標籤:
0x00 前言目前WIFI WPA破解主要 以“aircrack-ng”為代表,運行於Linux系統( 如Kali Linux ),Windows系統比較少見,主要是Windows系統下WIFI網卡收發原始包比較困難,且缺少有主流WIFI網卡開原始碼可參考。因 此WPA破解通常流程是先在Linux機器(或Linux虛擬機器)在抓取WPA 四次握手包,然後再通過以“Elcomsoft Wireless Security Auditor”為代表的密碼字典爆破軟體在Windows下進行破解。
0x01 WIFI協議基礎由具體硬體處理,實際只需要考慮MAC(Media Access Control)和LLC(邏輯鏈路控制),具體資料幀如下:
MPDU是MAC層的協議頭,其中常用的是FrameControl欄位和Addr1、Addr2、Addr3等。
WIFI協議的MPDU頭長度不是固定的,是可變的。
Type/SubType:共同指明了接下來的資料幀的格式,其中Type 2bits,指明了框架類型,SubType 4bits,進一步指定了資料的具體格式。
| Type | 00/管理幀 | 01/控制幀 | 10/資料幀 | 11/保留 |
WPA破解時用到的主要有WIFI管理幀和資料幀,其中管理幀對應的SubType情況見下表:
STA在登入AP前,首先需要通過一系列的管理幀,建立同AP的資料聯絡,然後才能實施登入並啟用加密數傳,同時WIFI管理幀是不加密的,具體流程如下:
| 序號 | SubType | 說明 |
|---|---|---|
| 1 | 8 | Beacon,STA接受AP信標幀,感知到AP,擷取SSID及AP參數 |
| 2 | 4 | STA主動發送Probe探測請求 |
| 3 | 5 | AP應答STA Prob Response |
| 4 | 11 | STA發送Authentication請求認證 |
| 5 | 11 | AP應答Authentication請求,指示STA認證成功或失敗 |
| 6 | STA發送Association請求 | |
| 7 | 1 | AP應答Association Response |
一旦STA完成上述流程後,STA和AP之間即可進行資料幀傳輸,以便接下來的WPA使用者認證。
0x02 WPA密碼破解原理WPA-PSK(WPA個人版)在STA和AP建立數傳後,使用了EAPOL(Extensible Authentication Protocol OVER LAN)協議處理使用者的登入認證,具體由四次握手組成,如。
AP首先向STA發送一個32位元組的ANonce隨機數(實際上一般是累加計數器),STA收到該隨機數後,自己也產生一個32位元組的SNonce 隨機數,同時根據這兩個隨機數以及登入密碼計算出一個PTK(Pairwise Transient Key),具體計算過程如下:
1、PMK = PBKDF2(HMAC−SHA1, pwd, ssid, 4096, 256)
首先使用PBKDF2(Password-Based Key Derivation Function 2)演算法產生一個32位元組的PMK key,該演算法需要執行4096*2輪,WPA破解時運算量主要集中在該key的計算,同時由於使用了SSID(0-32字元)進行salt,導致很難使 用彩虹表進行預計算。
2、PTK = PRF-512(PMK, “Pairwise key expansion”, Min(AP_Mac, Sta_Mac) ||Max(AP_Mac, Sta_Mac) || Min(ANonce, SNonce) || Max(ANonce, SNonce))
PTK使用PRF-512(pseudo random functions 512bits)演算法產生,通過PMK、固定字串、AP_Mac、Sta_Mac、ANonce、SNonce六個輸入參數得到一個64位元組PTK。
PTK由5部分組成,如下:
WPA1 TKIP的PTK長度512bits,WPA2 CCMP的PTK長度為384bits,其中KCK用來計算WPA EAPOL KEY訊息的MIC;AP使用KEK加密WPA EAPOL KEY訊息的額外Key Data資料;TEK用於單播資料加密。
WPA破解最關鍵的部分就是通過KCK計算MIC,其演算法如下:
WAP MIC = HMAC(EVP_sha1(), KCK, 16, eapol_data,eapol_size) WAP2 MIC = HMAC(EVP_md5(), KCK, 16, eapol_data,eapol_size)
總結一下WPA具體破解流程如下:
| 序號 | 說明 |
|---|---|
| 1 | 抓取4-way握手包,實際上只需要前兩次即可 |
| 2 | 通過密碼字典計算PMK |
| 3 | 通過PMK、ANONCE、SNONCE、MAC1、MAC2計算PTK |
| 4 | 通過PTK得到KCK,計算第2次EAPOL報文對應的MIC |
| 5 | 同第2次EAPOL報文中MIC比較,匹配則密碼正確 |
目前Windows下比較成熟的WIFI資料包收發軟體是CommView for WiFi,該軟體是一款商業軟體,相容的網卡較多,功能也比較強大。該軟體的BMD目錄下有一個比較通用的WiFi Capture Driver,結合互連網搜集整理的資料發現,Windows NDIS6架構下能夠實現WIFI資料包收發功能,決定使用NDIS6 Filter Driver進行WIFI資料包收發。
調試開發環境使用VirtualBox + VirtualKD + Windbg + RTL8187 USB WIFI網卡,目標系統Window7 x86,注意VirtualBox需要安裝VirtualBox擴充包,否則無法將主機USB網卡切換到虛擬機器中調試。 Windows WDK 7600編譯環境,WDK中的filter、usbnwifi樣本源碼極具參考價值,filter是NDIS 6 NDIS Filter範例程式碼,usbnwifi是usb wifi網卡驅動的一個參考代碼,在沒有實際USB網卡驅動源碼的情況下,可以大致瞭解底層網卡的一些實現細節。
WIFI資料嗅探NDIS6架構下底層網卡最終通過調用NdisMIndicateReceiveNetBufferLists指示上層NDIS驅動接受資料包,查看該函數調用情況如下:
主要有三個地方調用了該函數,分別是MpHandleRawReceiveInterrupt、MpHandleDefaultReceiveInterrupt、MpHandleSafeModeReceiveInterrupt,重點看前兩個函數,在MpAdjustReceiveHandler函數中有如下初始化代碼:
很明顯,這兩個函數對應了不同網卡模式下WIFI網卡的資料接受函數,在WIFI破解時需要將網卡設定成monitoring mode。
MpAdjustReceiveHandler在MpSetCurrentOperationMode時被調用,在MpSetInformation函數中:
OID_DOT11_CURRENT_OPERATION_MODE是NDIS 標準WIFI OID請求,用來設定WIFI網卡的工作模式,定義的模式有:
總結一下WIFI破解時,資料接受的處理流程就是:首先設定網卡為監控模式(混雜模式),然後在網卡驅動之上的Filter驅動裡,處理未經處理資料包接受,通常可以先接受到暫存佇列裡,再在應用程式層使用IoControl讀取該隊列,實現WIFI資料包嗅探。
WIFI資料發送NDIS小連接埠驅動通過NdisMRegisterMiniportDriver註冊驅動程式,註冊的同時需指明Ndis資料發送函數。
該函數中會首先檢查網卡的狀態,如果狀態不合適就不會繼續發送資料包,具體檢查代碼如下:
MP_ADAPTER_CANNOT_SEND_PACKETS宏定義如下:
MP_ADAPTER_CANNOT_SEND_MASK掩碼定義如下:
注意其中高亮的部分,很明顯,微軟的NDIS USB WIFI驅動範例程式碼預設是不允許在監控模式下發包的,鑒於WDK範例程式碼的權威性,有理由相信,採用該WDK模版代碼修改的USB WIF驅動都不能在監控模式下發包,這也是Windows WIFI破解需要面臨的一個大問題。
既然官方驅動不能在監控模式下發包,那麼就只能自己動手了,直接給官方驅動打個簡單的Patch,找到關鍵的檢測位置,然後手動patch一下好了。當然實際廠商的驅動可能會有所不同,需要多調試和測試好。
總結下WIFI破解時,資料發送的處理流程如下:首先找一款支援監控模式下能發包的網卡和驅動(CommView for WIFI內建的驅動應該都可以),或者手動Patch好官方驅動,然後在應用程式層IoControl寫Raw WIFI資料到Filter驅動,Filter構造NET_BUFFER_LIST,最後使用NdisFSendNetBufferLists將資料發送 給底層WIFI網卡驅動。
0x04 WPA破解流程WPA破解主要分為如下幾個具體步驟,一是開啟網卡嗅探模式,對周圍WIFI資料包進行捕獲,二是分析周圍AP和STA的分布情況,為Deauth攻擊做好準備,三是實施Deauth攻擊,四是捕獲EAPOL握手資料包。
開啟網卡嗅探NDIS6通過OID_DOT11_CURRENT_OPERATION_MODE設定網卡的工作模式,因此直接通過驅動發送OID設定網卡模式即可,該OID對應的參數資料結構為DOT11_CURRENT_OPERATION_MODE,具體如下:
通過核心直接發送OID會出現一些問題,主要是Windows WIFI應用程式層不能即時擷取通知,導致Windows應用程式層在嗅探模式設定功能後,嘗試串連網路,出現模式幹擾,但CommView就不會出現該情況。
分析CommView驅動後發現,CommView並沒有在驅動裡面進行具體模式的設定,而是在應用程式層ca2k.dll調用了Wlan API設定監控模式。
WlanSetInterface的OpCode碼為12,對應:
wlan_intf_opcode_current_operation_mode(12),具體代碼如下:
WPA破解時需要用到AP的SSID以及MAC地址,AP探測主要通過信標幀以及探測應答幀來實現,具體如下:
WIFI信標框架格式如下
| DOT11_MGMT_HEADER | DOT11_BEACON_FRAME | DOT11_INFO_ELEMENT | INFO... |
其中DOT11_MGMT_HEADER、DOT11_BEACON_FRAME是固定的,AP的MAC地址可以從DOT11_MGMT_HEADER中擷取,固定頭後跟了一個DOT11_INFO_ELEMENT的列表,定義如下:
需要依次遍曆其中ElementID,擷取AP的一系列屬性,一些常用的ID定義如下:
分別對應AP的SSID、目前通道、WPA2參數等。
STA的探測主要通過資料幀來實現,WPA破解目前只用到了STA的MAC地址,根據每個資料幀的FromDS、ToDS情況,解析資料包MAC地址,即可實現抓取線上通訊的STA地址,具體如下:
Deauth攻擊根據WIFI協議規定,用戶端在接受到Deauth管理幀後,應該主動斷開同AP的串連,一旦斷開後,STA會自動嘗試重連,這時就方便抓取EAPOL四次握手包了,因此成功實施Deauth攻擊可以極大提高WPA破解的效率。
Aircrack裡面的Deauth攻擊模版如下:
其中\xC0\x00指明了該幀是Deauth管理幀,最後的\x02\00指定了本次Deauth的Code碼,Aircrack裡是\x06\x00,區別起見,修改了下。
發送Deauth攻擊時,將DA替換成目標STA的MAC地址(或廣播),SA、BSSID填上AP的MAC即可。
EAPOL捕獲EAPOL幀的識別比較簡單,因為802.1x資料幀前,LLC(邏輯鏈路控制)頭會有一個標識0x888e,直接記憶體搜尋即可定位EAPOL幀,稍微麻煩一點的是要確定當前EAPOL包在四次握手中次序,因為在實際網路嗅探時,有很大可能出現漏抓的情況。
EAPOL資料包格式如下:
其中ProType=3表示是Key,Key描述資料結構如下:
其中KEY_INFO資料定義了一系列的標誌位,EAPOL四次握手時,各個階段的標誌位會不盡相同,通過分析這些標誌位情況,可以擷取其在四次握手時的次序。一旦監控到一次的完整四次握手,即可認為當前AP握手包抓取成功。
WIFI WPA1/2 Crack for Windows
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
