密钥如何破解路由器密码

WPS,破解无线WPA/WPA2密钥的捷径Blog:http://bigpack.
blogbus.
comEmail:longaslast@126.
com欢迎拍砖、交流、合作及其它事宜,新书《无线网络安全攻防进阶》筹备中,更多内容,即将推出!
感谢一直以来的支持!
!
WPS,破解无线WPA/WPA2密钥的捷径图/文:杨哲/Longas【ZerOneSecurityTeam】(注:本文已发表在《黑客防线》杂志2010年第3期上,引用时请注明出处,谢谢)前言:其实很多时候破解无线WPA/WPA2加密并没有所想的那么复杂,有这样一些技巧可以帮助无线黑客们绕过WPA/WPA2的加密体系,本文讲述的就是其中一个比较取巧的方法即通过WPS破解.
需要特别强调一下:本文内容适合目前市面上99%的支持802.
11N系列无线路由器以及70%的802.
11G无线路由器,也许有的设备仍需要一些攻击手段的配合,但是有具备WPS功能的无线路由器的朋友们,还是要多加注意.
1.
关于WPS1.
1WPS和所谓"一键加密"考虑到普通用户对无线安全设置的困惑,Wi-Fi联盟推出了名为Wi-FiProtectedSetup(Wi-Fi保护设置,简称WPS)的认证程序.
Wi-Fi联盟宣称,WPS可以将设置安全网络的步骤减少一半.
目前,新一代11n无线路由器及网卡均支持WPS功能,这对用户来说绝对是个好消息,当然,对黑客们来说也是.
图1具体来说,WPS(Wi-FiProtectedSetup,Wi-Fi保护设置)是由Wi-Fi联盟(http://www.
wi-fi.
org/)组织实施的认证项目,主要致力于简化无线网络的安全加密设置.
在传统方式下,用户新建一个无线网络时,必须在接入点手动设置网络名(SSID)和安全密钥,然后在客户端验证密钥以阻止"不速之客"的闯入.
Wi-FiProtectedSetup能帮助用户自动设置网络名(SSID)、配置最高级别的WPA2安全密钥,具备这一功能的无线产品往往在机身上设计有一个功能键,称为WPS按钮,用户只需轻轻按下该按钮或输入PIN码,再经过两三步简单操作即可完成无线加密设置,同时在客户端和路由器之间建立起一个安全的连接.
值得注意的是,利用WPS简化网络安全配置要求接入点和客户端设备均须通过WPS认证,用户可在产品包装上寻找Wi-FiProtectedSetup的标志(如上图1所示),以确保所购产品具备WPS功能.
不过要强调的是,在市场上并不是所有具备WPS功能的无线产品都会在包装贴上如上图1所示的标志.
所以请特别注意如下图2所示的描述,当在外包装上产品简述中出现所谓"一键加密"功能描述的,即为具备WPS功能.
WPS,破解无线WPA/WPA2密钥的捷径Blog:http://bigpack.
blogbus.
comEmail:longaslast@126.
com欢迎拍砖、交流、合作及其它事宜,新书《无线网络安全攻防进阶》筹备中,更多内容,即将推出!
感谢一直以来的支持!
!
图21.
2WPS的基本设置关于WPS的基本设置很简单,不过由于无线路由器的品牌和型号不同,配置时将稍有偏差.
以下配置步骤仅供大家参考,同时也可看出WPS的便捷性以及厂商为何如此推崇WPS功能.
步骤1:在无线客户端上运行无线网卡配置工具,选择"连接到带有WPS的无线网络";步骤2:有些无线路由器是自动开启WPS功能的,比如TPLINK,但还有些无线设备需要使用计算机登陆到路由器页面(如下图3所示),在有关页面选择连接无线设备,或者按住路由器上的WPS按钮(如下图4所示).
图3步骤3:在无线网卡配置工具上选择PBC连接形式,或者在无线网卡上点选下图5中的WPS按键.
WPS,破解无线WPA/WPA2密钥的捷径Blog:http://bigpack.
blogbus.
comEmail:longaslast@126.
com欢迎拍砖、交流、合作及其它事宜,新书《无线网络安全攻防进阶》筹备中,更多内容,即将推出!
感谢一直以来的支持!
!
图4图5步骤4:等待数秒钟,连接成功.
整个流程与TCP/IP的三次握手协议类似,看起来只有一呼一应两个联系,但是因为配置了120秒超时的限定,所以实际上也是一个三次握手的流程.
WPS完成的工作只是一个输入超长密钥的流程,但因为操作的便利以及人工介入管控,使得其过程不太容易被运用攻击.
不过话说回来,也只是"不太容易被攻击"而已.
对于市面上的绝大多数802.
11N系列无线路由器来说,都能非常便利的运用WPS功能,并且建立连接的时间不超过20秒.
对一个初级用户来说,甚至最多仅仅只要按两次按键就可以建立超长位数的WPA2加密,无疑是一项非常有吸引力的功能.
不过需要特别注意的是,使用WPS的前提是使用无线网卡自带的管理配置程序,不能使用Windows自带的无线管理配置服务.
2.
扫描开启WPS的无线设备对于无线黑客而言,关键在与如何检测有哪些无线设备开启WPS,以及有哪些无线设备的WPS正处于搜寻状态等等,这些都是关系到利用WPS进行攻击的可能性.
2、1扫描工具介绍目前专门支持WPS扫描的工具并不多,不过由于WPS相关标准的公开,各大厂商在各自的无线网卡产品配套工具中,都内置了WPS扫描及总动配置功能.
这里介绍两款工作在Linux下使用python编写的小工具,分别为wpscan.
py和wpspy.
py.
其中,wpscan.
py用于扫描开启WPS功能的无线网络设备,wpspy.
py则用来确认无线网络设备当前WPS状态.
2、2扫描开启WPS功能的无线设备关于无线网卡的载入等基本操作本文就不再浪费篇幅讲述了,具体的WPS扫描步骤如下.
步骤1:扫描开启WPS功能的无线设备扫描开启WPS功能的无线路由器,具体命令如下:.
/wpscan.
py-imon0回车后稍等片刻后,wpscan.
py可以将周围能够搜索到的开启WPS的无线路由器全部列举出来.
如下图6所示,扫描出一款开启WPS的无线路由器,其SSID为"ZerOne_Lab",其具体型号未能显示,但其芯片组为Ralink.
WPS,破解无线WPA/WPA2密钥的捷径Blog:http://bigpack.
blogbus.
comEmail:longaslast@126.
com欢迎拍砖、交流、合作及其它事宜,新书《无线网络安全攻防进阶》筹备中,更多内容,即将推出!
感谢一直以来的支持!
!
图6没有显示出产品具体型号也是正常的,因为并不是所有的厂商都会在WPS中加入厂商的详细信息,这也是出于安全的考虑.
不过一些大的厂商都会在WPS中加入一些信息,比如下图7中,在"ModelName"处,就识别出为Belkin的型号为F5D7230-4的无线路由器,甚至可以显示出具体的型号为v9.
这也就导致了信息的暴露,所以针对WPS的扫描也是有效探测无线设备的方法之一.
呵呵,这个是我在2010年第一期黑防上《无线网络设备攻防白皮书》中没有提及的.
WPS,破解无线WPA/WPA2密钥的捷径Blog:http://bigpack.
blogbus.
comEmail:longaslast@126.
com欢迎拍砖、交流、合作及其它事宜,新书《无线网络安全攻防进阶》筹备中,更多内容,即将推出!
感谢一直以来的支持!
!
图7步骤2:监测WPS状态.
在获知了存在开启WPS功能的无线设备后,即可对wpspy.
py-imon0-eAP'sSSID回车后即可看到如下图8所示内容,监测到SSID为"ZerOne_Lab"的无线路由器.
当前WPS功能状态为已配置,即WPSState处显示为Configured.
而在WPSStatePasswordID处显示的"PushButton",即要求客户端点击无线网卡上的PBC按键进行连接.
图8若WPS功能未被配置,则会出现如下图9所示内容,在WPSState处显示为NotConfigured.
WPS,破解无线WPA/WPA2密钥的捷径Blog:http://bigpack.
blogbus.
comEmail:longaslast@126.
com欢迎拍砖、交流、合作及其它事宜,新书《无线网络安全攻防进阶》筹备中,更多内容,即将推出!
感谢一直以来的支持!
!
图9在WPS的状态改变过程中,使用wpspy.
py监测的显示也在不断变化,这将有助于黑客们掌握当前的WPS部署情况.
如下图10所示,两个不同的提示表示当前WPS正处于调试配置过程当中,当出现"WPSPasswordID:PushButton"时,将是最利于后续连接的时刻.
图103.
利用WPS破解WPA/WPA2密钥直接进入正题,开始演示如何利用WPS破解WPA/WPA2密钥,看完之后相信很多朋友会大吃一惊地说:原来这么简单!
嘿嘿,具体步骤如下.
步骤1:先确认当前网络中是否存在开启WPS功能的无线设备.
具体参考本文上面所述的工具,这里不再重复.
步骤2:打开无线网卡配置工具.
此时打开无线网卡自带配置工具,扫描当前存在的无线网络.
如下图11所示,可以看到,之前扫描发现的SSID名为"ZerOne_Lab"的无线网络信号充足,当前无线网卡处于其信号范围内.
需要注意的是,若此时无法接收到之前扫描的目标AP信号,应采用为无线网卡加装高WPS,破解无线WPA/WPA2密钥的捷径Blog:http://bigpack.
blogbus.
comEmail:longaslast@126.
com欢迎拍砖、交流、合作及其它事宜,新书《无线网络安全攻防进阶》筹备中,更多内容,即将推出!
感谢一直以来的支持!
!
增益的天线、增大网卡功率、改变当前接收位置等多种方法来改善.
此外,需要额外注意的是,不要使用Windows系统自带的无线网络配置工具!
!
否则将无法进行下一步无线网卡上的WPS功能配置.
图11步骤3:连接开启WPS功能无线设备打开无线网卡配置工具中WPS配置页面.
如下图12所示,选择"重新扫描"来确认当前开启WPS功能的无线网络,可以看到在下图中"WPSAP列表"中,出现了"ZerOne_Lab"的无线网络设备.
接下来,点击下方的"PBC"按键,开始尝试与该AP进行WPS自动连接.
此时,在"PBC"按键右侧的状态栏中会出现"PBC-ScanningAP"的提示,表示当前处于扫描WPS设备当中.
图12稍等10~~20秒左右,会出现"PBC-GetWPSprofilesuccessfully",即配置成功的提示,如下图13所示.
此时,该无线网卡已经和SSID名为"ZerOne_Lab"的无线网络设备的WPS匹配成功,并成功连接至该无线网络.
WPS,破解无线WPA/WPA2密钥的捷径Blog:http://bigpack.
blogbus.
comEmail:longaslast@126.
com欢迎拍砖、交流、合作及其它事宜,新书《无线网络安全攻防进阶》筹备中,更多内容,即将推出!
感谢一直以来的支持!
!
图13此时若登录无线路由器,在其上对应的WPS设置中将能看到出现"添加无线设备成功".
如下图14所示.
图14步骤4:查看无线连接加密配置内容在客户端的无线网卡配置工具的WPS页面下点击打开内容项,可以看到具体的配置内容.
如下图15所示,当前已连接网络名称为"ZerOne_Lab",认证方法为WPA2-PSK,加密方法为TKIP,密钥为一系列星号显示.
WPS,破解无线WPA/WPA2密钥的捷径Blog:http://bigpack.
blogbus.
comEmail:longaslast@126.
com欢迎拍砖、交流、合作及其它事宜,新书《无线网络安全攻防进阶》筹备中,更多内容,即将推出!
感谢一直以来的支持!
!
图15步骤5:破解WPA-PSK或WPA2-PSK加密既然是星号显示,那么使用星号查看器查看,即可显示出星号背后真实的密钥内容.
如下图所示,打开星号密码查看工具,把鼠标光标移至密钥显示星号的位置,即可在下图16右上角密码查看工具中看到密码为longaslast.
也就是说,当前SSID名为"ZerOne_Lab"的无线路由器,启用的WPA2-PSK密钥为:longaslast.
至此,该无线网络的WPA2-PSK加密认证已被彻底攻破.
WPS,破解无线WPA/WPA2密钥的捷径Blog:http://bigpack.
blogbus.
comEmail:longaslast@126.
com欢迎拍砖、交流、合作及其它事宜,新书《无线网络安全攻防进阶》筹备中,更多内容,即将推出!
感谢一直以来的支持!
!
图16对于一些使用长字符串密码的WPA-PSK或者WPA2-PSK加密,此方法依然有效.
如下图17所示,当前无线网络采用WPA-PSK/WPA2-PSK混合加密方式,具体密钥采用加密关键字为无规律长字符串.
图17使用星号查看器查看,即可显示出星号背后真实的密钥内容.
如下图18所示,当前SSID名为"IPTIME_WPS_3424"的无线路由器,启用的密钥为:35a08cddc7b07491abd8即虽然之前设置时输入长达60多位的加密密钥,但在实际使用时只有前20位起作用.
WPS,破解无线WPA/WPA2密钥的捷径Blog:http://bigpack.
blogbus.
comEmail:longaslast@126.
com欢迎拍砖、交流、合作及其它事宜,新书《无线网络安全攻防进阶》筹备中,更多内容,即将推出!
感谢一直以来的支持!
!
这个原因除了WPA-PSK本身要求密钥在8~~64位之间的定义外,还可能因产品不同有所差异所导致.
是不是很简单图184.
延伸攻击既然WPS可以如此方便地使得无线客户端与无线网络设备之间建立认证关系,那么,是不是说具备WPS功能的无线设备就一定很不安全了呢也不一定,因为有些设备默认是不开启WPS的,还有些设备甚至限制了WPS的搜索超时等,这些设定确实限制了攻击的效果,这就是为什么我说适合于市面上99%的支持802.
11N系列无线路由器以及70%的802.
11G无线路由器,注意是"适合",并不是说就一定能搞定.
不过,国内外的无线黑客们也想出了诸多新的方法来加强WPS攻击效果,下面给出几个比较有效的方式.
4.
1打造永久的WPS无线跳板后门由于有些无线设备需要按住路由器上的WPS按钮才可以提供这个WPS功能.
不过有些聪明的无线黑客发现只需要创建一个电路,来"按下"无线路由器上的WPS按钮就可以了.
对于某些品牌的无线路由器,比如Linksys,甚至只需将无线设备上的WPS按钮上的引脚重新焊接,就可以使WPS功能保持永久开启,如下图19所示.
这样,这台无线设备就成为了内部网络中永远的无线后门.
无论管理员修改成什么加密内容,黑客们都可以从外界快速地连接至该无线设备,并快速地获取到内部无线网络的加密密钥明文,而这样的后门可能很久都不会被发现!
!
而这一切的一切并不难做到,只需要找个借口维修一下无线设备即可,甚至对于DlinkWPS,破解无线WPA/WPA2密钥的捷径Blog:http://bigpack.
blogbus.
comEmail:longaslast@126.
com欢迎拍砖、交流、合作及其它事宜,新书《无线网络安全攻防进阶》筹备中,更多内容,即将推出!
感谢一直以来的支持!
!
的某些品牌无线路由器而言,更是可以很容易地使用废弃的口香糖来将WPS按键包裹即可达到"按下"键位的效果,如下图所示.
图19图20对于Linksys等品牌的无线网卡配置工具中,一旦通过WPS功能连接到无线网络后,黑客们甚至都不需要使用什么星号查看工具,直接打开就能看到WPA-PSK/WPA2-PSK加密的明文………恩,看看下图21,这是不是可以说是个恶梦呢图214.
2使用CSRF攻击配合实现WPS攻击还有一种情况,就是对于个别无线设备,其WPS功能无法主动配对,仍需要使用计算机登陆到无线路由器页面,然后在WPS选项中手动点选搜索.
这个问题肯定会遇到,此时无线黑客们会考虑结合其它方式进行配合攻击,比如针对无线设备的CSRF攻击.
CSRF的英文全称是CrossSiteRequestForgery,字面上的意思是跨站点伪造请求.
以韩国IPTime无线路由器为例,将下述路径伪造后发送至具备管理员权限的用户,将会导致需要手动启动的WPS功能在后台悄悄启动,此时攻击者即可使用本节讲述的方法与WPS关联.
http://192.
168.
0.
1/cgi-bin/wps_wizard.
cgiwps_pin=0当然,使用一些脚本或者构造几个看不到的页面对于很多朋友来说并不困难,关于WPS,破解无线WPA/WPA2密钥的捷径Blog:http://bigpack.
blogbus.
comEmail:longaslast@126.
com欢迎拍砖、交流、合作及其它事宜,新书《无线网络安全攻防进阶》筹备中,更多内容,即将推出!
感谢一直以来的支持!
!
CSRF攻击更是有很多朋友都很擅长,各种黑客类期刊、网站以及论坛上也有很多高手已经发表了诸多文章,所以这里我就不再班门弄斧了,给出一个思路即可.
关于针对无线设备的CSRF攻击有机会我们再来细细讨论,在《无线网络安全攻防进阶》里已经有专门的章节进行讲述,敬请期待.
5.
后记什么叫渗透就是天马行空、物尽其用,无线渗透也是如此.
也许本文的技术有些朋友会觉得很简单,但是渗透本就是如此的,除了较为复杂的技术,也有很多便捷的技巧,毕竟,有很多高级别的加密及防护技术都遭受过"马其诺防线"的结局.
更多的方法我会在《无线网络安全攻防实战》后续的无线安全著作《无线网络安全攻防进阶》中给出实例和讲解.
欢迎大家与我联系:longaslast@126.
com或者直接到我的博客http://bigpack.
blogbus.
com做客.
最后,对那些正使用无线WPS功能不亦乐乎的朋友们提个忠告:有些技术方便的不光是我们,还有些不请自来之人.