企业级无线渗透与无线数据浅析
字数 2629 2025-08-22 18:37:21

企业级无线渗透与无线数据分析技术指南

0x00 企业级无线渗透

一、准备工作:网卡选择

在无线渗透中,网卡选择至关重要:

  • 推荐网卡:AWUS036H(RT8187芯片)或RTL3070芯片
  • 选择标准
    • 完美支持Linux无线工具
    • 稳定性高,避免断开、蓝屏或丢包问题

二、企业无线网络架构分析

企业级无线通常采用WPA+Radius架构,基于802.1X认证标准。

802.1X认证机制

  • EAP(扩展认证协议):为802.1X提供验证框架
  • 常见认证机制
    • EAP-TLS:双向认证,要求部署PKI证书体系
      • 缺点:用户名明文传输,PKI部署复杂
    • EAP-TTLS:仅需服务器端证书
    • PEAP:最常用,兼容性好,仅需服务器端证书

PEAP-MSCHAPv2认证流程

企业最常用的认证组合:

  1. 认证在TLS隧道内完成
  2. 包含EAP-Response/Identity和challenge字符串
  3. 使用域账号登录企业无线网络

三、企业无线渗透技术

1. 伪造AP攻击(Fake AP)

工具:hostapd-wpe(替代freeradius-wpe)

  • 支持多种EAP类型:
    • EAP-FAST/MSCHAPv2
    • PEAP/MSCHAPv2
    • EAP-TTLS/MSCHAPv2等

攻击步骤

  1. 对已连接目标进行Deauth攻击: 
    aireplay-ng -0 10 -a <ap mac> -c <my mac> mon0
  2. 目标重连到伪造AP
  3. 捕获hash(存储在hostapd-wpe.log中)
  4. 使用asleap或John the Ripper破解hash

2. 其他认证方式攻击

  • EAP-MD5

    • 无SSL保护,直接抓包可见challenge
    • 使用eapmd5pass工具破解: 
      eapmd5pass -r <握手包> -w <字典>

  • LEAP(Cisco轻量级EAP)

    • 使用MS-CHAPv1,安全性极低
    • 捕获四次握手后暴力破解

3. 802.1X攻击工具

  • MDK3攻击模式

    # EAPOL报文洪水攻击
mdk3 mon0 x 0 -n <ssid> -t <bssid> -w <WPA类型> -s <速率>

# EAPOL注销认证攻击
mdk3 mon0 x 1 -t <目标mac> -c <客户端mac> -s <速率>

  • 3vilTiwnAttacker

    • 集成无线劫持、嗅探功能
    • GitHub: https://github.com/joridos/3vilTiwnAttacker

四、防御策略

  1. 检测伪AP

    • 使用MAC地址策略识别
    • Airdrop-ng工具(黑白名单机制):
      • GitHub: https://github.com/aircrack-ng/aircrack-ng/tree/master/scripts/airdrop-ng

  2. 无线IDS

    • waidps:
      • GitHub: https://github.com/SYWorks/waidps

  3. 企业无线安全建议

    • 完善证书机制
    • 监控异常Deauth包
    • 禁止员工建立私人热点

0x01 无线数据分析

一、802.11数据包类型

  1. 管理帧

    • Authentication(认证)
    • Association(关联)
    • Beacon(信标)

  2. 控制帧:用于请求/响应

  3. 数据帧:实际通信数据

二、关键数据分析

1. Beacon帧分析

  • 包含AP功能、网络名称、配置和安全信息
  • 示例字段:
    • Type: Beacon
    • 设备信息(如Huawei)
    • MAC地址
    • SSID名称
    • 802.11协议版本
    • 工作信道

2. 加密分析

检查Authentication数据中的字段:

  • Authentication Algorithm: Open System(0) → 非Shared加密
  • 结合Beacon数据判断是否启用加密

3. DOS攻击分析

  • Authentication Flood
    • Type: Authentication
    • Destination address: 被攻击AP的MAC
    • Source address: 源MAC(可能伪造)

三、802.11信道与频率

信道 中心频率(MHz)
1 2412
2 2417
... ...
13 2472

四、WPA握手包分析

  • 使用EAPOL协议处理认证
  • 四次握手关键点:
    • MIC值:握手成功的关键
    • PSK由SSID和password生成
    • 客户端和AP的MIC KEY比较决定认证结果

五、Wireshark过滤技巧

  • 常用过滤参数:
    • wlan.fc.type == 0:管理帧
    • wlan.fc.type == 1:控制帧
    • wlan.fc.type == 2:数据帧

参考文档:
802.11 Pocket Reference Guide

0x02 802.11 Fuzzing技术

一、无线Fuzzing基础

  • 原理:尝试各种异常数据测试协议健壮性
  • 常见目标:
    • SSID字段(长度溢出)
    • 无线驱动程序

二、Fuzzing工具

  1. wifuzz

    • GitHub: https://github.com/0x90/wifuzz
    • 基于Scapy包生成
    • 使用示例: 
      sudo python wifuzz.py -s admin auth
    • 检测AP是否崩溃并生成pcap文件

  2. wifuzzit

    • GitHub: https://github.com/bullo95/WiFi--/tree/master/wifuzzit
    • 发现的漏洞:
      • CVE-2006-6332(Madwifi堆栈溢出)
      • CVE-2009-0952(恶意管理帧攻击)
      • CVE-2009-0052(Atheros驱动DoS)

  3. Metasploit Fuzzer

    • 需要安装lorcon2模块(无线注入)
    • 使用Beacon fuzz生成大量SSID

三、已知无线漏洞

  1. Atheros驱动程序漏洞

    • 远程代码执行(CVE-2006-6332)
    • 拒绝服务(CVE-2009-0052)

  2. EAP-based WPA/WPA2漏洞

    • 通过恶意管理帧攻击(CVE-2009-0952)

附录:推荐资源

  1. FreeRadius:http://freeradius.org/
  2. 企业WiFi蠕虫与后门研究:
    http://www.securitybyte.org/resources/2011/presentations/enterprise-wi-fi-worms-backdoors-and-botnets-for-fun-and-profit.pdf
  3. 证书机制缺陷分析:
    http://drops.wooyun.org/wireless/15269
企业级无线渗透与无线数据分析技术指南 0x00 企业级无线渗透 一、准备工作:网卡选择 在无线渗透中,网卡选择至关重要: 推荐网卡 :AWUS036H(RT8187芯片)或RTL3070芯片 选择标准 : 完美支持Linux无线工具 稳定性高,避免断开、蓝屏或丢包问题 二、企业无线网络架构分析 企业级无线通常采用 WPA+Radius 架构,基于802.1X认证标准。 802.1X认证机制 EAP(扩展认证协议) :为802.1X提供验证框架 常见认证机制 : EAP-TLS :双向认证,要求部署PKI证书体系 缺点:用户名明文传输,PKI部署复杂 EAP-TTLS :仅需服务器端证书 PEAP :最常用,兼容性好,仅需服务器端证书 PEAP-MSCHAPv2认证流程 企业最常用的认证组合: 认证在TLS隧道内完成 包含EAP-Response/Identity和challenge字符串 使用域账号登录企业无线网络 三、企业无线渗透技术 1. 伪造AP攻击(Fake AP) 工具 :hostapd-wpe(替代freeradius-wpe) 支持多种EAP类型: EAP-FAST/MSCHAPv2 PEAP/MSCHAPv2 EAP-TTLS/MSCHAPv2等 攻击步骤 : 对已连接目标进行Deauth攻击: 目标重连到伪造AP 捕获hash(存储在hostapd-wpe.log中) 使用asleap或John the Ripper破解hash 2. 其他认证方式攻击 EAP-MD5 : 无SSL保护,直接抓包可见challenge 使用eapmd5pass工具破解: LEAP(Cisco轻量级EAP) : 使用MS-CHAPv1,安全性极低 捕获四次握手后暴力破解 3. 802.1X攻击工具 MDK3攻击模式 : 3vilTiwnAttacker : 集成无线劫持、嗅探功能 GitHub: https://github.com/joridos/3vilTiwnAttacker 四、防御策略 检测伪AP : 使用MAC地址策略识别 Airdrop-ng工具(黑白名单机制): GitHub: https://github.com/aircrack-ng/aircrack-ng/tree/master/scripts/airdrop-ng 无线IDS : waidps: GitHub: https://github.com/SYWorks/waidps 企业无线安全建议 : 完善证书机制 监控异常Deauth包 禁止员工建立私人热点 0x01 无线数据分析 一、802.11数据包类型 管理帧 : Authentication(认证) Association(关联) Beacon(信标) 控制帧 :用于请求/响应 数据帧 :实际通信数据 二、关键数据分析 1. Beacon帧分析 包含AP功能、网络名称、配置和安全信息 示例字段: Type: Beacon 设备信息(如Huawei) MAC地址 SSID名称 802.11协议版本 工作信道 2. 加密分析 检查Authentication数据中的字段: Authentication Algorithm: Open System(0) → 非Shared加密 结合Beacon数据判断是否启用加密 3. DOS攻击分析 Authentication Flood : Type: Authentication Destination address: 被攻击AP的MAC Source address: 源MAC(可能伪造) 三、802.11信道与频率 | 信道 | 中心频率(MHz) | |------|---------------| | 1 | 2412 | | 2 | 2417 | | ... | ... | | 13 | 2472 | 四、WPA握手包分析 使用EAPOL协议处理认证 四次握手关键点: MIC值:握手成功的关键 PSK由SSID和password生成 客户端和AP的MIC KEY比较决定认证结果 五、Wireshark过滤技巧 常用过滤参数: wlan.fc.type == 0 :管理帧 wlan.fc.type == 1 :控制帧 wlan.fc.type == 2 :数据帧 参考文档: 802.11 Pocket Reference Guide 0x02 802.11 Fuzzing技术 一、无线Fuzzing基础 原理:尝试各种异常数据测试协议健壮性 常见目标: SSID字段(长度溢出) 无线驱动程序 二、Fuzzing工具 wifuzz : GitHub: https://github.com/0x90/wifuzz 基于Scapy包生成 使用示例: 检测AP是否崩溃并生成pcap文件 wifuzzit : GitHub: https://github.com/bullo95/WiFi--/tree/master/wifuzzit 发现的漏洞: CVE-2006-6332(Madwifi堆栈溢出) CVE-2009-0952(恶意管理帧攻击) CVE-2009-0052(Atheros驱动DoS) Metasploit Fuzzer : 需要安装lorcon2模块(无线注入) 使用Beacon fuzz生成大量SSID 三、已知无线漏洞 Atheros驱动程序漏洞 : 远程代码执行(CVE-2006-6332) 拒绝服务(CVE-2009-0052) EAP-based WPA/WPA2漏洞 : 通过恶意管理帧攻击(CVE-2009-0952) 附录:推荐资源 FreeRadius:http://freeradius.org/ 企业WiFi蠕虫与后门研究: http://www.securitybyte.org/resources/2011/presentations/enterprise-wi-fi-worms-backdoors-and-botnets-for-fun-and-profit.pdf 证书机制缺陷分析: http://drops.wooyun.org/wireless/15269