破解 WPA 的前提:必須要有合法無線客戶端
WPA 破解的原理:
利用Deauth驗證攻擊。也就是說強制讓合法無線客戶端與AP被斷開,當它被從WLAN 中斷開後,這個無線
客戶端會自動嘗試重新連接到AP上,在這個重新連接過程中,數據通信就產生了,然後利用airodump捕獲
壹個無線路由器與無線客戶端四次握手的過程,生成壹個包含四次握手的cap包。然後再利用字典進行暴力
破解。
1. 激活網卡,並讓其工作於11信道
Airmon-ng start wifi0 11
2.捕獲11信道的cap包,並保存cap包為123.cap
Airodump-ng –w 123 –c 11 wifi0
上圖可以看出采用了WPA加密方式,並且有壹個0016b69d10ad合法的無線客戶端。
3. 進行Deauth驗證攻擊,強制斷開合法無線客戶端和AP直接的連接,使其重新進行連接
aireplay-ng -0 10 -a <ap mac> -c <my mac> wifi0
解釋:-0指的是采取Deautenticate攻擊方式,後面為發送次數。-c建議還是使用,效果會更好,這個後面跟
的是監測到的合法的已連接的客戶端MAC地址
註意上圖紅色部分,-c後面為合法無線客戶端的MAC地址
Deauth攻擊往往並不是壹次攻擊就成功,為確保成功截獲需要反復進行(WPA破解不用等到數據Data達到
幾萬,因為它只要壹個包含WPA4次握手驗證包就可以了)。如果成功捕獲會出現下圖紅色部分的提示
中國無線論壇中衛出品
AnywhereWLAN!! 25
這時如果輸入dir就可以在root目錄下看到名為123.cap的握手包了。
得到握手包以後就可以用字典直接破解
首先將在windows下用字典工具生成的字典(例password.txt)拷貝到root目錄下
在BT3桌面雙擊system然後出現下圖。
圖中左邊紅色就為root目錄,圖中紅色存儲介質雙擊打開以後就看到妳的每個硬盤的分區了。可以進入硬
盤分區右鍵拷貝,然後進入root目錄右鍵粘貼。如下圖紅色部分
目前WPA 的破解主要還是基於暴力破解和字典破解,暴力破解和字典破解的壹個***性就是“耗時、費力、
運氣”所以往往有時候妳花了很多時間但還是破不了,這時候希望大家還是要接受這樣壹個殘酷的現實。
中國無線論壇中衛出品
AnywhereWLAN!! 26
破解方式壹:用Cap數據包直接暴力破解
從破解難度上講WEP 是很容易破解的,只要妳收集足夠的Cap 數據包就肯定可以破解。WPA 的破解需要
有好的密碼字典配合才能完成,復雜的WPA密碼可能幾個月也破解不出來。
輸入:aircrack-ng -z –b <ap mac> 123*.cap
123 是前面所獲得的握手包的文件名。系統會自動在妳輸入的文件名後加上-01、-02(如果數據包太多,系
統會自動分成幾個文件存儲並自動命名,可以使用ls查看),輸入123*是打開所有123相關的cap文件。
常見問題:步驟2中收集數據包已達30W,無法破解密碼。可能系統自動分成了幾個文件貯存cap包。
如輸入123-01.cap破解可能導致破解不成功,建議使用123*.cap選擇所有的cap包進行破解。
中國無線論壇中衛出品
AnywhereWLAN!! 27
破解方式二. 掛字典破解
壹.直接在BT3中掛字典破解
aircrack-ng –w password.txt –b <ap mac> 123.cap
參數說明:passwrod.txt為字典名稱123.cap為步驟2中獲得的握手信息包
耗時1分31秒獲得WPA密碼,如下圖
從上圖可以看出破解用時1分31秒,速度149.91K/S
註:本教程只為了描述破解的過程。我是做了個256K的小字典,事先把密碼已經加到字典裏了。
二.也可以把包含4次握手的CAP數據包拷貝到硬盤下在WIN下用WinAircrack掛字典破解。
中國無線論壇中衛出品
AnywhereWLAN!! 28
如上圖 Encryption type處選擇WPA-PSK,下面capture files處導入抓取的握手包123.cap
然後選擇WPA選項,如下圖
在上圖中Dictionary file處導入字典文件password.txt。然後點擊右下角的Aircrack the key
中國無線論壇中衛出品
AnywhereWLAN!! 29
然後出現下圖提示
上圖,選擇1後回車,然後開始破解。成功破解如下圖
從上圖可以看出破解用時54秒,速度251.73K/S(比BT3下要快)
中國無線論壇中衛出品
AnywhereWLAN!! 30
三.通過airolib構建WPA table實現WPA線速破解
WPA的字典破解除了直接掛字典破解外,另外壹種就是用airolib將字典構造成WPA table然後再用aircrac
進行破解。
構建WPA table就是采用和WPA加密采用同樣算法計算後生成的Hash 散列數值,這樣在需要破解的時候直
接調用這樣的文件進行比對,破解效率就可以大幅提高。
先講通過airolib構建WPA table
WPA table具有較強的針對ssid的特性。
1. 在構建WPA table之前需要準備兩個文件:壹個是ssid列表的文件ssid.txt,壹個是字典文件
password.txt。下圖為我的文件
大家可以看到兩個txt的文件,ssid記事本裏是ssid的列表,妳可以增加常見的ssid進去,後面的passwrod
就是字典文件了。
2. 把這ssid.txt和password.txt還有上面抓到的握手包123.cap這三個文件拷貝到root目錄下方便使用。
見下圖
3.開始利用airolib-ng來構建WPA table了。構建wpa table保存的名字為wpahash(下同)
第壹步,如下圖
airolib-ng wpa --import essid ssid.txt
中國無線論壇中衛出品
AnywhereWLAN!! 31
第二步,如下圖
airolib-ng wpa --import passwd password.txt
第三步,如下圖
airolib-ng wpa --clean all
第四步,如下圖
airolib-ng wpa --batch
註:這壹步要等很久(視字典大小而定,我256K的字典等了有15分鐘)
4. 用aircrack來利用WPA table進行破解
Aircrack-ng –r wpahash 123.cap
選擇1以後將開始破解。
中國無線論壇中衛出品
AnywhereWLAN!! 32
成功破解將如下圖所示
從上圖中可以看出耗時00:00:00反正不超過1秒鐘,速度42250.00K/S
大家也看到了三種破解方式,直接掛字典中在win下用WinAircrack破解是速度比在BT3下要快。直接掛字典
破解不超過1分鐘就破出了密碼;利用WPA table破解速度雖然不到壹秒,但是構建WPA table卻耗費了15分
鐘。構建WPA table是很耗時的,但是構建出了包括常見ssid的和相對較大字典的WPA table的話,以後破
解的速度將大大降低。當然沒有萬能的字典,如果有萬能的字典,再構建出壹個常見ssid的WPA table的話
那這個預運算數據庫是超級超級龐大的。
註:WIN平臺下的CAIN軟件中的破解器也可用於WEP和WPA的基於暴力和字典的破解,但是其破解速度很慢,
相比aircrack-ng而言不具實用價值。
中國無線論壇中衛出品
AnywhereWLAN!! 33
Aireplay-ng的6種攻擊模式詳解
-0 Deautenticate 沖突模式
使已經連接的合法客戶端強制斷開與路由端的連接,使其重新連接。在重新連接過程中獲得驗證數據包,
從而產生有效ARP request。
如果壹個客戶端連在路由端上,但是沒有人上網以產生有效數據,此時,即使用-3 也無法產生有效ARP
request。所以此時需要用-0 攻擊模式配合,-3 攻擊才會被立刻激活。
aireplay-ng -0 10 –a <ap mac> -c <my mac> wifi0
參數說明:
-0:沖突攻擊模式,後面跟發送次數(設置為0,則為循環攻擊,不停的斷開連接,客戶端無法正常上
網)
-a:設置ap的mac
-c:設置已連接的合法客戶端的mac。如果不設置-c,則斷開所有和ap連接的合法客戶端。
aireplay-ng -3 -b <ap mac> -h <my mac> wifi0
註:使用此攻擊模式的前提是必須有通過認證的合法的客戶端連接到路由器
-1 fakeauth count 偽裝客戶端連接
這種模式是偽裝壹個客戶端和AP進行連接。
這步是無客戶端的破解的第壹步,因為是無合法連接的客戶端,因此需要壹個偽裝客戶端來和路由器相連。
為讓AP接受數據包,必須使自己的網卡和AP關聯。如果沒有關聯的話,目標AP將忽略所有從妳網卡發
送的數據包,IVS 數據將不會產生。用-1 偽裝客戶端成功連接以後才能發送註入命令,讓路由器接受到註
入命令後才可反饋數據從而產生ARP包。
aireplay-ng -1 0 –e <ap essid> -a <ap mac> -h <my mac> wifi0
參數說明:
-1:偽裝客戶端連接模式,後面跟延時
-e:設置ap的essid
-a:設置ap的mac
-h:設置偽裝客戶端的網卡MAC(即自己網卡mac)
-2 Interactive 交互模式
這種攻擊模式是壹個抓包和提數據發攻擊包,三種集合壹起的模式
1.這種模式主要用於破解無客戶端,先用-1建立虛假客戶端連接然後直接發包攻擊
aireplay-ng -2 -p 0841 -c ff:ff:ff:ff:ff:ff -b <ap mac> -h <my mac> wifi0
參數說明:
-2:交互攻擊模式
-p設置控制幀中包含的信息(16進制),默認采用0841
-c設置目標mac地址
-b設置ap的mac地址
-h設置偽裝客戶端的網卡MAC(即自己網卡mac)
2.提取包,發送註入數據包
aireplay-ng -2 –r <file> -x 1024 wifi0
發包攻擊.其中,-x 1024 是限定發包速度,避免網卡死機,可以選擇1024。
中國無線論壇中衛出品
AnywhereWLAN!! 34
-3 ARP-request 註入攻擊模式
這種模式是壹種抓包後分析重發的過程
這種攻擊模式很有效。既可以利用合法客戶端,也可以配合-1 利用虛擬連接的偽裝客戶端。如果有合法客
戶端那壹般需要等幾分鐘,讓合法客戶端和ap 之間通信,少量數據就可產生有效ARP request 才可利用-3
模式註入成功。如果沒有任何通信存在,不能得到ARP request.,則這種攻擊就會失敗。如果合法客戶端和
ap之間長時間內沒有ARP request,可以嘗試同時使用-0 攻擊。
如果沒有合法客戶端,則可以利用-1 建立虛擬連接的偽裝客戶端,連接過程中獲得驗證數據包,從而產生
有效ARP request。再通過-3 模式註入。
aireplay-ng -3 -b <ap mac> -h <my mac> -x 512 wifi0
參數說明:
-3:arp註入攻擊模式
-b:設置ap的mac
-h:設置
-x:定義每秒發送數據戶包的數量,但是最高不超過1024,建議使用512(也可不定義)
-4 Chopchop 攻擊模式,用以獲得壹個包含密鑰數據的xor 文件
這種模式主要是獲得壹個可利用包含密鑰數據的xor 文件,不能用來解密數據包。而是用它來產生壹個新
的數據包以便我們可以進行註入。
aireplay-ng -4 -b <ap mac> -h <my mac> wifi0
參數說明:
-b:設置需要破解的AP的mac
-h:設置虛擬偽裝連接的mac(即自己網卡的mac)
-5 fragment 碎片包攻擊模式用以獲得PRGA(包含密鑰的後綴為xor 的文件)
這種模式主要是獲得壹個可利用PRGA,這裏的PRGA 並不是wep key數據,不能用來解密數據包。而是
用它來產生壹個新的數據包以便我們可以進行註入。其工作原理就是使目標AP重新廣播包,當AP重廣播
時,壹個新的IVS將產生,我們就是利用這個來破解
aireplay-ng -5 -b <ap mac> -h <my mac> wifi0
-5:碎片包攻擊模式
-b:設置ap的mac
-h:設置虛擬偽裝連接的mac(即自己網卡的mac)
中國無線論壇中衛出品
AnywhereWLAN!! 35
Packetforge-ng:數據包制造程序
Packetforge-ng <mode> <options>
Mode
-0:偽造ARP包
packetforge-ng -0 -a <ap mac> -h <my mac> wifi0 –k 255.255.255.255 -l 255.255.255.255
–y<.xor file> -w mrarp
參數說明:
-0:偽裝arp數據包
-a:設置ap的mac
-h設置虛擬偽裝連接的mac(即自己的mac)
-k<ip[:port]>說明:設置目標文件IP和端口
-l<ip[:port]>說明:設置源文件IP和端口
-y<file>說明:從xor 文件中讀取PRGA。後面跟xor 的文件名。
-w設置偽裝的arp包的文件名
Aircrack-ng:WEP 及WPA-PSK key 破解主程序
Aircrack-ng [optin] <.cap/.ivs file>
Optin
aircrack-ng -n 64 -b <ap mac> name-01.ivs
參數說明:
-n:設置WEP KEY 長度(64/128/152/256/512)
aircrack-ng -x -f 2 name-01h.cap
參數說明:
-x:設置為暴力破解模式
-f:設置復雜程度,wep密碼設置為1,wpa 密碼設置為2
aircrack-ng -w password.txt ciw.cap
-w:設置為字典破解模式,後面跟字典文件,再後面跟是我們即時保存的那個捕獲到WPA 驗證的抓包
文件。
中國無線論壇中衛出品
AnywhereWLAN!! 36
常見問題薈萃
問題1:我在啟動bt3 的時候,輸入startx黑屏
解答:在輸入用戶名root 和密碼toor 以後輸入xconf 這時會黑屏壹會,然後出來提示符再輸入startx 可進入
win窗口;當實在不能進入win窗口的時候妳也可以直接在提示符下輸入各破解命令,同時可用alt+f1 打開
壹個shell,alt+f2 打開第二個shell,alt+f3 打開第三個等。關閉窗口用PRINT SCREEN 鍵
問題2:在BT3中打開kismet 的時候窗口壹閃就沒了。
解答:首先加載驅ifconfig -a rausb0 開始網卡監聽:airmon-ng start rausb0。找到/usr/local/etc/kismet.conf
打開此文件在channelsplit=true下面加入壹行source=rt2500,rausb0,monitor
註: wusb54g v4壹定是rt2500 ,不是加載驅動時顯示的rt2570。
3945 的兄弟加入source=ipw3945,eth0,IPW3945