主动触发被动模式从而挟持无线客户端 – Passive Karma Attack

因为WIFIPineapple的真正作者Robin在近期公开了两个小工具,从而使得被动模式下的客户端被Karma挟持,所以我这个小0day思路就被公开了,所以就写写相关的原理吧,也算是一种整理吧。

很多朋友在不同的渠道购入了WIFIPineApple,但是很多朋友在使用的时候可能都没有关注为什么可以使得受害者可以受到Karma攻击,所以我在RadioWar网站写的“什么是WiFiPineApple之深藏不漏”当中有解释过,Karma是基于无线客户端的Active Scanning(主动扫描模式)进行攻击的,而Active Scanning模式是根据Probe Request帧(探测请求帧)扫描无线网络,当AP收到请求后,会反馈探测响应帧(Probe Response)通知无线客户端可以提供无线网络信息。Karma就会利用自身信号强于真实AP等条件挟持无线客户端的请求从而反馈Probe Response完成攻击。

ActiveMode

                                               Active Scanning Mode

但是很多厂商已经开始改变相关的策略,使得无线客户端采用了Passive Scanning (被动扫描模式),使用该模式的情况下,无线客户端并不会主动的发出任何无线网络的探测帧,而是以不断切换频道列表静脉等待服务端发出Beacon帧,所以使得Karma无法获取相关的Probe Request,从而Karma攻击失效。

PassiveMode

                                               Passive Scanning Mode

而在较早之前(4月15日)@tombkeeper 教主的一条围脖我说过这么一段话:



“App调用WIFI模块以及“某些情况下”可触发”,因为我们无法获取用户需要请求哪个ESSID,所以我们可以采用第三方扫描的形式(类Kismet)的操作获取客户端获取信息,从而模拟服务端发出Beacon帧给客户端,使得无线客户端在被动模式下被触发,并且在此同时启动Karma攻击,客户端因此就会主动的反馈,从而被karma挟持了!针对类似新版QQ的免费WIFI以及其他免费WIFI的App,Karma的攻击模式一样是有效的,而针对被动模式的客户端,就需要增加针对性扫描操作从而模拟服务端模拟发出Beacon帧,而Robin的做法就是在超级短时间内穷举大量ESSID(前提是做信息收集)使得客户端被动触发从而被Karma挟持。



做法虽然有点笨蛋,但实际上很凑效!可能说的有点模糊,免得某些媒体砖家叫兽用来作为自己的!所以看得懂就看,看不懂的就…….算了。

作者的话:

我们国内无线安全不是如某些砖家叫兽所说就只有老外的,没有进步没有创新,只不过是我们不喜欢跟某些人Share,或者说是我们Share了也不会有人懂,大家对于802.11还是处于破解、继续破解、还是破解,都破解了八年了!无谓拆了别人台说其他的,免得被别人说装逼。我不懂安全,但是我要求很高~呵呵呵

标签: 无
返回文章列表 文章二维码
本页链接的二维码
打赏二维码