科普無(wú)線安全和內(nèi)網(wǎng)滲透

前一陣子很火的Evi1m0牛寫(xiě)的那篇《蹭網(wǎng)之后，能做些什么？》，不知各位童鞋看過(guò)沒(méi)？還有鬧得沸沸揚(yáng)揚(yáng)的路由器安全漏洞可能大家也都耳聞了，你 覺(jué)得你家路由器還安全嗎：）路由器安全真是越來(lái)越火了，有句話說(shuō)的落后就要挨打啊，那么今天我就給各位童鞋科普下無(wú)線網(wǎng)絡(luò)安全的知識(shí)，你以為加個(gè)密就萬(wàn)無(wú) 一失了嗎，突破這第一道防線輕松帶微笑有木有，WiFi在手，天下我有~

1.神兵利器

俗話說(shuō)的好，巧婦難為無(wú)米之炊，這是需要硬件支持的，你需要買(mǎi)一張USB無(wú)線網(wǎng)卡。當(dāng)然網(wǎng)卡也不是隨便都行的，特定的芯片對(duì)破解算法支持比較好，列 舉幾個(gè)流行的芯片給你們參考下，有AR9271，8187L，RT3070這幾種。從我實(shí)踐經(jīng)驗(yàn)來(lái)看，8187和3070信號(hào)虛標(biāo)比較嚴(yán)重，9271的信 號(hào)比較真實(shí)一點(diǎn)。說(shuō)完了硬件就輪到軟件了，你可以選擇大名鼎鼎的kali滲透測(cè)試系統(tǒng)，感覺(jué)有點(diǎn)大材小用，其實(shí)用網(wǎng)上非常流行的定制版的cdlinux就 行了，才100多M里面已經(jīng)幫你集成了眾多WiFi破解工具了，如果用kali的話還要手動(dòng)安裝deb包。不推薦用Ubuntu之類(lèi)的”裸機(jī)”，如果你不 嫌麻煩把一個(gè)個(gè)依賴(lài)包都裝好也無(wú)所謂。常用的工具有minidwep-gtk，feedingbottle，inflator，reaver這幾個(gè)。在 kali下，除了集成的reaver之外其他都要手動(dòng)安裝，用命令dpkg –i xx.deb就行了。cdlinux下已經(jīng)集成了我說(shuō)的那幾個(gè)工具。這幾個(gè)工具依賴(lài)的基礎(chǔ)都是aircrack-ng，其中minidwep-gtk和 feedingbootle是aircrack-ng的GUI版本，inflator是reaver的GUI版本。

2.秒殺WEP加密

米都準(zhǔn)備好了，準(zhǔn)備下鍋了，把無(wú)線網(wǎng)卡連接到虛擬機(jī)里面，開(kāi)始干活吧。先ifconfig下，確定認(rèn)到無(wú)線網(wǎng)卡wlanx就行了~

既然是科普，那就先從最古老的WEP加密說(shuō)起吧，這種加密方式現(xiàn)在很少見(jiàn)了，如果你發(fā)現(xiàn)周?chē)杏脀ep加密的信號(hào)，那就爽歪歪了，拿不下會(huì)被鄙視 的。wep加密方式存在天生的算法缺陷，只要捕捉到足夠多的數(shù)據(jù)包，就能還原出WiFi明文密碼。這其中的算法安全問(wèn)題感興趣的東西不妨谷歌下。wep的 用minidwep-gtk就能輕松搞定，這里我就用minidwep來(lái)說(shuō)明，因?yàn)椴僮骱?jiǎn)單，自動(dòng)化，feedingbottle類(lèi)似，但是略麻煩適合愛(ài) 折騰的同學(xué)。打開(kāi)minidwep先掃描下信號(hào)，scan，加密方式encryption選擇wep，果斷點(diǎn)運(yùn)行l(wèi)anch，喝口水等密碼出來(lái)吧~

看到key了吧，那就是你想要的密碼。不管密碼多復(fù)雜，破解只是時(shí)間問(wèn)題，只需要稍作等待。feedingbottle和minidwep類(lèi)似了，只是更加手工話一點(diǎn)，你需要詳細(xì)了解aircrack-ng套件的工作原理，才能靈活駕馭。

也就是說(shuō)wep加密是屬于秒殺級(jí)別的，不過(guò)你還是需要面對(duì)滿地wpa的殘酷現(xiàn)實(shí)。說(shuō)難其實(shí)也不難，問(wèn)題在于大家喜歡給WiFi設(shè)置弱口令，可以像Evi1m0那樣通過(guò)字典把密碼給搞定了。好好想想自己的WiFi用的什么密碼了：）

3.WPA加密對(duì)策

WPA密碼破解可以利用兩種方式：

抓WPA握手包然后跑字典? 字典的好壞直接決定成功率

reaver窮舉pin碼?????? 這種方式需要時(shí)間，但是如果可行，密碼是百分百可以破解的

3.1抓包破解攻擊

先說(shuō)第一種吧，抓握手包跑字典，這主要看你的字典給不給力了，拼人品的時(shí)間到了，和破解wep操作一樣的，選中信號(hào)點(diǎn)lanch開(kāi)始抓包，抓包的時(shí) 候路由器是一定要有用戶使用，目的是攻擊導(dǎo)致對(duì)方掉線，在自動(dòng)重連的過(guò)程中抓取WPA認(rèn)證的四次握手包。如果一直沒(méi)找到在線的客戶端，就抓不到包的，只能 等有人用的時(shí)候再試了。

彈出下面這個(gè)提示，說(shuō)明抓包成功了，把包拷出來(lái)用EWSA驗(yàn)證下是不是完整的握手包，要包含完整的四次握手信息才能用來(lái)破解。

只有提示是有效的數(shù)據(jù)包才能進(jìn)行字典破解，像下面這樣的數(shù)據(jù)包就是可以利用的。

接下來(lái)請(qǐng)出hash神器，hashcat。可能有些人會(huì)奇怪我為什么不用ewsa直接跑字典，因?yàn)閔ashcat的效率比ewsa高很多，而且功能 也強(qiáng)大很多，字典跑不出密碼還可以用靈活多變的暴力規(guī)則方式繼續(xù)搞。新手推薦用hashcat-GUI吧，帶界面操作簡(jiǎn)單很多。wpa加密方式本身不像 wep加密那樣有漏洞，錯(cuò)就錯(cuò)在大家都喜歡用弱密碼，看我下面列舉的這幾個(gè)，歡迎對(duì)號(hào)入座~

8位純數(shù)字

本地固話

本地手機(jī)號(hào)碼

弱密碼（1234567890等等）

躺槍了沒(méi)？這些都是分分鐘秒殺的節(jié)奏，特別是本地手機(jī)號(hào)碼是絕大部分人最喜歡用的密碼，我破解的16個(gè)WiFi密碼中，有13個(gè)是用手機(jī)號(hào)或者固話 的。其實(shí)hashcat也是minidwep調(diào)用的跑wpa密碼的軟件，但是在虛擬機(jī)里面，效率就可想而知了。在宿主機(jī)外面你可以用顯卡跑 hashcat，效率是成倍的提高。hashcat的用法就不贅述了，百度一下就有了~

3.2窮舉pin碼攻擊

接下來(lái)重點(diǎn)來(lái)說(shuō)說(shuō)第二種破解wpa加密的方式，用reaver跑pin碼。大部分無(wú)線路由器都有個(gè)WPS快速連接的功能，只要連接的時(shí)候輸入路由器 正確的pin管理碼，就可以自動(dòng)的根據(jù)算法協(xié)商密鑰連上WiFi。這個(gè)pin碼是8位純數(shù)字，前4位和后4位是分開(kāi)驗(yàn)證的，第8位是檢驗(yàn)碼（根據(jù)前7位按 照一定的算法可以推出第8位）。也就是說(shuō)如果要窮舉這個(gè)pin碼，只需要10^4+10^3=11000次，reaver就是干這個(gè)差事的工具。只要路由 器開(kāi)啟了WPS功能，并且沒(méi)有鎖死WPS的機(jī)制，是百分百可以嘗試出正確的pin碼，得到pin碼后就能獲取到wpa密碼了。而且大部分情況下，路由器出 廠開(kāi)放WPS功能哦：）。不過(guò)要說(shuō)明的是有些路由器，試錯(cuò)pin碼多次會(huì)鎖死，這種情況下只能用第一種抓包跑密碼了。

下面來(lái)說(shuō)下reaver的使用方法。

先開(kāi)啟網(wǎng)卡的混雜模式，用命令airmon-ng start wlan1，提示monitor mode enabled on mon0就代表成功了。然后用命令wash –i mon0 –C來(lái)搜索支持WPS的ap。圖中的BSSID為ap的mac，channel是信道，RSSI是信號(hào)值，數(shù)字部分越小代表信號(hào)越強(qiáng)，WPS Locked就是剛才說(shuō)的WPS鎖死機(jī)制，ESSID是信號(hào)名稱(chēng)。選個(gè)信號(hào)強(qiáng)一點(diǎn)的沒(méi)有WPS 鎖死機(jī)制的ap就可以用reaver開(kāi)始破解了，信號(hào)差的效率低，容易丟包，時(shí)不時(shí)會(huì)報(bào)錯(cuò)，要注意參數(shù)調(diào)節(jié)。

列舉reaver的幾個(gè)常用參數(shù)

Default

舉個(gè)例子

reaver –i mon0 -b 00:11:22:33:44:55 -a -S -d 3 -t 3 -vv -c 6

特別重要的一點(diǎn)：要根據(jù)reaver反饋的信息來(lái)調(diào)整-d和-t參數(shù)，如果pin的速度太快，會(huì)pin死掉，無(wú)限報(bào)錯(cuò)，也就是跑死了，除非重啟路由器才行。特別是信號(hào)差的更要注意這一點(diǎn)。

接著抖一些干貨：

磊科和Dlink的某些路由器不能加-S參數(shù)來(lái)優(yōu)化，否則不會(huì)出正確的pin碼。如果有信號(hào)跑到99.99%還是沒(méi)出密碼，就可以考慮去掉-S參數(shù)。或者要跑reaver之前用wireshark分析下包，判斷路由器的品牌。

信號(hào)不好的時(shí)候，可能會(huì)出現(xiàn)正確的pin碼驗(yàn)證不成功即漏碼，強(qiáng)制指定-n參數(shù)即可。

如果實(shí)在沒(méi)把握對(duì)節(jié)奏pin死了，可以嘗試用mdk3來(lái)攻擊對(duì)方路由器，迫使路由器主人重啟路由器。

無(wú)線路由器前6位MAC地址是C83A35，00B00C(騰達(dá))或081075，081076 (磊科部分可以)的，可以根據(jù)MAC后六位算出正確的pin碼， 用自帶的科學(xué)計(jì)算器就能準(zhǔn)確算出來(lái)。

把計(jì)算器調(diào)為程序員型，選十六進(jìn)制，比如08:10:76:0F:B3:5C這個(gè)MAC地址，取后六位，輸入完后選十進(jìn)制就算出pin碼前7位了。然后用-p參數(shù)指定7位pin碼就可以出密碼了，第8位程序會(huì)自動(dòng)補(bǔ)全。

總結(jié)一下，如果是WEP加密，用minidwep掛著一定可以出密碼，如果是wpa可以先抓握手包包，然后用hashcat跑字典，同時(shí)可以用 reaver跑pin碼，如果hashcat搞定了就關(guān)掉reaver吧，不然你就老老實(shí)實(shí)等吧，reaver平均速度要半天搞不好要過(guò)夜，所以 reaver還是適合定點(diǎn)投放啊= =#這里就不重復(fù)說(shuō)inflator的用法了，reaver的界面版，操作更簡(jiǎn)單了，如果你掌握了命令行的reaver，inflator用起來(lái)是毫無(wú)壓 力的。

4.旁門(mén)左道

另外補(bǔ)充一個(gè)投機(jī)取巧的辦法，用WiFi萬(wàn)能鑰匙獲取WiFi密碼，前提是已經(jīng)root的安卓手機(jī)。WiFi萬(wàn)能鑰匙相信大家不陌生吧，WiFi萬(wàn) 能鑰匙從服務(wù)器獲取到別人分享的密碼來(lái)連接WiFi，斷開(kāi)后就把密碼清除了。重點(diǎn)來(lái)了，WiFi在連接的過(guò)程中密碼是保存在本機(jī)的/data/misc /wifi/wpa_supplicant.conf上的，我們可以強(qiáng)行終止WiFi萬(wàn)能鑰匙進(jìn)程，那密碼就永久保存下來(lái)了，這時(shí)候用帶文件管理器比如 re或者es瀏覽器，打開(kāi)/data/misc/wifi/wpa_supplicant.conf就能看到密碼了。

或者裝個(gè)app吧，搜下WiFi連接管理器，長(zhǎng)按顯示密碼就行了，都需要root權(quán)限的。

到這里就講的差不多了，如果小伙伴們有想到別的辦法歡迎補(bǔ)充。如果你掌握以上的方法，百分之80以上的WiFi加密都是可以輕松突破的，I promise，要不要我給你看下我的WiFi密碼本??；）

5.防范對(duì)策

突破這第一道防線之后，你就和對(duì)方處于同一局域網(wǎng)了，這時(shí)候能干點(diǎn)啥呢，arp欺騙啊，掛馬啊，metasploit你懂得，簡(jiǎn)直沒(méi)有隱私可言了，咳咳，小心艷照門(mén)中招了

科普完了還要說(shuō)下防破解的對(duì)策，畢竟有個(gè)不速之客在你的局域網(wǎng)里是很危險(xiǎn)的事情，看看E說(shuō)的女神的下場(chǎng)你就知道了。選擇wpa加密不會(huì)錯(cuò)，密碼要夠 健壯，弱密碼見(jiàn)光死啊，嗯，像wujt@396900*&這樣略給力的密碼就行~但是千萬(wàn)不要忘記在設(shè)置里面把路由器WPS功能關(guān)閉 掉，tplink 水星之類(lèi)的路由器設(shè)置里面是叫QSS功能~最后記得不要隨便分享你的WiFi密碼~！能做到以上這幾點(diǎn)，理論上你的WiFi是牢不可破的，除非他動(dòng)用了超級(jí)計(jì)算機(jī)來(lái)跑你的密碼。