作者简介:爱安全团队成立于2011年,成员们主要由来自各大名校与IT企业的白帽子,安全工程师组成 是一个非常年轻、有活力的非企运营安全技术研究团队,涉猎研究领域有web安全、无线安全、二进制安全、移动安全等。 0x00 前言: 无线WI-FI在慢慢地渗透入我们的生活,家庭、企业、商场、街道上,无处不在。 家庭网络的架构相对简单,网络设备比较低端,支持Feature较少,安全隐患较大。尽管目前市面上的家用路由器基本上都支持802.1x,但是很少有人会特意去准备一台认证服务器。大多数的家庭网络使用的都是WPA/WPA2家庭版的认证体系。 有些家庭用户会加上一些安全机制。家用的无线路由器(胖AP)一般提供如下的两种安全机制:
除此之外,家用路由器(胖AP)会集成DHCP Server的功能,如果关闭了DHCP Server,STA就必须手动指定静态IP/Mask才可以正常接入,如果开启这个功能,客户端在不知道该广播域的地址/网段的情况下,就没办法正常连接。 可是有了这些限制,就不能愉快地蹭网了吗? 0x01环境介绍
下图是iSafe_Network的安全设置 关闭SSID广播,开启白名单方式的Mac Address Filter,并且添加一个合法MAC地址: 关闭VLAN10的DHCP服务: 0x02合法主机测试连接
0x03破解密码并拿到未广播的SSID 首先,对该无线WIFI抓包,由于未广播SSID(Beacon帧中不携带具体SSID),所以只能看到它的长度为13(iSafe_Network一共13个字符) 由于未广播SSID,客户端连接时必须要在ProbeRequest帧中携带SSID,即我们说的主动探测。 我们可以这样理解: 客户端喊”某SSID 某SSID 你在这附近吗?” AP的回应报文即为Probe Response。由于802.11协议管理帧属于广播帧又不会加密,因此作为攻击者,我们也会抓到Probe报文,这时候SSID就得到了。 当客户端连接时,即可获得SSID。然后再破解密码,bingo! 0x04 拿到该网络的三层地址即IP地址/子网掩码 注:方法很多,仅介绍一种 找到我们抓到的带有四次握手的cap报文,wireshark打开它,现在是加密的。Edit(编辑)》Preference(首选项)》Protocol(协议) IEEE 802.11》Enable Decrypt(使能解密)》DecryptionKey Edit(编辑解密密钥)》新建》选择wpa-pwd 》输入PSK:SSID》确定 这时,已经是明文了,当然还会有802.11报文存在,你只要使用Filter即可。 虽然我们可以在网络层获得IP地址,但是子网掩码是不会携带在IP报文中的,因为他对于域外主机来说毫无意义,当然这时候已经很简单了,下面介绍几个判断网络长度的技巧:
于是我们根据上面的几个小技巧,成功判断出iSafe_Network的网络为172.31.10.0/24,设置一下我们的网卡的静态ip地址即可,注意不要出现地址重复的现象,过程略。 0x05 突破Mac AddressFilter 在我们抓包的时候,就看到了一个客户端了,记下他的mac地址(即这个xxxx.xx9a.8869) 然后我们把自己的网卡的MAC地址修改为这个合法MAC即可,修改前需要先down掉网卡。在Windows下有很多mac地址修改器,下载修改,此处不做描述。 0x06 尽情的蹭网吧! 当然,本文应用范围有一定的局限,但是,思路更重要,不是吗? 其他推荐: 301在路上 更多分享更多爱,常按二维码关注301在路上 |
|