Skill

conducting-wireless-network-penetration-test

Conducts authorized wireless network penetration tests including weak encryption checks, evil twin attacks, WPA2/WPA3 handshake capture, rogue AP detection, and client attacks to assess WiFi security.

Linux

Bash

security

npx claudepluginhub killvxk/cybersecurity-skills-zh

Tool Access

This skill uses the workspace's default tool permissions.

Preview

- 评估企业无线网络的安全性，包括访客、企业和 IoT WiFi 段

Supporting Assets

LICENSEreferences/api-reference.mdscripts/agent.py

SKILL.md

Similar Skills

conducting-wireless-network-penetration-test

Conducts authorized WiFi penetration tests assessing weak encryption, captive portals, evil twin attacks, WPA2/WPA3 handshakes, rogue APs, client attacks, authentication, segmentation, and WIDS effectiveness.

asi

performing-wireless-network-penetration-test

Performs WiFi penetration tests: captures handshakes, cracks WPA2/WPA3 keys, detects rogue APs, tests segmentation using Aircrack-ng, Kismet on Kali Linux.

7 files

cybersecurity-skills-zh

conducting-wireless-network-penetration-test

5.9k

Guides authorized WiFi penetration testing: reconnaissance, WPA2/WPA3 handshake capture, evil twin attacks, rogue AP detection, and WIDS evaluation using aircrack-ng on Kali Linux.

3 files

cybersecurity-skills

Stats

Stars10

Forks1

Last CommitMar 17, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

执行无线网络渗透测试

使用场景

评估企业无线网络的安全性，包括访客、企业和 IoT WiFi 段
测试物理临近的攻击者是否能够入侵无线认证并访问内部网络
针对已知攻击技术验证无线入侵检测/防御系统（WIDS/WIPS）的能力
评估 WPA3 迁移和过渡模式配置的有效性
在无线网络入侵后测试无线和有线网络之间的网络分段

不适用场景：未经网络所有者书面授权的无线网络测试、未明确授权的无线基础设施干扰或拒绝服务攻击，以及无线中断可能影响生命安全系统的环境。

前置条件

指定目标 SSID、BSSID 和物理测试位置的书面授权
支持监听模式和数据包注入的外部 WiFi 适配器（Alfa AWUS036ACH、TP-Link TL-WN722N v1）
安装了最新无线工具的 Kali Linux 或同等系统（aircrack-ng 套件、hostapd、bettercap）
在授权测试时间内对测试位置的物理访问
了解目标的无线架构（SSID、认证类型、RADIUS 基础设施）

工作流程

步骤一：无线侦察

发现并映射目标环境中的所有无线网络：

启用监听模式：airmon-ng start wlan0
捕获无线流量：airodump-ng wlan0mon -w recon --output-format csv,pcap 以发现所有 SSID、BSSID、信道、加密类型和已连接客户端
从授权范围识别目标网络，记录其安全配置（WEP、WPA2-Personal、WPA2-Enterprise、WPA3-SAE、WPA3-Transition）
枚举已连接客户端及其信号强度，了解客户端分布
通过捕获来自客户端的探测请求检查隐藏 SSID：airodump-ng wlan0mon --essid-regex ".*" -c <channel>
通过将发现的 BSSID 与客户端的授权 AP 清单进行比较来识别流氓接入点

步骤二：WPA2-Personal 握手捕获和破解

对于 WPA2-PSK 网络，捕获四次握手并尝试离线破解：

针对特定 AP：airodump-ng wlan0mon -c <channel> --bssid <bssid> -w capture
取消认证一个已连接客户端以强制重新认证：aireplay-ng -0 5 -a <bssid> -c <client_mac> wlan0mon
在 airodump-ng 中验证握手捕获（WPA handshake 指示符出现）
破解捕获的握手：
- 字典攻击：aircrack-ng -w /usr/share/wordlists/rockyou.txt capture-01.cap
- GPU 加速：hashcat -m 22000 capture.hc22000 /usr/share/wordlists/rockyou.txt
- 基于规则：hashcat -m 22000 capture.hc22000 wordlist.txt -r /usr/share/hashcat/rules/best64.rule
对于 PMKID 捕获（无客户端）：hcxdumptool -i wlan0mon --enable_status=1 -o pmkid.pcapng --filtermode=2 --filterlist_ap=<bssid>

步骤三：WPA2-Enterprise 攻击

对于 802.1X/EAP 网络，通过流氓 RADIUS 尝试凭据捕获：

通过捕获关联请求识别使用中的 EAP 类型（PEAP-MSCHAPv2、EAP-TLS、EAP-TTLS）
使用 hostapd-mana 配合流氓 RADIUS 服务器设置模拟企业 SSID 的流氓 AP
配置 hostapd-mana 接受所有 EAP 认证尝试并捕获 RADIUS 握手
当客户端连接到流氓 AP 时，捕获 MSCHAPv2 挑战-响应对
使用 asleap 破解捕获的凭据，或转换为 hashcat 格式：hashcat -m 5500 captured_ntlm.txt wordlist.txt
如果使用 EAP-TLS（基于证书），记录无法捕获凭据，并说明组织已实施强无线认证

步骤四：邪恶双胞胎攻击

部署流氓接入点以拦截客户端连接：

创建与目标 SSID 匹配的邪恶双胞胎 AP：使用相同 SSID 和信道配置 hostapd
使用 dnsmasq 为 DHCP 和 DNS 设置强制门户，配合提供虚假登录页面的 Web 服务器
取消认证合法 AP 上的客户端，迫使其重新连接到邪恶双胞胎
捕获通过强制门户提交的凭据
对于 WPA3-Transition 模式网络：通过创建仅支持 WPA2 的邪恶双胞胎来利用降级漏洞，过渡模式客户端将连接到它
记录所有捕获的凭据以及从无线访问到内部网络的攻击路径

步骤五：入侵后网络评估

获得无线网络访问权限后，评估网络分段：

使用捕获的凭据连接到已入侵的无线网络
扫描网段以查找可访问的主机和服务：nmap -sn <wireless_subnet>
测试无线客户端是否可以访问内部服务器、数据库或管理界面
验证 VLAN 分段是否正确隔离了访客、企业和 IoT 无线网络
通过尝试访问有线网络上的服务器来测试无线到有线的分段是否被执行
记录从无线网络可访问的所有资源，以演示分段失败

核心概念

术语	定义
邪恶双胞胎	模拟合法 SSID 的流氓接入点，诱使客户端连接，从而实现中间人攻击和凭据捕获
四次握手	客户端与 AP 之间建立加密密钥的 WPA2 认证交换；捕获的握手可离线破解
WPA3-SAE	对等同步认证；WPA3 的密钥交换协议，可抵抗离线字典攻击并提供前向保密
过渡模式	WPA3 向后兼容模式，同时支持 WPA2 和 WPA3 客户端，可能存在降级攻击漏洞
PMKID 攻击	从 AP 的第一个 EAPOL 帧中捕获成对主密钥标识符的无客户端攻击，允许在不捕获完整握手的情况下进行离线破解
802.1X/EAP	使用 RADIUS 和可扩展认证协议的企业无线认证，提供每用户凭据而非共享预共享密钥
取消认证攻击	发送伪造的取消认证帧将客户端从 AP 断开，迫使重新连接，从而实现握手捕获或邪恶双胞胎攻击

工具与系统

Aircrack-ng 套件：综合无线审计工具包，包括 airodump-ng（捕获）、aireplay-ng（注入）和 aircrack-ng（破解）
Hostapd-mana：用于创建具有 EAP 凭据捕获能力的流氓接入点的改进版 hostapd
Bettercap：具有 WiFi 模块的网络攻击框架，支持取消认证、握手捕获和邪恶双胞胎部署
Hashcat：支持 WPA2（模式 22000）、MSCHAPv2（模式 5500）和 PMKID 格式的 GPU 加速密码破解工具
Kismet：用于被动监控的无线网络检测器、嗅探器和入侵检测系统

常见场景

场景：企业办公室无线安全评估

背景：一家金融服务公司有 3 个 SSID：CorpWiFi（员工使用的 WPA2-Enterprise）、GuestWiFi（强制门户）和 IoT-Net（打印机和会议系统使用的 WPA2-PSK）。测试人员被授权在大厅和会议室测试所有三个网络。

方法：

无线侦察识别了 12 个接入点上的所有 3 个 SSID，共有 87 个已连接客户端
IoT-Net WPA2-PSK 握手在 3 分钟内被捕获并破解（密码：Company2024!）
从 IoT-Net 扫描发现该子网可以访问内部服务器，包括打印服务器和文件共享，证明分段不足
对 CorpWiFi 的邪恶双胞胎攻击通过 hostapd-mana 捕获了 4 个员工的 MSCHAPv2 哈希；其中 2 个被破解揭示了密码
通过欺骗已认证设备的 MAC 地址实现了 GuestWiFi 强制门户绕过
记录 IoT-Net 提供了绕过 WPA2-Enterprise 认证直接访问内部网络的路径

常见陷阱：

在业务时间内执行取消认证攻击而未与客户协调，导致明显的 WiFi 中断
当组织已开始 WPA3 迁移时，未测试 WPA3 过渡模式的降级漏洞
仅关注密码破解，遗漏了通常风险更高的网络分段问题
仅从一个位置测试，遗漏了部署在设施其他区域的流氓 AP

输出格式

## 发现：IoT 网络上的弱 WPA2-PSK 且网络分段不足

**ID**: WIFI-001
**严重性**: 严重（CVSS 9.4）
**受影响 SSID**: IoT-Net（BSSID: AA:BB:CC:DD:EE:FF）
**加密**: WPA2-Personal（PSK）

**描述**:
IoT 无线网络使用了弱预共享密钥，通过标准字典攻击在 3 分钟内被破解。
连接到 IoT-Net 后，测试人员发现无线 VLAN 未与内部企业网络正确分段，
提供了对文件服务器、活动目录域控制器和内部数据库服务器的无限制访问。

**概念验证**:
1. 捕获 WPA2 握手：airodump-ng wlan0mon -c 6 --bssid AA:BB:CC:DD:EE:FF -w iot
2. 在 3 分钟内破解 PSK：aircrack-ng -w rockyou.txt iot-01.cap -> 密钥：Company2024!
3. 连接到 IoT-Net 并扫描：nmap -sn 10.20.0.0/24
4. 从 IoT-Net 可访问：DC01（10.20.0.5:445）、FILESVR（10.20.0.10:445）、DBSVR（10.20.0.15:3306）

**影响**:
无线范围内的攻击者（从公共大厅测试）可以加入 IoT 网络并直接访问企业基础设施，
绕过员工访问所需的 WPA2-Enterprise 认证。

**修复建议**:
1. 为 IoT-Net 实施 20+ 字符的复杂 PSK，每季度轮换
2. 部署 VLAN 分段以隔离 IoT-Net 与企业网络
3. 实施防火墙规则，只允许 IoT 设备访问其所需的服务
4. 在支持的情况下，将 IoT 设备迁移到使用设备证书的 802.1X 认证
5. 部署 WIDS 以检测取消认证攻击和流氓接入点