1、翻譯 2016年10月21日 21:08:42 · 標簽：· kali /· 安全 /· 滲透第三章 繞過 WLAN 身份驗證作者：Vivek Ramachandran, Cameron Buchanan譯者：飛龍協議：CC BY-NC-SA 簡介安全的錯覺比不安全更加糟糕。 佚名安全的錯覺比不安全更加糟糕，因為你不可能為面對被黑的可能性做準備。WLAN 的身份驗證模式可能很弱，可以被破解和繞過。這一章中，我們會查看一些 WLAN 中所使用的基本的身份驗證模式，以及學習如何破解它們。3.1 隱藏的 SSID在默認的配置模式下，所有接入點都在信標幀中發送它

2、們的 SSID。這讓附近的客戶端能夠輕易發現它們。隱藏 SSID 是個配置項，其中接入點并不在信標幀中廣播它的 SSID。因此，只有知道接入點 SSID 的客戶端可以連接它。不幸的是，這個方法不能提供可靠的安全，但是網絡管理員認為它很安全。隱藏 SSID 不應該被看作安全手段。我們現在來看看如何發現隱藏的 SSID。實踐時間 發現隱藏的 SSID執行下列指南以開始：1. 使用 Wireshark，如果我們監控Wireless Lab網絡中的信標幀信標幀，我們就能夠以純文本查看 SSID。你應該能看到信標真，像這樣：2. 配置你的接入點來隱藏Wireless Lab網絡的 SSID。這個配置項在

3、不同接入點中可能不同。這里，我需要檢查Visibility Status選項的Invisible選項，像這樣：3. 現在如果你查看 Wireshark 的記錄，你會發現Wireless Lab的 SSID從信標幀中消失了。這是隱藏 SSID 所做的事情：4. 為了繞過信標幀，我們首先使用被動技巧來等待正常客戶端連接到接入點。這會生成探測請求和響應，它包含網絡的 SSID，從而揭示它的存在。5. 作為替代，你可以使用aireplay-ng來發送接觸驗證封包給所有代表Wireless Lab接入點的路由器，通過輸入：aireplay-ng -0 5 -a <mac> -ignore-n

4、egative mon0，其中<mac>是路由器的 MAC 地址。-0選項用于選則接觸驗證攻擊，5是要發送的封包數量。最后，-a指定了所定位的接入點的 MAC 地址。6. 接觸驗證的過程會強迫所有正常客戶端斷開連接并重連。為接觸驗證的封包添加個過濾來單獨查看它們是個好主意。7. 來自接入點的探測響應最后會發現 SSID。這些封包會出現在 Wireshark 中。一旦正常客戶端連接回來了，我們就可以通過探針的請求和響應幀來查看隱藏的 SSID。可以使用過濾器(wlan.bssid = 00:21:91:d2:8e:25) && !(wlan.fc.type_subty

5、pe = 0x08)來監控所有發往或來自接入點的非信標封包。&&符號代表邏輯 AND 操作符，!符號代表邏輯 NOT 操作符：剛剛發生了什么？即使 SSID 隱藏而且不廣播，當正常的客戶端嘗試連接到接入點時，它們就交換了探測請求和響應的封包。這些封包包含接入點的 SSID。由于這些封包沒有加密，它們可以被非常輕易地嗅探來發現SSID 。我們在之后的章節中會出于其它目的，例如跟蹤，涉及到探測請求。許多情況下，所有客戶端可能已經鏈接到接入點，并且在 Wireshark 記錄中沒有探測請求或響應的封包。這里，我們可以強制客戶端斷開接入點的鏈接，通過發送偽造的解除驗證封包。這些封包會強

6、迫客戶端重新連接到接入點上，從而獲取 SSID。試一試 選擇解除驗證在之前的練習中，我們廣播了解除驗證封包來強制所有無線客戶端重新連接。嘗試驗證如何使用aireplay-ng工具，選擇性對某個客戶端執行它。要注意，即使我們使用 Wireshark 演示了許多概念，但也可以使用其它工具來完成攻擊，例如aircrack-ng套件。我們推薦你探索整個 aircrack-NG 套件以及其它位于官網的文檔：。3.2 MAC 過濾器MAC 過濾器是個古老的技巧，用于驗證和授權，它們根植于有線世界。不幸的是，它們在無線世界中變得十分糟糕。最基本的想法就是基于客戶端的 MAC 地址進行驗證。MAC 過濾器是為

7、網絡接口分配的一段識別代碼，路由器能夠檢查這個代碼并將其與允許的 MAC 列表進行比較。允許的 MAC 地址列表由網絡管理員維護，儲存于接入點中。我們現在要看看繞過 MAC 過濾器有多容易。實踐時間 繞過 MAC 過濾器讓我們遵循以下指南來開始：1. 讓我們首先配置我們的接入點來使用 MAC 過濾，之后添加受害者筆記本的客戶端 MAC 地址。我的路由器上的設置頁面是這樣：2. 一旦開啟了 MAC 過濾，只有允許的 MAC 地址能夠成功被接入點驗證。如果我們嘗試從不在 MAC 地址白名單中的機器連接接入點，就會失敗。3. 在這個場景背后，接入點發送驗證失敗的消息給客戶端。封包記錄像這樣：4. 為

8、了繞過 MAC 過濾器，我們可以使用airodump-ng來尋找連接到接入點的客戶端 MAC 地址。我們可以通過輸入airodumpng -c 11 -a -bssid <mac> mon0命令。通過指定bssid命令，我們只監控接入點，這是我們所感興趣的。-c 11命令將頻道設置為接入點所在的11。-a命令確保在airodump-NG輸出的客戶端部分中，只展示相關客戶端，以及到接入點的連接。這會向我們展示所有和接入點相關的客戶端 MAC 地址。5. 一旦我們找到了白名單中的客戶端 MAC 地址，我們可以使用macchanger工具來修改客戶端的 MAC 地址，Kali自帶這個工具

9、。你可以使用macchanger m <mac> wlan0命令來完成。你使用-m命令指定的 MAC 地址就是wlan0接口的新 MAC 地址。6. 你可以看到，將 MAC 地址修改為白名單客戶端之后，我們現在能夠連接接入點了。剛剛發生了什么？我們使用airodump-ng監控了空氣，找到了連接到無線網絡的正常用戶的 MAC 地址。之后我們可以使用macchanger工具來修改無線網卡的 MAC 地址，與客戶端保持一致。這會欺騙接入點，使其相信我們是正常耳朵客戶端，它會允許我們訪問它的無線網絡。我們鼓勵你探索airodump-NG工具的不同選項，通過訪問官網的文檔：。3.3 開放驗

10、證術語“開放驗證”是個誤解，因為它實際上不提供任何驗證。當接入點配置為使用開放驗證的時候，所有連接它的客戶端都可以成功驗證。我們現在使用開放驗證來獲得驗證并連接到接入點。實踐時間 繞過開放驗證讓我們現在看看如何繞過開放驗證。1. 我們首先將我們的接入點Wireless Lab設置為開放驗證。在我的接入點中，這可以通過將Security Mode設為Disable Security來輕易完成。2. 我們之后使用iwconfig wlan0 essid Wireless Lab命令來連接到這個接入點，之后驗證我們到接入點的連接是否成功。3. 要注意我們沒有提供任何用戶名/密碼來通過開放驗證。剛剛發

11、生了什么？這可能是目前為止最簡單的練習了。你可以看到，在連接到開放驗證網絡和連接到接入點時沒有任何障礙。3.4 共享密鑰驗證共享密鑰驗證使用例如 WEP 的共享密鑰來驗證客戶端。信息的交換展示在這張圖中：無線客戶端發送驗證請求給接入點，它會回復一個 challenge。現在客戶端需要使用共享密鑰加密這個 challenge，并發送ui接入點，接入點解密它來檢查是否它可以恢復原始的 challenge 文本。如果成功了，客戶端就驗證成功，如果沒有，它會發送驗證失敗的信息。這里的安全問題是，攻擊者可以被動監聽整個通信，通過嗅探空氣來訪問 challenge 的純文本和加密文本。他可以使用 XOR

12、操作來獲取密鑰流。密鑰流可以用于加密任何由接入點發送的未來的 challenge，而不需要知道真實的密鑰。這種共享驗證的常見形式就是 WEP，或者無線等效協議。它易于破解，并且由數不清的工具用于使破解 WEP 網絡變得容易。這個練習中，我們會了解如何嗅探空氣來獲取 challenge 或者加密后的 challenge，獲取密鑰流，使用它來驗證接入點，而不需要共享密鑰。實踐時間 繞過共享驗證繞過共享驗證比上一個練習更加困難，所以仔細遵循下列步驟：1. 讓我們首先為我們的Wireless Lab網絡建立共享驗證。通過將安全模式設置為 WEP ，將驗證設置為Shared Key，我們已經在我的接入點

13、上完成了設置。2. 讓我們現在將正常的客戶端連接到該網絡，使用我們在第一步設置的共享密鑰。3. 為了繞過共享密鑰驗證，我們首先需要嗅探接入點和客戶端之間的封包。但是，我們也需要記錄整個共享密鑰的交換。為了完成它，我們使用airodump-ng工具的airodump-ng mon0 -c 11 -bssid <mac> -w keystream命令。-w選項在這里是新增的，讓 Airodump-NG 在keystream為前綴的文件中儲存信息。順便，在不同文件中儲存不同的封包捕獲的會話是個好主意。這允許你在很長時間之后分析它們。4. 我們可以等待正常客戶端連接到接入點，或者使用之前用

14、過的解除驗證的技術強迫重新連接。一旦客戶端連接并且工項密鑰驗證獲得成功，airodump-ng就會通過嗅探空氣自動捕獲這個改變。當AUTH列出現了WEP，就說明捕獲成功。5. 捕獲到的密鑰流儲存在當前目錄keystream為前綴的文件中。我這里的文件名稱是。6. 為了偽造共享密鑰驗證，我們使用aireplay-ng工具。我們執行aireplay-ng -1 0 -e "Wireless Lab" -y keystream01-00-21-91-D2-8E-25.xor -a <mac> -h AA:AA:AA:AA:AA:AA mon0命令。這個aireplay

15、-ng的命令使用我們之前獲得的密鑰流，并嘗試驗證 SSID 為 Wireless Lab，MAC 地址為address 00:21:91:D2:8E:25的接入點。啟動 WIreshark，并通過wlan.addr = AA:AA:AA:AA:AA:AA過濾器嗅探所有感興趣的封包。我們可以使用 Wireshark 來驗證它。你應該能在 Wireshark 的界面上看到記錄，像這樣：7. 第一個封包是驗證請求，由aireplay-ng工具發給接入點：8. 第二個封包由接入點發給客戶端的 challenge 文本組成，像這樣：9. 第三個封包中，這個工具向接入點發送了加密的 challenge。1

16、0. 由于aireplay-ng工具將導出的密鑰流用于江米，驗證會成功，接入點會在第四個封包中發送成功消息。11. 在驗證成功過之后，這個工具偽造了接入點的關聯，像這樣：12. 如果你在你的接入點管理界面中的無線日志中查看，你會看到 MAC 地址為AA:AA:AA:AA:AA:AA的客戶端建立了連接。剛剛發生了什么？我們成功從共享驗證交換中導出了密鑰流，并且使用它來偽造接入點的驗證。試一試 填滿接入點的表格接入點擁有最大客戶端數量，超過之后它們就會拒絕連接。通過為aireplay-ng編寫一個小型的包裝器，我們就可以自動發送數百個連接請求，從隨機的 MAC 地址發往接入點。這會填滿路由器的內部表格，一旦達到了最大客戶端數量，接入點會停止接受新的連接。這通常叫做拒絕服務（DoS）工具，可以強制路由器重啟或使其失去功能。這也可以導致所有無線客戶端失去連接以及不能使用授權后的網絡。小測驗 WLAN 驗證Q1 如何強迫無線客戶端重新連接到接入點？1. 發送解除驗證的封包2. 重啟客戶端3. 重啟接入點4. 以上全部Q2 開放驗證是干什么的？1. 提供了適當的安全2. 不提供任何阿暖3. 需要使用加密4. 以上都不是Q3 如何破解共享密鑰驗證？1. 從封包中導出密鑰流2. 導出加密密鑰3. 向接入點發送解除驗證的封包4. 重啟接