上一次我在“什么是WiFiPineApple之前世今生”介绍了关于WiFiPineApple的发展历史以及相关的硬件,这一次我将会介绍一下关于WiFiPineApple Mark IV的固件以及相关软件功能。
不知道大家是否还记得我们曾经介绍过的“F-BOMB”以及其相关的附属固件“Reticle”,对于相关的介绍你可以访问我们wiki关于“F-BOMB”部分的介绍。在我这里有几点需要补充下,实际上F-BOMB是一种抛弃型硬件式后门,而其内置软件Reticle实际上就是为了分布式运算的僵尸网络而进行设计的软件系统,这是我在wiki没有详细写到的。并且按照当时团长的说法,就是一种可内置Linux系统以及相关安全软件的便携式设备。实际上这种说法是有一定的误导的,所以我们在此进行斧正。
而WiFiPineApple实际上就是我们所说的F-BOMB,当然我们不会视作为可抛弃型的硬件式后门或者蜜罐,怎么说在国内只有长期隐藏式,因为硬件的成本以及相关的投入之类的。WiFiPineApple采用的是台湾ALFA公司设计生产的3G便携式无线路由器,在之前的F-BOMB的硬件类型当中,WiFiPineApple是属于较为容易便携以及移动使用的,而其他的为了考虑到抛弃这个目的,所以会比较贴近目标家庭环境等等,怎么说都是属于网络间谍类的硬件。而WiFiPineApple的软件部分从一开始就是使用Robin Wood基于OpenWrt进行改造而来的Jasager,一开始Jasager只是基于Fon,经过历代的WiFiPineApple的进化,Jasager的影子也慢慢的退去,换来的就是现在MK IV的全新版本。
从使用Jasager那一刻开始,WiFiPineApple就已经丧失了作为普通无线网络服务的功能,收到WiFiPineApple的朋友一开始都会有这样子的想法,为什么这玩意无法正常连接公网或者在不开启蜜罐功能用来作为普通的上网之用,因为原设计师Robin Wood一开始就没有打算其设计的Jasager再次用来作为一个普通无线网络设备系统,默认的系统固件并没有对于iptable进行任何的设置,而是需要用户在使用上有着自己个性化的一面。
我们先从主界面好好了解一下关于WiFiPineApple的一些主要功能以及其附带的特点,整个主界面分为顶部栏、左边的服务状态栏、中间的详细状态栏以及右边的网络接口状态显示四个部分组成的。从左边的服务状态栏,我们可以很直观的看到以下的服务:
Wireless(无线网络开关) MK4 Karma(Karma开关) Autostart(自启动开关) Cron Jobs(计划用户) URL Snarf(URL地址监听) DNS Spoof(DNS欺骗) 3G Bootup(3G设备启动) 3G redial(3G拨号) SSH(SSH通道开启) Stealth
接下来我们会按照服务列表去详细的了解,以便没有WiFiPineApple或者拥有WiFiPineApple等朋友好好清楚明白这些功能是干嘛的,当然顾名思义的部分我就不再解说了。
Wireless无线网络服务
WiFiPineApple的无线网络服务和我们平常使用的3G路由器的相关无线网络服务是有着一定的区别的,WiFiPineApple并非使用OpenWrt的无线网络功能模块,而是使用针对Atheros芯片所特地开发出来的Hostapd,所以当你默认打开Wireless的情况下,实际上Web界面是启动了Hostapd。但并没有激活相关的iptable以及ip_forward,所以你并不能够正常上网的。
MK4 Karma
Karma是为了hostapd而开发出来的一个特殊补丁,其目的就是为了用来欺骗接入无线网络的用户,从而使其可以很平滑的连接到虚假的AP当中,然后进行后续的攻击,这个就是WiFiPineApple最主要的功能特点之一。其原理就是基于无线客户端在扫描的过程中的利用。以下就是无线客户端扫描无线网络的原理。
无线客户端工作过程中,会定期地搜索周围的无线网络,也就是主动扫描周围的无线网络。根据Probe Request帧(探测请求帧)是否携带SSID,可以将主动扫描分为两种:
客户端发送Probe Request帧(SSID为空,也就是SSID IE的长度为0):客户端会定期地在其支持的信道列表中,发送探查请求帧(Probe Request)扫描无线网络。当AP收到探查请求帧后,会回应探查响应帧(Probe Response)通告可以提供的无线网络信息。无线客户端通过主动扫描,可以主动获知可使用的无线服务,之后无线客户端可以根据需要选择适当的无线网络接入。 客户端发送Probe Request(Probe Request携带指定的SSID):当无线客户端配置希望连接的无线网络或者已经成功连接到一个无线网络情况下,客户端也会定期发送探查请求帧(Probe Request)(该报文携带已经配置或者已经连接的无线网络的SSID),当能够提供指定SSID无线服务的AP接收到探测请求后回复探查响应。通过这种方法,无线客户端可以主动扫描指定的无线网络。
Karma就是利用Hostapd的可操作性从而捕抓无线客户端的带有ESSID的Probe Qequest,然后模拟相关的ESSID,从而使得无线客户端进行链接。大家可以使用Airbase-ng当中P参数进行相关的模拟测试。
URLSnarf
URLSnarf作为Dsniff工具包的其中一个程序,可以嗅探HTTP请求报文的内容,并以CLF (Common Log Format)通用日志格式输出,而其在国内是较为少人使用的软件之一。通过URLSnarf你可以获取到经过WiFiPineApple访问外网的所有URL连接内容。
DNS Spoof
DNSSpoof作为Dsniff工具包的其中一个程序,可以用来作为DNS欺骗之用,使得访问WiFiPineApple的用户可以访问你重新设置DNS,DNSSpoof和URLSnarf不一样的就是,它在国内的受欢迎程度高于后者。
Dsniff是一个著名的网络嗅探工具包。其开发者Dug Song早在1999年12月,以密歇根大学CITI研究室(Center for Information Technology Integration)的研究成果为基础,开发了这个后来具有很大影响力的网络安全工具包。Dug Song开发Dsniff的本意是揭示网络通信的不安全性,借助这个工具包,网络管理员可以对自己的网络进行审计,也包括渗透测试。但万事总有其两面性,Dsniff所带来的负面作用也是“巨大”的,首先它是可以自由获取的,任何拥有这个工具包的人都可能做“非正当”的事,其次,Dsniff里面的某些工具,充分揭示了一些安全协议的“不安全性”,例如针对SSH1和SSL的MITM(Man-In-The-Middle)攻击工具—SSHmitm和Webmitm。SSH1和SSL都是建立网络通信加密通道的机制,向来被认为是很安全的,但人们在具体使用时,往往因为方便性上的考虑而忽视了某些环节,造成实事上的不安全。
或者看到这里,有些朋友会问:“如果我需要安装这些以外的功能模块的情况下,应该如何操作呢?”,接下来我们就看看WiFiPineApple另外一个特点:“PineApple Bar”
PineApple Bar
对于老外起名字的习惯来说是无法了解“PineApple Bar”这个名词应该怎么翻译,所以我将这个作为“应用下载”来进行了解。当各位拿到WiFiPineApple之后,可以访问该功能模块,然后你可以选择你需要的功能模块进行下载并且安装。但是鉴于MIPS架构下,Flash的容量不会太大,所以大家在安装功能模块的时候,要考虑到取舍!就是说当你在使用WiFiPineApple要按照环境以及功能需求去进行功能模块的定制,而不是重装上阵,减少对于Flash容量的负载。当然也不排除有些朋友喜欢重装上阵的,所以PineApple Bar在安装的选择当中包括了“本地存储”以及“USB存储”两种选择。你可以把占用空间较多的ipk安装在USB存储而并非是本地存储。
WiFiPineApple提倡的是便携、简单易用、高度定制化、扩展性强等特点,所以WiFiPineApple在网络功能部分以及外部扩展支持方面都较好,然而网络功能部分分为以下几种:
利用3G上网卡等终端设备进行连接,然后获取外网访问渠道,然后共享3G信号为WiFi信号,从而进行定点或者移动的WiFi主动或被动式攻击。
利用Android设备进行USB网络共享连接,利用Android设备的网络作为外网访问渠道,然后将Android设备的网络转化为WiFi信号,从而进行定点或者移动的WiFi主动或被动式攻击。
利用rt8187L之类支持Aircrack-ng等软件的无线网卡连接到WiFiPineApple,然后利用Aircrack-ng等程序进行无线网络的破解攻击,或者是利用无线网卡进行中继等操作。在国外使用WiFiPineApple的使用案例当中,利用WiFi Relay进行WEP/WPS的破解是最为常见的。
利用PC先有网络作为共享,使得WiFiPineApple利用PC的共享网络进行攻击以及操作。
利用PineApple作为无线网卡,将WiFi信号转为有线信号提供给PC进行外网访问。
这是功能最简单的脱机模式,无需任何设备以及网络作为支持的使用模式。
以上6种网络功能模式大部分都需要依靠ip_forward和iptable辅助才可以完成。
WiFiPineApple是除了Pwnie Express产品系列以外,商业化安全设备最为之受欢迎的,和Pwnie Express的产品一样,它的架构也是基于Linux,但并非只是我们曾经断言只是利用这样子的便携安装了一个Linux并且放一大堆Linux安全而已,当接触之后,我们发现其产品底层和功能的整合都是经过一番努力和付出的。为了节省那么一点点kb的空间,看得出来这两家公司在MIPS产品的设计方面都是有下苦心的。特别是WiFiPineApple在无线功能模块的设想,是我们所没有想到的。希望看过第一篇文章以及第二篇文章的各位,对于F-BOMB、WiFiPineApple等等的硬件渗透设备都有一个更加清晰明白的了解了。