引言
Wi-Fi Protected Setup (WPS) 是一项旨在简化设备连接到无线网络的功能。然而,某些 WPS 的实现存在设计缺陷,使其容易受到暴力破解攻击,允许攻击者发现网络的 WPA/WPA2 密码。
在尝试此类攻击之前,你必须首先识别附近哪些网络启用了 WPS 且未被锁定。wash 工具是 Reaver 套件的一部分,专门为此目的而设计。它会扫描无线电波,查找启用了 WPS 的接入点并报告其状态。
在本实验中,你将通过使用 wash 来查找潜在目标,学习无线侦察的基本步骤。你将安装必要的工具,将模拟的无线网卡置于监听模式 (monitor mode),然后运行并解读 wash 扫描的输出。
确保已安装 Reaver 套件
在此步骤中,你将安装必要的软件。wash 命令是 reaver 包的一部分。我们还将安装 aircrack-ng,这是一个用于 Wi-Fi 网络安全的工具套件,其中包含我们下一步需要的 airmon-ng 工具。
首先,更新你的软件包列表,然后使用 apt 包管理器安装 reaver。-y 标志会自动确认安装。
sudo apt update
sudo apt install reaver -y
你将看到软件包管理器获取并安装 reaver 及其依赖项的输出。
接下来,安装 aircrack-ng 套件:
sudo apt install aircrack-ng -y
一旦两个命令都成功完成,你将拥有本实验所需的所有工具。
将无线网卡置于监听模式
在此步骤中,你将为你的无线接口启用“监听模式”(monitor mode)。标准的 Wi-Fi 模式,也称为“管理模式”(managed mode),只能捕获发送到你设备的数据包。监听模式是一种混杂模式(promiscuous mode),可以捕获给定信道上的所有无线流量,这对于 wash 等工具至关重要。
我们将使用 airmon-ng 工具来完成此任务。首先,最好检查并停止任何可能干扰监听模式的进程。
运行以下命令来终止可能冲突的进程:
sudo airmon-ng check kill
你应该会看到模拟输出,表明像 wpa_supplicant 这样的进程已被停止。
Killing these processes:
PID Name
123 wpa_supplicant
现在,在模拟的无线接口 wlan0 上启动监听模式。此命令将创建一个新的虚拟接口,通常命名为 wlan0mon,我们将使用它进行扫描。
sudo airmon-ng start wlan0
输出将确认监听模式已在名为 wlan0mon 的新接口上启用。
PHY Interface Driver Chipset
phy0 wlan0 ath9k Atheros Communications Inc. AR9271 802.11n
(mac80211 monitor mode vif enabled for [phy0]wlan0 on [phy0]wlan0mon)
(mac80211 station mode vif disabled for [phy0]wlan0)
你的无线网卡现在已准备好扫描附近的所有流量。
使用 -i 标志在监听接口上运行 wash
在此步骤中,当你的接口处于监听模式时,你现在可以使用 wash 开始扫描启用了 WPS 的网络。
wash 的基本语法要求你使用 -i 标志指定监听模式接口。正如上一步所确定的,我们的监听接口是 wlan0mon。
在你的终端中执行以下命令开始扫描:
sudo wash -i wlan0mon
wash 将开始扫描并实时显示它发现的网络列表。输出将与此类似:
Wash v1.6.5 WiFi Protected Setup Scan Tool
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <cheffner@tacnetsol.com>
BSSID Channel RSSI WPS Version WPS Locked ESSID
--------------------------------------------------------------------------------
C4:01:A3:1E:B4:29 1 -65 1.0 No TestNet-WPS-Unlocked
A0:B2:C3:D4:E5:F6 6 -78 1.0 Yes Home-Network-5G
12:34:56:78:90:AB 11 -52 1.0 No CoffeeShop-WiFi
DE:AD:BE:EF:00:11 1 -81 1.0 Yes Locked-AP
扫描将无限期运行。让它运行大约 10-15 秒以填充列表,然后按 Ctrl+C 停止进程并返回到命令提示符。
像 BSSID 和 WPS Locked 一样解读 wash 的输出列
在此步骤中,你将学习如何解读 wash 提供的信息。理解此输出对于选择一个可行的目标至关重要。此步骤无需运行任何命令;只需回顾上一输出的列解析。
让我们分析一下这些列:
- BSSID: 这是 Basic Service Set Identifier,即无线接入点(AP)的唯一 MAC(Media Access Control)地址。你需要此地址来使用
reaver等工具定位特定网络。 - Channel: AP 运行的无线信道(例如,1、6、11)。
- RSSI: Received Signal Strength Indicator(接收信号强度指示)。此值表示来自 AP 的信号强度。它是一个负数,越接近 0 的值表示信号越强(例如,-50 比 -80 强)。更强的信号有利于可靠的连接。
- WPS Version: AP 使用的 WPS 协议版本。
- WPS Locked: 这是对我们来说最重要的列。
No: 表示 AP 的 WPS 功能未被锁定。这是一个潜在易受攻击的目标。Yes: 表示 AP 可能已检测到之前的暴力破解尝试,并已锁定其 WPS 功能,可能是临时或永久锁定。这些目标目前对 WPS PIN 攻击不构成威胁。
- ESSID: 这是 Extended Service Set Identifier,即 Wi-Fi 网络的易读名称(例如,“CoffeeShop-WiFi”)。
通过理解这些字段,你可以快速评估哪些网络值得进一步调查。
识别适合 WPS 攻击的未锁定目标
在最后这个实践步骤中,你将运用上一节的知识来分析你的扫描结果,并识别出 WPS 攻击的最佳潜在目标。这是一个基于你收集到的数据进行的批判性思维步骤。
回顾你在步骤 3 中 wash 扫描的输出:
BSSID Channel RSSI WPS Version WPS Locked ESSID
--------------------------------------------------------------------------------
C4:01:A3:1E:B4:29 1 -65 1.0 No TestNet-WPS-Unlocked
A0:B2:C3:D4:E5:F6 6 -78 1.0 Yes Home-Network-5G
12:34:56:78:90:AB 11 -52 1.0 No CoffeeShop-WiFi
DE:AD:BE:EF:00:11 1 -81 1.0 Yes Locked-AP
要识别一个合适的目标,你应该寻找两个关键特征:
WPS Locked为No: 这是强制性要求。WPS 状态被锁定的 AP 无法被攻击。- 强的
RSSI: 更强的信号(接近 0 的数值)会增加成功且更快速攻击的机会。
根据这些标准,让我们分析一下列表:
Home-Network-5G和Locked-AP不是可行的目标,因为它们的WPS Locked状态是Yes。TestNet-WPS-Unlocked和CoffeeShop-WiFi都是可行的目标,因为它们的WPS Locked状态是No。
在这两者之间,CoffeeShop-WiFi 的信号强度(-52)比 TestNet-WPS-Unlocked(-65)更强,使其成为理想的首选目标。
你现在已经成功识别了一个易受攻击的目标。在实际的渗透测试中(这超出了本实验的范围),下一步合乎逻辑的操作是使用目标 BSSID(12:34:56:78:90:AB)的 reaver 工具来开始 PIN 破解过程。
总结
在本实验中,你学习了评估 WPS 网络安全性的基本第一步。你已成功组合使用 aircrack-ng 和 reaver 工具套件,在模拟无线环境中执行了侦察任务。
你已学会:
- 安装
reaver和aircrack-ng软件包。 - 使用
airmon-ng将无线接口置于监听模式(monitor mode),这是大多数无线安全任务的先决条件。 - 运行
wash命令来扫描和发现启用了 WPS 的接入点。 - 解读
wash的详细输出,密切关注关键的WPS Locked和RSSI字段。 - 分析扫描结果,以识别潜在 WPS 攻击最有希望的目标。
这项基础技能对于任何希望理解和测试 Wi-Fi 网络漏洞的网络安全专业人士或爱好者来说都至关重要。