WPS，破解无线WPA密钥的捷径

WPS，破解无线WPA/WPA2密钥的捷径 Blog：http://bigpack.blogbus.com Email：longaslast@126.com 欢迎拍砖、交流、合作及其它事宜， 新《无线网络安全攻防进阶》筹备中，更多内容，即将推出！感谢一直以来的支持！！ WPS，破解无线WPA/WPA2密钥的捷径 图/文：杨 哲/Longas 【ZerOne Security Team】 （注：本文已发表在《黑客防线》杂志 2010年第 3期上，引用时请注明出处，谢谢） 前言：其实很多时候破解无线 WPA/WPA2 加密并没有所想的那么复杂，有这样一些技巧 可以帮助无线黑客们绕过 WPA/WPA2 的加密体系，本文讲述的就是其中一个比较取巧的 方法即通过WPS破解。 需要特别强调一下：本文内容适合目前市面上 99%的支持 802.11N系列无线路由器 以及 70%的 802.11G无线路由器，也许有的设备仍需要一些攻击手段的配合，但是有具 备WPS功能的无线路由器的朋友们，还是要多加注意。 1．关于WPS 1．1 WPS和所谓“一键加密” 考虑到普通用户对无线安全设置的困惑，Wi-Fi 联盟推出 了名为Wi-Fi Protected Setup（Wi-Fi保护设置，简称WPS） 的认证程序。Wi-Fi联盟宣称，WPS可以将设置安全网络的步 骤减少一半。目前，新一代 11n无线路由器及网卡均支持WPS 功能，这对用户来说绝对是个好消息，当然，对黑客们来说也是。 图 1 具体来说，WPS（Wi-Fi Protected Setup，Wi-Fi 保护设置）是由 Wi-Fi 联盟 （http://www.wi-fi.org/） 组织实施的认证项目，主要致力于简化无线网络的安全加密 设置。在传统方式下，用户新建一个无线网络时，必须在接入点手动设置网络名（SSID） 和安全密钥，然后在客户端验证密钥以阻止“不速之客”的闯入。Wi-Fi Protected Setup 能帮助用户自动设置网络名（SSID）、配置最高级别的WPA2安全密钥，具备这一功能的 无线产品往往在机身上设计有一个功能键，称为WPS按钮，用户只需轻轻按下该按钮或输 入 PIN 码，再经过两三步简单操作即可完成无线加密设置，同时在客户端和路由器之间建 立起一个安全的连接。 值得注意的是，利用 WPS 简化网络安全配置要求接入点和客户端设备均须通过 WPS 认证，用户可在产品包装上寻找Wi-Fi Protected Setup的标志（如上图 1所示），以确 保所购产品具备WPS功能。不过要强调的是，在市场上并不是所有具备WPS功能的无线 产品都会在包装贴上如上图 1 所示的标志。所以请特别注意如下图 2 所示的描述，当在外 包装上产品简述中出现所谓“一键加密”功能描述的，即为具备WPS功能。 WPS，破解无线WPA/WPA2密钥的捷径 Blog：http://bigpack.blogbus.com Email：longaslast@126.com 欢迎拍砖、交流、合作及其它事宜， 新书《无线网络安全攻防进阶》筹备中，更多内容，即将推出！感谢一直以来的支持！！ 图 2 1．2 WPS的基本设置 关于WPS的基本设置很简单，不过由于无线路由器的品牌和型号不同，配置时将稍有 偏差。以下配置步骤仅供大家参考，同时也可看出 WPS 的便捷性以及厂商为何如此推崇 WPS功能。 步骤 1：在无线客户端上运行无线网卡配置工具，选择“连接到带有WPS的无线网络”； 步骤 2：有些无线路由器是自动开启WPS功能的，比如 TPLINK，但还有些无线设备需要 使用计算机登陆到路由器页面（如下图 3所示），在有关页面选择连接无线设备，或者按住 路由器上的WPS按钮（如下图 4所示）。 图 3 步骤 3：在无线网卡配置工具上选择 PBC 连接形式，或者在无线网卡上点选下图 5 中的 WPS按键。 WPS，破解无线WPA/WPA2密钥的捷径 Blog：http://bigpack.blogbus.com Email：longaslast@126.com 欢迎拍砖、交流、合作及其它事宜， 新书《无线网络安全攻防进阶》筹备中，更多内容，即将推出！感谢一直以来的支持！！ 图 4 图 5 步骤 4：等待数秒钟，连接成功。 整个与 TCP/IP的三次握手协议类似，看起来只有一呼一应两个联系，但是因为配 置了 120秒超时的限定，所以实际上也是一个三次握手的流程。WPS完成的工作只是一个 输入超长密钥的流程，但因为操作的便利以及人工介入管控，使得其过程不太容易被运用攻 击。不过话说回来，也只是“不太容易被攻击”而已。 对于市面上的绝大多数 802.11N 系列无线路由器来说，都能非常便利的运用 WPS 功能，并且建立连接的时间不超过 20秒。对一个初级用户来说，甚至最多仅仅只要按两次 按键就可以建立超长位数的 WPA2 加密，无疑是一项非常有吸引力的功能。不过需要特别 注意的是，使用 WPS 的前提是使用无线网卡自带的管理配置程序，不能使用 Windows 自带的无线管理配置服务。 2．扫描开启WPS的无线设备 对于无线黑客而言，关键在与如何检测有哪些无线设备开启WPS，以及有哪些无线设 备的WPS正处于搜寻状态等等，这些都是关系到利用WPS进行攻击的可能性。 2、1 扫描工具介绍 目前专门支持WPS扫描的工具并不多，不过由于WPS相关的公开，各大厂商在 各自的无线网卡产品配套工具中，都内置了WPS扫描及总动配置功能。这里介绍两款工作 在 Linux 下使用 python 编写的小工具，分别为 wpscan.py 和 wpspy.py。其中， wpscan.py 用于扫描开启 WPS 功能的无线网络设备，wpspy.py 则用来确认无线网络设 备当前WPS状态。 2、2 扫描开启WPS功能的无线设备 关于无线网卡的载入等基本操作本文就不再浪费篇幅讲述了，具体的WPS扫描步骤如 下。 步骤 1：扫描开启WPS功能的无线设备 扫描开启WPS功能的无线路由器，具体命令如下： ./wpscan.py -i mon0 回车后稍等片刻后，wpscan.py 可以将周围能够搜索到的开启 WPS 的无线路由器全 部列举出来。如下图 6 所示，扫描出一款开启 WPS 的无线路由器，其 SSID 为 “ZerOne_Lab”，其具体型号未能显示，但其芯片组为 Ralink。 WPS，破解无线WPA/WPA2密钥的捷径 Blog：http://bigpack.blogbus.com Email：longaslast@126.com 欢迎拍砖、交流、合作及其它事宜， 新书《无线网络安全攻防进阶》筹备中，更多内容，即将推出！感谢一直以来的支持！！ 图 6 没有显示出产品具体型号也是正常的，因为并不是所有的厂商都会在WPS中加入厂商 的详细信息，这也是出于安全的考虑。不过一些大的厂商都会在WPS中加入一些信息，比 如下图 7中，在“Model Name”处，就识别出为 Belkin的型号为 F5D7230-4的无线路 由器，甚至可以显示出具体的型号为 v9。这也就导致了信息的暴露，所以针对 WPS 的扫 描也是有效探测无线设备的方法之一。呵呵，这个是我在 2010年第一期黑防上《无线网络 设备攻防白皮书》中没有提及的。 WPS，破解无线WPA/WPA2密钥的捷径 Blog：http://bigpack.blogbus.com Email：longaslast@126.com 欢迎拍砖、交流、合作及其它事宜， 新书《无线网络安全攻防进阶》筹备中，更多内容，即将推出！感谢一直以来的支持！！ 图 7 步骤 2：监测WPS状态。 在获知了存在开启WPS功能的无线设备后，即可对 wpspy.py -i mon0 -e AP’s SSID 回车后即可看到如下图 8所示内容，监测到 SSID为“ZerOne_Lab”的无线路由器。 当前 WPS 功能状态为已配置，即 WPSState 处显示为 Configured。而在 WPSStatePasswordID处显示的“PushButton”，即要求客户端点击无线网卡上的 PBC 按键进行连接。 图 8 若 WPS 功能未被配置，则会出现如下图 9 所示内容，在 WPSState 处显示为 Not Configured。 WPS，破解无线WPA/WPA2密钥的捷径 Blog：http://bigpack.blogbus.com Email：longaslast@126.com 欢迎拍砖、交流、合作及其它事宜， 新书《无线网络安全攻防进阶》筹备中，更多内容，即将推出！感谢一直以来的支持！！ 图 9 在WPS的状态改变过程中，使用wpspy.py监测的显示也在不断变化，这将有助于黑 客们掌握当前的WPS部署情况。如下图 10所示，两个不同的提示表示当前WPS正处于 调试配置过程当中，当出现“WPSPasswordID：PushButton”时，将是最利于后续连接 的时刻。 图 10 3．利用WPS破解WPA/WPA2密钥 直接进入正，开始演示如何利用WPS破解WPA/WPA2密钥，看完之后相信很多朋 友会大吃一惊地说：原来这么简单？！嘿嘿，具体步骤如下。 步骤 1：先确认当前网络中是否存在开启WPS功能的无线设备。 具体参考本文上面所述的工具，这里不再重复。 步骤 2：打开无线网卡配置工具。 此时打开无线网卡自带配置工具，扫描当前存在的无线网络。如下图 11所示，可以看 到，之前扫描发现的 SSID 名为“ZerOne_Lab”的无线网络信号充足，当前无线网卡处 于其信号范围内。 需要注意的是，若此时无法接收到之前扫描的目标 AP信号，应采用为无线网卡加装高 WPS，破解无线WPA/WPA2密钥的捷径 Blog：http://bigpack.blogbus.com Email：longaslast@126.com 欢迎拍砖、交流、合作及其它事宜， 新书《无线网络安全攻防进阶》筹备中，更多内容，即将推出！感谢一直以来的支持！！ 增益的天线、增大网卡功率、改变当前接收位置等多种方法来改善。此外，需要额外注意的 是，不要使用Windows系统自带的无线网络配置工具！！否则将无法进行下一步无线网卡 上的WPS功能配置。 图 11 步骤 3：连接开启WPS功能无线设备 打开无线网卡配置工具中WPS配置页面。如下图 12所示，选择“重新扫描”来确认 当前开启 WPS 功能的无线网络，可以看到在下图中“WPS AP 列表”中，出现了 “ZerOne_Lab”的无线网络设备。 接下来，点击下方的“PBC”按键，开始尝试与该 AP进行WPS自动连接。此时，在 “PBC”按键右侧的状态栏中会出现“PBC-Scanning AP”的提示，表示当前处于扫描 WPS设备当中。 图 12 稍等 10~~20秒左右，会出现“PBC-Get WPS profile successfully”，即配置成功 的提示，如下图 13所示。此时，该无线网卡已经和 SSID名为“ZerOne_Lab”的无线网 络设备的WPS匹配成功，并成功连接至该无线网络。 WPS，破解无线WPA/WPA2密钥的捷径 Blog：http://bigpack.blogbus.com Email：longaslast@126.com 欢迎拍砖、交流、合作及其它事宜， 新书《无线网络安全攻防进阶》筹备中，更多内容，即将推出！感谢一直以来的支持！！ 图 13 此时若登录无线路由器，在其上对应的 WPS 设置中将能看到出现“添加无线设备成 功”。如下图 14所示。 图 14 步骤 4：查看无线连接加密配置内容 在客户端的无线网卡配置工具的WPS页面下点击打开内容项，可以看到具体的配置内 容。如下图 15所示，当前已连接网络名称为“ZerOne_Lab”，认证方法为WPA2-PSK， 加密方法为 TKIP，密钥为一系列星号显示。 WPS，破解无线WPA/WPA2密钥的捷径 Blog：http://bigpack.blogbus.com Email：longaslast@126.com 欢迎拍砖、交流、合作及其它事宜， 新书《无线网络安全攻防进阶》筹备中，更多内容，即将推出！感谢一直以来的支持！！ 图 15 步骤 5：破解WPA-PSK或WPA2-PSK加密 既然是星号显示，那么使用星号查看器查看，即可显示出星号背后真实的密钥内容。如 下图所示，打开星号密码查看工具，把鼠标光标移至密钥显示星号的位置，即可在下图 16 右上角密码查看工具中看到密码为 longaslast。 也就是说，当前 SSID名为“ZerOne_Lab”的无线路由器，启用的WPA2-PSK密钥 为：longaslast。至此，该无线网络的WPA2-PSK加密认证已被彻底攻破。 WPS，破解无线WPA/WPA2密钥的捷径 Blog：http://bigpack.blogbus.com Email：longaslast@126.com 欢迎拍砖、交流、合作及其它事宜， 新书《无线网络安全攻防进阶》筹备中，更多内容，即将推出！感谢一直以来的支持！！ 图 16 对于一些使用长字符串密码的WPA-PSK或者WPA2-PSK加密，此方法依然有效。如 下图 17所示，当前无线网络采用WPA-PSK/WPA2-PSK混合加密方式，具体密钥采用加 密关键字为无规律长字符串。 图 17 使用星号查看器查看，即可显示出星号背后真实的密钥内容。如下图 18 所示，当前 SSID名为“IPTIME_WPS_3424”的无线路由器，启用的密钥为： 35a08cddc7b07491abd8 即虽然之前设置时输入长达 60多位的加密密钥，但在实际使用时只有前 20位起作用。 WPS，破解无线WPA/WPA2密钥的捷径 Blog：http://bigpack.blogbus.com Email：longaslast@126.com 欢迎拍砖、交流、合作及其它事宜， 新书《无线网络安全攻防进阶》筹备中，更多内容，即将推出！感谢一直以来的支持！！ 这个原因除了 WPA-PSK 本身要求密钥在 8~~64 位之间的定义外，还可能因产品不同有 所差异所导致。是不是很简单？ 图 18 4．延伸攻击 既然WPS可以如此方便地使得无线客户端与无线网络设备之间建立认证关系，那么， 是不是说具备WPS功能的无线设备就一定很不安全了呢？也不一定，因为有些设备默认是 不开启WPS的，还有些设备甚至限制了WPS的搜索超时等，这些设定确实限制了攻击的 效果，这就是为什么我说适合于市面上 99%的支持 802.11N系列无线路由器以及 70%的 802.11G 无线路由器，注意是“适合”，并不是说就一定能搞定。不过，国内外的无线黑 客们也想出了诸多新的方法来加强WPS攻击效果，下面给出几个比较有效的方式。 4．1 打造永久的WPS无线跳板后门 由于有些无线设备需要按住路由器上的WPS按钮才可以提供这个WPS功能。不过有 些聪明的无线黑客发现只需要创建一个电路，来“按下”无线路由器上的WPS按钮就可以了。 对于某些品牌的无线路由器，比如 Linksys，甚至只需将无线设备上的WPS按钮上的引脚 重新焊接，就可以使WPS功能保持永久开启，如下图 19所示。 这样，这台无线设备就成为了内部网络中永远的无线后门。无论管理员修改成什么加密 内容，黑客们都可以从外界快速地连接至该无线设备，并快速地获取到内部无线网络的加密 密钥明文，而这样的后门可能很久都不会被发现！！ 而这一切的一切并不难做到，只需要找个借口维修一下无线设备即可，甚至对于 Dlink WPS，破解无线WPA/WPA2密钥的捷径 Blog：http://bigpack.blogbus.com Email：longaslast@126.com 欢迎拍砖、交流、合作及其它事宜， 新书《无线网络安全攻防进阶》筹备中，更多内容，即将推出！感谢一直以来的支持！！ 的某些品牌无线路由器而言，更是可以很容易地使用废弃的口香糖来将WPS按键包裹即可 达到“按下”键位的效果，如下图所示。 图 19 图 20 对于 Linksys等品牌的无线网卡配置工具中，一旦通过WPS功能连接到无线网络后， 黑客们甚至都不需要使用什么星号查看工具，直接打开就能看到WPA-PSK/WPA2-PSK加 密的明文………恩，看看下图 21，这是不是可以说是个恶梦呢？ 图 21 4． 2 使用 CSRF攻击配合实现WPS攻击 还有一种情况，就是对于个别无线设备，其WPS功能无法主动配对，仍需要使用计算 机登陆到无线路由器页面，然后在WPS选项中手动点选搜索。这个问题肯定会遇到，此时 无线黑客们会考虑结合其它方式进行配合攻击，比如针对无线设备的 CSRF攻击。 CSRF的英文全称是 Cross Site Request Forgery，字面上的意思是跨站点伪造请求。 以韩国 IPTime无线路由器为例，将下述路径伪造后发送至具备管理员权限的用户，将会导 致需要手动启动的WPS功能在后台悄悄启动，此时攻击者即可使用本节讲述的方法与WPS 关联。 http://192.168.0.1/cgi-bin/wps_wizard.cgi?wps_pin=0 当然，使用一些脚本或者构造几个看不到的页面对于很多朋友来说并不困难，关于 WPS，破解无线WPA/WPA2密钥的捷径 Blog：http://bigpack.blogbus.com Email：longaslast@126.com 欢迎拍砖、交流、合作及其它事宜， 新书《无线网络安全攻防进阶》筹备中，更多内容，即将推出！感谢一直以来的支持！！ CSRF攻击更是有很多朋友都很擅长，各种黑客类期刊、网站以及论坛上也有很多高手已经 发表了诸多文章，所以这里我就不再班门弄斧了，给出一个思路即可。关于针对无线设备的 CSRF攻击有机会我们再来细细讨论，在《无线网络安全攻防进阶》里已经有专门的章节进 行讲述，敬请期待。 5．后记 什么叫渗透？就是天马行空、物尽其用，无线渗透也是如此。也许本文的技术有些朋友 会觉得很简单，但是渗透本就是如此的，除了较为复杂的技术，也有很多便捷的技巧，毕竟， 有很多高级别的加密及防护技术都遭受过“马其诺防线”的结局。更多的方法我会在《无线 网络安全攻防实战》后续的无线安全著作《无线网络安全攻防进阶》中给出实例和讲解。 欢 迎 大 家 与 我 联 系 ： longaslast@126.com 或 者 直 接 到 我 的 博 客 http://bigpack.blogbus.com做客。最后，对那些正使用无线WPS功能不亦乐乎的朋友 们提个忠告： 有些技术方便的不光是我们，还有些不请自来之人。