0×00 前言

寫這篇文章的初衷也是因為狗哥的一篇文章 看到狗哥的這篇文章不禁感觸.不過我還是想說一句不一定免費的wifi才有風(fēng)險哦~~.

0×01 讓小綿羊知道自己是怎么被黑的.

路由器wps功能漏洞

路由器使用者往往會因為步驟太過麻煩，以致干脆不做任何加密安全設(shè)定，因而引發(fā)許多安全上的問題。WPS用于簡化Wi-Fi無線的安全設(shè)置和網(wǎng)絡(luò)管理。它支持兩種模式：個人識別碼(PIN)模式和按鈕(PBC)模式。路由器在出產(chǎn)時默認(rèn)都開啟了wps但這真的安全么！在2011年12月28日，一名名叫Stefan Viehbock的安全專家宣布，自己發(fā)現(xiàn)了無線路由器中的WPS（Wi-Fi Protected Setup）漏洞，利用這個漏洞可以輕易地在幾小時內(nèi)破解WPS使用的PIN碼以連上無線路由器的Wifi網(wǎng)絡(luò)。

個人識別碼(PIN)

有人可能會問了什么是pin碼？WPS技術(shù)會隨機產(chǎn)生一個八位數(shù)字的字符串作為個人識別號碼（PIN）也就是你路由底部除了后臺地址賬號密碼之后的一組八位數(shù)的數(shù)字，通過它可以快速登錄而不需要輸入路由器名稱和密碼等。

Pin碼會分成前半四碼和后半四碼。前四碼如果錯誤的話，那路由器就會直接送出錯誤訊息，而不會繼續(xù)看后四碼，意味著試到正確的前四碼，最多只需要試 10000 組號碼。一旦沒有錯誤訊息，就表示前四碼是正確的，而我們便可以開始嘗試后四碼。 后四碼比前四碼還要簡單，因為八碼中的最后一碼是檢查碼，由前面七個數(shù)字產(chǎn)生，因此實際上要試的只有三個數(shù)字，共一千個組合。這使得原本最高應(yīng)該可達(dá)一千萬組的密碼組合（七位數(shù) 檢查碼），瞬間縮減到僅剩 11,000 組，大幅降低破解所需的時間.

根據(jù)路由MAC地址算出默認(rèn)pin碼

另外有種更快破解wifi的方法就是根據(jù)路由MAC地址（MAC是路由器的物理地址，是唯一的識別標(biāo)志）算出默認(rèn)出產(chǎn)時的pin碼例如以下軟件 還可以通過別人共享的找到pin碼！http://mac-pin./

抓取握手包破解

提前條件是有客戶端連接wifi.另外作者是不會講破解wep的.使用的小伙伴好自為之. 就簡單介紹下原理吧 一個TCP包走進(jìn)一家酒吧，對服務(wù)員說：“給我來瓶啤酒”。服務(wù)員說：“你要來瓶啤酒？”。TCP包說：“是的，來瓶啤酒”服務(wù)員說:“好的”

1、當(dāng)一個無線客戶端與一個無線AP連接時，先發(fā)出連接認(rèn)證請求（握手申請：你好?。?/p>

2、無線AP收到請求以后，將一段隨機信息發(fā)送給無線客戶端（你是？）

3、無線客戶端將接收到的這段隨機信息進(jìn)行加密之后再發(fā)送給無線AP （這是我的名片）

4、無線AP檢查加密的結(jié)果是否正確，如果正確則同意連接 （哦～ 原來是自己人呀?。?/p>

通常我們說的抓“握手包”，是指在無線AP與它的一個合法客戶端在進(jìn)行認(rèn)證時，捕獲“信息原文”和加密后的“密文”。 利用Deauth驗證攻擊。也就是說強制讓合法無線客戶端與AP被斷開，當(dāng)它被從WLAN 中斷開后，這個無線客戶端會自動嘗試重新連接到AP上，在這個重新連接過程中，數(shù)據(jù)包通信就產(chǎn)生了，然后利用airodump捕獲一個無線路由器與無線客戶端四次握手的過程，生成一個包含四次握手的cap包。然后再利用字典進(jìn)行暴力破解.

另外也提下關(guān)于這行的黑色產(chǎn)業(yè).當(dāng)我們抓到帶數(shù)據(jù)的握手包時.這時候黑色產(chǎn)業(yè)往往會幫我們很大的忙.GPU速度也是我們普通設(shè)備跑密碼的速度上百倍.所以我是不建議自己跑密碼的！吧包發(fā)給那些團(tuán)隊,跑的出密碼才收10-30rmb不等的費用(根據(jù)需要跑的密碼定價分普通包還有金剛包，普通包的字典只使用十個G的字典.金剛包會使用五十G以上的字典收費也會偏貴些)不過也有一些團(tuán)隊會收取電費(既跑不跑的出密碼都會收取一定的費用)...另外這樣的設(shè)備非常耗電不是一般人的消耗的起的哦.一般閑置的時候會利用這樣的機器挖礦

分布式破解

《駭客追緝令》片中的主人公都是有使用到分布式破解的.拿電影中的米特尼克來說吧.劇情中他拿到下村勉的加密后的密文,一般電腦來說要跑出密碼需要幾十年至幾百年的時間才有機會跑出密碼.此時的米特尼克利用了偽裝.欺騙了某大學(xué)保安.偷偷的潛入進(jìn)去使用大學(xué)中的超級電腦,只使用了幾個小時就能到了想要的結(jié)果！《血色星期一》中的主角三浦春馬使用了傀儡網(wǎng)絡(luò)(肉雞)使他在半個小時拿到了密碼.(兩部電影因為太久沒看了可能有些地方說錯了見諒。)于2009年9月26日晚ZerOne無線安全團(tuán)隊與AnyWlan無線門戶成功完成國內(nèi)首次分布式破解項目. http://www./tools/38668.html 工具附上.另外想說是分布式破解只是思路。不是破解方案。破不出來也沒有關(guān)系。

Wifi萬能鑰匙 or wifi分享

其實我是十分不愿意提到這款流氓軟件的.但這也是大部分網(wǎng)友主要的破解wifi的途徑.為什么我不愿意提這款軟件.又必須提到呢.答:這款最流氓的功能也就是這款軟件最核心的功能.就是集成了全國各地的wifi賬號密碼.這必定包括一些惡意分享和一些無意分享出來的使用這款軟件開始的時候有兩個選項一.自動分享熱點.二.分享前提示我.默認(rèn)是選擇一的.有些心急破解wifi的小伙伴可能看到?jīng)]看就直接點擊了下一步.將自己本機保存的wifi賬號無意間公之于眾.醬紫即使wifi密碼強度在強也會因為豬一樣的隊友.團(tuán)滅.這樣誤操作的例子真的很多.不得不提到的就是這款軟件強大的集成了全國各地的wifi賬號密碼.當(dāng)你使用這款軟件的時候可以很方便的根據(jù)附近的ssid.mac地址在萬能鑰匙的數(shù)據(jù)庫中找到正確的密碼.這方便了用戶也方便了不懷好意的童鞋~~ 小米科技也試著模仿盛大的萬能鑰匙.可最終還是死在了搖籃里。 13年9月5日晚間消息，小米科技今日年度發(fā)布會上發(fā)布的MIUI新功能——Wifi密碼自助分享引發(fā)爭議，眾多網(wǎng)友指責(zé)小米此行為將導(dǎo)致Wifi嚴(yán)重安全隱患，有咖啡店主甚至指責(zé)小米此行為如同偷竊。從2013-8-2開始到發(fā)布會截止前，一個月就分享了32萬個公共Wi-Fi密碼，[email protected]??偉 也對這個新功能十分憤怒，他表示：“我們只剩下兩個選擇：1、拒絕向使用小米手機的朋友提供家里/公司的wifi密碼。2、使用小米手機的朋友離開之后馬上更改家里\公司的wifi密碼?！绷硗鉃槭裁慈f能鑰匙沒有遭到封殺我也不得而知了.但我想勸大家一句.逼不得已千萬不要依靠萬能鑰匙.

弱密碼

WPA-PSK的密碼空間用浩瀚來形容一點不為過,所以直接進(jìn)行字典攻擊是傻子的行為.但是作為一個密碼對字典攻擊來說有強密碼和弱密碼的區(qū)別.強密碼就是破解希望極其渺茫的密碼.弱密碼是很有希望破解的密碼當(dāng)然強弱也是個相對概念,他也是依賴于加安全制的.銀行的密碼一般都為6 位.像這樣密碼空間如此小的密碼.普通情況下都為弱密碼.但是銀行的ATM 一天只讓你試三次.三次密碼不對鎖卡.有這樣的機制6 位的就不再是弱密碼了.由弱密碼組成的字典叫弱密碼字典. http://www./articles/web/42120.html 這篇文章講的更為詳細(xì).

有一定聯(lián)系性規(guī)律性密碼

例子：有人曾破如此一個WPA-PSK 密碼IX1V7051242.如果你不了解這個密碼的背景你肯能會覺得很神奇，這么強的密碼也能破。這樣的密碼是在西班牙的tele2 這樣的AP 上有，而且這樣AP_ESSID 里都有tele2 字段。這樣的密碼后面的8 位是相同的有真正的密碼只有四位。四位密碼其密碼空間很小很容易被字典攻擊出來。這個也是AP的默認(rèn)密碼。所以這個密碼被破解是因為AP本身產(chǎn)生的隨機密碼就是個弱密碼。是AP的廠家自己降低了安全性的做法。例如有一些餐廳.酒店.事業(yè)單位.等等.SSID總會改成名字的拼音.密碼當(dāng)然是跟ssid相關(guān)的.最常見的就是這個單位的電話號碼！

社會工程學(xué)

有目的性的社工師多多少少都掌握著WIFI使用者的個人信息~.不然怎么會叫做有目的的社工師呢.哈哈~~

例一個目標(biāo)說吧了.會將跟目標(biāo)有關(guān)系的人生日組合.姓名縮寫(即開頭字母).姓名拼音.手機號碼.一般目標(biāo)的戀愛對象.暗戀對象.重要的人.不排除基友~.成功率最高.還有目標(biāo)的.姓名.生日.手機號碼.郵箱號碼.網(wǎng)名(即ID.這招對黑闊很管用）.習(xí)慣用的字符,當(dāng)然還有常用的密碼!!!.還有一些特殊號碼.特殊日子(結(jié)婚紀(jì)念日.開始戀愛)等等資料生成一個字典.】

舉一個例子一位在安全圈混的一位小黑闊.具有很高的安全意識,知道AP要使用一個很強大的密碼比如hack!@#1024.但他這個人比較懶到那都使用著這個密碼.然后這位黑闊在某個論壇某個網(wǎng)站注冊了賬號習(xí)慣性的輸入了引以為傲的強密碼.然后這些網(wǎng)站被黑(拖庫)社工師根據(jù)密碼生成了一個字典（根據(jù)泄露出來密碼進(jìn)行組合）然后就不用我多說了.這樣的例子不少！《劍魚行動》中那個黑客是如何在一分鐘進(jìn)入國家安全信息網(wǎng)的啊。就是網(wǎng)絡(luò)上工作著為他收集密碼的程序。而他就是通過這樣的字典迅速破解的。而這樣的字典真正的黑客也是不愿意發(fā)布出來的。

0×02 實例

抓取握手包破解.

網(wǎng)卡的選擇也十分重要.一般使用筆記本內(nèi)置網(wǎng)卡破解的話一定要看一下網(wǎng)卡型號kali有沒有驅(qū)動.我用的是8187卡,kali自帶驅(qū)動我就不說了。 本次的實例是根據(jù)抓握手包破解進(jìn)行的

Airmon-ng start wlan0

意思是啟動網(wǎng)卡的監(jiān)聽模式.敲完這條命令后設(shè)備名 wlan=mon0 一般命令后都是要跟上設(shè)備名

Airodump-ng mon0 

在抓包前肯定是要先選擇目標(biāo).這條命令的意思是探測無線網(wǎng)絡(luò).選好目標(biāo),首選是客戶端連接多的.復(fù)制好BSSID即MAC地址.記住信道（CH）

Airodump-ng -c 1 --bssid XX:XX:XX:XX:XX -w mobi mon0

-C參數(shù)是選擇目標(biāo)信道.如果該信道就目標(biāo)一個AP使用的話不用加上--bssid,這個參數(shù)是為了跟精準(zhǔn)的鎖定目標(biāo)~~ -w 是保存握手包的名字.獲取后會在當(dāng)前目錄生成一個mobi-01.cap的握手包。這時就不用關(guān)閉這條shell而是另外打開一個shell

Aireplay-ng -0 10 -a (AP的mac) -c (客戶端的mac) 

-0參數(shù)是發(fā)起deauth攻擊.10 是次數(shù)可以調(diào)節(jié)

-a 即第一條shell中BSSID.下面的AP路由器MAC地址

-c 即STATION下客戶機的MAC地址(這條為可選項)

Aircrack-ng -w /pentest/passwords/sxsx.lst mobi-01.cap

-w 選擇字典 mobi-01.cap 即抓到的握手包

Ps：我是不建議自己跑密碼的.我直接掛載u盤吧握手包copy到u盤里在.通過QQ方式吧包發(fā)給跑包團(tuán)隊. 然后是吧正確密碼添加到了我的字典里。才會出現(xiàn)上圖（既成功破解后的圖）！ 另外是密碼使用有一定聯(lián)系性規(guī)律性密碼

破解方案二:利用路由器wps功能漏洞

Airodump-ng mon0 查看附近無線情況。在MB這行帶點的“.”表示能跑出pin碼。使用wash -i mon0 -C可查看是否開啟了wps功能

Reaver -i mon0 -b xx:xx:xx:xx -vv

reaver命令參數(shù)

-i 監(jiān)聽后接口名稱

-b 目標(biāo)mac地址

-a 自動檢測目標(biāo)AP最佳配置

-S 使用最小的DH key（可以提高PJ速度）

-vv 顯示更多的非嚴(yán)重警告

-d 即delay每窮舉一次的閑置時間 預(yù)設(shè)為1秒

-t 即timeout每次窮舉等待反饋的最長時間

-c 指定頻道可以方便找到信號，如-c1 指定1頻道，大家查看自己的目標(biāo)頻道做相應(yīng)修改 （非TP-LINK路由推薦–d9 –t9 參數(shù)防止路由僵死

示例：

reaver -i mon0 -b MAC -a -S –d9 –t9 -vv

應(yīng)因狀況調(diào)整參數(shù)（-c后面都已目標(biāo)頻道為1作為例子） 目標(biāo)信號非常好:

reaver -i mon0 -b MAC -a -S -vv -d0 -c 1

目標(biāo)信號普通:

reaver -i mon0 -b MAC -a -S -vv -d2 -t 5 -c 1

目標(biāo)信號一般:

reaver -i mon0 -b MAC -a -S -vv -d5 -c 1

0×03 防御只是一個步驟.安全是一個系統(tǒng).

看我任何突MAC封鎖！

客戶機的截圖模擬主人使用MAC過濾功能！.

在路由器上使用mac過濾.黑客就一點辦法的沒有了么？.no！

由于路由器只接受白名單的數(shù)據(jù)包.所以kali無法從dns服務(wù)器獲取到域名IP

偽裝MAC地址上網(wǎng)由于有兩個無線客戶端.所有的數(shù)據(jù)包都會發(fā)送至兩個客戶端.難免會出現(xiàn)數(shù)據(jù)包丟失的！

關(guān)閉dhcp真的有用么?

首先我先模擬WIFI的管理員.吧DHCP關(guān)了.并且設(shè)置了一個只有自己知道的網(wǎng)關(guān)IP.

可以清楚的看到.kali并不在管理員使用的網(wǎng)段內(nèi).但在OSI二層環(huán)境中.kali抓取了路由器與客戶端的ARP報文.