無線滲透總結

micr067發表於2021-08-02

一、無線網路基礎
  無線網路的搭建比較簡單,只需要一個無線路由器即可實現。
無線網路環境中,資料是以廣播包形式傳輸,因此引起了無線網路的安全問題。儘管路由器中提供了各種加密方式來保護資料的安全。但是由於加密演算法存在漏洞可以將其密碼破解出來。
 
1.1、無線網路構成
  無線網路是採用無線通訊技術實現的網路。無線網路既包括允許允許使用者建立具有無線連線的全球語音和資料網路,也包括為近距離無線連線進行優化的紅外線及射頻技術,與有限網路的用途類似,其最大的不同在於傳輸沒接的不同。
 
1.2、什麼是無線網路
  網路按照區域分類,分為區域網、都會網路、逛域網。無線網路也是一個區域網,我們常說的WLAN就是無線網路,而WiFi是一種在無線網路中傳輸的技術。目前主流應用的無線網路分為GPRS收集無線網路和無線區域網兩種方式。而GPRS手機上網方式是一種藉助行動電話網路接入Internet的無線上網方式。
 
1.3、無線網路結構
  通常一個無線網路包括無線網路卡和AP兩個基本裝置。其中AP的全稱為Access Point,即無線訪問接入點或橋接器。AP主要在媒體存取控制層MAC中扮演無線工作站,即有線區域網的橋樑。無線網路卡是終端無線網路的裝置,是不通過有線連線而採用無線訊號進行資料傳輸的終端。
 
二、AP常用術語概述
2.1、ESSID(又叫SSID)
  SSID是Service Set Identifier的縮寫,即服務集標識。SSID是一個籠統的概念,包括了ESSID和BSSID,用來區分不同的網路,最多可以有32個字元。無線網路卡設定了不同的SSID就可以進入不同的網路。SSID通常由AP廣播出來,通過系統自帶的掃描功能可以檢視當前區域的SSID。出於安全考慮可以不廣播SSID,此時使用者就要手動設定SSID才能進入相應的網路。簡單的說,ESSID(SSID)就是一個區域網名稱,只有設定為名稱相同的SSID值的計算機才能互相通訊。
 
2.2、BSSID
  BSSID是一種特殊的Ad-hoc LAN的應用,也稱為Basic Service Set(BSS)。每個BSS都被賦予一個BSSID,它是一個長度為48位的二進位制識別符號,用來識別不同的BSS。在一個BSS中,BSSID是一個本地管理的IEEE MAC地址,從一個46位的任意編碼中產生。簡單的說,BSSID
就是指AP(無線路由器)的MAC地址。
 
2.3、通道/頻段chunnel
  通道也就是常說的“頻段”,它以無線訊號作為傳輸媒體的資料訊號傳送通道。目前主流的WiFi網路裝置不論是802.11b/g還是802.11b/g/n模式,一般都支援13個通道。它們的中心頻率雖然不同,但是因為都佔據一定的頻率範圍,所以會有一個互相重疊的情況。
 
  通道的13個頻率範圍如下圖所示:
    

  無線網路可在多個通道上執行,在無線訊號覆蓋範圍內的各種無線網路裝置應該儘量使用不同的通道,以避免訊號之間的干擾。在上表中是常用的2.4GHz(=2400MHz)頻帶的通道劃分,實際一共有14個通道,但第14個通道一般不用。每個通道的有效寬度是20MHz,另外還有2MHz的強制隔離頻帶。也就是說,對於中心頻率為2412MHZ的1通道,其頻率範圍是2401-2432MHz。具體通道劃分如下圖:

  從圖中可以看到其中1、6、11這三個通道之間是完全沒有重疊的,也就是人們常說的三個不互相重疊的通道。另外,如果裝置支援,除1、6、11三個一組互不干擾的通道外,還有(2、7、12)、(3、8、13)、(4、9、14)三組互不干擾的通道。
 
  由於現在的無線裝置越來越多,要完全錯開使用通道很難,但是,我們可以做到儘量避免衝突。我們可以使用一些無線掃描工具,監控無線介面卡和聚集的狀態,並顯示周邊無線接入點或基站實時資訊的工作,列出計算機域基站間的訊號強度及無線通道的相關資訊等。使用WirelessMon探測周邊的AP資訊,顯示介面如下:
  

  在該介面上顯示了當前無線網路卡自動監聽搜尋到的無線網路。可以看到搜尋到了無線訊號所使用的通道、模式、SSID號等。我們可以通過分析監聽到的資訊,設定自己無線裝置的通道,以保證自己的無線網路不受其他訊號干擾。
  當然相關的WiFi探測工具還有很多,如inSSIDer、Wi-Fi Scanner等。
  
  目前主流的無線路由器都支援雙頻優選功能,開啟該功能後,2.4G網路和5G網路將會顯示相同的無線名稱,路由器自動為連線終端選擇最佳的WiFi網路。

2.4、802.11協議的幾種型別
  2.4G無線路由器中包括五中模式:11b only、11g only、11n only、11bg mixed和11bgn mixed。
   -11b only:表示網速以11b的網路標準執行,工作在2.4G頻段,最大傳輸速度為11Mb/s,實際速度5Mbps左右。
   -11g only:表示網速以11g的網路標準執行,工作在2.4G頻段,向下相容802.11b標準,傳輸速度54Mbps左右。
   -11n only:表示網速以11n的網路標準執行,802.11n是較新的一種無線協議,傳輸速度為108Mbps-600Mbps。
   -11bg mixed:表示網速以11b、g的混合網路模式執行。
   -11bgn mixed:表示網速以11b、g、n的混合網路模式執行。
  5G網路支援包括以下幾種模式:11ac 、11a/n/ac mixed。
   -11a:它指定最大 54Mbps 的資料傳輸速率和 5GHz 的工作頻段。802.11a標準是已在辦公室、家庭、賓館、機場等眾多場合得到廣泛應用的802.11b無線聯網標準的後續標準。
   -11n:IEEE 802.11n是對於IEEE 802.11-2007無線區域網標準的修正規格。它的目標在於改善先前的兩項無線網上標準,包括802.11a與802.11g,在網上流量上的不足。它的最大傳輸速度理論值為600Mbit/s,與先前的54Mbit/s相比有大幅提升,傳輸距離也會增加。
           -11ac:IEEE 802.11ac-802.11家族無線網上標準,透過5GHz頻帶提供高通量的無線區域網(WLAN),俗稱5G WiFi。理論上它能夠提供最少1Gbps頻寬進行多站式無線區域網通訊,或是最少500Mbps的單一連線傳輸頻寬。
   -11a/n/ac:以上幾種網路模式的混合模式。
 
2.5、通道頻寬
  通道頻寬也常被稱為“頻段頻寬”,是調製載波佔據的頻率範圍,也是傳送無線訊號頻率的標準。在常用的2.4-2.4835GHz頻段上,每個通道的頻寬為20MHZ。802.11n協議包括20MHZ和40MHz兩個頻寬。兩個頻寬的區別如下:
-20MHz:20MHz在802.11n模式下能達到144Mbps頻寬,它穿透性好,傳輸距離遠(約100米左右)。
-40MHz:40MHz在802.11n模式下能達到300Mbps頻寬,但穿透性稍差,傳輸距離近(約50米左右)。
 
  這兩種通道就好比道路的寬度,道路越寬能同時通過的資料越多,也就提高了速度。但是無線網的“道路”是大家共享的,一共就這麼寬(802.11b/g/n的頻帶是2.412GHz-2.472GHz,一共60GHz。802.11a/n在國內可用的頻率是5.74GHz-5.825GHz,同樣是60GHz)。當一個使用者佔用的道路寬了,跑的資料多了,這個時候相對的其他人跑的資料就少了,一旦擁堵所有的人都會慢下來。

  如上圖所示:本來可以容納8個人同時使用20MHz的無線網路,如果其中有兩個人選擇使用40MHz的話,就只能容納6個人同時使用。選擇哪個頻寬主要看附近和你一起使用的人數,如果附近上網的人比較少,選擇40MHz可以享受高速網路;如果同時使用的人數較多,建議使用20MHz。
  2.4G網路802.11b/g/n混合模式有兩種無線頻寬(802.11n支援20MHz和40MHz),5G網路支援8個通道,國內規定民用的5G通道只有149、153、157、161、165這5個。

2.6、為什麼5G訊號的穿牆效果比2.4G訊號差
2.4G區別:雙頻路由器是指同時工作在2.4GHz和5.0GHz頻段的無線路由器。就是2.4G傳輸比較遠,波段頻率比較短,所以在很遠的地方都能接收到,但是缺點就是不穩定,容易被干擾,即使看到是滿格,可能也網路很慢。
5G區別:相比於2.4G單頻段無線路由器,它具有更高的無線傳輸速率,具備更強的抗干擾性,無線訊號更強,穩定性更高,不容易掉線。缺點就是波段長, 傳輸距離短,穿透性差。但是在有效距離內會很穩定。
 
三、AP的加密方式
  由於在無線網路環境中,資料是以廣播包的形式傳輸的,所以資料可能被惡意攻擊者捕獲或攔截。為了加強資料的安全性,一般AP都自帶了加密方式。
 
3.1、WEP加密
  WEP是Wired Equivalent Privacy的簡稱,有線等效保密(WEP)協議是對在兩臺裝置間無線傳輸的資料進行加密的方式,用以防止非法使用者竊聽或侵入無線網路。密碼分析學家已經找出了幾個WEP的弱點,因此這一協議在2003年被Wi-Fi Protected Access(WPA)替代。又在2004年由完整的IEEE 802.11i標準(又稱WPA2)所取代。
 
3.2、WPA-PSK/WPA2-PSK加密
  WPA-PSK/WPA2-PSK是WPA/WPA2的簡化版。WPA全稱Wi-Fi Protected Access,包括WPA和WPA2兩個標準,是一種包含無線網路安全的系統。WPA加密方式是為了改進WEP金鑰的安全性協議和演算法,WPA2比WPA安全性更高。WPA演算法改變了金鑰生成方式,通過更頻繁的變換金鑰來獲得安全。它還增加了訊息完整性檢查功能來防止資料包偽裝。
 
3.3、WPS加密
  WPS(Wi-Fi Protected Setup,Wi-FI保護設定),它由Wi-Fi聯盟組織實施認證專案,主要用來解決無線網路加密的設定步驟過於繁雜的問題。一般情況下,使用者在新建一個無線網路時,為了保證無線網路的安全,都會對無線網路名稱(SSID)和無線加密方式進行設定,即“隱藏SSID”和設定“無線網路連線密碼”。
當這些設定完成,客戶端需要連入此無線網路時,就必須手動新增網路名稱(SSID)及輸入冗長的無線加密密碼,這對很多使用者來說都是一個繁瑣的過程。二有了WPS“一鍵加密”,這個過程就變得非常簡單了。使用者只需按一下無線路由器上的WPS鍵,就能輕鬆快速的完成無線網路連線,並且獲得WPA2級加密的無線網路。實現WPS"一鍵加密"的方法非常簡單,使用者可以有兩種選擇,即輸入PIN碼法和PBC按鈕配置法。
以下為某無線路由器WPS加密功能的PBC模式和PIN模式的截圖:

四、無線網路監聽
由於無線網路中的訊號是以廣播模式傳送,所以任何人都可以在傳輸過程中截獲到這些資訊。但是如果要截獲到所有的訊號,則需要將無線網路卡設定為監聽模式。只有在監聽模式下,無線網路卡才能接收到所有經過網路卡的資訊。

4.1、無線網路卡的工作模式
無線網路卡是採用無線訊號進行資料傳輸的終端。無線網路卡通常包括四種模式,分別是
廣播模式、多播模式、直接模式、混雜模式。如果想要監聽網路中的所有訊號,則需要將網路卡設定為監聽模式。
-廣播模式(BroadCast Model):它的實體地址(MAC)是0Xffffff的幀為廣播幀,工作在廣播模式的網路卡接受廣播幀。
-多播模式(MultCast Model):多播傳送地址作為目的實體地址的幀可以被組內的其它主機同時接受,而組外主機接收不到。但是將網路卡設定為多播傳送模式,它可以接收所有的多播傳送幀,而不論它是不是組內成員。
-直接模式(Direct Model):工作在直接模式下的網路卡只接收目的地址是自己MAC地址的幀。
-混雜模式(Promiscuous Model):工作在混雜模式下的網路卡接收所有流過網路卡的幀,通訊包捕獲模式就是在這種模式下執行的。
網路卡的預設工作模式包含廣播模式和直接模式,即只接收廣播幀和發給自己的幀。如果採用混雜模式,一個站點的網路卡將接受同一網路內所有站點所傳送的資料包。這樣就可以達到對於網路資訊監視捕獲的目的。

4.2、工作原理
由於在無線網路中,無線網路卡是以廣播模式傳送訊號的,當無線網路卡將資訊廣播出去後,所有的裝置都可以接受到該資訊。但是在傳送的包中有應該接收資料包的正確地址,並且只有與資料包中目標地址一致的那臺裝置才能接收到該資料包。所以如果想接收整個網路中所有的資料包時,需要將無線網路設定為混雜模式。
無線網路由無線網路卡、無線接入點(AP)、計算機和其他裝置組成。

正常情況下每個客戶端在接收資料包時,只能接收發給自己網路卡的資料。如果要開啟監聽模式,將會受到所有主機發出的訊號。大部分的無線網路卡都支援在Linux下設定為混雜模式,但是無線網路卡的功率小的話,發射和接收訊號都比較弱。如果希望捕獲遠距離的資料包,並且接收的訊號又強,則建議使用一個大功率的無線網路卡。

二、Aircrack-ng工具
Aircrack-ng是一個與802.11標準的無線網路分析的安全軟體,主要功能有網路探測、資料包嗅探捕獲、WEP和WPA/WPA2-PSK破解。Aircrack可以工作在任何支撐監聽模式的無線網路卡上,並嗅探802.11a、802.11b、802.11g的資料包。

2.1、Aircrack-ng工具集
Aircrack-ng是一個包含了多款工具的無線安全審計套裝。

2.1.1、Aircrack-ng工具集組成

2.1.2、設定監聽模式-Airmon-ng
Airmon-ng主要用來設定監聽模式,只有將無線網路卡設定為監聽模式,才可以捕獲到無線網路中所有的資料包。Airmon-ng工具使用方法如下:
airmon-ng <start|stop> [channel] # 將無線網路卡置於監聽模式
airmon-ng [kill] # 殺死所有可能干擾無線網路卡工作的程式
-start|stop:表示啟用或停止監聽。
-interface:指定監聽模式的介面。
-channel:指定無線網路的通道。
-check:列出所有可能干擾無線網路卡的的程式。
-kill:殺死所有可能干擾無線網路卡工作的程式。
airmon-ng check kill

將無線網路卡連線到計算機上,設定無線網路卡直接連線kali虛擬機器,然後檢視無線網路卡是否安全成功,並開啟監聽模式。iwconfig檢視無線網路卡是否被啟用,如未啟用使用ifconfig wlan0 up啟用。從輸出的資訊中看到無線網路卡已經被置於Monitor(監聽)模式,驅動和晶片分別是rt2800usb和Ralink Technology, Corp. RT2870/RT3070。 如果想要恢復管理模式執行:airmon-ng stop wlan0mon
airmon-ng start wlan0 11

2.1.3、捕獲資料包-Airodump-ng
Airodump-ng主要用來進行資料抓包,以供Aircrack-ng進行破解。Airodump-ng使用方法如下:
Airodump-ng [選項] [Interface name]
Interface name:指定捕獲資料包的介面,指定的介面必須是監聽的介面名稱。執行命令後將會顯示掃描到的附近所有的無線AP及連線的客戶端資訊。執行airodump-ng命令後需要手動按下Ctrl+C鍵停止掃描。
airodump-ng wlan0mon

顯示的一些資訊引數的說明:
BSSID:表示無線AP的MAC地址。在客戶端會話中,如果BSSID值為“not associated”時,表示客戶端沒有關聯任何AP。
PWR:網路卡報告的訊號水平,它主要取決於驅動。當訊號值超高時,說明AP或計算機越近。如果BSSID的PWR為-1,說明網路卡的驅動不支援報告訊號強度。如果部分客戶端PWR為-1,那麼說明該客戶端不在當前網路卡能監聽到的範圍內,但是能捕獲到AP發往客戶端的資料包。如果所有的客戶端PWR值都為-1,那麼說明網路卡驅動不支援訊號強度報告。
RXQ:該引數在指定掃描一個固定頻道的資料包時才顯示,表示接收資料包的質量。它用過去10秒鐘內成功接收到的分組(管理和資料幀)的百分比來衡量。
Beacons:無線AP發出的包數,每個接入點(AP)在最低速率(1M)時差不多每秒會傳送10個左右的beacon,所以它們在很遠的地方就被發現。

Data:被捕獲到的資料分組的數量(如果是WEP,則代表唯一IV的數量),包括廣播分組。

/s:過去10秒鐘內每秒捕獲資料分組的數量。

CH:通道號(從Beacon包中獲取)
MB:無線AP所支援的最大速率。如果MB=11,它是802.11b;如果MB=22,它是802.11b+;如果更高,就是802.11g。後面的點(高於54之後)表示支援短前導碼。“e”表示網路中有QoS(802.11e)啟用。
ENC:使用的加密演算法體系。OPN表示無加密。WEP?表示WEP或者WPA/WPA2,WEP(沒有問號)表明靜態或動態WEP。如果出現TKIP、CCMP或MGT,那麼就是WPA/WPA2。
CIPHER:檢測到的加密演算法,CCMP、WRAAP、TKIP、WEP、WEP104中的一個。典型的來說(不一定),TKIP與WPA結合使用,CCMP與WPA2結合使用。如果金鑰索引值大於0,顯示為WEP40。標準情況下0-3是40bit,104bit應該是0。
AUTH:使用的認證協議。常用的有MGT(WPA/WPA2使用獨立的認證伺服器,平時我們常說的802.1x,radius、eap等),SKA(WEP的共享金鑰),PSK(WPA/WPA2的預共享金鑰)或者OPN(WEP開放式)。
ESSID:也就是所謂的SSID號。如果啟用隱藏的SSID的話,它可以為空,或者顯示為。這種情況下,airodump-ng試圖從proberesponses和associationrequest中獲取SSID。
STATION:客戶端的MAC地址,包括連上的和想要搜尋無線來連線的客戶端。如果客戶端沒有連線上,就在BSSID下顯示“not associated”。
Rate:表示傳輸速率。該引數只有使用單個通道時才會顯示。
Lost:在過去10秒內丟失的資料分組,基於序列號檢測。它意味著從客戶端來的資料丟包,每個非管理幀中都有一個序列號欄位,把剛接收到的那個幀中的序列號和前一個幀中的序列號一減就可以知道丟了幾個包。
Frames:客戶端傳送的資料分組數量。
Probe:被客戶端查探的ESSID。如果客戶端正試圖連線一個AP,但是沒有連線上則將會顯示在這裡。

Airodump-ng工具是以一種互動形式執行的,在互動模式下可以進行一些其他操作。其中可使用的命令如下:
a:選擇活動區域中的內容,其中,可現實的選項有AP+STA+ACK、僅AP和僅STA。
d:重置為預設值(Power)
i:反向排序順序
m:標記被選擇的AP
r:啟用實時排序
s:通過beacon數字排序
SPACE:暫停鋪貨資料包。再按一下SPACE鍵,則將繼續捕獲資料包。
TAB:啟用或禁用滾動AP列表
UP:選擇之前在AP列表中標記的AP。
DOWN:選擇當前標記後的AP

1、過濾資料包
預設情況下會顯示所有掃描到的無線網路資料包,為了方便分析,我們可以對資料包進行過濾。例如,根據加密方式、通道、工作模式、BSSID、ESSID等。
下面將演示幾種過濾資料包的情況。
(1)當我們擁有一個非常強大的密碼字典時,可以選擇破解加密方式為WPA、WPA1或WPA2的資料包。例如,僅捕獲目標AP為WPA2加密方式的資料包,執行如下命令:
airodump-ng -t WPA2 wlan0mon

(2)當選擇了將要破解的目標網路時,可以指定僅捕獲BSSID或ESSID的包。例如捕獲BSSID為,ESSID為xxx的包。執行命令如下:
airodump-ng -N Micr067 wlan0mon

(3)預設情況下,airodump-ng將會捕獲所有工作在2,4GHz通道的資料包。通道是以無線訊號作為傳輸媒體的資料訊號傳送通道。目前主流的WiFi網路裝置不管是802.11b/g還是802.11b/g/n模式,一般都支援13個通道。為了提高捕獲資料包的效率,可以指定僅捕獲某通道的包,例如,僅捕獲目標AP通道為11的資料包,執行如下命令:
airodump-ng -c 11 wlan0mon

如果不指定工作通道,將會對所有通道的AP進行掃描,並捕獲其資料包。可以使用-b選項通過指定工作模式,來替換通道對包進行過濾。使用-b引數可以指定的工作模式包括a、b、g三種。其中b和g模式工作的是2.4GHz,a模式工作的頻段是5GHz。例如指定捕獲bg模式資料包可以執行如下命令:
airodump-ng -b bg wlan0mon

(4)如果想要破解WEP加密的無線網路時,可以使用--ivs選項設定過濾。--ivs選項表示不儲存所有的無線資料,而只是儲存可用於破解的IVS資料包文,這樣可以有效的縮減儲存資料包的大小。因為破解WEP包時,只需要捕獲足夠的IVS資料包文即可將密碼破解出來。不像WPA/WPA2加密的網路,必須捕獲到握手包才可以。通常該引數會和-w選項同時使用。“-w”選項表示將捕獲的資料包儲存在某檔案中。其中,執行命令如下:
airodump-ng --ivs -w dump wlan0mon

執行以上命令,生成的檔案包名為dump-01.ivs,因為airodump-ng為了方便後面破解時的呼叫,所以對儲存檔案編了號,依次是dump-01.ivs、dump-02.ivs...

2.顯示設定
airodump-ng在捕獲資料包時,終端顯示結果不斷的重新整理。我們可以使用不同的選項重新設定airodump-ng自動更新顯示結果的時間。可以設定的選項如下:
-u ,--update :設定顯示更新之間的延遲,單位為秒。預設更新時間為1秒。
--berlin :設定當前終端不接受資料包時,刪除多長時間之前的AP或客戶端。預設,是120秒。
-U,--uptime:顯示AP正常執行的時間。當使用該選項後,輸出結果中將會顯示一個名為UODATE的列。
-I ,--write-interval :將輸出結果寫入到檔案的時間間隔。
顯示目標AP正常執行的時間,命令如下:
airodump-ng -U wlan0mon

3.儲存捕獲的資料包
為了方便進行分析或者破解目標網路,可以將airodump-ng工具捕獲的資料包儲存到一個檔案中。airodump-ng工具捕獲的資料包檔案都有對應的工具可以開啟,然後即可分析捕獲的資料包。當使用aircrack-ng進行破解網路時,就是通過分析捕獲的包檔案來破解密碼的。

將捕獲的資料包儲存在名為packet檔案中,執行如下命令,會生成以下5個檔案,其中packet-01.cap是用來破解WPA/WPA2加密的無線網路的。
airodump-ng -w packet wlan0mon

在使用airodump-ng捕獲資料包時,可以同時制定多個選項,例如捕獲BSSID(MAC地址)為50:2B:73:18:ED:81的AP所有的資料包,並將儲存檔案命名為packet,以及指定該AP工作的通道,命令如下:
airodump-ng -w packet --bssid 50:2B:73:18:ED:81 -c 2 wlan0mon

.ivs包和.cap包的區別:
若只是為了破解的話,建議儲存為.ivs,優點是生成檔案小且效率高。若是為了破解後同時對捕獲到的資料包進行分析的話就儲存為cap。這樣就能及時作出分析,如內網IP地址、密碼等。當然,缺點就是檔案會比較大。

4.讀取資料包
airodump-ng工具可以讀取一個捕獲檔案(檔案字尾為cap)中的資料包。使用tcpdump和wireshark工具捕獲的資料包也可以使用airodump-ng來讀取,分析包的內容。
airodump-ng -r 捕獲檔案

2.1.4、注入資料包-aireplay-ng
aireplay-ng是一個資料包注入工具,它可以指定AP傳送結束認證包,將一個或多個客戶端與AP斷開連線。該工具的主要目的是強制客戶端握手(重新連線),從而獲取WPA/WPA2握手資料包。該工具主要是結合airodump-ng來使用的。所以在使用aireplay-ng工具進行資料包注入時,airodump-ng必須處於執行狀態。aireplay-ng使用方法如下:
aireplay-ng [選項] [replay interface]
aireplay-ng共提供了10種攻擊模式(常用的是前5種):
-0 count,--deauth count:Deauth攻擊模式,count表示傳送次數,如果設定為0,則表示迴圈攻擊,不停的斷開連線,客戶端無法正常上網。
-1 delay,--fakeauth delay:偽裝一個客戶端和AP進行連線,其中delay表示連線的延遲時間。
-2,--interactive:互動攻擊模式。
-3,--arpreplay:ArpRequest注入攻擊模式,這種模式是一種抓包後分析重發的過程。
-4,--chopchop:攻擊模式,用來獲得一個包含金鑰資料的xor檔案。
-5,--fragment:碎片攻擊模式,用來獲得PRGA(包含金鑰的字尾為xor的檔案)
-6,coffe-latte:客戶端查詢新IV(初始化向量)。
-7,--cfrag:對一個客戶端的片段。
-8,--migmode:攻擊WPA遷移模式。
-9,--test:測試注入和質量。

(1)、當希望連線某個AP時,可以使用偽裝客戶端連線的攻擊模式,命令如下:
aireplay-ng --fakeauth 0 -e "test" -a 22:16:B9:33:38:F3 wlan0mon
-e:指定目標AP的ESSID。
-a:指定目標AP的BSSID。

(2)、在偽裝客戶端時,可以使用一些相關選項來定義傳送的資料包。例如使用-o選項指定每組資料包數;-q選項指定傳送keep-alive包的間隔時間。命令如下:
aireplay-ng -1 6000 -o 1 -q 10 -e Test -a 22:16:B9:33:38:F3 -h A4:50:46:E0:EA:06 wlan0mon

(3)、當使用者進行WEP破解時,可以使用ArpRequest注入攻擊方式。通過使用這種攻擊方式來讀取ARP請求報文,並偽造報文再次重發出去,可以刺激AP產生更多的資料包,從而加快破解過程。命令如下:
aireplay-ng -3 -b 22:16:B9:33:38:F3 -h A4:50:46:E0:EA:06 wlan0mon
-b:指定目標AP的MAC地址。
-h:指定客戶端的MAC地址,也就是使用airodump-ng探測到的有效的無線客戶端MAC地址。
從輸出資訊中可以看出成功攔截到大量ARP請求報文,並且重新偽造這些報文併傳送出去。此時在airodump-ng介面將會看到對應的Data列數字在飛速遞增。

(4)、當使用者破解WPA/WPA2包時,可以使用aireplay-ng工具進行Deauth攻擊模式。使用這種攻擊方式是為了獲得破解所需的WPA-PSK握手驗證的整個完整資料包。通過使用這種攻擊方式,攻擊主機將傳送一種稱之為“Deauth”的資料包將已連線至AP的合法客戶端強制斷開連線。此時,客戶端就會自動重新連線無線路由器。這樣滲透測試者就有機會捕獲到包含WPA-PSK握手驗證的完整資料包了,命令如下:
aireplay-ng -0 1 -a 22:16:B9:33:38:F3 -c A4:50:46:E0:EA:06 wlan0mon

2.2、使用aircrack-ng破解WEP加密無線網路
WEP是一種比較簡單的加密方式,使用的是RC4的RSA資料加密技術。由於這種加密技術存在很多漏洞,所以非常容易被破解出密碼。使用aircrack破解WEP加密網路,操作步驟如下:

(1)、將無線網路卡設定為監聽模式
airmon-ng start wlan0

(2)、使用airodump-ng工具抓取無線資料包。通常情況下,在正式抓包前,都會先進行探測,以獲取到當前無線網路概況,包括AP的SSID、MAC地址、工作頻道、無線客戶端MAC及數量等。使用者只需要在終端執行如下命令:
airodump-ng wlan0mon

選擇目標是SSID為“test”的AP,其BSSID(MAC)為:B6:6D:83:00:12:EC,工作頻道為1,已連線的無線客戶端MAC為:B4:6D:83:88:E1:F9。此時可針對攻擊目標捕獲其資料包,並實現密碼破解,命令如下:
airodump-ng --ivs -w wep -c 1 wlan0mon

可以看到已經開始了資料包的抓取。如果連線該無線路由器/AP的無線客戶端正在進行大流量的互動,如看視訊、下載大檔案,則可以依靠單純的抓包就可以破解出WEP密碼。但是此過程需要等待的時間比較長。所以我們一般使用aireplay-ng工具進行資料包注入來加快破解過程。
(3)、使用aireplay-ng工具進行ArpRequest注入攻擊。此時不需要將airodump-ng介面關閉,重新開啟一個視窗執行aireplay-ng命令即可。命令如下:
aireplay-ng -3 -b B6:6D:83:00:12:EC -h B4:6D:83:88:E1:F9 wlan0mon
成功執行以上命令後將看到airodump-ng捕獲資料包介面中test的Data列數字在飛速增長,並且已經抓到了握手包。

當抓取到的無線資料包文達到一定數量後(一般都是ivs2萬以上時),就可以開始破解了。若不能成功破解就繼續抓取資料包,多嘗試幾次。
注:進行破解時不需要將注入攻擊的終端關閉,而是另開一個終端進行同步破解。

(4)、使用aircrack-ng工具破解WEP加密的網路。命令如下:
aircrack-ng [選項] [捕獲的檔案]
通常用於破解無線網路使用的是.ivs和.cap格式的檔案。其中ivs檔案通常用於破解WEP加密的網路;.cap檔案用於破解WPA/WPA2加密的網路。破解WEP加密網路執行如下命令:
aircrack-ng wep-01.ivs

使用者在破解密碼時,也可以使用-b選項指定目標AP的BSSID,或者使用-e選項指定目標AP的ESSID。這樣就可以避免在破解時出現多個AP(工作在同一通道)進行選擇。例如指定目標AP的BSSID,命令如下:
aircrack-ng -z -b B6:6D:83:00:12:EC wep-01.ivs
-z:指定使用PTW攻擊方式。
提示:在使用aircrack-ng破解密碼時,雖然可以使用PTW和KoreK兩種攻擊方式。但是通常情況下,PTW攻擊方式比較快。

2.3、使用aircrack-ng破解WPA-PSK加密無線網路
由於WEP方式存在非常嚴重的漏洞,所以產生了WPA加密方式。WPA全名為Wi-Fi Protected Access,有WPA和WPA2兩個標準。其中,WPA-PSK是WPA/WPA2的簡化版。雖然WPA加密方式比較安全,但是如果有一個強大的密碼字典還是可以將其破解。

使用aircrack-ng破解WPA-PSK加密無線網路,具體操作如下:
(1)、將無線網路卡設定為監聽模式。
airmon-ng start wlan0

(2)、使用airodump-ng工具抓取無線資料包。
airodump-ng wlan0mon

(3)、捕獲Micr067無線網路的資料包。
airodump-ng -c 2 -w wpa --bssid 22:16:B9:33:38:F3 wlan0mon
在破解WPA加密的資料包時,不是看捕獲的資料包的多少,而是必須要捕獲到握手包才可以。當有新的客戶端連線該WiFi網路時,即可捕獲到握手包。

從上圖右上角可以看到已經捕獲到了握手包,這表示獲得了包含WPA-PSK密碼的四次握手資料包,如果捕獲包的過程中一直沒有捕獲到握手包的話,可以使用aireplay-ng命令進行Deauth攻擊,強制使客戶端重新連線到WiFi網路,如果還是沒有看到握手包的話,可以增加Deauth的傳送數量,再一次對AP進行攻擊。重開一個終端輸入如下命令:
aireplay-ng -0 5 -a 22:16:B9:33:38:F3 -c A4:50:46:E0:EA:06 wlan0mon

(4)、使用aircrack-ng破解密碼,對於破解WPA-PSK加密的無線網路,需要使用-w引數指定密碼字典,命令如下:我們可以使用Crunch工具來建立密碼字典。
aircrack-ng -w /root/password.txt wpa-01.cap

2.4、使用aircrack-ng破解WPA2-PSK加密無線網路
對於使用WPA2-PSK加密的無線網路,其攻擊和破解步驟與WPA-PSK是完全一樣的。唯一不同的是在使用airodump-ng進行無線探測的介面上。如果是WPA-PSK加密無線網路,則提示為WPA CCMP PSK。如果是WPA2-PSK加密的無線網路,則提示WPA2 CCMP PSK。

3.使用CDlinux破解無線密碼
CDLinux是一款能夠全面相容pin軟體,使用者能夠非常便捷的一鍵破解WIFI無線密碼,能夠輕鬆破解無線路由器的密碼。
cdlinux萬能無線破解系統使用minileaf的spring包無線模組,加入Minidwep-gtk、feedingbottle、inflator和超級許可權,預設中文,包含無線工具如下:
1、aircrack-ng
2、minidwep-gtk
3、feedingbottle
4、inflator
5、mdk3-v6
1.使用FeedingBottle破解無線密碼
選擇無線網路卡

選擇加密方式、通道,開始掃描,掃描完成後選擇要破解的無線AP,點選Next

單擊開始並選擇密碼,抓取四次認證握手包,開始破解。

當獲得了四次握手包後將會使用密碼字典去爆破無線密碼,已經成功獲得了WPA key!

2.使用minidweb-gtk工具列舉PIN碼
掃描無線網路---獲取WPA握手包---

使用reaver破解wps PIN碼
所謂PIN碼就是每個路由器出廠的時候都有的,一般PIN碼會貼在路由器背面,當然我們進入路由器後臺在無線設定裡面也能找到它,和我們每個人的身份證一樣,PIN碼只有8位(00000000~9999999),所以我們一個一個嘗試來破解。

3.使用Inflator工具破解PIN碼
同樣先選擇無線網路卡

掃描使用了WPS功能的無線AP

使用reaver列舉PIN碼
reaver -i -b xx:xx:xx:xx:xx:xx -a xx:xx:xx:xx:xx:xx -c 2 -e "test" -vv

相關文章