무선 AP 공격 기법

- 환경

공격자 : 칼리리눅스

타겟 : Nova_AP(SSID), WPA와 TKIP(암호 기술), SecreatKey12#(비밀번호)

 

- 원리

무선 AP는 PSK로부터 PMK를 만들어내고, PMK로부터 PTK를 만들어내고 PTK로부터 MIC를 만들어냅니다.

• PSK : 미리 공유한 키
• PMK : 마스터 키
• PTK : 대칭키로 데이터 기밀성에 사용
• MIC : MAC으로 데이터 무결성에 사용

이때 4 handshake 통신에서 패킷을 스니핑해보면 PSK와 PMK를 제외한 나머지들을 확인할 수 있습니다. 따라서, 공격자는 패스워드를 사전에서 추측하여 PSK를 추측해서 PMK를 만들고 노출된 파라미터를 이용해 PTK를 만들고 이를 노출된 MIC 값을 통해 검증할 수 있습니다.

 

- 무선랜 인터페이스 모드 활성화

유선랜에서 premiscuous mode와 동일하게 무선 랜에서는 모니터 모드를 설정할 수 있습니다. 먼저 , iwconfig 명령어로 무슨 모드인지 봐보겠습니다.

wlan0 인터페이스의 모드는 managed 임을 확인할 수 있습니다. 이는 나에게 온것만 받아들이는 모드입니다. 이를 airmon 툴로 변경해줍니다.

airmon-ng start wlan0

다시 확인해보겠습니다.

wlan0가 wlan0mon으로 바뀐것을 확인할 수 있습니다.

 

- 탐지

이제 모든 패킷을 받아 어떤 AP를 해킹할 건지 탐지합니다.

airodump-ng wlan0mon

가운데에 TKIP을 사용하는 Nova_AP가 보입니다. 오늘 해킹할 타겟입니다.

 

- 스니핑

스니핑은 AP와 AP의 공유키를 알고 있는 사람간의 4 handshake 과정을 스니핑해야합니다. 따라서 공유키를 아는 사용자를 알아내서 연결을 끊어내고 다시 사용자가 AP에 자격증명을 하게 만들어야합니다. 먼저 사용자를 스캔해보겠습니다.

 

<사용자 스캔>

airodump-ng --bssid 18:C5:01:BB:66:06 -c 7 -w wpa wlan0mon

BSSID는 AP의 MAC번호이고 STATION이 사용자 MAC 번호입니다. 이둘을 가지고 AP에게 사용자로 위장해서 연결을 끊어줍니다.

 

<연결 끊기>

aireplay-ng --deauth 100 -a 18:C5:01:BB:66:06 -c 30:52:CB:3A:08:A1 wlan0mon

이제 사용자는 다시 AP에 로그인할 것입니다. 이를 스니핑 해봅시다.

 

<4hand shake 스니핑>

airodump-ng --bssid 18:C5:01:BB:66:06 -c 7 -w wpa wlan0mon

notes 부분 밑에 EAPOL이 있는 걸 확인할 수 있습니다. 이게 있어야 비밀번호 크래킹이 가능합니다.

 

- 사전 공격

이제 사전 공격을 실시합니다.

aircrack-ng -w /usr/share/wordlists/rockyou.txt wpa-01.cap

저는 실패했습니다. 그 이유는 사전 안에 SecreatKey12#이 없기 때문입니다. 즉, 패스워드를 길게 대소문자 섞고 특수기호까지 넣었기 떄문입니다. 이는 비밀번호 크래킹이 손쉽게 됨을 막을 수 있습니다. 브루트포싱에는 시간이 많이 걸릴것입니다.