[cpp]&view plaincopy&&&&&这里主要讲常用的攻击模式(对于-6,-7攻击并不涉及),深入原理的集中在-2,-4,-5这三种攻击[cpp]&view plaincopy&一.-0攻击&&& -0攻击主要是伪造一个disassocate包,让ap断开与客户端的链接,此时客户端会重新连接ap,那么我们从中可能得到的东西有:1,假如AP不广播ESSID,那么我们可以得到这个ESSID;2.如果使用的是WPA/WPA2的加密方式,通过这样做强迫客户端重新验证,我们就能够获得握手包;3.再重新连接过程中我们可以获取到ARP数据包,为-3攻击做准备.&二.-1攻击&&& 之前我一直也没弄明白为什么能够进行伪连接,既然我们并不知道WEP密码,那么如何进行连接?伪连接的伪主要体现在什么地方?这个应该是和AP的工作机制有关.我自己的理解是,在客户端与AP通信的时候,客户端需要在AP那里登记自己的MAC地址,这样AP才会接受这个MAC地址的产生的数据包进行下一步的工作.一般WEP验证过程为:1.客户端发给AP认证请求 2.AP发回挑战字串 3.客户端利用WEP密码加密字串返回给AP 4.AP对返回结果进行本地匹配判断是否通过认证. 伪连接实际上就是进行了第1步,此后AP就登记了客户端的MAC地址,此时AP等待的是客户端返回挑战字串的加密包,对于攻击者,此时AP已经能够接受各种伪装生成的数据包并对其作出反应了.这一步对于无客户端的-2,-4,-5攻击相当重要.很明显,这样伪连接并不产生任何ARP包,同时也不会获得正确的WPA/WPA2握手包.&三.-2攻击&&& -2攻击实际上是对特定的数据包进行重放,当AP收到这个数据包的时候对这个数据包进行广播,进而我们能够获得更多的iv以达到破解的要求.这个特定的数据包需要满足什么要求,我们需要了解一些相关的IEEE802.1帧控制的.如图&&&& 图中是一个ARP包,可以看到在数据包的开始位置就是帧控制的数据结构,长度是2字节.第一个字节的结构是{Version:4bit,Type:2bit,Subtype:2bit}对于这部分,我们需要的是一个Type为2,也即是Data frame(数据帧),因为只有是数据帧,那么才有iv,才会用到WEP加密数据.对于flag字节,也就是第二个字节,我们需要设置To DS域为1(图中设置了From DS域为1),To DS域表示To Distribution System的标志,因为数据使用了WEP加密,所以Protected flag也被置为1,此时加上一个FF:FF:FF:FF:FF:FF的目标地址(广播地址)则这个就是我们可以重放的数据包.当AP收到这个数据包时,会对他使用新的IV加密后广播.我们不断的重放这个数据包以达到收集IV的目的.&&& 这里产生的疑问是,是否我们没有抓到这样的一个数据包我们就不能进行交互注入?答案是否定的.我们常用的是0841注入,通过对一个合法的数据帧进行修改,让他符合上面的条件从而使AP接收并重新广播.我们看一下为什么叫的二进制位00 0001,从刚才的分析看到,1000中的10是Type域,0100中1是Protected flag,0001中的1是To DS,这样合起来便是0841的含义.等待一个AP自然产生的满足条件的数据帧有时候需要等待很久,如果我们对于一个合法的数据帧的帧控制进行修改,改成0841,同时修改目标地址为广播地址(注意帧控制和目标地址等都是以明文形式发送),由于AP并不检查数据内容,只是从控制字段判断,所以AP会对收到的这个我们修改过的数据包进行广播,从而我们也就达到我们的目的--收集IV.当然我们修改的数据帧的长度最好不要太长.&&& 另外,-2攻击可以配合packetge-ng产生的伪造数据包进行重放.&&四,-3攻击&&& ARP请求重放攻击,当抓取到一个ARP请求包的时候对它进行重放,WEP体系允许IV的重复使用因此AP会对重放的ARP请求包进行应答,从而能够收集到足够数量的IV.利用arp请求包的重放效率是最高的.后面的-4,-5攻击在获得XOR文件也即是密钥流之后,也是利用packetforge-ng生成一个arp请求包用以重放.&&五,-4攻击&&& KoreK的Chopchop攻击,这个攻击的理论是基于对CRC算法的数学分析的基础上,对于数学部分我们这里不深入探讨,只是用到KoreK提到的结论.WEP的核心加密算法是RC4(参考http://blog.csdn.net/GaA_Ra/archive//5745278.aspx), RC4算法使用的是异或加密(我们用XOR表示异或操作),简单流程这样,我们提供一个40位的密钥,加上IV提供24位,总共64位作为种子,RC4根据这个通过PRGA(伪随机生成算法)产生密钥流,这个密钥流与我们要发送的数据进行异或操作即完成加密.为了保证数据传送过程中的完整性,WEP使用CRC算法在数据后加上4个字节的校验码(这4个校验码也要跟密钥流进行异或加密),我们称这4个字节为ICV(Integrity check value).现在假设我们要发送的数据明文为P,密钥流为KeyStream,那么,加密的数据M=(P + ICV(P)) XOR&KeyStream,如果我们知道明文P,那么我们就能够得到KeyStream(=M XOR (P+ICV(P))),有了KeyStream我们就能伪造任意的数据包(如ARP请求包),发送给AP从而收集IV.关键在于如何得到明文P,KoreK的研究发现,当我们把抓取到的数据包M截去最后的一个字节的时候,此时数据包是无效的数据包(ICV错误),但是当与一个掩码进行XOR运算之后,这个数据包将会恢复为有效的数据包.而这个掩码的计算取决于我们截去的那个字节的明文(我们截去的字节已经经过加密),一个字节是8位,通过最多2^8=256次尝试,我们能够确定截去字节的明文.思路如下:&&& 1,我们抓取一个数据包,然后截去这个数据包加密部分的最后一个字节(注意,数据包包含有用RC4加密的部分和以明文传输的帧控制部分两部分,看上面-2攻击的图).&&& 2,我们产生256个掩码,每个掩码对应一个明文字节,然后进行异或操作.&&& 3,将这256个数据包的目标MAC地址改为组播地址,格式如01:00:5E:00:00:XX,XX和明文字节相同.&&& 4,发送这256个数据包,通过AP的返回的数据包目标地址最后一个字节判断明文是什么,记录下来.&&& 5,利用返回的数据包重复第1步直到获得所有明文.&&& 当获得所有明文之后,将其与原始数据包加密部分异或,得到密钥流KeyStream.Aireplay-ng将它保存为一个XOR文件.&六,-5攻击&&& Fragment攻击,这个攻击我个人觉得是所有攻击里最具有艺术性的,他利用了IEEE8021机制和WEP算法两者的漏洞,最终能够得到最大1500字节的密钥流.对于Chopchop攻击,我们得到的密钥流的长度取决于我们能够抓取到的数据包加密部分的长度,并且随着数据包的长度增大,猜测的次数将会增加,使得获取密钥流的时间也变长,而Fragment不仅获取大长度的密钥流,同时需要用到的时间也大大减少.&&& 对于在局域网传送的数据中都被加入了LLC头部,而LLC头部字节是固定的.如图&&& 这部分就是WEP加密部分的头8个字节,对于ARP包,??为06,对于IP包,??为00,现在我们有了8个字节的明文,通过对数据包的异或操作,我们得到了8个字节的密钥流.利用8个字节以及802.1的分片机制,我们可以得到更大长度的密钥流.先说说分片,无线局域网中,数据包的最大分片数为16,利用8字节密钥流我们伪造16个加密部分8字节的数据包发送(4字节明文+4字节ICV,明文我们知道),当AP收到16个碎片包之后,AP将其组装成一个数据包,将其重发,我们抓取这个数据包,一个我们知道是4字节明文,16个就是64字节的明文,加上AP为64字节数据加上的ICV,我们得到了68字节的密钥流(明文与密文异或得到),重复伪造16个68字节的数据包发送(64字节明文+4字节ICV),最终得到1028字节的密钥流(64*16+4),再重复发两个包就能得到1500字节的密钥流.全部过程我们最少只需要发送34个数据包!!这样就大大缩短了获取密钥流的时间.或者在得到一定长度的密钥流之后比如36字节,刚好可以用来伪造一个arp包,进行重放,也缩短了收集IV的时间.由于ChopChop是从后向前猜测得到密钥流,所以ChopChop的效率不太可能提高.&&& 另外,Fragment攻击也可以用于猜测密钥.如果AP对分片数据不返回,那么可以从第9字节处(LLC头部之后)开始猜测密钥流,同样也是256种可能,过程类似Chopchop攻击,区别只是在于一个从前向后猜的是密钥流字节,一个从后往前猜的是明文字节.&&&&对于Fragment细节想深入了解的朋友,强烈推荐论文&The Final Nail in WEP's Coffin&&&& 写了一个下午,很多本来想写的东西最终发现涉及很多基础,不想面面俱到,我接触络也不久,难免有些理解错误的地方,希望能和大家交流:)46,706 views
想必搞过破解的朋友们都会知道bt3& bt4等linux下的无线破解工具吧，在ubuntu系统下同样有着一款破解功能强大的工具，那就是aircrack-ng。放这篇文章出来只是做技术上的交流，奶牛可不希望谁用这个做坏事儿哦~~~嘿嘿，破解开始咯：
测试平台 Y450& TG& ubuntu 10.04 成功
1.下载安装aircrack-ng，奶牛直接从源中安装的。
sudo apt-get install aircrack-ng
2.启动无线，这里奶牛需要说明一下，很多朋友的无线可能在windows系统中是禁用或者是系统自带的电源管理系统中未开启无线的，这种情况下需要先在win状态下开启之后才能在ubuntu中开启无线。开启完成后进入ubuntu ，开一个终端，ifconfig -a看看wlan是否开启，开启正常可进行下一步。
3.准备工作完成，开始破解。开启终端①，
sudo airmon-ng start wlan0
sudo airodump-ng mon0
这时会看到无线的地址出现在屏幕上，这里有显示它们的mac地址以及所在频道。ok，ctrl+c退出，在这里我们选择类型为wep的无线为破解对象。我们需要记录它所在的频道以及mac地址。
4.开启终端②
sudo airodump-ng --channel 频道 --bssid 目标主机mac地址 -w wep mon0
这里的wep为默认的存包文件的名字，可以更改。
5.开启终端③
sudo aireplay-ng -1 0 -a 目标mac -h 本机MAC地址 mon0
（本机的mac可以开启一个新的终端用ifconfig -a来查询）
这时会有成功字样显示，如果没有显示可能就是目标不支持或者系统部稳定，需要更换目标了。显示成功后进行下步。
6.继续输入
sudo aireplay-ng -2 -F -p 0841 -c ff:ff:ff:ff:ff:ff -b 目标MAC地址 -h 本机MAC地址 mon0
此时终端②中的数据会增长很快，当数据到达5000的时候就可以破解了。
7.开启终端
sudo aircrack-ng wep*.cap
这时就开始破解了，如果你进行过多组，可能会有多组结果，你可以用数字123进行选择，如果不出意外你已经破解出来这组无线的密码了。
8.最后 结束监控过程
sudo airmon-ng stop mon0
( sudo airomon-ng check可以查看你开启了多少监控，如果运行多组的时候可以查看后选择关闭)。
本文链接地址:
原创文章，转载请注明： 转载自
相关文章：
Trackbacks/Pingbacks当前访客身份：游客 [
拥有积分：3
这家伙太懒，还没有签名！
解答题中心
利用aircrack-ng工具获取附近wifi的密码
( 08:22:45) &|
&评论（0）&&|
&阅读次数（1565）|
人收藏此文章,
提示：下面的所有命令都以root用户执行
一、关闭网络和结束可能会影响结果的进程
1、关闭网络
service network-manager stop
2、结束可能会影响结果的进程
airmon-ng check kill
二、开启无线网卡到监听模式
1、查看网卡列表
说明：以wlan0和wlan1是无线网卡，我的电脑上有两张无线网卡
2、启动网卡到监听模式(这里使用wlan0)
airmon-ng start wlan0
说明：如上图表示启动成功，启动后会给出一个新的名称接口名，上图中的是mon0
三、监听周围的无线网络连接并获取握手信息
1、监听周围所有无线网络信息
airodump-ng mon0
在这条命令中mon0是上一步中我们得到的接口名
说明：图下半部分，列BSSID下要有非(not associated)行才行，上图中最后一行就是:
C0:XX:XX:XX:XX:00
14:XX:XX:XX:XX:B4
这时，记下C0:XX:XX:XX:XX:00，并在图的上半部分中找对应C0:XX:XX:XX:XX:00行，记下CH列下的值为1。然后关闭此窗口。
2、监听感兴趣的无线网络
根据上一步的结果执行如下命令:
airodump-ng --bssid C0:XX:XX:XX:XX -c 1 -w tmp mon0
在这条命令中--bssid后接我们上一部接下的BSSID值，即：C0:XX:XX:XX:XX:00。而-c后接的是我上一步在CH列下找到的值1。而-w后接的是我们保存网络数据的文件名，这里是用tmp。在命令的最后接的是之前得到的mon0
运行命令后会得到上图的结果，并确保上图的下半部分BSSID下有至少一行的数据
3、得到握手包
保持上一步中的窗口不关，新开一个窗口，执行如下命令：
aireplay-ng -0 2 -a C0:XX:XX:XX:XX:00 -c 14:XX:XX:XX:XX:B4 mon0在这条命令中参数-a后接的是上图中下半部分BSSID列下第一行的的值C0:XX:XX:XX:XX:00。参数-c后接的是上图中下半部分STATION列下第一行的的值14:XX:XX:XX:XX:B4。mon是之前步骤得到的值。执行后：
观察我们步骤2中未关闭的窗口中是否出现了下图中红款中的内容。如果没有出现那就再等几分钟再次执行本步骤中的命令，直到出现。如果执行了超过30次或者时间超过30分钟依然没有出现，建议换一个感兴趣的网络。
出现了上图中红框中的内容，就表示我们已经获取到了握手信息（包含有该网络密码的数据）。那么我们就可以结束监听网络了。
四、停止监听
1、关闭监听接口
airmon-ng stop mon0
2、启动网络
service network-manager start
五、获取密码
此时在执行第3.2步骤中命令的目录下会有一个tmp-01.cap文件。有了这个文件我们就可以破解密码了，除了这个文件外，我们还需要一个字典文件。可以从这里下载，下载后解压出密码文件，假设其名字及路径为:/tmp/passwd.txt。执行下面的命令。如果密码字典中有这个wifi的密码，我们就可以破解出密码:
aircrack-ng tmp-01.cap -w /tmp/passwd.txt破解成功后会出现下图：
KEY FOUND!后中括号中间就是wifi密码了
六、可能出现的问题
1、收到on channel -1的错误
第3.3步执行
aireplay-ng -0 2 -a C0:XX:XX:XX:XX:00 -c 14:XX:XX:XX:XX:B4 mon0
提示错误：
Waiting for beacon frame (BSSID:
XX:XX:XX:XX:XX:XX) on channel -1
Couldn't determine current channel for mon0, you should either force the operation with --ignore-negative-one or apply a kernel patch
Please specify an ESSID (-e).
解决办法：
（1）确保第3.1步中的窗口被关闭了的
（2）确保执行的3.2步中的命令，且名称中有参数-c且参数-c后的数值是正确的(参数-c 1是为了把mon0的频道锁定在频道1)
（3）如果依然不能解决，那可能就是驱动问题了，就像我的电脑，在kali3.14上能正常，但在3.20上一直有问题
关注微信，跟着我们扩展技术视野。每天推送IT新技术文章，每周聚焦一门新技术。微信二维码如下：
微信公众账号：尚学堂（微信号：bjsxt-java）
原文链接：
北京总部地址：北京市海淀区西三旗桥东建材城西路85号神州科技园B座三层尚学堂 咨询电话：400-009-233821
北京尚学堂科技有限公司 京ICP备号-1 京公网安备83trackbacks-0
其实关于无线基础知识的内容还是挺多的，但是由于本书侧重于BT4自身工具使用的讲解，若是再仔细讲述这些外围的知识，这就好比讲述DNS工具时还要把DNS服务器的类型、工作原理及配置讲述一遍一样，哈哈，估计整本书的厚度就需要再翻一、两倍了。恩，关于无线网络基础知识建议大家可以参考我之前在黑手这里出版的《无线黑客傻瓜书》一书，会很有帮助。
恩，先说明一下，本章的内容适用于目前市面所有主流品牌无线路由器或AP如Linksys、Dlink、TPLink、BelKin等。涉及内容包括了WEP加密及WPA-PSK加密的无线网络的破解操作实战。
◆什么是Aircrack-ng
Aircrack-ng是一款用于破解无线802.11WEP及WPA-PSK加密的工具，该工具在2005年11月之前名字是Aircrack，在其2.41版本之后才改名为Aircrack-ng。
Aircrack-ng主要使用了两种攻击方式进行WEP破解：一种是FMS攻击，该攻击方式是以发现该WEP漏洞的研究人员名字（Scott Fluhrer、Itsik Mantin及Adi Shamir）所命名；另一种是KoreK攻击，经统计，该攻击方式的攻击效率要远高于FMS攻击。当然，最新的版本又集成了更多种类型的攻击方式。对于无线黑客而言，Aircrack-ng是一款必不可缺的无线攻击工具，可以说很大一部分无线攻击都依赖于它来完成；而对于无线安全人员而言，Aircrack-ng也是一款必备的无线安全检测工具，它可以帮助管理员进行无线网络密码的脆弱性检查及了解无线网络信号的分布情况，非常适合对企业进行无线安全审计时使用。
Aircrack-ng（注意大小写）是一个包含了多款工具的无线攻击审计套装，这里面很多工具在后面的内容中都会用到，具体见下表1为Aircrack-ng包含的组件具体列表。
aircrack-ng
主要用于WEP及WPA-PSK密码的恢复，只要airodump-ng收集到足够数量的数据包，aircrack-ng就可以自动检测数据包并判断是否可以破解
用于改变无线网卡工作模式，以便其他工具的顺利使用
airodump-ng
用于捕获802.11数据报文，以便于aircrack-ng破解
aireplay-ng
在进行WEP及WPA-PSK密码恢复时，可以根据需要创建特殊的无线网络数据报文及流量
airserv-ng
可以将无线网卡连接至某一特定端口，为攻击时灵活调用做准备
airolib-ng
进行WPA Rainbow Table攻击时使用，用于建立特定数据库文件
airdecap-ng
用于解开处于加密状态的数据包
其他用于辅助的工具，如airdriver-ng、packetforge-ng等
Aircrack-ng在 BackTrack4 R2下已经内置（），具体调用方法如下图2所示：通过依次选择菜单中&Backtrack&&&Radio Network Analysis& &&80211&&&Cracking&&&Aircrack-ng &，即可打开Aircrack-ng的主程序界面。也可以直接打开一个Shell，在里面直接输入aircrack-ng命令回车也能看到aircrack-ng的使用参数帮助。
◆使用Aircrack-ng破解WEP加密无线网络
首先讲述破解采用WEP加密内容，启用此类型加密的无线网络往往已被列出严重不安全的网络环境之一。而Aircrack-ng正是破解此类加密的强力武器中的首选，关于使用Aircrack-ng套装破解WEP加密的具体步骤如下。
步骤1：载入无线网卡。
其实很多新人们老是在开始载入网卡的时候出现一些疑惑，所以我们就把这个基本的操作仔细看看。首先查看当前已经载入的网卡有哪些，输入命令如下：
回车后可以看到如下图3所示内容，我们可以看到这里面除了eth0之外，并没有无线网卡。
确保已经正确插入USB或者PCMCIA型无线网卡，此时，为了查看无线网卡是否已经正确连接至系统，应输入：
ifconfig -a
参数解释：
-a&显示主机所有网络接口的情况。和单纯的ifconfig命令不同，加上-a参数后可以看到所有连接至当前系统网络接口的适配器。
如下图4所示，我们可以看到和上图3相比，出现了名为wlan0的无线网卡，这说明无线网卡已经被BackTrack4 R2 Linux识别。
既然已经识别出来了，那么接下来就可以激活无线网卡了。说明一下，无论是有线还是无线网络适配器，都需要激活，否则是无法使用滴。这步就相当于Windows下将&本地连接&启用一样，不启用的连接是无法使用的。
在上图4中可以看到，出现了名为wlan0的无线网卡，OK，下面输入：
ifconfig wlan0 up
参数解释：
up&用于加载网卡的，这里我们来将已经插入到笔记本的无线网卡载入驱动。在载入完毕后，我们可以再次使用ifconfig进行确认。如下图5所示，此时，系统已经正确识别出无线网卡了。
当然，通过输入iwconfig查看也是可以滴。这个命令专用于查看无线网卡，不像ifconfig那样查看所有适配器。
该命令在Linux下用于查看有无无线网卡以及当前无线网卡状态。如下图6所示。
步骤2：激活无线网卡至monitor即监听模式。
对于很多小黑来说，应该都用过各式各样的嗅探工具来抓取密码之类的数据报文。那么，大家也都知道，用于嗅探的网卡是一定要处于monitor监听模式地。对于无线网络的嗅探也是一样。
在Linux下，我们使用Aircrack-ng套装里的airmon-ng工具来实现，具体命令如下：
airmon-ng start wlan0
参数解释：
start&后跟无线网卡设备名称，此处参考前面ifconfig显示的无线网卡名称；
如下图7所示，我们可以看到无线网卡的芯片及驱动类型，在Chipset芯片类型上标明是Ralink 2573芯片，默认驱动为rt73usb，显示为&monitor mode enabled on mon0&，即已启动监听模式，监听模式下适配器名称变更为mon0。
步骤3：探测无线网络，抓取无线数据包。
在激活无线网卡后，我们就可以开启无线数据包抓包工具了，这里我们使用Aircrack-ng套装里的airmon-ng工具来实现，具体命令如下：
不过在正式抓包之前，一般都是先进行预来探测，来获取当前无线网络概况，包括AP的SSID、MAC地址、工作频道、无线客户端MAC及数量等。只需打开一个Shell，输入具体命令如下：
airodump-ng mon0
参数解释：
mon0为之前已经载入并激活监听模式的无线网卡。如下图8所示。
回车后，就能看到类似于下图9所示，这里我们就直接锁定目标是SSID为&TP-LINK&的AP，其BSSID（MAC）为&00：19：E0：EB：33：66&，工作频道为6，已连接的无线客户端MAC为&00：1F：38：C9：71：71&。
既然我们看到了本次测试要攻击的目标，就是那个SSID名为TP-LINK的无线路由器，接下来输入命令如下：
airodump-ng --ivs &w longas -c 6 wlan0
参数解释：
--ivs&这里的设置是通过设置过滤，不再将所有无线数据保存，而只是保存可用于破解的IVS数据报文，这样可以有效地缩减保存的数据包大小；
-c&这里我们设置目标AP的工作频道，通过刚才的观察，我们要进行攻击测试的无线路由器工作频道为6；
-w&后跟要保存的文件名，这里w就是&write写&的意思，所以输入自己希望保持的文件名，如下图10所示我这里就写为longas。那么，小黑们一定要注意的是：这里我们虽然设置保存的文件名是longas，但是生成的文件却不是longase.ivs，而是longas-01.ivs。
注意：这是因为airodump-ng这款工具为了方便后面破解时候的调用，所以对保存文件按顺序编了号，于是就多了-01这样的序号，以此类推，在进行第二次攻击时，若使用同样文件名longas保存的话，就会生成名为longas-02.ivs的文件，一定要注意哦，别到时候找不到又要怪我没写清楚：）
啊，估计有的朋友们看到这里，又会问在破解的时候可不可以将这些捕获的数据包一起使用呢，当然可以，届时只要在载入文件时使用longas*.cap即可，这里的星号指代所有前缀一致的文件。
在回车后，就可以看到如下图11所示的界面，这表示着无线数据包抓取的开始。
步骤4：对目标AP使用ArpRequest注入攻击
若连接着该无线路由器/AP的无线客户端正在进行大流量的交互，比如使用迅雷、电骡进行大文件下载等，则可以依靠单纯的抓包就可以破解出WEP密码。但是无线黑客们觉得这样的等待有时候过于漫长，于是就采用了一种称之为&ARP Request&的方式来读取ARP请求报文，并伪造报文再次重发出去，以便刺激AP产生更多的数据包，从而加快破解过程，这种方法就称之为ArpRequest注入攻击。具体输入命令如下：
aireplay-ng -3 -b AP的mac -h 客户端的mac mon0
参数解释：
-3&指采用ARPRequesr注入攻击模式；
-b&后跟AP的MAC地址，这里就是前面我们探测到的SSID为TPLINK的AP的MAC；
-h&后跟客户端的MAC地址，也就是我们前面探测到的有效无线客户端的MAC；
最后跟上无线网卡的名称，这里就是mon0啦。
回车后将会看到如下图12所示的读取无线数据报文，从中获取ARP报文的情况出现。
在等待片刻之后，一旦成功截获到ARP请求报文，我们将会看到如下图13所示的大量ARP报文快速交互的情况出现。
此时回到airodump-ng的界面查看，在下图14中我们可以看到，作为TP-LINK的packets栏的数字在飞速递增。
步骤5：打开aircrack-ng，开始破解WEP。
在抓取的无线数据报文达到了一定数量后，一般都是指IVs值达到2万以上时，就可以开始破解，若不能成功就等待数据报文的继续抓取然后多试几次。注意，此处不需要将进行注入攻击的Shell关闭，而是另外开一个Shell进行同步破解。输入命令如下：
aircrack-ng 捕获的ivs文件
关于IVs的值数量，我们可以从如下图15所示的界面中看到，当前已经接受到的IVs已经达到了1万5千以上，aircrack-ng已经尝试了41万个组合。
那么经过很短时间的破解后，就可以看到如下图16中出现&KEY FOUND&的提示，紧跟后面的是16进制形式，再后面的ASCII部分就是密码啦，此时便可以使用该密码来连接目标AP了。 一般来说，破解64位的WEP至少需要1万IVs以上，但若是要确保破解的成功，应捕获尽可能多的IVs数据。比如下图16所示的高强度复杂密码破解成功依赖于8万多捕获的IVs。
注意：由于是对指定无线频道的数据包捕获，所以有的时候大家会看到如下图17中一样的情景，在破解的时候出现了多达4个AP的数据报文，这是由于这些AP都工作在一个频道所致，很常见的。此时，选择我们的目标，即标为1的、SSID位dlink的那个数据包即可，输入1，回车后即可开始破解。
看到这里，可能有的朋友会说，这些都是弱密码（就是过于简单的密码），所以才这么容易破解，大不了我用更复杂点的密码总可以了吧，比如&#87G之类的，即使是采用更为复杂的密码，这样真的就安全了吗？嘿嘿，那就看看下图18中显示的密码吧：）
正如你所看到的，在上图18中白框处破解出来的密码已经是足够复杂的密码了吧？我们放大看一看，如下图19所示，这样采用了大写字母、小写字母、数字和特殊符号的长达13位的WEP密码，在获得了足够多的IVs后，破解出来只花费了约4秒钟！
现在，你还认为自己的无线网络安全么？哈，这还只是个开始，我们接着往下看。
补充一下：
若希望捕获数据包时，能够不但是捕获包括IVS的内容，而是捕获所有的无线数据包，也可以在事后分析，那么可以使用如下命令：
airodump-ng &w longas -c 6 wlan0
就是说，不再--ivs过滤，而是全部捕获，这样的话，捕获的数据包将不再是longas-01.ivs，而是longas-01.cap，请大家注意。命令如下图20所示。
同样地，在破解的时候，对象也变成了longas-*.cap。命令如下：
aircrack-ng 捕获的cap文件
回车后如下图21所示，一样破解出了密码。
可能有的朋友又要问，ivs和cap直接的区别到底在哪儿呢？其实很简单，若只是为了破解的话，建议保存为ivs，优点是生成文件小且效率高。若是为了破解后同时来对捕获的无线数据包分析的话，就选为cap，这样就能及时作出分析，比如内网IP地址、密码等，当然，缺点就是文件会比较大，若是在一个复杂无线网络环境的话，短短20分钟，也有可能使得捕获的数据包大小超过200MB。
如下图22所示，我们使用du命令来比较上面破解所捕获的文件大小。可以看到，longas-01.ivs只有3088KB，也就算是3MB，但是longas-02.cap则达到了22728KB，达到了20MB左右！！
◆使用Aircrack-ng破解WPA-PSK加密无线网络
结合上小节的内容，下面继续是以BackTrack4 R2 Linux为环境，讲述破解WPA-PSK加密无线网络的具体步骤，详细如下。
步骤1：升级Aircrack-ng。
前面在第一章1.3节我们已经讲述了升级Aircrack-ng套装的详细步骤，这里也是一样，若条件允许，应将Aircrack-ng升级到最新的Aircrack-ng 1.1版。由于前面我已经给出了详细的步骤，这里就不再重复。
除此之外，为了更好地识别出无线网络设备及环境，最好对airodump-ng的OUI库进行升级，先进入到Aircrack-ng的安装目录下，然后输入命令如下：
airodump-ng-oui-update
回车后，就能看到如下图23所示的开始下载的提示，稍等一会儿，这个时间会比较长，恩，建议预先升级，不要临阵磨枪。
步骤2：载入并激活无线网卡至monitor即监听模式。
在进入BackTrack4 R2系统后，载入无线网卡的顺序及命令部分，依次输入下述命令：
startx&&&&&&&&&&& 进入到图形界面 ifconfig &a&&&&&& 查看无线网卡状态ifconfig& wlan0& up&&&& 载入无线网卡驱动airmon-ng& start& wlan0& 激活网卡到monitor模式
如下图24所示，我们可以看到无线网卡的芯片及驱动类型，在Chipset芯片类型上标明是Ralink 2573芯片，默认驱动为rt73usb，显示为&monitor mode enabled on mon0&，即已启动监听模式，监听模式下适配器名称变更为mon0。
步骤3：探测无线网络，抓取无线数据包。
在激活无线网卡后，我们就可以开启无线数据包抓包工具了，这里我们使用Aircrack-ng套装里的airodump-ng工具来实现，具体命令如下：
airodump-ng -c 6 &w longas mon0
参数解释：
-c&这里我们设置目标AP的工作频道，通过观察，我们要进行攻击测试的无线路由器工作频道为6；
-w&后跟要保存的文件名，这里w就是&write写&的意思，所以输入自己希望保持的文件名，这里我就写为longas。那么，小黑们一定要注意的是：这里我们虽然设置保存的文件名是longas，但是生成的文件却不是longas.cap，而是longas-01.cap。
mon0&为之前已经载入并激活监听模式的无线网卡。如下图25所示。
在回车后，就可以看到如下图25所示的界面，这表示着无线数据包抓取的开始。接下来保持这个窗口不动，注意，不要把它关闭了。另外打开一个Shell。进行后面的内容。
步骤4：进行Deauth攻击加速破解过程。
和破解WEP时不同，这里为了获得破解所需的WPA-PSK握手验证的整个完整数据包，无线黑客们将会发送一种称之为&Deauth&的数据包来将已经连接至无线路由器的合法无线客户端强制断开，此时，客户端就会自动重新连接无线路由器，黑客们也就有机会捕获到包含WPA-PSK握手验证的完整数据包了。此处具体输入命令如下：
aireplay-ng -0 1 &a AP的mac -c 客户端的mac wlan0
参数解释：
-0&采用deauth攻击模式，后面跟上攻击次数，这里我设置为1，大家可以根据实际情况设置为10不等；
-a&后跟AP的MAC地址；
-c&后跟客户端的MAC地址；
回车后将会看到如下图26所示的deauth报文发送的显示。
此时回到airodump-ng的界面查看，在下图27中我们可以看到在右上角出现了&WPA handshake&的提示，这表示获得到了包含WPA-PSK密码的4此握手数据报文，至于后面是目标AP的MAC，这里的AP指的就是要破解的无线路由器。
若我们没有在airodump-ng工作的界面上看到上面的提示，那么可以增加Deauth的发送数量，再一次对目标AP进行攻击。比如将-0参数后的数值改为10。如下图28所示。
步骤5：开始破解WPA-PSK。
在成功获取到无线WPA-PSK验证数据报文后，就可以开始破解，输入命令如下：
aircrack-ng -w dic 捕获的cap文件
参数解释：
-w&后跟预先制作的字典，这里是BT4下默认携带的字典。
在回车后，若捕获数据中包含了多个无线网络的数据，也就是能看到多个SSID出现的情况。这就意味着其它AP的无线数据皆因为工作在同一频道而被同时截获到，由于数量很少所以对于破解来说没有意义。此处输入正确的选项即对应目标AP的MAC值，回车后即可开始破解。如下图29所示为命令输入情况。
由下图30可以看到，在双核T7100的主频+4GB内存下破解速度达到近450k/s，即每秒钟尝试450个密码。
经过不到1分多钟的等待，我们成功破解出了密码。如下图31所示，在&KEY FOUND&提示的右侧，可以看到密码已被破解出。密码明文为&longaslast&，破解速度约为450 key/s。若是能换成4核CPU的话，还能更快一些。
◆使用Aircrack-ng破解WPA2-PSK加密无线网络
对于启用WPA2-PSK加密的无线网络，其攻击和破解步骤及工具是完全一样的，不同的是，在使用airodump-ng进行无线探测的界面上，会提示为WPA CCMP PSK。如下图32所示。
当我们使用aireplay-ng进行deauth攻击后，同样可以获得到WPA握手数据包及提示，如下图33所示。
同样地，使用aircrack-ng进行破解，命令如下：
aircrack-ng -w dic 捕获的cap文件
参数解释：
-w&后跟预先制作的字典文件
经过1分多钟的等待，可以在下图34中看到提示：&KEY FOUND！&后面即为WPA2-PSK连接密码。
现在，看明白了吧？破解WPA-PSK对硬件要求及字典要求很高，所以只要你多准备一些常用的字典比如生日、8位数字等，这样破解的时候也会增大破解的成功率。
◆使用Aircrack-ng进行无线破解的常见问题
恩，下面使一些初学无线安全的小黑们在攻击中可能遇到的问题，列举出来方便有朋友对号入座：
1．我的无线网卡为何无法识别？
答：BT4支持的无线网卡有很多，比如对采用Atheros、Prism2和Ralink芯片的无线网卡，无论是PCMCIA还是PCI，亦或是USB的，支持性还是很高的。要注意BT4也不是所有符合芯片要求的无线网卡都支持的，有些同型号的但是硬件固件版本不同就不可以，具体可以参考Aircrack-ng官方网站的说明。
2．为什么我输入的命令老是提示错误？
答：呃&&没什么说的，兄弟，注意大小写和路径吧。
3．为什么使用airodump-ng进行的的ArpRequest注入攻击包时，速度很缓慢？？
答：原因主要有两个：
（1．是可能该无线网卡对这些无线工具的支持性不好，比如很多笔记本自带的无线网卡支持性就不好；
（2．是若只是在本地搭建的实验环境的话，会因为客户端与AP交互过少，而出现ARP注入攻击缓慢的情况，但若是个客户端很多的环境，比如商业繁华区或者大学科技楼，很多用户在使用无线网络进行上网，则攻击效果会很显著，最短5分钟即可破解WEP。
4．为什么使用aireplay-ng发送的Deauth攻击包后没有获取到WPA握手包？
答：原因主要有两个：
（1．是可能该无线网卡对这些无线工具的支持性不好，需要额外的驱动支持；
（2．是无线接入点自身问题，有的AP在遭受攻击后会短时间内失去响应，需重起或等待片刻才可恢复正常工作状态。
5．为什么我找不到捕获的cap文件？
答：其实这是件很抓狂的问题，虽然在前面使用airodump-ng时提到文件保存的时候，我已经说明默认会保存为&文件名-01.cap&这样的方式，但是依旧会有很多由于过于兴奋导致眼神不济的小黑们抱怨找不到破解文件。
好吧，我再举个例子，比如最初捕获时我们命名为longas或者longas.cap，但在aircrack-ng攻击载入时使用ls命令察看，就会发现该文件已变成了longas-01.cap，此时，将要破解的文件改为此即可进行破解。若捕获文件较多，需要将其合并起来破解的话，就是用类似于&longas*.cap&这样的名字来指代全部的cap文件。这里*指代-01、-02等文件。
6．Linux下捕获的WPA握手文件是否可以放到Windows下破解？
答：这个是可以的，不但可以导入windows下shell版本的aircrack-ng破解，还可以导入Cain等工具进行破解。关于Windows下的破解我已在《无线黑客傻瓜书》里做了详细的阐述，这里就不讲述和BT4无关的内容了。
《BT4 Linux 黑客手册》国内第一本关于BackTrack3/4/4R1/4R2/5下内置工具讲解书籍，适用于各类BT4狂热分子、BT4英文能力不强者、BT4初哥、BT4宅男宅女、BT4深度学习人士、BT5过渡期待者、BT3迷恋者、BT4无线hacking爱好者、鄙视Windows者及......（此处略去1千字），聚众奋力编写6个月，终于粉墨登场！
全书共15章，全书稿页数近600页，涉及工具近100个，攻防操作案例60个，从有线到无线、从扫描到入侵、从嗅探到PJ、从逆向到取证，全面协助小黑们从零开始一步步学习BT4下各类工具的使用及综合运用。
阅读(...) 评论()