他们的bssid不同，却同属于一个wlan呢，就是因为他们通过ssid实现了ap漫游
因此延伸出，如果是像这种情况下进行攻击嗅探，是不会获取到握手包的，因为当你攻击的ap与客户端断开连接之后，他会认为当前ap不让他用，就自动连接至其它具有相同ssid的ap，也就是说，必须把相同ssid的所有ap都进行监听才会捕获到握手包
pwr：与目标的距离，该值越大，距离越近
#data：目标的实时数据传输量
CH：信道
ENC：加密方式，可以看到，都是wpa2的
essid：wifi的名称

4，嗅探并抓取目标的握手包
分为两步：
a，通过airodump-ng开启抓包模式
airodump-ng --bssid D2:77:95:60:E7:00 -c 10 -w t1 wlan0mon
-bssid是ap的bssid
-c指的是信道
-w保存的文件名
wlan0mon为网卡的名词
以上信息上图均可看到
图中STATION为连接这个ap客户端的mac地址，需要记录，后续抓握手包使用
此处需要一直开启监听，之后新开一个终端进行泛洪攻击使客户端与ap断开连接，断开后会自动重新连接，这时才能抓到握手包，也就是说一般只有刚开始连接的时候可以抓到握手包，或者目标在进行大流量传输时，比如使用迅雷等，才会抓到。

b，通过aireplay-ng攻击目标
aireplay-ng -0 2 -a D2:77:95:60:E7:00 -c 90:78:B2:2D:1E:43 wlan0mon
-0：冲突攻击，使目标与客户端断开连接，重新连接时从而获取握手包，2指的是攻击两次
#此值不要设置太大，2次足够了，网上的很多教程都是10次，经过测试是不稳定，如果攻击完两次依然没有握手包就再试一次，就可以了。
-0攻击的原理
通过wireshark抓取握手包分析发现
ffffffff为攻击网卡伪造的mac地址
airelay-ng攻击的原理是向目标ap不断发送Deauthentication数据包
该数据包的作用是让当前ap断开与指定客户端的链接，并且在该攻击时间内，所选中的ap无法被连接，类似于拒绝服务攻击
-a：目标ap的bssid即mac地址
-c：客户端的mac地址
以上信息上图均可看到

成功获取握手包。图中红框 9 - 副本.png 处

5，使用aircrack-ng破解握手包，获取密码
获取到的握手包保存在这里，生成的其它文件也是捕获到的数据包，不过一般用不到，只用这一个
aircrack-ng -w /home/rookie/桌面/pojie.txt t1-01.cap
-w：指定密码字典的路径
后边直接跟cap文件名称
KEY FOUND! [ qwe123456 ]

钓鱼wifi

钓鱼wifi的框架工具也很多：fluxion，wifiphisher等
此处我选择fluxion，个人感觉fluxion更人性化，支持的语言达到17种，自然少不了汉语，并且钓鱼模板也比较多
由于操作步骤繁琐，简化流程如下：

准备：kali，fluxion，具有收发功能的无线网卡

开始：

1，安装fluxion
kali下git安装 git clone https://www.github.com/FluxionNetwork/fluxion.git
git完进入该目录执行 ./fluxion.sh 安装即可
安装完成后进入选择语言界面，17即可
2，捕获目标握手包
选择完语言之后会进入下面的页面
1：为创建钓鱼wifi
2：捕获目标握手包
此处先捕获目标握手包，选择2
之后对扫描的信道选择，此处根据网卡支持的信道进行选择，此处我选择3，对所有信道扫描
下一步开始扫描，当出现你的目标后，按ctrl+c退出扫描，目标结果会显示出来
我的目标就是自己手机的热点，此处输入73
下一步选择2，跳过
此处选择2通过aireplay-ng获取握手包，与之前实验用的工具是一样的
下面的两个选项都选择它推荐的吧
然后会出现如图的三个窗口开始捕获握手包
左上角窗口显示的是对ap监听抓取握手包的一个记录
左下角的是握手包抓取结果
右下角的是使用aircrack的攻击记录
大约等待一两分钟，捕获成功如下图
左下图的小窗口，最小化也可以，关掉也可以，至此捕获握手包步骤完成

3，第三步开始攻击真实ap，伪造钓鱼ap，获取密码
选择1
选择1
选Y，对刚扫描出的目标进行攻击
因没有专用接口，此处跳过该选项
选择无线网卡 2
此处依然使用aireplay进行攻击
下面选择推荐

验证密码的方式选择1
选择1，使用刚刚抓取到的hash文件
选择推荐的
创建钓鱼ap，此处选择1
选择仿真网络
可以看到很多钓鱼模板：
此处根据情景进行选择，我选择 3 中文的模板

选择完钓鱼模板后，会自动开启钓鱼服务，出现下图的六个窗口
分别代表钓鱼ap的服务信息，dns信息，认证密码保存信息，服务器的访问记录以及攻击真实ap的记录
出现右上角的窗口代表钓鱼成功，密码保存的位置会显示
查看密码
钓鱼端会显示如下
41 - 副本.gif 真实的wifi怎么连都连不上，因为这时候我们一直对其进行泛洪攻击，路由器是不会响应你的请求的，这时候下面会有个同名的，很有可能就会点一下，之后让你输入密码。
输入的密码记录后，与之前的握手包校验，校验成功则会停止攻击并导出密码，否则继续攻击。