攻防最前线：无需破解握手协议就可连接到隔壁WiFi

近日，来自英国网络安全公司SureCloud的研究人员在一篇分析文章中指出，他们最近发现了一个值得注意的浏览器行为，以及一个几乎影响到所有家用路由器的安全漏洞。

研究人员表示，这个浏览器行为与保存的凭证有关——当凭证保存在浏览器中时，它们将于与URL绑定在一起，当它们再次出现时，就会自动插入到相同的域中。再说说这个安全漏洞，它源于管理接口的连接是非加密的HTTP连接。

将这两者结合在一起，就可以在不破解握手协议的情况下获取各种网络的访问权限（破解握手是目前最常用的WPA/WPA2网络破解方法，但需要目标使用的是弱密码）。研究人员表示，这种新的攻击方法应该适用于大多数网络，但要想取得成功，需要几个先决条件：

• 目标网络上必须要有一个活动的客户端设备；
• 客户端设备之前必须连接过其他开放网络，并允许自动重新连接；
• 客户端设备应该使用基于Chromium的浏览器，比如Chrome和Opera；
• 客户端设备应该在浏览器中保存了路由器管理接口凭证；
• 目标网络路由器管理接口必须配置为使用非加密的HTTP。

没有这5个先决条件，实施攻击是不可能的。事实上，大多数浏览器都会提示用户自动保存凭证，因此这些条件似乎很容易满足。最不容易满足的条件应该是第三条和第四条，即需要目标使用的是基于Chromium的浏览器并在浏览器中保存了路由器管理接口凭证。不过，即使这样，仍会有大量的家庭路由器用户受到影响。

无论是Firefox、IE/Edge或Safari浏览器，它们都涉及到大量用户交互，因此攻击确实是可以实现的，但需要更多地依赖于社会工程。另一方面，即使目标没有保存路由器的管理接口凭证，但我们也不能排除他们使用的是默认凭证的可能。

同样需要注意的是，虽然攻击主要针对的是可以直接从web接口提取WiFi密钥的家用路由器，但如果其他设备也使用的是可以对URL进行预测的非加密的HTTP，那么它们同样可以成为攻击目标。许多物联网设备就存在这种情况，但研究人员表示他们目前还没有做这方面的测试。

为了便于你理解这个被命名为“Wi-Jacking”的新型攻击方法，我们建议你首先对Karma/Jassager攻击进行一个初步的了解。关于Karma/Jassager攻击的介绍可以参考： https[:]//wiki.wifipineapple.com/legacy/#!karma.md。

Wi-Jacking攻击测试

步骤1. 将客户端设备接入我们自己的网络

首先使用aireplay-ng发送deauthentication请求，并使用hostapd-wpe发起Karma攻击（均使用无线网卡Alfa AWUS036NHA）。

步骤2. 触发浏览器加载我们的URL

我们可以使用dnsmasq和python脚本来完成这项任务。当看到HTTP请求时，我们需要创建一个重定向到我们的URL的响应以及服务于我们自己的页面。

根据目标路由器的不同，对应的URL和服务页面会有所不同。我们可以根据BSSID和ESSID检测要发送的URL和页面组合，或者仅仅通过猜测，但选择的范围是有限的：

这里还有一些额外的重定向选项。默认情况下，我们允许所有HTTPS通过，并等待HTTP请求。但如果等待时间过长，Windows上的WiFi captive portal检测就会被触发，进而就会自动启动默认浏览器并打开我们指定的URL。不过，触发captive portal也有一定的限制。尤其是在MacOS中，它启动的是一个单独的浏览器窗口，专门用于处理captive portal，以阻止我们窃取保存的凭证。

步骤3. 窃取自动填充凭证

在页面加载时，浏览器会进行两项初始检查：

1、URL源是否与路由器的管理接口源（协议、IP地址、hostname）匹配；

2、页面上的input域是否与浏览器保存的路由器接口的内容相匹配。

如果这两项检查都通过，浏览器则会自动使用保存的凭证填充到页面中。在这里其，其实就包含了路由器管理员的详细信息。当然，这些input域一般是完全隐藏的。

如果目标使用的Chrome浏览器，还需要进行一个额外的步骤：Chromium的PasswordValueGatekeeper特性要求用户以某种方式与页面进行交互。比如，点击页面上的任意位置，只有这样我们才能够窃取到凭证。

如果目标使用的Firefox、Internet Explorer、Safari或Edge，这些input域是无法隐藏的。在这种情况下，我们仍然能够实施攻击，但前提是目标点击了form域并从下拉列表中选择了保存的凭证。显然，我们需要依赖于一些社会工程。

步骤4. 发送目标到家用WiFi

在获取到凭证之后，我们仍然希望目标让我们的页面打开的时间能够更长一些。此时，我们停止Karma攻击，将目标释放回原来的网络中。

一旦目标设备成功连接回原来的网络，我们的页面就会位于路由器管理接口源，并将管理凭证加载到JavaScript中。然后，我们使用XMLHttpRequest登陆，获取PSK或进行所需的任何更改。研究人员表示，对于他们测试的大多数路由器而言，他们可以直接从web接口中以明文的形式提取WPA2 PSK，而无需获取网络的握手信息。如果路由器隐藏了密钥，我们还可以使用已知的密钥来开启WPS。这样，我们就可以创建一个新的AP或执行其他的一些操作。

攻击演示视频

视频地址：https[:]//youtu.be/i_LLKUCG3PQ

攻击使用的工具

除了路由器特定的payload和选择脚本之外，用于执行攻击的所有工具都是Kali的标准组件。脚本可以在这里找到：https[:]//gitlab.com/eth01/Wi-Jacking-PoC。

需要说明的是，Wi-Jacking攻击目前仍处于概念证明（PoC）阶段，但毫无疑问，现实的攻击会很快出现。SureCloud的研究人员表示，他们下一阶段的目标是构建一个WiFi pineapple模块来使攻击自动化，这可能需要好几个月的时间。

声明：本文来自黑客视界，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。