以下文章来源于轩辕实验室 ,作者轩辕实验室
本实验通过指导学生上机实践,让学生学习对IVI的WiFi渗透基本原理和攻击过程,了解IVI系统在WiFi热点和开放端口c方面的潜在威胁,并加强对IVI系统的安全防护意识。
本实验演示了利用WiFi攻击、端口扫描、密码爆破等一系列操作获取附近IVI系统访问权限的一种方法。以WiFi渗透入手,通过对IVI的开放WiFi热点进行探测和密码破解,接入到IVI的局域网中,并进一步扫描其开启的服务,进而密码爆破获取系统的登录账户信息,实现对IVI系统的远程操控。
Aircrack-ng
一个用于评估WiFi网络安全性的工具箱,可以实现监控和捕获数据包、检查无线网卡和驱动程序、破解WEP和WPA PSK加密的无线网络等功能。本实验主要使用Aircrack-ng来破解IVI的WiFi密码,具体用到的组件包括Airmon-ng、Airodump-ng、Aireplay-ng、Aircrack-ng。
Nmap
一个网络发现和安全审计工具,可以用于主机发现、端口扫描和服务版本探测,还可以探测远程主机的操作系统类型和防火墙信息等。本实验使用Nmap来探测IVI的IP地址并进行端口扫描。
Hydra
一个自动化密码爆破工具,可以暴力破解多种密码,支持多种协议和并行连接。在本实验中,使用Hydra来爆破IVI系统的Telnet或SSH用户名和密码。
实验流程和网络拓扑
和手机热点类似,只要进入了IVI车载热点的覆盖范围,就可以探测到这个WiFi的连接信号,并能获取网络名称、mac地址、加密方式等信息。首先检查无线网卡是否已经正确连接,输入 iwconfig ,如图4-2所示,如果连接正确,可以看到名称类似 “wlxxx” 的无线网卡信息。
无线网卡默认的工作模式是Managed,在这种模式下,网卡只接收发给自己的数据包。为了让网卡监听空气中所有的无线通信,执行以下命令把电脑的无线网卡切换为Monitor模式:
sudo airmon-ng start [你的无线网卡名称]
再次查看网卡信息,此时无线网卡的名称被自动更改为 wlan0mon,模式是 Monitor。然后激活网卡:
sudo ifconfig wlan0mon up
网卡切换为Monitor模式
sudo airodump-ng wlan0mon
可以看到类似下图所示的WiFi信息列表。其中,BSSID是无线接入点的mac地址,CH是工作频道,ENC是加密方式,ESSID是WiFi名称。IVI的WiFi热点名称一般为xxx或xxx,在WiFi列表中找到IVI的无线信息,重点关注mac地址和工作频道,为后续的抓包做准备。
探测到的周围WiFi信息示例
注意:探测列表会不停地刷新,为了便于获取想要的信息,可以在观察到列表中出现IVI的WiFi信息后,按“Ctrl+C”停止探测。也可以多次执行探测命令进行探测。
sudo airodump-ng --ivs --bssid [目标WiFi的mac地址] –w longas -c [目标WiFi的工作频道] wlan0mon
其中,“--ivs” 表示设置过滤,不保存所有无线数据,只保存可用于破解的IVS数据报文;“-c” 用于设置目标WiFi的工作频道;“-w” 后跟保存数据的文件名,建议使用示例所用的 “longas”。
抓包信息示例
执行情况如上图所示,有两个列表,上面的列表是目标WiFi的抓包信息,下面是连接到该WiFi的设备列表。其中,STATION是接入设备的mac地址。对于加密类型为WPA/WPA2-PSK的无线网络,为了快速获得破解所需的握手验证完整数据包,在抓包过程中可以发送 “DeAuth” 数据包来将已经连接到该WiFi的客户端强制断开,在客户端自动重连时就可以捕获到包含握手验证的完整数据包了。另外打开一个终端,执行以下命令发送 “Deauth” 数据包。
sudo aireplay-ng -0 10 -a [目标WiFi的mac地址] -c [接入设备的mac地址] wlan0mon
其中,“-0” 表示采用DeAuth攻击模式,后跟攻击次数。可以在接入设备列表中任选一个接入设备,使用其mac地址。当抓包页面右上角显示 “WPA handshake” 时,表示攻击成功。接下来就可以使用捕获的数据进行WiFi密码破解了。
sudo aircrack-ng -w [字典文件] longas-*.ivs
WiFi密码破解结果示例
即可使用破解出的密码连接WiFi秘密进入IVI内网。注意:Airodump-ng为了方便破解时的文件调用,会自动对保存文件按顺序编号,于是就多了-01这样的序号;再次抓包时,若还使用longas作为保持文件名,就会保存为longas-02.ivs。
连接到IVI的WiFi热点之后,可以通过向本网段所有主机发送数据包来进行主机发现,进而确定IVI(网关)的IP地址。使用Nmap进行主机发现的命令如下:
nmap 192.168.9.0/24 -sn
Nmap主机发现结果示例
接下来对IVI的所有端口进行扫描,以获取系统开启了哪些端口和服务。命令如下:
sudo nmap [IVI的IP地址]
端口扫描结果下图所示,观察到IVI打开了22端口,也就是SSH服务的常用端口,因此可以进一步密码爆破来获得系统访问权限。
端口扫描结果示例
我们希望能通过SSH登录到IVI系统,从而可以执行一些操作甚至完全控制系统。这就需要对ssh的用户名和密码进行破解。接下来就使用hydra来破解IVI系统的用户名和登录密码。
hydra [IVI的IP地址] ssh -L dicts/user_dict.txt -P dicts/pwd.txt -V -t 6 -f
其中,“-L” 后面跟用户名字典的路径,“-P” 后跟密码字典的路径,“-V” 表示显示爆破过程的详细信息,“-t” 设置同时进行的任务数量,可以理解为线程数,“-f” 用于设置爆破成功一个后就停止爆破。等待一段时间后就可以得到破解结果了,如下图所示。
SSH爆破结果示例
拿到了IVI的SSH登录名和密码,就可以登录进入IVI系统了。如下图所示:ssh [爆破出的用户名]@192.168.9.131
SSH远程登录IVI系统
已完成
数据加载中