copy
一 簡介
The WiFi Pineapple 是由國外無線安全審計公司Hak5開發并售賣的一款無線安全測試神器(俗稱大鳳梨),從2008年起目前已經釋出到第六代産品。目前的主打産品是The WiFi Pineapple NANO 和WiFI Pineapple TETRA(支援5GHz頻段)
手上這款是WiFi Pineapple NANO
産品規格:
·CPU:400 MHz MIPS Atheros AR9331 SoC
·記憶體:64 MB DDR2 RAM
·磁盤:16 MB ROM + Micro SD(6G)
·無線:Atheros AR9331(wlan0)+ Atheros AR9271(wlan1),均為IEEE 802.11 b / g / n
·端口:(2)RP-SMA天線,USB網卡(ASIX AX88772A)
·USB 2.0主機,Micro SD讀卡器
·電源:USB 5V 1.5A. 包括 Y型USB電源線
·可配置狀态訓示燈LED
·可配置的重置按鈕
二 使用背景
對于這種黑客 “外設” 來講,和其他外設沒什麼兩樣,都是燒錢的東西,那這個東西在什麼情況下入手比較合适呢?
1安全研究
對于正在進行安全研究并計劃将研究方向定為wifi安全的小夥伴們,可以使用這款 “外設” 作為入門和進階的部分,能夠帶領我們了解一些常見的wifi安全問題、原理和攻擊手段,進一步的可以分析這些利用工具的原理,實作方法,組合攻擊手段
2安全示範
如果你是安服的小夥伴,給客戶示範的時候不要總是帶着自建靶場,給上司搞一個SQL注入,永恒之藍,過時了!就算你配合Cobalt Strike來個主機上線,也頂多是視覺上的刺激。你帶個wifipineapple,現場來個中間人,搞個綿羊牆,抓個密碼,豈不美哉?
3有錢
您老要是有閑錢,那就買個玩玩!
三 管理
安裝與配置過程不在此贅述,網上均有相關指導文章,在本文第十章”參考連結”處也能找到, 可以使用 USB 網卡或 wifi 進行網絡接入
Web管理端位址:http://172.16.42.1:1471
第一次登陸會以root身份登陸,并在安裝時配置密碼, 這個密碼将同樣作為ssh連接配接時的root密碼
四 特性
a.用作 Wi-Fi 中間人攻擊測試平台
b.一整套的針對 AP 的滲透測試套件
c.基于 WEB 應用的管理界面
d.基于嵌入式 linux 系統
e.不定時的各種軟體更新,可以自定義子產品、payload
五 管理頁面簡介
1 Dashboard儀表盤
儀表盤上顯示了一些狀态、統計資訊、通知和公告的概覽視圖,包括:
CPU 使用率、裝置運作時間、用戶端連接配接數量
Landing Page 浏覽狀态,公告
Bulletins從wifipineapple.com擷取的最新項目資訊
2 Recon偵察
Recon子產品采用被動式掃描方式,掃描過程會自動将網卡設定為監聽模式,監聽周圍不同信道上(用戶端)發出的各種資料包。能夠掃描出SSID、MAC位址、加密方式、是否啟用了WPS功能、信道及信号強度等資訊,甚至還能掃描出目前未連接配接任何AP的用戶端
從下拉清單為掃描的持續時間,增加掃描時間可以在每個信道上看到更多潛在的流量,選中“Continuous”框将啟用正在進行的掃描。每隔一段時間進行持續掃描,并更新掃描結果清單,直到掃描停止
掃描結果将顯示在表格視圖中
未關聯的用戶端僅顯示 MAC 位址。這些用戶端具有活動無線電,但不與接入點關聯
單擊SSID和MAC位址旁的下拉菜單,會出現如下兩張圖的菜單,用于 PineAP 子產品的 Filter(過濾) 和 Tracking(追蹤) 功能,以及進行 Deauth(取消認證洪水) 攻擊中發送取消身份驗證幀的倍數參數
需要注意的是,使用 Recon 子產品進行掃描将會斷開已有的連接配接
3 Clients用戶端
如果在 PineAP 中勾選了 Allow Associations(允許關聯),WiFi Pineapple将允許用戶端進行連接配接
已連接配接的用戶端将在“ Clients ”視圖中列出它們各自的MAC位址,IP位址,它們已連接配接的 SSID (如果在PineAP中啟用了Log Probes(日志探測) 功能)和主機名
Kick按鈕可以從Wi-Fi Pineapple網絡中删除用戶端
MAC位址和SSID旁邊的下拉菜單按鈕用于 PineAP 子產品的 Filter 和 Tracking 功能
Refresh按鈕可以重新整理Clients表格視圖
4 Filters過濾器
可以通過用戶端MAC位址或SSID來執行過濾。支援“Deny”和“Allow”模式,可以使用Swith按鈕進行切換
Client Filtering 用戶端過濾
在Deny Mode下,用戶端過濾器中列出的具有MAC位址的用戶端将無法連接配接到WiFi Pineapple
在 Allow Mode下,隻有用戶端過濾器中列出的具有MAC位址的用戶端才能連接配接
進行WI-FI安全測試時,最好使用“Allow Mode”以確定僅針對參與範圍内的用戶端
SSID Filtering SSID過濾
在Deny Mode下,如果用戶端嘗試連接配接到過濾器中列出的SSID,則用戶端将無法與WiFi Pineapple關聯
在 Allow Mode下,如果過濾器中列出了他們嘗試連接配接的SSID,則用戶端隻能與WiFi Pineapple關聯
SSID可以從與Recon中各自清單相關聯的菜單按鈕添加到過濾器中,也可以手動添加或删除過濾器中的條目
5 PineAP Pine接入點
PineAP是通過僞造的Probe Response響應包來響應周圍的用戶端(可能是筆記本、手機、pad等等),讓用戶端以為周圍存在着曾經成功連接配接過的無線AP,而用來欺騙用戶端進行連接配接我們的Pineapple Nano裝置
Allow Associations 允許關聯
此項被勾選時,用戶端可以通過任何請求的 SSID連接配接到Pineapple
禁用時,用戶端将不允許被連接配接。相當于以前的 karma
Log Probes 日志探測
開啟後,将記錄用戶端的探針請求。可以從 Logging 子產品裡看檢視分析
Log Associations 日志關聯
開啟後,用戶端的連接配接資訊将會被記錄。可以從 Logging 子產品裡檢視分析
禁用後,連接配接成功的資訊将不被記錄,并且不會出現在 Clients 子產品的 SSID 一欄裡
PineAP Daemon PineAP 守護程序
這個程序必須開啟
可以使用 Beacon 響應,捕獲 SSIDs 到池裡,以及對SSID進行廣播
這個設定會作用于 wlan1 ,并且 wlan1 不能用于 Client 模式去橋接外網
Beacon Response Beacon 響應
開啟之後,目标 beacons 将會發送給用戶端裝置,用來響應用戶端的 SSID 探針請求
這些 beacons 将不會被廣播,而是指定發送給發送了探針請求的用戶端裝置。這可以防止beacon 被其他裝置看見。如果 Allow Associations 啟用并且有用戶端連接配接,目标 beacon 響應将持續發送給用戶端裝置一段時間
Beacon 響應将會使用源 mac 位址設定,并且也會與廣播 SSID池特性共享
Beacon 響應間隔将決定發射的頻率
Capture SSIDs to Pool 捕獲SSID到池中
開啟之後,将會把捕捉到的探針請求裡的 SSID 儲存到 SSID 池中
Broadcast SSID Pool 廣播SSID池
開始之後,SSID 池将會按照設定的時間間隔以及源位址、目标位址來廣播beacon
SSID 池也可以手動來管理,相當于以前的 Dogma
Source MAC 源Mac位址
預設情況下,是Pineapple wlan0 的 Mac 位址,可以在 Networking 裡進行設定
Target MAC 目标Mac位址
預設情況下是廣播的 Mac 位址 FF:FF:FF:FF:FF:FF
用于廣播幀資料将會被附近的用戶端識别,如果設定為某一個固定的 mac 位址,将會對該位址本身進行 PineAP唯一的攻擊目标
類似 beacon 響應,隻有池中的 SSID 廣播會被目标用戶端看到
如果使用了 Filters,将更精确的定位到目标裝置
Broadcast SSID Pool Interval 指定廣播 SSID 的時間間隔
間隔越小,對 CPU 的占用就越高
Beacon Response Interval 指定 beacon 響應的時間間隔
間隔越小,對 CPU 的占用就越高
Save as Default on Boot 儲存為啟動預設配置
将會把設定儲存,并且系統啟動時會繼續執行
SSID Pool SSID池
當 Capture SSID Pool 功能開啟時,将會自動記錄捕獲到的SSID,也可以手動添加或删除
6 Tracking跟蹤
跟蹤功能将按MAC位址連續掃描指定的用戶端,并執行可自定義的跟蹤腳本
此功能需要啟用 PineAP 的 Log Probes 和 Log Associations 中的至少一個選項
可以手動添加用戶端,也可以在 Clients 或 Recon 視圖中關聯的MAC位址使用 PineAP Tracking Add MAC 按鈕添加 Mac 位址到此子產品中
當用戶端被識别時,将會執行自定義腳本
7 Logging日志記錄
Logging子產品共記錄了 PineAP Log、System Log、Dmesg、Reporting Log四種日志
PineAP Log
如果啟用了Log Probes 和 Log Associations其中的一個或全部,則按時間順序顯示PineAP事件。每個事件都包含時間戳,事件類型(探測請求或關聯),用戶端裝置的MAC位址以及裝置探測或關聯的SSID
可以對結果進行過濾,在按下”Apply Filter”之前,過濾器不會生效,預設情況下,PineAP日志位于/tmp中,重新開機不會儲存
PineAP Log
系統日志,沒什麼好說的
Dmesg
裝置故障的診斷,硬體連接配接斷開等資訊
Reporting Log
生成報告日志
8 Reporting報告
此功能能夠以指定的間隔生成報告。報告可以通過電子郵件發送,也可以本地儲存在SD卡上
報告内容可選,包括PineAP日志(可以在生成報告後删除),PineAP Site Survey(可指定掃描時間)PineAP 探測和跟蹤用戶端報告。
9 Networking網絡
在 Networking 子產品中,可以更改路由,接入點,MAC位址,主機名,并使用WiFi用戶端模式連接配接到接入點
Route 路由
顯示核心IP路由表,可以針對所選接口進行修改,預設網關為172.16.42.42
使用WiFi Pineapple Connector Android應用程式時,IP路由将自動更新以使用usb0作為預設網關
下拉菜單可以重新開機DNS服務
Access Points 接入點
可以配置WiFi Pineapple主要開放接入點和管理接入點。開放和管理接入點共享相同的信道
可以隐藏開放接入點,并且可以禁用管理接入點
WiFi Client Mode WI-FI用戶端模式
能夠将WiFi Pineapple連接配接到另一個無線接入點,以進行Internet或本地網絡通路
MAC Addresses Mac位址
可以手動更改MAC位址,也可以設定随機MAC,更改MAC可能會斷開連接配接的用戶端與WiFi Pineapple的連接配接
Advanced 進階
能夠更新主機名
下拉菜單中能夠将WI-FI配置恢複預設
顯示ifconfig的輸出
10 configuration配置
General 正常
一些裝置的正常設定,如設定時區、更改密碼、關機、重新開機、恢複出廠設定
Landing Page 着陸頁面(釣魚)
啟動後,用戶端全部連結将會被強制導向到此頁面,頁面通路的統計資訊将會顯示在 Dashboard 上
頁面可以是 PHP 或 HTML 的
隻有WiFi Pineapple具有Internet連接配接時,才會顯示此頁面
例如下圖是之前寫的模仿某寶的釣魚頁面
11 Advanced進階
進階視圖提供有關系統資源,USB裝置,檔案系統表,CSS以及更新WiFi Pineapple固件的功能的資訊
Resources 資源
顯示檔案系統磁盤使用情況和記憶體,下拉菜單按鈕可以清除頁面緩存
USB
顯示外接USB,設定檔案系統表(fstab)。下拉菜單按鈕可以格式化SD卡
CSS 層疊樣式表
可以修改WiFi Pineapple Web界面樣式表
Firmware Upgrade 固件更新
固件更新将替換所有資料(不包括SD卡或USB等外部存儲器)
更新前應備份重要的非系統資料
六 常用子產品
Dwall綿羊牆
DWall 是一款可以實時抓取 http 資料的插件,并且可以實時展示在web頁面上
Enable開啟子產品,Start Listening 開始監聽
所有連到 Pineapple 用戶端的http連接配接都會被抓到
頁面顯示了用戶端、URL、Cookies、資料内容,以及圖檔
Deauth 取消驗證洪水攻擊
De-authenticationFlood Attack,全稱為取消身份驗證洪水攻擊或驗證阻斷洪水攻擊,通常被簡稱為Deauth攻擊,是無線網絡拒絕服務攻擊的一種形式。它旨在通過欺騙從AP到用戶端單點傳播位址的取消身份驗證幀來将用戶端轉為未關聯/未認證的狀态
normal模式下,選中網卡,點選 Start 後就開始攻擊攻擊過程中同網段内的網絡認證(由于NANO不支援5G,是以攻擊僅支援2.4G)均會失敗,無法認證并連接配接
要針對某個WI-FI攻擊,可以在Editor中選中網卡,掃描WI-FI,并Add to Blacklist(添加到黑名單),在Mode中也選擇blacklist,輸入Channels,信道可以去SiteSurvey中檢視
測試過程中發現,blacklist模式不生效,Pineapple 沒有發出資料包;normal模式可以使用,但已經認證成功并通信的連接配接無法阻斷,隻能攻擊正在進行認證的連接配接
DNS/DNSMasq Spoof DNS欺騙
這個插件會啟動 DNSMasq 服務,對用戶端通路的域名進行重定向
在Hosts處填寫要重定向的域名,寫法與其他 Hosts 檔案一緻
此處可以填寫内網配置好的釣魚伺服器,也可以指到Pineapple,并在上面搭建服務
點選 Start 之後,重定向就開始了,ping 域名可以發現被重定向到了内部網絡IP
針對釣魚頁面,可以修改Landing Page,也可以編寫自己的頁面,網頁儲存位置位于 /www 中
支援 php 和 html
urlsnarf URL捕獲
標明網口後點選 Start ,子產品将會捕獲全部的HTTP流量,GET及POST的資料均會顯示
顯示格式為web通路日志類型
Evil Portal 惡意門戶認證
子產品主要由以下幾個部分組成:
Controls(控制):啟用子產品和設定自動啟動;
Word Bench(建立工作目錄):包含門戶頁面的php檔案等;
White List(白名單):不需要通過門戶認證頁面跳轉的IP位址清單;
Authorized Clients(認證用戶端):目前通過門戶頁面認證跳轉過的IP位址清單;
Live Preview(預覽):預覽惡意門戶頁面。
Evil Portal子產品和自帶的Landing Page功能很像,差別在于Landing Page僅能夠提供一個強制跳轉顯示頁面的效果,不具有認證、白名單以及更自由化的門戶頁面自定義功能。Evil Portal能夠實作像現在的商業WiFi接入通路一樣,提供一個由我們自定義的認證頁面,引導用戶端使用者完成認證及跳轉功能
建立名為 test1 的項目,系統會自動生成三個頁面
可以随意修改三個頁面達到想要的效果,也可以SSH登入到Nano的系統中,找到Evil Portal的配置檔案夾直接将我們編輯好的頁面複制進去
如果要啟動該項目,需要點選 Activate 按鈕進行激活,就可以在 Live Preview 功能下看到頁面狀況
啟用子產品後,凡是連接配接Pineapple wifi的用戶端,均需要進行認證後再連接配接網絡
下面進行一個簡單的示例,我們修改源代碼
index.php
MyPortal.php
此處注意目錄的寫權限,否則可能儲存不成功
ssh到Pineapple或使用Cabinet子產品管理檔案,在子產品所在路徑下建立portal.log
認證一下,看看建立的log檔案中是否記錄
連接配接後的用戶端也會被記錄
ettercap 中間人攻擊
這個子產品相當于調用 ettercap 這款工具進行中間人欺騙,将參數轉換為web頁面,并将輸出傳回到頁面上
SSLsplit SSL分離
SSLsplit可以作為中間人監聽 SSL 資訊及 HTTP 資訊。SSL 實作代理的同時要與伺服器建立連接配接,同時僞造證書與用戶端建立連接配接,即雙連接配接,依據擷取的 Client 資訊再與伺服器通信,進而實作明文資料監聽
Configuration無需改變,使用預設即可
在用戶端使用HTTPS進行通訊時,将會由SSLsplit作為中間代理
SLLsplit的實作需要配合其他欺騙手段,如果有Clients連接配接到Pineapple,那麼就直接可以進行攻擊,如果要攻擊的目标在同一網段内,則需要将目标流量定向到此子產品的監聽端口,通常配合 ettercap等欺騙軟體
如果網站具有HSTS(HTTP Strict Transport Security),網站将不能正常顯示,也就無法攻擊
tcpdump 網絡資料采集
tcpdump可以将網絡中傳送的資料包完全截獲下來提供分析。它支援針對網絡層、協定、主機、網絡或端口的過濾,并提供and、or、not等邏輯語句來去掉無用的資訊,是一款非常進階的網絡資料分析工具
與Pineapple上很多其他的子產品一樣,提供的可供點選的web管理界面
Options提供了基本的選項子產品
在下方選中或勾選的參數将會被格式化到 Command 處
Interface 為需要監聽的端口
Verbose 對應 -v 選項,代表輸出封包資訊的詳細程度
Resolve 對應 -n 選項,不将主機名轉換為IP位址,以及不進行端口名稱的轉換
Timestamp 對應 -t 選項,指定是否輸出時間戳或時間戳格式
Don’t print domain name qualification of host names:對應 -N 選項,不輸出主機名中的域名部分。例如,’wiki.ver007.org’隻輸出’wiki’
Show the packet’s contents in both hex and ASCII:對應 -X 選項,在解析和列印時,除了列印每個包的報頭之外,還要用十六進制和ASCII列印每個包的資料(通常用于分析一種協定)
Print absolute sequence numbers:對應 -S 選項,将tcp的序列号以絕對值形式輸出
Get the ethernet header as well:對應 -e 選項,在輸出行列印出資料鍊路層的頭部資訊
Show less protocol information:對應 -q 選項,快速輸出。隻輸出較少的協定資訊
Monitor mode:對應 -I 選項,使标準輸出變為緩沖行形式,可以把資料導出到檔案
Filter提供了一些過濾規則,我們可以利用Filter編寫過濾表達式,用來比對得到我們想要的結果,在點選參數之後,手動輸入參數值,并繼續點選下一個參數,同樣的,如果你熟悉tcpdump的話,可以進行手工填寫,跟wireshark什麼的過濾文法道理都類似
Output為系統回顯,History則可以檢視和管理抓住的完整tcp資料包
例如,我想檢視172.16.42.225和m.tool.chinaz.com之間端口為80的通訊
Output中輸出一些資訊
history中能看到捕獲的資料包
在此處可以将捕獲的包下載下傳,得到一個pcap檔案,可以在wireshark、networkminer、科來等其他工具中
具體的使用方法就根據需求不同定制,需要熟悉過濾表達式的編寫
需要注意的是,tcpdump隻能抓取流經本機的資料包,是以確定有 Client 連接配接上網
由于頁面僅提供部分指令,如果想要達到與指令行完全一樣的效果,可以SSH連接配接到Pineapple直接運作tcpdump.sh,路徑在/pineapple/modules/tcpdump/scripts
Meterpreter 漏洞攻擊
大名鼎鼎的 Meterpreter,配置主機端口後能夠接收會話,無需更多介紹
nmap 網絡地圖
著名的網絡掃描工具,用法一模一樣
Options(選項)與圖形化的Nmap頁面相似,輸入目标,在 Profile 中選擇一些預置的規則
各種參數設定在下面可以手動點選
也可以在 Command 處手動輸入參數
結果會回顯在 Output 中,也可以在Log Manager子產品中檢視記錄結果
測試發現無論針對内網和外網掃描,過程都比較慢,而且經常有程序退出的情況,效果不是很好
APITokens API令牌
/api 允許對Pineapple子產品進行遠端調用,存儲路徑為/pineapple/api
已生成的API令牌存儲在Pineapple本地資料庫中,路徑為/etc/pineapple/pineapple.db
本子產品的作用就是提供對API調用的通路控制
隻有在本子產品中生成APIToken,并作為JSON參數進行傳遞時,Pineapple才會傳回結果
autossh 反向SSH連接配接
autossh是一個程式,原理是啟動一個 ssh 副本并進行監視,如果程序中斷或停止流量傳輸,則根據需要重新啟動
想法來自rstunnel,但是由C語言編寫的,使用端口轉發循環或遠端回顯服務進行連接配接監視
當遇到連接配接被拒絕等快速故障時,能夠降低連接配接嘗試的速率
多數情況下,程式用于反向SSH,以及解決連接配接不穩定等問題,利用這個子產品,我們可以利用具有公網IP的VPS随時随地連接配接到 Pineapple 下進行操作
例如VPS 使用者是 root IP是 1.1.1.1 SSH端口是 22,在反向連接配接Pineapple時,需要登入的端口是 8888
那麼應該如下填寫
填寫後點選Save儲存到下方的指令行中
在Additional Configuration(附加配置)中生成公鑰
SSH到 Pineapple中,執行
cat ~/.ssh/id_rsa.autossh.pub | ssh -p 22 [email protected] \'mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys\' 輸入VPS密碼,将Pineapple公鑰導入VPS的authorized_keys中
點選Start
此時 SSH 反向連接配接已經建立,可以随時随地在VPS中ssh連接配接到 Pineapple
在vps中輸入
ssh localhost -p 8888 再輸入Pineapple NANO 的密碼,即可成功登入
base64encdec BASE64編/解碼
一個普通的 base64 編碼/解碼 子產品
Cabinet 檔案管理
可以了解為一個檔案管理的webshell(-_-||)
Commander 指揮者
此子產品能夠允許我們通過IRC來控制Pineapple
下面這個圖是官方論壇截的,從來沒用過IRC,這輩子可能都不會用了,此子產品略過了
ConnectedClients 已連接配接用戶端
這個子產品直覺的顯示通過不同網卡連接配接的不同用戶端
包括主機名稱、IP位址、MAC位址
可以對用戶端進行 Disassociate(取消關聯)、Deauthenticate(解除認證)、Blachlist(黑名單)操作
CursedScreech 指令執行
這是一個遠控子產品
Sein:資訊收集功能,當監聽的網絡内出現漏洞系統時,将會更新子產品的 target 清單
Kuro:攻擊功能,自動嘗試連接配接Sein功能發現的目标機器,并連接配接
Listening Interface(監聽端口):用于多點傳播socket的接口,如果目标直接連接配接到Pineapple,使用br-lan就可以
Multicast Group(多點傳播組):發送和接收目标心跳的位址,對于Sein和目标機器,組需要相同
Multicast Port(多點傳播端口):Sein将從目标接收消息的端口。這個端口需要在payload的startMulticaster()方法中
Heartbeat Interval(心跳間隔):payload發送廣播的間隔,Sein在3個心跳間隔還為收到廣播包的話,就會判斷目标為掉線狀态
Kuro Keys/Target Keys(密鑰):用于TLS通信時的密鑰,可以使用Papers子產品建立Keys
可以從下方兩個下載下傳按鈕下載下傳 C# 和 Python 的payload模闆
Activity Log(活動日志):記錄 Kuro 功能執行過程中産生的全部記錄,使用子產品的大部分時間都是盯着這裡看
右邊的Targets就是一個上線機器清單,以及一個指令執行功能
如果有目标機器的話,可以通過Select選擇機器,并執行指令
EZ Cmds事先預置了一些cmd指令,可以添加及删除
設定好了之後,按照下載下傳的模闆,編寫payload,在目标機器上運作
運作後點選Sein進行監聽,測試時發現python版本的payload在監聽後需要多等一下才能上線,此處要耐心等待一下,上線後可以開啟Kuro,再耐心多等一會
當日志顯示Kuro is ready後,就可以執行指令了
dump1090 接收/解碼無線信号
本子產品能夠對 1090MHz 的無線電進行收取和解碼,通過調用google-API等方式,可以在web地圖上描繪出飛機的軌迹,當然也可以手動更改頻率如:
我國民航使用的無線電頻率:1090MHz
民用對講機使用的無線電頻率:408-409MHz
警用頻率:350-390MHz
等等
軟體有很多參數,但是界面上隻顯示了Gain
Checkbox 參數可以切換度量衡使用公制機關、切換到自動擷取、增大功率、将結果輸出為csv格式
使用此子產品需要RTL-SDR(電視棒)接收無線電信号,插入子產品,将顯示地圖
get 擷取
get子產品用于擷取用戶端連接配接資訊,包括浏覽器和相關插件
能夠擷取連接配接到 Pineapple 的 Clients資訊,點選View Information能夠檢視擷取的詳細資訊
識别庫比較老,插件識别的也比較少,能夠擷取螢幕尺寸還是挺驚喜的,不過在實戰用處一般
HackRF 無線電攻擊
這個子產品需要配合HackRF 硬體進行使用,在接入HackRF後,會出現一個簡單的設定界面
子產品選項相當于 hackrf_transfer 的相關參數
Sample Rate(采樣率):每秒發送或接受的樣本量。受到系統計算能力限制,設定過高可能會導緻系統不穩定,此處建議設定預設10M或更低,相當于 -s
Center Frequency(中心頻率):就是HackRF開始調諧的頻率,相當于 -f
Transceiever Mode(收發方式):HackRF是半雙工工作模式,是以必須指定是要 TX(發送)還是RX(接收),相當于 -t 或 -r
File Name(檔案名):目标檔案路徑,可以将收到的信号記錄,也可以從檔案發送
RF Amp & Antenna Power(射頻放大器和天線功率):Enable RF AMP可以指定是否開啟射頻放大器,Antenna Power可以指定功率是否被傳送到天線端口
RX IF Gain & RX BB Gain(RX二中頻增益和RX BB增益):根據不同層級的db及步長選擇增益模式
Repeat Transmission & TX IF Gain(重複和TX二中頻增益):是否重複播放,以及設定發送增益
先進行錄制,并儲存到檔案中
然後進行重放,即可攻擊成功,如果重放失敗,可以調整放大器的增益
在實際測試過程中,将會如上圖報錯,調試了一會依舊無法實作功能
這個子產品僅僅是簡單的收取/重放,如果想要解碼、編碼再重放,單靠這個是實作不了的,而且在不清楚無線電工作頻率的情況下還是沒有辦法使用,是以還是将其定義為示範子產品
Key Manager 密鑰管理
如題,本子產品是用于SSH密鑰管理的子產品
生成SSH Key Pair之後,自定義Remote Host(遠端主機)主機名、端口、賬戶、密碼
下面兩個按鈕就是将自己的公鑰複制到對方的主機上,或将對方的公鑰加入自己的主機上
在Known Hosts(已知主機)中可檢視和管理目前已儲存的一些公鑰
LED Controller LED燈控制
如題,就是一個控制LED燈的子產品
Trigger(觸發器)有三個選項
Netdev:在網絡傳輸時會閃爍,Mode(模式) TX 代表發送 RX 代表接收,Interface 輸入要監聽的網口
Timer(計時器):将會根據設定的On和OFF時間進行交替亮滅,差不多是個呼吸燈,機關是 ms(毫秒)
設定為None時将會常亮,測試效果沒有圖,但子產品還是好用的
Log Manager 日志管理
該子產品能夠檢視和管理各個子產品産生的日志
能夠顯示名稱、子產品、大小、日期,并能夠檢視、下載下傳和删除
Modem Manager 數據機管理
這個子產品允許Pineapple通過3G和4G USB數據機連接配接到網際網路
這個子產品暫時不知道怎麼用,略過
Module Maker 子產品制作
能夠生成及管理子產品
并給出了子產品需要的模式
是一個為開發者編寫新子產品的web界面
ngrep 網絡抓取
ngrep就相當于網絡版的grep,支援大量的作業系統和網絡協定。能識别TCP、UDP和ICMP包,了解bpf的過濾機制。與 tcpdump 類似
Occupineapple 占領
Occupineapple 是一個幹擾子產品,能夠在周圍生成各種随機或者自定義的SSID
Speed:每秒發送的資料包
Channel:在哪個信道上生成虛假AP
Show station as Ad-Hoc:将站點顯示為點對點
Set WEP bit (Generates encrypted networks):設定WEP位(生成加密網絡)
Show station using WPA TKIP encryption:顯示使用WPA-TKIP加密的站點
Show station using WPA AES encryption:顯示使用WPA-AES加密的站點
Use valid accesspoint MAC from OUI database:使用來自OUI資料庫的有效Access
Editor 參數處可以選擇、編輯或建立List,List中存放SSID名稱及Mac位址
在配置好參數後,點選Start就會在周圍生成List中名稱的SSID
可以看到生成了事先預設的SSID
這個子產品的作用目前隻能想到有兩個,第一個就是SSID廣告,可以利用這個釋出一些廣告資訊,第二個是導緻無線網卡産生拒絕服務攻擊
Online Hash Crack 線上哈希破解
子產品調用了www.onlinehashcrack.com網站接口,可以将Hash值或字尾為.cap/.pacp/.hccapd的WPA握手包
傳入子產品中進行破解
先設定 Email,點選Save儲存,結果将會輸出到回顯并發送到郵箱中
p0f 被動網絡指紋識别
p0f是萬能的被動作業系統指紋工具,利用SYN資料包實作作業系統被動檢測技術,能夠正确地識别目标系統類型。和其他掃描軟體不同,它不向目标系統發送任何的資料,隻是被動地接受來自目标系統的資料進行分析。是以,一個很大的優點是:幾乎無法被檢測到,而且p0f是專門系統識别工具,其指紋資料庫非常詳盡,更新也比較快,适合于安裝在網關中
依舊是一款在 KALI 中經常使用的資訊收集軟體,頁面隻給了設定網口的選項,沒有提供其他參數選項
測試過程中服務一直無法啟動,暫略
Papers 證件
Papers子產品的作用就是生成 公/私 密鑰對,X.509數字證書,能生成可部署自簽名證書
有了這個子產品我們可以在HTTPS上管理Pineapple,也可以讓我們的釣魚頁面在HTTPS上部署,更具有一定的迷惑性
我們可以在此子產品生成證書,讓我們的管理端口1471,80,等其他端口均通過443轉發,也可以下載下傳後部署于其他伺服器上
首先我們使用Build Certificates來生成證書
Modify Certificate info(定義證書資訊):中包含了一些描述資訊,可以自定義填寫
Encrypt Private Key(加密私鑰):選項勾選後,在通路時浏覽器将會等待輸入密碼,在部署于其他網站應用時,應該進行勾選,但不建議在Pineapple上勾選
Export keys to PKCS#12 container:将密鑰導出到PKCS#12使用者密鑰儲存庫中
填寫完成之後點選Build Keys生成密鑰對,我們就能在Certificate Store中檢視和管理了
生成證書存放位置/pineapple/modules/Papers/includes/ssl/
将生成的兩個檔案copy至/etc/nginx/ssl/
接下來我們配置nginx,修改 nginx 配置檔案 /etc/nginx/nginx.conf
添加監聽端口 443 ssl
設定完重新開機 nginx,點選Actions選項中的小鎖頭按鈕,Pineapple會自動将1471端口轉發到443上, 此時就可以通過HTTPS進行通路了
由于證書是自簽名,是以依舊會被浏覽器标記為Not Secure(不安全),是以多少有點雞肋,但是也具有一定的作用
Portal Auth 門戶認證
暫略
RandomRoll 随機翻滾
這個子產品是一個略微搞怪的子產品,開啟子產品後,将會把全部 http 連接配接進行重定向到内置的黑頁中
就是下面勾選的這些 rolls,每個對應一個黑頁,随機選擇出現
子產品開啟後,客戶機将會随機出現選中的黑頁
不同的黑頁具有不同的動态圖,有的還有背景音樂,挺有意思的
Responder 響應者
依舊是一款非常有名的LLMNR欺騙工具,還可以僞造HTTP/s、SMB、SQL Server、FTP、IMAP、POP3等多項服務,進而采用釣魚的方式擷取服務認證資訊,如使用者名和密碼等
使用方式和其他嵌入式軟體一樣,選擇網卡,勾選參數即可
SignalStrength 信号強度
選中一個網卡并掃描,将能夠得到附近wifi信号的強度清單,原理是從iwlist指令收集信号強度和品質資訊
能夠将結果以清單形式展示
并繪制成餅狀圖,以供檢視
在掃描過程中發現,使用 wlan0 能夠更快的進行掃描,而使用 wlan1 能夠獲得更大的掃描範圍
Site Survey 現場勘測
如題,這就是一個對周邊進行掃描勘測的子產品
Interface 和 Monitor 需要兩個網卡,一個作為通訊,一個作為監聽
點選Scan後可以進行掃描,結果将以清單的形式傳回
對于SSID和MAC,可以通過下拉菜單放入PineAP中進行下一步操作
對于不同的網絡,可以點選Capture進行抓包,也可以點選Deauth進行取消認證攻擊
子產品使用airodump-ng 使用ssid參數捕獲,記錄發現的接入點的坐标,并寫入一個文本檔案中
實際測試時,在此處使用Deauth會導緻系統卡死,尤其是在使用wlan1作為監聽網卡的時候,對此官方的回答是:你為什麼要在進行初步勘測的時候就進行大範圍的洪範類攻擊?好吧,我竟無言以對
而且在測試WPA握手時,一直報告No,嘗試了很多次都報告No,感覺功能是不好用的,如果想要在Pineapple上實作此功能,建議使用Aircrack
Status 狀态
Status子產品是一個展示子產品,展示出了系統各方面運作情況
在網口處可以以圖形實時顯示一段時間内上下行流量狀況
wps wps攻擊
此子產品內建了 reaver 和 bully ,利用路由的wps漏洞來破解 WI-FI 密碼
七 攻擊場景
如果我們手裡有Pineapple及一些相關裝置,我們能進行哪些攻擊呢?本章将列舉一些攻擊場景,并列出攻擊場景使用的子產品
1 簡單搞怪
如果想要簡單的搞怪一下周圍的人,不進行惡意的破壞和複雜的攻擊行為,可以使用Occupineapple或者RandomRoll子產品
使用Occupineapple在四周生成一些有趣的SSID,比如“XXX是個小智障”,“XXX是個小笨蛋”等等,十分有趣
也可以使用RandomRoll,在有用戶端連入Pineapple網絡時,可以将HTTP網頁重定向到預設搞怪的網頁上,給人一個驚喜
2 技術示範
如果想要給身邊的人示範一些簡單的WI-FI攻擊,無需特别多的技術準備,可以使用Dwall、DNS/DNSMasq Spoof、urlsnarf
Dwall即是著名的“綿羊牆”,可以顯示抓到的URL、cookie、圖檔用,用來做示範十分友善
DNS/DNSMasq Spoof 可以重定向使用者DNS,配合Landing Page或其他web應用可以進行釣魚、嗅探等
urlsnarf顯示網絡内http資料包,抓取到的url,顯示也很直覺
配合HackRF硬體可以簡單重放無線電攻擊,進行一些示範
3 竊取密碼
如果想要竊取在同一網絡下其他用戶端産生的密碼,也許是某些網站賬戶密碼,也許是其他WI-FI密碼,有幾種方式可以達到目的
想要獲得附近的WI-FI密碼,可以使用Site Survery抓取WPA握手包,再使用Online Hash Crack進行嘗試破解
使用wps子產品直接進行WI-FI密碼破解
想要獲得用戶端在其他某些網站上的密碼,可以使用Landing Page、Evil Portal、Portal Auth制作釣魚頁面,結合ettercap做欺騙,或者讓用戶端連接配接到Pineapple網絡中,在釣魚頁面輸入密碼,進行記錄
也可以使用ettercap進行網絡欺騙,将自己欺騙成為網關,擷取流量,就可以截獲明文傳輸的密碼,配合SSLsplit即可抓取https傳輸的密碼
使用Responder進行欺騙,竊取某些協定中的密碼/hash值
4 漏洞利用
Pineapple還提供了一些漏洞利用子產品,可以針對網絡内漏洞進行攻擊
可以通過ettercap欺騙,替換目标下載下傳檔案,可以改變js利用浏覽器漏洞,可以改變文檔利用office漏洞,可以改變exe利用各種漏洞
可以使用CursedScreech的payload進行監聽和執行指令
也可以使用Meterpreter接收會話
這個總結起來就是,我是你的網關,你的全部網絡流量我都做主,我想怎麼玩就怎麼玩
5 資料采集展示
如果使用Pineapple在網絡内采集資料,用于展示或進一步分析的話,可以使用一些抓取類子產品
tcpdump可以對網絡資料進行抓取和過濾,配合其他軟體可以進行展示
ngrep功能同上,對網絡内資料進行抓取及展示
nmap用于網絡内裝置發現及掃描
p0f被動網絡指紋識别,被動收集網絡内系統指紋
get子產品抓取用戶端浏覽器資訊
dump1090配合電視棒,可以擷取無線電資訊,展示如飛機航線等資訊
6 惡意破壞
如果就是想要搞事情,Pineapple也可以實作一些功能
可以使用ettercap進行網絡欺騙,将自己欺騙成網關,可以導緻斷網
Deauth子產品可以導緻網絡内認證失敗,無法進行認證連接配接
八 操作Tips
在使用過程中,發現root使用者沒有通路寫權限,比如無法更改配置檔案,在頁面修改的檔案儲存不生效等等,此時應重新挂載磁盤,并賦予寫權限
有時候想要對整個Pineapple進行備份,所有子產品同時備份,然後一鍵恢複,但是Pineapple本身不提供這種功能,是以解決辦法就是/etc/config 下的檔案整體複制,能夠解決大部分的問題
如果想快速确定Pineapple是否連接配接網絡,隻需點選首頁加載資訊的按鈕,如果能夠獲得官網資訊,則已經聯網
WI-FI Pineapple可以在移動端使用,如果在公共場合嗅探,可以使用安卓手機進行管理,不會引人注目
在更改完子產品配置後,千萬不要忘了點選Save,否則測試一萬遍子產品都不好使的(都是眼淚)
測試過程中不一定完全依賴Pineapple本身,還可以配合一些常見的工具、平台進行進一步滲透,如Kali等
九 總體感受
玩了大概一周左右,最直覺的感覺就是這玩意很坑(嗯,一個字足以概括)
其實本質來講就是一台Linux系統機器+好幾塊網卡+一些很牛的軟體
隻不過有些人把這些東西放在了一起,做了個PHP web界面,并将硬體縮小化,然後就拿出來賣了
是以學習使用這款工具,就變成了學習使用很多軟體怎麼使用
使用過程中也不是很愉快,經常出現斷網、wifi無法連接配接、機器卡死、頁面重新整理不出來等等
而且有一些子產品用起來确實是不太好用的,大多數子產品都是網上很有名的軟體(kali中也有收錄),隻是做了個web頁面而已,而且點選複雜,還不能覆寫全部參數
但是毋庸置疑,WI-FI Pineapple确實能夠實作一些網絡攻擊方式,并且有一些有趣的子產品以供選擇,子產品更新速度很快,也可以自定義子產品
是以,對于手中這款 WI-FI Pineapple NANO,作為學習、研究、示範用,還是可以的,但如果作為實際環境攻擊、大型網絡嗅探等較為複雜的環境,鑒于計算能力或其他各方面的限制,可能表現的不是那麼優秀
而且在實作一些接近實際環境的滲透測試時,需要一定的shell程式設計/php程式設計/python程式設計/網絡流量分析等等技能,不同子產品涉及知識面不同,需要多方面學習
建議手頭寬裕、有一定程式設計基礎、并想要對WI-FI滲透進行入門學習研究的同學入手
在測試時,如果思路廣一點,可以實作很多組合攻擊,如ettercap配合BeEF,XSS平台,配合metasploit,配合CobaltStrike,Evil Portal配合實時雙因子認證釣魚,網絡嗅探類配合被動掃描等等,下面給一張圖自己體會:
具體實作就需要大家自己開腦洞并研究了