Kali Linux 無線滲透測(cè)試入門指南繞過 WLAN 身份驗(yàn)證

1、翻譯 2016年10月21日 21:08:42 · 標(biāo)簽：· kali /· 安全 /· 滲透第三章 繞過 WLAN 身份驗(yàn)證作者：Vivek Ramachandran, Cameron Buchanan譯者：飛龍協(xié)議：CC BY-NC-SA 簡(jiǎn)介安全的錯(cuò)覺比不安全更加糟糕。 佚名安全的錯(cuò)覺比不安全更加糟糕，因?yàn)槟悴豢赡転槊鎸?duì)被黑的可能性做準(zhǔn)備。WLAN 的身份驗(yàn)證模式可能很弱，可以被破解和繞過。這一章中，我們會(huì)查看一些 WLAN 中所使用的基本的身份驗(yàn)證模式，以及學(xué)習(xí)如何破解它們。3.1 隱藏的 SSID在默認(rèn)的配置模式下，所有接入點(diǎn)都在信標(biāo)幀中發(fā)送它

2、們的 SSID。這讓附近的客戶端能夠輕易發(fā)現(xiàn)它們。隱藏 SSID 是個(gè)配置項(xiàng)，其中接入點(diǎn)并不在信標(biāo)幀中廣播它的 SSID。因此，只有知道接入點(diǎn) SSID 的客戶端可以連接它。不幸的是，這個(gè)方法不能提供可靠的安全，但是網(wǎng)絡(luò)管理員認(rèn)為它很安全。隱藏 SSID 不應(yīng)該被看作安全手段。我們現(xiàn)在來看看如何發(fā)現(xiàn)隱藏的 SSID。實(shí)踐時(shí)間 發(fā)現(xiàn)隱藏的 SSID執(zhí)行下列指南以開始：1. 使用 Wireshark，如果我們監(jiān)控Wireless Lab網(wǎng)絡(luò)中的信標(biāo)幀信標(biāo)幀，我們就能夠以純文本查看 SSID。你應(yīng)該能看到信標(biāo)真，像這樣：2. 配置你的接入點(diǎn)來隱藏Wireless Lab網(wǎng)絡(luò)的 SSID。這個(gè)配置項(xiàng)在

3、不同接入點(diǎn)中可能不同。這里，我需要檢查Visibility Status選項(xiàng)的Invisible選項(xiàng)，像這樣：3. 現(xiàn)在如果你查看 Wireshark 的記錄，你會(huì)發(fā)現(xiàn)Wireless Lab的 SSID從信標(biāo)幀中消失了。這是隱藏 SSID 所做的事情：4. 為了繞過信標(biāo)幀，我們首先使用被動(dòng)技巧來等待正?？蛻舳诉B接到接入點(diǎn)。這會(huì)生成探測(cè)請(qǐng)求和響應(yīng)，它包含網(wǎng)絡(luò)的 SSID，從而揭示它的存在。5. 作為替代，你可以使用aireplay-ng來發(fā)送接觸驗(yàn)證封包給所有代表Wireless Lab接入點(diǎn)的路由器，通過輸入：aireplay-ng -0 5 -a <mac> -ignore-n

4、egative mon0，其中<mac>是路由器的 MAC 地址。-0選項(xiàng)用于選則接觸驗(yàn)證攻擊，5是要發(fā)送的封包數(shù)量。最后，-a指定了所定位的接入點(diǎn)的 MAC 地址。6. 接觸驗(yàn)證的過程會(huì)強(qiáng)迫所有正?？蛻舳藬嚅_連接并重連。為接觸驗(yàn)證的封包添加個(gè)過濾來單獨(dú)查看它們是個(gè)好主意。7. 來自接入點(diǎn)的探測(cè)響應(yīng)最后會(huì)發(fā)現(xiàn) SSID。這些封包會(huì)出現(xiàn)在 Wireshark 中。一旦正常客戶端連接回來了，我們就可以通過探針的請(qǐng)求和響應(yīng)幀來查看隱藏的 SSID?？梢允褂眠^濾器(wlan.bssid = 00:21:91:d2:8e:25) && !(wlan.fc.type_subty

5、pe = 0x08)來監(jiān)控所有發(fā)往或來自接入點(diǎn)的非信標(biāo)封包。&&符號(hào)代表邏輯 AND 操作符，!符號(hào)代表邏輯 NOT 操作符：剛剛發(fā)生了什么？即使 SSID 隱藏而且不廣播，當(dāng)正常的客戶端嘗試連接到接入點(diǎn)時(shí)，它們就交換了探測(cè)請(qǐng)求和響應(yīng)的封包。這些封包包含接入點(diǎn)的 SSID。由于這些封包沒有加密，它們可以被非常輕易地嗅探來發(fā)現(xiàn)SSID 。我們?cè)谥蟮恼鹿?jié)中會(huì)出于其它目的，例如跟蹤，涉及到探測(cè)請(qǐng)求。許多情況下，所有客戶端可能已經(jīng)鏈接到接入點(diǎn)，并且在 Wireshark 記錄中沒有探測(cè)請(qǐng)求或響應(yīng)的封包。這里，我們可以強(qiáng)制客戶端斷開接入點(diǎn)的鏈接，通過發(fā)送偽造的解除驗(yàn)證封包。這些封包會(huì)強(qiáng)

6、迫客戶端重新連接到接入點(diǎn)上，從而獲取 SSID。試一試 選擇解除驗(yàn)證在之前的練習(xí)中，我們廣播了解除驗(yàn)證封包來強(qiáng)制所有無線客戶端重新連接。嘗試驗(yàn)證如何使用aireplay-ng工具，選擇性對(duì)某個(gè)客戶端執(zhí)行它。要注意，即使我們使用 Wireshark 演示了許多概念，但也可以使用其它工具來完成攻擊，例如aircrack-ng套件。我們推薦你探索整個(gè) aircrack-NG 套件以及其它位于官網(wǎng)的文檔：。3.2 MAC 過濾器MAC 過濾器是個(gè)古老的技巧，用于驗(yàn)證和授權(quán)，它們根植于有線世界。不幸的是，它們?cè)跓o線世界中變得十分糟糕。最基本的想法就是基于客戶端的 MAC 地址進(jìn)行驗(yàn)證。MAC 過濾器是為

7、網(wǎng)絡(luò)接口分配的一段識(shí)別代碼，路由器能夠檢查這個(gè)代碼并將其與允許的 MAC 列表進(jìn)行比較。允許的 MAC 地址列表由網(wǎng)絡(luò)管理員維護(hù)，儲(chǔ)存于接入點(diǎn)中。我們現(xiàn)在要看看繞過 MAC 過濾器有多容易。實(shí)踐時(shí)間 繞過 MAC 過濾器讓我們遵循以下指南來開始：1. 讓我們首先配置我們的接入點(diǎn)來使用 MAC 過濾，之后添加受害者筆記本的客戶端 MAC 地址。我的路由器上的設(shè)置頁面是這樣：2. 一旦開啟了 MAC 過濾，只有允許的 MAC 地址能夠成功被接入點(diǎn)驗(yàn)證。如果我們嘗試從不在 MAC 地址白名單中的機(jī)器連接接入點(diǎn)，就會(huì)失敗。3. 在這個(gè)場(chǎng)景背后，接入點(diǎn)發(fā)送驗(yàn)證失敗的消息給客戶端。封包記錄像這樣：4. 為

8、了繞過 MAC 過濾器，我們可以使用airodump-ng來尋找連接到接入點(diǎn)的客戶端 MAC 地址。我們可以通過輸入airodumpng -c 11 -a -bssid <mac> mon0命令。通過指定bssid命令，我們只監(jiān)控接入點(diǎn)，這是我們所感興趣的。-c 11命令將頻道設(shè)置為接入點(diǎn)所在的11。-a命令確保在airodump-NG輸出的客戶端部分中，只展示相關(guān)客戶端，以及到接入點(diǎn)的連接。這會(huì)向我們展示所有和接入點(diǎn)相關(guān)的客戶端 MAC 地址。5. 一旦我們找到了白名單中的客戶端 MAC 地址，我們可以使用macchanger工具來修改客戶端的 MAC 地址，Kali自帶這個(gè)工具

9、。你可以使用macchanger m <mac> wlan0命令來完成。你使用-m命令指定的 MAC 地址就是wlan0接口的新 MAC 地址。6. 你可以看到，將 MAC 地址修改為白名單客戶端之后，我們現(xiàn)在能夠連接接入點(diǎn)了。剛剛發(fā)生了什么？我們使用airodump-ng監(jiān)控了空氣，找到了連接到無線網(wǎng)絡(luò)的正常用戶的 MAC 地址。之后我們可以使用macchanger工具來修改無線網(wǎng)卡的 MAC 地址，與客戶端保持一致。這會(huì)欺騙接入點(diǎn)，使其相信我們是正常耳朵客戶端，它會(huì)允許我們?cè)L問它的無線網(wǎng)絡(luò)。我們鼓勵(lì)你探索airodump-NG工具的不同選項(xiàng)，通過訪問官網(wǎng)的文檔：。3.3 開放驗(yàn)

10、證術(shù)語“開放驗(yàn)證”是個(gè)誤解，因?yàn)樗鼘?shí)際上不提供任何驗(yàn)證。當(dāng)接入點(diǎn)配置為使用開放驗(yàn)證的時(shí)候，所有連接它的客戶端都可以成功驗(yàn)證。我們現(xiàn)在使用開放驗(yàn)證來獲得驗(yàn)證并連接到接入點(diǎn)。實(shí)踐時(shí)間 繞過開放驗(yàn)證讓我們現(xiàn)在看看如何繞過開放驗(yàn)證。1. 我們首先將我們的接入點(diǎn)Wireless Lab設(shè)置為開放驗(yàn)證。在我的接入點(diǎn)中，這可以通過將Security Mode設(shè)為Disable Security來輕易完成。2. 我們之后使用iwconfig wlan0 essid Wireless Lab命令來連接到這個(gè)接入點(diǎn)，之后驗(yàn)證我們到接入點(diǎn)的連接是否成功。3. 要注意我們沒有提供任何用戶名/密碼來通過開放驗(yàn)證。剛剛發(fā)

11、生了什么？這可能是目前為止最簡(jiǎn)單的練習(xí)了。你可以看到，在連接到開放驗(yàn)證網(wǎng)絡(luò)和連接到接入點(diǎn)時(shí)沒有任何障礙。3.4 共享密鑰驗(yàn)證共享密鑰驗(yàn)證使用例如 WEP 的共享密鑰來驗(yàn)證客戶端。信息的交換展示在這張圖中：無線客戶端發(fā)送驗(yàn)證請(qǐng)求給接入點(diǎn)，它會(huì)回復(fù)一個(gè) challenge?，F(xiàn)在客戶端需要使用共享密鑰加密這個(gè) challenge，并發(fā)送ui接入點(diǎn)，接入點(diǎn)解密它來檢查是否它可以恢復(fù)原始的 challenge 文本。如果成功了，客戶端就驗(yàn)證成功，如果沒有，它會(huì)發(fā)送驗(yàn)證失敗的信息。這里的安全問題是，攻擊者可以被動(dòng)監(jiān)聽整個(gè)通信，通過嗅探空氣來訪問 challenge 的純文本和加密文本。他可以使用 XOR

12、操作來獲取密鑰流。密鑰流可以用于加密任何由接入點(diǎn)發(fā)送的未來的 challenge，而不需要知道真實(shí)的密鑰。這種共享驗(yàn)證的常見形式就是 WEP，或者無線等效協(xié)議。它易于破解，并且由數(shù)不清的工具用于使破解 WEP 網(wǎng)絡(luò)變得容易。這個(gè)練習(xí)中，我們會(huì)了解如何嗅探空氣來獲取 challenge 或者加密后的 challenge，獲取密鑰流，使用它來驗(yàn)證接入點(diǎn)，而不需要共享密鑰。實(shí)踐時(shí)間 繞過共享驗(yàn)證繞過共享驗(yàn)證比上一個(gè)練習(xí)更加困難，所以仔細(xì)遵循下列步驟：1. 讓我們首先為我們的Wireless Lab網(wǎng)絡(luò)建立共享驗(yàn)證。通過將安全模式設(shè)置為 WEP ，將驗(yàn)證設(shè)置為Shared Key，我們已經(jīng)在我的接入點(diǎn)

13、上完成了設(shè)置。2. 讓我們現(xiàn)在將正常的客戶端連接到該網(wǎng)絡(luò)，使用我們?cè)诘谝徊皆O(shè)置的共享密鑰。3. 為了繞過共享密鑰驗(yàn)證，我們首先需要嗅探接入點(diǎn)和客戶端之間的封包。但是，我們也需要記錄整個(gè)共享密鑰的交換。為了完成它，我們使用airodump-ng工具的airodump-ng mon0 -c 11 -bssid <mac> -w keystream命令。-w選項(xiàng)在這里是新增的，讓 Airodump-NG 在keystream為前綴的文件中儲(chǔ)存信息。順便，在不同文件中儲(chǔ)存不同的封包捕獲的會(huì)話是個(gè)好主意。這允許你在很長(zhǎng)時(shí)間之后分析它們。4. 我們可以等待正?？蛻舳诉B接到接入點(diǎn)，或者使用之前用

14、過的解除驗(yàn)證的技術(shù)強(qiáng)迫重新連接。一旦客戶端連接并且工項(xiàng)密鑰驗(yàn)證獲得成功，airodump-ng就會(huì)通過嗅探空氣自動(dòng)捕獲這個(gè)改變。當(dāng)AUTH列出現(xiàn)了WEP，就說明捕獲成功。5. 捕獲到的密鑰流儲(chǔ)存在當(dāng)前目錄keystream為前綴的文件中。我這里的文件名稱是。6. 為了偽造共享密鑰驗(yàn)證，我們使用aireplay-ng工具。我們執(zhí)行aireplay-ng -1 0 -e "Wireless Lab" -y keystream01-00-21-91-D2-8E-25.xor -a <mac> -h AA:AA:AA:AA:AA:AA mon0命令。這個(gè)aireplay

15、-ng的命令使用我們之前獲得的密鑰流，并嘗試驗(yàn)證 SSID 為 Wireless Lab，MAC 地址為address 00:21:91:D2:8E:25的接入點(diǎn)。啟動(dòng) WIreshark，并通過wlan.addr = AA:AA:AA:AA:AA:AA過濾器嗅探所有感興趣的封包。我們可以使用 Wireshark 來驗(yàn)證它。你應(yīng)該能在 Wireshark 的界面上看到記錄，像這樣：7. 第一個(gè)封包是驗(yàn)證請(qǐng)求，由aireplay-ng工具發(fā)給接入點(diǎn)：8. 第二個(gè)封包由接入點(diǎn)發(fā)給客戶端的 challenge 文本組成，像這樣：9. 第三個(gè)封包中，這個(gè)工具向接入點(diǎn)發(fā)送了加密的 challenge。1

16、0. 由于aireplay-ng工具將導(dǎo)出的密鑰流用于江米，驗(yàn)證會(huì)成功，接入點(diǎn)會(huì)在第四個(gè)封包中發(fā)送成功消息。11. 在驗(yàn)證成功過之后，這個(gè)工具偽造了接入點(diǎn)的關(guān)聯(lián)，像這樣：12. 如果你在你的接入點(diǎn)管理界面中的無線日志中查看，你會(huì)看到 MAC 地址為AA:AA:AA:AA:AA:AA的客戶端建立了連接。剛剛發(fā)生了什么？我們成功從共享驗(yàn)證交換中導(dǎo)出了密鑰流，并且使用它來偽造接入點(diǎn)的驗(yàn)證。試一試 填滿接入點(diǎn)的表格接入點(diǎn)擁有最大客戶端數(shù)量，超過之后它們就會(huì)拒絕連接。通過為aireplay-ng編寫一個(gè)小型的包裝器，我們就可以自動(dòng)發(fā)送數(shù)百個(gè)連接請(qǐng)求，從隨機(jī)的 MAC 地址發(fā)往接入點(diǎn)。這會(huì)填滿路由器的內(nèi)部表格，一旦達(dá)到了最大客戶端數(shù)量，接入點(diǎn)會(huì)停止接受新的連接。這通常叫做拒絕服務(wù)（DoS）工具，可以強(qiáng)制路由器重啟或使其失去功能。這也可以導(dǎo)致所有無線客戶端失去連接以及不能使用授權(quán)后的網(wǎng)絡(luò)。小測(cè)驗(yàn) WLAN 驗(yàn)證Q1 如何強(qiáng)迫無線客戶端重新連接到接入點(diǎn)？1. 發(fā)送解除驗(yàn)證的封包2. 重啟客戶端3. 重啟接入點(diǎn)4. 以上全部Q2 開放驗(yàn)證是干什么的？1. 提供了適當(dāng)?shù)陌踩?. 不提供任何阿暖3. 需要使用加密4. 以上都不是Q3 如何破解共享密鑰驗(yàn)證？1. 從封包中導(dǎo)出密鑰流2. 導(dǎo)出加密密鑰3. 向接入點(diǎn)發(fā)送解除驗(yàn)證的封包4. 重啟接