发表于 2016-10-21 11:44

【会员申请】申请ID: aj3423


之前发了个忘了在看雪截图登录信息了,这次在附件图片补上

1、申请ID: aj3423
2、个人邮箱:aj3423@gmail.com
3. 看雪精华帖: http://bbs.pediy.com/showthread.php?t=159415
1. CommView

一个无线分析工具,之前用过这个来抓包调试,然后发觉它还能发包。软件分为 驱动/exe/dll 三部分,exe只是个外壳,主要功能都在ca2k.dll和驱动中,调用dll的函数就能控制驱动操作网卡。

驱动支持的网卡列表: http://www.tamos.com/download/main/ca.php
支持的网卡有限,最好用Recommended和Sensitivity 5分的,具体参考对应的tech note,我用的 NETGEAR WN111 v2

2. 驱动

在bin/Drivers下,到设备管理器更新网卡驱动,然后在该目录下搜索,安装成功后网卡前会出现 字样,就表示ok了
http://bbs.pediy.com/attachment.php?attachmentid=74100&thumb=1&d=1354513100


3. ca2k.dll

为了知道具体函数调用,用dll劫持替换掉原ca2k.dll后打开CV操作一遍,所有call都记录到了ca2k.log, 函数名经过混淆,用ida分析后得到几个主要函数
F1 - 驱动初始化
SC- 设置网卡频段
S1 - 开始监听某信道
CC - 切换信道
T1 - 发送数据包
S5 - 接收数据包

对这几个函数封装了一下,具体见src/commview/cv.h,简单用例:
代码:
cv::init();cv::monitor(channel);cv::inject(packet, packet_len);while(1) {wifi_packets = cv::receive();Sleep(0);}
有了以上条件,附件wifi.exe是一个完整的无线网络破解工具,包括破解wep,wps

4. wep

破解原理挺巧妙的,具体见:
1. http://aboba.drizzlehosting.com/IEEE/rc4_ksaproc.pdf
2. http://blog.csdn.net/GaA_Ra/article/details/5745278
收集每个数据包的wep_info(3字节iv和数据第1字节),破解率和数据包数是线性关系,所以关键要抓足够多的包。

程序流程:
1. 找一个正在和AP交互的客户端client
2. 注入de_authenticate包让client掉线(client会自动重新连接wifi,连上后会发送arp包)
3. 捕捉client发的arp包,如果超时就返回步骤1,如果有就到4
4. 反复注入该arp,AP会不停应答该arp,产生大量数据包
5. 收集到足够多的包后破解
http://bbs.pediy.com/attachment.php?attachmentid=74102&thumb=1&d=1354513100
setting.ini中 enough_packet 是抓包数,默认100, 100个包已经有很大的成功率,如果破解出的密码不对就加大这个数字来提高成功率,比如200,300,注入过快会导致AP响应速度变差,网速变慢,大量丢包,但不用担心丢包问题,因为快接近有敏感包时候会减速。敏感包是指带有, ... 这种形式的iv的包。
http://bbs.pediy.com/attachment.php?attachmentid=74103&thumb=1&d=1354513100
设置passive_mode=1为被动监听,即跳过1,2,3,4步,默认是0

5. wps

现在的路由都带wps功能,有的叫qss,配置界面如图
http://bbs.pediy.com/attachment.php?attachmentid=74101&thumb=1&d=1354513100

一般路由器买回来自己打开192.168.0.1配置无线参数,如果不会配置的话就用的上这个功能了,只要按一下路由器上的按钮就能上网(谁用这个?)
该功能的另一种使用方式: external registrar,路由表面会标有8位PIN码,连接网络时候输入这8个数字就能上网了,整个过程3秒左右。
这个8位PIN码分3部分,以我的PIN为例
00540773
AP的验证流程:
1. 验证红色的4字节,如果不对就返回nack包, over
2. 验证绿色+蓝色的4字节,如果不对就返回nack包, over
3. 以上都通过的话,AP会把WPA密码加密后发给client
所以只要从0000试到0054,55次就能得出正确的红色部分。然后再从000试到077,一共78次就能得出正确的绿色部分,最后一位蓝色是checksum,通过前7位计算得到
所以理论上破解00540773这个PIN需要的时间是 (55+78)*3 = 6分钟, 但实际上因为无线信号强度关系,通常会超出预估时间很多
http://bbs.pediy.com/attachment.php?attachmentid=74104&thumb=1&d=1354513100
如果路由器在一定时间内发觉有XX次失败尝试就会锁定wps功能,被锁住后就连不上了,直到下一次重启路由。所以加了xx次尝试后等待xx秒,见setting.ini中anti_lock部分,默认50次失败后歇菜5分钟
算法部分用的cryptopp,之所以exe有2m多,就是因为链接了这个90m的静态库-_-!
其中比较有意思的diffie hellman key exchange,两个人如何在被第三方监听的条件下交换验证密码信息:http://www.youtube.com/watch?v=YEBfamv-_do

到此,一个精简版无辐射的卡皇就做好了,不过普通网卡的信号强度一般,也许可以做个增益天线,套上个易拉罐什么的就好了哈。。



Hmily 发表于 2016-10-24 11:31

请在看雪论坛给hmilywen发一条短消息确认是本人申请。
页: [1]
查看完整版本: 【会员申请】申请ID: aj3423