WPA-PSK無(wú)線網(wǎng)絡(luò)破解原理及過(guò)程

作者：shentouceshi 2015-02-05 16:07:40

安全黑客攻防

本文將主要講講WPA-PSK類(lèi)型的無(wú)線網(wǎng)絡(luò)安全問(wèn)題。

本文將主要講講WPA-PSK類(lèi)型的無(wú)線網(wǎng)絡(luò)安全問(wèn)題，首先我們看下802.11協(xié)議相關(guān)的基礎(chǔ)知識(shí)。

802.11常見(jiàn)的幾種認(rèn)證方式：

1、不啟用安全‍‍

‍‍2、WEP‍‍

‍‍3、WPA/WPA2-PSK(預(yù)共享密鑰)‍‍

‍‍4、WPA/WPA2 802.1X (radius認(rèn)證)

具體在路由器的配置界面一般如下圖所示：

WPA-PSK的認(rèn)證過(guò)程：

由于我這里主要分析wpa-psk類(lèi)型的認(rèn)證方式，所以這里就不討論其他的認(rèn)證方式了，通過(guò)抓包分析，我們可以看到wpa-psk的大致認(rèn)證過(guò)程分為以下幾步。

1、無(wú)線AP定期發(fā)送beacon數(shù)據(jù)包，使無(wú)線終端更新自己的無(wú)線網(wǎng)絡(luò)列表。

‍‍2、無(wú)線終端在每個(gè)信道(1-13)廣播ProbeRequest(非隱藏類(lèi)型的WiFi含ESSID，隱藏類(lèi)型的WiFi不含ESSID)。‍‍

‍‍3、每個(gè)信道的AP回應(yīng)，ProbeResponse，包含ESSID，及RSN信息。‍‍

‍‍4、無(wú)線終端給目標(biāo)AP發(fā)送AUTH包。AUTH認(rèn)證類(lèi)型有兩種，0為開(kāi)放式、1為共享式(WPA/WPA2必須是開(kāi)放式)。‍‍

‍‍5、AP回應(yīng)網(wǎng)卡AUTH包。‍‍

‍‍6、無(wú)線終端給AP發(fā)送關(guān)聯(lián)請(qǐng)求包associationrequest數(shù)據(jù)包。‍‍

‍‍7、AP給無(wú)線終端發(fā)送關(guān)聯(lián)響應(yīng)包associationresponse數(shù)據(jù)包。‍‍

‍‍8、EAPOL四次握手進(jìn)行認(rèn)證(握手包是破解的關(guān)鍵)。‍‍

‍‍9、完成認(rèn)證可以上網(wǎng)。#p#

802.11數(shù)據(jù)幀類(lèi)型說(shuō)明

802.11協(xié)議的幀類(lèi)型主要包括管理幀和數(shù)據(jù)幀，我們這里主要用到管理幀：

管理幀的主體包含的固定字段與信息元素是用來(lái)運(yùn)送信息的。管理幀主要以下幾種，負(fù)責(zé)鏈路層的各種維護(hù)功能。

1. Beacon 信標(biāo)幀

主要用來(lái)聲明某個(gè)網(wǎng)絡(luò)的存在。定期(默認(rèn)100s、可自己設(shè)置)傳送的信標(biāo)可讓station得知網(wǎng)絡(luò)的存在，從而調(diào)整加入該網(wǎng)絡(luò)所必需的參數(shù)。

2. Probe Request 探查請(qǐng)求幀

移動(dòng)工作站利用Probe Request探查請(qǐng)求幀來(lái)掃描區(qū)域內(nèi)目前哪些802.11網(wǎng)絡(luò)。

包含2個(gè)字段

SSID：可被設(shè)定為特定網(wǎng)絡(luò)的 SSID 或任何網(wǎng)絡(luò)的 SSID 。

Support rates：移動(dòng)工作站所支持的速率。

3.ProbeResponse探查響應(yīng)幀

如果ProbeRequest所探查的網(wǎng)絡(luò)與之兼容，該網(wǎng)絡(luò)就會(huì)以ProbeResponse幀響應(yīng)。送出最后一個(gè)beacon幀的工作站必須負(fù)責(zé)響應(yīng)所收到的探查信息。

Probe Request幀中包含了beacon幀的所參數(shù)，station可根據(jù)它調(diào)整加入網(wǎng)絡(luò)所需要的參數(shù)。

4.IBSS announcement traffic indication map (ATIM)

IBSS 的通知傳輸只是消息

5.Disassociation and Deauthentication

取消關(guān)聯(lián)、解除驗(yàn)證幀

6. AssociationRequest

關(guān)聯(lián)請(qǐng)求幀

7.Reassociation Request

重新關(guān)聯(lián)

8.Association Response and Reassociation Response

關(guān)聯(lián)響應(yīng)、重新關(guān)聯(lián)響應(yīng)

9.Authentication

身份驗(yàn)證幀 ///Authentication Algorithm Number：用于算法擇

10.Action frame

幀傳送、關(guān)聯(lián)與身份驗(yàn)證的狀態(tài)

State1 ：未經(jīng)認(rèn)證且尚未關(guān)聯(lián) 2 ：已經(jīng)認(rèn)證但尚未關(guān)聯(lián) 3 ：已經(jīng)認(rèn)證且已經(jīng)關(guān)聯(lián)。

下圖是用科來(lái)分析數(shù)據(jù)包顯示的幀類(lèi)型：

#p#

WPA-PSK認(rèn)證四次握手認(rèn)證的過(guò)程：

WPA-PSK破解原理：

用我們字典中的PSK+ssid先生成PMK(此步最耗時(shí)，是目前破解的瓶頸所在)，然后結(jié)合握手包中的客戶端MAC，AP的BSSID，A-NONCE，S-NONCE計(jì)算PTK，再加上原始的報(bào)文數(shù)據(jù)算出MIC并與AP發(fā)送的MIC比較，如果一致，那么該P(yáng)SK就是密鑰。如圖所示：

WPA-PSK破解過(guò)程：

接下來(lái)我們看看如何進(jìn)行抓握手包破解WPA-PSK的無(wú)線AP，我這里用的工具是kali Linux，kali Linux集成了aircrack套件。然后網(wǎng)卡使用的是rtl8187芯片的外置USB網(wǎng)卡。

破解步驟如下：

第一步：把usb網(wǎng)卡插入虛擬機(jī)，并開(kāi)啟網(wǎng)卡到監(jiān)聽(tīng)模式，命令如下：

“ifconfig wlan0 up” 加載usb網(wǎng)卡。‍‍

‍‍“airmon-ng start wlan0” 監(jiān)聽(tīng)模式已激活到mon0。(通過(guò)config 命令查看)。

如果不開(kāi)啟監(jiān)聽(tīng)模式會(huì)報(bào)錯(cuò)如下圖：

第二步：抓包查看有哪些無(wú)線網(wǎng)絡(luò)，抓包的界面如下圖所示：

“airodump-ng mon0” 查看周邊路由AP的信息。

個(gè)人經(jīng)驗(yàn)一般信號(hào)強(qiáng)度大于-70的可以進(jìn)行破解，大于-60就最好了，小于-70的不穩(wěn)定，信號(hào)比較弱。(信號(hào)強(qiáng)度的絕對(duì)值越小表示信號(hào)越強(qiáng))

第三步：選擇要破解的WiFi，有針對(duì)性的進(jìn)行抓握手包，命令如下：

“ airodump-ng--ignore-negative-one -w /tmp/test.cap-c 11 --bssid 40:16:9F:76:E7:DE mon0”

參數(shù)說(shuō)明：-w 保存數(shù)據(jù)包的文件名 –c 信道 –bssid ap的mac地址

(注意test.cap會(huì)被重命名)，也可以用其他工具抓包比如：wireshark、tcpdump，抓到握手包會(huì)有提示。

第四步：為了順利抓到握手包，我們需要使用DEAUTH攻擊使已經(jīng)連接的客戶端斷開(kāi)并重新連接，以產(chǎn)生握手包。(注意：抓握手包破解必須有合法的客戶端才行。)攻擊命令如下：

aireplay-ng-0 111 -a ap'mac mon1‍‍

‍‍aireplay-ng-0 3 -a B8:A3:86:63:B4:06 -c 00:18:1a:10:da:c9 -x 200 mon1

參數(shù)說(shuō)明：-0 Deautenticate 沖突模式 3 發(fā)包次數(shù) -x 發(fā)包速度

抓包可以看到很多deauthentication類(lèi)型的數(shù)據(jù)包：

包結(jié)構(gòu)如下：

抓到的數(shù)據(jù)包打開(kāi)后如下圖：圖中使用wireshark打開(kāi)的，EAPOL類(lèi)型的數(shù)據(jù)包共有4個(gè)，即四次握手的數(shù)據(jù)包。

第五步：接下來(lái)就是破解握手包，命令如下：

aircrack-ng-w pass-haoyong.txt test-03.cap

參數(shù)解釋?zhuān)?w 字典路徑

也可以使用圖形化工具EWSA進(jìn)行破解，Elcomsoft Wireless Security Auditor(EWSA)

號(hào)稱(chēng)可以利用GPU的運(yùn)算性能快速攻破無(wú)線網(wǎng)絡(luò)密碼，運(yùn)算速度相比使用CPU可提高最多上百倍。

上面我們講解了通過(guò)抓握手包破解WPA-PSK認(rèn)證的無(wú)線AP的全過(guò)程，從上述過(guò)程可以看出，如果AP沒(méi)有合法的客戶端連接，或者密碼設(shè)置的足夠復(fù)雜就基本上不可能破解。#p#

通過(guò)WPS破解無(wú)線路由器密碼

接下來(lái)我們看一下另一種破解方式，也就是常說(shuō)的pin碼破解后者叫wps破解。首先了解下什么是wps：

WPS(Wi-FiProtected Setup，Wi-Fi保護(hù)設(shè)置)是由Wi-Fi聯(lián)盟組織實(shí)施的認(rèn)證項(xiàng)目，主要致力于簡(jiǎn)化無(wú)線網(wǎng)絡(luò)的安全加密設(shè)置。

功能：

簡(jiǎn)化配置，快速配置一個(gè)基于WPA2的網(wǎng)絡(luò)。

快速連接，輸入pin碼或按下WPS鍵即可完成網(wǎng)絡(luò)連接。

問(wèn)題：

由于WPS存在漏洞，通過(guò)PIN碼可以直接提取上網(wǎng)密碼。

通過(guò)WPS快速配置無(wú)線路由器

我們可以通過(guò)WPS快速配置無(wú)線路由器：步驟如下

1、通過(guò)電腦連接新買(mǎi)的無(wú)線路由器，提示通過(guò)pin碼進(jìn)行設(shè)置，界面如下：

2、輸入pin碼下一步，就會(huì)為路由器自動(dòng)生成一個(gè)足夠復(fù)雜的認(rèn)證方式及密碼：

通過(guò)WPS快速連接已有網(wǎng)絡(luò)

我們也可以通過(guò)WPS快速連接已有網(wǎng)絡(luò)，不用輸入復(fù)雜的密碼：步驟如下(我使用小米手機(jī)進(jìn)行測(cè)試)

1、在手機(jī)上選擇通過(guò)PIN碼進(jìn)行連接或通過(guò)路由器上的WPS按鍵連接。

2、如果選擇前者只需要輸入pin碼即可連接，如果選擇的是后者則只需要按以下路由器上的wps鍵即可完成連接。

#p#

Pin碼破解的原理：

由于WPS存在安全問(wèn)題，通過(guò)PIN碼可以直接提取上網(wǎng)密碼。而pin碼是一個(gè)8位的整數(shù)，破解過(guò)程時(shí)間比較短。WPS PIN碼的第8位數(shù)是一個(gè)校驗(yàn)和，因此黑客只需計(jì)算前7位數(shù)。另外前7位中的前四位和后三位分開(kāi)認(rèn)證。所以破解pin碼最多只需要1.1萬(wàn)次嘗試，順利的情況下在3小時(shí)左右。Wps認(rèn)證流程如下圖：