截獲及坡解無線加密數(shù)據(jù)

前面講了通過偽造AP進(jìn)行欺騙攻擊來截獲數(shù)據(jù)報文，由于無線信號是以AP為中心來 傳播的，那么在已經(jīng)坡解出目標(biāo)AP的WEP/WPA加密密碼后，無線黑客甚至無須連接至該 無線接入點，就可以對采用WEP/WPA加密的無線傳播數(shù)據(jù)進(jìn)行攔截和解密了，比如使用 Wireshark、OmniPeek、Ethereal、科來網(wǎng)絡(luò)分析等工具都可以實現(xiàn)。在數(shù)據(jù)內(nèi)容上，通過對 截獲的無線數(shù)據(jù)報文分析主要可以獲取如下內(nèi)容：

●MSN、QQ、Skype、Yahoo Messanger等賬戶信息及個別聊天內(nèi)容。

●郵件賬戶及密碼。

●論壇賬戶及密碼。

●FTP、Telnet等賬戶及密碼。

下面就來看看這些都是如何做到的。

截獲無線加密數(shù)據(jù)

在前面講到坡解WEP和WPA-PSK加密的時候，提到了Airodump-ng這個用于抓取無 線加密數(shù)據(jù)報文的工具，其實這個工具也同樣可以專門用于收集無線數(shù)據(jù)包。那么，在坡解 出WEP加密密碼后，打開Airodump ng來進(jìn)行收集，具體命令如下：

其中參數(shù)解釋請大家參考第4章WEP坡解部分的介紹，效果如圖7-1所示。

在經(jīng)過較長時間的數(shù)據(jù)包收集之后， 時，保存的數(shù)據(jù)包文件應(yīng)為yang-Ol.cap。 可以通過按【Ctrl+CI組合鍵來終止抓包工具，此 接下來，就需要對截獲的無線數(shù)據(jù)包解密了。

對截獲的無線加密數(shù)據(jù)包解密

在Windows下，一直以來可用于無線掃描及坡解的工具除了Commview之外，還有大 名鼎鼎的Cain&Abel。

下面先來了解下Cain&Abel這款工具的名字來源，其實這也是我偶然看到《圣經(jīng)》才知道 的，Cain在《圣經(jīng)》中指亞當(dāng)和夏娃的大兒子該隱，Abel在《圣經(jīng)》中指亞當(dāng)和夏娃的小兒子 亞伯。雖為兄弟兩人，但最后結(jié)果卻是兄弟相殘后，一人死一人被貶至凡間受難。Cain&Abel 的作者也是想以此告訴使用者，技術(shù)及工具是雙刃劍，用途和造成的后果完全取決于使用者本身。

官方網(wǎng)站：

Cain的安裝很簡單，下載后直接雙擊安裝即可。安裝完畢后桌面會出現(xiàn)一個Cain的圖 標(biāo)，打開后的工具主界面如圖7-2所示。

圖7-2

導(dǎo)入加密數(shù)據(jù)報文

④打開Cain后，選擇Cracker(坡解)選項，選擇左邊分類項中下方的802.llCaptures(802.11捕獲)，然后在右邊空白處右擊，在彈出的快捷菜單中選擇Add to list(加入列表)命令，來導(dǎo)入獲取的無線WEP或者WPA-PSK加密數(shù)據(jù)包，比如事先使用Airodump-ng收集的無線加密數(shù)據(jù)包，如圖7-3所示。

如圖7—4所示，這里導(dǎo)入的數(shù)據(jù)包就是前面收集的名為yang-01.cap的文件。

圖7-4

@在導(dǎo)入成功之后，就會顯示圖7—5所示的數(shù)據(jù)包大小及類型。

圖7-5

對無線加密數(shù)據(jù)包進(jìn)行解密。

◇接著，在該數(shù)據(jù)包上右擊，在彈出的快捷菜單中選擇Decode

(解密)命令，也可說是***，如圖7-6所示。

@會看到圖7-7所示的解密處理界面，為方便新人能夠更方

便

地學(xué)習(xí)，下面分別解釋這些參數(shù)選項。

●Input Filename:不需要再輸入，此處顯示的為之前導(dǎo)入的無 線加密數(shù)據(jù)包，這里就是yang-Ol.cap。

●Output Filename:也不需要再輸入，此處顯示的是解密后 的數(shù)據(jù)包名稱及保存位置，默認(rèn)是在同一目錄下，只是名 稱后加上-dec，其中dec就是decrypt解密的簡寫，這里對 圖7-6 應(yīng)的就是yang-Ol-dec.cap。

●WPA Key:輸入事先坡解出的WPA-PSK密碼，這里就以WPA-PSK加密數(shù) 據(jù)包為例，若是WEP加密的，就選擇下方的WEP，輸入坡解出的WEP密碼 即可。

圖7-7

@只要輸入的密碼是正確的，那么Cain會立即將導(dǎo)入的無線加密數(shù)據(jù)包解密，并保

存為另一個文件。如圖7-9所示，這里就是yang-Ol-dec.cap。在解密過程中，當(dāng)前

界面的右下角會有進(jìn)度顯示。

圖7-8 圖7-9

查看解密完成后的無線加密文件。

@直接對比一下，先使用Wireshark打開已加密的yang-Ol.cap文件，如圖7-10所示，可以看到在Protocol(協(xié)議)一列顯示為“IEEE 802.11”，即只能顯示出無線網(wǎng)絡(luò)數(shù)據(jù)，但是由于加密的原因，無法看到具體交互的協(xié)議類型，比如DNS、HTTP或者其他類型。

囹7-10

@接下來，使用Wireshark打開解密完成的yang-Ol-dec.cap文件，如圖7-11所示，就可以看到之前被加密的無線數(shù)據(jù)報文已經(jīng)全部被完整地還原成未加密狀態(tài)。此時，可以輕松地看到TCP、DNS、HTTP等不同類型的數(shù)據(jù)報文了。

圖7-11

接下來就可以開始分析捕獲的無線數(shù)據(jù)報文了。

分析MSN/QQ/淘寶旺旺聊天數(shù)據(jù)

對于MSN而言，直接在Wireshark的Filter文本框中輸入msnms迸行協(xié)議過濾后， 即可看到圖7-12所示的MSN交互內(nèi)容。其中，可以很明顯地看到每一個聊天的賬戶 ID，如圖7-12所示，賬戶名為longaslast@hotmail.com的用戶正在和其他幾個MSN好友 聊天。

在圖7-13中，可以清楚地看到如下所示的編碼，此為UTF-8的MSN編碼，即是聊天 的內(nèi)容。

在將其對應(yīng)的十六進(jìn)制編碼轉(zhuǎn)貼到轉(zhuǎn)換器中的UTF-8文本框中，就可以看到圖7-14所 示的內(nèi)容，已經(jīng)成功地轉(zhuǎn)換成中文了，即Text 文本框中的內(nèi)容。換句話說，使用無線網(wǎng)絡(luò)進(jìn)行 MSN通話的聊天內(nèi)容就被截獲了，并且輕易地 還原了!

對于QQ而言，直接在Wireshark的上部名 為Filter即過濾的空白處，輸入oicq進(jìn)行協(xié)議過 濾后，即可看到圖7-15所示的QQ交互內(nèi)容。 其中，可以很明顯地看到每一個聊天的QQ號碼，如圖7-15中黑榧所示，QQ號碼為2894XXXX1的用戶正在和其他幾個QQ好友聊天。

對于阿里旺旺而言，直接在Wireshark的上部Edit(編輯)菜單中選擇Find Packet 命令即查找數(shù)據(jù)包，接著在打開的窗口中選擇String單選按鈕即字符串，然后在其下的 =i m。『：文本框中輸入關(guān)鍵字wangwang，此時該文本框會變成綠色。然后單擊右下角的Find按鈕 開始查找，即可看到圖7-16所示的阿里旺旺登錄交互內(nèi)容。其中，如圖7-16中黑框所示， 由于阿里旺旺與淘寶賬戶關(guān)聯(lián)，所以我們能看到賬戶名為xiaolaXXXX15的用戶正在登錄 淘寶網(wǎng)站中。

同樣的道理，還可以對使用Yahoo messager、Skype等聊天工具對交互的數(shù)據(jù)報文進(jìn)行 還原，這里就不再舉例了。

分析E-mail/論壇賬戶名及密碼

除了上面所說的聊天工具外，在對指定的無線AP進(jìn)行長時間無線監(jiān)聽及抓包后，是可 以截獲到無線客戶端在進(jìn)行論壇登錄時所使用的賬戶及密碼的。由于獲取的無線數(shù)據(jù)包可能 比較大，比如大小約為50MB左右，那么為方便查找，可以通過關(guān)鍵字過濾來實現(xiàn)。對于已 經(jīng)解開了WEP加密的無線數(shù)據(jù)報文，具體步驟如下：

④使用Wireshark打開解密后的無線數(shù)據(jù)包，在Edit(編輯)菜單中選擇Find Packet(查找數(shù)據(jù)包)命令，如圖7-17所示。

②當(dāng)看到圖7-18所示的界面后，選擇String(字符串)單選按鈕，然后在其下的文本框中輸入關(guān)鍵字pass，此時該文本框會變成綠色。然后單擊右下角的Find接鈕，或者按【Enterl鍵。

圖7-17 圖7—18

對于論壇登錄賬戶的截獲來說，通過這樣的方式就可以找到包含論壇賬戶名稱及密 碼的數(shù)據(jù)包。圖7-19所示為截獲的某論壇登錄賬戶及密碼，username-后為論壇登錄賬戶，password=后為登錄密碼。這是由于絕大多數(shù)論壇都沒有加密措施，而是使用明文登錄的。

分析Web交互數(shù)據(jù)

除了查看到聊天、論壇、郵箱的敏感數(shù)據(jù)之外，還可以查看對方當(dāng)前正在訪問的網(wǎng)址。 這里使用Wireshark打開截獲的無線數(shù)據(jù)包，如圖7-21所示。

在Protocol欄中可以看到DNS查詢報 文，該報文表示當(dāng)前用戶正試圖訪問某個 站點，可以清楚地看到已連接到該無線接 入點的客戶端當(dāng)前正在查看的網(wǎng)站是http://bigpack.blogbus.com，這是我的博客。

攻擊者也可以使用Windows下的另一款 功能強(qiáng)大的工具OmniPeek打開截獲的無線 數(shù)據(jù)包，然后從已截獲的數(shù)據(jù)包中直接列出 對方已經(jīng)瀏覽的站點及頁面，如圖7-22所示。 由于OmniPeek比較復(fù)雜，感興趣的朋友可以 再研究一下。

分析Telnet交互數(shù)據(jù)

如圖7-21所示，對于捕獲到的FTP、Telnet等交互數(shù)據(jù)，我們還可以進(jìn)行細(xì)節(jié)化的分析。

比如在補(bǔ)獲的數(shù)據(jù)包上可以分析整體數(shù)據(jù)流，如圖7-22所示，右擊任意一個Telnet類 型數(shù)據(jù)包，在彈出的快捷菜單中選擇Follow TCP Stream命令跟蹤數(shù)據(jù)流即可。

圖7-22

在接下來打開的窗口中，我們就能看到詳細(xì)的數(shù)據(jù)交互分析。如圖7-23中黑框所示， 分別有登錄賬戶及密碼、登錄成功后輸入的每一個命令以及Telnet服務(wù)器的回復(fù)信息。這一 切就是因為Telnet協(xié)議沒有加密的緣故。

除了上面提及的，Wireshark還可以做很多。不過這些基于數(shù)據(jù)包分析的工作還是留給 讀者去深入試驗。