HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA AN TOÀN THÔNG TIN

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

THỰC HÀNH

ĐÁNH GIÁ, KIỂM ĐỊNH AN TOÀN HỆ THỐNG

THÔNG TIN

BÀI THỰC HÀNH SỐ 09

KIỂM THỬ AN TOÀN MẠNG KHÔNG DÂY

Người xây dựng bài thực hành:

Phạm Minh Thuấn

HÀ NỘI, 2019
 MỤC LỤC

Mục lục ................................................................................................................. 2

Phần 1. Kiểm thử an toàn mạng không dây sử dụng công cụ wifite ................. 3
1.1. Chuẩn bị .......................................................................................................... 3
1.2. Crack mật khẩu wifi sử dụng giao thức WEP .................................................. 3
1.3. Crack mật khẩu wifi sử dụng WPA sử dụng wordlist ...................................... 4
1.4. Crack mật khẩu wifi sử dụng WPA và WPA2 thông qua WPS ........................ 5

Phần 2. Kiểm thử an toàn mạng không dây sử dụng aircrack-ng ..................... 7
2.1. Chặn bắt dữ liệu bắt tay ................................................................................... 7
2.2. Crack thông tin bắt tay đã chặn bắt ................................................................ 10

Phần 3. Tấn công brute force mật khẩu chiếm quyền quản trị access
point .................................................................................................................... 11

-2-
 PHẦN 1. KIỂM THỬ AN TOÀN MẠNG KHÔNG DÂY SỬ DỤNG CÔNG
CỤ WIFITE
Wifite là một công cụ kiểm thử tự động cho phép thực hiện việc kiểm thử độ
an toàn của mạng wireless. Công cụ cung cấp các chức năng tấn công tự động
thông qua điểm yếu của các giao thức mà access point sử dụng. Trong phần này
chúng ta sẽ cùng đi tìm hiểu và sử dụng công cụ wifite trong việc kiểm thử độ an
toàn của mạng wireless.

1.1. Chuẩn bị
Đăng nhập vào kali với người dùng root. Sau đó khởi động terminal:

1.2. Crack mật khẩu wifi sử dụng giao thức WEP

Từ màn hình terminal, gõ lệnh sau:

Sau khi gõ lệnh, chờ một thời gian để công cụ tiến hành quét các mạng
wireless trong khu vực. Sau khi tìm thấy mục tiêu, nhấn Ctrl + C để dừng quá trình
quét. Tiếp theo chúng ta lựa chọn mạng wifi sử dụng giao thức WEP, ở đây chúng
ta lựa chọn mục tiêu số 1. Sau khi lựa chọn, công cụ sẽ tự động thực hiện việc
crack password của wifi. Chúng ta sẽ ngồi chờ đến khi việc crack được thành công.

-3-
 Chú ý: Để đẩy nhanh tốc độ crack, chúng ta có thể sử dụng nhiều máy tính
kết nối vào mạng wireless để công cụ bắt được lượng IV đủ lớn cho quá trình
crack.

1.3. Crack mật khẩu wifi sử dụng WPA sử dụng wordlist

WPA (Wifi Protected Access) là phương thức được đưa ra để thay thế giao
thức WEP vốn chứa những nhược điểm không thể khắc phục được. Một trong thay
đổi lớn của giao thức WPA là khả năng kiểm tra tính toàn vẹn của gói tin để xem
liệu kẻ tấn công có thu thập hay thay đổi gói tin truyền qua lại giữa Access Point
và client hay không. Ngoài ra còn có giao thức khoá toàn vẹn thời gian (Temporal
Key Integrity Protocol – TKIP). TKIP sử dụng hệ thống kí tự cho từng gói, an toàn
hơn rất nhiều so với kí tự tĩnh của WEP.
Nhưng thay đổi của WPA đã cho thấy sự bảo mật hơn WEP, nhưng như thế
vấn chưa dủ để đảm bảo an toàn cho mạng wireless, dưới đây chúng ta sẽ tiến hành
crack mật khẩu wpa với công cụ wifite.
Bước đầu tiên, chúng ta sẽ gõ lệnh “wifite –wpa –dict <đường dẫn tới
wordlist>”. Tuỳ chọn “-wpa” giới hạn việc quét các mạng wireless với giao thức
WPA, tuỳ chọn “-dict” cho biết sẽ sử dụng wordlist để crack mật khẩu, ở đây sẽ
thay bằng đường dẫn tới wordlist đã được cung cấp.

Sau khi công cụ quét thấy mục tiêu, chúng ta sẽ nhấn Ctrl + C để dừng việc
quét và lựa chọn mục tiêu tấn công, ví dụ ở đây chọn mục tiêu số 2.

-4-
 Sau khi lựa chọn mục tiêu, chúng ta sẽ chờ công cụ thực hiện việc bắt các
gói tin chứa thông tin bắt tay giữa client và access point và thực hiện crack:

1.4. Crack mật khẩu wifi sử dụng WPA và WPA2 thông qua WPS
WPS (Wifi Protected Setup) là một chuẩn an toàn mạng sử dụng để đảm bảo
an toàn cho mạng wireless ở nhà. WPS cho phép một máy tính có thể kết nối đến
một mạng không dây thông qua việc nhập mã PIN mà không cần phải nhớ mật
khẩu của mạng đó. Nhưng chính việc này lại tồn tại một lỗ hổng mà thông qua đó
kẻ tấn công có thể đạt được quyền truy cập đến mạng wireless.
Để thực hiện việc crack mật khẩu thông qua WPS, chúng ta tiếp tục sử dụng
công cụ wifite:

-5-
 Sau khi dò tìm được mạng mục tiêu, nhấn Ctrl + C để dừng việc quét. Như
trên hình chúng ta nhìn thấy có 7 mục tiêu có bật cơ chế wps, chúng ta sẽ chọn 2
mục tiêu là 7 và 4 để thực hiện tấn công.
Sau một thời gian chờ đợi, chúng ta sẽ nhận được mật khẩu để truy cập vào
mạng wireless. Với kiểu tấn công thông qua wps, khả năng thành công là 100%:

-6-
 PHẦN 2. KIỂM THỬ AN TOÀN MẠNG KHÔNG DÂY SỬ DỤNG
AIRCRACK-NG
Ngoài wifite còn có rất nhiều các công cụ có thể sử dụng để kiểm thử an
toàn mạng wireless. Ở phần 2, chúng ta sẽ cùng đi tìm hiểu và sử dụng công cụ
aircrack-ng trong việc crack mật khẩu mạng wireless sử dụng cơ chế WPA và
WPA2.

2.1. Chặn bắt dữ liệu bắt tay

Để thực hiện việc chặn bắt dữ liệu bắt tay giữa client và access point, đầu
tiên chúng ta cần đăng nhập với tài khoản root:

Mở terminal để gõ lệnh:

Tiếp theo, tìm kiếm tên của card wireless để thực hiện việc giám sát. Chú ý
là để có thể thực hiện giám sát trên card wireless, card wireless cần có khả năng
“inject packet”.

-7-
 Như trên hình thì ở đây chúng ta chỉ có duy nhất 1 card wireless là wlan0,
thực hiện bật card ở chế độ giám sát với lệnh “airmon-ng start wlan0”. Ở bước này,
lưu ý cần ghi nhớ tên của interface giám sát (mon0)

Tiếp theo, chúng ta sẽ giám sát các mạng wireless có trong khu vực với lệnh
“airodump-ng mon0” (mon0 ở đây là tên của interface giám sát ở bước trên).

Nếu có xuất hiện lỗi thông báo kênh của mon0 bị gán cố định là “-1” thì
thực hiện việc tắt card wireless bằng lệnh “ifconfig wlan0 down” (wlan0 là tên
card wireless tìm thấy ở bước 2) sau đó bật lại bằng lệnh “ifconfig wlan0 up” sau
đó thực hiện lại công việc từ đầu.
Sau khi giám sát, ta sẽ nhìn thấy các thông tin về các mạng wireless có trong
khu vực. Ở bước này cần ghi nhớ thông tin BSSID, CH và ESSID của mục tiêu:

Thực hiện sao chép BSSID của mục tiêu:

-8-
 Tiếp theo, thực hiện bắt các thông tin trao đổi trong mạng wireless phục vụ
cho việc crack password:

Ý nghĩa các thông số:

• 10: kênh phát của access point.
• 00:14:BF:E0:E8:D5: địa chỉ MAC của access point
• /root/Desktop: nơi lưu gói tin bắt được
• mon0: tên giám sát interface

Để đẩy nhanh quá trình bắt các thông tin trao đổi phục vụ cho quá trình
crack, chúng ta sẽ kết hợp 1 tấn công “arp-relay attack” nhằm làm ngắt kết nối
giữa client và access point, yêu cầu thực hiện lại quá trình xác thực. Lưu ý các
thông số BSSID và STATION được khoanh đỏ ở trên, mở terminal thứ hai và thực
hiện thay vào command sau:

-9-
 Sau một thời gian chờ đợi, ta sẽ thấy airodump sẽ bắt được thông tin bắt tay
của client và access point:

2.2. Crack thông tin bắt tay đã chặn bắt

Sau khi bắt được thông tin bắt tay, bước tiếp theo là việc crack sử dụng mật
khẩu chứa trong wordlist:

Ý nghĩa các thông số:

• -a: phương thức sử dụng để crack, 2 tương ứng với giao thức wpa
• -b: bssid của access point
• -w: nơi chứa wordlist
• /root/Desktop/*.cap: nơi lưu gói tin chứa thông tin bắt tay

Như trên hình là aircrack-ng đã thực hiện thành công.

- 10 -
 PHẦN 3. TẤN CÔNG BRUTE FORCE MẬT KHẨU CHIẾM QUYỀN
QUẢN TRỊ ACCESS POINT
Việc mật khẩu truy cập mạng wireless bị crack dẫn tới việc truy cập trái
phép gây mất an toàn cho mạng wireless. Nhưng đây mới chỉ là bước khởi đầu khi
một kẻ tấn công muốn xâm nhập vào mạng wireless. Nếu như sau khi truy cập
được vào mạng wireless, kẻ tấn công có thể chiếm được quyền điều khiển access
point thì hậu quả xảy ra sẽ còn lớn hơn nhiều. Ở phần 3 này chúng ta sẽ thực hành
tấn công brute force mật khẩu quản trị access point.
Tiến hành việc quét cổng đối với access point để tìm ra cổng truy cập quản
trị:

Chúng ta thấy access point mở cổng 80, thử truy cập thông qua browser:

Có một form đăng nhập hiện lên. Sử dụng thông tin có trong form đăng
nhập, tìm kiếm username và password mặc định của access point totolink, chúng ta
biết được access point có 1 user mặc định là “admin”. Do không biết mật khẩu của
user nên chúng ta sẽ tiến hành bruteforce mật khẩu của admin.
Khởi động burpsuite:

- 11 -
 Mở tab “Options” chỉnh lại thông số proxy như bên dưới:

Mở trình duyệt, cấu hình proxy của trình duyệt đi qua 127.0.0.1:8080. Sau
đó quay trở lại tab “Intercept” bật “Intercept is on”. Thực hiện việc đăng nhập vào
access point và quay trở lại phần mềm burpsuite

Như trên, ta thấy được request gửi đi đã bị bắt lại bởi burpsuite.
Chọn Action => Send to Intruder. Sau đó mở tab Intruder => Positions.
Lựa chọn đoạn mã Base64 sau từ Basic sau đó nhấn phím Add như bên
dưới:

- 12 -
 Chuyển tiếp qua tab Payloads, phần Payload Options, chọn Load và đưa vào
wordlist:

Tiếp theo, phần Payload Processing, chọn add và chỉnh như sau:

Sau khi thêm vào prefix “admin:”, chúng ta tiếp tục thêm 1 rule nữa để
encode payload dưới dạng base64:

- 13 -
 Tiếp theo, trong menu Intruder chọn Start Attack:

Sau một thời gian chờ để burpsuite gửi hết các request, click chuột vào cột
status để sắp xếp lại các status:

Ta thấy rằng ở đây có một status khác với các status còn lại, thực hiện việc
decode base64 đối với payload sẽ nhận được “admin:111111”. Tiến hành đăng
nhập vào wireless:

- 14 -
 Như các hình trên, chúng ta đã truy cập được vào trang quản trị của access
point.

- 15 -