以建設(shè)車(chē)聯(lián)網(wǎng)安全檢測(cè)和培訓(xùn)體系為目的而搭建的一套成熟、落地、可操作的安全檢測(cè)環(huán)境。

一、測(cè)試對(duì)象

IVI或T-BOX

二、教學(xué)目的

本實(shí)驗(yàn)通過(guò)指導(dǎo)學(xué)生上機(jī)實(shí)踐，讓學(xué)生學(xué)習(xí)對(duì)IVI的WiFi滲透基本原理和攻擊過(guò)程，了解IVI系統(tǒng)在WiFi熱點(diǎn)和開(kāi)放端口c方面的潛在威脅，并加強(qiáng)對(duì)IVI系統(tǒng)的安全防護(hù)意識(shí)。

三、詳細(xì)介紹

本實(shí)驗(yàn)演示了利用WiFi攻擊、端口掃描、密碼爆破等一系列操作獲取附近IVI系統(tǒng)訪問(wèn)權(quán)限的一種方法。以WiFi滲透入手，通過(guò)對(duì)IVI的開(kāi)放WiFi熱點(diǎn)進(jìn)行探測(cè)和密碼破解，接入到IVI的局域網(wǎng)中，并進(jìn)一步掃描其開(kāi)啟的服務(wù)，進(jìn)而密碼爆破獲取系統(tǒng)的登錄賬戶信息，實(shí)現(xiàn)對(duì)IVI系統(tǒng)的遠(yuǎn)程操控。

四、依賴軟件工具

Aircrack-ng

一個(gè)用于評(píng)估WiFi網(wǎng)絡(luò)安全性的工具箱，可以實(shí)現(xiàn)監(jiān)控和捕獲數(shù)據(jù)包、檢查無(wú)線網(wǎng)卡和驅(qū)動(dòng)程序、破解WEP和WPA PSK加密的無(wú)線網(wǎng)絡(luò)等功能。本實(shí)驗(yàn)主要使用Aircrack-ng來(lái)破解IVI的WiFi密碼，具體用到的組件包括Airmon-ng、Airodump-ng、Aireplay-ng、Aircrack-ng。

Nmap

一個(gè)網(wǎng)絡(luò)發(fā)現(xiàn)和安全審計(jì)工具，可以用于主機(jī)發(fā)現(xiàn)、端口掃描和服務(wù)版本探測(cè)，還可以探測(cè)遠(yuǎn)程主機(jī)的操作系統(tǒng)類(lèi)型和防火墻信息等。本實(shí)驗(yàn)使用Nmap來(lái)探測(cè)IVI的IP地址并進(jìn)行端口掃描。

Hydra

一個(gè)自動(dòng)化密碼爆破工具，可以暴力破解多種密碼，支持多種協(xié)議和并行連接。在本實(shí)驗(yàn)中，使用Hydra來(lái)爆破IVI系統(tǒng)的Telnet或SSH用戶名和密碼。

五、依賴硬件工具

windows系統(tǒng)PC，工控機(jī)Ubuntu系統(tǒng)，IVI或TBox

六、實(shí)驗(yàn)整體流程

七、實(shí)驗(yàn)步驟

1.使用Aircrack-ng掃描WiFi，尋找到IVI的WiFi

和手機(jī)熱點(diǎn)類(lèi)似，只要進(jìn)入了IVI車(chē)載熱點(diǎn)的覆蓋范圍，就可以探測(cè)到這個(gè)WiFi的連接信號(hào)，并能獲取網(wǎng)絡(luò)名稱、mac地址、加密方式等信息。首先檢查無(wú)線網(wǎng)卡是否已經(jīng)正確連接，輸入 iwconfig ，如圖4-2所示，如果連接正確，可以看到名稱類(lèi)似 “wlxxx” 的無(wú)線網(wǎng)卡信息。

無(wú)線網(wǎng)卡默認(rèn)的工作模式是Managed，在這種模式下，網(wǎng)卡只接收發(fā)給自己的數(shù)據(jù)包。為了讓網(wǎng)卡監(jiān)聽(tīng)空氣中所有的無(wú)線通信，執(zhí)行以下命令把電腦的無(wú)線網(wǎng)卡切換為Monitor模式：

sudo airmon-ng start [你的無(wú)線網(wǎng)卡名稱]

再次查看網(wǎng)卡信息，此時(shí)無(wú)線網(wǎng)卡的名稱被自動(dòng)更改為 wlan0mon，模式是 Monitor。然后激活網(wǎng)卡：

sudo ifconfig wlan0mon up

接下來(lái)可以對(duì)周?chē)腤iFi進(jìn)行探測(cè)。執(zhí)行：

sudo airodump-ng wlan0mon

可以看到類(lèi)似下圖所示的WiFi信息列表。其中，BSSID是無(wú)線接入點(diǎn)的mac地址，CH是工作頻道，ENC是加密方式，ESSID是WiFi名稱。IVI的WiFi熱點(diǎn)名稱一般為xxx或xxx，在WiFi列表中找到IVI的無(wú)線信息，重點(diǎn)關(guān)注mac地址和工作頻道，為后續(xù)的抓包做準(zhǔn)備。

注意：探測(cè)列表會(huì)不停地刷新，為了便于獲取想要的信息，可以在觀察到列表中出現(xiàn)IVI的WiFi信息后，按“Ctrl+C”停止探測(cè)。也可以多次執(zhí)行探測(cè)命令進(jìn)行探測(cè)。

2.捕獲WiFi的握手驗(yàn)證數(shù)據(jù)包

獲取了目標(biāo)WiFi的信息之后，執(zhí)行以下命令來(lái)捕獲該WiFi的通信數(shù)據(jù)包：

sudo airodump-ng --ivs --bssid [目標(biāo)WiFi的mac地址] –w longas -c [目標(biāo)WiFi的工作頻道] wlan0mon

其中，“--ivs” 表示設(shè)置過(guò)濾，不保存所有無(wú)線數(shù)據(jù)，只保存可用于破解的IVS數(shù)據(jù)報(bào)文；“-c” 用于設(shè)置目標(biāo)WiFi的工作頻道；“-w” 后跟保存數(shù)據(jù)的文件名，建議使用示例所用的 “l(fā)ongas”。

執(zhí)行情況如上圖所示，有兩個(gè)列表，上面的列表是目標(biāo)WiFi的抓包信息，下面是連接到該WiFi的設(shè)備列表。其中，STATION是接入設(shè)備的mac地址。對(duì)于加密類(lèi)型為WPA/WPA2-PSK的無(wú)線網(wǎng)絡(luò)，為了快速獲得破解所需的握手驗(yàn)證完整數(shù)據(jù)包，在抓包過(guò)程中可以發(fā)送 “DeAuth” 數(shù)據(jù)包來(lái)將已經(jīng)連接到該WiFi的客戶端強(qiáng)制斷開(kāi)，在客戶端自動(dòng)重連時(shí)就可以捕獲到包含握手驗(yàn)證的完整數(shù)據(jù)包了。另外打開(kāi)一個(gè)終端，執(zhí)行以下命令發(fā)送 “Deauth” 數(shù)據(jù)包。

sudo aireplay-ng -0 10 -a [目標(biāo)WiFi的mac地址] -c [接入設(shè)備的mac地址] wlan0mon

其中，“-0” 表示采用DeAuth攻擊模式，后跟攻擊次數(shù)?？梢栽诮尤朐O(shè)備列表中任選一個(gè)接入設(shè)備，使用其mac地址。當(dāng)抓包頁(yè)面右上角顯示 “WPA handshake” 時(shí)，表示攻擊成功。接下來(lái)就可以使用捕獲的數(shù)據(jù)進(jìn)行WiFi密碼破解了。

3.暴力破解WiFi的密碼

執(zhí)行以下命令進(jìn)行WiFi密碼的破解。結(jié)果下圖所示。

sudo aircrack-ng -w [字典文件] longas-*.ivs

即可使用破解出的密碼連接WiFi秘密進(jìn)入IVI內(nèi)網(wǎng)。注意：Airodump-ng為了方便破解時(shí)的文件調(diào)用，會(huì)自動(dòng)對(duì)保存文件按順序編號(hào)，于是就多了-01這樣的序號(hào)；再次抓包時(shí)，若還使用longas作為保持文件名，就會(huì)保存為longas-02.ivs。

4.對(duì)IVI進(jìn)行端口掃描，發(fā)現(xiàn)Telnet或SSH端口

連接到IVI的WiFi熱點(diǎn)之后，可以通過(guò)向本網(wǎng)段所有主機(jī)發(fā)送數(shù)據(jù)包來(lái)進(jìn)行主機(jī)發(fā)現(xiàn)，進(jìn)而確定IVI（網(wǎng)關(guān)）的IP地址。使用Nmap進(jìn)行主機(jī)發(fā)現(xiàn)的命令如下：

nmap 192.168.9.0/24 -sn

得到類(lèi)似下圖所示的結(jié)果，可以看到網(wǎng)關(guān)的IP是192.168.9.2。

接下來(lái)對(duì)IVI的所有端口進(jìn)行掃描，以獲取系統(tǒng)開(kāi)啟了哪些端口和服務(wù)。命令如下：

sudo nmap [IVI的IP地址]

端口掃描結(jié)果下圖所示，觀察到IVI打開(kāi)了22端口，也就是SSH服務(wù)的常用端口，因此可以進(jìn)一步密碼爆破來(lái)獲得系統(tǒng)訪問(wèn)權(quán)限。

5.爆破Telnet/SSH密碼，進(jìn)入shell

我們希望能通過(guò)SSH登錄到IVI系統(tǒng)，從而可以執(zhí)行一些操作甚至完全控制系統(tǒng)。這就需要對(duì)ssh的用戶名和密碼進(jìn)行破解。接下來(lái)就使用hydra來(lái)破解IVI系統(tǒng)的用戶名和登錄密碼。

hydra [IVI的IP地址] ssh -L dicts/user_dict.txt -P dicts/pwd.txt -V -t 6 -f

其中，“-L” 后面跟用戶名字典的路徑，“-P” 后跟密碼字典的路徑，“-V” 表示顯示爆破過(guò)程的詳細(xì)信息，“-t” 設(shè)置同時(shí)進(jìn)行的任務(wù)數(shù)量，可以理解為線程數(shù)，“-f” 用于設(shè)置爆破成功一個(gè)后就停止爆破。等待一段時(shí)間后就可以得到破解結(jié)果了，如下圖所示。

拿到了IVI的SSH登錄名和密碼，就可以登錄進(jìn)入IVI系統(tǒng)了。如下圖所示：ssh [爆破出的用戶名]@192.168.9.131

fqj