《Kali渗透基础》12. 无线渗透(二)
阅读原文时间:2023年08月29日阅读:13

@

目录


本系列侧重方法论,各工具只是实现目标的载体。

命令与工具只做简单介绍,其使用另见《安全工具录》。

本文以 kali-linux-2023.2-vmware-amd64 为例。

无线网卡使用 MT7612u 芯片。

无线渗透与其他章节独立,涵盖面广。

无线技术变化快,难度大。

理论是本章最有价值的部分。

1:无线协议栈

只能查看无线网卡的以太网相关配置信息。

查看所有网卡

ifconfig -a

运行指定网卡或接口

ifconfig <网卡接口> up

禁用指定网卡或接口

ifconfig <网卡接口> down

查看启用的网卡

ifconfig

查看无线网卡

iwconfig

能查看无线扩展参数

查看无线网卡

iw list

能详细查看无线网卡的配置与对协议和技术的支持情况。

设置网卡或接口工作信道

iw dev <网卡接口> set channel <信道>

扫描附近 AP

iw dev <网卡> scan

添加侦听接口

iw dev <网卡> interface add <网卡>mon type monitor

删除侦听接口

iw dev <网卡接口> interface del

查看频段带宽

iwlist <网卡> frequency

查看信道

iwlist <网卡> channel

扫描附近 AP

iwlist <网卡> scanning

2:无线网卡配置

方式一

ifconfig

方式二

iwconfig

方式三

iw list

方式一

iwlist <网卡> frequency

方式二

iw list

仅查看 SSID

iw dev <网卡> scan | grep SSID

查看 SSID 与信道

iw dev <网卡> scan | egrep "DS\ Parameter\ set|SSID"

查看 SSID 与信道

iwlist <网卡> scanning | egrep "ESSID|Channel"

添加侦听接口

iw dev <网卡> interface add <网卡>mon type monitor

运行指定网卡或接口

ifconfig <网卡接口> up

删除侦听接口

iw dev <网卡接口> interface del

3:RADIOTAP 头部

RADIOTAP(RadioTap)头是用于无线数据包捕获的通用封装格式,是一种数据链路层协议。

  • 802.11 依赖 RadioTap 完成通信过程,是 802.11 帧发射和接收的事实标准
  • Linux 系统在驱动和 API 中内建支持 RadioTap。
  • 802.11 帧发射之前,网卡驱动在 802.11 头前面添加 RadioTap 头;当网卡接收到无线帧时,驱动通知 MAC 层,此帧头包含 RadioTap 头。
  • RadioTap 为 802.11 帧传递额外信息,厂家可自定义,因此头长度不固定
  • 不破坏原始头结构,增加传递的信息

RADIOTAP 头分为 Header 和 Data。Header 是 RADIOTAP 头的实际部分,Data是数据包的有效载荷部分。

Header 由以下字段组成:

  • Version(1 byte):RADIOTAP 头的版本号。常为 0。
  • Pad(1 byte):未使用,只作为字段占位。
  • Length(1 byte):整个 RADIOTAP 头长度(以字节为单位),可变,作用是确定 802.11 头的开始位置。
  • Present Flags(4 bytes):是一个 32 位的字段,每一位代表一个特定的信息字段。如果某一位为1,则表示该信息字段在当前的 RADIOTAP 头中存在。
  • Fields:实际的信息字段,包含各种无线信息。如:
    • Timestamp:数据包捕获的时间戳。
    • Flags:数据帧的一些标志信息,比如是否加密、是否包含FCS(帧校验序列)等。
    • Rate:数据传输速率。
    • Channel:频道号和频谱宽度。

RADIOTAP 头部的长度可变,具体长度取决于 Present Flags 字段中所包含的信息字段数量。

对于不能理解的头部,网卡将直接忽略。

Data 部分是无线数据包的实际有效载荷。具体的内容取决于数据包所传输的应用层协议和数据类型。

  • 对于 Wi-Fi 数据包,可能是一个 802.11 数据帧。
  • 对于蓝牙数据包,可能是一个蓝牙数据帧。

4:MPDU

在信息传输过程中,数据单元(DU)是最小的数据集合,用于承载信息。

传递过程中,数据会逐层封装(Encapsulation)。

主要涉及的封装单位有服务数据单元(SDU)和协议数据单元(PDU)。

  • DU(Data Unit),数据单元

    是信息传输的最小数据集合。

  • Encapsulation,逐层封装

    数据在传递过程中会按照一定规则逐层封装,以便在不同网络层之间传输。

  • SDU(Service Data Unit),服务数据单元

    是上层向下层传递的数据单元,经过上层协议处理后,成为下层的 PDU。

  • PDU(Protocol Data Unit),协议数据单元

    是网络协议中传递的数据单元,在不同网络层有不同的名称。

无线数据封装过程大致如下:

MSDU(应用层数据)-> 添加 MIC(完整性校验)-> 分帧(将数据分成更小的数据帧)-> 添加 IV(初始化向量,用于加密过程)-> 加密(对数据进行加密)-> 添加 MAC 头部(数据链路层的控制信息)-> MPDU(链路层数据单元)。

继续往下,MPDU 与物理头部结合,形成 PPDU(物理层数据单元),然后进行RF(射频)发射,最终在物理信道上传输。

MPDU(Mac Protocol Data Unit)是 802.11 标准中的一个重要概念,代表着物理层(PHY)和介质访问控制层(MAC)之间的数据传输单元。

其结构如下:

可分为:

  • Header(MAC 头部)
  • Data(数据部分)
  • FCS(校验部分)

MAC 头是 802.11 标准中数据帧的组成部分,用于在数据链路层传递控制信息。

802.11 MAC 头的主要结构和字段:

  • Frame Control(帧控制)

    占 2 个字节。包含一些控制信息。

  • Duration / ID(时长 / 标识符)

    占用 2 个字节,用于在多个节点之间传递帧的传输时长或标识符信息。

  • Addressing Fields(地址字段)

    包含四个地址字段,每个字段占用 6 个字节。用于指示帧的发送者和接收者。

  • Sequence Control(序列控制)

    占用2个字节,用于指示数据帧的序列号。

4.3.1:Frame Control

Frame Control(帧控制),占 2 个字节。包含一些控制信息,如帧的类型、子类型、数据帧是否包含帧体(Payload)、帧是否加密等。

  • Protocol Version(2 bit)

    代表 802.11 协议版本。

  • Type(2 bit)

    3 种帧类型,规定帧的具体用途。

    • 管理帧(0)
    • 控制帧(1)
    • 数据帧(2)
  • SubType(4 bit)

    类型对应的子类型,不同类型 / 子类型的帧完成不同功能。

  • To DS(1 bit)/ From DS(1 bit)

    标识帧的传输方向。这两个字段决定着 MAC 头中 4 个 Address 字段的不同定义。

  • More frag(1 bit)

    表示是否还有后续帧。值为 1 时表示有后续分段。只有单播接收地址的帧会被分段。

  • Retry(1 bit)

    值为 1 表示重传。接收端进程使用此值防止帧重复。

  • Power Mgmt(1 bit)

    活动模式(0);省电模式(1)。STA 处于省电模式时,向关联的 AP 发送该值为 1 的帧(AP 从不使用此字段)。省电模式下 STA 不接收数据,发送给它的 Data 帧由 AP 暂时缓存。

  • More Data(1 bit)

    当 AP 缓存了至少一个 MSDU 时,会向省电模式的 STA 发送该值为 1 的帧,表示有数据要传输给 STA。接收到此帧的 STA 唤醒自己并向 AP 发送 PS-Poll 帧,取回由 AP 为其缓存的数据。也被用于 AP 有更多的广播 / 多播帧需要发送的情况。

  • Protected Frame(1 bit)

    可能是 Data 或 Management 帧类型,表示 MSDU 是否被加密;也被用于表示 PSK 身份验证。数据载荷为空时,该字段值为0。

  • Order(1 bit)

    在非 QoS 帧的情况下,值为 1 表示数据必须严格按顺序处理,通常为0。

4.3.1.1:Type / SubType

对于 TypeSubType 字段,类型 / 子类型如下所示:

管理帧(0b00)子类型:

控制帧(0b01)子类型:

数据帧(0b10)子类型:

4.3.1.2:To DS / From DS

标识帧的传输方向。这两个字段决定着 MAC 头中 4 个 Address 字段的不同定义。

DA:Destination Address(目标地址)

RA:Recipient Address(接收地址)

SA:Source Address(源地址)

TA:Transmitter Address(发送地址)

  • 0b00:出现在 IBSS 环境中(可能是 Management 帧或者是 Control 帧类型);或者是 STSL(Station to Station Link)中两个 STA 间通信,这种情况下通信不通过 AP。
  • 0b01:表示 Data 帧从 AP 向 STA 传递。
  • 0b02:表示 Data 帧从 STA 向 AP 传递。
  • 0b03:表示两个 AP 间通信。这是典型的 WDS(Wireless Distribution System)环境下 AP 间的通信,或者表示 Mesh 环境下 MP 间的通信。只有此时才会使用到 Address4 字段。

4.3.2:Duration / ID

所有 Control 帧都使用该字段,其作用随 Type / SubType 变化而有所不同。

例如,帧类型为 PS Poll(type:1,subtype:10)时,该字段表示 STA 关联的 AID(association identity)。

其他情况下该字段作为一种载波侦听机制,表示接收下一帧之前需要保持的时间间隔,用于 NAV(Network Allocation Vector)计算,单位微秒。

4.3.3:Address

前面已经提到了 4 种,这里补充最后一种:Basic Service Set ID(BSSID)。它是 BSS 的 2 层唯一标识,Infrastructure 模式中 BSSID 就是 AP 的 MAC 地址,当 AP 支持多 BSS 时,随机生成每个 BSSID。

4.3.4:Sequence Control

Sequence Control 包含两个子字段:Sequence NumberFragment Number

  • Sequence Number

    是每个帧的编号,数值范围是 0 ~ 4095,以 1 为步长递增。当帧被分段时,同一帧中不同分段的 Sequence Number 相同。

  • Fragment Number

    是被分段的帧用于标识分段位置顺序的编号,数值范围是 0 ~ 15,以 1 为步长递增。

数据字段,Frame Body,未加密的最大 MSDU 长度为 2304 字节(其中包含最大 256 字节的上层头信息,和可被传递的数据 2048 字节)。不同的加密方法会增加一定的内容长度。

加密方法

增加的长度

最大长度

WEP

8 bytes

2312 bytes

TKIP(WPA1)

20 bytes

2324 bytes

CCMP(WPA2)

16 bytes

2320 bytes

注:Control 类型的帧没有 Frame Body 内容。

发送端对全部 MAC 包头和 Frame Body 内容进行 CRC 计算,计算结果即为 FCS(Frame Check Sequence)值。

接收端进行相应计算,结果一致时,则接收端向发送端返回 ACK,否则丢弃帧(只对单播帧有效,对于 FCS 错误的广播 / 多播帧,则可能被接收)。

注:wireshark 抓包时已经删除了 FCS 值。

5:Control Frame

控制帧(Control Frame)是一些通知设备开始传输、停止传输或连接失败等情况的短消息。

ACK(Acknowledgment)帧,用于确认成功接收数据帧。接收端正确接收数据之后向发送端返回 ACK 确认。

  • 每个单播帧需要 ACK 立刻确认。
  • 组播和广播帧不需要 ACK 确认
  • 为了尽快响应,由硬件实现。

PS-POLL(Power Save Poll)帧用于实现低功耗模式下的数据传输。

RF 系统放大器(主要耗电组件)

发射前放大信号,接收并放大还原信号

省电模式关闭信号发射器,节省电源耗电(几乎完全关闭)

STA 省电模式唤醒

  • 数据发送至 AP(AP 缓存数据包)
  • AP 通过 Beacon 发送 TIM(traffic indication map),其中包含 AID。
  • STA 对比 AID 后唤醒网卡。
  • STA 发送 PS-Poll 帧,请求从 AP 缓存中取回数据。每个帧都需要 ACK 确认。
  • 传输完毕后 AP 从缓存中删除数据帧。
  • 传输过程中 STA 保持唤醒状态。
  • 传输结束后 STA 恢复省电状态。

AID(Association ID)是是在设备(STA)与接入点(AP)建立关联时分配的一个唯一标识符。

BSSID(Basic Service Set Identifier)用于唯一标识一个无线网络中的基本服务集(BSS)的 MAC 地址。

AP 接收 PS-Poll 帧时,分为立刻响应和延迟响应。如果是延迟响应,则会发送简单响应帧。

RTS / CTS 机制可以在一定程度上解决网络中的隐藏节点问题和冲突问题,减少数据帧碰撞,提高无线网络的吞吐量。

隐藏节点(Hidden Node)是指在一个无线网络中,某些无线设备之间无法直接感知对方的存在。

隐藏节点问题主要发生在基础服务集(BSS)中。

RTS / CTS 是 CSMA / CA 方法的一种补充手段。

  • 降低冲突产生的可能性。
  • 正式通信之前通过请求应答机制,确信通信介质的可用性。
  • 锁定传输介质和预约通信时间。
  • 只有在传输长帧时使用,传输短帧时不会使用。

有线网络访问方式:CSMA / CD

无线网络访问方式:CSMA / CA

如上图,

  • Node1 发送 RTS 包给 Node2。
  • 如果未发生冲突,Node2 返回 CTS 给 Node1。
  • Node1 传输数据。
  • 数据正常接收,Node2 返回 ACK,否则 Node1 什么也不会收到。

CTS(Clear to Send)帧和 RTS(Request to Send)帧是两种控制帧,用于进行基本的媒体访问控制,帮助解决无线网络中的隐藏节点问题和冲突问题。

5.3.1:RTS 帧

RTS(Request to Send)帧是由发送方发送给接收方的请求帧,用于在发送数据前请求媒体的访问权。

5.3.2:CTS 帧

CTS(Clear to Send)帧是接收方发送给发送方的确认帧,用于回应收到的 RTS 帧。接收方在收到 RTS 帧后,会发送一个 CTS 帧作为回应,表示它准备好接收数据。

6:Management Frame

管理帧(Management Frame)用于协商和控制 STA 与 AP 之间的关系。

Beacon 帧,AP 发送的广播帧,用于通告无线网络的存在(BSSID)。

  • 发包频率可变
  • 隐藏 AP 不发 SSID 广播

Beacon 帧包含的部分信息:

  • IBSSI Status

    0:Infrastructure

    1:AD-HOC

  • Privicy(是否启用隐私保护功能,如加密)

  • ESSID

  • 速率

  • 信道

Probe Request Frames(探测请求帧)用于 STA 在无线网络中寻找附近的 AP。

可以发现连接过的 AP 与未连接过的 AP。

Probe Response Frames(探测响应帧)是 AP 对 Probe Request Frames 的回应。

速率和 SSID 相同的 AP 响应。

Authentication Frames(身份验证帧)是用于在 STA 和 AP 之间建立身份验证过程的管理帧。

身份认证由多个帧交换过程组成。

  • Authentication Algorithm(身份认证类型)

    0:开放系统身份验证

    1:共享密钥身份验证

  • Authentication Seq

    每次身份验证过程的 Seq 唯一。(1 ~ 65535)

  • Challenge text

    只有共享密钥方式才有此字段

  • Status Code

    成功 / 失败

身份验证成功后,STA 执行关联操作,加入无线网络。

  • Association Request(关联请求)
  • Reassociation Request(重新关联请求)
  • Association Response(关联响应)
  • Reassociation Response(重新关联响应)

6.5.1:Association Request 帧

Association Request Frames(关联请求帧),STA 发送,请求关联。

6.5.2:Reassociation Request 帧

Reassociation Request Frame(重新关联请求帧)用于在 STA 已经与一个 AP 关联的情况下,希望与另一个 AP 建立关联的情况。

6.5.3:Response 帧

AP 对 STA 的(重新)关联请求的响应。

  • 状态码:关联成功 / 失败

Disassociation Frame(分离帧)用于终止 STA 与 AP 之间的连接。可由 STA 和 AP 发送。

Deauthentication Frame(去认证帧)用于终止 STA 与 AP 之间的认证。由 AP 发送。

部分 Reason Code 描述:

ATIM(Announcement Traffic Indication Map)帧只在 AD-HOC 网络下使用。作为 AP 的 STA 使用此帧通知接收者有缓存的数据要发送。

7:Data Frame

数据帧(Data Frames)用于在设备之间传输数据。

Data Frame(数据帧)用于传输用户数据。

Null Data Frame(空数据帧)用于 STA 声明自己将要进入省电模式。

  • 只包含 MAC 头和 FCS。

泪流琼脸,梨花一枝春带雨。

——《倾杯》(宋)柳永