第五章 攻擊 Web 設施

作者：Vivek Ramachandran, Cameron Buchanan

譯者：飛龍

協議：CC BY-NC-SA 4.0

簡介

故上兵伐謀

-- 孫子，《孫子兵法》

這一章中，我們會攻擊 WLAN 設施的核心。我們作為攻擊者，會專注于如何使用不同的新型攻擊向量和誘使授權客戶端連接我們，來滲透授權網絡。

5.1 接入點的默認賬戶和身份

WLAN 接入點是設施的核心部分。即使它們起到重要作用，它們有時候在安全上會被忽視。這個練習中，我們會檢查是否修改了接入點的默認密碼。之后，我們會驗證，即使密碼修改了，它們是否易于使用基于字典的攻擊猜測和破解。

要注意，因為我們來到了更高級的章節，我們就假設你已經瀏覽了前面的章節，現在熟悉了所有這里所討論的工具的使用。這允許我們構建在這些知識智商，并嘗試更加復雜的攻擊。

實戰時間 -- 破解接入點的默認賬戶

遵循以下指南來開始：

1. 讓我們首先連接到Wireless Lab接入點，并嘗試訪問 HTTP 管理界面。我們會看到接入點模型是TP-Link WR841N，像這樣：

2. 從廠商的網站中，我們找到了管理員的默認賬戶是admin。我們在登錄頁面上嘗試它，并且我們成功登錄。這展示了攻破使用默認身份的賬戶有多容易。我們強烈推薦你獲得路由器的在線用戶手冊。這會允許你理解在滲透測試過程中應該怎么做，以及向你提供其它配置缺陷的洞察。

剛剛發生了什么？

我們驗證了這個接入點上的默認密碼沒有改動，這會讓整個網絡淪陷。同樣，即使默認身份被改動，結果也可能是一些易于猜測或執行字典工具的東西。

試一試 -- 使用爆破來破解賬戶

在上一個練習中，將密碼修改為一些難以猜測或在字典中找到的東西，并看看你是否能夠使用爆破的手段攻破它。限制密碼的長度和字符，以便你可能會成功。用于破解 HTTP 驗證的工具之一叫做 Hydra，Kali 中自帶。

5.2 拒絕服務攻擊

WLAN 易于受到使用多種技巧的拒絕服務攻擊，包括但不僅限于：

• 解除驗證攻擊

• 接觸掛鏈攻擊

• CTS-RTS 攻擊

• 信號或頻譜干擾攻擊

在這本書中，我們會使用下列實驗來討論無線設施上的杰出驗證攻擊。

實戰時間 -- 解除驗證 DoS 攻擊

遵循以下指南來開始：

1. 將Wireless Lab網絡配置為使用開放驗證，沒有任何加密。這會允許我們更易于使用 Wireshark 查看封包。

2. 讓我們將 Windows 客戶端連接到接入點。我們會在airodump-ng的界面中看到連接：

3. 現在，在攻擊者的主機上，讓我們對其執行直接的解除驗證攻擊。

4. 要注意，客戶端現在完全斷開了接入點的連接。我們可以在airodump-ng界面上驗證它。

5. 如果我們使用 Wireshark 來查看流量，你會注意到，我們剛才發送了大量解除驗證的封包。

6. 我們可以代表接入點向整個網絡發送廣播解除驗證封包，來執行相同攻擊。這會斷開所有客戶端的連接：

剛剛發生了什么？

我們成功發送了解除驗證封包給接入點和客戶端。這會導致它們之間的連接斷開和通信丟失。

我們也可以發送廣播解除驗證封包，這會確保附近沒有客戶端能成功連接到我們的接入點。

要注意，只要客戶端斷開了，它會嘗試再次連接到接入點，所以解除驗證攻擊應該持續進行，來產生拒絕服務的效果。

這是最易于構造的攻擊但是有毀滅性的效果。這很方便在現實世界中使用，來使無線網絡崩潰。

試一試 -- 解除關聯攻擊

嘗試弄清如何使用 Kali 上現有工具，對目標設施執行解除關聯攻擊。你可以發送廣播解除關聯攻擊嗎？

5.3 邪惡雙生子和接入點 MAC 欺騙

WLAN 設施上的最有潛力的攻擊之一就是邪惡雙生子。其原理是，在 WLAN 附近引入一個由攻擊者控制的接入點。這個接入點具有與授權 WLAN 完全相同的 SSID。

許多無線用戶可能會碰巧連接到這個惡意的接入點上，認為它是授權網絡的一部分。一旦建立了連接，攻擊者就可以執行共建人工及，并且在轉發流量的是偶竊聽整個通信。我們在之后的章節中會看到中間人攻擊如何完成。現實世界中，攻擊者會使用這個攻擊來接近授權網絡，使用戶混淆并碰巧連接攻擊者的網絡。

擁有和授權接入點相同 MAC 地址的邪惡雙生子更加難以檢測和判斷。這就是接入點 MAC 欺騙出現的原因。在下一個實驗中，我們會看到如何創建邪惡雙生子，并結合接入點 MAC 欺騙。

實戰時間 -- 邪惡雙生子和 MAC 欺騙

遵循以下指南來開始：

1. 使用airodump-ng來定位接入點的 BSSID（MAC） 和 ESSID（SSID），我們會使用它來模擬邪惡雙生子。

2. 我們將無線客戶端連接到這個接入點上。

3. 利用這些信息，我們使用airbase-ng命令創建相同 ESSID 不同 BSSID 的接入點。新的發行版中可能出現少量錯誤。

4. 新的接入點也會在airodump-ng屏幕上出現。要注意嗎你需要在新的窗口中執行airodump-ng，使用下列命令：

   airodump-ng --channel 11 wlan0
   

   讓我們看看新的接入點：

5. 現在我們向客戶端發送解除驗證封包，使其斷開連接并立即嘗試重連。

6. 由于我們離客戶端更近，我們的信號強度更大，它會重新鏈接大我們的邪惡雙生子接入點上。

7. 我們也可以進行接入點的 MAC 地址欺騙，使用下列命令：

   airbase-ng –a <router mac> --essid "Wireless Lab" –c 11 mon0
   

8. 現在如何我們觀察airodump-ng，幾乎不能分辨出二者的不同。

9. 即使airodump-ng也不能識別出相同頻道中有兩個不同的物理接入點。這是邪惡雙生子的最可能的形式。

剛剛發生了什么？

我們創建了授權網絡的邪惡雙生子，并使用解除驗證攻擊來使正常客戶端連接到我們，而不是授權網絡接入點。

要注意，在使用 WEP/WPA 加密的授權接入點的情況中，就難以執行流量竊聽攻擊。我們在之后的章節中會看一看如何使用 Caffe Latte 攻擊來破解 WEP 密鑰。

試一試 -- 邪惡雙生子和頻道跳躍

在之前的聯練習中，在不同的頻道上執行邪惡雙生子攻擊，并觀察客戶端一旦連接之后，如何在頻道上跳躍來連接接入點。客戶端決定連接哪個接入點的決定因素是什么？是信號強度嗎？做實驗并驗證它。

5.4 未授權接入點

未授權接入點是連接到授權網絡的未授權接入點。通常，這個接入點可以用作攻擊者的后門入口，使其能夠繞過網絡的所有安全控制。這意味著防火墻，入侵檢測系統，以及其它，這些守護網絡邊界的設施，都不能阻止攻擊者訪問無線網絡。

在最常見的例子中，未授權接入點設為開放連接，沒有加密。未授權接入點可以通過如下兩步創建。

• 在授權網絡上安裝真實的物理設備，作為未授權接入點（這是我留做練習的事情）。而且，這會攻破授權網絡的物理安全，而不是無線安全。

• 在軟件中創建未授權接入點，并橋接到本地授權網絡的以太網上。這會允許任何運行在授權網絡上的筆記本作為未授權的接入點。我們在下個試驗中會看看它。

實戰時間 -- 破解 WEP

遵循以下指南來開始：

1. 首先使用airbase-ng來創建未授權的接入點，并使其 ESSID 為rouge：

2. 我們現在打算創建以太網接口和我們的未授權接入點接口的橋接，前者是授權網絡的一部分。為了完成它，我們首先安裝bridge-utils，創建橋接接口，并將其命名為Wifi-Bridge。下面的截圖展示了實戰中的所需命令：

   apt-get install bridge-utils 
   brctl addbr Wifi-Bridge
   

   讓我們看看命令輸出：

3. 之后我們將以太網和 Airbaseng 創建的At0虛擬接口添加到橋接中。

   brctl addif Wifi-Bridge eth0 
   brctl addif Wifi-Bridge ath0
   

4. 之后我們啟動這些接口來啟動橋接，使用下列命令：

   ifconfig eth0 0.0.0.0 up 
   ifconfig ath0 0.0.0.0 up
   

   命令的截圖如下：

5. 之后我們開啟內核中的 IP 轉發來確保封包被轉發：

   echo 1 > /proc/sys/net/ipv4/ip_forward
   

   命令的截圖如下：

6. 太棒了！我們完成了。現在，任何連接到我們未授權接入點的無線客戶端都可以完整訪問授權網絡，使用我們剛才構建的無線到有線的Wifi-Bridge。我們可以通過將一個客戶端連接到未授權接入點來驗證它。一旦建立連接，如果你使用 Vista，你的界面應該是這樣：

7. 要注意它從運行在授權 LAN 上的 DHCP 守護程序接收 IP 地址。

8. 我們現在從該無線客戶端使用這個未授權接入點訪問有線網絡上的任何主機。下面我們 ping 有線網絡上的網關：

剛剛發生了什么？

我們創建了未授權的接入點，并使用它來將所有 LAN 授權網絡的流量橋接到無線網絡上。你可以看到，這是個嚴重的安全隱患，因為任何人都可以使用這個橋接來攻破有線網絡。

試一試 -- 未授權接入點的挑戰

看看你能否創建使用 WPA/WPA2 Jamie的未授權無線接入點，使其看起來更加正常。

小測驗 -- WLAN 設施上的攻擊

Q1 多數情況下，未授權接入點使用哪種加密？

1. 無
2. WEP
3. WPA
4. WPA2

Q2 對于邪惡雙生子，擁有和授權接入點相同 MAC 地址的好處是什么？

1. 使分辨邪惡雙生子更加困難。
2. 強制客戶端連接它。
3. 增加網絡的信號強度。
4. 以上都不是。

Q3 DoS 攻擊是干什么的？

1. 占據網絡的所有吞吐量。
2. 不以客戶端作為目標。
3. 只有我們知道了網絡的 WEP/WPA/WPA2 驗證信息，才可以實現它。
4. 以上全部。

Q4 未授權接入點是干什么的，以及如何創建它們？

1. 它們在授權網絡上開放后門入口。
2. 它們只能使用 WPA2 加密。
3. 它們可以創建為基于軟件的接入點，或者實體設備。
4. 1 和 3。

總結

這一章中，我們探索了不同的方式來攻破無線網絡設施的安全。

• 攻破接入點的默認賬戶和驗證。
• 拒絕服務攻擊。
• 邪惡雙生子和 MAC 欺騙。
• 企業網絡中的未授權接入點。

下一章中，我們會看看無線客戶端上的不同攻擊。有趣的是，多數管理員覺得客戶端沒有值得擔心的安全問題。我們會看到這個真理不再正確了。