kali linux之无线渗透

无线技术变化大,难度大,既新鲜刺激,又压力山大。一半协议  一半理论

 

无线技术特点:

行业发展迅猛

互联网的重要入口

边界模糊

安全实施缺失而且困难

对技术不了解造成配置不当

企业网络私自接入ap破坏网络边界

 

 

IEEE

电气和电子工程师协会(IEEE,全称是Institute of Electrical and Electronics Engineers)是一个国际性的电子技术与信息科学工程师的协会,是目前全球最大的非营利性专业技术学会,其会员人数超过40万人,致力于电气、电子、计算机工程和与科学有关的领域的开发和研究,在太空、计算机、电信、生物医学、电力及消费性电子产品等领域已制定了900多个行业标准,现已发展成为具有较大影响力的国际学术组织。

 

IEEE分为不同的技术委员会,其中802委员会负责lan,man标准的制定

以太网

令牌环网

无线局域网

网桥

 

 

无线工作:

数据链路层---逻辑链路控制子层LLC--媒体访问控制子层MAC

物理层

 

 

 日常使用

 

802.11:

发布于1997年,速率1Mbps或2Mbps,红外线传输介质(未实现)

无线射频编码(radio frequencies)

   Direct-Sequence Spread-Spectrum (DSSS)----------直序扩频
   Frequency Hopping Spread-Spectrum (FHSS)------跳频扩频

 媒体访问方式--------CSMA/CA  c=b+log2(1+s/n)

   根据算法侦听一定时长

   发送数据前发包声明

Request to Send/Clear to Send (RTS/CTS)

 

 

802.11b:

Complementary Code Keying (CCK)------补充代码键

   5.5 and 11Mbit/s

   2.4GHz band (2.4GHz---2.485 GHz)

   14个重叠的信道 channels

   每个信道22MHz带宽

   只有三个完全不重复的信道

美国--1 to 11(2.412 GHz --- 2.462 GHz)

欧洲--1 to 13(2.412 GHz --- 2.472 GHz)

日本--1 to 14(2.412 GHz --- 2.484 GHz)

 

 

802.11B:

 

 

802.11A:

与802.11b几乎同时发布,因设备价格问题一直没有得到广泛使用

使用5GHz带宽

    2.4GHz带宽干扰源多(微波,蓝牙,无线电话)

    5GHz频率有更多带宽空间,可容纳更多不重叠的信道

    OFDM信号调制方法--正交频分复用技术

    更高速率54Mbps,每个信道20MHz带宽

    变频------5.15-5.35GHz室内,5.7-5.8GHz室外

 

 

802.11G:

2.4G频率

OFDM信号调制方法

与802.11a速率相同

可全局降速,向后兼容802.11b,并切换为CCK信号调制方法

每个信道20/22MHz带宽

 

 

802.11N:

2.4或5Ghz频率

   300Mbps 最高600Mbps

   MIMO多进多出通信技术

   多天线,多无线电波,独立收发信号

   可以使用40MHz信道带宽是数据传输速率翻倍

全802.11n设备网络中,可以使用新报文格式,使速率达到最大

每个信道20/40MHz带宽

 

 

 

 

无线网络运作模式

无线网络架构:

Infrastructure

    AP维护SSID

AD-Hoc

   STA维护SSID

Service Set Identifier(SSID)

   AP每秒钟约10次通过beacon幀广播SSID

   客户端连接到无线网络后也会宣告SSID

 

 

MONITOR MODE

monitor不是一种真的无线模式

   但是对无线渗透至关重要

   允许无线网卡没有任何筛选的抓包(802.11包头)

   与有线网络的混杂模式可以类比

  适合的网卡和驱动不但可以monitor,更可以injection

 

 

选择无线网卡:

这是个痛苦和受挫的过程,无线网卡的芯片型号是成败的关键

发送功率-------远程连接

接受灵敏性----适当降低灵敏度,接收效果更佳

没有所谓的标准,但是Aircrack-ng suite作者给出的建议

  Realtek 8187芯片

  1000 mW发送功率

天线---RP-SMA 可扩展

 

 

 

 

 

定向天线:

  八木天线------引向反射天线

 

   扇形天线---常用与移动电话网络,3到4个扇形天线联合使用可实现全向信号覆盖

 

 

  120度扇形天线波形

          

 

 

 网装天线--射束带宽更加集中,功率更强

     

 

 

 

 

 

linux无线协议栈

 


 

 

 

802.11头部

DU(Data Unit)即数据单元,信息传输的最小数据集合

传递过程逐层封装

SDU(Service Data Unit)/PDU(Portocol Data Unit)

MSDU》MIC》分帧》添加IV》加密》添加MAC头部》MPDU

MPDU/PSDU+物理头=PPUD》RF发射

 

 802.11MAC头部结构

 

 802.11

Protocol Version(2bit):802.11协议版本,始终为0.1.2.3

Type(2bit):规定帧的具体用途(3种帧类型)

     控制帧(1)

     数据帧(2)

     管理帧(0)

Sub Type(4bit)

     每个类型对应多个子类型,协议规定不同类型/子类型的帧完成不同功能的操作

 

 

 

 

 

无线通信过程

Probe----------------------STA向所有信道发出probe帧,发现AP。AP应道Response

Authentication------------STA向AP发出验证请求,发生认证过程,AP响应STA的认证结果

Association----------------STA发出关联请求,AP响应关联请求,关联成功,开始通信

 

WEP探测过程

Beacon标识使用WEP加密,STA发送普通Probe帧,AP响应Probe Response帧声明采用WEP加密

两个AP的beacon包内容不同,但都声明采用了WPA加密(不同厂商对802.11标准的实现方式不同),包头包含WPA1字段信息

 

WEP open认证过程

正确认证后通信数据被WEP加密,如果认证时客户端输入错误密码(认证依然可以通过,AP将丢弃该STA的数据包,起始向量被错误的密钥解密后完整性被破坏,但数据传输将失败)。认证响应正确,身份验证成功。

 

 

WEP PSK认证过程

STA发认证请求

AP返回随机Challenge消息

STA使用PSK加密Cha并发回给AP

AP使用PSK解密密文,获得Cha并与原始Cha对比,相同则验证成功,不同则验证失败

大部分无线驱动首先尝试open验证,如失败则尝试PSK

 

 

 

WEP共享密钥认证过程

无论使用什么加密架构,关联过程完全相同(STA向AP发送关联请求,AP向STA发送关联成功或失败结果)

隐藏AP(STA关联包中必须包含目标AP的ESSID,嗅探到此关联包,说明有隐藏AP存在)

 
 

 

 

 

无线网卡配置

 

查看信道频率

 

 

扫描附近AP

 

 

 

 

 

 

无线渗透和审计神器:aircrack-ng

包含多种功能的工具套件----网络检测,嗅探抓包,包注入,密码破解

 

检测网卡

 

 

开启网卡

 

 再次查看网卡

 

或者指定启动在哪个信道

 

 

 

 airodump-ng

 

BSSID:AP的mac地址

PWR:网卡接收到的信号强度,距离越近信号越强(-1-----信号不够,超出了范围,或者驱动不支持)

RXQ:最近10秒成功接收的数据帧的百分比(数据帧,管理帧,只有在固定信道才会出现)

Beacons:接收到次AP发送的beacon帧数量

#Data:抓到的数据帧数量(WEP表示IV数量),包含广播数据帧

#/s:最近10秒内,每秒平均抓到的帧数量

CH:信道号(从beacon帧中获得),信道重叠时可能发现其他信道

MB:AP支持的最大速率

ENC:采用的无线安全技术,WEP,WPA,WPA2,OPEN

CIPHER:采用的加密套件,CCMP,TKIP,WEP40,WEP104

AUTH:身份认证方法,MGT,PSK,SKA,OPEN

ESSID:无线网络名称,隐藏AP此值可能为空

STAION:STA的mac地址

Lost:通过sequence number判断最近10秒STA发送丢失的数据包数量(管理帧,数据帧),干扰,距离,发包不能收,收包不能发

Frames:STA发送的数据包数量

Probes:STA探测的ESSID

 

 

 抓取指定信道

 

 

 抓取信道一的40:31:3C:E4:E3:15的数据包 -w保存到自定义文件里

 

 

aireplay-ng

产生或者加速无线通信流量,向无线网络中注入数据包,伪造身份验证,强制重新身份验证,抓包重放

用于后续WEP和WPA密码破解,支持10种包注入

获取包的两种途径--(-i:指定接口,-r 抓包文件pcap)

 

aireplay-ng <options> <replay interface>

参数

过滤选项:

       -b bssid:MAC地址,接入点
       -d dmac:MAC地址,目标
       -s smac:MAC地址,来源
       -m len:最小数据包长度
       -n len:最大包长度
       -u type:帧控制,类型字段
       -v subt:帧控制,子类型字段
       -t tods:帧控制,到DS位
       -f fromds:帧控制,从DS位
       -w iswep:帧控制,WEP位
       -D:禁用AP检测

 

 重放选项:
      -x nbpps:每秒数据包数
      -p fctrl:设置帧控制字(十六进制)
      -a bssid:设置接入点MAC地址
      -c dmac:设置目标MAC地址
      -h smac:设置源MAC地址
      -g value:更改环缓冲区大小(默认值:8)
      -F:选择第一个匹配的数据包

 Fakeauth攻击选项:
      -e essid:设置目标AP SSID
      -o npckts:每个突发的数据包数(0 = auto,默认值:1)
      -q sec:保持活动之间的秒数
      -Q:发送重新关联请求
      -y prga:共享密钥身份验证的密钥流
      -T n:重试假身份验证请求n次后退出

 Arp Replay攻击选项:
      -j:注入FromDS包

 碎片攻击选项:
      -k IP:设置片段中的目标IP
      -l IP:设置片段中的源IP

测试攻击选项:
      -B:激活比特率测试

 来源选择:
      -i iface:从此接口捕获数据包
      -r file:从此pcap文件中提取数据包

 其他选择:
      -R:禁用/ dev / rtc用法
      --ignore-negative-one:如果无法确定接口的通道, 忽略未修补的cfg80211所需的不匹配
      --deauth-rc rc:取消认证原因代码[0-254](默认值:7)

 攻击模式(可使用数字):
      --deauth count:deauthenticate 1或all station(-0)
      --fakeauth延迟:使用AP进行伪身份验证(-1)
      --interactive:交互式框架选择(-2)
      --arpreplay:标准ARP请求重播(-3)
      --chopchop:decrypt / chopchop WEP包(-4)
      --fragment:生成有效的密钥流(-5)
      --caffe-latte:查询客户端的新IV(-6)
      --cfrag:针对客户端的碎片(-7)
      --migmode:攻击WPA迁移模式(-8)
      --test:测试注射和质量(-9)

 

基本测试,测试无线网卡的注入质量--Injection is working!

 

 

 

 

MAC地址绑定攻击 

管理员误认为mac地址绑定是一种安全机制,限制可以关联的客户端mac地址,其实这并不算是一种安全机制

 

开启网卡

 

查看是否是Monitor模式

 

 查看在哪个信道

 

帧听11信道

 

指定侦听的目标

如果此时有其他的客户端连接这个AP,就可以把随便一个客户端的mac地址复制,把本机的mac修改为那个客户端,既可绕过mac地址绑定

ifconfig wlan0mon down(先关闭网卡)

macchanger -m  复制的mac wlan0

ifconfig wlan0mon up(再次启动网卡)

查看无线网卡的mac地址,然后直接链接上AP

 

 

 

 

 

WEP攻击 (没什么人用,不演示了)

WEP密码破解原理:IV并非完全随机,每224个包可能出现一次IV重用

收集大量的IV之后找出相同IV及其对应密文,分析得出共享密码

ARP回包中包含IV

IV足够多的情况下,任何复杂程度的WEP密码都可以被破解

 

 

 

 

 

 

WPA攻击

 

WPA PSK攻击

只有一种破解方法,WPA不存在WEP弱点,只能暴力破解

CPU资源,时间,字典质量--网上共享的密码,泄露密码,地区电话号码段,crunch生成的字典,kali自带的字典

破解过程:启动monitor》抓包并保存》Deauthentication攻击获取4步握手信息》使用字典暴力破解

 

启动monitor

 

侦听

 

 

抓取指定的目标

 

 

 新开一个终端,攻击切断客户端与AP的连接

aireplay-ng -0 2 -a APmac -c 客户端连接mac wlan0mon

 

直到出现了 WPA handshake: 2C:43:1A:48:EA:70  出现这个,说明已经抓到包了

 

 

用aircrack-ng破解文件

aircrack-ng -w /usr/share/john/password.lst test-01.cap (-w 指定字典文件)

然而我字典根本不够强大

 

 

 

 

友情链接  http://www.cnblogs.com/klionsec

                http://www.cnblogs.com/l0cm

                http://www.cnblogs.com/Anonyaptxxx

                http://www.feiyusafe.cn

posted @ 2019-03-16 07:42 Hydraxx 阅读(...) 评论(...) 编辑 收藏