第五章 攻擊 Web 設(shè)施

作者：Vivek Ramachandran, Cameron Buchanan

譯者：飛龍

協(xié)議：CC BY-NC-SA 4.0

簡介

故上兵伐謀

-- 孫子洽故，《孫子兵法》

這一章中，我們會攻擊 WLAN 設(shè)施的核心盗誊。我們作為攻擊者时甚，會專注于如何使用不同的新型攻擊向量和誘使授權(quán)客戶端連接我們隘弊，來滲透授權(quán)網(wǎng)絡(luò)。

5.1 接入點(diǎn)的默認(rèn)賬戶和身份

WLAN 接入點(diǎn)是設(shè)施的核心部分荒适。即使它們起到重要作用梨熙，它們有時(shí)候在安全上會被忽視。這個練習(xí)中刀诬，我們會檢查是否修改了接入點(diǎn)的默認(rèn)密碼咽扇。之后，我們會驗(yàn)證陕壹，即使密碼修改了质欲，它們是否易于使用基于字典的攻擊猜測和破解。

要注意糠馆，因?yàn)槲覀儊淼搅烁呒壍恼鹿?jié)嘶伟，我們就假設(shè)你已經(jīng)瀏覽了前面的章節(jié)，現(xiàn)在熟悉了所有這里所討論的工具的使用又碌。這允許我們構(gòu)建在這些知識智商九昧，并嘗試更加復(fù)雜的攻擊。

實(shí)戰(zhàn)時(shí)間 -- 破解接入點(diǎn)的默認(rèn)賬戶

遵循以下指南來開始：

1. 讓我們首先連接到Wireless Lab接入點(diǎn)赠橙，并嘗試訪問 HTTP 管理界面耽装。我們會看到接入點(diǎn)模型是TP-Link WR841N，像這樣：

2. 從廠商的網(wǎng)站中期揪，我們找到了管理員的默認(rèn)賬戶是admin掉奄。我們在登錄頁面上嘗試它，并且我們成功登錄凤薛。這展示了攻破使用默認(rèn)身份的賬戶有多容易姓建。我們強(qiáng)烈推薦你獲得路由器的在線用戶手冊。這會允許你理解在滲透測試過程中應(yīng)該怎么做缤苫，以及向你提供其它配置缺陷的洞察速兔。

剛剛發(fā)生了什么？

我們驗(yàn)證了這個接入點(diǎn)上的默認(rèn)密碼沒有改動活玲，這會讓整個網(wǎng)絡(luò)淪陷涣狗。同樣，即使默認(rèn)身份被改動舒憾，結(jié)果也可能是一些易于猜測或執(zhí)行字典工具的東西镀钓。

試一試 -- 使用爆破來破解賬戶

在上一個練習(xí)中，將密碼修改為一些難以猜測或在字典中找到的東西镀迂，并看看你是否能夠使用爆破的手段攻破它丁溅。限制密碼的長度和字符，以便你可能會成功探遵。用于破解 HTTP 驗(yàn)證的工具之一叫做 Hydra窟赏，Kali 中自帶妓柜。

5.2 拒絕服務(wù)攻擊

WLAN 易于受到使用多種技巧的拒絕服務(wù)攻擊，包括但不僅限于：

• 解除驗(yàn)證攻擊

• 接觸掛鏈攻擊

• CTS-RTS 攻擊

• 信號或頻譜干擾攻擊

在這本書中涯穷，我們會使用下列實(shí)驗(yàn)來討論無線設(shè)施上的杰出驗(yàn)證攻擊棍掐。

實(shí)戰(zhàn)時(shí)間 -- 解除驗(yàn)證 DoS 攻擊

遵循以下指南來開始：

1. 將Wireless Lab網(wǎng)絡(luò)配置為使用開放驗(yàn)證，沒有任何加密求豫。這會允許我們更易于使用 Wireshark 查看封包塌衰。

2. 讓我們將 Windows 客戶端連接到接入點(diǎn)。我們會在airodump-ng的界面中看到連接：

3. 現(xiàn)在蝠嘉，在攻擊者的主機(jī)上，讓我們對其執(zhí)行直接的解除驗(yàn)證攻擊杯巨。

4. 要注意蚤告，客戶端現(xiàn)在完全斷開了接入點(diǎn)的連接。我們可以在airodump-ng界面上驗(yàn)證它服爷。

5. 如果我們使用 Wireshark 來查看流量杜恰，你會注意到，我們剛才發(fā)送了大量解除驗(yàn)證的封包仍源。

6. 我們可以代表接入點(diǎn)向整個網(wǎng)絡(luò)發(fā)送廣播解除驗(yàn)證封包心褐，來執(zhí)行相同攻擊。這會斷開所有客戶端的連接：

剛剛發(fā)生了什么笼踩？

我們成功發(fā)送了解除驗(yàn)證封包給接入點(diǎn)和客戶端逗爹。這會導(dǎo)致它們之間的連接斷開和通信丟失。

我們也可以發(fā)送廣播解除驗(yàn)證封包嚎于，這會確保附近沒有客戶端能成功連接到我們的接入點(diǎn)掘而。

要注意，只要客戶端斷開了于购，它會嘗試再次連接到接入點(diǎn)袍睡，所以解除驗(yàn)證攻擊應(yīng)該持續(xù)進(jìn)行，來產(chǎn)生拒絕服務(wù)的效果肋僧。

這是最易于構(gòu)造的攻擊但是有毀滅性的效果斑胜。這很方便在現(xiàn)實(shí)世界中使用，來使無線網(wǎng)絡(luò)崩潰嫌吠。

試一試 -- 解除關(guān)聯(lián)攻擊

嘗試弄清如何使用 Kali 上現(xiàn)有工具止潘，對目標(biāo)設(shè)施執(zhí)行解除關(guān)聯(lián)攻擊。你可以發(fā)送廣播解除關(guān)聯(lián)攻擊嗎居兆？

5.3 邪惡雙生子和接入點(diǎn) MAC 欺騙

WLAN 設(shè)施上的最有潛力的攻擊之一就是邪惡雙生子覆山。其原理是，在 WLAN 附近引入一個由攻擊者控制的接入點(diǎn)泥栖。這個接入點(diǎn)具有與授權(quán) WLAN 完全相同的 SSID簇宽。

許多無線用戶可能會碰巧連接到這個惡意的接入點(diǎn)上勋篓，認(rèn)為它是授權(quán)網(wǎng)絡(luò)的一部分。一旦建立了連接魏割，攻擊者就可以執(zhí)行共建人工及譬嚣，并且在轉(zhuǎn)發(fā)流量的是偶竊聽整個通信。我們在之后的章節(jié)中會看到中間人攻擊如何完成〕現(xiàn)實(shí)世界中拜银，攻擊者會使用這個攻擊來接近授權(quán)網(wǎng)絡(luò)，使用戶混淆并碰巧連接攻擊者的網(wǎng)絡(luò)遭垛。

擁有和授權(quán)接入點(diǎn)相同 MAC 地址的邪惡雙生子更加難以檢測和判斷尼桶。這就是接入點(diǎn) MAC 欺騙出現(xiàn)的原因。在下一個實(shí)驗(yàn)中锯仪，我們會看到如何創(chuàng)建邪惡雙生子泵督，并結(jié)合接入點(diǎn) MAC 欺騙。

實(shí)戰(zhàn)時(shí)間 -- 邪惡雙生子和 MAC 欺騙

遵循以下指南來開始：

1. 使用airodump-ng來定位接入點(diǎn)的 BSSID（MAC） 和 ESSID（SSID）庶喜，我們會使用它來模擬邪惡雙生子小腊。

2. 我們將無線客戶端連接到這個接入點(diǎn)上。

3. 利用這些信息久窟，我們使用airbase-ng命令創(chuàng)建相同 ESSID 不同 BSSID 的接入點(diǎn)秩冈。新的發(fā)行版中可能出現(xiàn)少量錯誤。

4. 新的接入點(diǎn)也會在airodump-ng屏幕上出現(xiàn)斥扛。要注意嗎你需要在新的窗口中執(zhí)行airodump-ng入问，使用下列命令：

   airodump-ng --channel 11 wlan0
   

   讓我們看看新的接入點(diǎn)：

5. 現(xiàn)在我們向客戶端發(fā)送解除驗(yàn)證封包，使其斷開連接并立即嘗試重連犹赖。

6. 由于我們離客戶端更近队他，我們的信號強(qiáng)度更大，它會重新鏈接大我們的邪惡雙生子接入點(diǎn)上峻村。

7. 我們也可以進(jìn)行接入點(diǎn)的 MAC 地址欺騙麸折，使用下列命令：

   airbase-ng –a <router mac> --essid "Wireless Lab" –c 11 mon0
   

8. 現(xiàn)在如何我們觀察airodump-ng，幾乎不能分辨出二者的不同粘昨。

9. 即使airodump-ng也不能識別出相同頻道中有兩個不同的物理接入點(diǎn)垢啼。這是邪惡雙生子的最可能的形式。

剛剛發(fā)生了什么张肾？

我們創(chuàng)建了授權(quán)網(wǎng)絡(luò)的邪惡雙生子芭析，并使用解除驗(yàn)證攻擊來使正常客戶端連接到我們吞瞪，而不是授權(quán)網(wǎng)絡(luò)接入點(diǎn)馁启。

要注意，在使用 WEP/WPA 加密的授權(quán)接入點(diǎn)的情況中，就難以執(zhí)行流量竊聽攻擊惯疙。我們在之后的章節(jié)中會看一看如何使用 Caffe Latte 攻擊來破解 WEP 密鑰翠勉。

試一試 -- 邪惡雙生子和頻道跳躍

在之前的聯(lián)練習(xí)中，在不同的頻道上執(zhí)行邪惡雙生子攻擊霉颠，并觀察客戶端一旦連接之后对碌，如何在頻道上跳躍來連接接入點(diǎn)≥镔耍客戶端決定連接哪個接入點(diǎn)的決定因素是什么朽们？是信號強(qiáng)度嗎？做實(shí)驗(yàn)并驗(yàn)證它诉位。

5.4 未授權(quán)接入點(diǎn)

未授權(quán)接入點(diǎn)是連接到授權(quán)網(wǎng)絡(luò)的未授權(quán)接入點(diǎn)骑脱。通常，這個接入點(diǎn)可以用作攻擊者的后門入口不从，使其能夠繞過網(wǎng)絡(luò)的所有安全控制惜姐。這意味著防火墻，入侵檢測系統(tǒng)椿息，以及其它，這些守護(hù)網(wǎng)絡(luò)邊界的設(shè)施坷衍，都不能阻止攻擊者訪問無線網(wǎng)絡(luò)寝优。

在最常見的例子中，未授權(quán)接入點(diǎn)設(shè)為開放連接枫耳，沒有加密乏矾。未授權(quán)接入點(diǎn)可以通過如下兩步創(chuàng)建。

• 在授權(quán)網(wǎng)絡(luò)上安裝真實(shí)的物理設(shè)備迁杨，作為未授權(quán)接入點(diǎn)（這是我留做練習(xí)的事情）钻心。而且，這會攻破授權(quán)網(wǎng)絡(luò)的物理安全铅协，而不是無線安全捷沸。

• 在軟件中創(chuàng)建未授權(quán)接入點(diǎn)，并橋接到本地授權(quán)網(wǎng)絡(luò)的以太網(wǎng)上狐史。這會允許任何運(yùn)行在授權(quán)網(wǎng)絡(luò)上的筆記本作為未授權(quán)的接入點(diǎn)痒给。我們在下個試驗(yàn)中會看看它。

實(shí)戰(zhàn)時(shí)間 -- 破解 WEP

遵循以下指南來開始：

1. 首先使用airbase-ng來創(chuàng)建未授權(quán)的接入點(diǎn)骏全，并使其 ESSID 為rouge：

2. 我們現(xiàn)在打算創(chuàng)建以太網(wǎng)接口和我們的未授權(quán)接入點(diǎn)接口的橋接苍柏，前者是授權(quán)網(wǎng)絡(luò)的一部分。為了完成它姜贡，我們首先安裝bridge-utils试吁，創(chuàng)建橋接接口，并將其命名為Wifi-Bridge楼咳。下面的截圖展示了實(shí)戰(zhàn)中的所需命令：

   apt-get install bridge-utils 
   brctl addbr Wifi-Bridge
   

   讓我們看看命令輸出：

3. 之后我們將以太網(wǎng)和 Airbaseng 創(chuàng)建的At0虛擬接口添加到橋接中熄捍。

   brctl addif Wifi-Bridge eth0 
   brctl addif Wifi-Bridge ath0
   

4. 之后我們啟動這些接口來啟動橋接烛恤，使用下列命令：

   ifconfig eth0 0.0.0.0 up 
   ifconfig ath0 0.0.0.0 up
   

   命令的截圖如下：

5. 之后我們開啟內(nèi)核中的 IP 轉(zhuǎn)發(fā)來確保封包被轉(zhuǎn)發(fā)：

   echo 1 > /proc/sys/net/ipv4/ip_forward
   

   命令的截圖如下：

6. 太棒了！我們完成了≈位剑現(xiàn)在棒动，任何連接到我們未授權(quán)接入點(diǎn)的無線客戶端都可以完整訪問授權(quán)網(wǎng)絡(luò)，使用我們剛才構(gòu)建的無線到有線的Wifi-Bridge。我們可以通過將一個客戶端連接到未授權(quán)接入點(diǎn)來驗(yàn)證它。一旦建立連接抵碟，如果你使用 Vista疲迂，你的界面應(yīng)該是這樣：

7. 要注意它從運(yùn)行在授權(quán) LAN 上的 DHCP 守護(hù)程序接收 IP 地址。

8. 我們現(xiàn)在從該無線客戶端使用這個未授權(quán)接入點(diǎn)訪問有線網(wǎng)絡(luò)上的任何主機(jī)篮洁。下面我們 ping 有線網(wǎng)絡(luò)上的網(wǎng)關(guān)：

剛剛發(fā)生了什么？

我們創(chuàng)建了未授權(quán)的接入點(diǎn)，并使用它來將所有 LAN 授權(quán)網(wǎng)絡(luò)的流量橋接到無線網(wǎng)絡(luò)上怜浅。你可以看到，這是個嚴(yán)重的安全隱患蔬崩，因?yàn)槿魏稳硕伎梢允褂眠@個橋接來攻破有線網(wǎng)絡(luò)恶座。

試一試 -- 未授權(quán)接入點(diǎn)的挑戰(zhàn)

看看你能否創(chuàng)建使用 WPA/WPA2 Jamie的未授權(quán)無線接入點(diǎn)，使其看起來更加正常沥阳。

小測驗(yàn) -- WLAN 設(shè)施上的攻擊

Q1 多數(shù)情況下跨琳，未授權(quán)接入點(diǎn)使用哪種加密？

1. 無
2. WEP
3. WPA
4. WPA2

Q2 對于邪惡雙生子桐罕，擁有和授權(quán)接入點(diǎn)相同 MAC 地址的好處是什么脉让？

1. 使分辨邪惡雙生子更加困難。
2. 強(qiáng)制客戶端連接它功炮。
3. 增加網(wǎng)絡(luò)的信號強(qiáng)度溅潜。
4. 以上都不是。

Q3 DoS 攻擊是干什么的薪伏？

1. 占據(jù)網(wǎng)絡(luò)的所有吞吐量滚澜。
2. 不以客戶端作為目標(biāo)。
3. 只有我們知道了網(wǎng)絡(luò)的 WEP/WPA/WPA2 驗(yàn)證信息毅该，才可以實(shí)現(xiàn)它博秫。
4. 以上全部。

Q4 未授權(quán)接入點(diǎn)是干什么的眶掌，以及如何創(chuàng)建它們挡育？

1. 它們在授權(quán)網(wǎng)絡(luò)上開放后門入口。
2. 它們只能使用 WPA2 加密朴爬。
3. 它們可以創(chuàng)建為基于軟件的接入點(diǎn)即寒，或者實(shí)體設(shè)備。
4. 1 和 3。

總結(jié)

這一章中母赵，我們探索了不同的方式來攻破無線網(wǎng)絡(luò)設(shè)施的安全逸爵。

• 攻破接入點(diǎn)的默認(rèn)賬戶和驗(yàn)證。
• 拒絕服務(wù)攻擊凹嘲。
• 邪惡雙生子和 MAC 欺騙师倔。
• 企業(yè)網(wǎng)絡(luò)中的未授權(quán)接入點(diǎn)。

下一章中周蹭，我們會看看無線客戶端上的不同攻擊趋艘。有趣的是，多數(shù)管理員覺得客戶端沒有值得擔(dān)心的安全問題凶朗。我們會看到這個真理不再正確了瓷胧。