無線攻防:wifi攻防從破解到釣魚

滲透要謹慎，點到為止。

一、無線網絡基礎

無線安全是信息安全體系下一門很廣泛的學科，包括但並不僅限於近場(NFC)、藍牙(Bluetooth) 、射頻(radio frequency,RF) 、無線區域網(Wifi)、手機蜂窩網絡（cellular) 、衛星定位(GPS)等。

無線傳輸在傳輸、認證、加密等方面，在各種設備對無線網絡技術依賴的加深下變得越來越重要;隨著物聯網(IoT)的持續蓬勃發展，現在手機、智能設備對各類無線模塊、傳感器的需求也越來越大，藍牙、GPS、NFC、模塊成為必備項。從安全角度對無線網絡技術的研究是很有必要的。RTL-SDR、USRP、HackRF、及BladeRF等外設的價格下降，軟體環境社區的完善，使現在對無線網絡的研究已經不再像以前只能利用2.4GHz的無線網卡進行狹義的「無線」攻防。無線電通信安全將成為信息安全體系重要的一環。

1.RTL-SDR這是一個低廉的家用消費檔次的DVB-T USB接口的接收機的創新發明，一個完全的軟體定義無線電。2. USRP (Universal Software Radio Peripheral，通用軟體無線電外設)旨在使普通計算機能像高帶寬的軟體無線電設備一樣工作。從本質上講，USRP充當了一個無線電通訊系統的數字基帶和中頻部分。3. HackRF主要做wei基站!射頻範圍很寬!三款SDR平臺對比:HackRF， bladeRF和USRPhttps://www.cnblogs.com/h2zZhou/p/5484748. html
什麼是無線網絡?無線網絡(Wirelessnetwork)是採用無線通信技術實現的網絡。無線網絡既包括允許用戶建立遠距離無線連接的全球語音和數據網絡，也包括為近距離無線連接進行優化的紅外線技術及射頻技術，與有線網絡的用途十分類似，最大的不同在於傳輸媒介不同，利用無線電技術取代網線，可以和有線網絡互為備份。
二、無線網絡的加密方式和破解方式1、WEP加密及破解
1）、WEP加密方式
有線等效保密（wired euivalent pricacy,WEP)協議的使用RC4（rivest cipher4)串流加密技術保障機密性，並使用CRC-32校驗和保密資料的正確性，包含開放式系統認證和共建認證。
2）WEP漏洞及破解
（1）802.2頭消息和簡單RC4流密碼算法。導致攻擊者在有客戶端並有大量有效通信時，可以分析出WEP的密碼
（2）重複使用。導致攻擊者在有客戶端少量通信或者沒有通信時。可以使用ARP重複的方法獲取大量有效的數據。
（3）無身份驗證機制，使用線性函數CRC-32進行完整性校驗。導致攻擊者能使用虛連接和AP建立偽連接，進而獲得XOR文件。使用線性函數CRC-32進行完整性校驗，導致攻擊者用XOR文件偽造一個ARP的包，然後依靠這個包去捕獲大量有效數據。
破解WEP加密的無線信號依賴兩個元素：
1)信號強度
2)是否有在線客戶端。通過抓包、注入，然後獲取密碼，只要有這類信號就是百分之百可以破解的。
2、WPE加密方式
WPA加密方式 WPA全程為WiFi protected access，既Wif網絡安全存取，有WPA和WPA2兩個標準，是基於有線等效加密中幾個嚴重的弱點而產生的。WPA加密方式目前有四種認證方式:WPA、WPA-PSK、WPA2、WPA2-PSK。
WAP加密流程如下：
⑴ 無線AP定期發送beacon數據包，使無線終端更新自己的無線網絡列表。
(2）無線終端在每個信道(1~13)廣播Probe Request(非隱藏類型的Wif含ESSID，隱藏類型的wif不含ESSID)。
(3）每個信道的AP回應，ProbeResponse，包含ESSID及RSN信息。
(4）無線終端給目標AP發送AUTH包。AUTH認證類型有兩種︰0為開放式，1為共享式(WPA/WPA2必須是開放式)。
(5) AP回應網卡AUTH包。
(6）無線終端向AP發送關聯請求包Association Request數據包。
(7）AP向無線終端發送關聯響應包Association Request數據包。
(8) EAPOL四次握手進行認證（握手包是破解的關鍵)。
(9） 完成認證可以上網
2）WPA破解
WPA的wifi密碼破解分兩種方法，抓包和跑pin碼
（1） 抓包破解。wifi信號的機密的。登錄無線路由器，就要向路由器發送一個請求，請求和無線路由器建立連接，這個請求就是一個包，名叫握手包，這個包裡面包含了發送過去的一個密碼，但是這個密碼是加密的。抓包破解成功與否取決於四個方面：信號強度、是否有客戶端在線、跑包的機器是否足夠強大、密碼本是否好用等等
（2）跑pin碼破解。WPS（QSS或AOSS）功能是wifi保護設置的英文縮寫。對於一般用戶，WPS提供了一種相當簡便的機密方法，通過該功能，不僅可將具有WPS功能的wifi設備和無線路由器進行快速連接，還會隨機產生一個八位數的字符串作為個人識別號碼（pin)進行機密操作，省去了客戶端需要連接如無線網絡時，必須手動添加網絡名稱（SSID）及輸入冗長的無線加密密碼的繁瑣過程
三、實戰例子（一） Aircrack-ng破解wifi
USB式移動wifi
Aircrack-ng是一個包含一個多款工具的套裝，
我們需要使用裡面的：
airmon-ngairodump-ngaireplay-ngaircrack-ng
一共有六部分
準備
探測
抓包
攻擊
字典
破解
1、準備階段-啟動wlan0
ipconfig檢查無線網卡wlan0是否啟動
一定保證他現在沒有連接任何wifi。上面那個wlan0裡面沒有IP位址什麼的，就說明現在不在連接中
2）查看無線網卡狀態
3）激活無線網卡至monitor模式，監聽模式
airmon-ng start wlan0(開啟激活網卡)
我們可以看到上面顯示mac80211 monitor mode vif enabled for wlan0 on wlan0mon……
4）再次檢查網卡狀態
我們網卡的名稱為wlan0mon了
拓展命令
sudo ifconfig wlan0mon downsudo iwconfig wlan0mon mode monitorsudo ifconfig wlan0mon up
2、探測階段-確定需要攻擊的wifi
1）利用網卡搜索周圍能獲取的wifi的信息
可以看到，最右側的SSID，下面是周邊wifi的名字，最左側的BSSID，是這些wifi對應的mac地址。ENC是加密方式，可以看到都是WPA2的。有的也會有WPA和WEP，但是這兩個安全性都不如WPA2。CH是工作頻道。
我們要破解圖中的FAST 236D，這個是我的wifi。可以看到它的mac地址是F4:6A:92:90:23:6D！
本來正常情況下這張表的下半部分會羅列出連接到這個wif內的設備的mac地址，但是會在後面顯示給大家看!CH頻率是6記住!
3、抓包階段-利用airodump
1）我們已經看到了要攻擊的路由器的mac地址，還有工作頻道。執行以下命令：
airodump-ng --ivs --bssid F4:6A:92:90:23:6D -w test -c 6 wlan0mon
我們使用airodump-ng這個攻擊進行抓包--bssid是路由器的mac地址-w 是寫入到文件longas中-c 6 CH頻道是6--ivs 是只抓取可用於破解的IVS數據報文
需要注意的是：這裡我們雖然設置了保存的文件名test,但是生成的文件不是test.ivs,而是test-01.ivs
注意我們觀察，STATION部分看到了兩個mac地址，這兩個MAC分別為我電腦和手機連接的這個wifi網絡
無客戶端連接AP，airodump-ng是抓不到數據的
2）拓展思路抓取CAP包
airodump-ng -c 信道 -w 抓包保存目錄 --bssid BSSID地址 wlan0mon網卡CH:信道BSSID:F4:6A:92:90:23:XX(wifi的mac)airodump-ng -c 6 -w testquanliang/ --bssid F4:6A:92:90:23:XX wlan0mon(抓取全量的包)
4、攻擊階段-aireplay
謹記：開新窗口運行
1）思路1（方法實用性高）
這裡為了獲取破解所需要的WPA2握手驗證的整個完整數據包，我們將會發送一種稱之為」Deauth」的數據包來講已經連接至無線路由器的合法窪陷客戶端強制斷開，此時客戶端就會自動重新連接無線路由器，我們也就有機會捕獲到包含WPA2握手驗證的完整數據包了。
此處需要新開啟一個shell：
aireplay-ng -0 1 -a F4:6A:92:90:23:XX -c A4:02:B9:CC:6D:XX wlan0mon
-0 採用deauth攻擊模式，後面跟上攻擊次數，這裡我設置為1，大家可以根據實際情況設置為10不等-a 後跟路由器的mac地址-c 後面跟客戶端的mac地址
在此處可能會出現wlan0mon is on channel 13, but the AP uses channel 6問題，這是內核問題，有個暫時的解決方案
方案：設置無線網卡監聽信道
通常情況下，使用Aircrack-ng工具實施無線密碼破解時，都是使用airodump-ng工具捕獲數據包。用戶在捕獲數據包時，可以通過指定監聽數據的工作信道為目標AP工作的信道來解決該問題。由於AP工作信道為6，所以這裡需要設置無線網卡監聽信道為6。
執行命令如下所示：
airodump-ng wlan0mon -c 6參考網站：https://my.oschina.net/u/1585857/blog/3420946
2）思路2-利用aireplay進行攻擊：（實用性一般）
aireplay-ng -0 5 -a F4:6A:92:90:23:6D wlan0mon
-0 攻擊五次-a 路由器mac
或者：aireplay -0 0 -a F4:6A:92:90:23:6D -c A4:02:B9:CC:6D:25 wlan0mon
條件:
此網絡需要有用戶在連接，攻擊手段是斷開對方的網絡，讓對方重新連接後，重新抓取握手包，對方重新連接會自動連接進入攜帶了密碼key
出現WPA handshake: F4:6A:92:90:23:6D 代表抓包完成!獲取到了wif包的加密秘鑰! 注意︰按兩次Q退出，不要強制退出!
注意：如果在執行aireplay攻擊後，在airodump-ng界面右上角不出現「WPA handshake: ……」字樣，需要選執行「airmon-ng stop wlan0」，再次執行aireplay-ng 攻擊，即可出現。
5、收集階段-字典攻擊cap(字典收集)
1）使用kali自帶的秘鑰字典
cd /usr/share/wordlists/ls -al rockyou.txt
2）使用本地的密碼本
3）收集自動生成字典crunch等等。
6、破解階段-airarck破解
1）ivs 數據包爆破
aircrack-ng -w passwd.txt test-01.ivs
此時的破解速度跟使用的機器性能和字典大小有關。為了節省時間我就把密碼直接加入到字典中了。可以看到破解成功時候的界面! 中間有一句:KEY FOUND!，後面的中括號裡面，就是這個路由器的wif密碼。到此，wif密碼的破解也就完成了。
2）破解cap包
aircrack-ng -w passwd.txt /root/Desktop/testquanliang/-01.cap
成功破解
四、實戰例子（二） -Fluxion釣魚破解wifi1、Fluxion-釣魚2.4GHz網絡
1）安裝Fluxion
完成安裝全部依賴包
2）選擇語言
3）開始抓包
選擇17進入中文模式
首先為了預防對方修改過密碼，或者別的特殊情況，建議先在抓一次包∶
選擇handshake snooper……
選擇2.4GHZ進行抓包
可以看到和airodump-ng探測一樣的功能
按兩下Q退出後
帶顏色的說明有客戶端連接，沒有帶顏色說明沒有客戶端連接~~~
4）開始釣魚
選擇014進行釣魚
選擇2 跳過（一定！）
如果這裡選擇彈出
恢復攻擊
重置攻擊
這裡一定要選擇重置攻擊
然後選擇[2]aireplay-ng 解除認證方式（侵略性），因為抓包速度最快
建議選擇1，也可以選擇2 cowpatty驗證，因為上一步已經選擇了air，這裡選擇1 進行破解是最好的
選擇每30秒即可
選擇2 默認推薦
選擇完成後會跳轉出現出三個窗口，如果窗口沒有數據運行是卡住了，在fluxion窗口下執行crtl+c 結束進程，然後窗口自動關閉，在重新運行即可
三個窗口進行抓包，抓包後的界面是：
然後選擇1，選擇攻擊方式
已經抓到握手包後，開支配置釣魚頁面，然後選擇1
選擇Y
選擇2 跳過（讓他自己配置即可）
如果這一步選擇完成，繼續選擇重置攻擊即可
選擇 3 ，無線網卡
選擇3 ，mk3
這裡2.4GHz虛擬環境下，選擇mdk3,如果是5GHz選擇mdk4~
選擇【1】流氓 AP-hostapd(推薦)
選擇[1]hash - cowpatty
選擇[1] 使用抓取到的hash文件
選擇[2] cowpatty 驗證 (推薦用這個)
選擇[1] 創建SSL證書
選擇1] 斷開原網絡 (推薦)
5）釣魚界面選擇
選擇3，也可以自定義選擇
選擇3後就開始6個窗口，然後就無法連接FAST_236D了，連接此wifi的全部客戶端被踢下線，並彈出六個窗口
1、只要輸入密碼，就會顯示在第二框白色字體中，包含mac登錄信息
2、弊端是客戶端記住wifi密碼的情況下，連接釣魚的wifi是顯示修改密碼，無法跳轉到釣魚的界面。
3、需要一個沒有機密wifi密碼的客戶端。連接後會調整的服務路由器，請修改密碼
4、第五個綠色框字體會顯示連接wifi的手機型號：是iphone
一個沒有記住wifi密碼的客戶端連接後，釣魚後臺顯示的信息
客戶端顯示的信息
輸入正確的密碼後，自動關閉其餘的窗口，只留一個窗口，將顯示log文件位置，log文件中包含輸入正確的密碼
/opt/Fluxion/fluxion-6.9/attacks/Captive Portal/netlog/.log
底層目錄詳解
握手包保存的位置
/opt/Fluxion/fluxion-6.9/attacks/Handshake Snooper/handshakes
防止釣魚界面的目錄
/opt/Fluxion/fluxion-6.9/attacks/Captive Portal/sites
解惑到正確密碼保存情況
/opt/Fluxion/fluxion-6.9/attacks/Captive Portal/pwdlog
獲取你連接此wifi,顯示詳細信息+正確密碼
/opt/Fluxion/fluxion-6.9/attacks/Captive Portal/netlog/
2、Fluxion-釣魚5GHz網絡
iwconfig wlan0 mode monitor 關閉wlan0airmon-ng check klii 關閉進程airmon-ng start wlan0   開啟進行即可現在用airodump-ng使用-C參數指定5G頻段的頻率。程序會驗證一下頻率是否正確,正確的話就會進入監聽界面了:airodump-ng -C 5180-5885 wlan0
需要等待幾分鐘~ 1) 772N攻擊釣魚2.4GHz! 2) air去攻擊5GHz，air攻擊會導致對方無法連接5G網絡!
五、實戰例子（三） - Reaver 跑Pin碼破解wifi1、簡介
PIN碼共為8位，按431分段，總共窮舉有11000種組合。通過獲取到PIN碼，並記住Bssid和PIN，後期可以通過一條命令爆出無線密碼。容易碰到的問題:連接超時，卡住，路由自保護等。
reave的進度表文件保存在：1.3版 ：/etc/reaver/MAC地址.wpc1.4版：/usr/local/etc/reaver/MAC地址.wpc
開始
2、網卡啟動
iwconfigairmon-ng start wlan0
3、開啟嗅探模式
1）查看支持wps的ap
2)查看目前MB有沒有可以破解的wifi
MB是54e.的可破解，54e不可破解
4、開啟破解跑pin
reaver -i wlan0monmon -b B4:54:59:5A:DF:F0 -vv
最終你就能得到wif的PIN碼以及密碼。把這兩個記下來，一般來說wif主人過段時間就會更改密碼但不會更改PIN碼，這時我們只要加上-p命令，WiFi密碼秒出。
知道Pin碼以後使用如下命令飯計算出wifi連接密碼：reaver -i wlan0monmon -b MAC地址 -p Pin碼
總結: 此方法受信號強度和WPS保護機置等影響，嘗試過幾次，均信號在-70左右，均連接超時。
六、實戰例子（四） -Mdk3攻擊wifia1、偽造AP攻擊
無線黑客通過創建大量虛假AP基站信號來達到幹擾正常無線通信的目的。具體可以使用MDK3這款工具實戰，可以通過無線網卡發射隨機偽造的AP信號，並可以根據需要設定偽造的AP工作信道，一般設定為幹擾目標AP的同一頻道。
mdk3 wlan0monmon b -g -c 6 -h 7
參數結束b   用於偽造AP時使用的模式;g   偽造誠提供54M即滿足802.11g標準的無線網絡-c  針對的無線工作頻道，這裡是6;-h  用於提升攻擊效率，只針對個別無線設備有效
我們看到了很多假的AP信號點
2、SSID無線幹擾
對於在某一頻道正常工作的無線接入點，攻擊者除了可以發送相同頻道外，還可以發送相同SSID的無線數據流量信號來擾亂連結該AP的無線客戶端的正常運作!
mdk3 wlan0mon b -n FAST_SHEN -g -c 10
-n  是使用指定的SSID來替代隨機生成的SSID
提升發包速度
mdk3 wlan0mon b -n FAST_SHEN -g -c 10 -s 200
3、身份認證攻擊
小型wifi的DDOS攻擊，導致讓人全部不能連接
mdk3 wlan0monmon a -a B4:54:59:5A:DF:F0

拓展：
提出連接此AP的全部人mdk3 wlan0mon d -s 1000 -c 11