简介
The WiFi Pineapple 是由国外无线安全审计公司Hak5开发并售卖的一款无线安全测试神器(俗称大菠萝),从2008年起目前已经发布到第六代产品。当前的主打产品是The WiFi Pineapple NANO 和WiFI Pineapple TETRA(支持5GHz频段)
产品规格
1 |
CPU:400 MHz MIPS Atheros AR9331 SoC |
使用背景
1.安全研究
对于研究方向为wifi安全的小伙伴们,可以使用这款“外设”作为入门和进阶的部分,能够让我们了解一些常见的wifi安全问题、原理和攻击手段,进一步的可以分析这些利用工具的原理,实现方法,组合攻击手段
2.安全演示
如果你是安服的小伙伴,给客户演示的时候不要总是带着自建靶场,给领导搞个SQL注入,永恒之蓝,过时了!就算你配合Cobalt Strike来个主机上线,也顶多是视觉上的刺激。你带个wifipineapple,现场来个中间人,搞个绵羊墙,抓个密码,岂不美哉?
管理
Web管理端地址:http://172.16.42.1:1471
特性
- 用作 Wi-Fi 中间人攻击测试平台
- 一整套的针对 AP 的渗透测试套件
- 基于 WEB 应用的管理界面
- 基于嵌入式 linux 系统
- 不定时的各种软件更新,可以自定义模块、payload
管理页面简介
1.Dashboard仪表盘
仪表盘上显示了一些状态、统计信息、通知和公告的概览视图,包括:
CPU 使用率、设备运行时间、客户端连接数量
Landing Page 浏览状态,公告
Bulletins从wifipineapple.com获取的最新项目信息
2.Recon侦察
Recon模块采用被动式扫描方式,扫描过程会自动将网卡设置为监听模式,监听周围不同信道(客户端)发出的各种数据包。能够扫描出SSID、MAC地址、加密方式、是否启用了WPS功能、信道及信号强度等信息。甚至还能扫描出当前未连接任何AP的客户端
从下拉列表为扫描的持续时间,增加扫描时间可以在每个信道上看到更多潜在的流量,选中“Continuous”框将启用正在进行的扫描。每隔一段时间进行持续扫描,并更新扫描结果列表,直到扫描停止
扫描结果将显示在表格视图中
未关联的客户端仅显示 MAC 地址。这些客户端具有活动无线电,但不与接入点关联
单击SSID和MAC地址旁的下拉菜单,会出现如下两张图的菜单,用于 PineAP 模块的 Filter(过滤) 和 Tracking(追踪) 功能,以及进行 Deauth(取消认证洪水) 攻击中发送取消身份验证帧的倍数参数
image-20210107231253023
如果使用 Recon 模块进行扫描将会断开已有的连接
3.Client客户端
如果在 PineAP 中勾选了 Allow Associations(允许关联),WiFi Pineapple将允许客户端进行连接
已连接的客户端将在“ Clients ”视图中列出它们各自的MAC地址,IP地址,它们已连接的 SSID (如果在PineAP中启用了Log Probes(日志探测) 功能)和主机名
Kick按钮可以从Wi-Fi Pineapple网络中删除客户端
MAC地址和SSID旁边的下拉菜单按钮用于 PineAP 模块的 Filter 和 Tracking 功能
Refresh按钮可以刷新Clients表格视图
4.Tracking
跟踪功能将按MAC地址连续扫描指定的客户端,并执行可自定义的跟踪脚本
此功能需要启用 PineAP 的 Log Probes 和 Log Associations 中的至少一个选项
可以手动添加客户端,也可以在 Clients 或 Recon 视图中关联的MAC地址使用 PineAP Tracking Add MAC 按钮添加 Mac 地址到此模块中
当客户端被识别时,将会执行自定义脚本
5.Filters
可以通过客户端MAC地址或SSID来执行过滤。支持“Deny”和“Allow”模式,可以使用Swith按钮进行切换
Client Filtering 客户端过滤
在Deny Mode下,客户端过滤器中列出的具有MAC地址的客户端将无法连接到WiFi Pineapple
在 Allow Mode下,只有客户端过滤器中列出的具有MAC地址的客户端才能连接
进行WI-FI安全测试时,最好使用“Allow Mode”以确保仅针对参与范围内的客户端
SSID Filtering SSID过滤
在Deny Mode下,如果客户端尝试连接到过滤器中列出的SSID,则客户端将无法与WiFi Pineapple关联
在 Allow Mode下,如果过滤器中列出了他们尝试连接的SSID,则客户端只能与WiFi Pineapple关联
SSID可以从与Recon中各自列表相关联的菜单按钮添加到过滤器中,也可以手动添加或删除过滤器中的条目
6.PineAP Pine接入点
PineAP是通过伪造的Probe Response响应包来响应周围的客户端(可能是笔记本、手机、pad等等),让客户端以为周围存在着曾经成功连接过的无线AP,而用来欺骗客户端进行连接我们的Pineapple Nano设备
image-20210107235456065
Allow Associations 允许关联
此项被勾选时,客户端可以通过任何请求的 SSID连接到Pineapple
禁用时,客户端将不允许被连接。相当于以前的 karma
PineAP Daemon PineAP 守护进程
这个进程必须开启
可以使用 Beacon 响应,捕获 SSIDs 到池里,以及对SSID进行广播
这个设置会作用于 wlan1 ,并且 wlan1 不能用于 Client 模式去桥接外网
Log PineAP Events 日志探测
开启后,将记录客户端的探针请求。可以从 Logging 模块里看查看分析
Beacon Response 响应
开启之后,目标 beacons 将会发送给客户端设备,用来响应客户端的 SSID 探针请求
这些 beacons 将不会被广播,而是指定发送给发送了探针请求的客户端设备。这可以防止beacon 被其他设备看见。如果 Allow Associations 启用并且有客户端连接,目标 beacon 响应将持续发送给客户端设备一段时间
Beacon 响应将会使用源 mac 地址设置,并且也会与广播 SSID池特性共享
Beacon 响应间隔将决定发射的频率
Capture SSIDs to Pool
使能之后,将会把捕捉到的探针请求里的 SSID 保存到 SSID 池子里。这
种被动的特点将有利于广播 SSID 池特性。SSID 池也可以被手动来管理
Broadcast SSID Pool
使能之后,SSID 池将会按照设定的时间间隔以及源地址、目标地址来广播
beacon。就是以前的 Dogma
Beacon Response Interval
指定广播 SSID 的时间间隔。间隔越小,对 CPU 的占用就越高。
Beacon Response Interval
指定 beacon 响应的时间间隔。间隔越小,对 CPU 的占用就越高
Source MAC
默认情况下,是菠萝 wlan0 的 mac 地址。这是菠萝的 ap 的热点。wlan0 的 mac 地
址也可以在 Networking 里改变。如果需要的话,这个 mac 地址可以被设定为一个次要的菠萝。
Target MAC
默认情况下,这是广播 mac 地址 FF:FF:FF:FF:FF:FF。用于广播帧数据将会被附近的
客户端看到。设置为客户端的 mac 地址将把 PineAP 的特性用于单一的设备。类似 beacon 响应,只
有池子里的 SSID 广播会被目标客户端看到。当和过滤器一起工作时,这个特性将更精确的定位到目
标设备。
SSID Pool
当Capture SSID Pool 被使能后,会自动记录。也可以手动添加。点击列表里的 SSID,
也可以执行删除和清除操作
7.Tracking
跟踪功能将按MAC地址连续扫描指定的客户端,并执行可自定义的跟踪脚本
此功能需要启用 PineAP 的 Log Probes 和 Log Associations 中的至少一个选项
可以手动添加客户端,也可以在 Clients 或 Recon 视图中关联的MAC地址使用 PineAP Tracking Add MAC 按钮添加 Mac 地址到此模块中
当客户端被识别时,将会执行自定义脚本
8.Logging
image-20210108004435046
Logging模块共记录了 PineAP Log、System Log、Dmesg、Reporting Log四种日志
PineAP Log
如果启用了Log Probes 和 Log Associations其中的一个或全部,则按时间顺序显示PineAP事件。每个事件都包含时间戳,事件类型(探测请求或关联),客户端设备的MAC地址以及设备探测或关联的SSID
可以对结果进行过滤,在按下”Apply Filter”之前,过滤器不会生效,默认情况下,PineAP日志位于/tmp中,重启不会保存
System Log
系统日志
Dmesg
设备故障的诊断,硬件连接断开等信息
Reporting Log
生成报告日志
9.Reporting
此功能能够以指定的间隔生成报告。报告可以通过电子邮件发送,也可以本地保存在SD卡上
报告内容可选,包括PineAP日志(可以在生成报告后删除),PineAP Site Survey(可指定扫描时间)PineAP 探测和跟踪客户端报告。
10.Networking网络
在 Networking 模块中,可以更改路由,接入点,MAC地址,主机名,并使用WiFi客户端模式连接到接入点
Route 路由
显示内核IP路由表,可以针对所选接口进行修改,默认网关为172.16.42.42
使用WiFi Pineapple Connector Android应用程序时,IP路由将自动更新以使用usb0作为默认网关
下拉菜单可以重启DNS服务
Access Points 接入点
可以配置WiFi Pineapple主要开放接入点和管理接入点。开放和管理接入点共享相同的信道
可以隐藏开放接入点,并且可以禁用管理接入点
WiFi Client Mode WI-FI客户端模式
能够将WiFi Pineapple连接到另一个无线接入点,以进行Internet或本地网络访问
image-20210108005043399
11.Configuration
Landing Page
启动后,客户端全部链接将会被强制导向到此页面,页面访问的统计信息将会显示在 Dashboard 上
页面可以是 PHP 或 HTML 的
只有WiFi Pineapple具有Internet连接时,才会显示此页面
image-20210108005535734
12.Advanced
此页面显示一些系统资源信息,USB 设备,文件系统列表,CSS 和固件升级。
13.Help
可以查看对应模块的帮助和使用介绍
常用模块
模块总结
1 |
DWall 绵羊墙,可以显示 HTTP URLs, Cookies, POST DATA,可实时展示客户端的 |
DWall绵羊墙
DWall 是一款可以实时抓取 http 数据的插件,并且可以实时展示在web页面上
Enable开启模块,Start Listening 开始监听
所有连到 Pineapple 客户端的http连接都会被抓到
页面显示了客户端、URL、Cookies、数据内容,以及图片
image-20210120155024676
Deauth
De-authenticationFlood Attack,全称为取消身份验证洪水攻击或验证阻断洪水攻击,通常被简称为Deauth攻击,是无线网络拒绝服务攻击的一种形式。它旨在通过欺骗从AP到客户端单播地址的取消身份验证帧来将客户端转为未关联/未认证的状态
normal模式下,选中网卡,点击 Start 后就开始攻击攻击过程中同网段内的网络认证(由于NANO不支持5G,所以攻击仅支持2.4G)均会失败,无法认证并连接
要针对某个WI-FI攻击,可以在Editor中选中网卡,扫描WI-FI,并Add to Blacklist(添加到黑名单),在Mode中也选择blacklist,输入Channels,信道可以去SiteSurvey中查看
DNS/DNSMasq Spoof
这个插件会启动 DNSMasq 服务,对客户端访问的域名进行重定向
在Hosts处填写要重定向的域名,写法与其他 Hosts 文件一致
此处可以填写内网配置好的钓鱼服务器,也可以指到Pineapple,并在上面搭建服务
Urlsnarf URL捕获
选定网口后点击 Start ,模块将会捕获全部的HTTP流量,GET及POST的数据均会显示
显示格式为web访问日志类型
Evil Portal
模块主要由以下几个部分组成:
Controls(控制):启用模块和设置自动启动;
Word Bench(创建工作目录):包含门户页面的php文件等;
White List(白名单):不需要通过门户认证页面跳转的IP地址列表;
Authorized Clients(认证客户端):当前通过门户页面认证跳转过的IP地址列表;
Live Preview(预览):预览恶意门户页面。
Evil Portal模块和自带的Landing Page功能很像,区别在于Landing Page仅能够提供一个强制跳转显示页面的效果,不具有认证、白名单以及更自由化的门户页面自定义功能。Evil Portal能够实现像现在的商业WiFi接入访问一样,提供一个由我们自定义的认证页面,引导客户端用户完成认证及跳转功能
Tcpdump
tcpdump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来去掉无用的信息,是一款非常高级的网络数据分析工具
与Pineapple上很多其他的模块一样,提供的可供点选的web管理界面
Options提供了基本的选项模块
在下方选中或勾选的参数将会被格式化到 Command 处
Interface 为需要监听的端口
Verbose 对应 -v 选项,代表输出报文信息的详细程度
Resolve 对应 -n 选项,不将主机名转换为IP地址,以及不进行端口名称的转换
Timestamp 对应 -t 选项,指定是否输出时间戳或时间戳格式
Don’t print domain name qualification of host names:对应 -N 选项,不输出主机名中的域名部分。例如,’wiki.ver007.org’只输出’wiki’
Show the packet’s contents in both hex and ASCII:对应 -X 选项,在解析和打印时,除了打印每个包的报头之外,还要用十六进制和ASCII打印每个包的数据(通常用于分析一种协议)
Print absolute sequence numbers:对应 -S 选项,将tcp的序列号以绝对值形式输出
Get the ethernet header as well:对应 -e 选项,在输出行打印出数据链路层的头部信息
Show less protocol information:对应 -q 选项,快速输出。只输出较少的协议信息
Monitor mode:对应 -I 选项,使标准输出变为缓冲行形式,可以把数据导出到文件
Filter提供了一些过滤规则,我们可以利用Filter编写过滤表达式,用来匹配得到我们想要的结果,在点选参数之后,手动输入参数值,并继续点击下一个参数,同样的,如果你熟悉tcpdump的话,可以进行手工填写,跟wireshark什么的过滤语法道理都类似
Output为系统回显,History则可以查看和管理抓住的完整tcp数据包
在此处可以将捕获的包下载,得到一个pcap文件,可以在wireshark、networkminer、科来等其他工具中
具体的使用方法就根据需求不同定制,需要熟悉过滤表达式的编写
需要注意的是,tcpdump只能抓取流经本机的数据包,因此确保有 Client 连接上网
由于页面仅提供部分命令,如果想要达到与命令行完全一样的效果,可以SSH连接到Pineapple直接运行tcpdump.sh,路径在/pineapple/modules/tcpdump/scripts
Meterpreter
大名鼎鼎的 Meterpreter,配置主机端口后能够接收会话
Ettercap
调用 ettercap 这款工具进行中间人欺骗,将参数转换为web页面,并将输出返回到页面上
SSLsplit
SLsplit可以作为中间人监听 SSL 信息及 HTTP 信息。SSL 实现代理的同时要与服务器建立连接,同时伪造证书与客户端建立连接,即双连接,依据获取的 Client 信息再与服务器通信,从而实现明文数据监听
Configuration无需改变,使用默认即可
在客户端使用HTTPS进行通讯时,将会由SSLsplit作为中间代理
SLLsplit的实现需要配合其他欺骗手段,如果有Clients连接到Pineapple,那么就直接可以进行攻击,如果要攻击的目标在同一网段内,则需要将目标流量定向到此模块的监听端口,通常配合 ettercap等欺骗软件
如果网站具有HSTS(HTTP Strict Transport Security),网站将不能正常显示,也就无法攻击
namp
Options(选项)与图形化的Nmap页面相似,输入目标,在 Profile 中选择一些预置的规则
RandomRoll
这个模块是一个略微搞怪的模块,开启模块后,将会把全部 http 连接进行重定向到内置的黑页中
就是下面勾选的这些 rolls,每个对应一个黑页,随机选择出现
开启后,客户端会随机出现选中的黑页
image-20210120192154957
image-20210120192211074
base64encode
base64加解密模块
CursedScreech
这是一个远控模块
Sein:信息收集功能,当监听的网络内出现漏洞系统时,将会更新模块的 target 列表
Kuro:攻击功能,自动尝试连接Sein功能发现的目标机器,并连接
Listening Interface(监听端口):用于组播socket的接口,如果目标直接连接到Pineapple,使用br-lan就可以
Multicast Group(组播组):发送和接收目标心跳的地址,对于Sein和目标机器,组需要相同
Multicast Port(组播端口):Sein将从目标接收消息的端口。这个端口需要在payload的startMulticaster()方法中
Heartbeat Interval(心跳间隔):payload发送广播的间隔,Sein在3个心跳间隔还为收到广播包的话,就会判断目标为掉线状态
Kuro Keys/Target Keys(密钥):用于TLS通信时的密钥,可以使用Papers模块创建Keys
可以从下方两个下载按钮下载 C# 和 Python 的payload模板
Activity Log(活动日志):记录 Kuro 功能执行过程中产生的全部记录,使用模块的大部分时间都是盯着这里看
右边的Targets就是一个上线机器列表,以及一个命令执行功能
如果有目标机器的话,可以通过Select选择机器,并执行命令
EZ Cmds事先预置了一些cmd命令,可以添加及删除
image-20210120192935988
设置好了之后,按照下载的模板,编写payload,在目标机器上运行
运行后点击Sein进行监听,测试时发现python版本的payload在监听后需要多等一下才能上线,此处要耐心等待一下,上线后可以开启Kuro,再耐心多等一会
当日志显示Kuro is ready后,就可以执行命令了
dump1090
本模块能够对 1090MHz 的无线电进行收取和解码,通过调用google-API等方式,可以在web地图上描绘出飞机的轨迹,当然也可以手动更改频率如:
我国民航使用的无线电频率:1090MHz
民用对讲机使用的无线电频率:408-409MHz
警用频率:350-390MHz
等等
软件有很多参数,但是界面上只显示了Gain
Checkbox 参数可以切换度量衡使用公制单位、切换到自动获取、增大功率、将结果输出为csv格式
使用此模块需要RTL-SDR(电视棒)接收无线电信号,插入模块,将显示地图
HackRF
这个模块需要配合HackRF 硬件进行使用,在接入HackRF后,会出现一个简单的设置界面
模块选项相当于 hackrf_transfer 的相关参数
1 |
Sample Rate(采样率):每秒发送或接受的样本量。受到系统计算能力限制,设置过高可能会导致系统不稳定,此处建议设置默认10M或更低,相当于 -s |
先进行录制,并保存到文件中
然后进行重放,即可攻击成功,如果重放失败,可以调整放大器的增益
在实际测试过程中,将会如上图报错,调试了一会依旧无法实现功能
这个模块仅仅是简单的收取/重放,如果想要解码、编码再重放,单靠这个是实现不了的,而且在不清楚无线电工作频率的情况下还是没有办法使用,因此还是将其定义为演示模块
Module Maker
模块制作,能够生成及管理模块
并给出了模块需要的模式
是一个为开发者编写新模块的web界面
ngrep
ngrep就相当于网络版的grep,支持大量的操作系统和网络协议。能识别TCP、UDP和ICMP包,理解bpf的过滤机制。与 tcpdump 类似
Occupineapple
Occupineapple 是一个干扰模块,能够在周围生成各种随机或者自定义的SSID
Speed:每秒发送的数据包
Channel:在哪个信道上生成虚假AP
Show station as Ad-Hoc:将站点显示为点对点
Set WEP bit (Generates encrypted networks):设置WEP位(生成加密网络)
Show station using WPA TKIP encryption:显示使用WPA-TKIP加密的站点
Show station using WPA AES encryption:显示使用WPA-AES加密的站点
Use valid accesspoint MAC from OUI database:使用来自OUI数据库的有效Access
Editor 参数处可以选择、编辑或创建List,List中存放SSID名称及Mac地址
攻击场景
1.搞怪
如果想要简单的搞怪一下周围的人,不进行恶意的破坏和复杂的攻击行为,可以使用Occupineapple或者RandomRoll模块
使用Occupineapple在四周生成一些有趣的SSID,比如“XXX是个小智障”,“XXX是个小笨蛋”等等,十分有趣
也可以使用RandomRoll,在有客户端连入Pineapple网络时,可以将HTTP网页重定向到默认搞怪的网页上,给人一个惊喜
2.技术演示
如果想要给身边的人演示一些简单的WI-FI攻击,无需特别多的技术准备,可以使用Dwall、DNS/DNSMasq Spoof、urlsnarf
Dwall即是著名的“绵羊墙”,可以显示抓到的URL、cookie、图片用,用来做演示十分方便
DNS/DNSMasq Spoof 可以重定向用户DNS,配合Landing Page或其他web应用可以进行钓鱼、嗅探等
urlsnarf显示网络内http数据包,抓取到的url,显示也很直观
配合HackRF硬件可以简单重放无线电攻击,进行一些演示
3.窃取密码
如果想要窃取在同一网络下其他客户端产生的密码,也许是某些网站账户密码,也许是其他WI-FI密码,有几种方式可以达到目的
想要获得附近的WI-FI密码,可以使用Site Survery抓取WPA握手包,再使用Online Hash Crack进行尝试破解
使用wps模块直接进行WI-FI密码破解
想要获得客户端在其他某些网站上的密码,可以使用Landing Page、Evil Portal、Portal Auth制作钓鱼页面,结合ettercap做欺骗,或者让客户端连接到Pineapple网络中,在钓鱼页面输入密码,进行记录
也可以使用ettercap进行网络欺骗,将自己欺骗成为网关,获取流量,就可以截获明文传输的密码,配合SSLsplit即可抓取https传输的密码
使用Responder进行欺骗,窃取某些协议中的密码/hash值
4.漏洞利用
Pineapple还提供了一些漏洞利用模块,可以针对网络内漏洞进行攻击
可以通过ettercap欺骗,替换目标下载文件,可以改变js利用浏览器漏洞,可以改变文档利用office漏洞,可以改变exe利用各种漏洞
可以使用CursedScreech的payload进行监听和执行命令
也可以使用Meterpreter接收会话
这个总结起来就是,我是你的网关,你的全部网络流量我都做主,我想怎么玩就怎么玩
组合漏洞利用 https://www.youtube.com/watch?v=Bvo43JvmeW0
5.数据采集演示
如果使用Pineapple在网络内采集数据,用于展示或进一步分析的话,可以使用一些抓取类模块
tcpdump可以对网络数据进行抓取和过滤,配合其他软件可以进行展示
ngrep功能同上,对网络内数据进行抓取及展示
nmap用于网络内设备发现及扫描
p0f被动网络指纹识别,被动收集网络内系统指纹
get模块抓取客户端浏览器信息
dump1090配合电视棒,可以获取无线电信息,展示如飞机航线等信息
6.恶意破坏
如果就是想要搞事情,Pineapple也可以实现一些功能
可以使用ettercap进行ARP欺骗,可以导致断网
Deauth模块可以导致网络内认证失败,无法进行认证连接
参考链接
freebuf:https://www.freebuf.com/sectool/196358.html
官方wiki:https://wiki.wifipineapple.com/#!index.md
Modules库:https://github.com/hak5/wifipineapple-modules
中文用户手册:http://www.wifipi.org:8080/WiFiPineapple-%E7%94%A8%E6%88%B7%E6%89%8B%E5%86%8C-V1.3.pdf
搭建视频:https://www.youtube.com/watch?v=Nv1eiIwOPKo
模块编写视频:https://www.youtube.com/watch?v=Lvf2At3G1C0
SSLsplit模块:https://www.roe.ch/SSLsplit
ettercap模块:https://github.com/Ettercap/ettercap
autossh模块:https://blog.csdn.net/fanwenjieok/article/details/53033317
dump1090 模块:http://www.satsignal.eu/raspberry-pi/dump1090.html
tcpdump 模块:http://www.tcpdump.org/
ngrep 模块:https://www.trustauth.cn/wiki/10824.html
CursedScreech 模块:https://github.com/sud0nick/CursedScreech
Reaponder 模块:https://github.com/SpiderLabs/Responder
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论