1、翻譯 2016年10月21日 21:08:42 · 標簽：· kali /· 安全 /· 滲透第三章 繞過 WLAN 身份驗證作者：Vivek Ramachandran, Cameron Buchanan譯者：飛龍協(xié)議：CC BY-NC-SA 簡介安全的錯覺比不安全更加糟糕。 佚名安全的錯覺比不安全更加糟糕，因為你不可能為面對被黑的可能性做準備。WLAN 的身份驗證模式可能很弱，可以被破解和繞過。這一章中，我們會查看一些 WLAN 中所使用的基本的身份驗證模式，以及學習如何破解它們。3.1 隱藏的 SSID在默認的配置模式下，所有接入點都在信標幀中發(fā)送它

2、們的 SSID。這讓附近的客戶端能夠輕易發(fā)現(xiàn)它們。隱藏 SSID 是個配置項，其中接入點并不在信標幀中廣播它的 SSID。因此，只有知道接入點 SSID 的客戶端可以連接它。不幸的是，這個方法不能提供可靠的安全，但是網(wǎng)絡(luò)管理員認為它很安全。隱藏 SSID 不應該被看作安全手段。我們現(xiàn)在來看看如何發(fā)現(xiàn)隱藏的 SSID。實踐時間 發(fā)現(xiàn)隱藏的 SSID執(zhí)行下列指南以開始：1. 使用 Wireshark，如果我們監(jiān)控Wireless Lab網(wǎng)絡(luò)中的信標幀信標幀，我們就能夠以純文本查看 SSID。你應該能看到信標真，像這樣：2. 配置你的接入點來隱藏Wireless Lab網(wǎng)絡(luò)的 SSID。這個配置項在

3、不同接入點中可能不同。這里，我需要檢查Visibility Status選項的Invisible選項，像這樣：3. 現(xiàn)在如果你查看 Wireshark 的記錄，你會發(fā)現(xiàn)Wireless Lab的 SSID從信標幀中消失了。這是隱藏 SSID 所做的事情：4. 為了繞過信標幀，我們首先使用被動技巧來等待正常客戶端連接到接入點。這會生成探測請求和響應，它包含網(wǎng)絡(luò)的 SSID，從而揭示它的存在。5. 作為替代，你可以使用aireplay-ng來發(fā)送接觸驗證封包給所有代表Wireless Lab接入點的路由器，通過輸入：aireplay-ng -0 5 -a <mac> -ignore-n

4、egative mon0，其中<mac>是路由器的 MAC 地址。-0選項用于選則接觸驗證攻擊，5是要發(fā)送的封包數(shù)量。最后，-a指定了所定位的接入點的 MAC 地址。6. 接觸驗證的過程會強迫所有正?？蛻舳藬嚅_連接并重連。為接觸驗證的封包添加個過濾來單獨查看它們是個好主意。7. 來自接入點的探測響應最后會發(fā)現(xiàn) SSID。這些封包會出現(xiàn)在 Wireshark 中。一旦正?？蛻舳诉B接回來了，我們就可以通過探針的請求和響應幀來查看隱藏的 SSID。可以使用過濾器(wlan.bssid = 00:21:91:d2:8e:25) && !(wlan.fc.type_subty

5、pe = 0x08)來監(jiān)控所有發(fā)往或來自接入點的非信標封包。&&符號代表邏輯 AND 操作符，!符號代表邏輯 NOT 操作符：剛剛發(fā)生了什么？即使 SSID 隱藏而且不廣播，當正常的客戶端嘗試連接到接入點時，它們就交換了探測請求和響應的封包。這些封包包含接入點的 SSID。由于這些封包沒有加密，它們可以被非常輕易地嗅探來發(fā)現(xiàn)SSID 。我們在之后的章節(jié)中會出于其它目的，例如跟蹤，涉及到探測請求。許多情況下，所有客戶端可能已經(jīng)鏈接到接入點，并且在 Wireshark 記錄中沒有探測請求或響應的封包。這里，我們可以強制客戶端斷開接入點的鏈接，通過發(fā)送偽造的解除驗證封包。這些封包會強

6、迫客戶端重新連接到接入點上，從而獲取 SSID。試一試 選擇解除驗證在之前的練習中，我們廣播了解除驗證封包來強制所有無線客戶端重新連接。嘗試驗證如何使用aireplay-ng工具，選擇性對某個客戶端執(zhí)行它。要注意，即使我們使用 Wireshark 演示了許多概念，但也可以使用其它工具來完成攻擊，例如aircrack-ng套件。我們推薦你探索整個 aircrack-NG 套件以及其它位于官網(wǎng)的文檔：。3.2 MAC 過濾器MAC 過濾器是個古老的技巧，用于驗證和授權(quán)，它們根植于有線世界。不幸的是，它們在無線世界中變得十分糟糕。最基本的想法就是基于客戶端的 MAC 地址進行驗證。MAC 過濾器是為

7、網(wǎng)絡(luò)接口分配的一段識別代碼，路由器能夠檢查這個代碼并將其與允許的 MAC 列表進行比較。允許的 MAC 地址列表由網(wǎng)絡(luò)管理員維護，儲存于接入點中。我們現(xiàn)在要看看繞過 MAC 過濾器有多容易。實踐時間 繞過 MAC 過濾器讓我們遵循以下指南來開始：1. 讓我們首先配置我們的接入點來使用 MAC 過濾，之后添加受害者筆記本的客戶端 MAC 地址。我的路由器上的設(shè)置頁面是這樣：2. 一旦開啟了 MAC 過濾，只有允許的 MAC 地址能夠成功被接入點驗證。如果我們嘗試從不在 MAC 地址白名單中的機器連接接入點，就會失敗。3. 在這個場景背后，接入點發(fā)送驗證失敗的消息給客戶端。封包記錄像這樣：4. 為

8、了繞過 MAC 過濾器，我們可以使用airodump-ng來尋找連接到接入點的客戶端 MAC 地址。我們可以通過輸入airodumpng -c 11 -a -bssid <mac> mon0命令。通過指定bssid命令，我們只監(jiān)控接入點，這是我們所感興趣的。-c 11命令將頻道設(shè)置為接入點所在的11。-a命令確保在airodump-NG輸出的客戶端部分中，只展示相關(guān)客戶端，以及到接入點的連接。這會向我們展示所有和接入點相關(guān)的客戶端 MAC 地址。5. 一旦我們找到了白名單中的客戶端 MAC 地址，我們可以使用macchanger工具來修改客戶端的 MAC 地址，Kali自帶這個工具

9、。你可以使用macchanger m <mac> wlan0命令來完成。你使用-m命令指定的 MAC 地址就是wlan0接口的新 MAC 地址。6. 你可以看到，將 MAC 地址修改為白名單客戶端之后，我們現(xiàn)在能夠連接接入點了。剛剛發(fā)生了什么？我們使用airodump-ng監(jiān)控了空氣，找到了連接到無線網(wǎng)絡(luò)的正常用戶的 MAC 地址。之后我們可以使用macchanger工具來修改無線網(wǎng)卡的 MAC 地址，與客戶端保持一致。這會欺騙接入點，使其相信我們是正常耳朵客戶端，它會允許我們訪問它的無線網(wǎng)絡(luò)。我們鼓勵你探索airodump-NG工具的不同選項，通過訪問官網(wǎng)的文檔：。3.3 開放驗

10、證術(shù)語“開放驗證”是個誤解，因為它實際上不提供任何驗證。當接入點配置為使用開放驗證的時候，所有連接它的客戶端都可以成功驗證。我們現(xiàn)在使用開放驗證來獲得驗證并連接到接入點。實踐時間 繞過開放驗證讓我們現(xiàn)在看看如何繞過開放驗證。1. 我們首先將我們的接入點Wireless Lab設(shè)置為開放驗證。在我的接入點中，這可以通過將Security Mode設(shè)為Disable Security來輕易完成。2. 我們之后使用iwconfig wlan0 essid Wireless Lab命令來連接到這個接入點，之后驗證我們到接入點的連接是否成功。3. 要注意我們沒有提供任何用戶名/密碼來通過開放驗證。剛剛發(fā)

11、生了什么？這可能是目前為止最簡單的練習了。你可以看到，在連接到開放驗證網(wǎng)絡(luò)和連接到接入點時沒有任何障礙。3.4 共享密鑰驗證共享密鑰驗證使用例如 WEP 的共享密鑰來驗證客戶端。信息的交換展示在這張圖中：無線客戶端發(fā)送驗證請求給接入點，它會回復一個 challenge?，F(xiàn)在客戶端需要使用共享密鑰加密這個 challenge，并發(fā)送ui接入點，接入點解密它來檢查是否它可以恢復原始的 challenge 文本。如果成功了，客戶端就驗證成功，如果沒有，它會發(fā)送驗證失敗的信息。這里的安全問題是，攻擊者可以被動監(jiān)聽整個通信，通過嗅探空氣來訪問 challenge 的純文本和加密文本。他可以使用 XOR

12、操作來獲取密鑰流。密鑰流可以用于加密任何由接入點發(fā)送的未來的 challenge，而不需要知道真實的密鑰。這種共享驗證的常見形式就是 WEP，或者無線等效協(xié)議。它易于破解，并且由數(shù)不清的工具用于使破解 WEP 網(wǎng)絡(luò)變得容易。這個練習中，我們會了解如何嗅探空氣來獲取 challenge 或者加密后的 challenge，獲取密鑰流，使用它來驗證接入點，而不需要共享密鑰。實踐時間 繞過共享驗證繞過共享驗證比上一個練習更加困難，所以仔細遵循下列步驟：1. 讓我們首先為我們的Wireless Lab網(wǎng)絡(luò)建立共享驗證。通過將安全模式設(shè)置為 WEP ，將驗證設(shè)置為Shared Key，我們已經(jīng)在我的接入點

13、上完成了設(shè)置。2. 讓我們現(xiàn)在將正常的客戶端連接到該網(wǎng)絡(luò)，使用我們在第一步設(shè)置的共享密鑰。3. 為了繞過共享密鑰驗證，我們首先需要嗅探接入點和客戶端之間的封包。但是，我們也需要記錄整個共享密鑰的交換。為了完成它，我們使用airodump-ng工具的airodump-ng mon0 -c 11 -bssid <mac> -w keystream命令。-w選項在這里是新增的，讓 Airodump-NG 在keystream為前綴的文件中儲存信息。順便，在不同文件中儲存不同的封包捕獲的會話是個好主意。這允許你在很長時間之后分析它們。4. 我們可以等待正常客戶端連接到接入點，或者使用之前用

14、過的解除驗證的技術(shù)強迫重新連接。一旦客戶端連接并且工項密鑰驗證獲得成功，airodump-ng就會通過嗅探空氣自動捕獲這個改變。當AUTH列出現(xiàn)了WEP，就說明捕獲成功。5. 捕獲到的密鑰流儲存在當前目錄keystream為前綴的文件中。我這里的文件名稱是。6. 為了偽造共享密鑰驗證，我們使用aireplay-ng工具。我們執(zhí)行aireplay-ng -1 0 -e "Wireless Lab" -y keystream01-00-21-91-D2-8E-25.xor -a <mac> -h AA:AA:AA:AA:AA:AA mon0命令。這個aireplay

15、-ng的命令使用我們之前獲得的密鑰流，并嘗試驗證 SSID 為 Wireless Lab，MAC 地址為address 00:21:91:D2:8E:25的接入點。啟動 WIreshark，并通過wlan.addr = AA:AA:AA:AA:AA:AA過濾器嗅探所有感興趣的封包。我們可以使用 Wireshark 來驗證它。你應該能在 Wireshark 的界面上看到記錄，像這樣：7. 第一個封包是驗證請求，由aireplay-ng工具發(fā)給接入點：8. 第二個封包由接入點發(fā)給客戶端的 challenge 文本組成，像這樣：9. 第三個封包中，這個工具向接入點發(fā)送了加密的 challenge。1

16、0. 由于aireplay-ng工具將導出的密鑰流用于江米，驗證會成功，接入點會在第四個封包中發(fā)送成功消息。11. 在驗證成功過之后，這個工具偽造了接入點的關(guān)聯(lián)，像這樣：12. 如果你在你的接入點管理界面中的無線日志中查看，你會看到 MAC 地址為AA:AA:AA:AA:AA:AA的客戶端建立了連接。剛剛發(fā)生了什么？我們成功從共享驗證交換中導出了密鑰流，并且使用它來偽造接入點的驗證。試一試 填滿接入點的表格接入點擁有最大客戶端數(shù)量，超過之后它們就會拒絕連接。通過為aireplay-ng編寫一個小型的包裝器，我們就可以自動發(fā)送數(shù)百個連接請求，從隨機的 MAC 地址發(fā)往接入點。這會填滿路由器的內(nèi)部表格，一旦達到了最大客戶端數(shù)量，接入點會停止接受新的連接。這通常叫做拒絕服務(wù)（DoS）工具，可以強制路由器重啟或使其失去功能。這也可以導致所有無線客戶端失去連接以及不能使用授權(quán)后的網(wǎng)絡(luò)。小測驗 WLAN 驗證Q1 如何強迫無線客戶端重新連接到接入點？1. 發(fā)送解除驗證的封包2. 重啟客戶端3. 重啟接入點4. 以上全部Q2 開放驗證是干什么的？1. 提供了適當?shù)陌踩?. 不提供任何阿暖3. 需要使用加密4. 以上都不是Q3 如何破解共享密鑰驗證？1. 從封包中導出密鑰流2. 導出加密密鑰3. 向接入點發(fā)送解除驗證的封包4. 重啟接