無線路由器認證會話劫持漏洞（本文只是分析如何利用漏洞入侵）

A.漏洞相關介紹

受彩響的無線網絡設備Belkin (貝爾金）F5D82334等，一些舊型號的D-Link、TP-Link及IPTime 等品牌無線路由器也存在此安全隱患，漏洞描述該漏洞最早被發現在F5D8233-4這款無線路由器上，但Belkin其他塑號的無線路由器也疑似存在該漏洞，本節就使用0前市面上比較流行的型號為F6D4230-4 這款Belkin無線路由器為例。

B.漏洞原理講原理之前要強調-點：本攻擊方式前提是已經具備連接0標無線網絡的能即已經 破解WEP或者WPA-PSK連接加密！若沒有破解則下述原理無效。由于之前大量舊型號的路由器設計都采用HTTP身份驗證機制，該機制使得處千內網的 攻擊漪町以較容易地實現會話劫持攻擊若具備admin的會話已經存在于無線網絡中，則由 于認證過程在傳輸中是明文的緣故，其密碼等都可以直接通過sniffy獲得若該admin會話處 于有線網絡連接中.則攻擊者也可以使用ARP欺騙等方式來截獲該管理密碼。目前，絕大多數的路由器都支持基于Web的登錄方式，基于IP地址的認證被大部分Web 認證使用，用于替代早期基于Cookie的認證方式為安全起見，基于IP地址的認證也被設定 了一個默認的timeout即超時時間，一般M長都是10分鐘（有的是5分鐘），過時后將要求用 戶麗新使用admin身份登錄。除此之外.基于Web的認證還要求當前被激活的admin會話有且 僅有一個。對于Belkin而言.其多款塑號無線路由器，如貝爾金F5D8233-甚至會友好地將 目前管理路由器的用戶IP地址告訴試圖訪問路由器的其他用戶由于Belkin無線路由器在對管理員進行認證時，僅僅是依據IP地址來區分合法管理員身份，所以只要攻擊者能夠在合法用戶使用管理員身份登錄無線路由器后，在timeout時間來過 期前劫持其IP地址再次登錄，就可以劫持已經認證的會話，從而獲取管理員身份。

B漏洞利用與實現1.漏洞利用思路關于漏洞的利用是需要先準備一下思路的，這里給出一個標準化的順序以供大家參考(1)先分析連接此無線路由器上的客戶端；(2)發動無線DOS攻擊干擾該無線網絡，以迫使用戶登錄路由器進行配置和檢査；(3)確認當前登錄無線路由器進行配it的客戶端1P;(4)攻擊者對合法用戶攻擊迫使其斷線；(5)攻擊者修改自身IP與合法用戶主機IP—致；(6>攻擊者連人無線路由器成功劫持管理員身份；(7〉延伸攻擊。2.具體步隳關于無線路由器認證會話劫持漏洞的使用并不難，具體利用步驟如下。步驟1:先分析連接此無線路由器上的客戶端。攻擊者先使用多種無線分析T.具對當前無線網絡進行抓包分析.使用 airodump-ng來對當前所有無線網絡進行分析.在其中我們可以看到存在一個SS1D名 為“Belldn_Zejiancheng”的無線網絡，啟用加密為WPA-PSK;而在下方黑框處，可以看到當前 有兩個連接至該無線路由器的無線客戶端。其中：00:0E:E8:D3:BF:71是攻擊者的主機；00:1F:3C:45:56:00是已連接的合法無線客戶端。以上兩者都已經連接至SS1D名為"Bdkin_Zejiancheng的無線網絡：

步驟2:發動無線DOS攻擊干擾該無線網絡，以迫使用戶登錄路由器進行配置和檢查。既然目標位Belkin無線路由器，耶么就可能存在認證會話劫持漏洞:攻擊者為了迫使合 法用戶登錄路由器，在通過上面步驟1的掃描確認對方在線后，就會故意對該無線網絡進行 無線D.O.S攻擊.低頻率發送一拽Dcauth或者Disassociate類塑數據包來十擾正常的無線網絡 無線D.O.S攻擊具體這里就不再詳細描述，載入無線網卡。步驟3:確認當前登錄無線路由器進行配置的客戶端在進行一段時間擾亂攻擊后.攻擊者會不斷嘗試登錄Belkin無線路器管理頁面來核査合法用戶是否登錄。當合法用戶已經登錄無線路由器進行操作時，Bdkin會很友好地給。“復制管理員，A user at 192.168,2.3 is managing the router.”意思就是說與前已經有一個 管理員登錄無線路由器進行操作了，而該管理員來自192.168.2.3。

這樣，攻擊者就拿到了具備管理員能力的客戶端IP,并且確認氣前該客戶端用戶正在以管理員身份登錄無線路由器。對照一下之前的內容.攻擊者就找到了該IP對應的MAC地址a 當然，掃描一下也可以，不過耗費時間長些。步驟4:攻擊者對合法用戶攻擊使其強制斷線。此時，攻擊者會立即發動無線模式破壞D.O.S攻擊來將這個具備管理員能力的客戶端強 制斷線，也就是通常所說的直接“踢下線”。在彈出窗口中"ESSIDVICT1ME”處填寫無線路由器的MAC地址，在“MAC VICHME” 處填寫這個具備管理員能力的客戶端MAC,選擇正確的頻道，單擊"VALIDATION”按鈕 即可發動模式破壞攻擊，攻擊的發包率將出現一定的隨機性，最高可達近1000個數據包/秒，該攻 擊的目的是破壞當前已經建立連接的無線客戶端狀態，使其強制掉線。

此時，在受到攻擊的無線客戶端上，會出現明顯的中斷情況。在192.168.2.3 上打開CMD保持ping網關狀態，可以看到出現明顯的中斷。雖然無線客戶端會自動嘗試與 無線路由器重新連接，但是在遭到猛烈的模式破壞攻擊下，該客戶端已無法保持良好的連接狀態步驟5:攻擊者修改自身IP與合法用戶主機IP一致。~攻擊者迅速修改自身IP與之前已連接的客戶端IP—致，并連接無線路由器，在Linux下手動設置IP地址為192.168.2.3,并設K掩碼和網關，填寫正確的WPA-PSK連 接密碼，單擊“OK”按鈕開始連接。經過3 ~ 6秒的等待，在Linux下的無線網絡連接界面中會顯示出已經成功連接，在下方的狀態欄中顯示出 “Connectedto Belkin_Zejiancheng at 77% (IP: 192.168.2.3)” . 即攻擊者已經以192.168.2.3這樣的IP連接到了該無線網絡。此時.若受害客戶端用戶仔細留意的話.會看到此時的Belkin無線路由器出現兩個紅色 的指示燈在閃爍。這是一個很明顯的現象，在其他品牌路由器中并沒有如此 明顯的提示。這兩個指示燈分別代表無線網絡和有線網絡，該閃爍提示實際表示在無線網和 有線網中出現了不同機器同一個IP的情況。步囅6:攻擊者連入無線路由器成功劫持管理員身份。此時，攻擊者在瀏覽器中輸入192.168.2.1來訪問Belkin無線路丨丨1器.會發現已經直接打開管理頁面而無須輸人密碼，可以任總操作了。到此，攻擊者成功完成會話劫持，并以管理 員身份登錄無線路由器可以進行任意配置出于長遠目的考慮，攻擊者也會考慮獲取丐前無線路由器的管理員密碼，以便日后隨意 登錄和設置修改。畢竟.根據經驗，99%的無線用戶也許會偶爾修改一下無線連接密碼.但 卻沒有習慣去修改路由器管理員密碼，在登錄該Belkin無線路由器后，訪問如下頁面：hup://192.168.2.1/ut_sys.html,査看頁面 源文件。捜索關鍵字“http_passwd"后，可以看到的內容，在黑框處可以看到 在“http_passwd”旁，“value="后面顯示的就是加密過的管理員密碼“Y2pjaG53cw=="。

在源文件中上下拉動査找“http_passwd”相關的定義信息，可以看到的內容，在此對“http_passwd”的加密方式有著明確的定義，即使用base64編碼方式。

既然已經獲知了管理員密碼“Y2pjaG53cw==”是經過base64加密的，那么接下來只需要 使用base64的解碼工具解碼即可還有這里推薦一個比較方便的base64解碼器，就是Cain 自帶的Base64 Password Decoder。不要告訴我你沒用過Cain,打開Cain的工具 菜單，選擇 “Base64 Password Decoder” 即可。在“ Base64 encrypted password ”欄輸入之前獲取的管理員密碼 “Y2pjaG53cw==”，在其下方的“Decrypted password”欄就會立即出實際對應的密碼為 “cjchnws”。

這樣，就成功地得到了無線路由器的管理員密碼。那么，作為攻擊者而言，真正的滲透就可以開始了。不但可以在以后隨意登錄無線路由 器.還可以設定端一對一映射，設置多個SSID廣播，設迓多個備選WEP加密密碼等。這個無線路 由器從此也就宣告著徹底地陷落，而對于該無線網絡而言，只是出現了一個臨時中斷的情況，這在平時也是偶然會發生的情況，所以絕大多數無線用戶還根本不知道發生了什么事！這就是提供一種思路，別局限于暴力破解無線路由器密碼帳號！

總結

以上是生活随笔為你收集整理的黑法术高端无线路由器劫持漏洞攻击技术原理的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。