第九章 無(wú)線滲透測(cè)試方法論

作者：Vivek Ramachandran, Cameron Buchanan

譯者：飛龍

協(xié)議：CC BY-NC-SA 4.0

空談不如實(shí)干。

-- 諺語(yǔ)

這一章會(huì)列出一些步驟，用于使用前幾章所教授的技巧，并把它們變?yōu)橥暾臒o(wú)線滲透測(cè)試。

無(wú)線滲透測(cè)試

為了進(jìn)行無(wú)線滲透測(cè)試，遵循確定的方法論十分重要。僅僅執(zhí)行airbase或airodump命令，并抱有樂(lè)觀的心態(tài)并不滿足測(cè)試目標(biāo)。在作為滲透測(cè)試者工作的時(shí)候，你必須確保遵循為其工作的組織標(biāo)準(zhǔn)，并且如果它們沒(méi)有的話，你應(yīng)該遵循你自己的最高標(biāo)準(zhǔn)。

寬泛地說(shuō)，我們可以將無(wú)線滲透測(cè)試劃分為下列階段：

1. 規(guī)劃階段
2. 探索階段
3. 攻擊階段
4. 報(bào)告階段

我們現(xiàn)在會(huì)分別觀察這些階段。

規(guī)劃

在這個(gè)階段，我們必須懂得下列事情：

• 評(píng)估范圍：滲透測(cè)試者應(yīng)該與客戶端打交道，來(lái)定義所要到達(dá)的范圍，并且同時(shí)獲得網(wǎng)絡(luò)安全的大量洞察。通常，需要收集下列信息：

  • 滲透測(cè)試的位置
  • 區(qū)域的全部覆蓋范圍
  • 所部署的接入點(diǎn)和無(wú)線客戶端近似數(shù)量
  • 涉及到哪個(gè)無(wú)線網(wǎng)絡(luò)
  • 是否存在利用
  • 是否需要針對(duì)用戶的攻擊
  • 是否需要拒絕服務(wù)

• 工作量估計(jì)：基于所定義的范圍，測(cè)試者之后需要估算需要多少時(shí)間。要記住在此之后可能需要重新定義范圍，因?yàn)榻M織可能在時(shí)間和金錢(qián)上只有有限的資源。

• 合法性：在執(zhí)行測(cè)試之前，客戶必須達(dá)成移植。這應(yīng)該用于解釋被涉及的測(cè)試，以及清晰定義補(bǔ)償?shù)燃?jí)、保險(xiǎn)和范圍限制。如果你不確定，你需要和這個(gè)區(qū)域內(nèi)的專家溝通。多數(shù)組織擁有他們自己的版本，也可能包含保密協(xié)議（NDA）。

一旦滿足了所有先決條件，我們就可以開(kāi)始了。

探索

這個(gè)階段中，目標(biāo)是識(shí)別和應(yīng)用范圍內(nèi)無(wú)線設(shè)備和無(wú)線網(wǎng)絡(luò)的特征。

所有用于完成它的技術(shù)已經(jīng)在之前的章節(jié)中列出了，簡(jiǎn)單來(lái)說(shuō)，目標(biāo)就是：

• 枚舉區(qū)域內(nèi)所有可見(jiàn)和隱藏的無(wú)線網(wǎng)絡(luò)。
• 枚舉區(qū)域內(nèi)的設(shè)備，以及連接到目標(biāo)網(wǎng)絡(luò)的設(shè)備。
• 映射區(qū)域內(nèi)的網(wǎng)絡(luò)，它們能夠從哪里到達(dá)，以及是否有一個(gè)地方，惡意用戶可以在這里執(zhí)行攻擊，例如咖啡廳。

所有這些信息應(yīng)該被記錄。如果測(cè)試僅限于偵查行為，測(cè)試在這里就結(jié)束了，測(cè)試者會(huì)試圖基于這些信息作總結(jié)。一些語(yǔ)句對(duì)于客戶可能有用，像這樣：

• 連接到開(kāi)放網(wǎng)絡(luò)和公司網(wǎng)絡(luò)的設(shè)備數(shù)量
• 擁有可以通過(guò)某個(gè)解決方案，例如 WiGLE ，連接到某個(gè)區(qū)域的網(wǎng)絡(luò)的設(shè)備數(shù)量
• 存在弱加密
• 網(wǎng)絡(luò)設(shè)置非常強(qiáng)大

攻擊

一旦完成了偵查，就必須執(zhí)行利用，用于證明概念。如果攻擊作為紅方或者更寬泛的評(píng)估的一部分，就應(yīng)該盡可能秘密地執(zhí)行利用來(lái)獲得網(wǎng)絡(luò)的訪問(wèn)權(quán)。

在我們的攻擊階段，我們會(huì)探索下列事情：

• 破解加密
• 攻擊設(shè)施
• 入侵客戶端
• 發(fā)現(xiàn)漏洞客戶端
• 發(fā)現(xiàn)未授權(quán)的客戶端

破解加密

第一步是獲得所識(shí)別的任何漏洞網(wǎng)絡(luò)的密鑰。如果網(wǎng)絡(luò)存在 WEP 加密，執(zhí)行第四章中的 WEP 破解方法。如果它是 WPA2 加密的，你有兩個(gè)選擇。如果要秘密行動(dòng)，在人們可能驗(yàn)證和解除驗(yàn)證的時(shí)間段，達(dá)到現(xiàn)場(chǎng)幾次，這些時(shí)間段是：

• 一天的開(kāi)始
• 午飯時(shí)間
• 一天的結(jié)束

這時(shí)，配置好你的 WPA 密鑰檢索器，像第四章那樣。也可以執(zhí)行解除驗(yàn)證攻擊，就像第六章那樣。

在成熟的組織中，這會(huì)產(chǎn)生噪聲，并更容易被發(fā)現(xiàn)。

如果企業(yè)級(jí) WPA 存在，要記住你需要使用偵查階段收集的信息來(lái)定位正確的網(wǎng)絡(luò)，并將你的偽造站點(diǎn)配置好，就像第八章那樣。

你可以嘗試破解所有密碼，但是要記住有些是不能破解的。遵循測(cè)試的指南，檢查無(wú)線管理員所使用的密碼，看看密碼是否足夠安全。你作為測(cè)試者，不要由于工具或運(yùn)氣原因而失敗。

攻擊設(shè)施

如果網(wǎng)絡(luò)訪問(wèn)由破解加密獲得，如果允許的話，在范圍內(nèi)執(zhí)行標(biāo)準(zhǔn)的網(wǎng)絡(luò)滲透測(cè)試。至少應(yīng)該執(zhí)行下面這些：

• 端口掃描
• 識(shí)別運(yùn)行的設(shè)備
• 枚舉任何開(kāi)放的服務(wù)，例如無(wú)驗(yàn)證的 FTP、SMB 或者 HTTP
• 利用任何識(shí)別的漏洞服務(wù)

入侵客戶端

在枚舉和測(cè)試所有無(wú)線系統(tǒng)之后，我們可以對(duì)客戶端執(zhí)行多種適合的攻擊。

必要的話，在判斷哪個(gè)客戶端容易受到 Karma 攻擊之后，創(chuàng)建蜜罐來(lái)迫使他們使用第八章中的方式連接。通過(guò)這種方式我們可以收集到多種有用的信息片段，但是要確保收集到的信息出于某個(gè)目的，并且以更安全的方式儲(chǔ)存、傳播和使用。

報(bào)告

最后，在測(cè)試的末尾，需要將你的發(fā)現(xiàn)報(bào)告給客戶。確保報(bào)告符合測(cè)試的質(zhì)量非常重要。由于客戶僅僅會(huì)看到你的報(bào)告，你需要在執(zhí)行測(cè)試的時(shí)候額外關(guān)注它。下面是報(bào)告大綱的指南：

• 管理總結(jié)
• 技術(shù)總結(jié)
• 發(fā)現(xiàn)：
  • 漏洞描述
  • 嚴(yán)重性
  • 受影響的設(shè)備
  • 漏洞類型 -- 軟件/硬件/配置
  • 補(bǔ)救措施
• 附錄

管理總結(jié)是為了匯報(bào)給非技術(shù)聽(tīng)眾，應(yīng)該專注于較高等級(jí)所需的影響和解決方案。避免太技術(shù)化的語(yǔ)言并確保涉及到了根本原因。

技術(shù)總結(jié)應(yīng)該在管理總結(jié)和發(fā)現(xiàn)列表之間取得平衡。它的聽(tīng)眾是開(kāi)發(fā)者或者技術(shù)領(lǐng)導(dǎo)，專注于如何解決問(wèn)題，和能夠?qū)崿F(xiàn)的更寬泛的解決方案。

發(fā)現(xiàn)列表應(yīng)該在較低等級(jí)描述每個(gè)漏洞，解釋用于識(shí)別、復(fù)制的方式，以及缺陷。

附錄應(yīng)該包含額外的信息，它們不能較短地描述。任何截圖、POC、和竊取的數(shù)據(jù)應(yīng)該展示在這里。

總結(jié)

這一章中，我們討論了執(zhí)行范圍內(nèi)的無(wú)線測(cè)試的方法論，并且引用了每一步的相關(guān)章節(jié)。我們也列出了用于報(bào)告錯(cuò)誤的方法，以及使技術(shù)數(shù)據(jù)更加漂亮的技巧。下一章是最后一章，我們會(huì)涉及到自從這本書(shū)第一版發(fā)布以來(lái)的心肌橋，WPS，以及探針監(jiān)控。