无线局域网攻防之Wi-Fi破解

前期准备

kail linunx系统 
无线网卡接收器芯片为3070或者1887L都支持Linux
字典
下面是我自己比较推荐的两个网卡接收器

 

 

无线网络加密方式和破解方式简介

1.WEP加密方式及破解

1)wEP加密方式

有线等效保密协议使用的死RC4串流加密技术保证机密性并使用CRC-32校验和保证资料的正确性包含开放式系统认证和共有健认证。不过随着时代的发展wep加密方式日渐淘汰因为这种加密方式非常容易破解安全性不高现在只有一小部分使用这种加密方式加密无线网络。

2)wEP漏洞及破解

(1)802.2头信息和简单RC4流密码算法。导致攻击者在有客户端并有大量有效通信时,可以分析出wEP的密码。

(2)重复使用。导致攻击者在游客户端少量 通信或者没用通信时,可以使用ARP重放的方法获得大量有效的数据。

(3)无身份验证机制,使用线性函数CRC- 32进行完整性校验。导致攻击者能使用虚连接和AP建立伪连接,进而获得×oR文件。使用线性函数CRC-32进行完整性校验,导致攻击者能用×oR文件伪造一个ARP的包,然后依靠这个包去捕获大量有效数据

破解wEP加密的无线信号依赖两个因素:

1)信号强度;

2)是否有在线客户端。通过抓包、注入,然 后获取密码,只要有这类信号就是百分之百可以破解的。

2.WPA加密方式

现在大部分的无线网络都是使用WPA方式来加密的这种加密方式安全性高。WPA为Wi-Fi网络安全存取有WPA和WPA2两个标准是基于有线等效加密方式中几个严重的弱点而产生的。WPA加密方式目前有四种认证WPA、WPA-PSK、WPA2、WPA2-PSK。

wPA加密流程如下:

(1)无线AP定期发送beacon数据包,使无线终端更新自己的无线网络列表。

(2)无线终端在每个信道(1-13)广播Probe Request (非隐藏类型的wi"含ESSlD,隐藏类型的wi"不含ESSlD)。

(3)每个信道的AP回应,Probe Response,包含ESSlD及RSN信息
。
(4)无线终端给目标AP发送AUTH包。AUTH认证类型有两种:0为开放式,1为共享式(wPA/wPA2必须是开放式)。

(5)AP回应网卡AUTH包。

(6)无线终端向AP发送关联请求包Association Request数据包。

(7)AP向无线终端发送关联响应包Association Request数据包。

(8)EAPoL四次握手进行认证(握手包是破解的关键)。

(9)完成认证可以上网。

2)wPA破解
wPA的wi"密码破解分两种方法:抓包和跑Pin码。
(1)抓包破解。wi"信号是加密的,登录无线路由器,就要向路由器发送一个请求,请求和无线路由器建立连接,这个请求就是一个包, 名叫握手包,这个包里面包含了发送过去的一个密码,但是这个密码是加密的。抓包破解成

功与否取决于以下四个方面:信号强度、是否有客户端在线、跑包的机器是否足够强大、字典是否好用等等。

(2)跑Pin码破解。wPS(QSS 或 AoSS) 功能是wi"保护设置的英文缩写。对于一般用户,wPS提供了一种相当简便的加密方法。通过该功能,不仅可将具有wPS功能的wi"设备和无线路由器进行快速互连,还会随机产生一个八位数字的字符串作为个人识别号码(Pin)进行加密操作。省去了客户端需要连入无线网络时,必须手动添加网络名称(SSlD)及输入冗长的无线加密密码的烦琐过程。

实战——Aircrack破解wifi

我们使用的是kali自带的一个工具模块windows也可以安装
Aircrack-ng是一个包含了多款工具的套装我们需要使用其中几个模块

airmon-ng
  airodump-ng
  aireplay-ng
  aircrack-ng

测试分为六个步骤

准备
探测
抓包
攻击
字典
破解

1.准备

我们首先打开kali连接我们的无线接收器
选择连接到kali系统

 

我们首先看下kali的无线网卡状态查看wlan0是否开启

 

如果它连接了其他WiFi那wlan0就会有IP地址。没有就不在连接状态。我们必须保证它没有连接wifi

我们查看网卡状态

iwconfig

扩展iwconfig和ifconfig
iwconfig这是开发板上的一块物理网卡和一个wifi模块。我们可以看到IP信息网卡地址等等。这个命令还常用来设置网络信息
iwconfig仅仅和无线网络相关。用来设置参数等。

 

可以看到wlan0是处于没有激活的状态
我们需要激活无线网卡到monitor即监听模式下

airmon-ng start wlan0

 

我们再次查看发现网卡以改变为wlan0mon说明激活成功

 

2.探测

利用无线网卡接收器搜索周围WiFi信息

airodump-ng wlan0mon

ESSID是wifi名字
BSSID是wifi的mac地址
ENC是加密方式
CH是工作频道
PWR 是信号强度绝对值越小信号越强
Data 是路由器的在线数据吞吐量数值越大数值上传量越大

 

我们需要记住的是自己的mac地址要攻击者wifi的mac地址以及要攻击者的工作频道

qq是退出不要强制退出不然可能漏包

3.抓包

我们得到以上信息后利用airodump-ng进行抓包

sudo airodump-ng --ivs --bssid MAC地址 -w baixi -c 4 wlan0mon

--bssid 后面是路由器mac地址
-w  是写入到文件longas中后面跟的是文件名字
    虽然我们保存的文件名是baixi但保存下来的名字是baixi-01.ivs
-c   后面的数字是要破解wifi的频道
--ivs 是只抓取可用于破解的IVS数据报文

STATION是本地连接用户我们需要断开他们 让他们进行重新连接
这里我们需要设备与路由传输数据才可以

 

4.攻击

谨记需要开新的窗口

原理为了破解所需要的WPA2握手验证的完整数据包会发一个”Deauth“数据包断开对方的网络让对方再次连接重新抓包对方自动连接会携带了key所以攻击·的·时候必须有人已经连接这个wifi

我们需要开一个新的shell

aireplay-ng -0 1 -a 24:00:FA:AB:C5:68 -c E8:65:D4:A2:0E:71 wlan0mon

-0采用的deauth攻击模式后面是攻击次数 
-a 后面是要攻击wifi的mac地址
-c 后面是已连接wifi的mac地址

 

当出现右上角出现WPA handshake的时候说明抓包完成获取到了wifi包的加密秘钥举一个成功的例子

 

5.字典

可以使用kali自带的秘钥字典

cd /usr/share/wordlists/
sudo gzip -d rockyou.txt.gz

或者使用本地的密码本
亦或者收集信息自动生成字典crunch

 

6.破解

ivs数据包爆破

aircrack-ng -w password.txt baixi-01.ivs

 

破解速度与使用的电脑性能有关当中间出现

KEY FOUND!

后面括号就是该wifi的密码

防护建议

设置复杂且长的密码

不要使用WEP加密方式

加强个人信息保护不给其收集字典的信息