末笔丶 · 2014/10/28 15:56 0×00 引言 我写这篇文章的初衷是因为看到了狗哥的一篇文章,让我深思。不过我想说的是,并不是只有免费的wifi才存在风险哦~ 0×01 让我们了解一下黑客是如何入侵小绵羊的。 路由器wps功能漏洞 路由器使用者往往因为设置步骤繁琐而选择不设置任何加密安全措施,这导致了许多安全问题的出现。WPS是用于简化Wi-Fi无线安全设置和网络管理的功能。它有两种模式:个人识别码(PIN)模式和按钮(PBC)模式。路由器在出厂时默认开启了WPS,但这真的安全吗?在2011年12月28日,一位名叫Stefan Viehbock的安全专家宣布,他发现了无线路由器中的WPS(Wi-Fi Protected Setup)漏洞,利用这个漏洞可以在几小时内轻松破解WPS使用的PIN码,从而连接到无线路由器的Wi-Fi网络。 个人识别码(PIN) 也许有人会问,什么是PIN码?WPS技术会随机生成一个八位数字的字符串作为个人识别码(PIN),也就是你在路由器底部除了后台地址、账号和密码之外的一组八位数字。通过这个PIN码,你可以快速登录而无需输入路由器名称和密码等信息。PIN码分为前四位和后四位。如果前四位错误,路由器会直接返回错误消息,而不会继续验证后四位,这意味着只需尝试10000组号码即可找到正确的前四位。一旦没有错误消息,就表示前四位是正确的,然后我们可以开始尝试后四位。后四位比前四位更容易,因为八位中的最后一位是检验码,由前面七个数字生成,所以实际上只需尝试三个数字,共1000个组合。这使得原本可能有一千万组密码组合(七位数+检验码)的密码空间,瞬间缩减到只剩下11000组,大大降低了破解所需的时间。根据路由器的MAC地址计算默认的PIN码 此外,还有一种更快速破解Wi-Fi的方法,就是根据路由器的MAC地址(MAC是路由器的物理地址,是唯一的标识符)计算出默认出厂时的PIN码。例如,以下软件可以根据共享的Wi-Fi找到PIN码! 抓取握手包破解 前提是有客户端连接到Wi-Fi。另外,我不会介绍破解WEP的方法,使用的小伙伴自行决定。我只是简单介绍一下原理。一个TCP包走进一家酒吧,对服务员说:“给我来瓶啤酒”。服务员说:“你要来瓶啤酒?”TCP包说:“是的,来瓶啤酒。”服务员说:“好的。” 1、当一个无线客户端与一个无线AP连接时,首先发送连接认证请求(握手申请:你好!) 2、无线AP收到请求后,向无线客户端发送一段随机信息(你是谁?) 3、无线客户端将接收到的随机信息加密后发送给无线AP(这是我的名片) 4、无线AP检查加密结果是否正确,如果正确则同意连接(哦~原来是自己人!) 通常我们所说的抓取“握手包”,是指在无线AP与合法客户端进行认证时,捕获“信息原文”和加密后的“密文”。 利用Deauth验证攻击。也就是说,强制使合法无线客户端与AP断开连接,当它从WLAN中断开后,这个无线客户端会自动尝试重新连接到AP上,在这个重新连接的过程中,数据包通信就会产生,然后利用airodump捕获一个无线路由器与无线客户端四次握手的过程,生成一个包含四次握手的cap包。然后再利用字典进行暴力破解。 另外,我要提到关于这个黑色产业。当我们抓到带有数据的握手包时,黑色产业往往会帮助我们很多。GPU的速度比我们普通设备跑密码的速度快上百倍。所以我不建议自己跑密码!将包发送给那些团队,他们可以以10-30元不等的费用(根据需要跑的密码定价,分为普通包和金刚包,普通包使用10GB的字典,金刚包使用50GB以上的字典,收费会更高)帮你跑出密码。另外,这样的设备非常耗电,不是一般人能负担得起的。通常闲置时会利用这样的机器进行挖矿。 分布式破解 《骇客追缉令》中的主人公们都使用了分布式破解。以电影中的米特尼克为例,剧情中他得到了下村勉加密后的密文,一般电脑需要几十年甚至几百年的时间才有机会破解密码。而米特尼克利用了伪装,欺骗了某大学的保安,偷偷潜入使用了大学中的超级电脑,只用了几个小时就得到了想要的结果!《血色星期一》中的主角三浦春马使用了傀儡网络(肉鸡),在半个小时内获得了密码。(由于很久没看这两部电影,可能有些地方说错了,请见谅。)2009年9月26日晚,ZerOne无线安全团队与AnyWlan无线门户成功完成了国内首次分布式破解项目。 … 工具附上。另外,我想说的是,分布式破解只是一种思路,而不是破解方案。如果无法破解,也没有关系。 Wifi万能钥匙或wifi分享 其实,我非常不愿意提到这款流氓软件。但这也是大部分网友主要用来破解Wi-Fi的途径。为什么我不愿意提到这款软件,又为什么必须提到呢?答案是,这款软件最流氓的功能也是最核心的功能,就是集成了全国各地的Wi-Fi账号和密码,其中必定包括一些恶意分享和无意分享的账号。当开始使用这款软件时,有两个选项:自动分享热点和分享前提示我。默认选择的是自动分享热点。有些急于破解Wi-Fi的小伙伴可能会直接点击下一步,无意中将自己保存的Wi-Fi账号公之于众。即使Wi-Fi密码很强大,也会因为队友的疏忽而被破解。这样的误操作例子真的很多。不得不提的是,这款软件集成了全国各地的Wi-Fi账号和密码,当你使用这款软件时,可以根据附近的SSID和MAC地址在万能钥匙的数据库中找到正确的密码。这方便了用户,也方便了一些不怀好意的人~~小米科技也试图模仿盛大的万能钥匙,但最终失败了。2013年9月5日晚间消息,小米科技在年度发布会上发布了MIUI的新功能——Wi-Fi密码自助分享,引发了争议。许多网友指责小米此举将导致Wi-Fi的严重安全隐患,甚至有咖啡店老板指责小米的行为如同偷窃。从2013年8月2日开始到发布会结束,一个月内就分享了32万个公共Wi-Fi密码,[emailprotected]伟也对这个新功能感到愤怒,他表示:“我们只剩下两个选择:1、拒绝向使用小米手机的朋友提供家里/公司的Wi-Fi密码。2、使用小米手机的朋友离开后立即更改家里/公司的Wi-Fi密码。”另外,为什么万能钥匙没有被封杀,我也不得而知。但我想劝大家一句,除非迫不得已,千万不要依赖万能钥匙。 弱密码 用浩瀚来形容WPA-PSK的密码空间一点也不为过,所以直接进行字典攻击是愚蠢的行为。但是,作为一个密码,有强密码和弱密码之分。强密码是指破解希望极其渺茫的密码,而弱密码是很有可能被破解的密码。当然,强弱也是相对的概念,它也取决于安全措施。一般银行的密码都是6位数。像这样密码空间很小的密码,在普通情况下都被认为是弱密码。但是银行的ATM一天只允许尝试三次密码,如果三次密码错误,卡就会被锁定。有了这样的机制,6位数的密码就不再是弱密码了。由弱密码组成的字典叫做弱密码字典。 … 这篇文章讲得更为详细。 有一定联系和规律的密码 举个例子:曾经有人破解了一个WPA-PSK密码IX1V7051242。如果你不了解这个密码的背景,可能会觉得很神奇,这么强大的密码也能被破解。实际上,这个密码是在西班牙的tele2这样的AP上存在的,而且这样的AP的ESSID中都有tele2这个字段。这个密码后面的8位是相同的,真正的密码只有四位。四位密码的密码空间很小,很容易被字典攻击破解。这也是AP厂家自己降低了安全性的做法。例如,一些餐厅、酒店、事业单位等,SSID通常会改成名字的拼音,密码通常与SSID相关。最常见的就是该单位的电话号码!
Airmon-ng start wlan0
复制代码
社会工程学 有目的的社工师多多少少都掌握着Wi-Fi使用者的个人信息。不然怎么会被称为有目的的社工师呢?哈哈~~ 举个例子吧。他们会将与目标有关的人的生日组合、姓名缩写(即开头字母)、姓名拼音、手机号码等信息生成一个字典。最高成功率的是目标的恋爱对象、暗恋对象、重要人物,当然也包括基友~。还有目标的姓名、生日、手机号码、邮箱号码、网名(即ID,对黑客很有用)。习惯使用的字符,当然还有常用的密码!还有一些特殊号码、特殊日子(结婚纪念日、开始恋爱等)等资料。这样生成的字典。 举个例子,有一个在安全圈混的小黑客,他具有很高的安全意识,知道AP要使用一个很强大的密码,比如hack!@#1024。但他比较懒,到处都使用这个密码。然后这个小黑客在某个论坛或网站注册了账号时,习惯性地输入了引以为傲的强密码。然后这些网站被黑客攻击(泄露数据),社工师根据泄露出来的密码生成了一个字典(根据泄露出来的密码进行组合),然后就不用我多说了。这样的例子很多!《剑鱼行动》中的黑客是如何在一分钟内进入国家安全信息网的?就是通过网络上工作的人为他收集密码的程序。他通过这样的字典迅速破解了密码。而这样的字典真正的黑客是不愿意公开的。 0×02 实例 抓取握手包破解 网卡的选择也非常重要。如果使用笔记本内置网卡进行破解,一定要检查一下网卡型号,看看kali是否有对应的驱动程序。我使用的是8187卡,kali自带驱动程序,就不再赘述。本次实例是基于抓取握手包进行的。
Airodump-ng mon0
复制代码
Airodump-ng -c 1 --bssid XX:XX:XX:XX:XX -w mobi mon0
复制代码
意思是启动网卡的监听模式。敲完这条命令后,设备名为wlan=mon0。一般命令后都要跟上设备名。在抓包之前,一定要先选择目标。这条命令的意思是探测无线网络。选择好目标后,首选是连接客户端较多的目标。复制好BSSID即MAC地址,并记住信道(CH)。
Aireplay-ng -0 10 -a (AP的mac) -c (客户端的mac)
复制代码
-C参数是选择目标信道。如果该信道只有一个AP使用的话,不需要加上–bssid参数,这个参数是为了精确锁定目标。-w是保存握手包的名称。获取握手包后,会在当前目录生成一个名为mobi-01.cap的握手包。此时不要关闭这个shell,而是另外打开一个shell。
Aircrack-ng -w /pentest/passwords/sxsx.lst mobi-01.cap
复制代码
Reaver -i mon0 -b xx:xx:xx:xx -vv
复制代码
-0参数是发起deauth攻击,10是次数,可以调节。-a即第一个shell中的BSSID,下面是AP路由器的MAC地址。-c即STATION下客户端的MAC地址(这个参数是可选的)。-w选择字典mobi-01.cap,即抓取到的握手包。顺便说一句,我不建议自己跑密码。我直接将U盘挂载,将握手包复制到U盘中,然后通过QQ将包发送给跑包团队。然后将正确的密码添加到我的字典中。才会出现上图(即成功破解后的图)!另外,密码使用有一定的联系和规律。 破解方案二:利用路由器的WPS功能漏洞 Airodump-ng mon0 用于查看附近的无线情况。在MB这一行带有点的“.”表示可以跑出PIN码。使用wash -i mon0 -C可以查看是否开启了WPS功能。