轩辕实验室┃智能网联汽车信息安全实训平台-IVI(或T-BOX)的WiFi攻击实验

来源:上海控安
2020-11-17
2560

以下文章来源于轩辕实验室 ,作者轩辕实验室

轩辕实验室轩辕实验室

车联网信息安全和预期功能安全技术


微信图片_20201022180405.jpg




智能网联汽车信息安全实训平台,是以建设车联网安全检测和培训体系为目的而搭建的一套成熟、落地、可操作的安全检测环境。



01


测试对象


IVI或T-BOX


02


教学目的


本实验通过指导学生上机实践,让学生学习对IVI的WiFi渗透基本原理和攻击过程,了解IVI系统在WiFi热点和开放端口c方面的潜在威胁,并加强对IVI系统的安全防护意识。

03


详细介绍


本实验演示了利用WiFi攻击、端口扫描、密码爆破等一系列操作获取附近IVI系统访问权限的一种方法。以WiFi渗透入手,通过对IVI的开放WiFi热点进行探测和密码破解,接入到IVI的局域网中,并进一步扫描其开启的服务,进而密码爆破获取系统的登录账户信息,实现对IVI系统的远程操控。

04


依赖软件工具


Aircrack-ng

一个用于评估WiFi网络安全性的工具箱,可以实现监控和捕获数据包、检查无线网卡和驱动程序、破解WEP和WPA PSK加密的无线网络等功能。本实验主要使用Aircrack-ng来破解IVI的WiFi密码,具体用到的组件包括Airmon-ng、Airodump-ng、Aireplay-ng、Aircrack-ng。

Nmap

一个网络发现和安全审计工具,可以用于主机发现、端口扫描和服务版本探测,还可以探测远程主机的操作系统类型和防火墙信息等。本实验使用Nmap来探测IVI的IP地址并进行端口扫描。

Hydra

一个自动化密码爆破工具,可以暴力破解多种密码,支持多种协议和并行连接。在本实验中,使用Hydra来爆破IVI系统的Telnet或SSH用户名和密码。


05


依赖硬件工具


windows系统PC,工控机Ubuntu系统,IVI或TBox


06


实验整体流程



1.jpg

实验流程和网络拓扑

07


实验步骤


01
使用Aircrack-ng扫描WiFi,寻找到IVI的WiFi

和手机热点类似,只要进入了IVI车载热点的覆盖范围,就可以探测到这个WiFi的连接信号,并能获取网络名称、mac地址、加密方式等信息。首先检查无线网卡是否已经正确连接,输入 iwconfig ,如图4-2所示,如果连接正确,可以看到名称类似 “wlxxx” 的无线网卡信息。


2.jpg

无线网卡信息示例

无线网卡默认的工作模式是Managed,在这种模式下,网卡只接收发给自己的数据包。为了让网卡监听空气中所有的无线通信,执行以下命令把电脑的无线网卡切换为Monitor模式:

sudo airmon-ng start [你的无线网卡名称]

再次查看网卡信息,此时无线网卡的名称被自动更改为 wlan0mon,模式是 Monitor。然后激活网卡:

sudo ifconfig wlan0mon up


3.jpg

网卡切换为Monitor模式

接下来可以对周围的WiFi进行探测。执行:

sudo airodump-ng wlan0mon

可以看到类似下图所示的WiFi信息列表。其中,BSSID是无线接入点的mac地址,CH是工作频道,ENC是加密方式,ESSID是WiFi名称。IVI的WiFi热点名称一般为xxx或xxx,在WiFi列表中找到IVI的无线信息,重点关注mac地址和工作频道,为后续的抓包做准备。


4.jpg

探测到的周围WiFi信息示例

注意:探测列表会不停地刷新,为了便于获取想要的信息,可以在观察到列表中出现IVI的WiFi信息后,按“Ctrl+C”停止探测。也可以多次执行探测命令进行探测。


02
捕获WiFi的握手验证数据包

获取了目标WiFi的信息之后,执行以下命令来捕获该WiFi的通信数据包:

sudo airodump-ng --ivs --bssid [目标WiFi的mac地址] –w longas -c [目标WiFi的工作频道] wlan0mon

其中,“--ivs” 表示设置过滤,不保存所有无线数据,只保存可用于破解的IVS数据报文;“-c” 用于设置目标WiFi的工作频道;“-w” 后跟保存数据的文件名,建议使用示例所用的 “longas”。


5.jpg

抓包信息示例

执行情况如上图所示,有两个列表,上面的列表是目标WiFi的抓包信息,下面是连接到该WiFi的设备列表。其中,STATION是接入设备的mac地址。对于加密类型为WPA/WPA2-PSK的无线网络,为了快速获得破解所需的握手验证完整数据包,在抓包过程中可以发送 “DeAuth” 数据包来将已经连接到该WiFi的客户端强制断开,在客户端自动重连时就可以捕获到包含握手验证的完整数据包了。另外打开一个终端,执行以下命令发送 “Deauth” 数据包。

sudo aireplay-ng -0 10 -a [目标WiFi的mac地址] -c [接入设备的mac地址] wlan0mon

其中,“-0” 表示采用DeAuth攻击模式,后跟攻击次数。可以在接入设备列表中任选一个接入设备,使用其mac地址。当抓包页面右上角显示 “WPA handshake” 时,表示攻击成功。接下来就可以使用捕获的数据进行WiFi密码破解了。


03
暴力破解WiFi的密码

执行以下命令进行WiFi密码的破解。结果下图所示。

sudo aircrack-ng -w [字典文件] longas-*.ivs


6.jpg

WiFi密码破解结果示例

即可使用破解出的密码连接WiFi秘密进入IVI内网。注意:Airodump-ng为了方便破解时的文件调用,会自动对保存文件按顺序编号,于是就多了-01这样的序号;再次抓包时,若还使用longas作为保持文件名,就会保存为longas-02.ivs。


04
对IVI进行端口扫描,发现Telnet或SSH端口

连接到IVI的WiFi热点之后,可以通过向本网段所有主机发送数据包来进行主机发现,进而确定IVI(网关)的IP地址。使用Nmap进行主机发现的命令如下:

nmap 192.168.9.0/24 -sn

得到类似下图所示的结果,可以看到网关的IP是192.168.9.2。


7.jpg

Nmap主机发现结果示例

接下来对IVI的所有端口进行扫描,以获取系统开启了哪些端口和服务。命令如下:

sudo nmap [IVI的IP地址]

端口扫描结果下图所示,观察到IVI打开了22端口,也就是SSH服务的常用端口,因此可以进一步密码爆破来获得系统访问权限。


8.jpg

端口扫描结果示例


05
爆破Telnet/SSH密码,进入shell

我们希望能通过SSH登录到IVI系统,从而可以执行一些操作甚至完全控制系统。这就需要对ssh的用户名和密码进行破解。接下来就使用hydra来破解IVI系统的用户名和登录密码。

hydra [IVI的IP地址] ssh -L dicts/user_dict.txt -P dicts/pwd.txt -V -t 6 -f

其中,“-L” 后面跟用户名字典的路径,“-P” 后跟密码字典的路径,“-V” 表示显示爆破过程的详细信息,“-t” 设置同时进行的任务数量,可以理解为线程数,“-f” 用于设置爆破成功一个后就停止爆破。等待一段时间后就可以得到破解结果了,如下图所示。


9.jpg

SSH爆破结果示例

拿到了IVI的SSH登录名和密码,就可以登录进入IVI系统了。如下图所示:ssh [爆破出的用户名]@192.168.9.131


10.jpg

SSH远程登录IVI系统



微信图片_20201022180704.jpg

收藏
点赞
2000