Kali 2.0中無線安全工具更新特性(淺談pixie結合reaver的攻擊原理)

2021-02-26 FreeBuf

微信號:freebuf

0x00 背景知識

WPS(Wi-FiProtected Setup,Wi-Fi保護設置)是由Wi-Fi聯盟組織實施的認證項目,主要致力於簡化無線網絡的安全加密設置。有兩種模式,註冊名模式輸入pin碼即可,註冊模式按下AP上的按鈕即可。


多米尼克•邦加德發現一些無線ap產生隨機數的方法不安全(像著名的128位隨機數E-S1,和E-S2),如果我們能搞清楚隨機數是什麼,就很容易發現ap的wps pin因為在ap一定會給我們包含pin的hash校驗值。

0x01 算法分析

在每一個wps設備中都有以下算法

E-Hash1 = HMAC-SHA-256(authkey) (E-S1 | PSK1 | PKE | PKR)

E-Hash2 = HMAC-SHA-256(authkey) (E-S2 | PSK2 | PKE | PKR)



簡單說,-E-Hash1和2是我們需要暴力破解的hash值

HMAC-SHA-256 一種hash函數

PSK1/PSK2 是路由器的pin碼 最多10000種可能

PKE 是註冊名設定模式下的公鑰

PKR 是註冊設定模式下的公鑰,為了校驗wps改變的合法性和預防重放攻擊

假設我們已經知道PKE,PKR,Authkey,E-Hash1和E-Hash2(所有這些都從reaver發布的修改版本中得來),我們已經找到E-S1和E-S2(因為我們只是暴力破解他們或者他們就等於0),我們可以通過hash函數運行的所有數據,並嘗試每一個pin和秘密隨機數),直到我們有一個匹配的hash。

0x02 從AP路由器的響應中校驗PIN碼的正確性

如果攻擊者在發送M4後接收到EAP-NACK消息,則前一半PIN錯誤;

2. 如果攻擊者在發送M6後接收到EAP-NACK消息,則後一半PIN錯誤八位的PIN碼中最後一位是校驗碼,由前七位得到,大大縮短了破解難度。


下面流程圖展示了完整的暴力破解過程



0x03受影響的產品

Realtek產品漏洞是晶片生成註冊隨機數和生成E-S1,E-S2使用了相同的算法。意味著如果信息交換發生在同時,它們的值就都相同。找到隨機數的種子,通過改變種子來逆推它們,不簡單但是可行。

唯獨特殊的是Ralink廠商,完全的沒有E-S1和E-S2,都是零,just hack。

0x04 Kali2.0中的無線工具

(1)reaver 和 pixie


reaver 結合pixie

先貼出官方的視頻地址

https://vimeo.com/126489367

airmon-ng start wlan0 //開啟網卡

airodump-ng wlan0mon //監聽模式,查找開啟wps的ap

reaver -i wlan0mon -b [ap’s mac] -vv -K 1 //reaver破解pin-K 1 選項 結合pixies 灰塵攻擊 得到pin碼

reaver-i mon0 -b [ap's MAC] -p PIN8位數 //通過wps pin 獲取密碼

reaver的其他功能

1、reaver -S //生成一個小的DH key 加快破解速度。

通常一個驗證請求會在0.5到3秒內完成,計算Diffie-Hellman共享密鑰會佔據大量的時間,生成一個很小的DH公鑰會使計算變的簡單。

注意:如果測試的是realtek 的ap 不要用 -S 選項加快破解速度

2、部分路由器會禁止暴力嘗試pin碼,自動鎖定5分鐘,強制關閉等等。

然而我在讀reaver原始碼時發現開發者專門為此做了優化,堪稱業界良心。

3、reaver -P //此選項reaver進入循環模式,打破wps的規則不用M4消息以此突破封鎖,用於結合pixie收集hash函數,以便日後分析比較,沒準還能發現更多的漏洞晶片。

(2)無線滲透神器 Aircrack-ng v1.2 RC2更新


Aircrack-ng是無與倫比的滲透工具套件——任何無線滲透測試或評估都必不可少。在這個最新Aircrack-ng中,除正常的bug修復和代碼改進外,其他值得注意的特點是:

1、airmon-ng現在能夠解密WPS。

2、airodump-ng也有了一些新的選項比如-wps 和 -uptime

3、airtun-ng 增加了wpa的 ccmp tkip 兩種加密和解密方法

4、新的接口命名約定,再見mon0,你好wlan0mon !

最近的幾個版本,aircrack-ng套件捆綁airmon-zc,它使用一種改進的方法,把無線網卡進入監聽模式,以及更詳細的輸出選項。隨著Aircrack-ng 1.2 RC2的發布,airmon-zc正式取代了原始Airmon-ng。

(3)然而在開始無線測試之前還需要解決重大的問題


KALI網卡的配置一直讓人頭疼

airmon激活網卡前最好先運行airmon-ng check kill,結束一些不必要的進程。


有的驅動文件中並沒有監聽模式,我曾經用的RTL8187網卡,安裝了附贈的驅動後在舊版kali中各種受折磨,不過幸好新版內置了這款網卡的驅動直接可以使用。

(附贈官方KALI網卡導購指南,請閱讀原文)

*本文作者:月盡西樓,參考百度盤資料,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載


相關焦點

  • Kali Linux中的十大WiFi攻擊工具介紹
    在這十大WiFi攻擊黑客工具中,我們將討論一個非常受歡迎的主題:無線網絡攻擊以及如何防止黑客入侵。無線網絡通常是網絡的一個弱點,因為WiFi信號可以隨處可見,任何人都可以使用。還有很多路由器包含漏洞,可以利用正確的設備和軟體(如Kali Linux附帶的工具)輕鬆利用漏洞。許多路由器製造商和ISP仍然默認在其路由器上啟用了WPS,這使得無線安全和滲透測試變得更加重要。
  • Kali Linux中前十名的Wifi攻擊工具
    無線網絡的攻與防一直是比較熱門的話題,由於無線信號可以被一定範圍內的任何人接收到(包括死黑闊),這樣就給WIFI帶來了安全隱患;路由器生產廠商和網絡服務供應商(ISPs)的配置大多是默認開啟了WPS,這種環境下,無線網絡往往是安全滲透測試裡邊的重要突破口。
  • kali linux工具包簡介整理(1)——信息收集
    最近了解網絡安全有點找不到方向,安全的知識體系過於廣泛,攻擊者只要有任何特長技術就可以發起網絡安全攻擊,但是防禦者卻要全面了解
  • 信息安全紅隊項目
    /javassist 能夠操作字節碼框架,通過它我們能很輕易的修改class代碼文件https://github.com/ConsenSys/mythril-classic 用於以太坊智能協議的安全分析工具https://github.com/a13xp0p0v/kconfig-hardened-check 用於檢查 Linux 內核配置中的安全加固選項的腳本
  • Kali Linux 高級滲透測試筆記
    output.txt xxx.comrecon-ng recon-ng框架是進行(主動和被動)偵察的開源框架 show load 加載模塊 set 設置選項 run 執行 info 提供有關模塊的工作原理 atk6-alive6 eth0 發現同一段中的實時地址
  • 網安攻防 | Win10安裝Kali子系統配置及安裝MSF等工具
    本文根據日常經驗,介紹了一種在win10系統簡便安裝Kali子系統與全部工具的方法。並關閉WindowsDefener安裝後Kali子系統是沒有任何應用的,需要自行安裝Kali子系統換源默認的Kali源無法連接,又無vim啟動Kali子系統:在cmd終端中輸入:kali
  • 如何破解攻擊WiFi
    2. 什麼是 Aircrack-ng2.1 介紹  Aircrack- NG是一個完整的工具來評估Wi-Fi網絡安全套件(ex.1)。它專注於WiFi安全的不同領域:監控:數據包捕獲和導出數據到文本文件,以供第三方工具進一步處理。 攻擊:通過數據包注入回放攻擊,去認證,偽造接入點等。 測試:檢查WiFi卡和驅動程序的能力(捕捉和注入)。
  • 【技術分享】最詳盡的DDOS攻擊方法與工具
    攻擊工具與方法    hping3  :root@kali:~# hping3 --flood --rand-source --udp -p TARGET_PORT TARGET_IPHPING xxx.xxx.xxx.xxx (eth0 xxx.xxx.xxx.xxx): udp mode set, 28 headers + 0 data bytes
  • win 10安裝配置Kali子系統
    Linux子系統    1.啟用Linux on Windows功能    2.下載Windows子系統(kali)    四、基礎配置    1.修改root用戶密碼    2.更換kali源(國內的源更快)    3.安裝kali工具    4.子系統kali安裝桌面環境    5.
  • 黑客如何破解WiFi(無線)網絡?教你攻擊和防範
    在本教程中,我們將向您介紹用於利用無線網絡安全實現中的弱點的常用技術。我們還將介紹一些可以採取的防範此類攻擊的對策。 本教程中涉及的主題 什麼是無線網絡?如何訪問無線網絡?無線網絡認證WEP和WPA如何破解無線網絡如何保護無線網絡黑客活動:破解無線密碼什麼是無線網絡?
  • kali實戰滲透環境配置指南
    remmina -y 0x18 檢查各種預裝的服務,啟動運行是否都正常,所有的服務默認都是不會自啟動的,也不建議讓它自啟動,永遠謹記,最少的服務,最大的安全1、# /etc/init.d/apache2 start 1、# /etc/init.d/mysql start2、# mysql -uroot -p   我們發現最新版的
  • 無線傳輸模塊的特性及選型指南
    (8)單次最多可發送接收32位元組,並可軟體設置發送/接收緩衝區大小2/4/8/16/32位元組。(9)170個頻道,可實現多點網絡通訊,結合TDMA-CDMA-FDMA原理,實現無線網絡通訊。(10)內置硬體8/16位CRC校驗,數據傳輸可靠穩定,降低系統開發難度(11)1.9-3.6V工作,低功耗,待機模式僅2.5uA。
  • 使用aircrack-ng破解無線AP
    一.什麼是aircrack-ng       aircrack-ng是一套測試WIFI安全的工具 。Aircrack-ng可以工作在任何支持監聽模式的無線網卡上(設備列表請參閱其官方網站)並嗅探802.11a,802.11b,802.11g的數據。該程序可運行在Linux和Windows上。
  • 黑客專欄|黑客滲透系統 kali Linux 下載與安裝(一)
    它的目標就是為了簡單:在一個實用的工具包裡儘可能多的包含滲透和審計工具。Kali 實現了這個目標。大多數做安全測試的開源工具都被囊括在內。KALI Linux是一個高級滲透測試和安全審計Linux發行版。作為使用者,我簡單的把它理解為,一個特殊的Linux發行版,集成了精心挑選的滲透測試和安全審計的工具,供滲透測試和安全設計人員使用。也可稱之為平臺或者框架。
  • KALI工具介紹專欄系列(1)
    1.T50多協議數據包注入工具*nix 系統的多協議數據包注入工具,實際支持 15 種協議特徵:1.泛洪攻擊;2.CIDR支持;3.TCP,UDP,ICMP,IGMPv2,IGMPv3,EGP,DCCP,RSVP,RIPv1,RIPv2,GRE,ESP,AH,EIGRP
  • 淺談 DDoS 攻擊與防禦
    然而黑客為了挑釁,研發了一款 Challenge Collapasar 工具簡稱 CC,表示要向 Collapasar 發起挑戰。CC 攻擊的原理就是藉助代理伺服器針對目標系統的消耗資源比較大的頁面不斷發起正常的請求,造成對方伺服器資源耗盡,一直到宕機崩潰。因此在發送 CC 攻擊前,我們需要尋找加載比較慢,消耗資源比較多的網頁。比如:需要查詢資料庫的頁面、讀寫硬碟的文件等。
  • 在 Kali Linux 中更改 GRUB2 背景的 5 種方式
    Found background image: /usr/share/images/desktop-base/desktop-grub.pngFound linux image: /boot/vmlinuz-4.0.0-kali1-amd64Found initrd image: /boot/initrd.img-4.0.0-kali1-amd64
  • 【技術乾貨】網絡安全工具大合集
    點擊上方藍字關注我,回複數字 1,送你《20個網絡&系統項目案例合集》(直接送,無任何轉發套路)導語:這裡有一份很棒的黑客工具列表可以提供給黑客,滲透測試人員,安全研究人員。它的目標是收集,分類,讓你容易找到想要的工具,創建一個工具集,你可以一鍵檢查和更新。
  • 黑客專用的作業系統kali之路由器攻擊
    這回小編要分享的知識是MDK3泛洪攻擊,利用mdk3攻擊工具對無線網絡中的路由器進行泛洪攻擊,斷開所有連接的客戶端,讓路由器當機,最終達到攻擊目的。小小提醒一下各位「珍愛生命!!!請勿攻擊親舍友的路由器!」別問小編怎麼知道的。回顧上期破解WiFi密碼的文章,有一些前期準備步驟與本次分享相同,在這裡小編就不一一詳解。
  • 英特爾2月無線驅動程序更新修復了Win10上的大問題
    與今年 1 月的驅動程序更新相比,其附帶了針對一系列 Windows 10 嚴重錯誤的修復,比如導致藍屏死機的問題。據悉,英特爾趕在 2 月最後一周發布了無線驅動程序更新,現可通過官方的支持與助手工具進行下載。