iptime

无线路由玉扇多肉 器认证会话劫持漏洞

Blog：

Email：longaslast@

欢迎拍砖、交流、合作及其它事宜，

新书《无线网络安全攻防进阶》筹备中，更多内容，即将推出！感谢一直以来的支持！！

无线路由器认证会话劫持漏洞

作者：杨哲/Longas【ZerOneSecurityTeam】

（注：本文已发表在《黑客手册》杂志2010年第1--4月合刊上，引用时请注明出处，

谢谢）

前言：

对于已经成功破解了无线WEP或者WPA-PSK加密的黑客，亦或者是通过其它手段比

如溢出等方式进入内网的黑客来说，可能会面临着无法获取无线路由器管理权限的苦恼。从

2010年2月起，我将陆续以“无线攻击者漏洞讲堂系列”的方式，讲述在这一种情况下的

攻击、漏洞利用等渗透技术及技巧。这次是基础篇第一讲：无线路由器认证会话劫持漏洞攻

击。废话少说，直接开始。

1．漏洞相关介绍

1．1受影响的无线网络设备

其实关于这个漏洞爆出的还是比较早的，早些年在Securityfocus、WVE上就能看到内存条怎么看型号 ，

但是遗憾的是直到现在，存在这类漏洞的厂商多数还没有修正这一问题。这个漏洞最早在

Belkin（贝尔金）F5D8233-4无线路由器上被发现，但经过测试，我发现Belkin这款目

前在市面上同样流行的

F6D4230-4无线路由器依然存在此问题，甚至一些旧型号的

D-Link、TP-Link及IPTime等品牌无线路由器也存在此安全隐患。

1．2漏洞描述：

该漏洞最早被发现在F5D8233-4这款无线路由器上，但Belkin其它型号的无线路由

器也疑似存在该漏洞，比如

F6D4230-4。如下图1和图2所示，这里我就使用目前市面

上比较流行的型号为

F6D4230-4这款Belkin无线路由器为例，

PS：这款设备现在已经被我搞得身首异处了，恩，还有其他朋友做Belkin的代理么?

图1图2

1．3漏洞原理：

讲原理之前要强调一点：注意，本攻击方式前提是已经具备连接目标无线网络的能力，

即已经五年级下册音乐 破解

WEP或者WPA-PSK连接加密！！！或者说已经具备从有线网络访问该无线路由

器的能力。若没有破解则下述攻击原理无效。

由于之前大量旧型号的路由器设计都采用

HTTP身份验证机制，该机制使得处于内网

的攻击者可以较容易地实现会话劫持攻击。若具备

admin的会话已经存在无线网络中，则

无线路由器认证会话劫持漏洞

Blog：

Email：longaslast@

欢迎拍砖、交流、合作及其它事宜，

新书《无线网络安全攻防进阶》筹备中，更多内容，即将推出！感谢一直以来的支持！！

由于认证过程在传输中是明文的缘故，其密码等都可以直接通过sniff来获得。若该admin

会话处于有线网络连接中，则攻击者也可以使用ARP欺骗等方式来截获该管理密码。

目前，绝大多数的路由器都支持基于

WEB的登录方式，基于IP地址的认证被大部分

WEB认证中使用，用于替代早期基于Cookie的认证方式。为安全期间，基于IP地址的认

证也被设定了一个默认的

timeout即超时时间，一般最长都是10分钟（有的是5分钟），

过时后将要求用户重新使用

admin身份登录。除此之外，基于WEB的认证还要求当前被

激活的admin会话有且仅有一个。对于Belkin而言，其多款型号无线路由器，如贝尔金

F5D8233-4，甚至会友好地将目前管理路由器的用户IP地址告诉试图访问路由器的其他

用户。

由于

Belkin无线路由器在对管理员进行认证时，仅仅是依据IP地址来区分合法管理

员身份，所以只要攻击者能够在合法用户使用管理员身份登录无线路由器后，在

timeout

时间未过期前，劫持其IP地址再次登录，就可以劫持已经认证的会话，从而获取管理员身

份。

2．漏洞利用与实现

2．1漏洞利用思路：

关于漏洞的成人礼演讲稿 利用是需要先准备一下思路的，这里给出一个标准化的顺序以供大家参考。

1．先分析连接此无线路由器上的客户端；

2．发动无线/有线DOS攻击干扰该无线/有线网络，以迫使用户登录路由器进行配置

和检查；

3．确认当前登录无线路由器进行配置的客户端IP；

4．攻击者对合法用户攻击迫使其断线；

5．攻击者修改自身IP与合法用户主机IP一致；

6．攻击者连入无线路由器成功劫持管理员身份；

7．延伸攻击。

2．2具体步骤：

关于无线路由器认证会话劫持漏洞的使用并不难，具体利用步骤如下：

步骤1：先分析连接此无线路由器上的客户端。

攻击者先使用多种无线分析工具对当前无线网络进行抓包分析，比如下图3所示，使

用

airodump-ng来对当前所有无线网络分析，在图中上部分，我们可以看到存在一个SSID

名为“Belkin_ZerOne”的无线网络，启用加密为WPA-PSK；而在右下角，我们可以看

到当前有两个连接至该无线路由器的无线客户端。其中，

00：0E：E8：D3：BF：71是无线攻击者的主机；

00：1F：3C：45：56：00是已连接的合法无线客户端；

以上两者都已经连接至SSID名为“Belkin_ZerOne”的无线网络。

无线路由器认证会话劫持漏洞

Blog：

Email：longaslast@

欢迎拍砖、交流、合作及其它事宜，

新书《无线网络安全攻防进阶》筹备中，更多内容，即将推出！感谢一直以来的支持！！

图3

步骤2：发动无线DOS攻击干扰该无线网络，以迫使用户登录路由器进行配置和检查。

既然目标位Belkin无线路由器，那么就可能存在认证会话劫持漏洞。攻击者为了迫使

合法用户登录路由器，在通过上面步骤

1的扫描确认对方在线后，就会故意对该无线网络

进行无线

D.O.S攻击，低频率发送一些Deauth或者Disassociate类型数据包来干扰正

常的无线网络。无线

D.O.S攻击具体请参考《无线攻击者傻瓜书》的相关章节内容，关于

工具在该书中的配套光盘中已经包含，我也会再撰文进行细致描述，这里就不做过多描述，

如下图

4所示为在Charon2.0.1中载入无线网卡。

图4

无线路由器认证会话劫持漏洞

Blog：

Email：longaslast@

欢迎拍砖、交流、合作及其它事宜，

新书《无线网络安全攻防进阶》筹备中，更多内容，即将推出！感谢一直以来的支持！！

注意，若是从有线网络进入的攻击者，则会使用单机D.O.S攻击工具实现，具体方法

就不再举例，工具很多，效果也各不相同，相对而言，

SYN和UDPFlood效果会好些。

步骤3：确认当前登录无线路由器进行配置的客户端IP。

在进行一段时间扰乱攻击后，无线攻击者会不断尝试登陆Belkin无线路由器管理页面

来核查合法用户是否登录。当合法用户已经登录无线路由器进行操作时，

Belkin会“很友

好”地给出如下图所示的提示：

“复制管理员，

Aurat192.168.2.3ismanagingtherouter.”意思就是说当

前已经有一个管理员登录进无线路由器进行操作了，而该管理员来自

192.168.2电脑连不上无线网 .3。如下

图

5所示。

图5

这样，无线攻击者就拿到了具备管理员能力的客户端IP，并且确认当前该客户端用户

正在以管理员身份登录无线路由器。对照一下之前图所示的内容，攻击者就找到了该

IP对

应的

MAC地址。当然，扫描一下也可以，不过耗费时间就长些。

步骤4：攻击者对合法用户攻击使其强制断线。

此时，攻击者会立即发动无线模式破坏D.O.S攻击来将这个具备管理员能力的客户端

强制断线，也就是通常所说的直接“踢下线”。

下面6使用Linux下的图形界面无线D.O.S工具Charon对无线网络进行攻击，这次

选择“

ModeDestruction”即模式破坏方式。在弹出窗口中“ESSIDVICTIME”处填写

无线路由器的

MAC地址，在“MACVICTIME”处填写这个具备管理员能力的客户端MAC，

选择正确的频道，点击

VALIDATION即可发动模式破坏攻击。

无线路由器认证会话劫持漏洞

Blog：

Email：longaslast@

欢迎拍砖、交流、合作及其它事宜，

新书《无线网络安全攻防进阶》筹备中，更多内容，即将推出！感谢一直以来的支持！！

图6

如下图7所示，攻击的发包率将出现一定的随机性，最高可达近1000个数据包/秒，

该攻击的目的是破坏当前已经建立连接的无线客户端状态，使其强制掉线。

图7

此时，在受到攻击的无线客户端上，会出现明显的中断情况。如下图8所示，在

192.168.2.3上打开CMD保持ping网关状态，可以看到出现了明显的中断。虽然无线客

户端会自动尝试与无线路由器重新连接，但是在遭到猛烈的模式破坏攻击下，该客户端已无

法保持良好的连接状态。

无线路由器认证会话劫持漏洞

Blog：

Email：longaslast@

欢迎拍砖、交流、合作及其它事宜，

新书《无线网络安全攻防进阶》筹备中，更多内容，即将推出！感谢一直以来的支持！！

图8

步骤5：攻击者修改自身IP与合法用户主机I包饺子日记300字大全 P一致。

攻击者迅速修改自身IP与之前已连接客户端IP一致，并连接无线路由器。如下图9

所示，在Linux下手动设置IP地址为192.168.2.3，并设置掩码和网关，填写正确的

WPA-PSK连接密码，点击“OK”开始连接。注：有线网络连接的攻击者修改IP要更简单，

所以此类方法从有线网络使用的也有很多。

无线路由器认证会话劫持漏洞

Blog：

Email：longaslast@

欢迎拍砖、交流、合作及其它事宜，

新书《无线网络安全攻防进阶》筹备中，更多内容，即将推出！感谢一直以来的支持！！

图9

经过3~6秒的等待，在Linux下的无线网络连接界面中会显示出已经成功连接，如下

图

10所示，在下方的状态栏中显示出“ConnectedtoBelkin_ZerOneat77%（IP：

192.168.2.3）”，即攻击者已经以192.168.2.3这样的IP连接到了该无线网络。

无线路由器认证会话劫持漏洞

Blog：

Email：longaslast@

欢迎拍砖、交流、合作及其它事宜，

新书《无线网络安全攻防进阶》筹备中，更多内容，即将推出！感谢一直以来的支持！！

图10

此时，若受害客户端用户仔细留意的话，会看到此时的Belkin无线路由器出现2个红

色的指示灯在闪烁。这是一个很明显的现象，在其它品牌路由器中并没有如此明显的提示。

这两个指示灯分别代表无线网络和有线网络，该闪烁提示实际表示在无线网和无线网中出现

了不同机器同一个

IP情况。如下图11所示。

图11

步骤6：攻击者连入无线路由器成功劫持管理员身份。

此时，攻击者在浏览器中输入192.168.2.1来访问Belkin无线路由器，会发现已经

直接打开管理页面而无须输入密码，可以任意操作了。到此，攻击者成功完成会话劫持，并

以管理员身份登录无线路由器可以进行任意配置。如下图

12所示，至此无线会话劫持攻击

已经成功实现。

无线路由器认证会话劫持漏洞

Blog：

Email：longaslast@

欢迎拍砖、交流、合作及其它事宜，

新书冬至祝福词 《无线网络安全攻防进阶》筹备中，更多内容，即将推出！感谢一直以来的支持！！

图12

3．延伸攻击

3．1获取无线管理员密码Hash

出于长远目的考虑，攻击者们也会考虑获取当前无线路由器的管理员密码，以便日后随

意登录和设置修改。毕竟，根据经验，

99%的无线用户也许会偶尔修改一下无线连接密码，

但却没有习惯去修改路由器管理员密动漫背景壁纸高清 码。

在登录该Belkin无线路由器后，访问如下页面：192.168.2.1/ut_，

查看页面源文件。搜索关键字“

http_passwd”后，可以看到如下图13所示内容，在黑

框处可以看到在“

http_passwd”旁，“value=”后面显示的就是加密过的管理员密码

“

Y2pjaG53cw==”

图13

在源文件中上下拉动查找“http_passwd”相关的定义信息，可以看到如下图14所

示内容，在对于“

http_passwd”的加密方式有着明确的定义，即使用ba64编码方式。

无线路由器认证会话劫持漏洞

Blog：

Email：longaslast@

欢迎拍砖、交流、合作及其它事宜，

新书《无线网络安全攻防进阶》筹备中，更多内容，即将推出！感谢一直以来的支持！！

图14

3．2破解密码原文

既然已经获知了管理员密码“Y2pjaG53cw==”是经过ba64加密的，那么接下来

只需要使用

ba64的解码工具即可还原出密码。这里推荐一个比较方便的ba64解码

器，就是

Cain自带的Ba64PasswordDecoder。不要告诉我你没用过Cain？如下图

15所示，打开Cain的工具菜单，选择“Ba64PasswordDecoder”即可。

无线路由器认证会话劫持漏洞

Blog：

Email：longaslast@

欢迎拍砖、交流、合作及其它事宜，

新书《无线网络安全攻防进阶》筹备中，更多内容，即将推出！感谢一直以来的支持！！

图15

如下图16所示，在“Ba64encryptedpassword”栏输入之前获取的管理员密码

“

Y2pjaG53cw==”，在其下方的“Decryptedpassword”栏就会立即显示出实际对应

的密码为“

cjchnws”。这样，我们就成功地得到了无线路由器的管理员密码。

图16

那么，对于带有恶意的攻击者而言，真正的渗透就可以开始了。不但可以在以后随意登

录无线路由器，还可以设定端口映射，设置多个

SSID广播，设置多个备选WEP加密密码

等，也可以开启对方的

WPS功能校园文明礼仪 ，或者直接修改对方WPS功能，为以后的再次渗透做个

铺垫，使得该无线路由器成为一个从外部可以登入的无线跳板！！关于

WPS的利用大家可

以参考之前我发的《

WPS，破解WPA的捷径》一文。这样的思路有很多，不再详述，感兴

趣的朋友可以好好琢磨，

那么，这个无线路由器从此也就宣告着彻底地陷落，而对于该无线网络而言，只是出现

了一个临时中断的情况，这在平时也是偶然会发生的情况，所以绝大多数无线用户还根本不

知道发生了什么事！

无线路由器认证会话劫持漏洞

Blog：

Email：longaslast@

欢迎拍砖、交流、合作及其它事宜，

新书《无线网络安全攻防进阶》筹备中，更多内容，即将推出！感谢一直以来的支持！！

Hi，我是ZerOne无线安全团队的Longas，很感谢大家对我之前出版的无线安全书籍

《无线网络安全攻防实战》、《无线黑客傻瓜书》等著作和文章的支持，希望本文能对广大无

线

hacking技术爱好者带来一些参考价值，欢迎感兴趣的朋友到我的Blog做客：

，或者写信与我交流longaslast@，欢迎拍砖及

指出不足，望共同进步。

鄙视那些未做测试就乱下结论的guys，尤其是其中条理不清对安全不够了解又妄下结

论的家伙

……