平板电脑上的WiFi黑客技术:从WEP破解到渗透测试

本文详细介绍了如何在平板电脑上利用Pwn Pad社区版进行WiFi安全测试,包括WEP密钥破解、SSH反向隧道建立、恶意AP部署和流量嗅探等实战技术,并分享了相关工具的使用经验和安全建议。

平板电脑上的WiFi黑客技术

免责声明:切勿在未经授权的情况下进行任何黑客行为。请遵守法律。

自从购买了第一台Android设备后,我就想用它来破解WEP加密。不是因为需要,而是因为想要 :) 经过一番搜索,我读到无法使用设备的WiFi芯片组进行数据包注入,于是我就忘了这回事。

过了一段时间,我读到了关于在平板电脑上进行黑客攻击的内容(大约一年前),我的第一反应是:

“这很愚蠢、蹩脚,而且用途非常有限。”

玩了一天之后,我的看法改变了:

“这很愚蠢、蹩脚,用途有限,但当它起作用时,真的很有趣 :-)”

起初,我将Pwn Pad视为可以替代渗透测试工作站的设备,在攻击者端工作。我大错特错了。Pwn Pad应该用作部署在受害者端的渗透测试设备!

选项

你有以下选择:

  1. 花费1095美元+增值税+运费购买这款Pwn Pad
  2. 花费约200美元购买一台旧的Nexus 7平板电脑、一根USB OTG线、一个USB WiFi适配器(例如TP-Link Wireless TL-WN722N USB适配器可用)。

在我的例子中,我买了一台二手的2012款Nexus WiFi。最初买它是为了玩不同的自定义Android ROM和root后的应用程序。过了一段时间,我又发现了Pwn Pad的热潮,并尝试了一下。

Pwn Pad社区版有一个易于使用的安装程序,并附有详细的安装说明。在安装Pwn Pad之前,不要忘记备份平板电脑上的所有内容!

我不想重复安装指南,它非常简单。我启动了一个Ubuntu Live CD,安装了adb和fastboot,就准备好了。我没有计时,但整个过程大约20分钟。

内部与外部WiFi

内部WiFi芯片组可用于嗅探流量,甚至进行ARP投毒以进行主动中间人攻击。但在我的情况下,我无法使用内部芯片组进行数据包注入,这意味着你不能用它进行WEP破解、WPA解除认证等。这就是外部USB WiFi派上用场的地方。这也是为什么我们需要Pwn Pad Android ROM,而不能使用普通ROM的原因。

Pwn Pad有两个非常出色的地方。第一个是集成了支持监控模式和数据包注入功能的外部WiFi驱动程序。第二个很酷的功能是围绕Linux黑客工具的chroot包装器。每个黑客工具都有一个启动图标,所以感觉就像是一个原生的Android应用程序,尽管它运行在chroot Kali环境中。

Wifite

第一个推荐的应用程序是Wifite。可以把它看作是aircrack - airmon - airodump套件的包装器。我破解WEP时最大的问题是必须记住一堆命令,或者每次破解时都要带着WEP破解手册。这太复杂了。但多亏了Wifite,那已成为过去。

要破解WEP密钥,你需要:

  1. 启动Wifite应用程序
  2. 选择你的适配器(USB WiFi)
  3. 选择目标网络(下一个例子中的wep_lan)
  4. 等待一分钟
  5. 盈利!

SSH反向shell

这是Pwn Pad的关键功能之一。你将平板电脑部署在受害者端,让平板电脑通过(隧道)SSH连接到你的服务器。

反向shell的基本概念是,在Pwn Pad平板电脑(客户端)和你的外部SSH服务器之间建立SSH隧道(直接或封装在其他隧道协议中),并设置远程端口转发,这意味着在你的SSH服务器上连接到一个本地端口,该端口被转发到Pwn Pad并由Pwn Pad SSH服务器处理。

我认为最好的选择是通过3G使用反向shell,并让平板电脑通过以太网或WiFi连接到受害者网络。但你的偏好可能不同。反向shell的步骤在文档中也有详细说明,只是默认情况下你还必须在Pwn Pad上启动SSH服务器。这并不难,有一个应用程序可以做到 ;-) 如果你的外部SSH服务器不是Kali,你可能需要安装stunnel和ptunnel。以下输出显示了成功反向shell后你在外部SSH服务器上可以看到的内容。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

root@myserver:/home/ubuntu# ssh -p 3333 pwnie@localhost
The authenticity of host '[localhost]:3333 ([127.0.0.1]:3333)' can't be established.
ECDSA key fingerprint is 14:d4:67:04:90:30:18:a4:7a:f6:82:04:e0:3c:c6:dc.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[localhost]:3333' (ECDSA) to the list of known hosts.
pwnie@localhost's password:
 _____      ___  _ ___ ___   _____  _____ ___ ___ ___ ___
| _ \ \    / / \| |_ _| __| | __\ \/ / _ \ _ \ __/ __/ __|
|  _/\ \/\/ /| .` || || _|  | _| >  <|  _/   / _|\__ \__ \
|_|   \_/\_/ |_|\_|___|___| |___/_/\_\_| |_|_\___|___/___/

 Release Version: 1.5.5
 Release Date: 2014-01-30
 Copyright 2014 Pwnie Express. All rights reserved.

 By using this product you agree to the terms of the Rapid Focus
 Security EULA: http://pwnieexpress.com/pdfs/RFSEULA.pdf

 This product contains both open source and proprietary software.
 Proprietary software is distributed under the terms of the EULA.
 Open source software is distributed under the GNU GPL:
 http://www.gnu.org/licenses/gpl.html

pwnie@localhost:~$

现在你有了一个连接到受害者网络的机器的shell。太棒了 :) 现在Metasploit在平板电脑上真的有意义了,所有其他命令行工具也是如此。

EvilAP和DSniff

启动EvilAP(它又是airobase的包装器),选择接口(对我来说内部Nexus Wifi有效),输入SSID(例如freewifi),输入频道,选择是强制所有客户端连接到你,还是只连接那些真正想连接到你的人,然后启动。

下一步是启动DSniff,选择接口at0,然后等待 :) 在这个例子中,我使用了一个流行的匈牙利网页邮件,它有一个“安全”登录的复选框选项(默认关闭)。这种方法有很多问题,例如在连接前无法检查证书,登录页面通过HTTP交付,因此可以在后台无缝禁用安全登录复选框等。在这种情况下,我将“安全”选项保留为默认关闭。

在下一个教程中,我将展示我最喜欢的下一个应用程序,DSploit ;)

经验教训

  • 黑客攻击从未如此简单
  • 在家庭环境中,只使用WPA2 PSK
  • 为WPA2选择长的、非字典的密码短语
  • 不要与你不信任的人分享你的WiFi密码,或者在他们不再需要时更改它
  • 不要让客户端设备自动连接到WiFi站点,即使SSID看起来很熟悉

我相信在 engagement 期间,Pwn Plug 有更好的“物理隐身”可能性,但玩 Pwn Pad 社区版真的给了我很多乐趣。

最后但同样重要的是,我要感谢 Pwn Pad 开发者发布社区版!

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次