Blog :bigpack.blogbus
Email :longaslast@126
WPS ,破解无线WPA/WPA2密钥的捷径
图/文:杨哲/Longas  【ZerOne Security Team 】
(注:本文已发表在《黑客防线》杂志2010年第3期上,引用时请注明出处,谢谢)前言:其实很多时候破解无线WPA/WPA2加密并没有所想的那么复杂,有这样一些技巧可以帮助无线黑客们绕过WPA/WPA2的加密体系,本文讲述的就是其中一个比较取巧的方法即通过WPS 破解。
需要特别强调一下:本文内容适合目前市面上99%的支持802.11N 系列无线路由器以及70%的802.11G 无线路由器,也许有的设备仍需要一些攻击手段的配合,但是有具备WPS 功能的无线路由器的朋友们,还是要多加注意。
1.关于WPS
2009年个人工作总结
1.1WPS 和所谓“一键加密”
考虑到普通用户对无线安全设置的困惑,Wi-Fi 联盟推出
冬天空调制热一般开到多少度合适
了名为Wi-Fi Protected Setup
(Wi-Fi 保护设置,简称WPS )的认证程序。
Wi-Fi 联盟宣称,WPS 可以将设置安全网络的步骤减少一半。目前,新一代11n 无线路由器及网卡均支持WPS
功能,这对用户来说绝对是个好消息,当然,对黑客们来说也是。            图1韩国可爱颂中文歌词
我要注册公司流程具体来说,WPS (Wi-Fi Protected Setup ,Wi-Fi 保护设置)是由Wi-Fi 联盟(/)组织实施的认证项目,主要致力于简化无线网络的安全加密设置。在传统方式下,用户新建一个无线网络时,必须在接入点手动设置网络名(SSID )
和安全密钥,然后在客户端验证密钥以阻止“
不速之客”的闯入。Wi-Fi Protected Setup 能帮助用户自动设置网络名(SSID )、配置最高级别的W
PA2安全密钥,具备这一功能的无线产品往往在机身上设计有一个功能键,称为WPS 按钮,用户只需轻轻按下该按钮或输入PIN 码,再经过两三步简单操作即可完成无线加密设置,同时在客户端和路由器之间建立起一个安全的连接。
值得注意的是,利用WPS 简化网络安全配置要求接入点和客户端设备均须通过WPS 认证,用户可在产品包装上寻Wi-Fi Protected Setup 的标志(如上图1所示),以确保所购产品具备WPS 功能。不过要强调的是,在市场上并不是所有具备WPS 功能的无线产品都会在包装贴上如上图1所示的标志。所以请特别注意如下图2所示的描述,当在外包装上产品简述中出现所谓“一键加密”功能描述的,即为具备WPS
功能。
Blog :bigpack.blogbus关昕照片
Email :longaslast@126
图2
1.2WPS 的基本设置
关于WPS 的基本设置很简单,不过由于无线路由器的品牌和型号不同,配置时将稍有偏差。以下配置步骤仅供大家参考,同时也可看出WPS 的便捷性以及厂商为何如此推崇WPS 功能。
步骤1:在无线客户端上运行无线网卡配置工具,选择“连接到带有WPS 的无线网络”;步骤2:有些无线路由器是自动开启WPS 功能的,比如TPLINK ,但还有些无线设备需要
使用计算机登陆到路由器页面(如下图3所示)
,在有关页面选择连接无线设备,或者按住路由器上的WPS 按钮(如下图4所示)
。图3
步骤3:在无线网卡配置工具上选择PBC 连接形式,或者在无线网卡上点选下图5中的WPS 按键。
Blog :bigpack.blogbus
Email :longaslast@126
图4                                    图5
步骤4:等待数秒钟,连接成功。
整个流程与TCP/IP 的三次握手协议类似,看起来只有一呼一应两个联系,但是因为配
置了120秒超时的限定,
所以实际上也是一个三次握手的流程。WPS 完成的工作只是一个输入超长密钥的流程,但因为操作的便利以及人工介入管控,使得其过程不太容易被运用攻击。不过话说回来,也只是“不太容易被攻击”而已。
对于市面上的绝大多数802.11N 系列无线路由器来说,都能非常便利的运用 WPS 功能,并且建立连接的时间不超过20秒。对一个初级用户来说,甚至最多仅仅只要按两次按键就可以建立超长位数的WPA2加密,无疑是一项非常有吸引力的功能。不过需要特别注意的是,使用 WPS 的前提是使用无线网卡自带的管理配置程序,不能使用 Windows 自带的无线管理配置服务。
2.扫描开启WPS 的无线设备
对于无线黑客而言,关键在与如何检测有哪些无线设备开启WPS ,以及有哪些无线设备的WPS 正处于搜寻状态等等,这些都是关系到利用WPS 进行攻击的可能性。2、1扫描工具介绍
怀念亲人逝世的伤感句子
目前专门支持WPS 扫描的工具并不多,不过由于WPS 相关标准的公开,各大厂商在各自的无线网卡产品配套工具中,都内置了WPS 扫描及总动配置功能。这里介绍两款工作在Linux 下使用python 编写的小工具,分别为wpscan.py 和wpspy.py 。其中,wpscan.py 用于扫描开启WPS 功能的无线网络设备,wpspy.py 则用来确认无线网络设备当前WPS 状态。
2、2扫描开启WPS 功能的无线设备
关于无线网卡的载入等基本操作本文就不再浪费篇幅讲述了,具体的WPS 扫描步骤如下。
步骤1:扫描开启WPS 功能的无线设备    扫描开启WPS 功能的无线路由器,具体命令如下:
./wpscan.py  -i  mon0
回车后稍等片刻后,wpscan.py 可以将周围能够搜索到的开启WPS 的无线路由器全部列举出来。如下图6所示,扫描出一款开启WPS 的无线路由器,其SSID 为
“ZerOne_Lab ”
,其具体型号未能显示,但其芯片组为Ralink 。
Blog :bigpack.blogbus
Email :longaslast@126
图6
没有显示出产品具体型号也是正常的,
因为并不是所有的厂商都会在WPS 中加入厂商的详细信息,这也是出于安全的考虑。不过一些大的厂商都会在WPS 中加入一些信息,比如下图7中,在“Model Name ”处,就识别出为Belkin 的型号为F5D7230-4的无线路由器,甚至可以显示出具体的型号为v9。这也就导致了信息的暴露,所以针对WPS 的扫描也是有效探测无线设备的方法之一。呵呵,这个是我在2010年第一期黑防上《无线网络设备攻防白皮书》中没有提及的。
Blog :bigpack.blogbus
Email :longaslast@126
图7
步骤2:监测WPS 状态。    在获知了存在开启WPS 功能的无线设备后,即可对
wpspy.py  -i  mon0  -e  AP’s SSID
回车后即可看到如下图8所示内容,监测到SSID 为“ZerOne_Lab ”的无线路由器。当前WPS 功能状态为已配置,即WPSState 处显示为Configured 。而在
WPSStatePasswordID 处显示的“PushButton ”,即要求客户端点击无线网卡上的PBC 按键进行连接。
图8
若WPS 功能未被配置,则会出现如下图9所示内容,在WPSState 处显示为Not Configured 。