BackTrack2下破解无线WPA-PSK加密实战
文/图作者:Christopher Yang [ZerOne]
---转载请注明作者及出处,谢谢
写在前面的话:
再续前文,书接上一回.....之前已讲述了BackTrack2下关于无线接入点采用WEP64/128位加密的破解,那只是个开始...........应更多人的需要,这里继续深入阐述无线接入点更高级加密即WPA-PSK-TKIP及AES的破解。技术是双刃剑,请大家遵守相关法律及法规。
呵呵,这里也借此打击一下某些自认为采用WPA高级加密就万事无忧的机构部门和个人,望引起对安全理念的更深层次理解。
关于WPA-PSK加密原理这里就不再重述,提示:查看该帖前最好有BackTrack2下破解WEP加密的经验,因为一些以前出现过的小问题这里不再反复回答,请查看之前我发的相关主帖。
无线接入点WPA-PSK加密破解步骤:
注:由于某些原因,我隐去了部分MAC地址,希望各位理解。
首先,在测试用D-LINK的无线AP上配置加密级别为WPA-PSK,启用TKIP。
然后,这里在攻击者笔记本上使用BackTrack2光盘启动引导系统,也就是我之前说的BT2,无线破解只是其中一个功能而已。
在进入系统后,进入方法光盘上直接就有提示,进入到Shell后
输入:startx 进入到图形界面
在图形界面中,打开一个Shell,如下图,输入ifconfig -a 察看当前网卡
这里我就使用USB网卡为例,可以看到有一个名为rausb0的网卡,状态是未载入,这里先不载入网卡驱动。
应先升级Aircrack-ng 0.7 r214至较新版本AirCrack-ng 0.9.1r784,方法如下
输入: cd /
cd pentest/wireless
update-aircrack.sh 通过网络来升级,速度取决于网络,见下图:
[快车下载]wpa-yang-1.jpg:
升级完成后,输入aircrack-ng确认当前版本是否更新至aircrack-ng 0.9.1 r784,如下图:
[快车下载]wpa-yang-2.jpg:
接下来即可输入
ifconfig -a rausb0 up来载入USB网卡驱动,见下图:
[快车下载]wpa-yang-3.jpg:
下来,我们可以使用如Kismet、Airosnort等工具来扫描当前无线网络的AP,若使用Kismet的话,可以看到该软件很清晰地给出AP频道、流量及加密状况,这里就不再抓图了。
然后,我们需要将网卡激活成monitor模式,才可以进行后续的破解,命令如下:
airmon-ng start rausb0 ,这里注意:若前面没有升级过,则显示如下:
[快车下载]wpa-yang-4.jpg:
若已升级至aircrack-ng 0.9.1,则显示如下,可看到驱动已修正并正常加载:
[快车下载]wpa-yang-5.jpg:
然后输入下列命令开始嗅探并抓包
airodump-ng -w ciw.cap --channel 6 rausb0 ,这里ciw.cap就是我设置的抓包文件名,回车后可看到采用的是WPA-PSK-TKIP加密,如下图:
[快车下载]wpa-yang-6.jpg:
这里为了便于WPA握手验证包的获取,必须进行Deauth验证攻击,这个对于采用WPA验证的AP攻击都会用到,可以迫使AP重新与客户端进行握手验证,从而使得截获成为可能。命令如下
aireplay-ng -0 10 -a AP's MAC rausb0
或者
aireplay-ng -0 10 -a AP's MAC -c Client's MAC rausb0
解释一下:-0指的是采取Deautenticate攻击方式,后面为发送次数,-a后面跟上要入侵的AP的MAC地址,-h建议还是使用,效果会更好,这个后面跟的是监测到的客户端MAC地址,如上图中显示的,最后是指定USB无线网卡,如下图:
[快车下载]wpa-yang-7.jpg:
这里注意,Deauth攻击往往并不是一次攻击就成功,为确保成功截获需要反复进行,需要说明的是,攻击期间很可能会导致该AP的其它无线客户端无法正常上网即断网频繁,如下图所示,而且对于一些低端AP严重会导致其无线功能假死,无法ping通,需重起。我的Dlink和网件AP就是这样反复攻击被废掉的........我可怜的AP啊,Tange、Zero,我可就指望你们这次的AP来继续试验了,哈哈
[快车下载]wpa-yang-8.jpg:
下来,建立破解WPA-PSK所需的字典,关于字典建立的工具有很多,这里鉴于篇幅不再深究,大家可自行建立。呵呵,其实BackTrack2已为我们备好了破解字典,具体如下:
输入:zcat /pentest/password/dictionaries/wordlist.txt.Z > password.txt
接下来,将字典cp回当前目录下,就可以同步开启aircrack-ng来进行同步破解了,命令如下:
aircrack-ng -w password.txt ciw.cap这里-w是字典破解模式,password.txt就是刚才建立的字典,后面是我们即时保存的那个捕获到WPA验证的抓包文件,回车后等待就可破开看到下图了
[快车下载]wpa-yang-10.jpg:
转自中国无线门户,原文地址:
请注意,破解时间取决于密码难易程度,字典包含程度,内存及CPU等,一般来说,破解WEP加密的时间最快可在1分钟左右,但破解WPA-PSK除非字典确实很对应,最快的1分钟内即可,但绝大多数情况下都是要花少则20分钟,多则数小时。如上图就花费了40分钟,毕竟,不是所有人都使用类似test、admin123之类密码的。
除了AirCrack-ng,这里也可以使用Cowpatty进行WPA-PSK的破解,如下:
使用Ethereal,WireShark之类嗅探工具打开之前抓取的包含WPA握手的cap文件,使用eapol进行过滤,可看到抓取的Key数据,如下图
[快车下载]wpa-yang-11.jpg:
另存为wpa.cap,如下图:
[快车下载]wpa-yang-12.jpg:
然后就可使用Cowpatty配合字典进行破解了,具体参数如下:
cowpatty -f passd.txt -r wpa.cap -s AP’sSSID -v
解释一下:这里-f是字典破解模式,passd.txt为字典,-r后面是刚另存的WPA验证的抓包文件,-s后面跟的是监测到AP的ESSID,最后-v是显示详细过程,
下图为使用Cowpatty破解WPA加密界面
[快车下载]wpa-yang-13.jpg:
下图为破解WPA加密成功后界面
[快车下载]wpa-yang-14.jpg:
此时既然已经获得WPA-PSK加密密码,即可在自己无线网卡上进行对应配置,就可以通过该AP上网了。当然,换句话说,也就连接到对方内网了,嘿嘿,如此一来,无论对方在有线网络采用多强大的防火墙、IDS的配置架构,或者采取什么Linux、BSD、Unix操作系统,我们完全可以通过对无线网络的入侵将其全部绕过,直接攻入内网。对指定目标的渗透,若无法通过注入提权之类的方式进入,不妨从无线领域试试,或许会有意想不到的收获
一些细节:
很多新手在进行WPA破解时都会面临网卡驱动不支持的情况,这里为保证更多网卡的驱动能够识别并正常载入,一定要先升级Aircrack-ng 0.7 r214至较新版本AirCrack-ng 0.9.1r784。
没有截获到WPA握手的数据包,在破解时会如下图所示:
[快车下载]wpa-yang-15.jpg:
在使用AirCrack-ng破解WPA时,也可以这样输入:
aircrack-ng -w password.txt -z ciw.cap
这里-z是采用aircrack-ptw模式破解,该模式只存在于aircrack-ng0.9.1以上版本或aircrack-ptw,其破解速度有时比-ng模式会更快些,主要在于其所需截获的内容更少,破解界面见下图
[快车下载]wpa-yang-16.jpg:
对于其他操作系统而言,破解原理及过程基本类似,只是工具及命令上的区别,如其它Linux,BSD,MacOS等,这里不再重复发帖,只给出一个图例,如下图为在Ubuntu下成功破解WPA加密界面
[快车下载]wpa-yang-17.jpg:
最后: 我是ZerOne安全小组组长 Christopher Yang,本文原稿写于2007年6月,原为ZerOne内部交流资料,此次发出为提高整体安全水平和参加AnyWlan原创奖励计划活动之意,希望此文可加深大家体会无线安全领域发展形势,如文中有不明或表述有误的地方,恭请指正。
ZerOne Security Team之前一直保持低调,最近才决定浮出水面,无线安全是我们其中一个方向,目前正努力和国外相关技术接轨,请大家继续支持。下次我会带来更多最新的无线攻击如WPA2PSK/认证服务器攻击等.....敬请期待。
中国的无线黑客时代已经到来,Join and Enjoy !!
转自中国无线门户,原文地址:
阅读(5545) | 评论(1) | 转发(0) |