kali linux之无线渗透

无线技术变化大，难度大，既新鲜刺激，又压力山大。一半协议  一半理论

无线技术特点：

行业发展迅猛

互联网的重要入口

边界模糊

安全实施缺失而且困难

对技术不了解造成配置不当

企业网络私自接入ap破坏网络边界

IEEE

电气和电子工程师协会（IEEE，全称是Institute of Electrical and Electronics Engineers）是一个国际性的电子技术与信息科学工程师的协会，是目前全球最大的非营利性专业技术学会，其会员人数超过40万人，致力于电气、电子、计算机工程和与科学有关的领域的开发和研究，在太空、计算机、电信、生物医学、电力及消费性电子产品等领域已制定了900多个行业标准，现已发展成为具有较大影响力的国际学术组织。

IEEE分为不同的技术委员会，其中802委员会负责lan，man标准的制定

以太网

令牌环网

无线局域网

网桥

无线工作：

数据链路层---逻辑链路控制子层LLC--媒体访问控制子层MAC

物理层

日常使用

802.11：

发布于1997年，速率1Mbps或2Mbps，红外线传输介质（未实现）

无线射频编码（radio frequencies）

Direct-Sequence Spread-Spectrum (DSSS)----------直序扩频
   Frequency Hopping Spread-Spectrum (FHSS)------跳频扩频

媒体访问方式--------CSMA/CA  c=b+log2（1+s/n）

根据算法侦听一定时长

发送数据前发包声明

Request to Send/Clear to Send （RTS/CTS）

802.11b：

Complementary Code Keying (CCK)------补充代码键

5.5 and 11Mbit/s

2.4GHz band （2.4GHz---2.485 GHz）

14个重叠的信道 channels

每个信道22MHz带宽

只有三个完全不重复的信道

美国--1 to 11（2.412 GHz --- 2.462 GHz）

欧洲--1 to 13（2.412 GHz --- 2.472 GHz）

日本--1 to 14（2.412 GHz --- 2.484 GHz）

802.11B：

802.11A：

与802.11b几乎同时发布，因设备价格问题一直没有得到广泛使用

使用5GHz带宽

2.4GHz带宽干扰源多（微波，蓝牙，无线电话）

5GHz频率有更多带宽空间，可容纳更多不重叠的信道

OFDM信号调制方法--正交频分复用技术

更高速率54Mbps，每个信道20MHz带宽

变频------5.15-5.35GHz室内，5.7-5.8GHz室外

802.11G：

2.4G频率

OFDM信号调制方法

与802.11a速率相同

可全局降速，向后兼容802.11b，并切换为CCK信号调制方法

每个信道20/22MHz带宽

802.11N：

2.4或5Ghz频率

300Mbps 最高600Mbps

MIMO多进多出通信技术

多天线，多无线电波，独立收发信号

可以使用40MHz信道带宽是数据传输速率翻倍

全802.11n设备网络中，可以使用新报文格式，使速率达到最大

每个信道20/40MHz带宽

无线网络运作模式

无线网络架构：

Infrastructure

AP维护SSID

AD-Hoc

STA维护SSID

Service Set Identifier（SSID）

AP每秒钟约10次通过beacon幀广播SSID

客户端连接到无线网络后也会宣告SSID

MONITOR MODE

monitor不是一种真的无线模式

但是对无线渗透至关重要

允许无线网卡没有任何筛选的抓包（802.11包头）

与有线网络的混杂模式可以类比

适合的网卡和驱动不但可以monitor，更可以injection

选择无线网卡：

这是个痛苦和受挫的过程，无线网卡的芯片型号是成败的关键

发送功率-------远程连接

接受灵敏性----适当降低灵敏度，接收效果更佳

没有所谓的标准，但是Aircrack-ng suite作者给出的建议

Realtek 8187芯片

1000 mW发送功率

天线---RP-SMA 可扩展

定向天线：

八木天线------引向反射天线

扇形天线---常用与移动电话网络，3到4个扇形天线联合使用可实现全向信号覆盖

120度扇形天线波形

网装天线--射束带宽更加集中，功率更强

linux无线协议栈

802.11头部

DU（Data Unit）即数据单元，信息传输的最小数据集合

传递过程逐层封装

SDU（Service Data Unit）/PDU（Portocol Data Unit）

MSDU》MIC》分帧》添加IV》加密》添加MAC头部》MPDU

MPDU/PSDU+物理头=PPUD》RF发射

802.11MAC头部结构

802.11

Protocol Version（2bit）：802.11协议版本，始终为0.1.2.3

Type（2bit）：规定帧的具体用途（3种帧类型）

控制帧（1）

数据帧（2）

管理帧（0）

Sub Type（4bit）

每个类型对应多个子类型，协议规定不同类型/子类型的帧完成不同功能的操作

无线通信过程

Probe----------------------STA向所有信道发出probe帧，发现AP。AP应道Response

Authentication------------STA向AP发出验证请求，发生认证过程，AP响应STA的认证结果

Association----------------STA发出关联请求，AP响应关联请求，关联成功，开始通信

WEP探测过程

Beacon标识使用WEP加密，STA发送普通Probe帧，AP响应Probe Response帧声明采用WEP加密

两个AP的beacon包内容不同，但都声明采用了WPA加密（不同厂商对802.11标准的实现方式不同），包头包含WPA1字段信息

WEP open认证过程

正确认证后通信数据被WEP加密，如果认证时客户端输入错误密码（认证依然可以通过，AP将丢弃该STA的数据包，起始向量被错误的密钥解密后完整性被破坏，但数据传输将失败）。认证响应正确，身份验证成功。

WEP PSK认证过程

STA发认证请求

AP返回随机Challenge消息

STA使用PSK加密Cha并发回给AP

AP使用PSK解密密文，获得Cha并与原始Cha对比，相同则验证成功，不同则验证失败

大部分无线驱动首先尝试open验证，如失败则尝试PSK

WEP共享密钥认证过程

无论使用什么加密架构，关联过程完全相同（STA向AP发送关联请求，AP向STA发送关联成功或失败结果）

隐藏AP（STA关联包中必须包含目标AP的ESSID，嗅探到此关联包，说明有隐藏AP存在）

无线网卡配置

查看信道频率

扫描附近AP

无线渗透和审计神器：aircrack-ng

包含多种功能的工具套件----网络检测，嗅探抓包，包注入，密码破解

检测网卡

开启网卡

再次查看网卡

或者指定启动在哪个信道

airodump-ng

BSSID：AP的mac地址

PWR：网卡接收到的信号强度，距离越近信号越强（-1-----信号不够，超出了范围，或者驱动不支持）

RXQ：最近10秒成功接收的数据帧的百分比（数据帧，管理帧，只有在固定信道才会出现）

Beacons：接收到次AP发送的beacon帧数量

#Data：抓到的数据帧数量（WEP表示IV数量），包含广播数据帧

#/s：最近10秒内，每秒平均抓到的帧数量

CH：信道号（从beacon帧中获得），信道重叠时可能发现其他信道

MB：AP支持的最大速率

ENC：采用的无线安全技术，WEP，WPA，WPA2，OPEN

CIPHER：采用的加密套件，CCMP，TKIP，WEP40，WEP104

AUTH：身份认证方法，MGT，PSK，SKA，OPEN

ESSID：无线网络名称，隐藏AP此值可能为空

STAION：STA的mac地址

Lost：通过sequence number判断最近10秒STA发送丢失的数据包数量（管理帧，数据帧），干扰，距离，发包不能收，收包不能发

Frames：STA发送的数据包数量

Probes：STA探测的ESSID

抓取指定信道

抓取信道一的40:31:3C:E4:E3:15的数据包 -w保存到自定义文件里

aireplay-ng

产生或者加速无线通信流量，向无线网络中注入数据包，伪造身份验证，强制重新身份验证，抓包重放

用于后续WEP和WPA密码破解，支持10种包注入

获取包的两种途径--（-i：指定接口，-r 抓包文件pcap）

aireplay-ng <options> <replay interface>

参数

过滤选项：

-b bssid：MAC地址，接入点
       -d dmac：MAC地址，目标
       -s smac：MAC地址，来源
       -m len：最小数据包长度
       -n len：最大包长度
       -u type：帧控制，类型字段
       -v subt：帧控制，子类型字段
       -t tods：帧控制，到DS位
       -f fromds：帧控制，从DS位
       -w iswep：帧控制，WEP位
       -D：禁用AP检测

重放选项：
      -x nbpps：每秒数据包数
      -p fctrl：设置帧控制字（十六进制）
      -a bssid：设置接入点MAC地址
      -c dmac：设置目标MAC地址
      -h smac：设置源MAC地址
      -g value：更改环缓冲区大小（默认值：8）
      -F：选择第一个匹配的数据包

Fakeauth攻击选项：
      -e essid：设置目标AP SSID
      -o npckts：每个突发的数据包数（0 = auto，默认值：1）
      -q sec：保持活动之间的秒数
      -Q：发送重新关联请求
      -y prga：共享密钥身份验证的密钥流
      -T n：重试假身份验证请求n次后退出

Arp Replay攻击选项：
      -j：注入FromDS包

碎片攻击选项：
      -k IP：设置片段中的目标IP
      -l IP：设置片段中的源IP

测试攻击选项：
      -B：激活比特率测试

来源选择：
      -i iface：从此接口捕获数据包
      -r file：从此pcap文件中提取数据包

其他选择：
      -R：禁用/ dev / rtc用法
      --ignore-negative-one：如果无法确定接口的通道， 忽略未修补的cfg80211所需的不匹配
      --deauth-rc rc：取消认证原因代码[0-254]（默认值：7）

攻击模式（可使用数字）：
      --deauth count：deauthenticate 1或all station（-0）
      --fakeauth延迟：使用AP进行伪身份验证（-1）
      --interactive：交互式框架选择（-2）
      --arpreplay：标准ARP请求重播（-3）
      --chopchop：decrypt / chopchop WEP包（-4）
      --fragment：生成有效的密钥流（-5）
      --caffe-latte：查询客户端的新IV（-6）
      --cfrag：针对客户端的碎片（-7）
      --migmode：攻击WPA迁移模式（-8）
      --test：测试注射和质量（-9）

基本测试，测试无线网卡的注入质量--Injection is working!

MAC地址绑定攻击

管理员误认为mac地址绑定是一种安全机制，限制可以关联的客户端mac地址，其实这并不算是一种安全机制

开启网卡

查看是否是Monitor模式

查看在哪个信道

帧听11信道

指定侦听的目标

如果此时有其他的客户端连接这个AP，就可以把随便一个客户端的mac地址复制，把本机的mac修改为那个客户端，既可绕过mac地址绑定

ifconfig wlan0mon down（先关闭网卡）

macchanger -m  复制的mac wlan0

ifconfig wlan0mon up（再次启动网卡）

查看无线网卡的mac地址，然后直接链接上AP

WEP攻击 （没什么人用，不演示了）

WEP密码破解原理：IV并非完全随机，每224个包可能出现一次IV重用

收集大量的IV之后找出相同IV及其对应密文，分析得出共享密码

ARP回包中包含IV

IV足够多的情况下，任何复杂程度的WEP密码都可以被破解

WPA攻击

WPA PSK攻击

只有一种破解方法，WPA不存在WEP弱点，只能暴力破解

CPU资源，时间，字典质量--网上共享的密码，泄露密码，地区电话号码段，crunch生成的字典，kali自带的字典

破解过程：启动monitor》抓包并保存》Deauthentication攻击获取4步握手信息》使用字典暴力破解

启动monitor

侦听

抓取指定的目标

新开一个终端，攻击切断客户端与AP的连接

aireplay-ng -0 2 -a APmac -c 客户端连接mac wlan0mon

直到出现了 WPA handshake: 2C:43:1A:48:EA:70  出现这个，说明已经抓到包了

用aircrack-ng破解文件

aircrack-ng -w /usr/share/john/password.lst test-01.cap （-w 指定字典文件）

然而我字典根本不够强大

友情链接  http://www.cnblogs.com/klionsec

http://www.cnblogs.com/l0cm

http://www.cnblogs.com/Anonyaptxxx

http://www.feiyusafe.cn