zoukankan      html  css  js  c++  java
  • 无线渗透技术概念

    该章节看aqniu 苑房弘老师视频笔记整理

    一、无线技术的特点

    所谓无线网络,就是利用无线电波作为信息传输的媒介构成的无线局域网(WLAN),与有线网络的用途十分类似,最大的不同在于传输媒介的不同,利用无线电技术取代网线,可以和有线网络互为备份。

    频率是指所生成电磁波的振动速度,而振幅则是指电磁波的强度。这两个指标都受相关法规的限制——例如,在美国,联邦通信委员会负责规定谁可以使用电磁频谱中哪一些频段(也称为频带),同时规定它们的用途与使用环境。

    • 无需布线相对自由
    • 互联网的重要入口
    • 边界模糊
    • 配置不当,安全实施比较困难
    • 企业网络私自接入AP破坏网络边界

    二、802.11标准

     802.11基于无线电波发射信息

    介绍无线局域网,就得从他的协议标准开始介绍:

    IEEEinstitute of electrical and electronics engineers):国际电子电器工程协会。

    由通信航天生物电气电子等方面的科学家组成,目的是指定标准,指导行业技术的发展。

    IEEE 分为不同的技术委员会,当然不止于计算机网络,还有航天电子生物等科学领域标准。标准一旦制定,所有的设备生产商都要依据这个标准来生产它的设备。只有这样你intel网卡 才能连接bradcom..才能完成数据的传输。

    其中802委员会负责lan、man(局域网、城域网)标准的指定:

    802委员会其中的一部分范围图例:

    • 以太网  802.3
    • 令牌环网  802..5
    • 无线局域网 802.11
    • 网桥 802.1
    • 宽带局域网 802.7
    • 光纤 802.8
    • 个人局域网络(蓝牙等) 802.15

      802委员会第11组负责开发无线局域网标准

      IEEE 802.11F Inter-Access Point Protocol

     我们今天所学的802.11只涉及七层模型中的最下面两层:

     无线:

    • 应用层
    • 表示层
    • 会话层
    • 传输层
    • 网络层
    • 数据链路层
      • 逻辑链路控制子层LLC
      • 媒体访问控制子层MAC
    • 物理层

    需要注意的是,其实已经有30多个版本协议迭代但我们日常使用就这几个:

    日常使用:

     严格上来说wifi只是说的802.11b的

    (1)802.11

    从头看第一个802.11,发布1997年,速率1、2Mbps;红外线传输介质(未实现)

    所以主流的是无线射频信号编码(调制)(radio frequencies)----无线电波:

    • Direct-Sequence Spread-Spectrum(DSSS)---直序扩频
    • Frequency Hopping Spread-Sectrum(FHSS)---跳频扩频

    频宽资源有限;所以出现扩频技术,使得速率达到更高M。无线频宽的使用是有限制的,民用只能限制在2.4~2.485 GHZ

     Resquest to send Clear to send(RTSCTS)

     (2)802.11b

    在802.11上改进增加了CCK(补充代码键),使无线的传输速率进一步提高-5.5 and 11Mbit/s

    开始明确下来,我们要使用2.4GHz的带宽(2.4~2.485GHz),然后这个频宽呢又进一步细化分为11、13、14(最多)个信道,

    然鹅每个信道要占用22MHz的带宽,所以:

     85HZ / 14 < 22

     必然会有重叠,信道有交集,信号可能会干扰,(实际没有交叉的信道只有3个)

    如果两个AP同时使用又距离比较近(20M以内),信号就会有干扰丢包。所以在设计的时候相邻两个AP信道尽量不要有交集

    不同国家对信道划分不同:

     下表给出信道表,实际是中间值:

     模拟理解图:左右偏移11

     (3)802.11a

    与802.11b几乎同时发布,(但因设备价格问题一直没有得到广泛使用)

    特色: 使用5GHz带宽

    • 2.4Ghz带宽干扰源多(微波、蓝牙、无绳电话)
    • 5GHz频率有更多的带宽空间,可容纳更多不重叠的信道
    • 出现新的信号调制方法(OFDM):正交频分复用技术 Orthogonal Frequency-Division Multiplexing
    • 更高的速率54Mbps,每个信道20Mhz带宽
    • 变频   5.15-5.35GHz室内    5.7-5.8GHz室外

      (4)802.11g

    是在802.11b基础上的扩充 应用802.11a的OFDM,可以看做兼容款

     特色:

    • 还是2.4GHz
    • 与802.11a速率相同
    • 可全局降速向后兼容802.11b,并切换为CCK信号调制方法
    • 每个信道20/22MHz

       (5)802.11n

    特色:

    • 2.4或5GHZ频率
      • up to 600Mbps
      • 多进多出通信技术(MIMO)Mutiple-Input Multiple-Output.....多个天线~
      • 多天线,多无线电波,独立收发信号
      • 可使用40MHz信道带宽使传输速率翻倍  
    • 全802.11n设备网络中,可以使用新报文格式,使速率达到最大
    • 每个信道20/40MHz带宽

     

     三、无线网络的运行模式

    3.0 啥是SSID?

    服务集标识符 Service Set Identifier,通俗点儿:“无线名”

    • AP每秒鈡约10次通过Beacon帧广播SSID
    • 客户端连接到无线网络后也会宣告SSI:"我已经连上了xx ssid...我已经..."

    Beacon:一种类型的无线数据帧,不断的去广播的(用来广播SSID),向外发的数据包...

     隐藏ssid本身就是设置AP不发射beacon帧,但不影响数据传输的正常使用,目的就是不让其他人知道有这个无线信号

     <length:8>就是隐藏的无线名

    3.1 Infrastructure

    Access Point 访问点

    AP维护SSID

    • 至少包含一个AP和一个STATION,形成一个Basic Service Set(BSS)--基础服务集
    • AP 连接到有线网络,称为Distribution System (DS) --分布式系统
    • 连接到同一个DS的多个AP形成一个Extended Service Set (ESS)--扩展服务集

    图示:联想到无线的BSSID

    3.2 AD-HOC

    STA维护SSID

    • 也被称为IBSS (Independent Basic Service Set)--独立的基本服务集
    • 有至少2个STAs直接通信组成;也称为peer to peer模式
    • 其中一个STA负责担当一下AP的工作:
      • 通过beacon广播SSID
      • 对其他STA进行身份验证

    WDS

    例如无线中继器

    无线的分布式网络,与有线的DS类似,只是通过无线连接的多个AP组成的网络

    • Bridging-----只有AP间彼此通信
    • Repeating-----允许所有AP和STA进行通信

     3.- Monitor mode

    monitor不是一种真正的无线模式,但是对无线渗透至关重要。

    • 允许无线网卡没有任何筛选的抓包(802.11包头)
    • “类似有线的混杂模式”
    • 有的网卡和驱动不仅可以monitor,还可以injection

    注:抓包不开这个模式,你抓不到802.11无线的包头!

    # 默认是managed

     

     四、无线设备

    • 物理机运行Kali
    • 虚拟机运行kali
      • 外置USB无线网卡
        • TL-WN722N
        • RT3070、Realtek8187芯片、
        • 可扩展天线

    可以用 dmesg - T 命令看下设备插拔信息的变化;

    # 选择无线网卡的时候关键是要看它的芯片:高发送功率,低灵敏度,例如AtherosRealtek

    支持信息查看:http://aircrack-ng.org/

    使用 iwconfig 可看无线设备信息;

     

     

    五、无线技术概念:

    • 分贝dB     测量无线信号强度  (无论在无线还是声学领域单位)
    • B: 向Alexander Graham Bell 致敬
    • dB:表示2个信号之间的差异比率,用于描述设备的信号强度,是一个相对值。如:两点的功率差可以是10dB,但这10dB具体表示多少mW是不一定的。
    • dBm:功率值与1mW进行比较的dB值结果。

    有dBm的话可以转换为毫瓦,因为有相应的比值可以反向计算出来

     假如你看到一个无线网卡的参数标注功率是100mW的话,就可以算出对应的多少dBm

     

    • dBi:全向天线辐射强度 (全向天线的信号功率增益
      • 增益是指信号功率强度增加了多少dB
      • 例如300mw的无线路由器添加个9dBi的天线后功率如何变化(假设2dBi的电缆和接口耗损)

    • dBd:定向天线辐射强度(dBs是定向天线的增益值
      • 全向天线在所有方向收发信号,定向天线在指定反向收发
      • 一般来说天线增益越大信号传输越远;功率相同的情况下,比全向天线传输距离更远(方向正确的情况下)

    疑问:既然mW可以表示功率为啥还要引入dB这个单位?

    因为接受信号时无线信号转变为高频电子脉冲,反之发射信号时高频电子脉冲转换为无线电波,该过程往往产生上万倍的变化,使用W、mW计数非常不方便,而dBm单位通过对功率的对数的计算,使得一个较小的数值就可以直观表达功率变化,因此无线和声学系统都采用dB这个单位。

    全向天线波形图:甜甜圈

    天线选择的误区

    ?增益越高越好?no!不要一味的增加天线...

    • 高功耗
    • 对周围环境的信号干扰

    增益过高的全向天线会变成定向天线

     常见的定向天线有:

    八木天线平面天线扇形天线(常用于移动网)网状天线

    六、linux 无线协议栈及配置命令

     两个层面一个kernel 一个用户层面

    ifconfig:只能查到无线网卡相关的Ethernet  ,也就是以太网相关的一些参数的配置和使用情况:发包收包、丢包等信息

    iwconfig:eth0因为不是,所以显示no无线扩展,有支持的协议、连接的ESSID、mode、访问点

    iwlist wlan1 frequency:查信道

    root@kali:~# iwlist wlan0 frequency
    wlan0     14 channels in total; available frequencies :
              Channel 01 : 2.412 GHz
              Channel 02 : 2.417 GHz
              Channel 03 : 2.422 GHz
              Channel 04 : 2.427 GHz
              Channel 05 : 2.432 GHz
              Channel 06 : 2.437 GHz
              Channel 07 : 2.442 GHz
              Channel 08 : 2.447 GHz
              Channel 09 : 2.452 GHz
              Channel 10 : 2.457 GHz
              Channel 11 : 2.462 GHz
              Channel 12 : 2.467 GHz
              Channel 13 : 2.472 GHz
              Channel 14 : 2.484 GHz
    root@kali:~# 
    View Code

    iw list 

    root@kali:~# iw list
    Wiphy phy0
        max # scan SSIDs: 4
        max scan IEs length: 2257 bytes
        max # sched scan SSIDs: 0
        max # match sets: 0
        max # scan plans: 1
        max scan plan interval: -1
        max scan plan iterations: 0
        Retry short long limit: 2
        Coverage class: 0 (up to 0m)
        Device supports RSN-IBSS.
        Supported Ciphers:
            * WEP40 (00-0f-ac:1)
            * WEP104 (00-0f-ac:5)
            * TKIP (00-0f-ac:2)
            * CCMP-128 (00-0f-ac:4)
            * CCMP-256 (00-0f-ac:10)
            * GCMP-128 (00-0f-ac:8)
            * GCMP-256 (00-0f-ac:9)
        Available Antennas: TX 0 RX 0
        Supported interface modes:
             * IBSS
             * managed
             * AP
             * AP/VLAN
             * monitor
             * mesh point
        Band 1:
            Capabilities: 0x17e
                HT20/HT40
                SM Power Save disabled
                RX Greenfield
                RX HT20 SGI
                RX HT40 SGI
                RX STBC 1-stream
                Max AMSDU length: 3839 bytes
                No DSSS/CCK HT40
            Maximum RX AMPDU length 32767 bytes (exponent: 0x002)
            Minimum RX AMPDU time spacing: 2 usec (0x04)
            HT TX/RX MCS rate indexes supported: 0-7, 32
            Bitrates (non-HT):
                * 1.0 Mbps
                * 2.0 Mbps (short preamble supported)
                * 5.5 Mbps (short preamble supported)
                * 11.0 Mbps (short preamble supported)
                * 6.0 Mbps
                * 9.0 Mbps
                * 12.0 Mbps
                * 18.0 Mbps
                * 24.0 Mbps
                * 36.0 Mbps
                * 48.0 Mbps
                * 54.0 Mbps
            Frequencies:
                * 2412 MHz [1] (20.0 dBm)
                * 2417 MHz [2] (20.0 dBm)
                * 2422 MHz [3] (20.0 dBm)
                * 2427 MHz [4] (20.0 dBm)
                * 2432 MHz [5] (20.0 dBm)
                * 2437 MHz [6] (20.0 dBm)
                * 2442 MHz [7] (20.0 dBm)
                * 2447 MHz [8] (20.0 dBm)
                * 2452 MHz [9] (20.0 dBm)
                * 2457 MHz [10] (20.0 dBm)
                * 2462 MHz [11] (20.0 dBm)
                * 2467 MHz [12] (20.0 dBm) (no IR)
                * 2472 MHz [13] (20.0 dBm) (no IR)
                * 2484 MHz [14] (20.0 dBm) (no IR)
        Supported commands:
             * new_interface
             * set_interface
             * new_key
             * start_ap
             * new_station
             * new_mpath
             * set_mesh_config
             * set_bss
             * authenticate
             * associate
             * deauthenticate
             * disassociate
             * join_ibss
             * join_mesh
             * set_tx_bitrate_mask
             * frame
             * frame_wait_cancel
             * set_wiphy_netns
             * set_channel
             * set_wds_peer
             * probe_client
             * set_noack_map
             * register_beacons
             * start_p2p_device
             * set_mcast_rate
             * connect
             * disconnect
             * set_qos_map
             * Unknown command (121)
        Supported TX frame types:
             * IBSS: 0x00 0x10 0x20 0x30 0x40 0x50 0x60 0x70 0x80 0x90 0xa0 0xb0 0xc0 0xd0 0xe0 0xf0
             * managed: 0x00 0x10 0x20 0x30 0x40 0x50 0x60 0x70 0x80 0x90 0xa0 0xb0 0xc0 0xd0 0xe0 0xf0
             * AP: 0x00 0x10 0x20 0x30 0x40 0x50 0x60 0x70 0x80 0x90 0xa0 0xb0 0xc0 0xd0 0xe0 0xf0
             * AP/VLAN: 0x00 0x10 0x20 0x30 0x40 0x50 0x60 0x70 0x80 0x90 0xa0 0xb0 0xc0 0xd0 0xe0 0xf0
             * mesh point: 0x00 0x10 0x20 0x30 0x40 0x50 0x60 0x70 0x80 0x90 0xa0 0xb0 0xc0 0xd0 0xe0 0xf0
             * P2P-client: 0x00 0x10 0x20 0x30 0x40 0x50 0x60 0x70 0x80 0x90 0xa0 0xb0 0xc0 0xd0 0xe0 0xf0
             * P2P-GO: 0x00 0x10 0x20 0x30 0x40 0x50 0x60 0x70 0x80 0x90 0xa0 0xb0 0xc0 0xd0 0xe0 0xf0
             * P2P-device: 0x00 0x10 0x20 0x30 0x40 0x50 0x60 0x70 0x80 0x90 0xa0 0xb0 0xc0 0xd0 0xe0 0xf0
        Supported RX frame types:
             * IBSS: 0x40 0xb0 0xc0 0xd0
             * managed: 0x40 0xd0
             * AP: 0x00 0x20 0x40 0xa0 0xb0 0xc0 0xd0
             * AP/VLAN: 0x00 0x20 0x40 0xa0 0xb0 0xc0 0xd0
             * mesh point: 0xb0 0xc0 0xd0
             * P2P-client: 0x40 0xd0
             * P2P-GO: 0x00 0x20 0x40 0xa0 0xb0 0xc0 0xd0
             * P2P-device: 0x40 0xd0
        software interface modes (can always be added):
             * AP/VLAN
             * monitor
        valid interface combinations:
             * #{ AP, mesh point } <= 8,
               total <= 8, #channels <= 1
        HT Capability overrides:
             * MCS: ff ff ff ff ff ff ff ff ff ff
             * maximum A-MSDU length
             * supported channel width
             * short GI for 40 MHz
             * max A-MPDU length exponent
             * min MPDU start spacing
        Device supports TX status socket option.
        Device supports HT-IBSS.
        Device supports SAE with AUTHENTICATE command
        Device supports low priority scan.
        Device supports scan flush.
        Device supports AP scan.
        Device supports per-vif TX power setting
        Driver supports full state transitions for AP/GO clients
        Driver supports a userspace MPM
        Device supports configuring vdev MAC-addr on create.
    View Code

            support ciphers支持的加密   avaliable abtenas:可用的天线

      support interface modes:支持的模式.......

    无线网卡基本命令

    iw dev wlan1 scan

    root@kali:~# iw dev wlan0 scan
    BSS 78:2c:29:8a:a5:be(on wlan0)
        TSF: 4843250819525 usec (56d, 01:20:50)
        freq: 2412
        beacon interval: 100 TUs
        capability: ESS Privacy ShortPreamble ShortSlotTime (0x0431)
        signal: -63.00 dBm
        last seen: 4016 ms ago
        Information elements from Probe Response frame:
        SSID: yangyangyang
        Supported rates: 1.0* 2.0* 5.5* 11.0* 6.0 9.0 12.0 18.0 
        DS Parameter set: channel 1
        Country: CN    Environment: Indoor/Outdoor
            Channels [1 - 13] @ 30 dBm
        ERP: <no flags>
        Extended supported rates: 24.0 36.0 48.0 54.0 
        HT capabilities:
            Capabilities: 0x1ac
                HT20
                SM Power Save disabled
                RX HT20 SGI
                TX STBC
                RX STBC 1-stream
                Max AMSDU length: 3839 bytes
                No DSSS/CCK HT40
            Maximum RX AMPDU length 65535 bytes (exponent: 0x003)
            Minimum RX AMPDU time spacing: 8 usec (0x06)
            HT TX/RX MCS rate indexes supported: 0-23
        HT operation:
             * primary channel: 1
             * secondary channel offset: no secondary
             * STA channel  20 MHz
             * RIFS: 1
             * HT protection: no
             * non-GF present: 1
             * OBSS non-GF present: 0
             * dual beacon: 0
             * dual CTS protection: 0
             * STBC beacon: 0
             * L-SIG TXOP Prot: 0
             * PCO active: 0
             * PCO phase: 0
        Overlapping BSS scan params:
             * passive dwell: 20 TUs
             * active dwell: 10 TUs
             * channel width trigger scan interval: 300 s
             * scan passive total per channel: 200 TUs
             * scan active total per channel: 20 TUs
             * BSS width channel transition delay factor: 5
             * OBSS Scan Activity Threshold: 0.25 %
        Extended capabilities: HT Information Exchange Supported, 6
        WMM:     * Parameter version 1
             * u-APSD
             * BE: CW 15-1023, AIFSN 3
             * BK: CW 15-1023, AIFSN 7
             * VI: CW 7-15, AIFSN 2, TXOP 3008 usec
             * VO: CW 3-7, AIFSN 2, TXOP 1504 usec
        WPA:     * Version: 1
             * Group cipher: CCMP
             * Pairwise ciphers: CCMP
             * Authentication suites: PSK
        RSN:     * Version: 1
             * Group cipher: CCMP
             * Pairwise ciphers: CCMP
             * Authentication suites: PSK
             * Capabilities: 1-PTKSA-RC 1-GTKSA-RC (0x0000)
    root@kali:~# 
    View Code

    #我们发现信号其实是个负值:这是因为信号的接收强度!0~-50间的信号最好、-50~ -75 信号一般、-70以上弱

    通常我们不需要这么多参数信息,只想知道SSID名,可以按实际情况筛选:

    root@kali# iw dev wlan1 scan |grep SSID
    root@kali# iw dev waln0 scan |egrep "DS|SSID"
    root@kali# iw dev waln0 scan |egrep "ESSID|Channel"
    root@kali:~# iw dev wlan0 scan |grep SSID
        SSID: yangyangyang
        SSID: Wanxe2x80x99s iPhone
    root@kali:~# 
    View Code

     添加删除侦探端口:

    #首先关闭network-manage
    service networker-manager stop 
    
    
    iw dev wlan0 interface add wlan0mon type monitor    #设为监听模式
    iw dev wlan0mon set channel 11 #调整指定信道
    iwlist wlan0mon channel #查看工作在的信道 iw dev wlan0mon interface del #删除监听模式 #抓包 tcpdump
    -s 0 -i wlan0mon -p

    # 出错时debug:看看 service network-manager stop 

     

    802.11包头

    DU(data unit)即数据单元,信息传输的最小数据集合。

    传递过程逐层封装(Encapsulation)

    SDU(Service Data Unit)/ PDU(Protocol Data Unit)

    MSDU-->MIC-->分帧-->添加 Iv(起始向量)-->加密-->添加MAC头部-->MPDU

    MPDU/PSDU+物理头=PPDU-->rf发射

    Beacon frames

    • AP发送的广播帧,通告无线网络的存在(BSSID)
    • 发包频率 大概1秒发10次:
      • 102.4ms(可变);时间单位1024microsecond(60秒)
    • SSID网络名
      • 隐藏AP不发SSID广播

    Probe Request Frames

    用于STA扫描现有AP

    • 发现连接过的AP
    • 发现未连接过得AP

    Authentication Frames

    Authentication algorithm身份认证类型

    • 0:开放系统身份验证
    • 1:共享密钥身份验证

    身份认证有多个帧交换过程组成

    Authentication Seq

    • 每次身份验证过程Seq唯一
    • 1-65535

    Challenge text

    • 只有共享密钥方式才有此字段

    Status Code:成功/失败

    为美好的生活奋斗!
  • 相关阅读:
    null in ABAP and nullpointer in Java
    SAP ABAP SM50事务码和Hybris Commerce的线程管理器
    Hybris service layer和SAP CRM WebClient UI架构的横向比较
    SAP ABAP和Linux系统里如何检查网络传输的数据量
    SAP CRM WebClient UI和Hybris的controller是如何被调用的
    SAP CRM和Cloud for Customer订单中的业务伙伴的自动决定机制
    SAP CRM WebClient UI和Hybris CommerceUI tag的渲染逻辑
    SAP BSP和JSP页面里UI元素的ID生成逻辑
    微信jsapi支付
    微信jsapi退款操作
  • 原文地址:https://www.cnblogs.com/ethtool/p/12187394.html
Copyright © 2011-2022 走看看