渗透测试 WPA/WPA2 加密 WLAN

WPA/WPA2 是继 WEP 被证明不安全之后出现的下一代安全无线网络。这些协议使用的算法更加安全(WPA:TKIP 和 WPA2:CCMP/AES),因此不可能使用与 WEP 相同的方法破解网络。

破解 WPA/WPA2 基于相同的理念 - 嗅探初始四次握手并应用暴力攻击以破解加密密码。

为了说明这个例子,我将再次使用"实验室测试"WLAN,这次使用 WPA2 保护,使用以下密钥减去"F8BE4A2C"。正如您从前几章中记得的那样,暴力破解密码的成功率和所需时间取决于密码的复杂性。我在这里使用的密码可能很弱,可以在相对合理的时间内被破解。在实际环境中,您应该只看到长度超过 10 个字符且包含所有类型的字母数字符号的密码 - 这样,暴力破解它需要数年时间。

与上一个示例相同,我们将从 airodump-ng 开始,被动收集有关 WLAN 的一些信息。

WLAN Information

正如您所观察到的,他确实有使用 WPA2 和 CCMP 加密保护的"LAB-test"SSID。当前连接到 LAB-test 的客户端是我的另一台 PC,其 MAC 地址为 84:A6:C8:9B:84:76。

Lab-test

第一步是启用 LAB-test 上的流量嗅探(这次我们不太关心数据包),以便收集 AP 和无线客户端(我的 PC)之间的初始四次握手。

启用嗅探

如下所示,每次有新用户加入网络时,airodump 都会嗅探四次握手。

新用户加入网络

由于我们将这些握手信息收集到一个文件中,因此我们已准备好破解密码。唯一缺少的元素是一个包含可能密码的字典文件。您可以使用很多工具,例如 john、crunch,甚至可以从互联网上下载字典文件。在此示例中,我将展示 crunch,但您可以随意尝试您可能找到的所有解决方案。请记住,一切皆有可能。

破解密码

如您所见,crunch 可以为您创建一个字典。假设我们希望所有密码都包含数字和字母,长度不超过 8 个字符。假设数字可能从 0 到 9,字母从 A 到 F。为什么我们要做出这种限制(关于密码的假设)? – 这是因为,如果您想要一个包含由数字 0-9、字母 a-z 和 A-Z 组成的所有密码组合的文件,则需要 18566719 GB 的空间(!!!)。

因此,我们首先创建所有组合并将它们放在字典文件中。

Dictionary File

然后,我们在使用 aircrack 实用程序时引用此字典文件,尝试导出正确的密钥,如下所示 −

Aircrack Utility

aircrack-ng 在文件中找到了 8 个 BSSID,因此它会询问您 – 您要破解哪个 WLAN – 我引用了数字 2 – "LAB-test"网络。

逐一检查每个密码是一个非常漫长的过程。找到正确密码的时间取决于密码在字典文件中的位置(如果密码放在字典文件的第一行,如果您很幸运,您可以在第一次猜测中找到密码)。在此示例中,如您所见,我找到了密码,但花了 8 小时 47 分钟(!!!)。使用 10 个字符而不是 8 个字符的密码可能会将时间增加到几天甚至一周。

找到密码

您必须记住,字典越长,破解密码所需的时间就越长。而且,正如我之前几次强调的那样,如果密码非常复杂且很长,则从计算上根本无法进行破解(在有限的时间内,比如说 10 年内)。