WPS，破解无线WPA密钥的教程

  WPS，破解无线 WPA/WPA2 密钥的教程 2010  WPS，破解无线 WPA/WPA2密钥的捷径 图/文：杨哲 /Longas【ZerOne Security Team】 （注：本文已发表在《黑客防线》杂志 2010年第 3期上，引用时请注明出处，谢谢） 前言：其实很多时候破解无线 WPA/WPA2加密并没有所想的那么复杂，有这样一些技巧 可以帮助无线黑客们绕过 WPA/WPA2的加密体系，本文讲述的就是其中一个比较取巧的 方法即通过 WPS破解。 需要特别强调一下：本文内容适合目前市面上 99%的支持 802.11N系列无线路由器以及 70%的 802.11G无线路由器，也许有的设备仍需要一些攻击手段的配合，但是有具备 WPS功能的无线路由器的朋友们，还是要多加注意。 1．关于 WPS 1．1 WPS和所谓“一键加密” 考虑到普通用户对无线安全设置的困惑， Wi-Fi联盟推出了名为 Wi-Fi Protected Setup（Wi-Fi保护设置，简称 WPS）的认证程序。 Wi-Fi联盟宣称， WPS可以将 设置安全网络的步骤减少一半。目前，新一代 11n无线路由器及网卡均支持 WPS功 能，这对用户来说绝对是个好消息，当然，对黑客们来说也是。图 1 具体来说， WPS（Wi-Fi Protected Setup，Wi-Fi保护设置）是由 Wi-Fi联盟 （http://www.wi-fi.org/）组织实施的认证项目，主要致力于简化无线网络的安全加密设 置。在传统方式下，用户新建一个无线网络时，必须在接入点手动设置网络名（ SSID）和 安全密钥，然后在客户端验证密钥以阻止 “不速之客 ”的闯入。 Wi-Fi Protected Setup 能帮助用户自动设置网络名（ SSID）、配置最高级别的 WPA2安全密钥，具备这一功能 的无线产品往往在机身上设计有一个功能键，称为 WPS按钮，用户只需轻轻按下该按钮或 输入 PIN码，再经过两三步简单操作即可完成无线加密设置，同时在客户端和路由器之间 建立起一个安全的连接。 值得注意的是，利用 WPS简化网络安全配置要求接入点和客户端设备均须通过 WPS认证， 用户可在产品包装上寻找 Wi-Fi Protected Setup的标志（如上图 1所示），以确保所购 产品具备 WPS功能。不过要强调的是，在市场上并不是所有具备 WPS功能的无线产品都 会在包装贴上如上图 1所示的标志。所以请特别注意如下图 2所示的描述，当在外包装上 产品简述中出现所谓“一键加密”功能描述的，即为具备 WPS功能。 购 买 无 线 设 备 请 点 这 里：http://store.taobao.com/shop/view_s hop-d9620607831eb60de4d53923d6760a91.ht m 旺旺ID联系：lxd9018 欢迎拍砖、交流、合作及其它事宜， 由于淘宝限制设备买卖，请联系卖家后随意拍下任一设备，再由卖家修改价格即可！！   WPS，破解无线 WPA/WPA2 密钥的教程 2010  图 2 1．2 WPS的基本设置 关于 WPS的基本设置很简单，不过由于无线路由器的品牌和型号不同，配置时将稍有偏差。 以下配置步骤仅供大家参考，同时也可看出 WPS的便捷性以及厂商为何如此推崇 WPS功 能。步骤 1：在无线客户端上运行无线网卡配置工具，选择“连接到带有 WPS的无线网络”； 步骤 2：有些无线路由器是自动开启 WPS功能的，比如 TPLINK，但还有些无线设备需 要使用计算机登陆到路由器页面（如下图 3所示），在有关页面选择连接无线设备，或者 按住路由器上的 WPS按钮（如下图 4所示）。 图 3步骤 3：在无线网卡配置工具上选择 PBC连接形式，或者在 无线网卡上点选下图 5中的 WPS按键。 由于淘宝限制设备买卖，请联系卖家后随意拍下任一设备，再由卖家修改价格即可！！ 欢迎拍砖、交流、合作及其它事宜， 购 买 无 线 设 备 请 点 这 里：http://store.taobao.com/shop/view_s hop-d9620607831eb60de4d53923d6760a91.ht m 旺旺ID联系：lxd9018   WPS，破解无线 WPA/WPA2 密钥的教程 2010  图 4 图 5步骤 4：等待数秒钟，连接成功。 整个流程与 TCP/IP的三次握手类似，看起来只有一呼一应两个联系，但是因为配置了 120秒超时的限定，所以实际上也是一个三次握手的流程。 WPS完成的工作只是一个输入 超长密钥的流程，但因为操作的便利以及人工介入管控，使得其过程不太容易被运用攻击。 不过话说回来，也只是“不太容易被攻击”而已。 对于市面上的绝大多数 802.11N系列无线路由器来说，都能非常便利的运用 WPS功能， 并且建立连接的时间不超过 20秒。对一个初级用户来说，甚至最多仅仅只要按两次按键就 可以建立超长位数的 WPA2加密，无疑是一项非常有吸引力的功能。不过需要特别注意的 是，使用 WPS的前提是使用无线网卡自带的管理配置程序，不能使用 Windows自带的无 线管理配置服务。 2．扫描开启 WPS的无线设备 对于无线黑客而言，关键在与如何检测有哪些无线设备开启 WPS，以及有哪些无线设备的 WPS正处于搜寻状态等等，这些都是关系到利用 WPS进行攻击的可能性。 2、1扫描工具 介绍 目前专门支持 WPS扫描的工具并不多，不过由于 WPS相关的公开，各大厂商在各自 的无线网卡产品配套工具中，都内置了 WPS扫描及总动配置功能。这里介绍两款工作在 Linux下使用 python编写的小工具，分别为 wpscan.py和 wpspy.py。其中， wpscan.py用于扫描开启 WPS功能的无线网络设备， wpspy.py则用来确认无线网络设 备当前 WPS状态。 2、2扫描开启 WPS功能的无线设备 关于无线网卡的载入等基本操作本文就不再浪费篇幅讲述了，具体的 WPS扫描步骤如下。 步骤 1：扫描开启 WPS功能的无线设备 扫描开启 WPS功能的无线路由器，具体命令如下： ./wpscan.py -i mon0 回车后稍等片刻后， wpscan.py可以将周围能够搜索到的开启 WPS的无线路由器全部列 举出来。如下图 6所示，扫描出一款开启 WPS的无线路由器，其 SSID为 “ZerOne_Lab”， 其具体型号未能显示，但其芯片组为 Ralink。 购 买 无 线 设 备 请 点 这 里：http://store.taobao.com/shop/view_s hop-d9620607831eb60de4d53923d6760a91.ht m 旺旺ID联系：lxd9018 由于淘宝限制设备买卖，请联系卖家后随意拍下任一设备，再由卖家修改价格即可！！   WPS，破解无线 WPA/WPA2 密钥的教程 2010  图 6 没有显示出产品具体型号也是正常的，因为并不是所有的厂商都会在 WPS中加入厂商的详 细信息，这也是出于安全的考虑。不过一些大的厂商都会在 WPS中加入一些信息，比如下 图 7中，在“ Model Name”处，就识别出为 Belkin的型号为 F5D7230-4的无线路由器， 甚至可以显示出具体的型号为 v9。这也就导致了信息的暴露，所以针对 WPS的扫描也是 有效探测无线设备的方法之一。呵呵，这个是我在 2010年第一期黑防上《无线网络设备攻 防白皮书》中没有提及的。 购 买 无 线 设 备 请 点 这 里：http://store.taobao.com/shop/view_s hop-d9620607831eb60de4d53923d6760a91.ht m 旺旺ID联系：lxd9018 欢迎拍砖、交流、合作及其它事宜， 由于淘宝限制设备买卖，请联系卖家后随意拍下任一设备，再由卖家修改价格即可！！   WPS，破解无线 WPA/WPA2 密钥的教程 2010  图 7步骤 2：监测 WPS状态。 在获知了存在开启 WPS功能的无线设备后，即可对 wpspy.py -i mon0 -e AP’s SSID 回车后即可看到如下图 8所示内容，监测到 SSID为“ ZerOne_Lab”的无线路由器。当前 WPS功能状态为已配置，即 WPSState处显示为 Configured。而在 WPSStatePasswordID处显示的“PushButton”，即要求客户端点击无线网卡上的 PBC按 键进行连接。 图 8若 WPS功能未被配置，则会出现如下图 9所示内容，在 WPSState处显示为 Not Configured。 由于淘宝限制设备买卖，请联系卖家后随意拍下任一设备，再由卖家修改价格即可！！ 欢迎拍砖、交流、合作及其它事宜， 购 买 无 线 设 备 请 点 这 里：http://store.taobao.com/shop/view_s hop-d9620607831eb60de4d53923d6760a91.ht m 旺旺ID联系：lxd9018   WPS，破解无线 WPA/WPA2 密钥的教程 2010  图 9 在 WPS的状态改变过程中，使用 wpspy.py监测的显示也在不断变化，这将有助于黑客们 掌握当前的 WPS部署情况。如下图 10所示，两个不同的提示表示当前 WPS正处于调试 配置过程当中，当出现“ WPSPasswordID：PushButton”时，将是最利于后续连接的时 刻。 图 10 3．利用 WPS破解 WPA/WPA2密钥 直接进入正题，开始演示如何利用 WPS破解 WPA/WPA2密钥，看完之后相信很多朋友会 大吃一惊地说：原来这么简单？！嘿嘿，具体步骤如下。步骤 1：先确认当前网络中是否 存在开启 WPS功能的无线设备。 具体参考本文上面所述的工具，这里不再重复。步骤 2：打开无线网卡配置工具。 此时打开无线网卡自带配置工具，扫描当前存在的无线网络。如下图 11所示，可以看到， 之前扫描发现的 SSID名为“ZerOne_Lab”的无线网络信号充足，当前无线网卡处于其信 号范围内。 需要注意的是，若此时无法接收到之前扫描的目标 AP信号，应采用为无线网卡加装高 旺旺ID联系：lxd9018 由于淘宝限制设备买卖，请联系卖家后随意拍下任一设备，再由卖家修改价格即可！！ 购 买 无 线 设 备 请 点 这 里：http://store.taobao.com/shop/view_s hop-d9620607831eb60de4d53923d6760a91.ht m   WPS，破解无线 WPA/WPA2 密钥的教程 2010  增益的天线、增大网卡功率、改变当前接收位置等多种方法来改善。此外，需要额外注意的 是，不要使用 Windows系统自带的无线网络配置工具！！否则将无法进行下一步无线网卡 上的 WPS功能配置。 图 11步骤 3：连接开启 WPS功能无线设备 打开无线网卡配置工具中 WPS配置页面。如下图 12所示，选择“重新扫描”来确认当前开 启 WPS功能的无线网络，可以看到在下图中“ WPS AP列表”中，出现了 “ZerOne_Lab” 的无线网络设备。 接下来，点击下方的“ PBC”按键，开始尝试与该 AP进行 WPS自动连接。此时，在 “PBC” 按键右侧的状态栏中会出现“ PBC-Scanning AP”的提示，表示当前处于扫描 WPS设备当 中。 图 12 稍等 10~~20秒左右，会出现“ PBC-Get WPS profile successfully”，即配置成功的提 示，如下图 13所示。此时，该无线网卡已经和 SSID名为“ ZerOne_Lab”的无线网络设 备的 WPS匹配成功，并成功连接至该无线网络。 由于淘宝限制设备买卖，请联系卖家后随意拍下任一设备，再由卖家修改价格即可！！ 欢迎拍砖、交流、合作及其它事宜， 购 买 无 线 设 备 请 点 这 里：http://store.taobao.com/shop/view_s hop-d9620607831eb60de4d53923d6760a91.ht m 旺旺ID联系：lxd9018   WPS，破解无线 WPA/WPA2 密钥的教程 2010  图 13此时若登录无线路由器，在其上对应的 WPS设置中将能看到出现“添加无线设备成 功”。如下图 14所示。 图 14步骤 4：查看无线 连接加密配置内容 在客户端的无线网卡配置工具的 WPS页面下点击打开内容项，可以看到具体的配置内容。 如下图 15所示，当前已连接网络名称为“ ZerOne_Lab”，认证方法为 WPA2-PSK，加密 方法为 TKIP，密钥为一系列星号显示。 由于淘宝限制设备买卖，请联系卖家后随意拍下任一设备，再由卖家修改价格即可！！ 欢迎拍砖、交流、合作及其它事宜， 购 买 无 线 设 备 请 点 这 里：http://store.taobao.com/shop/view_s hop-d9620607831eb60de4d53923d6760a91.ht m 旺旺ID联系：lxd9018   WPS，破解无线 WPA/WPA2 密钥的教程 2010  图 15步骤 5：破解 WPA-PSK或 WPA2-PSK加密 既然是星号显示，那么使用星号查看器查看，即可显示出星号背后真实的密钥内容。如下图 所示，打开星号密码查看工具，把鼠标光标移至密钥显示星号的位置，即可在下图 16右上 角密码查看工具中看到密码为 longaslast。 也就是说，当前 SSID名为“ZerOne_Lab”的无线路由器，启用的 WPA2-PSK密钥为： longaslast。至此，该无线网络的 WPA2-PSK加密认证已被彻底攻破。 由于淘宝限制设备买卖，请联系卖家后随意拍下任一设备，再由卖家修改价格即可！！ 欢迎拍砖、交流、合作及其它事宜， 购 买 无 线 设 备 请 点 这 里：http://store.taobao.com/shop/view_s hop-d9620607831eb60de4d53923d6760a91.ht m 旺旺ID联系：lxd9018   WPS，破解无线 WPA/WPA2 密钥的教程 2010  图 16 对于一些使用长字符串密码的 WPA-PSK或者 WPA2-PSK加密，此方法依然有效。如下图 17所示，当前无线网络采用 WPA-PSK/WPA2-PSK混合加密方式，具体密钥采用加密关 键字为无规律长字符串。 图 17使用星号查看器查看，即可显示出星号背后真实的密钥内容。如下 图 18所示，当前 SSID名为“IPTIME_WPS_3424”的无线路由器，启用的密钥为： 35a08cddc7b07491abd8即虽然之前设置时输入长达 60多位的加密密钥，但在实际使用 时只有前 20位起作用。 旺旺ID联系：lxd9018 新书《无线网络安全攻防进阶》筹备中，更多内容，即将推出！感谢一直以来的支持！！ 购 买 无 线 设 备 请 点 这 里：http://store.taobao.com/shop/view_s hop-d9620607831eb60de4d53923d6760a91.ht m   WPS，破解无线 WPA/WPA2 密钥的教程 2010  这个原因除了 WPA-PSK本身要求密钥在 8~~64位之间的定义外，还可能因产品不同有 所差异所导致。是不是很简单？ 图 18 4．延伸攻击 既然 WPS可以如此方便地使得无线客户端与无线网络设备之间建立认证关系，那么，是不 是说具备 WPS功能的无线设备就一定很不安全了呢？也不一定，因为有些设备默认是不开 启 WPS的，还有些设备甚至限制了 WPS的搜索超时等，这些设定确实限制了攻击的效果， 这就是为什么我说适合于市面上 99%的支持 802.11N系列无线路由器以及 70%的 802.11G无线路由器，注意是“适合”，并不是说就一定能搞定。不过，国内外的无线黑客们 也想出了诸多新的方法来加强 WPS攻击效果，下面给出几个比较有效的方式。 4．1打造永久的 WPS无线跳板后门 由于有些无线设备需要按住路由器上的 WPS按钮才可以提供这个 WPS功能。不过有些聪明 的无线黑客发现只需要创建一个电路，来“按下”无线路由器上的 WPS按钮就可以了。对于 某些品牌的无线路由器，比如 Linksys，甚至只需将无线设备上的 WPS按钮上的引脚重新 焊接，就可以使 WPS功能保持永久开启，如下图 19所示。 这样，这台无线设备就成为了内部网络中永远的无线后门。无论管理员修改成什么加密内容， 黑客们都可以从外界快速地连接至该无线设备，并快速地获取到内部无线网络的加密密钥明 文，而这样的后门可能很久都不会被发现！！ 而这一切的一切并不难做到，只需要找个借口维修一下无线设备即可，甚至对于 Dlink 购 买 无 线 设 备 请 点 这 里：http://store.taobao.com/shop/view_s hop-d9620607831eb60de4d53923d6760a91.ht m 旺旺ID联系：lxd9018 由于淘宝限制设备买卖，请联系卖家后随意拍下任一设备，再由卖家修改价格即可！！   WPS，破解无线 WPA/WPA2 密钥的教程 2010  的某些品牌无线路由器而言，更是可以很容易地使用废弃的口香糖来将 WPS按键包裹即可 达到“按下”键位的效果，如下图所示。 图 19 图 20 对于 Linksys等品牌的无线网卡配置工具中，一旦通过 WPS功能连接到无线网络后，黑客 们甚至都不需要使用什么星号查看工具，直接打开就能看到 WPA-PSK/WPA2-PSK加密的 明文………恩，看看下图 21，这是不是可以说是个恶梦呢？ 图 21 4． 2使用 CSRF攻击配合实现 WPS攻击 还有一种情况，就是对于个别无线设备，其 WPS功能无法主动配对，仍需要使用计算机登 陆到无线路由器页面，然后在 WPS选项中手动点选搜索。这个问题肯定会遇到，此时无线 黑客们会考虑结合其它方式进行配合攻击，比如针对无线设备的 CSRF攻击。 CSRF的英文全称是 Cross Site Request Forgery，字面上的意思是跨站点伪造请求。以 韩国 IPTime无线路由器为例，将下述路径伪造后发送至具备管理员权限的用户，将会导致 需要手动启动的 WPS功能在后台悄悄启动，此时攻击者即可使用本节讲述的方法与 WPS 关联。 http://192.168.0.1/cgi-bin/wps_wizard.cgi?wps_pin=0 当然，使用一些脚本或者构造几个看不到的页面对于很多朋友来说并不困难，关于 旺旺ID联系：lxd9018 由于淘宝限制设备买卖，请联系卖家后随意拍下任一设备，再由卖家修改价格即可！！ 购 买 无 线 设 备 请 点 这 里：http://store.taobao.com/shop/view_s hop-d9620607831eb60de4d53923d6760a91.ht m   WPS，破解无线 WPA/WPA2 密钥的教程 2010  CSRF攻击更是有很多朋友都很擅长，各种黑客类期刊、网站以及论坛上也有很多高手已经 发表了诸多文章，所以这里我就不再班门弄斧了，给出一个思路即可。关于针对无线设备的 CSRF攻击有机会我们再来细细讨论，在《无线网络安全攻防进阶》里已经有专门的章节进 行讲述，敬请期待。 5．后记 什么叫渗透？就是天马行空、物尽其用，无线渗透也是如此。也许本文的技术有些朋友会觉 得很简单，但是渗透本就是如此的，除了较为复杂的技术，也有很多便捷的技巧，毕竟，有 很多高级别的加密及防护技术都遭受过“马其诺防线”的结局。更多的方法我会在《无线网络 安全攻防实战》后续的无线安全著作《无线网络安全攻防进阶》中给出实例和讲解。 欢迎大家与我联系： it77777@sohu.com或者直接到我的博 客 http://22551.qzone.qq.com/做客。最后，对那些正使用无线 WPS功能不亦乐乎的 朋友们提个忠告： 有些技术方便的不光是我们，还有些不请自来之人。 由于淘宝限制设备买卖，请联系卖家后随意拍下任一设备，再由卖家修改价格即可！！ 欢迎拍砖、交流、合作及其它事宜， 购 买 无 线 设 备 请 点 这 里：http://store.taobao.com/shop/view_s hop-d9620607831eb60de4d53923d6760a91.ht m 旺旺ID联系：lxd9018