以建設車聯網安全檢測和培訓體系為目的而搭建的一套成熟、落地、可操作的安全檢測環境。

一、測試對象

IVI或T-BOX

二、教學目的

本實驗通過指導學生上機實踐，讓學生學習對IVI的WiFi滲透基本原理和攻擊過程，了解IVI系統在WiFi熱點和開放端口c方面的潛在威脅，并加強對IVI系統的安全防護意識。

三、詳細介紹

本實驗演示了利用WiFi攻擊、端口掃描、密碼爆破等一系列操作獲取附近IVI系統訪問權限的一種方法。以WiFi滲透入手，通過對IVI的開放WiFi熱點進行探測和密碼破解，接入到IVI的局域網中，并進一步掃描其開啟的服務，進而密碼爆破獲取系統的登錄賬戶信息，實現對IVI系統的遠程操控。

四、依賴軟件工具

Aircrack-ng

一個用于評估WiFi網絡安全性的工具箱，可以實現監控和捕獲數據包、檢查無線網卡和驅動程序、破解WEP和WPA PSK加密的無線網絡等功能。本實驗主要使用Aircrack-ng來破解IVI的WiFi密碼，具體用到的組件包括Airmon-ng、Airodump-ng、Aireplay-ng、Aircrack-ng。

Nmap

一個網絡發現和安全審計工具，可以用于主機發現、端口掃描和服務版本探測，還可以探測遠程主機的操作系統類型和防火墻信息等。本實驗使用Nmap來探測IVI的IP地址并進行端口掃描。

Hydra

一個自動化密碼爆破工具，可以暴力破解多種密碼，支持多種協議和并行連接。在本實驗中，使用Hydra來爆破IVI系統的Telnet或SSH用戶名和密碼。

五、依賴硬件工具

windows系統PC，工控機Ubuntu系統，IVI或TBox

六、實驗整體流程

七、實驗步驟

1.使用Aircrack-ng掃描WiFi，尋找到IVI的WiFi

和手機熱點類似，只要進入了IVI車載熱點的覆蓋范圍，就可以探測到這個WiFi的連接信號，并能獲取網絡名稱、mac地址、加密方式等信息。首先檢查無線網卡是否已經正確連接，輸入 iwconfig ，如圖4-2所示，如果連接正確，可以看到名稱類似 “wlxxx” 的無線網卡信息。

無線網卡默認的工作模式是Managed，在這種模式下，網卡只接收發給自己的數據包。為了讓網卡監聽空氣中所有的無線通信，執行以下命令把電腦的無線網卡切換為Monitor模式：

sudo airmon-ng start [你的無線網卡名稱]

再次查看網卡信息，此時無線網卡的名稱被自動更改為 wlan0mon，模式是 Monitor。然后激活網卡：

sudo ifconfig wlan0mon up

接下來可以對周圍的WiFi進行探測。執行：

sudo airodump-ng wlan0mon

可以看到類似下圖所示的WiFi信息列表。其中，BSSID是無線接入點的mac地址，CH是工作頻道，ENC是加密方式，ESSID是WiFi名稱。IVI的WiFi熱點名稱一般為xxx或xxx，在WiFi列表中找到IVI的無線信息，重點關注mac地址和工作頻道，為后續的抓包做準備。

注意：探測列表會不停地刷新，為了便于獲取想要的信息，可以在觀察到列表中出現IVI的WiFi信息后，按“Ctrl+C”停止探測。也可以多次執行探測命令進行探測。

2.捕獲WiFi的握手驗證數據包

獲取了目標WiFi的信息之后，執行以下命令來捕獲該WiFi的通信數據包：

sudo airodump-ng --ivs --bssid [目標WiFi的mac地址] –w longas -c [目標WiFi的工作頻道] wlan0mon

其中，“--ivs” 表示設置過濾，不保存所有無線數據，只保存可用于破解的IVS數據報文；“-c” 用于設置目標WiFi的工作頻道；“-w” 后跟保存數據的文件名，建議使用示例所用的 “longas”。

執行情況如上圖所示，有兩個列表，上面的列表是目標WiFi的抓包信息，下面是連接到該WiFi的設備列表。其中，STATION是接入設備的mac地址。對于加密類型為WPA/WPA2-PSK的無線網絡，為了快速獲得破解所需的握手驗證完整數據包，在抓包過程中可以發送 “DeAuth” 數據包來將已經連接到該WiFi的客戶端強制斷開，在客戶端自動重連時就可以捕獲到包含握手驗證的完整數據包了。另外打開一個終端，執行以下命令發送 “Deauth” 數據包。

sudo aireplay-ng -0 10 -a [目標WiFi的mac地址] -c [接入設備的mac地址] wlan0mon

其中，“-0” 表示采用DeAuth攻擊模式，后跟攻擊次數。可以在接入設備列表中任選一個接入設備，使用其mac地址。當抓包頁面右上角顯示 “WPA handshake” 時，表示攻擊成功。接下來就可以使用捕獲的數據進行WiFi密碼破解了。

3.暴力破解WiFi的密碼

執行以下命令進行WiFi密碼的破解。結果下圖所示。

sudo aircrack-ng -w [字典文件] longas-*.ivs

即可使用破解出的密碼連接WiFi秘密進入IVI內網。注意：Airodump-ng為了方便破解時的文件調用，會自動對保存文件按順序編號，于是就多了-01這樣的序號；再次抓包時，若還使用longas作為保持文件名，就會保存為longas-02.ivs。

4.對IVI進行端口掃描，發現Telnet或SSH端口

連接到IVI的WiFi熱點之后，可以通過向本網段所有主機發送數據包來進行主機發現，進而確定IVI（網關）的IP地址。使用Nmap進行主機發現的命令如下：

nmap 192.168.9.0/24 -sn

得到類似下圖所示的結果，可以看到網關的IP是192.168.9.2。

接下來對IVI的所有端口進行掃描，以獲取系統開啟了哪些端口和服務。命令如下：

sudo nmap [IVI的IP地址]

端口掃描結果下圖所示，觀察到IVI打開了22端口，也就是SSH服務的常用端口，因此可以進一步密碼爆破來獲得系統訪問權限。

5.爆破Telnet/SSH密碼，進入shell

我們希望能通過SSH登錄到IVI系統，從而可以執行一些操作甚至完全控制系統。這就需要對ssh的用戶名和密碼進行破解。接下來就使用hydra來破解IVI系統的用戶名和登錄密碼。

hydra [IVI的IP地址] ssh -L dicts/user_dict.txt -P dicts/pwd.txt -V -t 6 -f

其中，“-L” 后面跟用戶名字典的路徑，“-P” 后跟密碼字典的路徑，“-V” 表示顯示爆破過程的詳細信息，“-t” 設置同時進行的任務數量，可以理解為線程數，“-f” 用于設置爆破成功一個后就停止爆破。等待一段時間后就可以得到破解結果了，如下圖所示。

拿到了IVI的SSH登錄名和密碼，就可以登錄進入IVI系統了。如下圖所示：ssh [爆破出的用戶名]@192.168.9.131

fqj