本文共 5182 字,大约阅读时间需要 17 分钟。
在kali下,除了集成的reaver之外其他都要手动安装,用命令dpkg –i xx.deb就行了。
Minidwep-gtk是破解WEP的最佳选择,有GUI会使操作更加容易,得到IVS一定数量就可以破解,扫描到之后选择Lanch进行攻击就可以等着了,最后成功会出现提示,密码直接呈现给你。
WEP的不安全性是因为采用RC4算法的不安全特性,所以存在的缺陷不可避免。现在都已经全面采用了WPA/WPA2的加密,我们就需要知道WPAX可以怎么破解。
破解存在两种方法:一是抓包跑字典,二是穷举PIN码
一、抓握手包跑字典,很依赖字典的好坏,而且要拼人品。推荐抓到的.cap包拿到Windows下的Hashcat-GUI来跑,Hashcat-GUI的效率要比EWSA要高。
二、穷举PIN可以使用Kali自带的Reaver
路由器基本都有个WPS快速连接的功能,只要输入正确的PIN码就可以将密码提供给你。PIN码是8位纯数字,前4位和后4位是分开验证的,第8位是检验码(根据前7位按照一定的算法可以推出第8位)。
只要穷举PIN就一定可以得到密钥,但是前提是路由器并没有开启WPS锁死。如果开启了多次锁死,只能抓包跑密码了。
首先使用airmon-ng start wlan1开启网卡的混杂模式。
然后用命令wash –i mon0 –C来搜索支持WPS的AP。选个信号强一点的没有WPS 锁死机制的ap就可以用reaver开始破解了。
列举reaver的几个常用参数
| 01 | -i 监听后接口名称 网卡的监视接口,通常是mon0 | |
| 02 | -b 目标mac地址 AP的MAC地址 | |
| 03 | -a 自动检测目标AP最佳配置 | |
| 04 | -S 使用最小的DH key,可以提高破解速度 | |
| 05 | -vv 显示更多的非严重警告 | |
| 06 | -d 即delay,延时 每穷举一次的闲置时间 预设为1秒 | |
| 07 | -t 即timeout,超时 每次穷举等待反馈的最长时间 | |
| 08 | -c 指定信道,可以方便找到信号 | |
| 09 | -p PIN码四位或八位 (如果是7位第8位自动补全) | |
| 10 | -N 不发送NACK信息(如果一直pin不动,可以尝试这个参数) | |
| 11 | -n 对目标AP总是发送NACK |
举个例子:
reaver –imon0 -b 00:00:00:00:00:00 -a -S -d 3 -t 3 -vv -c 6
特别重要的一点:要根据reaver反馈的信息来调整-d和-t参数,如果pin的速度太快,会pin死掉,无限报错,也就是跑死了,除非重启路由器才行。特别是信号差的更要注意这一点。
需要注意的是:磊科和Dlink的某些路由器不能加-S参数来优化,否则不会出正确的PIN码。如果有信号跑到99.99%还是没出密码,就可以考虑去掉-S参数。或者要跑Reaver之前用Wireshark分析下包,判断路由器的品牌。
如果因为信号差正确的PIN码验证不成功,强制指定-n参数即可。
如果实在没把握对节奏pin死了,可以尝试用mdk3来攻击对方路由器,迫使路由器主人重启路由器。
无线路由器前6位MAC地址是C83A35,00B00C(腾达)或081075,081076 (磊科部分可以)的,可以根据MAC后六位算出正确的PIN码。Mac地址的后六位输入计算器,直接转换成十进制就是PIN码的前七位,然后用-p参数指定7位已知的PIN码,很快就会出密码了。
如果你用这种命令行的程序不习惯,可以试试inflator软件,这是Reaver的界面版。
还有一些旁门左道,利用WiFi万能钥匙从服务器获取密码来连接WiFi,连接后密码保存在/data/misc/wifi/wpa_supplicant.conf中,我们强行终止WiFi万能钥匙的进程,再打开这个文件,就可以看到密码了。
在WiFi攻击的时候,最重要的就是去隐藏自己的身份,可以采用apt-get install macchanger,安装Macchanger
usage: macchanger [options] device
-h显示帮助
-V显示版本
-s显示当前MAC
-e不改变mac,使用硬件厂商写入的MAC
-a自动生成一个同类型的MAC,同厂商的
-A自动生成一个不同类型的MAC,不同厂商的
-r生成任意MAC
-l显示已知厂商的网卡MAC地址分配,这个很有用,可以根据MAC查出来是哪个厂商生产的产品
-m设置一个自定义的MAC 如: macchanger --mac=00:34:00:00:00:00ath0 。
如果在更改Mac时报错busy,可以尝试ifconfig wlan1 down然后macchanger –Awlan1然后ifconfig wlan1 up
iwlist主要用来显示无线网卡的一些附加信息
useage:iwlist [interface] options
scanning 扫描
frequency 频率
channel 频道
bitrate 速率
rate 速率
encryption 加密
key 密钥
power 电源
txpower 功率
ap ap
accespoints ap
peers 直连
event 事件
以下的命令转自mhy_mhy:(翻译的很好!)
6、airodump-ng
usage:airodump-ng <options> <interface>[,<interface>,...]
Options:
--ivs :仅将抓取信息保存为 .ivs
--gpsd :使用 GPSd
--write <prefix> :保存为指定日文件名,我一般用这个,尤其是多个网络时,指定了也好区分
-w :同 --write
--beacons :保存所有的 beacons ,默认情况况下是丢弃那些无用的数据包的
--update <secs> :显示更新延迟,没有用过
--showack :显示ack/cts/rts状态,还是那句,不知道rts就不用看了
-h :隐藏已知的,配合上面的选项使用
-f <msecs> :跳频时间
--berlin <secs> :无数据包接收时延迟显示的时间,这句不太好翻译,意思是当那个信号发出设备没有发出数据包多少时间之后,就停止对它的监视.默认120秒.建议学好英文去读原文,翻 译的都会有出入,这是我的理解.(mhy_mhy注)
-r <file> :从指定的文件读取数据包.我也想有人给我抓好包放哪里,呵呵
Filteroptions:
--encrypt <suite> : 使用密码序列过滤 AP
--netmask<netmask> : 使用掩码过滤 AP
--bssid <bssid> : 使用 bssid 过滤 AP
-a : 过滤无关的客户端
默认情况下使用2.4Ghz,你也可以指定其他的频率,通过以下命令操作:
--channel<channels>:指定频道
--band<abg> :制定带宽
-C <frequencies> :指定频率MHz
--cswitch<method> : 设置频道交换方式
0 : FIFO (default) 先进先出(默认)
1 : Round Robin 循环
2 : Hop on last 最后一跳
-s : 同上
--help : 显示使用方法,翻译到这里,感觉还是英文的贴切一点,建议读原文
7.aireplay-ng
搞破坏的工具,注意杀伤力很大,甚至可以损坏劣质的AP 设备(小内存的路由器可能会重启,或者彻底被破坏掉),我很喜欢这个东西,相信你也会喜欢的,使用时注意分寸.
usage:aireplay-ng <options> <replay interface>
Filteroptions:
-bbssid : AP的 MAC
-ddmac : 目标的 MAC
-ssmac : 来源的 MAC
-mlen : 最小包长度
-nlen : 最大包长度
-utype : 帧控制, type field
-vsubt : 帧控制, subtype field
-ttods : 帧控制, To DS bit
-ffromds : 帧控制, From DS bit
-wiswep : 帧控制, WEP bit
-D : 禁用 AP 发现功能
Replayoptions:
-xnbpps : 每秒包数量
-pfctrl : 框架设定 (hex)
-abssid : 设置AP的 mac
-cdmac : 设置目标的 MAC
-hsmac : 设置来源的 mac
-gvalue : 改变环缓存大小 (默认8)
-F : 选择第一个匹配的包
Fakeauthattack options:
-eessid : 设置目标 AP 的 SSID
-onpckts : 每秒爆破的包数量 (0 自动, 默认 1)
-qsec : 存活时间 秒
-yprga : 共享可信的 key流
ArpReplay attack options:
-j : 注入 fromDS 数据包,还没有用过这个选项
Fragmentationattack options:
-kIP : 设置目的IP 碎片
-lIP : 设置源IP碎片
Testattack options:
-B : 激活 bitrate 测试
sourceoptions:
-iiface : 设置抓包的接口设备
-rfile : 从pcap文件析取数据包
attackmodes (Numbers can still be used): 攻击模式,最具杀伤力的地方
--deauth count : 不信任一切 (-0)
--fakeauth delay : 欺骗AP的信任 (-1)
--interactive : 交互的选择 (-2)
--arpreplay : 标准的 ARP-request replay (-3)
--chopchop : 解密 WEP 包 (-4)
--fragment : 生成有效的 key流 (-5)
--caffe-latte : 从客户端获取新的 IVs (-6)
--cfrag : 对客户端进行碎片攻击 (-7)
--test : 测试注射及效果 (-9)
--help : 显示这个帮助,这部分是全部依照我的使用来翻译,没有完全准确的翻译,主要对付 那些不给出作者就引用的人,鄙视抄袭.
8.aircrack-ng
破解KEY,漫长的过程.漫不漫长取决于两个方面: 一是网管的聪明程度(能否设置出复杂的密码),二是电脑的速度.
usage:aircrack-ng [options] <.cap / .ivs file(s)>
Commonoptions:
-a<amode> : 暴破 (1/WEP, 2/WPA-PSK)
-e<essid> : 选择 essid 为目标
-b<bssid> : 选择 ap的 mac 为目标,就是破解识别的关键字
-q : 使用安静模式,无数出模式
-C<macs> : 将所有的 AP 合并为一个虚拟的
StaticWEP cracking options:
-c : 仅搜索字母数字
-t : 仅搜索二进制
-h : 搜索数字关键字 (用于坏掉的部分),翻译不出来了
-d<mask> : 指定掩码(A1:XX:CF:YY)
-m<maddr> : 用 MAC 匹配可用的数据包
-n<nbits> : WEP 长度 64/128/152/256/512
-i<index> : WEP 索引(1 to 4), default: any
-f<fudge> : 暴破强度默认2,原文字面意思是"禽兽强迫 捏造 事实",呵呵
-k<korek> : 禁用一种破解方式 (1 to 17)
-xor -x0 : 禁用最新关键字暴破
-x1 : 使用最新关键字暴破 默认
-x2 : 用最新两个字节暴破
-y : 实验单线程模式
-K : KoreK 攻击 (pre-PTW)
-s : 显示为 ASCII
-M<num> : 最大数量 ivs 使用
-D : WEP 非隐蔽模式
-P<num> : PTW debug: 1 disableKlein, 2 PTW
-1 : 尝试一次 PTW
WEPand WPA-PSK cracking options:
-w<words> : 指定目录文件,可以多个
-r<DB> : 制定 airolib-ng 数据库,不能和 -w 一起使用
--help : 显示这个帮助
转载地址:http://rnqai.baihongyu.com/