无线WiFi破解教程（转载）

WIFI安全基础

• 作者: 寒霜_

一、WIFI安全现状

随着无线网络的成熟，使用WiFi的人越来越多，咖啡厅、餐馆、机场等各种公开场所都有免费的WiFi提供。但不少网友因使用公共WiFi出现过信用卡被盗刷的情况，更有黑客宣称5分钟（用得了这么久吗？）便可以盗取咖啡客人的银行账号和密码。其实从WiFi诞生起，其安全问题就一直饱受诟病。最初的WiFi标准主要采用WEP方式加密，而WEP被证明是一种很不安全的加密方式，可以被轻易破解。

早年间的WiFi标准也因为安全原因被工信部拒绝，而强制国内无线设备使用自有标准WAPI。不过后来随着技术的发展，WiFi的加密手段不断完善，而且生态已经形成，2009年6月工信部终于放行WiFi设备销售。当然现在WEP加密已经基本被抛弃。所有新的无线路由器默认的加密方式都已经使用更加安全的标准。

WiFi标准放行后，随着笔记本电脑和智能手机的流行，WiF几乎成了所有移动设备的标准网络接入方式。现在当你到一个地方的第一件事情估计就是找WiFi问密码了。

二、Aircrack-ng

Aircrack-ng是一款用于破解无线802.11WEP及WPA-PSK加密的工具，该工具在2005年11月之前名字是Aircrack，在其2.41版本之后才改名为Aircrack-ng。
Aircrack-ng主要使用了两种攻击方式进行WEP破解：一种是FMS攻击，该攻击方式是以发现该WEP漏洞的研究人员名字（Scott Fluhrer、Itsik Mantin及Adi Shamir）所命名；另一种是KoreK攻击，经统计，该攻击方式的攻击效率要远高于FMS攻击。当然，最新的版本又集成了更多种类型的攻击方式。

对于无线黑客而言，Aircrack-ng是一款必不可缺的无线攻击工具，可以说很大一部分无线攻击都依赖于它来完成；Aircrack-ng也是一款必备的无线安全检测工具，它可以帮助管理员进行无线网络密码的脆弱性检查及了解无线网络信号的分布情况，非常适合对企业进行无线安全审计时使用。

Aircrack-ng是一个包含了多款工具的无线攻击审计套装，这里面很多工具在后面的内容中都会用到，具体见下表为Aircrack-ng包含的组件具体列表。

Aircrack-ng对各无线加密方式破解原理：

三、WIFI破解实验

3.1、wpa/wpa2加密wifi破解实验：

1、配置无线网卡。
如果渗透测试系统装在虚拟机中，则无法使用实机的无线网卡进行破解实验，需要连接外置无线网卡或把渗透测试系统安装在实机中。

2、使用airmon-ng将网卡设置为监听模式，命令：“airmon-ng start wlan0”。

可以使用airmon-ng check kill 命令结束干扰进程。

3、捕获周边无线信号，命令：“airodump-ng mon0”。

4、airodump捕捉到的信息。

参数解释：
BSSID：AP的MAC地址，如果在clientsection中BSSID显示为“（notassociated）”，那么意味着该客户端没有和AP连接上。unassociated状态下，它正在搜索能够连接上的AP

PWR：网卡报告的信号水平，它主要取决与驱动，当信号值越高时说明你离AP或电脑越近。如果一个BSSID的PWR是-1，说明网卡的驱动不支持报告信号水平。如果是部分客户端的PWR为-1，那么说明该客户端不在你网卡能监听到的范围内，但是你能捕捉到AP发往该客户端的数据。如果所有的客户端PWR值都为-1，那么说明网卡驱动不支持信号水平报告。

Beacons：AP发出的通告编号，每个接入点（AP）在最低速率（1M）时差不多每秒会发送10个左右的beacon，所以它们能在很远的地方就被发现。

#Data：被捕获到的数据分组的数量（如果是WEP，则代表唯一IV的数量），包括广播分组。

#/s：过去10秒钟内每秒捕获数据分组的数量。

CH：信道号（从beacon中获取）。

MB：AP所支持的最大速率，如果MB=11，它是802.11b，如果MB=22，它是802.11b+，如果更高就是802.11g。后面的点（高于54之后）表明支持短前导码（shortpreamble）。

ENC：使用的加密算法体系。OPN=无加密，“WEP?”=WEP或者更高（没有足够的数据来选择（WEP与WPA/WPA2）），WEP（没有问号）表明静态或动态WEP，如果出现TKIP或CCMP，那么就是WPA/WPA2。

CIPHER：检测到的加密算法，CCMP，WRAAP，TKIP，WEP，WEP40或者WEP104中的一个。典型的来说（不是一定的），TKIP与WPA结合使用，CCMP与WPA2结合使用。如果密钥索引值（keyindex）大于0，显示为WEP40。标准情况下索引0-3是40bit，104bit应该是0。

AUTH：使用的认证协议。以下的其中一种：MGT（WPA/WPA2使用独立的认证服务器，平时我们常说的802.1x，radius，eap等），SKA（WEP的共享密钥），PSK（WPA/WPA2的预共享密钥），或者OPN（WEP开放式）。

ESSID：所谓的“SSID”，如果启用隐藏SSID的话它可以为空，这种情况下airodump-ng试图从proberesponses和associationrequests中获取ssid。

5、选定wpa2信号。

6、打开airodump-ng 开始抓包

7、进行Deauth攻击加速破解过程

为了获得破解所需的WPA-PSK握手验证的整个完整数据包，无线黑客们将会发送一种称之为“Deauth”的数据包来将已经连接至无线路由器的合法无线客户端强制断开，此时，客户端就会自动重新连接无线路由器，黑客们也就有机会捕获到包含WPA-PSK握手验证的完整数据包了。此处具体输入命令如下：
“aireplay-ng -0 1 –a AP的mac -c 客户端的mac mon0”。

参数解释：
-0 ：采用deauth攻击模式，后面跟上攻击次数，这里设置为1，可以根据实际情况设置为１～10不等；
-a ：后跟AP的MAC地址；
-c ：后跟客户端的MAC地址。

8、回车后将会看到下图所示的deauth报文发送的显示：

9、成功获取握手包

10、在成功获取到无线WPA-PSK验证数据报文后，就可以开始破解

命令：“ aircrack-ng -w 字典文件 捕获的cap文件 ”

11、成功破解

2、wep加密wifi破解实验
1、前面几步与2.3.1的实验中相同，然后选中wep加密的信号，使用airodump开始抓包。

参数解释：
--ivs：只抓取可以用于破解的数据包，过滤其他不必要的
-c：指定信号信道（channel）
--bssid：指定目标信号mac地址（不指定会抓取所有同信道数据包）
-w：指定抓取的数据包写入的文件名
wlan0:最后加上网卡名(一般写mon0)

2、对目标AP使用ArpRequest注入攻击，加速抓包过程。

参数解释：
-3：采用ARPRequesr注入攻击模式
-b：AP的MAC地址
-h：客户端的MAC地址
mon0：无线网卡名称

抓包速度显著提升

3、抓包数（beasons）达到2w以上就可以进行破解。抓包数据默认保存在“主文件夹”目录下，后缀名为ivs

4、最后使用aircrack-ng 对ivs文件进行破解即可。

3、reaver破解实验
在较新型号的路由中，增加了QSS或者WPS功能，原意是方便客户连接，安装相应客户端即可实现快速配对，但是由于配对密码（PIN）一般为4或8位数字，容易被人利用。如果在线穷举，8位数字应穷举10亿次，但是，reaver的作者根据特殊的攻击算法把穷举量缩小为1万次左右，大大加大了PIN破解进度，使WPA在线破解成为可能。

Reaver对各无线加密方式破解原理

破解实验流程

1、前面几步基本配置请参照之前的配置。基本配置完成后在airodump捕捉到的信息里选取MB项有“.”的信号（表示开启WPS功能）。

2、使用reaver进行PIN穷举。

参数解释：
-i：指定网卡
-c：指定信道，如果不指定，reaver会从信道1开始检测
-b：指定mac地址
-vv：详细信息模式，详细报告破解过程中的信息

3、可以在破解过程中的信息里看到当前进度和破解速度。

4、破解过程中，可以按Ctrl+C 停止，这时reaver会自动保存一个名为mac地址.wpc 的文件。下次继续破解该信号时可以用-s 参数指定session文件，接着跑。

5、前四位跑出后进度到90%

6、最终，将得到该信号的PIN码，无线密码等信息。

注：路由器wps功能开启并已知PIN码的情况下：
“reaver -i mon0 -b MAC -p PIN”
效果：秒破

四、无线安全防护措施

1、wep加密方式：趁早摒弃，改用wpa/wpa2加密方式；
2、wpa/wpa2加密方式：不使用弱密码，加大密码强度；
3、关闭路由器的WPS功能；
4、修改路由器默认PIN码；
5、以上措施需要综合运用，单独使用效果欠佳。