截獲及坡解無(wú)線加密數(shù)據(jù)
前面講了通過(guò)偽造AP進(jìn)行欺騙攻擊來(lái)截獲數(shù)據(jù)報(bào)文,由于無(wú)線信號(hào)是以AP為中心來(lái) 傳播的,那么在已經(jīng)坡解出目標(biāo)AP的WEP/WPA加密密碼后,無(wú)線黑客甚至無(wú)須連接至該 無(wú)線接入點(diǎn),就可以對(duì)采用WEP/WPA加密的無(wú)線傳播數(shù)據(jù)進(jìn)行攔截和解密了,比如使用 Wireshark、OmniPeek、Ethereal、科來(lái)網(wǎng)絡(luò)分析等工具都可以實(shí)現(xiàn)。在數(shù)據(jù)內(nèi)容上,通過(guò)對(duì) 截獲的無(wú)線數(shù)據(jù)報(bào)文分析主要可以獲取如下內(nèi)容:
●MSN、QQ、Skype、Yahoo Messanger等賬戶信息及個(gè)別聊天內(nèi)容。
●郵件賬戶及密碼。
●論壇賬戶及密碼。
●FTP、Telnet等賬戶及密碼。
下面就來(lái)看看這些都是如何做到的。
截獲無(wú)線加密數(shù)據(jù)
在前面講到坡解WEP和WPA-PSK加密的時(shí)候,提到了Airodump-ng這個(gè)用于抓取無(wú) 線加密數(shù)據(jù)報(bào)文的工具,其實(shí)這個(gè)工具也同樣可以專門(mén)用于收集無(wú)線數(shù)據(jù)包。那么,在坡解 出WEP加密密碼后,打開(kāi)Airodump ng來(lái)進(jìn)行收集,具體命令如下:
其中參數(shù)解釋請(qǐng)大家參考第4章WEP坡解部分的介紹,效果如圖7-1所示。
在經(jīng)過(guò)較長(zhǎng)時(shí)間的數(shù)據(jù)包收集之后, 時(shí),保存的數(shù)據(jù)包文件應(yīng)為yang-Ol.cap。 可以通過(guò)按【Ctrl+CI組合鍵來(lái)終止抓包工具,此 接下來(lái),就需要對(duì)截獲的無(wú)線數(shù)據(jù)包解密了。
對(duì)截獲的無(wú)線加密數(shù)據(jù)包解密
在Windows下,一直以來(lái)可用于無(wú)線掃描及坡解的工具除了Commview之外,還有大 名鼎鼎的Cain&Abel。
下面先來(lái)了解下Cain&Abel這款工具的名字來(lái)源,其實(shí)這也是我偶然看到《圣經(jīng)》才知道 的,Cain在《圣經(jīng)》中指亞當(dāng)和夏娃的大兒子該隱,Abel在《圣經(jīng)》中指亞當(dāng)和夏娃的小兒子 亞伯。雖為兄弟兩人,但最后結(jié)果卻是兄弟相殘后,一人死一人被貶至凡間受難。Cain&Abel 的作者也是想以此告訴使用者,技術(shù)及工具是雙刃劍,用途和造成的后果完全取決于使用者本身。
官方網(wǎng)站:
Cain的安裝很簡(jiǎn)單,下載后直接雙擊安裝即可。安裝完畢后桌面會(huì)出現(xiàn)一個(gè)Cain的圖 標(biāo),打開(kāi)后的工具主界面如圖7-2所示。
圖7-2
導(dǎo)入加密數(shù)據(jù)報(bào)文
④打開(kāi)Cain后,選擇Cracker(坡解)選項(xiàng),選擇左邊分類項(xiàng)中下方的802.llCaptures(802.11捕獲),然后在右邊空白處右擊,在彈出的快捷菜單中選擇Add to list(加入列表)命令,來(lái)導(dǎo)入獲取的無(wú)線WEP或者WPA-PSK加密數(shù)據(jù)包,比如事先使用Airodump-ng收集的無(wú)線加密數(shù)據(jù)包,如圖7-3所示。
如圖7—4所示,這里導(dǎo)入的數(shù)據(jù)包就是前面收集的名為yang-01.cap的文件。
圖7-4
@在導(dǎo)入成功之后,就會(huì)顯示圖7—5所示的數(shù)據(jù)包大小及類型。
圖7-5
對(duì)無(wú)線加密數(shù)據(jù)包進(jìn)行解密。
◇接著,在該數(shù)據(jù)包上右擊,在彈出的快捷菜單中選擇Decode
(解密)命令,也可說(shuō)是***,如圖7-6所示。
@會(huì)看到圖7-7所示的解密處理界面,為方便新人能夠更方
便
地學(xué)習(xí),下面分別解釋這些參數(shù)選項(xiàng)。
●Input Filename:不需要再輸入,此處顯示的為之前導(dǎo)入的無(wú) 線加密數(shù)據(jù)包,這里就是yang-Ol.cap。
●Output Filename:也不需要再輸入,此處顯示的是解密后 的數(shù)據(jù)包名稱及保存位置,默認(rèn)是在同一目錄下,只是名 稱后加上-dec,其中dec就是decrypt解密的簡(jiǎn)寫(xiě),這里對(duì) 圖7-6 應(yīng)的就是yang-Ol-dec.cap。
●WPA Key:輸入事先坡解出的WPA-PSK密碼,這里就以WPA-PSK加密數(shù) 據(jù)包為例,若是WEP加密的,就選擇下方的WEP,輸入坡解出的WEP密碼 即可。
圖7-7
@只要輸入的密碼是正確的,那么Cain會(huì)立即將導(dǎo)入的無(wú)線加密數(shù)據(jù)包解密,并保
存為另一個(gè)文件。如圖7-9所示,這里就是yang-Ol-dec.cap。在解密過(guò)程中,當(dāng)前
界面的右下角會(huì)有進(jìn)度顯示。
圖7-8 圖7-9
查看解密完成后的無(wú)線加密文件。
@直接對(duì)比一下,先使用Wireshark打開(kāi)已加密的yang-Ol.cap文件,如圖7-10所示,可以看到在Protocol(協(xié)議)一列顯示為“IEEE 802.11”,即只能顯示出無(wú)線網(wǎng)絡(luò)數(shù)據(jù),但是由于加密的原因,無(wú)法看到具體交互的協(xié)議類型,比如DNS、HTTP或者其他類型。
囹7-10
@接下來(lái),使用Wireshark打開(kāi)解密完成的yang-Ol-dec.cap文件,如圖7-11所示,就可以看到之前被加密的無(wú)線數(shù)據(jù)報(bào)文已經(jīng)全部被完整地還原成未加密狀態(tài)。此時(shí),可以輕松地看到TCP、DNS、HTTP等不同類型的數(shù)據(jù)報(bào)文了。
圖7-11
接下來(lái)就可以開(kāi)始分析捕獲的無(wú)線數(shù)據(jù)報(bào)文了。
分析MSN/QQ/淘寶旺旺聊天數(shù)據(jù)
對(duì)于MSN而言,直接在Wireshark的Filter文本框中輸入msnms迸行協(xié)議過(guò)濾后, 即可看到圖7-12所示的MSN交互內(nèi)容。其中,可以很明顯地看到每一個(gè)聊天的賬戶 ID,如圖7-12所示,賬戶名為longaslast@hotmail.com的用戶正在和其他幾個(gè)MSN好友 聊天。
在圖7-13中,可以清楚地看到如下所示的編碼,此為UTF-8的MSN編碼,即是聊天 的內(nèi)容。
在將其對(duì)應(yīng)的十六進(jìn)制編碼轉(zhuǎn)貼到轉(zhuǎn)換器中的UTF-8文本框中,就可以看到圖7-14所 示的內(nèi)容,已經(jīng)成功地轉(zhuǎn)換成中文了,即Text 文本框中的內(nèi)容。換句話說(shuō),使用無(wú)線網(wǎng)絡(luò)進(jìn)行 MSN通話的聊天內(nèi)容就被截獲了,并且輕易地 還原了!
對(duì)于QQ而言,直接在Wireshark的上部名 為Filter即過(guò)濾的空白處,輸入oicq進(jìn)行協(xié)議過(guò) 濾后,即可看到圖7-15所示的QQ交互內(nèi)容。 其中,可以很明顯地看到每一個(gè)聊天的QQ號(hào)碼,如圖7-15中黑榧所示,QQ號(hào)碼為2894XXXX1的用戶正在和其他幾個(gè)QQ好友聊天。
對(duì)于阿里旺旺而言,直接在Wireshark的上部Edit(編輯)菜單中選擇Find Packet 命令即查找數(shù)據(jù)包,接著在打開(kāi)的窗口中選擇String單選按鈕即字符串,然后在其下的 =i m!海何谋究蛑休斎腙P(guān)鍵字wangwang,此時(shí)該文本框會(huì)變成綠色。然后單擊右下角的Find按鈕 開(kāi)始查找,即可看到圖7-16所示的阿里旺旺登錄交互內(nèi)容。其中,如圖7-16中黑框所示, 由于阿里旺旺與淘寶賬戶關(guān)聯(lián),所以我們能看到賬戶名為xiaolaXXXX15的用戶正在登錄 淘寶網(wǎng)站中。
同樣的道理,還可以對(duì)使用Yahoo messager、Skype等聊天工具對(duì)交互的數(shù)據(jù)報(bào)文進(jìn)行 還原,這里就不再舉例了。
分析E-mail/論壇賬戶名及密碼
除了上面所說(shuō)的聊天工具外,在對(duì)指定的無(wú)線AP進(jìn)行長(zhǎng)時(shí)間無(wú)線監(jiān)聽(tīng)及抓包后,是可 以截獲到無(wú)線客戶端在進(jìn)行論壇登錄時(shí)所使用的賬戶及密碼的。由于獲取的無(wú)線數(shù)據(jù)包可能 比較大,比如大小約為50MB左右,那么為方便查找,可以通過(guò)關(guān)鍵字過(guò)濾來(lái)實(shí)現(xiàn)。對(duì)于已 經(jīng)解開(kāi)了WEP加密的無(wú)線數(shù)據(jù)報(bào)文,具體步驟如下:
④使用Wireshark打開(kāi)解密后的無(wú)線數(shù)據(jù)包,在Edit(編輯)菜單中選擇Find Packet(查找數(shù)據(jù)包)命令,如圖7-17所示。
②當(dāng)看到圖7-18所示的界面后,選擇String(字符串)單選按鈕,然后在其下的文本框中輸入關(guān)鍵字pass,此時(shí)該文本框會(huì)變成綠色。然后單擊右下角的Find接鈕,或者按【Enterl鍵。
圖7-17 圖7—18
對(duì)于論壇登錄賬戶的截獲來(lái)說(shuō),通過(guò)這樣的方式就可以找到包含論壇賬戶名稱及密 碼的數(shù)據(jù)包。圖7-19所示為截獲的某論壇登錄賬戶及密碼,username-后為論壇登錄賬戶,password=后為登錄密碼。這是由于絕大多數(shù)論壇都沒(méi)有加密措施,而是使用明文登錄的。
分析Web交互數(shù)據(jù)
除了查看到聊天、論壇、郵箱的敏感數(shù)據(jù)之外,還可以查看對(duì)方當(dāng)前正在訪問(wèn)的網(wǎng)址。 這里使用Wireshark打開(kāi)截獲的無(wú)線數(shù)據(jù)包,如圖7-21所示。
在Protocol欄中可以看到DNS查詢報(bào) 文,該報(bào)文表示當(dāng)前用戶正試圖訪問(wèn)某個(gè) 站點(diǎn),可以清楚地看到已連接到該無(wú)線接 入點(diǎn)的客戶端當(dāng)前正在查看的網(wǎng)站是http://bigpack.blogbus.com,這是我的博客。
攻擊者也可以使用Windows下的另一款 功能強(qiáng)大的工具OmniPeek打開(kāi)截獲的無(wú)線 數(shù)據(jù)包,然后從已截獲的數(shù)據(jù)包中直接列出 對(duì)方已經(jīng)瀏覽的站點(diǎn)及頁(yè)面,如圖7-22所示。 由于OmniPeek比較復(fù)雜,感興趣的朋友可以 再研究一下。
分析Telnet交互數(shù)據(jù)
如圖7-21所示,對(duì)于捕獲到的FTP、Telnet等交互數(shù)據(jù),我們還可以進(jìn)行細(xì)節(jié)化的分析。
比如在補(bǔ)獲的數(shù)據(jù)包上可以分析整體數(shù)據(jù)流,如圖7-22所示,右擊任意一個(gè)Telnet類 型數(shù)據(jù)包,在彈出的快捷菜單中選擇Follow TCP Stream命令跟蹤數(shù)據(jù)流即可。
圖7-22
在接下來(lái)打開(kāi)的窗口中,我們就能看到詳細(xì)的數(shù)據(jù)交互分析。如圖7-23中黑框所示, 分別有登錄賬戶及密碼、登錄成功后輸入的每一個(gè)命令以及Telnet服務(wù)器的回復(fù)信息。這一 切就是因?yàn)門(mén)elnet協(xié)議沒(méi)有加密的緣故。
除了上面提及的,Wireshark還可以做很多。不過(guò)這些基于數(shù)據(jù)包分析的工作還是留給 讀者去深入試驗(yàn)。