智能網(wǎng)聯(lián)汽車信息安全實訓(xùn)平臺-IVI的WiFi攻擊實驗

以建設(shè)車聯(lián)網(wǎng)安全檢測和培訓(xùn)體系為目的而搭建的一套成熟、落地、可操作的安全檢測環(huán)境。

一、測試對象

IVI或T-BOX

二、教學(xué)目的

本實驗通過指導(dǎo)學(xué)生上機實踐，讓學(xué)生學(xué)習(xí)對IVI的WiFi滲透基本原理和攻擊過程，了解IVI系統(tǒng)在WiFi熱點和開放端口c方面的潛在威脅，并加強對IVI系統(tǒng)的安全防護意識。

三、詳細介紹

本實驗演示了利用WiFi攻擊、端口掃描、密碼爆破等一系列操作獲取附近IVI系統(tǒng)訪問權(quán)限的一種方法。以WiFi滲透入手，通過對IVI的開放WiFi熱點進行探測和密碼破解，接入到IVI的局域網(wǎng)中，并進一步掃描其開啟的服務(wù)，進而密碼爆破獲取系統(tǒng)的登錄賬戶信息，實現(xiàn)對IVI系統(tǒng)的遠程操控。

四、依賴軟件工具

Aircrack-ng

一個用于評估WiFi網(wǎng)絡(luò)安全性的工具箱，可以實現(xiàn)監(jiān)控和捕獲數(shù)據(jù)包、檢查無線網(wǎng)卡和驅(qū)動程序、破解WEP和WPA PSK加密的無線網(wǎng)絡(luò)等功能。本實驗主要使用Aircrack-ng來破解IVI的WiFi密碼，具體用到的組件包括Airmon-ng、Airodump-ng、Aireplay-ng、Aircrack-ng。

Nmap

一個網(wǎng)絡(luò)發(fā)現(xiàn)和安全審計工具，可以用于主機發(fā)現(xiàn)、端口掃描和服務(wù)版本探測，還可以探測遠程主機的操作系統(tǒng)類型和防火墻信息等。本實驗使用Nmap來探測IVI的IP地址并進行端口掃描。

Hydra

一個自動化密碼爆破工具，可以暴力破解多種密碼，支持多種協(xié)議和并行連接。在本實驗中，使用Hydra來爆破IVI系統(tǒng)的Telnet或SSH用戶名和密碼。

五、依賴硬件工具

windows系統(tǒng)PC，工控機Ubuntu系統(tǒng)，IVI或TBox

六、實驗整體流程

七、實驗步驟

1.使用Aircrack-ng掃描WiFi，尋找到IVI的WiFi

和手機熱點類似，只要進入了IVI車載熱點的覆蓋范圍，就可以探測到這個WiFi的連接信號，并能獲取網(wǎng)絡(luò)名稱、mac地址、加密方式等信息。首先檢查無線網(wǎng)卡是否已經(jīng)正確連接，輸入 iwconfig ，如圖4-2所示，如果連接正確，可以看到名稱類似 “wlxxx” 的無線網(wǎng)卡信息。

無線網(wǎng)卡默認的工作模式是Managed，在這種模式下，網(wǎng)卡只接收發(fā)給自己的數(shù)據(jù)包。為了讓網(wǎng)卡監(jiān)聽空氣中所有的無線通信，執(zhí)行以下命令把電腦的無線網(wǎng)卡切換為Monitor模式：

sudo airmon-ng start [你的無線網(wǎng)卡名稱]

再次查看網(wǎng)卡信息，此時無線網(wǎng)卡的名稱被自動更改為 wlan0mon，模式是 Monitor。然后激活網(wǎng)卡：

sudo ifconfig wlan0mon up

接下來可以對周圍的WiFi進行探測。執(zhí)行：

sudo airodump-ng wlan0mon

可以看到類似下圖所示的WiFi信息列表。其中，BSSID是無線接入點的mac地址，CH是工作頻道，ENC是加密方式，ESSID是WiFi名稱。IVI的WiFi熱點名稱一般為xxx或xxx，在WiFi列表中找到IVI的無線信息，重點關(guān)注mac地址和工作頻道，為后續(xù)的抓包做準備。

注意：探測列表會不停地刷新，為了便于獲取想要的信息，可以在觀察到列表中出現(xiàn)IVI的WiFi信息后，按“Ctrl+C”停止探測。也可以多次執(zhí)行探測命令進行探測。

2.捕獲WiFi的握手驗證數(shù)據(jù)包

獲取了目標WiFi的信息之后，執(zhí)行以下命令來捕獲該WiFi的通信數(shù)據(jù)包：

sudo airodump-ng --ivs --bssid [目標WiFi的mac地址] –w longas -c [目標WiFi的工作頻道] wlan0mon

其中，“--ivs” 表示設(shè)置過濾，不保存所有無線數(shù)據(jù)，只保存可用于破解的IVS數(shù)據(jù)報文；“-c” 用于設(shè)置目標WiFi的工作頻道；“-w” 后跟保存數(shù)據(jù)的文件名，建議使用示例所用的 “l(fā)ongas”。

執(zhí)行情況如上圖所示，有兩個列表，上面的列表是目標WiFi的抓包信息，下面是連接到該WiFi的設(shè)備列表。其中，STATION是接入設(shè)備的mac地址。對于加密類型為WPA/WPA2-PSK的無線網(wǎng)絡(luò)，為了快速獲得破解所需的握手驗證完整數(shù)據(jù)包，在抓包過程中可以發(fā)送 “DeAuth” 數(shù)據(jù)包來將已經(jīng)連接到該WiFi的客戶端強制斷開，在客戶端自動重連時就可以捕獲到包含握手驗證的完整數(shù)據(jù)包了。另外打開一個終端，執(zhí)行以下命令發(fā)送 “Deauth” 數(shù)據(jù)包。

sudo aireplay-ng -0 10 -a [目標WiFi的mac地址] -c [接入設(shè)備的mac地址] wlan0mon

其中，“-0” 表示采用DeAuth攻擊模式，后跟攻擊次數(shù)?？梢栽诮尤朐O(shè)備列表中任選一個接入設(shè)備，使用其mac地址。當抓包頁面右上角顯示 “WPA handshake” 時，表示攻擊成功。接下來就可以使用捕獲的數(shù)據(jù)進行WiFi密碼破解了。

3.暴力破解WiFi的密碼

執(zhí)行以下命令進行WiFi密碼的破解。結(jié)果下圖所示。

sudo aircrack-ng -w [字典文件] longas-*.ivs

即可使用破解出的密碼連接WiFi秘密進入IVI內(nèi)網(wǎng)。注意：Airodump-ng為了方便破解時的文件調(diào)用，會自動對保存文件按順序編號，于是就多了-01這樣的序號；再次抓包時，若還使用longas作為保持文件名，就會保存為longas-02.ivs。

4.對IVI進行端口掃描，發(fā)現(xiàn)Telnet或SSH端口

連接到IVI的WiFi熱點之后，可以通過向本網(wǎng)段所有主機發(fā)送數(shù)據(jù)包來進行主機發(fā)現(xiàn)，進而確定IVI（網(wǎng)關(guān)）的IP地址。使用Nmap進行主機發(fā)現(xiàn)的命令如下：

nmap 192.168.9.0/24 -sn

得到類似下圖所示的結(jié)果，可以看到網(wǎng)關(guān)的IP是192.168.9.2。

接下來對IVI的所有端口進行掃描，以獲取系統(tǒng)開啟了哪些端口和服務(wù)。命令如下：

sudo nmap [IVI的IP地址]

端口掃描結(jié)果下圖所示，觀察到IVI打開了22端口，也就是SSH服務(wù)的常用端口，因此可以進一步密碼爆破來獲得系統(tǒng)訪問權(quán)限。

5.爆破Telnet/SSH密碼，進入shell

我們希望能通過SSH登錄到IVI系統(tǒng)，從而可以執(zhí)行一些操作甚至完全控制系統(tǒng)。這就需要對ssh的用戶名和密碼進行破解。接下來就使用hydra來破解IVI系統(tǒng)的用戶名和登錄密碼。

hydra [IVI的IP地址] ssh -L dicts/user_dict.txt -P dicts/pwd.txt -V -t 6 -f

其中，“-L” 后面跟用戶名字典的路徑，“-P” 后跟密碼字典的路徑，“-V” 表示顯示爆破過程的詳細信息，“-t” 設(shè)置同時進行的任務(wù)數(shù)量，可以理解為線程數(shù)，“-f” 用于設(shè)置爆破成功一個后就停止爆破。等待一段時間后就可以得到破解結(jié)果了，如下圖所示。

拿到了IVI的SSH登錄名和密碼，就可以登錄進入IVI系統(tǒng)了。如下圖所示：ssh [爆破出的用戶名]@192.168.9.131

fqj