1 關(guān)于WPS
WPS(Wi-Fi Protected Setup,Wi-Fi保護(hù)設(shè)置)是由Wi-Fi聯(lián)盟(http://www.wi-fi.org/) 組織實(shí)施的認(rèn)證項(xiàng)目,主要致力于簡化無線網(wǎng)絡(luò)的安全加密設(shè)置。
在傳統(tǒng)方式下,用戶新建一個(gè)無線網(wǎng)絡(luò)時(shí),必須在接入點(diǎn)手動(dòng)設(shè)置網(wǎng)絡(luò)名( SSID)和 安全密鑰,然后在客戶端驗(yàn)證密鑰以阻止“不速之客”的闖入。Wi-Fi Protected Setup能幫 助用戶自動(dòng)設(shè)置網(wǎng)絡(luò)名( SSID)、配置最高級別的WPA2安全密鑰,具備這一功能的無線 產(chǎn)品往往在機(jī)身上設(shè)計(jì)一個(gè)功能鍵,稱為WPS按鈕,用戶只需輕輕按下該按鈕或輸入PIN 碼,再經(jīng)過兩三步簡單操作即可完成無線加密設(shè)置,同時(shí)在客戶端和路由器之間建立一個(gè) 安全的連接。
用戶可在產(chǎn)品包裝上尋找Wi-Fi PROTECTED SETUP的標(biāo)識,以確保所購產(chǎn)品 具備WPS功能。具備WPS功能的無線產(chǎn)品都會(huì)在其機(jī)體外殼上注明WPS標(biāo)識,如 圖11-1所示。
2 WPS的基本設(shè)置
由于元線路由器的品牌和型號不同,下述步驟將稍有偏差。
@運(yùn)用配置程序選擇“連接到帶有WPS的無線網(wǎng)絡(luò)”。
@個(gè)別無線設(shè)備需要按住路由器上的WPS按鈕,或者用其他計(jì)算機(jī)登錄到路由器頁面,如圖11-2所示,在有關(guān)頁面選擇連接計(jì)算機(jī)。
@在無線網(wǎng)卡配置工具上選擇PBC連接形式,或者在無線網(wǎng)卡上按圖11-3中的WPS按鍵。
@等待數(shù)秒鐘,連接成功。
整個(gè)流程與TCP/IP的三次握手協(xié)議類似,看起來只有一呼一應(yīng)兩個(gè)聯(lián)系,但是因?yàn)榕?置了120秒超時(shí)的限定,所以實(shí)際上也是一個(gè)三次握手的流程。WPS完成的工作只是一個(gè) 輸入超長密鑰的流程,但因?yàn)椴僮鞯谋憷约凹內(nèi)斯す芸兀沟貌惶菀妆贿\(yùn)用攻擊。
圖11-2 圖11-3
對于市面上的絕大多數(shù)n系列無線路由器來說,都能非常便利地運(yùn)用WPS功能,并且 建立連接的時(shí)間不超過20秒。對一個(gè)初級用戶來說,只要按兩次按鍵就可以建立超長位數(shù) 的WPA2加密,無疑是一項(xiàng)非常有吸引力的功能。不過需要特別注意的是,使用WPS的前 提是使用無線網(wǎng)卡自帶的管理配置程序,不能使用Windows自帶的無線管理配置服務(wù)。
掃描WPS狀態(tài)
1 掃描工具介紹
目前專門支持WPS掃描的工具并不多,不過由于WPS相關(guān)標(biāo)準(zhǔn)的公開,各大廠商在各 自的無線網(wǎng)卡產(chǎn)品配套工具中,都內(nèi)置了WPS掃描及總動(dòng)配置功能。這里介紹兩款工作在 Linux下使用python編寫的小工具,分別為wpscan.py和wpspy.py。其中,wpscan.py用于 掃描開啟WPS功能的無線網(wǎng)絡(luò)設(shè)備,wpspy.py則用來確認(rèn)無線網(wǎng)絡(luò)設(shè)備當(dāng)前WPS狀態(tài)。此 工具套裝可以到http://bogpack.blogbus.com上下載。
安裝很簡單,將wps_tools.tar.gz下載到本地,然后使用tar命令解壓縮,會(huì)看到圖11-4 歷示的內(nèi)容。該壓縮包包含兩個(gè)文件,分別為wpscan.py和wpspy.py。
2掃描開啟WPS功能的無線設(shè)備
工具安裝完畢,即可開始具體的WPS掃描,具體步驟如下:
設(shè)置無線網(wǎng)卡為監(jiān)聽模式。
和之前最基本的坡解過程一樣,在Linux下需要先行使用Aircrack-ng工具套裝中的 airmon-ng工具將無線網(wǎng)卡設(shè)置為監(jiān)聽模式。注:若覺得安裝Aircrack-ng工具套裝很麻煩, 可以考慮直接使用BackTrack4 Linux。具體命令如下:
其中,start后跟具體的無線網(wǎng)卡名稱,此處為wlan0,載入后的監(jiān)聽網(wǎng)卡ID為 mon0。
當(dāng)前采用Ralink 2573芯片的無線網(wǎng)卡已被激活為Monitor監(jiān)聽模式,之后的程序?qū)⒄{(diào) 用名為mon0的無線網(wǎng)卡,如圖11-5所示。
圖11-5
掃描開啟WPS功能的無線設(shè)備。
掃描開啟WPS功能的無線路由器,具體命令如下:
其中,-1后跟無線網(wǎng)卡名稱,這里是mon0。 按【Enterl鍵后稍等片刻,wpscan.py可以將周圍能夠搜索到的開啟WPS的無線路由 器全部列舉出來。如圖11-6所示,掃描出了一款開啟WPS的無線路由器,其SSID為 ZerOne Lab.其具體型號未能顯示,但其芯片組為Ralink。
圖11-6
沒有顯示出產(chǎn)品具體型號也是正常的,因?yàn)椴⒉皇撬械膹S商都會(huì)在WPS中加入廠商 的詳細(xì)信息,這也是出于安全的考慮。不過一些大的廠商都會(huì)在WPS中加入一些信息,比 如在圖11-7中的Model Name處,就識別出Belkin的型號為F5D7230-4的無線路由器,甚 至可以顯示出具體的型號為v9。這也就導(dǎo)致了信息的暴露,所以針對WPS的掃描也是有效 探測無線設(shè)備的方法之一。
圖11-7
監(jiān)測WPS狀態(tài)。
在獲知了存在開啟WPS功能的無線設(shè)備后,即可對其進(jìn)行監(jiān)控,代碼如下:
參數(shù)解釋:
●-i:后跟無線網(wǎng)卡,這里即為mon0。
●-e:后跟SSID,若需要對某指定AP進(jìn)行監(jiān)測,可以使用此項(xiàng),但并不是必需的。
按IEnterl鍵后即可看到圖11-8所示的內(nèi)容,監(jiān)測到SSID為ZerOne Lab的無線路由 器。當(dāng)前WPS功能狀態(tài)為已配置,即WPSState處顯示為Configured。而在WPSPasswordID 處顯示為PushButton,即要求客戶端按無線網(wǎng)卡上的PBC按鍵進(jìn)行連接。
若WPS功能未被配置,則會(huì)幽現(xiàn)圖11-9所示的內(nèi)容,在WPSState處顯示為Not Configured。
圖11-8 圖11-9
在WPS的狀態(tài)改變過程中,使用wpspy.py監(jiān)測的顯示也在不斷變化,這將有助于攻擊 者掌握當(dāng)前的WPS部署情況。如圖11-10所示,兩個(gè)不同的提示表示當(dāng)前WPS正處于調(diào)試 配置過程中,當(dāng)出現(xiàn)WPSPasswordID:PushButton時(shí),將是最利于后續(xù)連接的時(shí)刻。
圖11-10
11.3 使用WPS坡解WPA-PSK密鑰
直接進(jìn)入正題,開始講解如何利用WPS坡解WPA/WPA2密鑰,具體步驟如下:
圓先確認(rèn)當(dāng)前網(wǎng)絡(luò)中是否存在開啟WPS功能的無線設(shè)備。
具體參考本章前面的內(nèi)容,這里不再重復(fù)。
圓打開無線網(wǎng)卡配置工具。
此時(shí)打開無線網(wǎng)卡自帶配置工具,掃描當(dāng)前存在的無線網(wǎng)絡(luò)。如圖11-11所示,可以看 到,之前掃描發(fā)現(xiàn)的SSID名為ZerOne的無線網(wǎng)絡(luò)信號充足,當(dāng)前無線網(wǎng)卡處于其信號范 圍內(nèi)。
需要注意的是,若此時(shí)無法接收到之前掃描的目標(biāo)AP信號,應(yīng)采用為無線網(wǎng)卡加裝高 增益的天線、增大網(wǎng)卡功率、改變當(dāng)前接收位置等多種方法來改善。此外,需要額外注意的 是,不要使用Windows系統(tǒng)自帶的無線網(wǎng)絡(luò)配置工具,否則將無法進(jìn)行下一步無線網(wǎng)卡上 的WPS功能配置。
圖11-11
連接開啟WPS功能無線設(shè)備。
打開無線網(wǎng)卡配置工具中的WPS配置頁面。如圖11-12所示,單擊“重新掃描”按鈕 來確認(rèn)當(dāng)前開啟WPS功能的無線網(wǎng)絡(luò),可以看到在“WPS AP列表”中出現(xiàn)了ZerOne的無 線網(wǎng)絡(luò)設(shè)備。
圖11-12
接下來,單擊下方的PBC按鈕,開始嘗試與該AP進(jìn)行WPS自動(dòng)連接。此時(shí),在 PBC按鈕右側(cè)的狀態(tài)欄中會(huì)出現(xiàn)PBC-Scanning AP的提示,表示當(dāng)前處于掃描WPS設(shè) 備中。
稍等10~20秒左右,會(huì)出現(xiàn)PBC-Get WPS profile successfully提示,即配置成功的提示。 此時(shí),該無線網(wǎng)卡已經(jīng)和SSID名為ZerOne的無線網(wǎng)絡(luò)設(shè)備的WPS匹配成功,并成功連接 至該無線網(wǎng)絡(luò),如圖11-13所示。
圖11-13
此時(shí)若登錄無線路由器,在其上對應(yīng)的WPS設(shè)置中將能看到出現(xiàn)“添加無線設(shè)備成功”, 如圖11-14所示。
查看無線連接加密配置內(nèi)容。
在WPS頁面下可以看到具體的配置內(nèi)容。如圖11-15所示,當(dāng)前已連接網(wǎng)絡(luò)的名稱為 ZerOne,認(rèn)證方法為WPA2-PSK,加密方法為TKIP,密鑰為一系列星號顯示。
圖11-14 圖11-15
坡解WPA-PSK或WPA2-PSK加密。
既然是星號顯示,那么使用星號查看器查看,即可顯示出星號背后真實(shí)的密鑰內(nèi)容。如 圖11-16所示,打開星號密碼查看工具,把鼠標(biāo)光標(biāo)移至密鑰顯示星號的位置,即可在圖11-16 右上角密碼查看工具中看到密碼為longaslast。
也就是說,當(dāng)前SSID名為ZerOne的無線路由器,啟用的WPA2-PSK密鑰為longaslast。 至此,該無線網(wǎng)絡(luò)的WPA2-PSK加密認(rèn)證已被徹底攻破。
圖11-16
對于一些使用長字符串密碼的WPA-PSK或者WPA2-PSK加密,此方法依然有效。如 圖11-17所示,當(dāng)前無線網(wǎng)絡(luò)采用WPA-PSK/WPA2-PSK混合加密方式,具體密鑰采用加密 關(guān)鍵字為無規(guī)律長字符串。
圖11-17
使用星號查看器查看,即可顯示出星號背后真實(shí)的密鑰內(nèi)容。如圖11-18所示,當(dāng) 前SSID名為IPTIME WPS 3424的無線路由器的啟用密鑰為35a08cddc7b07491abd8, 即雖然之前設(shè)置時(shí)輸入長達(dá)60多位的加密密鑰,但在實(shí)際使用時(shí)只有前20位起作用。 這個(gè)原因除了WPA-PSK本身要求密鑰在8~64位之間的定義外,還可能是因?yàn)楫a(chǎn)品不 同而導(dǎo)致的。
圖11-18
11.4 常見配合技巧
為方便讀者學(xué)習(xí)和使用,這里將常見的配合技巧和可能出現(xiàn)的一些問題列舉出來,以供 對比查閱。
11.4.1 常見技巧
一般來說,在無線黑客們的實(shí)際攻擊及測試中,總會(huì)遇到諸如無線路由器WPS功能沒 有開啟、WPS開啟時(shí)間有限制或者當(dāng)前管理員在線但沒有訪問無線路由器進(jìn)行配置等情況, 所以無線黑客也會(huì)使用一些技巧來回避或者繞過這些問題。
1.發(fā)送跨站請求
由于大多數(shù)無線路由器上的WPS功能默認(rèn)是沒有開啟的,而這些無線設(shè)備需要使用者 手動(dòng)進(jìn)入無線路由器的WPS配置頁面,按啟動(dòng)鍵才能開啟WPS功能。在這種情況下,無線 黑客會(huì)考慮結(jié)合其他方式進(jìn)行配合攻擊,比如針對無線設(shè)備的CSRF攻擊。
CSRF的英文全稱是Cross Site Request Forgery,字面上的意思是跨站點(diǎn)偽造請求。以韓 國IPTime品牌無線路由器為例,將攻擊路徑偽造后發(fā)送至具備管理員權(quán)限的用戶,將會(huì)導(dǎo) 致需要手動(dòng)啟動(dòng)的WPS功能在后臺悄悄啟動(dòng),此時(shí)攻擊者即可使用本節(jié)講述的方法與WPS 關(guān)聯(lián)。
關(guān)于針對無線設(shè)備的CSRF攻擊具體細(xì)節(jié)由于涉及較多的Web方面的知識,這里就不 再深入講解。 2.構(gòu)造特殊腳本 和上面提到的CSRF攻擊方式不同的是,構(gòu)造特殊開機(jī)腳本這一方法主要是針對如下情 況:無線黑客已經(jīng)入侵到無線網(wǎng)絡(luò)中,并通過該無線網(wǎng)絡(luò)侵入到其他在線的主機(jī)系統(tǒng),獲取 到管理員權(quán)限。在這一情況下,黑客為了保存自己的“戰(zhàn)果”,會(huì)考慮植入一些木馬等后門 工具。但需要注崽的是,這些木馬可能會(huì)被查殺、當(dāng)前已連接的無線網(wǎng)絡(luò)加密方式及密鑰也 可能被修改等情況。
而構(gòu)造特殊腳本正是應(yīng)對上面提及情況的方法之一。最簡單的腳本可以使用批處理實(shí) 現(xiàn),如下所示的代碼為可以在運(yùn)行后直接訪問WPS配置頁面并開啟WPS功能,但不會(huì)有任 何窗口及提示出現(xiàn)。由于是合法訪問,所以360、卡巴斯基之類的殺毒軟件都不會(huì)報(bào)警。
在上述代碼的基礎(chǔ)上,也可以通過再加入for循環(huán)語句和無線路由器登錄賬戶及密碼, 就可以使得這個(gè)批處理每隔3分鐘訪問一次無線路由器的WPS配置頁面并開啟WPS功能, 換句話說,也就是隨時(shí)開放WPS以便下一次連入。將做好的bat批處理文件放置到網(wǎng)關(guān)服 務(wù)器的組策略中,就是“計(jì)算機(jī)配置”中的“啟動(dòng)腳本”中,保存并退出,放置在這個(gè)位置 的批處理文件將會(huì)在每次服務(wù)器開機(jī)后出現(xiàn)操作系統(tǒng)登錄界面時(shí)直接運(yùn)行,也就是說,只要 主機(jī)再一次重啟后這個(gè)腳本就會(huì)一直在后臺運(yùn)行。
11.4.2常見問題
由于WPS攻擊屬于比較高級的攻擊方式,需要一些技巧的配合。所以在進(jìn)行WPS攻 防測試的時(shí)候,肯定會(huì)遇到一些問題,下面將常見的問題歸納如下,以供讀者參考。
1.無線網(wǎng)卡配置工具中沒有WPS選項(xiàng)?
答:請使用具備WPS功能的元線網(wǎng)卡。目前支持802.lln的無線網(wǎng)卡基本都具備 此項(xiàng)功能,具體請?jiān)谫徺I前仔細(xì)查看外包裝說明上是否出現(xiàn)WPS的描述。再次強(qiáng)調(diào) 一下,當(dāng)在外包裝上產(chǎn)品簡述中出現(xiàn)所謂“一鍵加密”功能的描述時(shí),即為具備WPS 功能。
2.使用wpspy.py或wpscan.py時(shí)出現(xiàn)Killed提示并中斷的問題
答:如圖11-19所示,在監(jiān)控時(shí)可能遇到下述錯(cuò)誤提示,并在末尾出現(xiàn)Killed后自動(dòng) 退出。
圖11-19
這是由于驅(qū)動(dòng)不穩(wěn)定,或者程序本身bug導(dǎo)致,此類中斷情況不影響監(jiān)控效果,重新輸 入命令開啟即可。
