读本好书《黑客大曝光——无线网络安全》

读本好书 《黑客大曝光——无线网络安全》

这本书其实早都有开始看了,只是时间太过于碎片化了,规格也在 500p,这里只是对书中的内容做极简要的总结。

简介

  • 书名:黑客大曝光——无线网络安全
  • 作者:Joshua Wright/Johnny Cache
  • ISBN:9787111526292

对目前的无线安全领域的一个很广泛的描述。从 wifi 到 蓝牙,再到其他的安全,像是移动数据 和 Zigbee

Wifi部分


  • 802.11协议安全

这里是Airodump/AirCrack-NG 之类的工具,可能对802.11协议中的漏洞的利用。有 解除认证攻击 (Deauth) ,这里可以使用 CommView 自带的工具既可以实现一次接触认证攻击

解除认证攻击( Deauth )的原理

在每个硬件中都有其对应的MAC地址,这个mac的设计本想用来对不同的设备进行区分,结果没有考虑到,含有mac的数据是通过软件发出来的。所以 MAC修改 也是一个利用用的地方

LINUX:
    ifconfig wlan0 down
    ifconfig wlan0 hw ether 00:11:22:33:44:55
    ifconfig wlan0 up

OSx:
    airport -z
    ifconfig en0 ether 00:11:22:33:44:55
  • 无线加密安全

常见的加密方式 WEP(有限对等保密) 和 WAP (Wi-Fi网络安全接入).

WEP (Wired Equivalent Privacy)

WPA (Wi-Fi Protected Access)

前者已经被证明有重大的安全漏洞,已经于本世纪初期停用。对于WEP加密讲,只有有持续的连接,我们可以嗅探到足够的IV(Initial Vector)破解概率是100%。使用工具可是wifite/aircrack-ng, 具体细节网上有大量资源

AP 和 Client在连接之前是两个并不相关的个体,其中如果需要进行连接,那么必须是需要有个协商密钥的过程。

在非安全信道进行加密通信,这个很容易使我们相到,非对称加密体系。比如我们极为常用的RSA,不过这里就出现了一个问题,公钥的认知,通俗讲,我怎么知道,你是不是他? 我们常见的体系中的,会有CA/RA这种角色,进行对证书的验证和颁发。可是在我们的WIFI连接过程中是没办法再介入第三方的。

所以,综上我们的密钥协商过程是存在被嗅探的风险。

无线网络密码破解WPA/WPA2教程

不过。还是不用担心,现在只是过程的漏洞,其加密协议本身,是安全的。目前对其进行破解的方法,只有碰撞,使用 HashCat 类的工具,进行俗称的跑包


  • Wifi 环境下的客户端安全

这部分主要是讲解 基于 Metasploit 框架的局域网安全。Browser_autopwn 模块实现了内网的钓鱼。

其中有一个部分 I_LOVE_MY_NEIGHBORS, 这里描述了在内网构建一个 Phishing 的热点。其主要步骤有:

  • 创建AP接入点
  • 分配IP地址(路由)
  • 搭建路由
  • 重定向 HTTP 数据流
  • 使用 Squid 软件提供 HTTP 内容服务

具体的配置细节这里不展开描述,上面 Hostapd.conf/dhcpd.conf 的文件存在着前两项的内容。这里的搭建路由是比较point的。

ifconfig wlan0 10.0.0.1 up netmask 255.255.255.0
sysctl -w net.ip_forward=1
netstat -r    # 查看路由表

HTTP的重定向是通过iptable的配置实现的。Squid是一个实现HTTP代理的工具,使得用户通过我们的ap可以访问到外界的网站。默认的端口是 3128


  • phishing AP 的利用

这里可以通过 wpa_supplicant 进行网络的连接。不过如果直接进行连接,存在着一个问题,就是我们的IP分配的记录可能被DHCP服务器所记录。

fakeDHCP的 利用:DHCP服务器是提供了动态的ip分配的功能,实际是这里存在一个问题。可以通过主动推送的方式,对客户端的 默认路由ipDns服务器ip 进行指派,当然客户端认为是合法的,所以会进行无条件的接受。

使用metaspolite里面的

auxiliary/server/fakedns    # 搭建一个假的DNS服务
auxiliary/server/capture/http    # 

ARP欺骗。。。等等常见的 MITM(man in the middle)攻击

蓝牙部分

主要概念有设备发现(device discovery),跳频(frequency hopping),微微网(piconet)。传统的在 2.4GHz上面定义了79个信道,每个信道有 1MHz 的带宽。设备的通信过程中是以每秒 1600次的频率在进行跳频。

3.0是高速蓝牙,4.0是低功耗蓝牙

在传统蓝牙中,PIN码这个东西不会陌生,在连接过程中会使用PIN码进行配对,称之为个人信息码。可以使用 BTCrack 对PIN码进行离线破解

对附近蓝牙的设备的扫描分为 主动扫描技术被动扫描技术 。对于主动扫描,蓝牙设备必须是处于可发现状态。

在蓝牙协议中,并不要求另个通信设备之间进行 寻呼扫描(inquiry scan)

在被动状态下,只是需要获得其设备地址,既可以对其发起连接,可以见到的有我们的NFC连接蓝牙,和二维码连接蓝牙。

所以这里存在着地址穷举的问题,不过在bluetooth里面,MAC的值也是 48位的,

eg:    00:11:22:33:44:55:66

这样如果进行穷举,是可行的,不过这个量是很大的,可能设备都关闭了我们还是没有发现地址。

所以一个经典的思路是,如果设备可见,我们可以根据其官方的其他设备,得到MAC段(前5段 40位固定)。对特定的MAC段进行穷举,将会简单的多


  • 常见蓝牙漏洞

目录递归,构造恶意的文件名 如

../a.exe

这样文件将会被解析存储到上级目录,这样的方法可能存在目录被遍历的风险。实际上觉得这刚过不该蓝牙背。

IBeacon(灯塔) 正如名字一样,这刚是蓝牙的灯塔协议,这里不需要进行蓝牙的连接。可以通过特定的ID,进而得到特定的位置信息。

其他网络

小时候听到的猫的拨号音,实在是怀念。

Modem拨号音

  • SDR

这部分,介绍了几个基本的SDR设备的使用,看看频谱之类的。

常见的 二进制频移键控(BFSK).使用SDR 对其进行嗅探,及波形录制。之后可以有经典的 重放攻击

当然此部分的前提是 SDR设备 和 GNUradio。、

如果在谱图上面 只有一个峰,那么可能是 开关键控,两个峰就是 二进制频移键控。对于采集的信号可以使用滤波器对其进行滤除,(升余弦滤波
器)


  • 移动网络数据

国内的2G是没有加密的,通过网上教程可以做到短信内容的嗅探,这里不予展开。

  • 移动基站 MS Moblie Station
  • SIM卡 Subscriber Identity Module 用户识别模块
  • 移动用户临时识别码 TMSI
  • 基站收发信台 BTS Base Transceiver Station
  • 基站控制器 BSC
  • 基站子系统 BSS
  • 移动交换中心 MSC

全球移动通信

4G长期演进


  • ZigBee简介

ZigBee 在家具领域和楼宇自动化中,还是有较为坚实的地位。

一个主要的问题 why ZigBee?因为目前的 wifi,蓝牙,和其他的专有的通信解决方案里面为什么使用zb?这个在物联网的标准桥带之前,可能无法得到一个十分肯定的答案,如下:

  • zigBee 的协议栈较之WIFI会简单上许多大小在 120KB 左右,完全可以运行在NVRam里。
  • 其目前协议传输速度在 20~250Kbps

早在1998年就已经提出了ZigBee技术。但是到2004 年才开始使用。

在ZigBee体系下有以下的多种的设备角色存在于 介质访问控制层:

  • 信任中心 TC Trust Center 对接入的设备进行认证
  • 协调器 ZC Coordinator 代表其他的设备王朝其信息中继转发
  • 路由器 ZR Router 和协调器功能类似,这个只从硬件上讲
  • 终端设备 ZED End Device 可以接入ZigBee网络,但无法转发其他的信息帧

关于ZigBee的网络结构,存在星形拓扑Mesh网格网络,前者的结构简单,后者的结构如下:

MESH在单词直译上讲是网孔的意思

ZigBee用于标准安全和高安全两种模式,信任中心使用 ACL(Accedd Contrl List)对接入设备进行控制,高安全下,有特点的新人中的角色,对其网络中的加密算法和密钥进行追踪.

  • Zigbee 攻击

特定硬件,KillerBee工具包,可能的方法有网络发现,重放攻击,数据伪造

KillerBee Proj

这本书对无线的应用安全做了很好的汇总,十分广泛的层面,也是对自己零散的知识的总结,和部分的深入

一杯可乐~