截獲及坡解無(wú)線加密數(shù)據(jù)有哪些內(nèi)容？

截獲及坡解無(wú)線加密數(shù)據(jù)

前面講了通過(guò)偽造AP進(jìn)行欺騙攻擊來(lái)截獲數(shù)據(jù)報(bào)文，由于無(wú)線信號(hào)是以AP為中心來(lái) 傳播的，那么在已經(jīng)坡解出目標(biāo)AP的WEP/WPA加密密碼后，無(wú)線黑客甚至無(wú)須連接至該 無(wú)線接入點(diǎn)，就可以對(duì)采用WEP/WPA加密的無(wú)線傳播數(shù)據(jù)進(jìn)行攔截和解密了，比如使用 Wireshark、OmniPeek、Ethereal、科來(lái)網(wǎng)絡(luò)分析等工具都可以實(shí)現(xiàn)。在數(shù)據(jù)內(nèi)容上，通過(guò)對(duì) 截獲的無(wú)線數(shù)據(jù)報(bào)文分析主要可以獲取如下內(nèi)容：

●MSN、QQ、Skype、Yahoo Messanger等賬戶信息及個(gè)別聊天內(nèi)容。

●郵件賬戶及密碼。

●論壇賬戶及密碼。

●FTP、Telnet等賬戶及密碼。

下面就來(lái)看看這些都是如何做到的。

截獲無(wú)線加密數(shù)據(jù)

在前面講到坡解WEP和WPA-PSK加密的時(shí)候，提到了Airodump-ng這個(gè)用于抓取無(wú) 線加密數(shù)據(jù)報(bào)文的工具，其實(shí)這個(gè)工具也同樣可以專門(mén)用于收集無(wú)線數(shù)據(jù)包。那么，在坡解 出WEP加密密碼后，打開(kāi)Airodump ng來(lái)進(jìn)行收集，具體命令如下：

 

其中參數(shù)解釋請(qǐng)大家參考第4章WEP坡解部分的介紹，效果如圖7-1所示。

 

 

在經(jīng)過(guò)較長(zhǎng)時(shí)間的數(shù)據(jù)包收集之后， 時(shí)，保存的數(shù)據(jù)包文件應(yīng)為yang-Ol.cap。 可以通過(guò)按【Ctrl+CI組合鍵來(lái)終止抓包工具，此 接下來(lái)，就需要對(duì)截獲的無(wú)線數(shù)據(jù)包解密了。

對(duì)截獲的無(wú)線加密數(shù)據(jù)包解密

在Windows下，一直以來(lái)可用于無(wú)線掃描及坡解的工具除了Commview之外，還有大 名鼎鼎的Cain&Abel。

下面先來(lái)了解下Cain&Abel這款工具的名字來(lái)源，其實(shí)這也是我偶然看到《圣經(jīng)》才知道 的，Cain在《圣經(jīng)》中指亞當(dāng)和夏娃的大兒子該隱，Abel在《圣經(jīng)》中指亞當(dāng)和夏娃的小兒子 亞伯。雖為兄弟兩人，但最后結(jié)果卻是兄弟相殘后，一人死一人被貶至凡間受難。Cain&Abel 的作者也是想以此告訴使用者，技術(shù)及工具是雙刃劍，用途和造成的后果完全取決于使用者本身。

官方網(wǎng)站：

 

 

Cain的安裝很簡(jiǎn)單，下載后直接雙擊安裝即可。安裝完畢后桌面會(huì)出現(xiàn)一個(gè)Cain的圖 標(biāo)，打開(kāi)后的工具主界面如圖7-2所示。

 

圖7-2

 

導(dǎo)入加密數(shù)據(jù)報(bào)文

④打開(kāi)Cain后，選擇Cracker(坡解)選項(xiàng)，選擇左邊分類項(xiàng)中下方的802.llCaptures(802.11捕獲)，然后在右邊空白處右擊，在彈出的快捷菜單中選擇Add to list(加入列表)命令，來(lái)導(dǎo)入獲取的無(wú)線WEP或者WPA-PSK加密數(shù)據(jù)包，比如事先使用Airodump-ng收集的無(wú)線加密數(shù)據(jù)包，如圖7-3所示。

 

 

如圖7—4所示，這里導(dǎo)入的數(shù)據(jù)包就是前面收集的名為yang-01.cap的文件。

 

圖7-4

 

@在導(dǎo)入成功之后，就會(huì)顯示圖7—5所示的數(shù)據(jù)包大小及類型。

 

圖7-5

 

對(duì)無(wú)線加密數(shù)據(jù)包進(jìn)行解密。

◇接著，在該數(shù)據(jù)包上右擊，在彈出的快捷菜單中選擇Decode

(解密)命令，也可說(shuō)是***，如圖7-6所示。

@會(huì)看到圖7-7所示的解密處理界面，為方便新人能夠更方

便

 

地學(xué)習(xí)，下面分別解釋這些參數(shù)選項(xiàng)。

●Input Filename:不需要再輸入，此處顯示的為之前導(dǎo)入的無(wú) 線加密數(shù)據(jù)包，這里就是yang-Ol.cap。

●Output Filename:也不需要再輸入，此處顯示的是解密后 的數(shù)據(jù)包名稱及保存位置，默認(rèn)是在同一目錄下，只是名 稱后加上-dec，其中dec就是decrypt解密的簡(jiǎn)寫(xiě)，這里對(duì) 圖7-6 應(yīng)的就是yang-Ol-dec.cap。

●WPA Key:輸入事先坡解出的WPA-PSK密碼，這里就以WPA-PSK加密數(shù) 據(jù)包為例，若是WEP加密的，就選擇下方的WEP，輸入坡解出的WEP密碼 即可。

 

圖7-7

 

@只要輸入的密碼是正確的，那么Cain會(huì)立即將導(dǎo)入的無(wú)線加密數(shù)據(jù)包解密，并保

存為另一個(gè)文件。如圖7-9所示，這里就是yang-Ol-dec.cap。在解密過(guò)程中，當(dāng)前

界面的右下角會(huì)有進(jìn)度顯示。

 

圖7-8 圖7-9

 

查看解密完成后的無(wú)線加密文件。

@直接對(duì)比一下，先使用Wireshark打開(kāi)已加密的yang-Ol.cap文件，如圖7-10所示，可以看到在Protocol(協(xié)議)一列顯示為“IEEE 802.11”，即只能顯示出無(wú)線網(wǎng)絡(luò)數(shù)據(jù)，但是由于加密的原因，無(wú)法看到具體交互的協(xié)議類型，比如DNS、HTTP或者其他類型。

 

囹7-10

 

@接下來(lái)，使用Wireshark打開(kāi)解密完成的yang-Ol-dec.cap文件，如圖7-11所示，就可以看到之前被加密的無(wú)線數(shù)據(jù)報(bào)文已經(jīng)全部被完整地還原成未加密狀態(tài)。此時(shí)，可以輕松地看到TCP、DNS、HTTP等不同類型的數(shù)據(jù)報(bào)文了。

 

圖7-11

 

接下來(lái)就可以開(kāi)始分析捕獲的無(wú)線數(shù)據(jù)報(bào)文了。

分析MSN/QQ/淘寶旺旺聊天數(shù)據(jù)

對(duì)于MSN而言，直接在Wireshark的Filter文本框中輸入msnms迸行協(xié)議過(guò)濾后， 即可看到圖7-12所示的MSN交互內(nèi)容。其中，可以很明顯地看到每一個(gè)聊天的賬戶 ID，如圖7-12所示，賬戶名為longaslast@hotmail.com的用戶正在和其他幾個(gè)MSN好友 聊天。

 

 

在圖7-13中，可以清楚地看到如下所示的編碼，此為UTF-8的MSN編碼，即是聊天 的內(nèi)容。

 

 

在將其對(duì)應(yīng)的十六進(jìn)制編碼轉(zhuǎn)貼到轉(zhuǎn)換器中的UTF-8文本框中，就可以看到圖7-14所 示的內(nèi)容，已經(jīng)成功地轉(zhuǎn)換成中文了，即Text 文本框中的內(nèi)容。換句話說(shuō)，使用無(wú)線網(wǎng)絡(luò)進(jìn)行 MSN通話的聊天內(nèi)容就被截獲了，并且輕易地 還原了!

 

 

對(duì)于QQ而言，直接在Wireshark的上部名 為Filter即過(guò)濾的空白處，輸入oicq進(jìn)行協(xié)議過(guò) 濾后，即可看到圖7-15所示的QQ交互內(nèi)容。 其中，可以很明顯地看到每一個(gè)聊天的QQ號(hào)碼，如圖7-15中黑榧所示，QQ號(hào)碼為2894XXXX1的用戶正在和其他幾個(gè)QQ好友聊天。

對(duì)于阿里旺旺而言，直接在Wireshark的上部Edit(編輯)菜單中選擇Find Packet 命令即查找數(shù)據(jù)包，接著在打開(kāi)的窗口中選擇String單選按鈕即字符串，然后在其下的 =i m�！海何谋究蛑休斎腙P(guān)鍵字wangwang，此時(shí)該文本框會(huì)變成綠色。然后單擊右下角的Find按鈕 開(kāi)始查找，即可看到圖7-16所示的阿里旺旺登錄交互內(nèi)容。其中，如圖7-16中黑框所示， 由于阿里旺旺與淘寶賬戶關(guān)聯(lián)，所以我們能看到賬戶名為xiaolaXXXX15的用戶正在登錄 淘寶網(wǎng)站中。

 

 

同樣的道理，還可以對(duì)使用Yahoo messager、Skype等聊天工具對(duì)交互的數(shù)據(jù)報(bào)文進(jìn)行 還原，這里就不再舉例了。

分析E-mail/論壇賬戶名及密碼

除了上面所說(shuō)的聊天工具外，在對(duì)指定的無(wú)線AP進(jìn)行長(zhǎng)時(shí)間無(wú)線監(jiān)聽(tīng)及抓包后，是可 以截獲到無(wú)線客戶端在進(jìn)行論壇登錄時(shí)所使用的賬戶及密碼的。由于獲取的無(wú)線數(shù)據(jù)包可能 比較大，比如大小約為50MB左右，那么為方便查找，可以通過(guò)關(guān)鍵字過(guò)濾來(lái)實(shí)現(xiàn)。對(duì)于已 經(jīng)解開(kāi)了WEP加密的無(wú)線數(shù)據(jù)報(bào)文，具體步驟如下：

④使用Wireshark打開(kāi)解密后的無(wú)線數(shù)據(jù)包，在Edit(編輯)菜單中選擇Find Packet(查找數(shù)據(jù)包)命令，如圖7-17所示。

②當(dāng)看到圖7-18所示的界面后，選擇String(字符串)單選按鈕，然后在其下的文本框中輸入關(guān)鍵字pass，此時(shí)該文本框會(huì)變成綠色。然后單擊右下角的Find接鈕，或者按【Enterl鍵。

 

圖7-17 圖7—18

 

對(duì)于論壇登錄賬戶的截獲來(lái)說(shuō)，通過(guò)這樣的方式就可以找到包含論壇賬戶名稱及密 碼的數(shù)據(jù)包。圖7-19所示為截獲的某論壇登錄賬戶及密碼，username-后為論壇登錄賬戶，password=后為登錄密碼。這是由于絕大多數(shù)論壇都沒(méi)有加密措施，而是使用明文登錄的。

 

 

分析Web交互數(shù)據(jù)

除了查看到聊天、論壇、郵箱的敏感數(shù)據(jù)之外，還可以查看對(duì)方當(dāng)前正在訪問(wèn)的網(wǎng)址。 這里使用Wireshark打開(kāi)截獲的無(wú)線數(shù)據(jù)包，如圖7-21所示。

 

 

在Protocol欄中可以看到DNS查詢報(bào) 文，該報(bào)文表示當(dāng)前用戶正試圖訪問(wèn)某個(gè) 站點(diǎn)，可以清楚地看到已連接到該無(wú)線接 入點(diǎn)的客戶端當(dāng)前正在查看的網(wǎng)站是http://bigpack.blogbus.com，這是我的博客。

攻擊者也可以使用Windows下的另一款 功能強(qiáng)大的工具OmniPeek打開(kāi)截獲的無(wú)線 數(shù)據(jù)包，然后從已截獲的數(shù)據(jù)包中直接列出 對(duì)方已經(jīng)瀏覽的站點(diǎn)及頁(yè)面，如圖7-22所示。 由于OmniPeek比較復(fù)雜，感興趣的朋友可以 再研究一下。

 

 

分析Telnet交互數(shù)據(jù)

如圖7-21所示，對(duì)于捕獲到的FTP、Telnet等交互數(shù)據(jù)，我們還可以進(jìn)行細(xì)節(jié)化的分析。

 

 

比如在補(bǔ)獲的數(shù)據(jù)包上可以分析整體數(shù)據(jù)流，如圖7-22所示，右擊任意一個(gè)Telnet類 型數(shù)據(jù)包，在彈出的快捷菜單中選擇Follow TCP Stream命令跟蹤數(shù)據(jù)流即可。

 

圖7-22

 

在接下來(lái)打開(kāi)的窗口中，我們就能看到詳細(xì)的數(shù)據(jù)交互分析。如圖7-23中黑框所示， 分別有登錄賬戶及密碼、登錄成功后輸入的每一個(gè)命令以及Telnet服務(wù)器的回復(fù)信息。這一 切就是因?yàn)門(mén)elnet協(xié)議沒(méi)有加密的緣故。

 

 

除了上面提及的，Wireshark還可以做很多。不過(guò)這些基于數(shù)據(jù)包分析的工作還是留給 讀者去深入試驗(yàn)。