2024年8月6日发(作者:)
破解中国电信“我的E家”无线上网
破解中国电信“我的E家”无线上网!!
作者:杨哲/ Longas 【ZerOne】
(注:本文已发表在《黑客手册》杂志2010年第1-4期合刊上,引用时请注明出处,谢
谢)
前言:
看了网上很多抄来抄去所谓能够“蹭网”的无线教程,颇有些哭笑不得,尤其是在这些
教程中看到引用我曾发过原文的一些图片,上面的标识要么没抹消,要么就被另一些不知道
从哪冒出来的什么
XX联盟、XX小组、XX安全组织的标识覆盖掉。对这些人还真无奈。
记得在
07年我写了一篇关于针对当时的“我的E家”无线网络破解及利用的小文,但
由于一些细节的改进,依靠之前的方法肯定是不行了,所以这里我把修改过的攻击方法再次
发出来,同时也给出解决方法,希望受此影响的用户尽快修正自己的漏洞。
下面,就让我来告诉你什么才叫“蹭网”吧。
攻击篇
废话少说,直接上手。另,关于对本文中涉及工具下载、安装以及使用细节不明的朋友,
请参考网上其它公开文档、《无线网络攻防实战》或者《无线黑客傻瓜书》一书,会有所得。
具体步骤如下。
步骤1:搜索“我的E家”无线信号。
对于目前国内普遍使用“我的E家”上网的中小型企业办公环境及家庭用户,其无线
就是“ChinaNet”。我们可以使用多款无线Hacking
设备的
SSID上都会有一个明显的标识,
工具搜索周边“我的E家”无线信号。
不过我这里当然还是使用大家都很喜欢的
BackTrack4 Linux来演示。在成功载入无
使用airodump-ng来对当前环境的无线网络进行探测。
线网卡并激活为
monitor模式后,
使用命令如下:
airodump-ng -c 10 -w zerone mon0
参数解释:
-cnum后跟的是我的E家的工作频道,这里就是10;
-w捕获的无线数据包的保存名称,这里就是zerone,不过实际保存后会变
成
这样的文件;
mon0这是载入的无线网卡名称;
如下图
1所示,我们探测到附近存在一个名为“ChinaNet-nsXXXXX”的无线网络。
显而易见,这个
SSID的末尾是被修改的,不过前面的“ChinaNet”还是显露出其“我的
E家”的真实身份。而在下图1下方的STATION处,我们也能够看到当前是有一个用户连
入该网络并在上网的。
Blog:
Email:longaslast@
欢迎拍砖、交流、合作及其它事宜,
新书《无线网络安全攻防进阶》筹备中,更多内容,即将推出!感谢一直以来的支持!!
破解中国电信“我的E家”无线上网
图1
步骤2:破解WEP加密。
接下来,当然是先破解该无线网络的加密喽。如上图所示当前默认采用的为WEP加密
方式,我们就可以按照标准的
WEP破解方法进行,即一边抓取无线数据包,一边发送
ArpRequet报文来刺激有效无线报文的产生。
常用的工具当然就是
aireplay-ng,使用命令如下:
aireplay-ng -3 -b 无线路由器MAC地址-h 无线客户端MAC地址 mon0
参数解释:
-3ArpRequest攻击特定参数;
-b后跟预攻击的无线路由器MAC地址,这里就是电信“我的E家”无线路由器喽;
-h后跟当前已经连接该无线路由器的无线客户端地址;
攻击效果如下图
2所示,可以看到一旦成功获取ArpRequest请求报文,无线网卡会
不断发送该报文以便获取更多的数据交互。
图2
在另一个Shell里,使用aircrack-ng来对截获的无线数据报文破解。命令如下:
aircrack-ng
其中,
Blog:
Email:longaslast@
欢迎拍砖、交流、合作及其它事宜,
新书《无线网络安全攻防进阶》筹备中,更多内容,即将推出!感谢一直以来的支持!!
破解中国电信“我的E家”无线上网
是刚刚获取的无线数据报文。
如下图
3所示,由于密码较为复杂,所以在经过大约5分钟的抓包破解后,我们成功
。是不是很复杂?
地拿到了该无线路由器的
WEP密码,为“NsFoCUS!1234”
图3
步骤3:对“我的E家”无线路由器进行无线D.O.S攻击。
既然已经获取了WEP密码,为了捕获通过该无线路由器进行拨号登录的账户及密码,
有必要将当前已经连接的用户踢下线,这样就能够迫使用户重新连接无线路由器进行拨号操
作。
PS:当然,为了更有效,应该将当前连接该无线路由器的所有用户全部踢下线,嘿嘿。
这里我就直接使用工作于BackTrack4下鼎鼎有名的无线D.O.S工具—charon2.0.1
来演示,关于该工具的安装及使用大家可以参考新近上市的《无线黑客傻瓜书》一书,或者
直接使用附赠的定制版
BT4来实现。当然,对于熟悉Shell下工具的朋友,也可以直接使
用
MDK3来进行。具体攻击效果如下图4所示。
Blog:
Email:longaslast@
欢迎拍砖、交流、合作及其它事宜,
新书《无线网络安全攻防进阶》筹备中,更多内容,即将推出!感谢一直以来的支持!!
破解中国电信“我的E家”无线上网
图4
步骤4:捕获无线数据报文。
既然所有无线客户端都已经被踢下线了,估计正在上网的用户肯定会尝试着重新拨号,
所以此时应立即开始捕获无线数据。
在前面讲到破解
WEP加密的时候,我们提到了airodump-ng这个用于抓取无线加密
数据报文的工具,其实这个工具也同样可以专门用于收集无线数据包。那么,在破解出
WEP
加密密码后,我们打开airodump-ng来进行收集。具体命令如下:
arodump-ng -c 6 –w longas mon0
效果如下图5所示。
图5
在经过较长时间的数据包收集之后,我们可以通过按“Ctrl+C”键来终止抓包工具,
此时,保存的数据包文件应为
。接下来,为了分析,我们就需要对捕获的
加密无线数据包进行解密了。
步骤5:对捕获的无线数据包解密。
在Windows下,可用于无线扫描及破解的工具除了Netstumble之外,还有大名鼎
鼎的
Cain & Abel。这款可用于欺骗、破解、计算等多用途的攻防利器,别告诉我你没听
说过哦?打开后的工具主界面如下图
6所示。
Blog:
Email:longaslast@
欢迎拍砖、交流、合作及其它事宜,
新书《无线网络安全攻防进阶》筹备中,更多内容,即将推出!感谢一直以来的支持!!
破解中国电信“我的E家”无线上网
图6
解密第一步:导入加密数据报文。
打开Cain后,选择Cracker(破解)栏,点击左边分类项中下方的802.11Captures
(802.11捕获),然后在右边空白处点鼠标右键选择“Add to list”即(加入列表),来导
比如事先使用airodump-ng收集的无线
入获取的无线
WEP或者WPA-PSK加密数据包,
加密数据包。如下图
7所示。
图7
如下图8所示,我这里导入的数据包就是前面收集的名为的文件。
Blog:
Email:longaslast@
欢迎拍砖、交流、合作及其它事宜,
新书《无线网络安全攻防进阶》筹备中,更多内容,即将推出!感谢一直以来的支持!!
破解中国电信“我的E家”无线上网
图8
在导入成功之后,就会如下图9所示般显示出数据包大小及类型。
图9
解密第二步:对无线加密数据包进行解密。
接着,在该数据包上点击鼠标右键,在弹出的菜单里面选择“Decode”即解密,也可
说是解码。如下图
10所示。
图10
选择“Decode”后,会看到如下图11所示的解密处理界面。为方便新人们能够更方
便地学习,我把这些选项分别解释一下。
■在“
Input Filename”处,不需要我们再输入,此处显示的为之前导入的无线加密数据
包,这里就是
;
■在“
Output Filename”处,也一样不需要我们再输入,此处显示的是解密后的数据包
Blog:
Email:longaslast@
欢迎拍砖、交流、合作及其它事宜,
新书《无线网络安全攻防进阶》筹备中,更多内容,即将推出!感谢一直以来的支持!!
破解中国电信“我的E家”无线上网
名称及保存位置,默认是在同一目录下,只是名称后加上-dec,这个dec就是decrypt解
密的简写,这里对应的就是
;
■在“
WEP Key”处,输入事先破解出的WEP密码,我这里就以WEP加密数据包为例,
若是
WPA-PSK加密的,就在点选下方的“WPA PSK”处,输入破解出的WPA-PSK密码
即可。如下图
11所示。
图11
注意,这里WEP及WPA-PSK密码默认输入要求均为Hex方式即16进制方式,所
以我们要想输入
ASCII码形式的密码,应当点选右侧的那个“A”键,然后在弹出的窗口
输入正确的密码即可。如下图
12所示,我这里就是预先破解出来的WEP密码:
NsFoCUS9!1234。这个输入尤其要注意大小写,很多新手就是这个小地方没看清,结果
会出现错误提示,使得人误以为破解出的密码不正确。
Blog:
Email:longaslast@
欢迎拍砖、交流、合作及其它事宜,
新书《无线网络安全攻防进阶》筹备中,更多内容,即将推出!感谢一直以来的支持!!
破解中国电信“我的E家”无线上网
图12
只要输入的密码是正确的,那么Cain会立即将导入的无线加密数据包解密,并保存为
另一个文件。如下图
13所示,这里就是。在解密过程中,当前界面
的右下角会有进度显示。
图13
解密第三步:查看解密后的数据是否成功。
我们直接对比一下,使用Wireshark打开解密前的无线数据包,可以看到如下图14
所示内容,其中在Protocol协议栏,可以清楚地看到为IEEE 802.11,我们无法从此协议
Blog:
Email:longaslast@
欢迎拍砖、交流、合作及其它事宜,
新书《无线网络安全攻防进阶》筹备中,更多内容,即将推出!感谢一直以来的支持!!
破解中国电信“我的E家”无线上网
中看到任何关于具体的数据请求、网页访问等内容。
图14
当我们再使用Wireshark打开解密后的无线数据包,如下图15所示,可以清楚地看
到具体的数据包类型,比如
DNS请求、网页访问、数据交互报文等。这样,说明我们解密
成功,此时的数据包就便于我们分析了。
图15
步骤6:分析“我的E家”拨号账号及密码。
接下来,就让我们来分析分析已经解密的无线网络数据吧。嘿嘿,当然是以“我的E
家”的拨号账户为目标喽。
由于中国电信“我的
E家”的用户使用PPPOE模式上网,而常做网络数据报文分析的
朋友都知道,
PPPOE是明文传输的。我们只需要搜索到“PPP PAP”协议报文,即包含了
Authenticate-Request请求报文的数据包即可。如下图16所示。
Blog:
Email:longaslast@
欢迎拍砖、交流、合作及其它事宜,
新书《无线网络安全攻防进阶》筹备中,更多内容,即将推出!感谢一直以来的支持!!
破解中国电信“我的E家”无线上网
图16
打开该数据包,如下图17所示,能看到在Data中“Peer-ID”处,显示的数据内容
,为了不给测试者带来不必要的麻烦,我在号码上做了脱密处理,这里
为“
k95XXXXXX”
的内容即为
PPPOE登录帐户名,用过“我的E家”的朋友都知道,一般均为家中的座机电
话号码。
Blog:
Email:longaslast@
欢迎拍砖、交流、合作及其它事宜,
新书《无线网络安全攻防进阶》筹备中,更多内容,即将推出!感谢一直以来的支持!!
破解中国电信“我的E家”无线上网
图17
而在Peer ID下方的Password处,即为使用该账户登录时输入的密码了,具体数值
嘿嘿,我的E家的账户密码就这样展现了出来。
会在右侧的数据栏中体现,如下图
18所示。
Blog:
Email:longaslast@
欢迎拍砖、交流、合作及其它事宜,
新书《无线网络安全攻防进阶》筹备中,更多内容,即将推出!感谢一直以来的支持!!
破解中国电信“我的E家”无线上网
图18
步骤7:连接无线内部网,并建立拨号连接。
既然已经分析出拨号密码了,那么,先使用已经破解出的密码连接该无线网络,在连接
成功后,在网络连接中,我们就可以建立一个
PPPOE连接,就使用刚才分析出的账户及密
码。如下图
19所示,
图19
步骤8:检测连接效果。
这部分很简单了,直接Ping外网任意一个地址就好啦,我就不抓图了。分享一个小小
的发现:呵呵,似乎每个地区的设置都不一样,比如西北某些地区的电信“我的
E家”用
户在多台机器上使用一个账户登录是允许的,不过前提是这些机器都连接到同一个无线路由
器上。嘿嘿,这不就符合本文中描述的方法么?
至于其它有所改进的地区,也是有办法滴,这个放到以后有机会再说吧。
防护篇
我就不再长篇阔论了,其实对付这样的破解并不困难,这里只提一些较为便捷有效的方
法。
1.修改无线加密方式。
将默认的WEP加密修改成WPA-PSK或者WPA2-PSK模式,然后将密码设置得稍微
复杂些即可。这样就可以有效地阻止绝大多数的无线攻击行为。
2.设置MAC地址过滤
呃……虽然我在以前出版的无线安全书籍(比如《无线网络安全攻防实战》、《无线黑客
Blog:
Email:longaslast@
欢迎拍砖、交流、合作及其它事宜,
新书《无线网络安全攻防进阶》筹备中,更多内容,即将推出!感谢一直以来的支持!!
破解中国电信“我的E家”无线上网
傻瓜书》)中也讲到了一些突破MAC地址过滤的方法,但是设置MAC地址过滤还是可以有
效地阻止大部分没有经验的无线黑客。
3.隐藏SSID
这个方法很适合家庭及小型办公环境用户使用。不过需要在客户端的无线网卡程序上提
前设置一个以这个
SSID及密码匹配的配置文件,也很简单。
OK,到这里,所谓的“我的E家”就被搞定了,是不是很简单?此方法在国内一些主
要城市均已测试可以使用。欢迎大家与我联系、讨论交流,邮箱是
longaslast@
或者到我的博客做客,更多精彩请关注黑手新近上市的《无
线黑客傻瓜书》一书。最后,感谢许迅飞同学牺牲的电信无线路由器和陈伟同学的本子配合
支持。
最后的最后,鄙视一下网上一些使用所谓“蹭网卡”免费上网的教程,还有抹掉我这些
年已发布文档中原有标识的某些所谓“组织”和某些人。
Blog:
Email:longaslast@
欢迎拍砖、交流、合作及其它事宜,
新书《无线网络安全攻防进阶》筹备中,更多内容,即将推出!感谢一直以来的支持!!
发布评论