如何进行无线渗透测试

WiFi一词是指使用无线电波建立无线网络连接的无线网络技术。由于 WiFi 的性质及其提供网络访问的方法，恶意黑客经常选择通过破坏 WiFi 网络和相应基础设施设备来渗透公司。家庭也面临风险，特别是由于物联网连接设备和电器的兴起。

无线渗透测试由六个主要步骤组成，包括侦察、识别无线网络、漏洞研究、利用、报告和修复。执行这些测试主要是为了在整个生命周期中维护软件代码开发的安全。编码错误、特定要求或缺乏网络攻击向量知识是执行此类渗透测试的主要目的。

在本文中，我们将重点介绍Wi-Fi渗透测试步骤、方法以及Wi-Fi渗透测试过程中最常用的工具。 

渗透测试的类型
外部 VS 内部	网络	社会工程学
近源攻击	防火墙	Web应用程序

什么是无线渗透测试？

无线渗透测试涉及识别和检查连接到企业 WiFi 的所有设备之间的连接。这些设备包括笔记本电脑、平板电脑、智能手机和任何其他物联网 (IoT) 设备。 

无线渗透测试通常在客户端站点上执行，因为渗透测试仪需要位于无线信号范围内才能访问它。 

无线渗透测试的目标是什么？

每个官方渗透测试都应主要关注最容易被利用的漏洞。 

这通常被称为追求“唾手可得的果实”，因为这些已识别的漏洞代表着最高的风险并且最容易被利用。 

就 WiFi 网络而言，这些漏洞最常见于 WiFi 接入点。 

造成这种情况的一个常见原因是网络访问控制不足以及缺乏 MAC 过滤。 

如果不使用这些安全控制措施来有效提高 WiFi 网络的安全性，恶意黑客就会获得对公司的显着优势，并可以使用各种技术和 WiFi 黑客工具来获得网络中未经授权的访问。

执行无线渗透测试的步骤

如前所述，我们将重点关注测试 WiFi 网络的方法和步骤，并给出可实现我们目标的某些攻击和工具的示例。

下面是可分为渗透测试 6 个不同区域的步骤列表。 

第 1 步：无线侦察

在直接进入黑客攻击之前，每个渗透测试过程的第一步是信息收集阶段。

由于 Wi-Fi 的性质，您收集的信息将通过War Driving进行。这是一种信息收集方法，包括在场所周围行驶以嗅探 Wi-Fi 信号。 

为此，将需要以下设备： 

• 汽车或任何其他交通工具。

• 笔记本电脑和 Wi-Fi 天线。

• 无线网络适配器。

• 数据包捕获和分析软件。

在这里收集的大部分信息都是有用的，但会被加密，因为大多数（如果不是全部）公司都使用最新的Wi-Fi 协议：WPA2。 

该 Wi-Fi 协议通过利用加密和 EAPOL 身份验证来保护接入点。

第 2 步：识别无线网络

Wi-Fi 渗透测试的下一步是扫描或识别无线网络。 

在此阶段之前，您必须将无线卡设置为“监视”模式，以便启用数据包捕获并指定您的 wlan 接口。

当您的无线卡开始侦听无线流量后，您可以使用airodump启动扫描过程，以扫描不同通道上的流量。

减少扫描过程中工作量的一个重要步骤是强制 airodump 仅捕获特定通道上的流量。

第3步：漏洞研究

通过扫描找到 WiFi 接入点后，下一阶段的测试将重点关注识别该接入点上的漏洞。最常见的漏洞存在于 4 次握手过程中，其中通过 WiFi 接入点和身份验证客户端之间交换加密密钥。

当用户尝试对 Wi-Fi 接入点进行身份验证时，会生成并传输预共享密钥。

在密钥传输过程中，恶意黑客可以嗅出密钥并离线暴力破解以尝试提取密码。

为了阐明这个最常被利用的漏洞，本文的下一部分将重点介绍预共享密钥嗅探攻击以及用于成功完成任务的工具。

第4步：利用

我们将使用Airplay NG 套件工具通过以下方式完成我们的开发工作：

• 取消合法客户端的身份验证。

• 当合法客户端重新连接时捕获初始 4 次握手。

• 运行离线字典攻击来破解捕获的密钥。

由于我们已经开始捕获特定通道上的流量，因此我们现在将继续下一步。

由于我们想要捕获每个客户端对接入点进行身份验证时发生的 4 次握手，因此我们必须尝试对已连接的合法客户端进行取消身份验证。

通过这样做，我们可以有效地断开合法客户端与接入点的连接，并等待我们之前运行的 Airodump -ng 命令，以便在合法客户端开始自动重新连接时嗅探出 4 次握手。 

在发送“取消身份验证”数据包后捕获流量的过程中，您将能够看到有关正在运行的“取消身份验证”攻击的大量实时信息。

我们可以看到通道号、经过的时间、BSSID（MAC 地址）、信标数量以及更多信息。 

成功执行此操作所需的时间取决于黑客、接入点和我们尝试断开连接的客户端之间的距离。 

捕获四次握手后，您可以将捕获保存到“.cap”文件中。 

通过将所有捕获的流量保存到“.cap”文件中，我们可以在 Wireshark（一种流行的网络协议分析工具）中快速输入该文件，以确认我们确实捕获了握手的所有 4 个阶段。

由于我们现在已经确认了 4 次握手数据包捕获，因此我们可以继续输入以下 airodump 命令来停止数据包捕获：“Airmon-ng stop wlan0mon”。

我们在利用阶段的最后一步是破解捕获的四次握手密钥并提取密码。为此，我们甚至不需要使用额外的密码破解工具，例如 JohntheRipper 或 Hydra。我们可以简单地使用 aireplay-ng 套件的 Aircrack-ng 模块。

此外，您必须通过在上述命令的“dump-01.cap”部分后面指定文件路径来识别要用于破解密钥的字典。 

此命令将利用 .cap 文件中捕获的流量和指定的字典对接入点的目标 MAC 地址运行破解过程。

最终结果，我们成功找到了密码短语“community”。

由于从四次握手中捕获密钥并强制其脱机是获得未经授权的访问的最有效方法之一，因此我们将重点放在这一实际攻击上。 

对无线网络的其他实际攻击包括在公司内部部署恶意接入点。 

此攻击利用部署在公司大楼内的未经授权的 Wi-Fi 接入点。 

主要思想是压制公司网络中合法接入点的信号（或使用 Wi-Fi 信号干扰器使授权接入点无法访问）并强制员工连接到未经授权的接入点。 

如果成功运行，攻击者将控制通过该接入点的所有流量。

第 5 步：报告

将所有步骤、方法和结果构建成一个综合文档是渗透测试人员工作中最重要的步骤。 

强烈建议记录您工作的每一步，包括每一个详细的发现，这样您就可以获得完成报告所需的所有必要详细信息。 

确保包含执行摘要、详细的技术风险、您发现的漏洞以及发现它们的完整过程、成功的漏洞利用以及缓解建议。

第 6 步：修复和安全控制

我们演示了一种有关无线网络的实际利用，其中涉及捕获 Wi-Fi 流量和预共享密钥。这次攻击之所以成功，有很多原因，其中包括缺乏 MAC 过滤控制。 

启用此控制后，恶意黑客将无法使用与合法用户相同的密码来验证自己的身份。 

由于任何东西都可能被黑客攻击，因此攻击者必须欺骗其 MAC 地址（位于已批准地址的 MAC 列表中）才能成功侵入无线网络。 

部署网络访问控制 (NAC) 解决方案将降低网络中存在恶意接入点的可能性。 

此外，公司可以考虑部署无线蜜罐——模拟无线网络，用于检测入侵和分析恶意黑客的行为。

结论

无线网络在部署和配置时也需要同样多的安全考虑，以确保其安全。因此，无线渗透测试是确定无线网络实际安全状况的一种流行方法。 

尽管它比通常的渗透测试需要更多的硬件设备，但无线渗透测试仍然使用 Kali Linux 操作系统中常见的软件工具来执行，其中业界最臭名昭著的工具是 Airplay -NG。 

演示使用 Airplay -NG 的实用方法以及它通过其强大的子工具集可以提供的结果。现在您要做的就是自行尝试（确保您同意计划进行的任何测试，无论测试多么小）并减轻这些漏洞！

原文始发于微信公众号（河南等级保护测评）：如何进行无线渗透测试