conducting-wireless-network-penetration-test

执行授权的无线网络渗透测试,通过测试弱加密协议、强制门户绕过、邪恶双胞胎攻击、WPA2/WPA3 握手捕获、流氓接入点检测和客户端攻击,评估 WiFi 基础设施的安全性。

9 stars

Best use case

conducting-wireless-network-penetration-test is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

执行授权的无线网络渗透测试,通过测试弱加密协议、强制门户绕过、邪恶双胞胎攻击、WPA2/WPA3 握手捕获、流氓接入点检测和客户端攻击,评估 WiFi 基础设施的安全性。

Teams using conducting-wireless-network-penetration-test should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/conducting-wireless-network-penetration-test/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/conducting-wireless-network-penetration-test/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/conducting-wireless-network-penetration-test/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How conducting-wireless-network-penetration-test Compares

Feature / Agentconducting-wireless-network-penetration-testStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

执行授权的无线网络渗透测试,通过测试弱加密协议、强制门户绕过、邪恶双胞胎攻击、WPA2/WPA3 握手捕获、流氓接入点检测和客户端攻击,评估 WiFi 基础设施的安全性。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 执行无线网络渗透测试

## 使用场景

- 评估企业无线网络的安全性,包括访客、企业和 IoT WiFi 段
- 测试物理临近的攻击者是否能够入侵无线认证并访问内部网络
- 针对已知攻击技术验证无线入侵检测/防御系统(WIDS/WIPS)的能力
- 评估 WPA3 迁移和过渡模式配置的有效性
- 在无线网络入侵后测试无线和有线网络之间的网络分段

**不适用场景**:未经网络所有者书面授权的无线网络测试、未明确授权的无线基础设施干扰或拒绝服务攻击,以及无线中断可能影响生命安全系统的环境。

## 前置条件

- 指定目标 SSID、BSSID 和物理测试位置的书面授权
- 支持监听模式和数据包注入的外部 WiFi 适配器(Alfa AWUS036ACH、TP-Link TL-WN722N v1)
- 安装了最新无线工具的 Kali Linux 或同等系统(aircrack-ng 套件、hostapd、bettercap)
- 在授权测试时间内对测试位置的物理访问
- 了解目标的无线架构(SSID、认证类型、RADIUS 基础设施)

## 工作流程

### 步骤一:无线侦察

发现并映射目标环境中的所有无线网络:

- 启用监听模式:`airmon-ng start wlan0`
- 捕获无线流量:`airodump-ng wlan0mon -w recon --output-format csv,pcap` 以发现所有 SSID、BSSID、信道、加密类型和已连接客户端
- 从授权范围识别目标网络,记录其安全配置(WEP、WPA2-Personal、WPA2-Enterprise、WPA3-SAE、WPA3-Transition)
- 枚举已连接客户端及其信号强度,了解客户端分布
- 通过捕获来自客户端的探测请求检查隐藏 SSID:`airodump-ng wlan0mon --essid-regex ".*" -c <channel>`
- 通过将发现的 BSSID 与客户端的授权 AP 清单进行比较来识别流氓接入点

### 步骤二:WPA2-Personal 握手捕获和破解

对于 WPA2-PSK 网络,捕获四次握手并尝试离线破解:

- 针对特定 AP:`airodump-ng wlan0mon -c <channel> --bssid <bssid> -w capture`
- 取消认证一个已连接客户端以强制重新认证:`aireplay-ng -0 5 -a <bssid> -c <client_mac> wlan0mon`
- 在 airodump-ng 中验证握手捕获(WPA handshake 指示符出现)
- 破解捕获的握手:
  - 字典攻击:`aircrack-ng -w /usr/share/wordlists/rockyou.txt capture-01.cap`
  - GPU 加速:`hashcat -m 22000 capture.hc22000 /usr/share/wordlists/rockyou.txt`
  - 基于规则:`hashcat -m 22000 capture.hc22000 wordlist.txt -r /usr/share/hashcat/rules/best64.rule`
- 对于 PMKID 捕获(无客户端):`hcxdumptool -i wlan0mon --enable_status=1 -o pmkid.pcapng --filtermode=2 --filterlist_ap=<bssid>`

### 步骤三:WPA2-Enterprise 攻击

对于 802.1X/EAP 网络,通过流氓 RADIUS 尝试凭据捕获:

- 通过捕获关联请求识别使用中的 EAP 类型(PEAP-MSCHAPv2、EAP-TLS、EAP-TTLS)
- 使用 `hostapd-mana` 配合流氓 RADIUS 服务器设置模拟企业 SSID 的流氓 AP
- 配置 hostapd-mana 接受所有 EAP 认证尝试并捕获 RADIUS 握手
- 当客户端连接到流氓 AP 时,捕获 MSCHAPv2 挑战-响应对
- 使用 `asleap` 破解捕获的凭据,或转换为 hashcat 格式:`hashcat -m 5500 captured_ntlm.txt wordlist.txt`
- 如果使用 EAP-TLS(基于证书),记录无法捕获凭据,并说明组织已实施强无线认证

### 步骤四:邪恶双胞胎攻击

部署流氓接入点以拦截客户端连接:

- 创建与目标 SSID 匹配的邪恶双胞胎 AP:使用相同 SSID 和信道配置 `hostapd`
- 使用 `dnsmasq` 为 DHCP 和 DNS 设置强制门户,配合提供虚假登录页面的 Web 服务器
- 取消认证合法 AP 上的客户端,迫使其重新连接到邪恶双胞胎
- 捕获通过强制门户提交的凭据
- 对于 WPA3-Transition 模式网络:通过创建仅支持 WPA2 的邪恶双胞胎来利用降级漏洞,过渡模式客户端将连接到它
- 记录所有捕获的凭据以及从无线访问到内部网络的攻击路径

### 步骤五:入侵后网络评估

获得无线网络访问权限后,评估网络分段:

- 使用捕获的凭据连接到已入侵的无线网络
- 扫描网段以查找可访问的主机和服务:`nmap -sn <wireless_subnet>`
- 测试无线客户端是否可以访问内部服务器、数据库或管理界面
- 验证 VLAN 分段是否正确隔离了访客、企业和 IoT 无线网络
- 通过尝试访问有线网络上的服务器来测试无线到有线的分段是否被执行
- 记录从无线网络可访问的所有资源,以演示分段失败

## 核心概念

| 术语 | 定义 |
|------|------------|
| **邪恶双胞胎** | 模拟合法 SSID 的流氓接入点,诱使客户端连接,从而实现中间人攻击和凭据捕获 |
| **四次握手** | 客户端与 AP 之间建立加密密钥的 WPA2 认证交换;捕获的握手可离线破解 |
| **WPA3-SAE** | 对等同步认证;WPA3 的密钥交换协议,可抵抗离线字典攻击并提供前向保密 |
| **过渡模式** | WPA3 向后兼容模式,同时支持 WPA2 和 WPA3 客户端,可能存在降级攻击漏洞 |
| **PMKID 攻击** | 从 AP 的第一个 EAPOL 帧中捕获成对主密钥标识符的无客户端攻击,允许在不捕获完整握手的情况下进行离线破解 |
| **802.1X/EAP** | 使用 RADIUS 和可扩展认证协议的企业无线认证,提供每用户凭据而非共享预共享密钥 |
| **取消认证攻击** | 发送伪造的取消认证帧将客户端从 AP 断开,迫使重新连接,从而实现握手捕获或邪恶双胞胎攻击 |

## 工具与系统

- **Aircrack-ng 套件**:综合无线审计工具包,包括 airodump-ng(捕获)、aireplay-ng(注入)和 aircrack-ng(破解)
- **Hostapd-mana**:用于创建具有 EAP 凭据捕获能力的流氓接入点的改进版 hostapd
- **Bettercap**:具有 WiFi 模块的网络攻击框架,支持取消认证、握手捕获和邪恶双胞胎部署
- **Hashcat**:支持 WPA2(模式 22000)、MSCHAPv2(模式 5500)和 PMKID 格式的 GPU 加速密码破解工具
- **Kismet**:用于被动监控的无线网络检测器、嗅探器和入侵检测系统

## 常见场景

### 场景:企业办公室无线安全评估

**背景**:一家金融服务公司有 3 个 SSID:CorpWiFi(员工使用的 WPA2-Enterprise)、GuestWiFi(强制门户)和 IoT-Net(打印机和会议系统使用的 WPA2-PSK)。测试人员被授权在大厅和会议室测试所有三个网络。

**方法**:
1. 无线侦察识别了 12 个接入点上的所有 3 个 SSID,共有 87 个已连接客户端
2. IoT-Net WPA2-PSK 握手在 3 分钟内被捕获并破解(密码:Company2024!)
3. 从 IoT-Net 扫描发现该子网可以访问内部服务器,包括打印服务器和文件共享,证明分段不足
4. 对 CorpWiFi 的邪恶双胞胎攻击通过 hostapd-mana 捕获了 4 个员工的 MSCHAPv2 哈希;其中 2 个被破解揭示了密码
5. 通过欺骗已认证设备的 MAC 地址实现了 GuestWiFi 强制门户绕过
6. 记录 IoT-Net 提供了绕过 WPA2-Enterprise 认证直接访问内部网络的路径

**常见陷阱**:
- 在业务时间内执行取消认证攻击而未与客户协调,导致明显的 WiFi 中断
- 当组织已开始 WPA3 迁移时,未测试 WPA3 过渡模式的降级漏洞
- 仅关注密码破解,遗漏了通常风险更高的网络分段问题
- 仅从一个位置测试,遗漏了部署在设施其他区域的流氓 AP

## 输出格式

```
## 发现:IoT 网络上的弱 WPA2-PSK 且网络分段不足

**ID**: WIFI-001
**严重性**: 严重(CVSS 9.4)
**受影响 SSID**: IoT-Net(BSSID: AA:BB:CC:DD:EE:FF)
**加密**: WPA2-Personal(PSK)

**描述**:
IoT 无线网络使用了弱预共享密钥,通过标准字典攻击在 3 分钟内被破解。
连接到 IoT-Net 后,测试人员发现无线 VLAN 未与内部企业网络正确分段,
提供了对文件服务器、活动目录域控制器和内部数据库服务器的无限制访问。

**概念验证**:
1. 捕获 WPA2 握手:airodump-ng wlan0mon -c 6 --bssid AA:BB:CC:DD:EE:FF -w iot
2. 在 3 分钟内破解 PSK:aircrack-ng -w rockyou.txt iot-01.cap -> 密钥:Company2024!
3. 连接到 IoT-Net 并扫描:nmap -sn 10.20.0.0/24
4. 从 IoT-Net 可访问:DC01(10.20.0.5:445)、FILESVR(10.20.0.10:445)、DBSVR(10.20.0.15:3306)

**影响**:
无线范围内的攻击者(从公共大厅测试)可以加入 IoT 网络并直接访问企业基础设施,
绕过员工访问所需的 WPA2-Enterprise 认证。

**修复建议**:
1. 为 IoT-Net 实施 20+ 字符的复杂 PSK,每季度轮换
2. 部署 VLAN 分段以隔离 IoT-Net 与企业网络
3. 实施防火墙规则,只允许 IoT 设备访问其所需的服务
4. 在支持的情况下,将 IoT 设备迁移到使用设备证书的 802.1X 认证
5. 部署 WIDS 以检测取消认证攻击和流氓接入点
```

Related Skills

testing-websocket-api-security

9
from killvxk/cybersecurity-skills-zh

测试 WebSocket API 实现中的安全漏洞,包括 WebSocket 升级时缺少身份认证、跨站 WebSocket 劫持(Cross-Site WebSocket Hijacking,CSWSH)、通过 WebSocket 消息进行的注入攻击、输入校验不足、通过消息泛洪实施拒绝服务,以及通过 WebSocket 帧造成的信息泄露。测试人员使用 Burp Suite 拦截 WebSocket 握手和消息,构造恶意 payload,并测试 WebSocket 通道上的授权绕过。适用于 WebSocket 安全测试、WS 渗透测试、CSWSH 攻击或实时 API 安全评估相关请求。

testing-oauth2-implementation-flaws

9
from killvxk/cybersecurity-skills-zh

测试 OAuth 2.0 和 OpenID Connect 实现中的安全缺陷,包括授权码拦截、重定向 URI 操控、OAuth 流程中的 CSRF、令牌泄露、权限范围(scope)提升以及 PKCE 绕过。测试人员对授权服务器、客户端应用及令牌处理进行评估,发现可导致账户接管或未授权访问的常见错误配置。适用于 OAuth 安全测试、OIDC 漏洞评估、OAuth2 重定向绕过或授权码流程测试相关请求。

testing-mobile-api-authentication

9
from killvxk/cybersecurity-skills-zh

测试移动应用 API 的认证与授权机制,识别认证失效、不安全的令牌管理、会话固定、 权限提升和 IDOR 漏洞。适用于对移动应用后端进行 API 安全评估、测试 JWT 实现、 评估 OAuth 流程或评估会话管理的场景。适合涉及移动 API 认证测试、令牌安全评估、 OAuth 移动端流程测试或 API 授权绕过的相关请求。

testing-jwt-token-security

9
from killvxk/cybersecurity-skills-zh

在安全测试活动中,评估 JSON Web Token(JWT)实现中的密码学弱点、算法混淆攻击和授权绕过漏洞。

testing-for-xxe-injection-vulnerabilities

9
from killvxk/cybersecurity-skills-zh

在授权的渗透测试中发现和利用 XML 外部实体(XXE)注入漏洞,以读取服务器文件、执行 SSRF 并外泄数据。

testing-for-xss-vulnerabilities

9
from killvxk/cybersecurity-skills-zh

通过向反射型、存储型和 DOM 型上下文注入 JavaScript 载荷,测试 Web 应用程序的跨站脚本(XSS)漏洞, 演示客户端代码执行、会话劫持和用户冒充。测试人员识别所有注入点和输出上下文,构造适合上下文的载荷, 并绕过净化和 CSP 保护。适用于 XSS 测试、跨站脚本评估、客户端注入测试或 JavaScript 注入漏洞测试等请求场景。

testing-for-xss-vulnerabilities-with-burpsuite

9
from killvxk/cybersecurity-skills-zh

在授权的安全评估过程中,使用 Burp Suite 的扫描器、Intruder 和 Repeater 工具识别和验证跨站脚本(XSS)漏洞。适用于 Web 应用渗透测试中检测反射型、存储型和 DOM 型 XSS,验证自动化扫描器报告的 XSS 发现,以及评估 CSP 和 XSS 过滤器的有效性时使用。

testing-for-xml-injection-vulnerabilities

9
from killvxk/cybersecurity-skills-zh

测试 Web 应用程序中的 XML 注入漏洞,包括 XXE(XML 外部实体注入)、XPath 注入和 XML 实体攻击,以识别数据泄露和服务器端请求伪造(SSRF)风险。

testing-for-sensitive-data-exposure

9
from killvxk/cybersecurity-skills-zh

在安全评估中识别敏感数据暴露漏洞,包括 API 密钥泄露、响应中的 PII、不安全存储以及未受保护的数据传输。

testing-for-open-redirect-vulnerabilities

9
from killvxk/cybersecurity-skills-zh

通过分析 URL 重定向参数、绕过技术和利用链,识别并测试 Web 应用程序中的开放重定向漏洞,用于网络钓鱼和 Token 窃取。

testing-for-json-web-token-vulnerabilities

9
from killvxk/cybersecurity-skills-zh

测试 JWT 实现中的关键漏洞,包括算法混淆、none 算法绕过、kid 参数注入和弱密钥利用,以实现认证绕过和权限提升。

testing-for-host-header-injection

9
from killvxk/cybersecurity-skills-zh

测试 Web 应用程序的 HTTP Host 头部注入漏洞,以识别密码重置中毒、Web 缓存投毒、SSRF 以及虚拟主机路由操控风险。