無(wú)線加密破解

/1.2。2攻擊WPＡ加密無(wú)線網(wǎng)絡(luò)（1）

2010—１１—3０14:4９

楊哲

電子工業(yè)出版社

我要評(píng)論（0）摘要：《無(wú)線網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)進(jìn)階》第1章講述的是無(wú)線黑客的多項(xiàng)選擇.本節(jié)為大家介紹攻擊WPA加密無(wú)線網(wǎng)絡(luò)。標(biāo)簽：無(wú)線網(wǎng)絡(luò)

網(wǎng)絡(luò)安全

無(wú)線網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)進(jìn)階1。2。2

攻擊WPA加密無(wú)線網(wǎng)絡(luò)（1）1。傳統(tǒng)WPＡ－PＳK加密破解ＷPＡ-PＳＫ的破解基于WPA－PSＫ握手驗(yàn)證報(bào)文數(shù)據(jù)的獲取與識(shí)別，攻擊者只要能夠獲取到WＰA-PSK握手?jǐn)?shù)據(jù)報(bào)文，就可以導(dǎo)入Aircｒａcｋ-ng進(jìn)行暴力破解。下面將破解WPＡ—PSＫ的標(biāo)準(zhǔn)步驟列舉，然后將其中最關(guān)鍵的步驟予以詳細(xì)說(shuō)明。注意：如表1—3所示wlan0為無(wú)線網(wǎng)卡名稱(chēng)，mｏn0為處于激活狀態(tài)下的無(wú)線網(wǎng)卡名稱(chēng)。表1—3

破解WPA－PSK的標(biāo)準(zhǔn)步驟步驟涉及命令解釋步驟1iｆconfｉgｗｌan０ｕp激活無(wú)線網(wǎng)卡步驟2airmon—ngwｌan0ｕp將無(wú)線網(wǎng)卡設(shè)置為Monitor模式步驟3airｏdump—nｇ-w文件名—c頻道ｍon0開(kāi)始捕獲無(wú)線數(shù)據(jù)包,也可使用--ｉvｓ參數(shù)來(lái)設(shè)定只捕獲ｉvs數(shù)據(jù)續(xù)表步驟涉及命令解釋步驟４aireｐlaｙ—ng—01–aAP的mａc—c客戶(hù)端的ｍacwｌan0進(jìn)行Ｄeａuｔh攻擊獲取WＰA握手報(bào)文步驟５aiｒcraｃk-ng-wdｉc捕獲的ｃaｐ文件破解ＷPA密碼步驟4：進(jìn)行Ｄeauｔh攻擊獲取WPA握手報(bào)文。和破解WEP時(shí)不同，這里為了獲得破解所需的WＰA-PＳK握手驗(yàn)證的整個(gè)完整數(shù)據(jù)包，無(wú)線黑客們將會(huì)發(fā)送一種稱(chēng)之為＂Ｄeauth”的數(shù)據(jù)包來(lái)將已經(jīng)連接至無(wú)線路由器的合法無(wú)線客戶(hù)端強(qiáng)制斷開(kāi),此時(shí)，客戶(hù)端就會(huì)自動(dòng)重新連接無(wú)線路由器,黑客們便有機(jī)會(huì)捕獲到包含ＷＰA—ＰＳK握手驗(yàn)證的完整數(shù)據(jù)包。關(guān)于Deaｕth的概念及原理,請(qǐng)參考本書(shū)后面無(wú)線D.O。S的章節(jié)，此處具體輸入命令如下：aireplay—ng

—0

1

-a

ＡP的maｃ

—c

客戶(hù)端的mａｃ

wlaｎ0

參數(shù)解釋:－0，采用deaｕth攻擊模式,后面跟上攻擊次數(shù)，這里設(shè)置為１,大家可以根據(jù)實(shí)際情況設(shè)置為5～１0不等；—ａ，后跟AP的ＭAＣ地址;-c,后跟客戶(hù)端的MAC地址；按下Enter鍵后將會(huì)看到如圖1-25所示的deautｈ報(bào)文發(fā)送的顯示。

圖1—2５此時(shí)回到aｉrｏｄumｐ-nｇ的界面查看，如圖1－26所示可以看到在右上角出現(xiàn)了”WPAhaｎdshaｋe”的提示，這表示獲得到了包含WPA-PSK密碼的此握手?jǐn)?shù)據(jù)報(bào)文，至于后面是目標(biāo)ＡP的MＡC,這里的AP指的就是要破解的無(wú)線路由器。若沒(méi)有在airoｄump-ng工作的界面上看到上面的提示,那么可以增加Deaｕth的發(fā)送數(shù)量，再一次對(duì)目標(biāo)AP進(jìn)行攻擊。比如將-0參數(shù)后的數(shù)值改為1０，如圖1—２７所示。

圖1—２6

圖1—271。2。2

攻擊WＰA加密無(wú)線網(wǎng)絡(luò)（２)步驟5：開(kāi)始破解WPＡ－PＳK。在成功獲取到無(wú)線WＰＡ-PSＫ驗(yàn)證數(shù)據(jù)報(bào)文后,就可以開(kāi)始破解,輸入命令如下：ａircｒack－ｎg

—ｗ

dic

捕獲的ｃap文件

參數(shù)解釋?zhuān)骸獁，后跟預(yù)先制作的字典，這里是BT4下默認(rèn)攜帶的字典。按Enter鍵后，若捕獲數(shù)據(jù)中包含了多個(gè)無(wú)線網(wǎng)絡(luò)的數(shù)據(jù),也就是能看到多個(gè)SSID出現(xiàn)的情況.這就意味著其他AP的無(wú)線數(shù)據(jù)皆因?yàn)楣ぷ髟谕活l道而被同時(shí)截獲到,由于數(shù)量很少所以對(duì)于破解來(lái)說(shuō)沒(méi)有意義。此處輸入正確的選項(xiàng)即對(duì)應(yīng)目標(biāo)AP的ＭAC值,按Entｅｒ鍵后即可開(kāi)始破解.如圖1—２8所示為命令輸入情況。

圖１-28如圖1－29所示可以看到，在雙核T7100的主頻+4GB內(nèi)存的配置下,經(jīng)過(guò)不到1分鐘的等待，就成功破解出了密碼。在＂KＥYFOUND"提示的右側(cè)，可以看到密碼已被破解出來(lái)。密碼明文為”longaslａst”，破解速度約為450ｋey/s.若是能換成4核CPU的話,還能更快一些。

圖1—２9２．WＰAPMKＨash破解最近兩年,關(guān)注WPAＰMKHash破解的人開(kāi)始逐漸增多，我們也來(lái)簡(jiǎn)單回顧一下這一技術(shù)的發(fā)展。2０03年７月瑞士洛桑聯(lián)邦技術(shù)學(xué)院PｈilipｐeOechslin公布了一些實(shí)驗(yàn)結(jié)果，他及其所屬的安全及密碼學(xué)實(shí)驗(yàn)室(ＬASEC）采用了時(shí)間內(nèi)存替換的方法，使得密碼破解的效率大大提高。作為一個(gè)例子，他們將一個(gè)常用操作系統(tǒng)的密碼破解速度由1分41秒，提升到13.６秒。這一方法使用了大型查找表對(duì)加密的密碼和由人輸入的文本進(jìn)行匹配，從而加速了解密所需要的計(jì)算。這種被稱(chēng)作"內(nèi)存—時(shí)間平衡"的方法意味著使用大量?jī)?nèi)存的黑客能夠減少破解密碼所需要的時(shí)間。以下為提取的Windｏｗs下用戶(hù)密碼保存的狀態(tài)，可以看到是由一串字符編碼組成,這樣的字符串我們稱(chēng)之為NTLMHash（此為Hash的一種).Uｓer１:100１：73２b2c9a2934e48１cd0a８8０8b19097ef：

７78６2０d5d５de0641５4e６89fａ479０１29f：：：

User2：1０0２：a０42f67a9９7５8fｄ7２7b９9b２375d829ｆ9：?６１27ｅｅ１2a83dａ３4fｃ19953e5３8e4d5８0：：：

一些受到這樣匹配查詢(xún)?cè)韱l(fā)的黑客們事先制作出包含幾乎所有可能密碼的字典，然后再將其全部轉(zhuǎn)換成NTLＭHasｈ文件，這樣，在實(shí)際破解時(shí)，就不需要再進(jìn)行密碼與Haｓh之間的轉(zhuǎn)換，直接就可以通過(guò)文件中的Hａsh散列比對(duì)來(lái)破解Ｗindｏｗｓ賬戶(hù)密碼,節(jié)省了大量的系統(tǒng)資源，使得效率能夠大幅度提升。當(dāng)然,這只是簡(jiǎn)單的表述,采用的這個(gè)方法在國(guó)際上就被稱(chēng)為T(mén)ime-MｅmoryTraｄe-Ｏfｆ，即剛才所說(shuō)的＂內(nèi)存-時(shí)間平衡"法,有的地方也會(huì)翻譯成"時(shí)間-內(nèi)存交替運(yùn)算法＂。其原理可以理解為以?xún)?nèi)存換取時(shí)間，如圖1—３0所示。

圖1—３0具體算法方面的內(nèi)容本書(shū)就不再涉及，對(duì)于想進(jìn)行更高深層次探究的讀者，可以仔細(xì)參考2０03年的這篇詳細(xì)文檔《ＭakingaＦasteｒＣrytanalｙticａlＴiｍe-MemoryTrade—Off》以及200５年的文檔《Ｔimｅ—MeｍｏryＴｒade-Offs：FａｌseAlarmDetecｔionUsingCheckｐoｉntｓ》，在本節(jié)后面會(huì)給出鏈接。1.２.2

攻擊ＷPA加密無(wú)線網(wǎng)絡(luò)（3）利用該原理制作的包含大量ＮＴLMHａsh的Hａsｈ庫(kù)就被稱(chēng)之為T(mén)aｂlｅｓ,其中最出名的就是RaiｎbowＴａbｌes（也稱(chēng)之為彩虹表）。而正是由于利用了該原理制作的RaiｎｂowTａbleｓ的存在,使得普通電腦在5分鐘內(nèi)破解14位長(zhǎng)足夠復(fù)雜的Windｏws賬戶(hù)密碼成為可能，如圖１—31所示。

圖1—3１從圖1—31可以看到，類(lèi)似于c78j3３c6hnws、yemawａnｇluo1７8、38９１1770這樣的Ｗindowｓ賬戶(hù)密碼幾乎全部在1８０秒即3分鐘內(nèi)破出,最短只用了5秒,個(gè)別稍長(zhǎng)的密碼破解也沒(méi)有超過(guò)５分鐘。那么,采用了類(lèi)似于ＲaｉnｂoｗTabｌes原理,通過(guò)Pｒｅ－Computｅ(預(yù)運(yùn)算）的方式,來(lái)進(jìn)行提前運(yùn)算以生成ＷPA—PSＫ加密Hash，從而建立起來(lái)的ＷPＡ—PSＫHasｈTableｓ,被廣泛地用于WPＡ—PＳK的高速破解。其中,每一個(gè)Haｓh都是由64個(gè)16進(jìn)制數(shù)的字符串組成，如下列所示。１ｄ２7360df93７35ae9645a３59764d67ff４0e4978606f５49d1３237９５0ｅ3477２568

這些字符串是由于WPA-PSK加密本身使用預(yù)共享密鑰計(jì)算得出所致,該序列目前暫無(wú)有效的逆運(yùn)算方法。需要說(shuō)明的是，使用一般的工具是無(wú)法讀取hash文件的。關(guān)于使用WPAＰMKHａsh破解的效果，下面以同樣配置的主機(jī)為例。如圖1-32所示，在一般字典模式下,使用Ｃowpaｔｔy破解時(shí)的平均破解速度為153。61pasｓ/s，即每秒鐘破解153。61個(gè)密碼。而在ＷPATablｅs破解模式下,平均破解速度可達(dá)到１009２7．35pａｓｓ／s，通過(guò)如圖１—32和圖１—33所示的對(duì)比可以看到,破解速度提升了不止數(shù)倍,而是原來(lái)的近100倍。

圖１—3２

圖１-３3當(dāng)然,要說(shuō)明的是，這些Tａｂｌes的建立效率非常低下，加上每一個(gè)Hａｓh都需要指定預(yù)攻擊AP的SSID,想要建立一套針對(duì)所有常見(jiàn)接入點(diǎn),并采用簡(jiǎn)單密碼的WPA—PSKＨashTaｂles，其生成文件占據(jù)的硬盤(pán)空間需要2ＧB～5GB或以上。國(guó)外最早公布無(wú)線WPATａble的是一個(gè)名為T(mén)heＣhｕｒｃhofＷｉFi的無(wú)線黑客組織,該組織在過(guò)去的兩年里成功建立了龐大的WPATａble庫(kù),并將其簡(jiǎn)化的WPA－PSKHaｓｈTable版本提供免費(fèi)下載,但遺憾的是，即便是簡(jiǎn)化版本，其大小也已經(jīng)超過(guò)了３0GB。而在國(guó)內(nèi),為了方便無(wú)線安全愛(ài)好者學(xué)習(xí)，ZｅrOｎe無(wú)線安全團(tuán)隊(duì)已經(jīng)從團(tuán)隊(duì)內(nèi)部的大型WPＡPＭKＨaｓh庫(kù)中提取出一小部分內(nèi)容，專(zhuān)門(mén)制作出無(wú)線安全破解專(zhuān)用的DVD光盤(pán),并于2008年11月在廣州舉行的全國(guó)首屆無(wú)線安全交流會(huì)上公開(kāi)發(fā)布并提供了免費(fèi)下載.光盤(pán)封面如圖1－３4和圖1-35所示，其中包含的WＰAPＭKHasｈTaｂlｅ已全部經(jīng)過(guò)測(cè)試可用,所含SSIＤ均為ZerOne無(wú)線安全團(tuán)隊(duì)在對(duì)多個(gè)省會(huì)城市進(jìn)行多次實(shí)地Wａr-Dｒivｉｎg無(wú)線探測(cè)的基礎(chǔ)上,從匯總數(shù)據(jù)中精心挑選出國(guó)內(nèi)使用頻率最高的前６２個(gè)SSIＤ整理而成.光盤(pán)里除了包含多達(dá)40余種8位以上生日類(lèi)密碼組合外，還包括了８位以上普通用戶(hù)常用密碼組合，總?cè)萘窟_(dá)4．4GＢ，可用于進(jìn)行無(wú)線安全密碼破解測(cè)試、無(wú)線滲透測(cè)試及安全評(píng)估等.

圖1-34

圖1－35該DVD光盤(pán)內(nèi)除了主要包含的大容量WPＡ—PＳK/WPＡ2-PSＫ破解用HasｈTable以外,為方便使用者學(xué)習(xí)及借鑒，還附帶了由ＺerＯｎe安全團(tuán)隊(duì)近年來(lái)對(duì)一些省會(huì)城市進(jìn)行Waｒ-Driｖing的官方探測(cè)匯總報(bào)告,此外,還準(zhǔn)備了相關(guān)無(wú)線安全教程的文檔及資源列表.希望借此給國(guó)內(nèi)的無(wú)線安全同行研究無(wú)線網(wǎng)絡(luò)安全帶來(lái)實(shí)質(zhì)性的幫助.不過(guò)要強(qiáng)調(diào)一點(diǎn),單純依靠這4GB的Ｈasｈ，并不能解決實(shí)際破解中遇到的所有密碼組合類(lèi)型，這張DＶＤ僅為測(cè)試時(shí)學(xué)習(xí)使用。更何況通過(guò)基本概率論的計(jì)