无线局域网加密破解操作实例.docx

无线局域网加密破解操作实例.docx

《无线局域网加密破解操作实例.docx》由会员分享，可在线阅读，更多相关《无线局域网加密破解操作实例.docx（19页珍藏版）》请在冰豆网上搜索。

无线局域网加密破解操作实例

无线局域网加密破解操作实例

无线安全将来会成为一个值得重视的领域，现在无线的普及大大的方便我们的生活，同时在带来的便利的同时也会给我带来新的威胁！

下面我来通过cdlinux以及BT5来演示现在比较常见的无线攻防之战。

本帖意在强调攻防的重要性，我们很多人也许有安全意识，但是确不会动手去改变，除非我们无法再忍受了，才会去了解自己的安全状况

我们都知道现在的个人无线局域网基本都会使用wpa或者wpa2加密方式，下面我们来说说两种对其进行测试的方法。

第一种方法是pin穷破解（假如对方开启了QSS这个选项的话，并且信号不错的话，这个是90%能够破解的）；第二种是抓握手包，然后用字典文件计算hash来匹配进行破解。

所以一般首选的是pin穷破解

一、Pin穷破解

  原理：

8位0-9的数字的Pin码，第八位是由前七位的校验和得到的！

也是说我们需要知道穷列举前七位。

可是它验证机制是先验证前四位，再验证后四位。

前四位正确和否，返回的信息都会不同，所以Pin穷破解先是穷列举前四位，共有10000种可能。

然后确定后三位，1000种可能。

一共11000种可能，按照一般pin的速度5s/pin。

那就最长需要55000s，约等于15个小时。

但现在一般会加了些防Pin手段，遇到这些只能换目标或者换成抓握手包了

 工具：

  系统：

cdlinux

  软件：

minidwep-gtk（其实里面起作用的是reaverv1.4）

  一般会选择支持：

Rtl8187L、Rtl3070L，Atheros9271芯片的无线网卡，对这些支持比较好！

假如不是的话，就需要找相应的驱动程序了。

我们主要是在虚拟机里面使用CDlinux这个系统，所以我们最好使用的外置的无线网卡。

当然你也可以把你的U盘做成启动盘，利用电脑自带的无线网卡。

不过你的网卡列表芯片列表应该包含在之前BT5识别的系列中。

网卡设置

（1）在虚拟机中连接你的无线网卡，这个时候要注意以下几点

  【1】请开启这个服务

【2】有时候，你的电脑某些USB接口可能不识别USB无线网卡的的USB接口，应该多尝试其它几个。

一般是开启虚拟机再插入USB接口。

我的电脑有几次就是某个usb2.0接口不识别网卡的接口，然后换了其它的就能识别了！

所依这点请注意以下。

【3】有人提到一种方法，当你的外置网卡无法被虚拟机是别的时候可以尝试一下！

就是创建虚拟机的时候先移除网络适配器，然后在你开启cdlinux系统或者安装了系统之后，再连接无线网卡！

有些人尝试成功，连接的失败的童鞋可以试试。

2014/3/5更新补充【4】有些时候还会因为你下载的cdlinux版本低，没有集成相应的驱动而造成无法识别无线网卡，所以这个请注意自己网卡的芯片，查找是否有相应网卡芯片的cdlinux版本。

在自己网卡不能识别的时候，不要先放弃，先是寻找一下其他的cdlinux版本

CDlinux操作

  下面来看一下我这里的操作的情况。

  我们开启了cdlinux之后，连接无线网卡

（1）当usb网卡连接连接进入的时候，虚拟机右下方会多了这样一个图标

  当你查看虚拟机上方的选项卡VM，里面的可移动设备可以看到新加入的usb网卡。

  我们进入到虚拟机里面，我们可以打开这个miniwep-gtk软件

  【1】假如我们的无线网卡可以识别的话，我们就能够进入这个软件，我们将会看到这个界面，在左上角是我们的无线网卡，芯片类型以及网卡驱动

假如识别不了网卡，当我们打开minidwep-gtk这个软件的时候，软件会提示“没有发现网卡”

  【2】假如进入到软件中，我们先点击“扫描”，扫描的时候最好尝试两到三次[一般第一次是让网卡设置成监控模式，这时你用ifconfig命令时，你会发现多了一个mon0.第二次或者第三次扫描出来的结果才是进入监控模式扫描出来的正确结果]。

下列是我这里扫描出来的结果。

我们选择的列表中带有wps（这个开启了QSS），并且信号强度一般选择大于-75进行Pin穷破解。

这里我选择第二个。

但在第三步之前，我们应该先选择排序pin码，一般路由器以2开始的较多，所以一般排序可以使2345678910.

  【3】我们现则右边竖列的"Reaver"，点击它。

然后弹出Reaver的参数选项，这里保持就好。

  Reaver开始穷破解pin，按ctrl+c保存当前进度。

这个时候一般耐心等待就好。

假如信号较好，并且需要破解的路由并没有关闭的话。

我们就偶尔看一下（先保存进度，然后再次进行扫描，查看目标路由是否还存在，不存在的话保存数据），Pin码这个主要把前四位测试出来就会突然跳到90%，所以不用太担心时间问题。

pin码保存

（1）一般在虚拟机里面，最简单的保存方法是就是建立快照或者挂起。

（2）还有的话就是连接U盘到虚拟机里面，将桌面上"Thunartemp"里面的AP'smac.wpc文件保存到U盘里（这里的AP’smac.wpc是指你想破解的无线网mac地址为文件名，wpc为文件后缀名）

  （3）第三种的话，就是你的虚拟机上网方式为NAT，这样我们能在网络邻居里面找到我们的cdlinux电脑，如图，我在网络这里找到我的cdlinux。

这时候打开里面/tmp/minidwep/AP'smac.wpc文件，拷到我们自己的电脑就好。

下次假如我们想恢复进度的时候，我们只需要点击一下排序方式，然后产生了AP'smac.wpc文件后，我们将我们之前放在U盘的或者物理机的wpc文件替换原来的wpc文件就好。

（4）第四种，一种是记下我们已经pin过的前四位，然后下次使用-p这个命令来恢复上次的Pin。

又或者我们记下wpc文件前面的两行的数字。

在上面原理当中，我们提到Pin码穷破解是分为三部分，第一部分是前四位（0000-9999），第二部分是后四位中的前三位（000-999），最后一位校验和是由前七位所确定。

[在这里我们假设排序方式是（0123456789）这个则表示前四位穷列举是从0000到9999，后三位是000-999一直递增列举],wpc文件中第一行对应的数字为6，表示已前四位已经穷列举到0006；假如是56，则已经穷列举到0056.第二行则是后四位的前三位，我们需要记录下这七位，下次只需修改wpc文件为这几个数字就行。

下面看一下我这里的数据，我这里是排序方式是（2345678910，即从2000开始），可以看第一张图前四位对应的是2447，因为这里我是2000开始的，所以对应的wpc文件第一行的数字应该为447.我们可以看到正如我们所想

AP'smac.wpc文件的数值

Pin码没有进度

  有些时候，我们Pin穷破解时，会出现pin码徘徊在一个进度上。

下面的方法除了mdk3测试过外，另外一个的真实性还没验证情况还没出现过。

（1）当我们进行破解时假如卡在某一个进度，这个时候先按ctrl+c保存进度，再重新点击reaver,在参数上填写“-a-s-vv”[注意这里是两个v]。

原理时避免reaver在路由器返回确认信息之前跳过p某个pin。

[测试发现，这种方法不太奏效。

假如卡在一个进度的时候，不妨保存进度先。

再拔出无线网卡，让它重新设置成监控模式，再次进行Pin破解。

假如尝试两次情况依然这样，就请跳到第三步吧！

]

（2）第二种是漏码的情况，这是一般来说，软件使用优化选项来提高速度，但是因为使用参数没有“-n”的问题

pin到90.9%死循环，说明前四位已经pin完，但是没出；原因大概就是AP没发出确认信息，reaver就已经跳过了，从而错过了正确前四位的确认。

pin到99.9%死循环，说明后四位的前三已经跑完，但是没出。

原因同上

[还有经过测试发现，假如你使用不恰当的“-p”参数，也就是前四个数书你自己给定的，这样的情况下即使Pin到99.9%也会没有出现密码。

因为你已经限定了前四位数]

  这个时候应该在参数上加上“-n”，即"reaver-imon0-bMAC-a-n-v"就可以防止漏码了

  （3）这个是我们pin一些质量或者信号品质不是很好的路由器时把路由器给pin死了。

这个时候一般是使用mdk3发送大量伪造的连接，即洪水攻击以便让正常的客户端无法上网！

一般的话就是ip冲突，数据没办法从网关转发到客户端。

可以看到这个攻击是挺危险的也挺损的，所以非到迫不得已不要用这种方法。

  一般来说,cdlinux以及bt5都集成了mdk3v6这个小软件。

一些版本的cdlinux可能没在开始菜单放着，你可以打开命令行终端，分别执行下列命令

复制内容到剪贴板

代码:

#先使用ifconfig这个命令来查看无线网卡的代号

ifconfig

airmon-ngstart无线网卡代号

#在使用mdk3之前记得把自己的网卡设置成监控模式

sudomdk3mon0a-aMAC

#第一个a表示的选用的模式，一般这个操作已经足够了

ATTENTION：

注意一般不超过5分钟，不然你的电脑有可能卡死。

其实一般30s左右就好了，这个测试过了。

当30s后请按ctrl+c来中断操作，这个一般有客户端在线的时候，应该都会马上重启。

下面是别人翻译mdk3的其它模式

虚拟一个客户端：

sudomdk3mon0b-n路由MAC地址-c信道

让路由AP重启/重置:

sudomdk3mon0a-a路由MAC地址

检查客户端是否隐藏并暴力PJ:

sudomdk3mon0p-e路由MAC地址-c信道-t客户端地址-f

提走连接路由所有客户端:

sudomdk3mon0d-n路由MAC地址-c信道

杀死路由ap:

sudomdk3mon0m-t路由MAC地址

启动最强力攻击:

sudomdk3mon0x-n路由MAC地址  -t客户端地址-w加密类型

迷惑路由密码验证：

sudmdk3mon0w-e路由MAC地址-c信道

防止MAC地址过滤：

sudomdk3mon0f-t客户端地址-m本机MAC地址

测试加密类型有无可能编程wep或不加密：

sudomdk3mon0g-t路由MAC地址

更多的信息可以使用下列命令

1

2

3

4

sudomdk3--help

#获得简易信息

sudomdk3--fullhelp

#获得详细信息

还有你的Pin假如不断失败的话，请先保存进度，再扫描一下AP。

查看想要破解的路由是否还存在

到此，一个简单的cdlinux的pin穷破解完成。

二、抓握手包。

然后进行字典破解

一般来说，假如路由器关闭了QSS，我们无法使用Pin穷破解，那么我们只好使用抓包来进行无线破解了。

不过抓握手包跑字典也有一些条件

【1】有客户端在线

【2】有一个较为全面的字典的，不过一般来说，先是自己根据获得的信息自己制造字典文件

（1）这里还是以cdlinux来一次简单的抓取握手包

（2）抓取到握手包，我们并不在虚拟机里面进行破解，而是选择在物理机上使用ESWA（一个支持GPU破解的跑包软件）。

因而当握手包出现的时候，我们应该将握手包用上面我介绍的方法将其放回物理机上

BT5篇操作过程

[1]BT5环境下的Pin穷破解

这个可以在虚拟机或者做成U盘启动盘来运行，我这里还是虚拟机上的操作。

所以这上面的前置操作和上面的基本一样

（1）确定USB网卡连接成功

（2）以下的流程分为：

  【1】开启监控模式

  【2】扫描开启QSS的路由器，并且选定信号好的路由器。

点击进行破解

  【3】遇到问题的时候，其实基本和CDlinux解决方法的一样，在参数上变化。

当遇到Pin死路由的时候，还是利用mdk3v6进行洪水攻击。

因而水滴软件以及打气筒的核心软件都是reaver1.4，所以它们的效果基本一样

  对应BT5的命令如下

1

2

3

4

5

6

7

8

9

#查看一下你的无线网卡的代号

ifconfig

#开启监控模式，我这里的无线网卡代号是wlan0

airmon-ngstratwlan0

#进行wps扫描，显示列表上的都会开启了wps，mon0这个是你开启监控模式后，软件用来识别你开启监控模式的无线网卡，还是可以用ifconfig这个来查看新增加的网卡

wash-imon0

#选择一个信号最好的，进行破解

reaver-imon0-bAP'smac-c6-a-v-l300-x20-r100:

10-n-p2000

#这里“-c”参数对应的是AP的信道（channal）,“-p2000”表示已经确认pin码前四位是2000，之后只尝试后三位

  下面以图片对应上面的操作和命令。

  【1】

  【2】

  【3】

[2]BT5环境下的抓握手包

还是按照上面的先来说一下流程，

  【1】还是开启监控模式，假如开启的话就不用了

  【2】使用软件扫描AP，选择信号较好的一个并且有客户端在线（客户端在线这个更为重要）

  【3】开启抓握手包，假如握手包增加比较缓慢，可以使用接触认证攻击，让客户端掉线，重现连接AP握手连接

  【4】转移握手包到物理机上，使用ESWA进行字典破解

  命令分别如下

1

2

3

4

5

6

7

airmon-ngstartwlan0

#进行扫描

airodump-ngmon0

#选择好AP，抓握手包

airodump-ng-wxxx-channaly--bssidAP'sMACmon0

#进行解除认证攻击，加快握手包的获取

aireplay-ng-010-aAP'sMAC-cClient'sMACmon0

    图片如下

【1】扫描

【2】抓包

【3】解除认证攻击，10次就够了

【4】其实你接触认证后，在等待5分钟左右就足够了，你可以看到我这里是没有提示说有握手包

【5】但是我用EWSA这个软件检测的时候可以发现到握手包

这个GPU的选项，这个要根据个人显卡是否支持，使用EWSA时候注意散热

这里我们选择字典穷列举攻击

在程序运行的时候，注意GPU温度，这本身就对机器有点损伤。

千万要注意