闡述無線網(wǎng)絡(luò)設(shè)備的WPS有哪些功能

1 關(guān)于WPS

WPS(Wi-Fi Protected Setup，Wi-Fi保護(hù)設(shè)置)是由Wi-Fi聯(lián)盟(http://www.wi-fi.org/) 組織實施的認(rèn)證項目，主要致力于簡化無線網(wǎng)絡(luò)的安全加密設(shè)置。

在傳統(tǒng)方式下，用戶新建一個無線網(wǎng)絡(luò)時，必須在接入點手動設(shè)置網(wǎng)絡(luò)名( SSID)和 安全密鑰，然后在客戶端驗證密鑰以阻止“不速之客”的闖入。Wi-Fi Protected Setup能幫 助用戶自動設(shè)置網(wǎng)絡(luò)名( SSID)、配置最高級別的WPA2安全密鑰，具備這一功能的無線 產(chǎn)品往往在機身上設(shè)計一個功能鍵，稱為WPS按鈕，用戶只需輕輕按下該按鈕或輸入PIN 碼，再經(jīng)過兩三步簡單操作即可完成無線加密設(shè)置，同時在客戶端和路由器之間建立一個 安全的連接。

用戶可在產(chǎn)品包裝上尋找Wi-Fi PROTECTED SETUP的標(biāo)識，以確保所購產(chǎn)品 具備WPS功能。具備WPS功能的無線產(chǎn)品都會在其機體外殼上注明WPS標(biāo)識，如 圖11-1所示。

 

 

2 WPS的基本設(shè)置

由于元線路由器的品牌和型號不同，下述步驟將稍有偏差。

@運用配置程序選擇“連接到帶有WPS的無線網(wǎng)絡(luò)”。

@個別無線設(shè)備需要按住路由器上的WPS按鈕，或者用其他計算機登錄到路由器頁面，如圖11-2所示，在有關(guān)頁面選擇連接計算機。

@在無線網(wǎng)卡配置工具上選擇PBC連接形式，或者在無線網(wǎng)卡上按圖11-3中的WPS按鍵。

@等待數(shù)秒鐘，連接成功。

整個流程與TCP/IP的三次握手協(xié)議類似，看起來只有一呼一應(yīng)兩個聯(lián)系，但是因為配 置了120秒超時的限定，所以實際上也是一個三次握手的流程。WPS完成的工作只是一個 輸入超長密鑰的流程，但因為操作的便利以及純?nèi)斯す芸兀�使得不太容易被運用攻擊。

 

圖11-2 圖11-3

 

對于市面上的絕大多數(shù)n系列無線路由器來說，都能非常便利地運用WPS功能，并且 建立連接的時間不超過20秒。對一個初級用戶來說，只要按兩次按鍵就可以建立超長位數(shù) 的WPA2加密，無疑是一項非常有吸引力的功能。不過需要特別注意的是，使用WPS的前 提是使用無線網(wǎng)卡自帶的管理配置程序，不能使用Windows自帶的無線管理配置服務(wù)。

掃描WPS狀態(tài)

1 掃描工具介紹

目前專門支持WPS掃描的工具并不多，不過由于WPS相關(guān)標(biāo)準(zhǔn)的公開，各大廠商在各 自的無線網(wǎng)卡產(chǎn)品配套工具中，都內(nèi)置了WPS掃描及總動配置功能。這里介紹兩款工作在 Linux下使用python編寫的小工具，分別為wpscan.py和wpspy.py。其中，wpscan.py用于 掃描開啟WPS功能的無線網(wǎng)絡(luò)設(shè)備，wpspy.py則用來確認(rèn)無線網(wǎng)絡(luò)設(shè)備當(dāng)前WPS狀態(tài)。此 工具套裝可以到http://bogpack.blogbus.com上下載。

安裝很簡單，將wps_tools.tar.gz下載到本地，然后使用tar命令解壓縮，會看到圖11-4 歷示的內(nèi)容。該壓縮包包含兩個文件，分別為wpscan.py和wpspy.py。

 

 

2掃描開啟WPS功能的無線設(shè)備

工具安裝完畢，即可開始具體的WPS掃描，具體步驟如下：

設(shè)置無線網(wǎng)卡為監(jiān)聽模式。

和之前最基本的坡解過程一樣，在Linux下需要先行使用Aircrack-ng工具套裝中的 airmon-ng工具將無線網(wǎng)卡設(shè)置為監(jiān)聽模式。注：若覺得安裝Aircrack-ng工具套裝很麻煩， 可以考慮直接使用BackTrack4 Linux。具體命令如下：

 

其中，start后跟具體的無線網(wǎng)卡名稱，此處為wlan0，載入后的監(jiān)聽網(wǎng)卡ID為 mon0。

當(dāng)前采用Ralink 2573芯片的無線網(wǎng)卡已被激活為Monitor監(jiān)聽模式，之后的程序?qū)⒄{(diào) 用名為mon0的無線網(wǎng)卡，如圖11-5所示。

 

圖11-5

 

掃描開啟WPS功能的無線設(shè)備。

掃描開啟WPS功能的無線路由器，具體命令如下：

 

其中，-1后跟無線網(wǎng)卡名稱，這里是mon0。 按【Enterl鍵后稍等片刻，wpscan.py可以將周圍能夠搜索到的開啟WPS的無線路由 器全部列舉出來。如圖11-6所示，掃描出了一款開啟WPS的無線路由器，其SSID為 ZerOne Lab.其具體型號未能顯示，但其芯片組為Ralink。

 

圖11-6

 

沒有顯示出產(chǎn)品具體型號也是正常的，因為并不是所有的廠商都會在WPS中加入廠商 的詳細(xì)信息，這也是出于安全的考慮。不過一些大的廠商都會在WPS中加入一些信息，比 如在圖11-7中的Model Name處，就識別出Belkin的型號為F5D7230-4的無線路由器，甚 至可以顯示出具體的型號為v9。這也就導(dǎo)致了信息的暴露，所以針對WPS的掃描也是有效 探測無線設(shè)備的方法之一。

 

圖11-7

 

監(jiān)測WPS狀態(tài)。

在獲知了存在開啟WPS功能的無線設(shè)備后，即可對其進(jìn)行監(jiān)控，代碼如下：

 

參數(shù)解釋：

●-i：后跟無線網(wǎng)卡，這里即為mon0。

●-e:后跟SSID，若需要對某指定AP進(jìn)行監(jiān)測，可以使用此項，但并不是必需的。

按IEnterl鍵后即可看到圖11-8所示的內(nèi)容，監(jiān)測到SSID為ZerOne Lab的無線路由 器。當(dāng)前WPS功能狀態(tài)為已配置，即WPSState處顯示為Configured。而在WPSPasswordID 處顯示為PushButton，即要求客戶端按無線網(wǎng)卡上的PBC按鍵進(jìn)行連接。

若WPS功能未被配置，則會幽現(xiàn)圖11-9所示的內(nèi)容，在WPSState處顯示為Not Configured。

 

圖11-8 圖11-9

 

在WPS的狀態(tài)改變過程中，使用wpspy.py監(jiān)測的顯示也在不斷變化，這將有助于攻擊 者掌握當(dāng)前的WPS部署情況。如圖11-10所示，兩個不同的提示表示當(dāng)前WPS正處于調(diào)試 配置過程中，當(dāng)出現(xiàn)WPSPasswordID:PushButton時，將是最利于后續(xù)連接的時刻。

 

圖11-10

 

11.3 使用WPS坡解WPA-PSK密鑰

直接進(jìn)入正題，開始講解如何利用WPS坡解WPA/WPA2密鑰，具體步驟如下：

圓先確認(rèn)當(dāng)前網(wǎng)絡(luò)中是否存在開啟WPS功能的無線設(shè)備。

具體參考本章前面的內(nèi)容，這里不再重復(fù)。

圓打開無線網(wǎng)卡配置工具。

此時打開無線網(wǎng)卡自帶配置工具，掃描當(dāng)前存在的無線網(wǎng)絡(luò)。如圖11-11所示，可以看 到，之前掃描發(fā)現(xiàn)的SSID名為ZerOne的無線網(wǎng)絡(luò)信號充足，當(dāng)前無線網(wǎng)卡處于其信號范 圍內(nèi)。

需要注意的是，若此時無法接收到之前掃描的目標(biāo)AP信號，應(yīng)采用為無線網(wǎng)卡加裝高 增益的天線、增大網(wǎng)卡功率、改變當(dāng)前接收位置等多種方法來改善。此外，需要額外注意的 是，不要使用Windows系統(tǒng)自帶的無線網(wǎng)絡(luò)配置工具，否則將無法進(jìn)行下一步無線網(wǎng)卡上 的WPS功能配置。

 

圖11-11

 

連接開啟WPS功能無線設(shè)備。

打開無線網(wǎng)卡配置工具中的WPS配置頁面。如圖11-12所示，單擊“重新掃描”按鈕 來確認(rèn)當(dāng)前開啟WPS功能的無線網(wǎng)絡(luò)，可以看到在“WPS AP列表”中出現(xiàn)了ZerOne的無 線網(wǎng)絡(luò)設(shè)備。

 

圖11-12

 

接下來，單擊下方的PBC按鈕，開始嘗試與該AP進(jìn)行WPS自動連接。此時，在 PBC按鈕右側(cè)的狀態(tài)欄中會出現(xiàn)PBC-Scanning AP的提示，表示當(dāng)前處于掃描WPS設(shè) 備中。

稍等10～20秒左右，會出現(xiàn)PBC-Get WPS profile successfully提示，即配置成功的提示。 此時，該無線網(wǎng)卡已經(jīng)和SSID名為ZerOne的無線網(wǎng)絡(luò)設(shè)備的WPS匹配成功，并成功連接 至該無線網(wǎng)絡(luò)，如圖11-13所示。

 

圖11-13

 

此時若登錄無線路由器，在其上對應(yīng)的WPS設(shè)置中將能看到出現(xiàn)“添加無線設(shè)備成功”， 如圖11-14所示。

查看無線連接加密配置內(nèi)容。

在WPS頁面下可以看到具體的配置內(nèi)容。如圖11-15所示，當(dāng)前已連接網(wǎng)絡(luò)的名稱為 ZerOne，認(rèn)證方法為WPA2-PSK，加密方法為TKIP，密鑰為一系列星號顯示。

 

圖11-14 圖11-15

 

坡解WPA-PSK或WPA2-PSK加密。

既然是星號顯示，那么使用星號查看器查看，即可顯示出星號背后真實的密鑰內(nèi)容。如 圖11-16所示，打開星號密碼查看工具，把鼠標(biāo)光標(biāo)移至密鑰顯示星號的位置，即可在圖11-16 右上角密碼查看工具中看到密碼為longaslast。

也就是說，當(dāng)前SSID名為ZerOne的無線路由器，啟用的WPA2-PSK密鑰為longaslast。 至此，該無線網(wǎng)絡(luò)的WPA2-PSK加密認(rèn)證已被徹底攻破。

 

圖11-16

 

對于一些使用長字符串密碼的WPA-PSK或者WPA2-PSK加密，此方法依然有效。如 圖11-17所示，當(dāng)前無線網(wǎng)絡(luò)采用WPA-PSK/WPA2-PSK混合加密方式，具體密鑰采用加密 關(guān)鍵字為無規(guī)律長字符串。

 

圖11-17

 

使用星號查看器查看，即可顯示出星號背后真實的密鑰內(nèi)容。如圖11-18所示，當(dāng) 前SSID名為IPTIME WPS 3424的無線路由器的啟用密鑰為35a08cddc7b07491abd8， 即雖然之前設(shè)置時輸入長達(dá)60多位的加密密鑰，但在實際使用時只有前20位起作用。 這個原因除了WPA-PSK本身要求密鑰在8~64位之間的定義外，還可能是因為產(chǎn)品不 同而導(dǎo)致的。

 

圖11-18

 

11.4 常見配合技巧

為方便讀者學(xué)習(xí)和使用，這里將常見的配合技巧和可能出現(xiàn)的一些問題列舉出來，以供 對比查閱。

11.4.1 常見技巧

一般來說，在無線黑客們的實際攻擊及測試中，總會遇到諸如無線路由器WPS功能沒 有開啟、WPS開啟時間有限制或者當(dāng)前管理員在線但沒有訪問無線路由器進(jìn)行配置等情況， 所以無線黑客也會使用一些技巧來回避或者繞過這些問題。

1.發(fā)送跨站請求

由于大多數(shù)無線路由器上的WPS功能默認(rèn)是沒有開啟的，而這些無線設(shè)備需要使用者 手動進(jìn)入無線路由器的WPS配置頁面，按啟動鍵才能開啟WPS功能。在這種情況下，無線 黑客會考慮結(jié)合其他方式進(jìn)行配合攻擊，比如針對無線設(shè)備的CSRF攻擊。

CSRF的英文全稱是Cross Site Request Forgery，字面上的意思是跨站點偽造請求。以韓 國IPTime品牌無線路由器為例，將攻擊路徑偽造后發(fā)送至具備管理員權(quán)限的用戶，將會導(dǎo) 致需要手動啟動的WPS功能在后臺悄悄啟動，此時攻擊者即可使用本節(jié)講述的方法與WPS 關(guān)聯(lián)。

 

關(guān)于針對無線設(shè)備的CSRF攻擊具體細(xì)節(jié)由于涉及較多的Web方面的知識，這里就不 再深入講解。 2.構(gòu)造特殊腳本 和上面提到的CSRF攻擊方式不同的是，構(gòu)造特殊開機腳本這一方法主要是針對如下情 況：無線黑客已經(jīng)入侵到無線網(wǎng)絡(luò)中，并通過該無線網(wǎng)絡(luò)侵入到其他在線的主機系統(tǒng)，獲取 到管理員權(quán)限。在這一情況下，黑客為了保存自己的“戰(zhàn)果”，會考慮植入一些木馬等后門 工具。但需要注崽的是，這些木馬可能會被查殺、當(dāng)前已連接的無線網(wǎng)絡(luò)加密方式及密鑰也 可能被修改等情況。

而構(gòu)造特殊腳本正是應(yīng)對上面提及情況的方法之一。最簡單的腳本可以使用批處理實 現(xiàn)，如下所示的代碼為可以在運行后直接訪問WPS配置頁面并開啟WPS功能，但不會有任 何窗口及提示出現(xiàn)。由于是合法訪問，所以360、卡巴斯基之類的殺毒軟件都不會報警。

 

 

在上述代碼的基礎(chǔ)上，也可以通過再加入for循環(huán)語句和無線路由器登錄賬戶及密碼， 就可以使得這個批處理每隔3分鐘訪問一次無線路由器的WPS配置頁面并開啟WPS功能， 換句話說，也就是隨時開放WPS以便下一次連入。將做好的bat批處理文件放置到網(wǎng)關(guān)服 務(wù)器的組策略中，就是“計算機配置”中的“啟動腳本”中，保存并退出，放置在這個位置 的批處理文件將會在每次服務(wù)器開機后出現(xiàn)操作系統(tǒng)登錄界面時直接運行，也就是說，只要 主機再一次重啟后這個腳本就會一直在后臺運行。

11.4.2常見問題

由于WPS攻擊屬于比較高級的攻擊方式，需要一些技巧的配合。所以在進(jìn)行WPS攻 防測試的時候，肯定會遇到一些問題，下面將常見的問題歸納如下，以供讀者參考。

1.無線網(wǎng)卡配置工具中沒有WPS選項?

答：請使用具備WPS功能的元線網(wǎng)卡。目前支持802.lln的無線網(wǎng)卡基本都具備 此項功能，具體請在購買前仔細(xì)查看外包裝說明上是否出現(xiàn)WPS的描述。再次強調(diào) 一下，當(dāng)在外包裝上產(chǎn)品簡述中出現(xiàn)所謂“一鍵加密”功能的描述時，即為具備WPS 功能。

2.使用wpspy.py或wpscan.py時出現(xiàn)Killed提示并中斷的問題

答：如圖11-19所示，在監(jiān)控時可能遇到下述錯誤提示，并在末尾出現(xiàn)Killed后自動 退出。

 

圖11-19

 

這是由于驅(qū)動不穩(wěn)定，或者程序本身bug導(dǎo)致，此類中斷情況不影響監(jiān)控效果，重新輸 入命令開啟即可。