无线渗透(中)--WPS破解

0x00. 前言

基于第一篇文章WPA密码破解的反馈，有人提问说能否写一下关于WPA2的文章。笔者在这里回答一下，破解WPA2的流程和WPA是一样的，WPA2只是采用了更加复杂可靠的加密算法（利用CCMP替代了TKIP，AES替代了RC4），不过依然可以利用上一篇文章中提到的攻击原理来暴力破解PSK，所以笔者不会再写WPA2的内容。另外，由于某些缘故WEP密码破解可能不会写了，大家见谅，不过其他内容依然会陆续推出。

0x01. WPS简介

WPS是由Wi-Fi联盟组织实施的认证项目，主要致力于简化无线网络的安全加密设置。

功能：

通过PIN码来简化无线接入的操作，所以我们无需记住PSK.

不足：

PIN码采用8位数字组合，但是前四位和后四位是分别验证的，并且第八位是校验位无需关注，所以攻击者就算是暴力破解PIN码也最多只需尝试11000次不同的组合，得到正确的PIN码之后便可以通过工具提取出PSK.

0x02. WPS破解实战

由于笔者环境限制，加上破解PIN码费时费力，所以不会在本地测试，以下部分截图来自国外某大牛亲测结果。

实战流程：

1.关闭会影响操作的进程，启动网卡置为monitor模式

2.侦听周围环境中开启WPS服务的设备，下列两种方法都能达到目的

(1)airodump wlan0mon --wps 开启WPS的设备会显示如下

(2)wash -i wlan0mon 采用wash命令只会显示开启WPS的设备，但是会显示设备是否已经被锁上，因为有时爆破PIN码时会导致路由器被锁住

3.侦听到开启WPS的设备之后我们就可以开始破解PIN码了，此时也有两种方法，一种是暴力破解，另一种是利用设备漏洞来破解PIN码

(1)利用reaver爆破密码,经过几个小时的爆破基本能猜出来

(2)利用设备漏洞破解PIN码，虽然此方法能在极短时间内完成破解，但是如果设备本身不存在漏洞依旧无法成功，下图可以看到尝试失败了

0x03. 防御措施

经过以上测试可以判定WPS是不安全的，为了防御基于WPS的攻击行为，最好的办法就是使用没有WPS功能的路由器，这是最好也是最有效的方法。另外，如果你的路由器具备WPS功能，那么就算你在网关上关闭了WPS功能也很有可能被攻击者利用，所以最好选用不具备此功能的路由器来布置到家中。

0x04. 结语

本篇文章理论知识比较少，主要就只给大家演示了实战过程，相信喜欢速成的读者们比较喜欢吧，但是老实说这样的文章营养价值不大。碍于笔者能力有限不能给大家深度剖析协议原理深感抱歉，在之后的文章中我尽量让大家在不觉得枯燥的同时学到更多的理论原理。下一章会介绍WPA企业账号密码破解，不嫌弃的读者可以继续关注！