初探無線安全審計裝置WiFi Pineapple Nano系列之PineAP

標籤：normal   cto   時間   修改   val   一個   安全審計   重新整理   www   

前言：   

之前曾經介紹過國外無線安全審計裝置The WiFi Pineapple Nano的SSLsplit模組和ettercap模組及實驗。

在玩WiFi Pineapple Nano 裝置的過程中，鑒於個人手頭只有幾塊網卡，測試下來發現Nano能夠支援的網卡晶片有：RTL8187L 、RT3070、AR9271、RT5370…，諸位朋友在自己測試的過程中如果發現網卡識別不到的情況，請參考採用剛才提到的幾塊晶片的網卡。

今天給大家介紹下Pineapple Nano的一個主要功能模組PineAP和其他幾個涉及配合PineAP工作的幾個模組的使用方法。

0×01 Recon模組

目前來說，針對無線掃描類的工具可分為兩大類型：被動式（passive）和主動式（active）。

被動式掃描的原理是按照不同的channel上，監聽（monitor）通道中所有無線訊號的通訊資料包，通過分析資料包內容來擷取AP和用戶端的資訊。

主動式掃描是採取周期性的向周圍發射探測類的請求資料包（Probe Request），帶有無線網卡的筆記本開機後網卡自動接入作業系統已知AP熱點的過程便是主動式掃描的一個執行個體。由於二者實現的原理不同，簡單來說被動式掃描的效果比主動式掃描會好很多。

下面我們來看一下WiFi Pineapple Nano中Recon模組的具體功能。

首先，Recon模組採用被動式掃描方式，掃描過程會自動將網卡設定為監聽模式，監聽周圍不同通道上的（用戶端）發出的各種資料包。

Recon能夠掃描出SSID、MAC地址、加密方式、是否啟用了WPS功能、通道及訊號強度等資訊，Recon甚至還能掃描出當前未串連任何AP的用戶端。

在執行掃描操作時，只需要按照預設的掃描時間（如15s、30s、60s…）等，點擊“Scan”即可一鍵式啟動。如果勾選“Continuous”的話，掃描將會持續進行，即不停地向周圍進行探測並將結果顯示出來。

在大家使用Recon模組過程中，最可能會遇到的問題是出現此種情況：在點擊“Scan”後，出現“There was an error starting Recon…”

出現此問題時建議大家先檢查下Networking設定下面的WiFi Client Mode，其中的Interface名稱是否是“wlan1”。

因為在該模組的代碼層面，採用的預設介面的變數名稱就是“wlan1”，如果Interface的名稱不是預設“wlan1”的話，便會出現的錯誤。

解決辦法有兩種：

第一種，只插一塊外置網卡預設名自動為wlan1；

第二種是修改Recon模組的變數名為當前顯示的Interface名稱（例如改為wlan2、wlan3…）。

總的來說，Recon模組的準系統就是如此，簡單而強大。

0×02 Logging模組

是PineAP模組在Logging中對日誌進行Filter，例如可以進行去重、重新整理、刪除、下載等操作，還支援根據SSID或MAC地址功能進行過濾。

為Nano system系統日誌

總的來說，WiFi Pineapple Nano的Logging模組比較簡單，主要是用來過濾查詢PineAP模組的日誌。

0×03 Landing Page

本質上來說Landing Page功能並不屬於一個獨立的模組，僅僅放置在了Pineapple Nano中Configuration的設定下。

Landing Page啟用後可以將所有串連到Pineapple Nano上的用戶端，強制定位到的一個門戶web頁面，這個web可以有我們自訂，支援html、js、php語言等，後面我們會看到一個關於Landing Page功能的簡單一實例用法。

0×04 PineAP模組

接下來介紹我們本文的主要角色：PineAP，提到PineAP可能有部分同學沒有聽過它的名字，但熟悉無線安全性測試領域的同學肯定聽過Karma，基本上PineAP等同於Karma（同樣只能對於曾串連過OPEN模式的用戶端起作用）。

簡單說，PineAP是通過偽造的Probe Response響應包來響應周圍的用戶端（可能是筆記本、手機、pad等等），讓用戶端以為周圍存在著曾經成功串連過的無線AP，而用來欺騙用戶端進行串連我們的Pineapple Nano裝置。

（Probe Response對應我們上文提到過的掃描請求資料包Probe Request，對於PineAP或Karma的功能還有疑問的同學，可參考freebuf上的其他幾篇相關文章）

下面我們對PineAP在web介面中的幾個選項做一個解讀。首先，開啟PineAP功能需要點擊圖中“Switch”按鈕，使其“Enable”，然後勾選上面三個選項“Allow Associations”、“Log Probes”、“Log Associations”，再勾選下面“Beacon Response”選項，再將Beacon Response Interval的模式選擇為“Normal或Aggressive”，最後Save一下即可。

Allow Associations：啟用後允許（接受）所有周圍用戶端的探測或串連請求，通常是配合Filters模組進行過濾時候來用，一般情況下我們都是Allow。

Log Probes、Log Associations：一個是記錄周圍用戶端對Pineapple Nano的請求日誌，另一個是用戶端與Pineapple Nano的串連日誌，這些日誌資訊記錄在Logging模組中，方便我們進行查詢。

Beacon Response：啟用後即類比真實的無線AP來響應那些周圍的對Pineapple Nano發出Probe Request請求的用戶端（採用一對一，而非廣播模式）。

Beacon Response Interval：是用來選擇Beacon Response響應包的發送速率，一般是Normal或Aggressive，需要注意的是Aggressive模式將消耗更多的cpu資源。

如所示，在點擊Save後，就啟用了PineAP的功能，過一會我們就可以在Logging中查看周圍有哪些用戶端以及它們曾經都串連過那些AP了。

繼續等待一段時間後，便可以看到有兩個用戶端被我們成功欺騙，串連了上來。

（這裡能否成功串連到我們Pineapple Nano裝置與周圍用戶端的具體裝置情況和真假AP的訊號強度有關，本文在實驗過程中也是試了很久）

當這個時候，我們如果啟用上文提到過的Landing Page功能惡搞這些用戶端一下呢？這些用戶端在訪問任意網頁時候就會看到這樣：

甚至在Dashboard面板上，我們可以看到有多少用戶端的瀏覽器訪問過我們設計的Landing Page頁面。

如果我們在做的深入一點：

類似做成這樣：

更多具有創造性的頁面設計，留給所有感興趣的同學自己去親自嘗試吧。

初探無線安全審計裝置WiFi Pineapple Nano系列之PineAP