1 關于WPS

WPS(Wi-Fi Protected Setup，Wi-Fi保護設置)是由Wi-Fi聯盟(http://www.wi-fi.org/) 組織實施的認證項目，主要致力于簡化無線網絡的安全加密設置。

在傳統方式下，用戶新建一個無線網絡時，必須在接入點手動設置網絡名( SSID)和 安全密鑰，然后在客戶端驗證密鑰以阻止“不速之客”的闖入。Wi-Fi Protected Setup能幫 助用戶自動設置網絡名( SSID)、配置最高級別的WPA2安全密鑰，具備這一功能的無線 產品往往在機身上設計一個功能鍵，稱為WPS按鈕，用戶只需輕輕按下該按鈕或輸入PIN 碼，再經過兩三步簡單操作即可完成無線加密設置，同時在客戶端和路由器之間建立一個 安全的連接。

用戶可在產品包裝上尋找Wi-Fi PROTECTED SETUP的標識，以確保所購產品 具備WPS功能。具備WPS功能的無線產品都會在其機體外殼上注明WPS標識，如 圖11-1所示。

 

 

2 WPS的基本設置

由于元線路由器的品牌和型號不同，下述步驟將稍有偏差。

@運用配置程序選擇“連接到帶有WPS的無線網絡”。

@個別無線設備需要按住路由器上的WPS按鈕，或者用其他計算機登錄到路由器頁面，如圖11-2所示，在有關頁面選擇連接計算機。

@在無線網卡配置工具上選擇PBC連接形式，或者在無線網卡上按圖11-3中的WPS按鍵。

@等待數秒鐘，連接成功。

整個流程與TCP/IP的三次握手協議類似，看起來只有一呼一應兩個聯系，但是因為配 置了120秒超時的限定，所以實際上也是一個三次握手的流程。WPS完成的工作只是一個 輸入超長密鑰的流程，但因為操作的便利以及純人工管控，使得不太容易被運用攻擊。

 

圖11-2 圖11-3

 

對于市面上的絕大多數n系列無線路由器來說，都能非常便利地運用WPS功能，并且 建立連接的時間不超過20秒。對一個初級用戶來說，只要按兩次按鍵就可以建立超長位數 的WPA2加密，無疑是一項非常有吸引力的功能。不過需要特別注意的是，使用WPS的前 提是使用無線網卡自帶的管理配置程序，不能使用Windows自帶的無線管理配置服務。

掃描WPS狀態

1 掃描工具介紹

目前專門支持WPS掃描的工具并不多，不過由于WPS相關標準的公開，各大廠商在各 自的無線網卡產品配套工具中，都內置了WPS掃描及總動配置功能。這里介紹兩款工作在 Linux下使用python編寫的小工具，分別為wpscan.py和wpspy.py。其中，wpscan.py用于 掃描開啟WPS功能的無線網絡設備，wpspy.py則用來確認無線網絡設備當前WPS狀態。此 工具套裝可以到http://bogpack.blogbus.com上下載。

安裝很簡單，將wps_tools.tar.gz下載到本地，然后使用tar命令解壓縮，會看到圖11-4 歷示的內容。該壓縮包包含兩個文件，分別為wpscan.py和wpspy.py。

 

 

2掃描開啟WPS功能的無線設備

工具安裝完畢，即可開始具體的WPS掃描，具體步驟如下：

設置無線網卡為監聽模式。

和之前最基本的坡解過程一樣，在Linux下需要先行使用Aircrack-ng工具套裝中的 airmon-ng工具將無線網卡設置為監聽模式。注：若覺得安裝Aircrack-ng工具套裝很麻煩， 可以考慮直接使用BackTrack4 Linux。具體命令如下：

 

其中，start后跟具體的無線網卡名稱，此處為wlan0，載入后的監聽網卡ID為 mon0。

當前采用Ralink 2573芯片的無線網卡已被激活為Monitor監聽模式，之后的程序將調 用名為mon0的無線網卡，如圖11-5所示。

 

圖11-5

 

掃描開啟WPS功能的無線設備。

掃描開啟WPS功能的無線路由器，具體命令如下：

 

其中，-1后跟無線網卡名稱，這里是mon0。 按【Enterl鍵后稍等片刻，wpscan.py可以將周圍能夠搜索到的開啟WPS的無線路由 器全部列舉出來。如圖11-6所示，掃描出了一款開啟WPS的無線路由器，其SSID為 ZerOne Lab.其具體型號未能顯示，但其芯片組為Ralink。

 

圖11-6

 

沒有顯示出產品具體型號也是正常的，因為并不是所有的廠商都會在WPS中加入廠商 的詳細信息，這也是出于安全的考慮。不過一些大的廠商都會在WPS中加入一些信息，比 如在圖11-7中的Model Name處，就識別出Belkin的型號為F5D7230-4的無線路由器，甚 至可以顯示出具體的型號為v9。這也就導致了信息的暴露，所以針對WPS的掃描也是有效 探測無線設備的方法之一。

 

圖11-7

 

監測WPS狀態。

在獲知了存在開啟WPS功能的無線設備后，即可對其進行監控，代碼如下：

 

參數解釋：

●-i：后跟無線網卡，這里即為mon0。

●-e:后跟SSID，若需要對某指定AP進行監測，可以使用此項，但并不是必需的。

按IEnterl鍵后即可看到圖11-8所示的內容，監測到SSID為ZerOne Lab的無線路由 器。當前WPS功能狀態為已配置，即WPSState處顯示為Configured。而在WPSPasswordID 處顯示為PushButton，即要求客戶端按無線網卡上的PBC按鍵進行連接。

若WPS功能未被配置，則會幽現圖11-9所示的內容，在WPSState處顯示為Not Configured。

 

圖11-8 圖11-9

 

在WPS的狀態改變過程中，使用wpspy.py監測的顯示也在不斷變化，這將有助于攻擊 者掌握當前的WPS部署情況。如圖11-10所示，兩個不同的提示表示當前WPS正處于調試 配置過程中，當出現WPSPasswordID:PushButton時，將是最利于后續連接的時刻。

 

圖11-10

 

11.3 使用WPS坡解WPA-PSK密鑰

直接進入正題，開始講解如何利用WPS坡解WPA/WPA2密鑰，具體步驟如下：

圓先確認當前網絡中是否存在開啟WPS功能的無線設備。

具體參考本章前面的內容，這里不再重復。

圓打開無線網卡配置工具。

此時打開無線網卡自帶配置工具，掃描當前存在的無線網絡。如圖11-11所示，可以看 到，之前掃描發現的SSID名為ZerOne的無線網絡信號充足，當前無線網卡處于其信號范 圍內。

需要注意的是，若此時無法接收到之前掃描的目標AP信號，應采用為無線網卡加裝高 增益的天線、增大網卡功率、改變當前接收位置等多種方法來改善。此外，需要額外注意的 是，不要使用Windows系統自帶的無線網絡配置工具，否則將無法進行下一步無線網卡上 的WPS功能配置。

 

圖11-11

 

連接開啟WPS功能無線設備。

打開無線網卡配置工具中的WPS配置頁面。如圖11-12所示，單擊“重新掃描”按鈕 來確認當前開啟WPS功能的無線網絡，可以看到在“WPS AP列表”中出現了ZerOne的無 線網絡設備。

 

圖11-12

 

接下來，單擊下方的PBC按鈕，開始嘗試與該AP進行WPS自動連接。此時，在 PBC按鈕右側的狀態欄中會出現PBC-Scanning AP的提示，表示當前處于掃描WPS設 備中。

稍等10～20秒左右，會出現PBC-Get WPS profile successfully提示，即配置成功的提示。 此時，該無線網卡已經和SSID名為ZerOne的無線網絡設備的WPS匹配成功，并成功連接 至該無線網絡，如圖11-13所示。

 

圖11-13

 

此時若登錄無線路由器，在其上對應的WPS設置中將能看到出現“添加無線設備成功”， 如圖11-14所示。

查看無線連接加密配置內容。

在WPS頁面下可以看到具體的配置內容。如圖11-15所示，當前已連接網絡的名稱為 ZerOne，認證方法為WPA2-PSK，加密方法為TKIP，密鑰為一系列星號顯示。

 

圖11-14 圖11-15

 

坡解WPA-PSK或WPA2-PSK加密。

既然是星號顯示，那么使用星號查看器查看，即可顯示出星號背后真實的密鑰內容。如 圖11-16所示，打開星號密碼查看工具，把鼠標光標移至密鑰顯示星號的位置，即可在圖11-16 右上角密碼查看工具中看到密碼為longaslast。

也就是說，當前SSID名為ZerOne的無線路由器，啟用的WPA2-PSK密鑰為longaslast。 至此，該無線網絡的WPA2-PSK加密認證已被徹底攻破。

 

圖11-16

 

對于一些使用長字符串密碼的WPA-PSK或者WPA2-PSK加密，此方法依然有效。如 圖11-17所示，當前無線網絡采用WPA-PSK/WPA2-PSK混合加密方式，具體密鑰采用加密 關鍵字為無規律長字符串。

 

圖11-17

 

使用星號查看器查看，即可顯示出星號背后真實的密鑰內容。如圖11-18所示，當 前SSID名為IPTIME WPS 3424的無線路由器的啟用密鑰為35a08cddc7b07491abd8， 即雖然之前設置時輸入長達60多位的加密密鑰，但在實際使用時只有前20位起作用。 這個原因除了WPA-PSK本身要求密鑰在8~64位之間的定義外，還可能是因為產品不 同而導致的。

 

圖11-18

 

11.4 常見配合技巧

為方便讀者學習和使用，這里將常見的配合技巧和可能出現的一些問題列舉出來，以供 對比查閱。

11.4.1 常見技巧

一般來說，在無線黑客們的實際攻擊及測試中，總會遇到諸如無線路由器WPS功能沒 有開啟、WPS開啟時間有限制或者當前管理員在線但沒有訪問無線路由器進行配置等情況， 所以無線黑客也會使用一些技巧來回避或者繞過這些問題。

1.發送跨站請求

由于大多數無線路由器上的WPS功能默認是沒有開啟的，而這些無線設備需要使用者 手動進入無線路由器的WPS配置頁面，按啟動鍵才能開啟WPS功能。在這種情況下，無線 黑客會考慮結合其他方式進行配合攻擊，比如針對無線設備的CSRF攻擊。

CSRF的英文全稱是Cross Site Request Forgery，字面上的意思是跨站點偽造請求。以韓 國IPTime品牌無線路由器為例，將攻擊路徑偽造后發送至具備管理員權限的用戶，將會導 致需要手動啟動的WPS功能在后臺悄悄啟動，此時攻擊者即可使用本節講述的方法與WPS 關聯。

 

關于針對無線設備的CSRF攻擊具體細節由于涉及較多的Web方面的知識，這里就不 再深入講解。 2.構造特殊腳本 和上面提到的CSRF攻擊方式不同的是，構造特殊開機腳本這一方法主要是針對如下情 況：無線黑客已經入侵到無線網絡中，并通過該無線網絡侵入到其他在線的主機系統，獲取 到管理員權限。在這一情況下，黑客為了保存自己的“戰果”，會考慮植入一些木馬等后門 工具。但需要注崽的是，這些木馬可能會被查殺、當前已連接的無線網絡加密方式及密鑰也 可能被修改等情況。

而構造特殊腳本正是應對上面提及情況的方法之一。最簡單的腳本可以使用批處理實 現，如下所示的代碼為可以在運行后直接訪問WPS配置頁面并開啟WPS功能，但不會有任 何窗口及提示出現。由于是合法訪問，所以360、卡巴斯基之類的殺毒軟件都不會報警。

 

 

在上述代碼的基礎上，也可以通過再加入for循環語句和無線路由器登錄賬戶及密碼， 就可以使得這個批處理每隔3分鐘訪問一次無線路由器的WPS配置頁面并開啟WPS功能， 換句話說，也就是隨時開放WPS以便下一次連入。將做好的bat批處理文件放置到網關服 務器的組策略中，就是“計算機配置”中的“啟動腳本”中，保存并退出，放置在這個位置 的批處理文件將會在每次服務器開機后出現操作系統登錄界面時直接運行，也就是說，只要 主機再一次重啟后這個腳本就會一直在后臺運行。

11.4.2常見問題

由于WPS攻擊屬于比較高級的攻擊方式，需要一些技巧的配合。所以在進行WPS攻 防測試的時候，肯定會遇到一些問題，下面將常見的問題歸納如下，以供讀者參考。

1.無線網卡配置工具中沒有WPS選項?

答：請使用具備WPS功能的元線網卡。目前支持802.lln的無線網卡基本都具備 此項功能，具體請在購買前仔細查看外包裝說明上是否出現WPS的描述。再次強調 一下，當在外包裝上產品簡述中出現所謂“一鍵加密”功能的描述時，即為具備WPS 功能。

2.使用wpspy.py或wpscan.py時出現Killed提示并中斷的問題

答：如圖11-19所示，在監控時可能遇到下述錯誤提示，并在末尾出現Killed后自動 退出。

 

圖11-19

 

這是由于驅動不穩定，或者程序本身bug導致，此類中斷情況不影響監控效果，重新輸 入命令開啟即可。