破解WAP無線網(wǎng)絡(luò).doc

第一章引言近些年無線技術(shù)發(fā)展迅速，越來越多的用戶開始使用無線網(wǎng)絡(luò)，最近新搬到一小區(qū)沒有安裝網(wǎng)絡(luò)，后面想到以前出差時(shí)在機(jī)場用過無線網(wǎng)絡(luò)，小區(qū)內(nèi)是否也有無線網(wǎng)絡(luò)呢？隨便一搜，果然有幾個(gè)無線網(wǎng)絡(luò)信號(hào)，于是打起了免費(fèi)蹭網(wǎng)的主意，但信號(hào)最好的幾個(gè)網(wǎng)絡(luò)的WEP或WPA密碼成為了一個(gè)門坎，于是在公司上網(wǎng)查到相關(guān)資料，通過幾天的學(xué)習(xí)+實(shí)踐，終于破解了小區(qū)內(nèi)的幾個(gè)無線網(wǎng)絡(luò)。破解過程中雖然有了各位前輩的經(jīng)驗(yàn)，但一些前輩的經(jīng)驗(yàn)過于籠統(tǒng)、專業(yè)，細(xì)節(jié)的地方比較少。我就是在破解過程中走了不小彎路，還好本人學(xué)習(xí)和總結(jié)能力還可以 (誰扔的雞蛋)，現(xiàn)主要就自己破解過程中的一些注意事項(xiàng)和細(xì)節(jié)從頭介紹無線網(wǎng)絡(luò)的破解過程。本文只是對(duì)前輩們經(jīng)驗(yàn)的一點(diǎn)補(bǔ)充，我的文章離不開前輩們的經(jīng)驗(yàn)。套用最新的流行語:)感謝anywlan論壇、感謝haohamaru、感謝zero老大、longas老大、感謝ggdlyg、感謝liyg、感謝所有幫助我的朋友、感謝cctv、感謝mtv第二章破解前的準(zhǔn)備一、無線網(wǎng)絡(luò)加密的方式和破解方法原理 (看不懂沒關(guān)系)1、WEP加密 - 破解方式：收集足夠的Cap數(shù)據(jù)包 (5萬以上15萬)，然后使用aircrack破解?？梢栽跓o客戶端情況下采用主動(dòng)注入的方式破解2、WPA加密 - 破解方式：收包含握手信息的Cap數(shù)據(jù)包，然后使用aircrack破解。必須在合法的客戶端在線的情況下抓包破解。可主動(dòng)攻擊合法客戶端使其掉線，合法客戶端掉線后再與AP重新握手即可抓到包含握手信息的數(shù)據(jù)包。或可守株待兔等待合法的客戶端上線與AP握手。二、硬件準(zhǔn)備、網(wǎng)卡選擇工先利其事，必先利其器。一個(gè)好的無線網(wǎng)卡可以大大提高破解的效率，少走很多彎路，筆者之前就是沒有一個(gè)好的無線網(wǎng)卡連WEP加密都沒破開一個(gè)，后面換了網(wǎng)卡很快搞定。1、網(wǎng)卡芯片選擇現(xiàn)在主流的無線網(wǎng)卡芯片有以下四個(gè)品牌：Intel Pro、RaLink、Broadcom、Atheros。Intel芯片主要集成在迅馳系統(tǒng)中，市場上很多主流的迅馳筆記本電腦都裝的這種芯片的無線網(wǎng)卡，遺憾的是現(xiàn)在主流的破解工具BackTrack3對(duì)Intel芯片支持不是太佳。RaLink、Broadcom、Atheros系列大部份芯片BackTrack3支持較好，具體支持的型號(hào)可以參考本站相關(guān)的帖子。比較有代表性的是芯片型號(hào)是Realtek RT73和RaLink 2500，壇子里使用的人最多，完美支持注入攻擊。本站就有銷售采用RT73芯片的無線網(wǎng)卡。2、無線網(wǎng)卡接口方式的選擇無線網(wǎng)卡主要有MINI-PCI內(nèi)置型無線網(wǎng)卡 (迅馳系列)、臺(tái)式機(jī)專用的PCI接口、筆記本電腦專用的PCMICA接口、USB無線網(wǎng)卡幾種形式。推薦使用USB接口無線網(wǎng)卡，支持VM虛擬機(jī)下使用。其他幾種接口都不支持虛擬機(jī)下使用。臺(tái)式機(jī)專用的PCI接口無線網(wǎng)卡有較多可以外接天線的型號(hào)供選擇。外接天線可以加強(qiáng)信號(hào)，信號(hào)的強(qiáng)度是破解成功與否的關(guān)健。這是筆者印象最深刻的經(jīng)驗(yàn)，筆者就是把手提電腦搬到廚房才把一個(gè)“頑固”的無線AP給破解的，這是笨辦法，手中暫時(shí)沒有信號(hào)好的網(wǎng)卡，所以一個(gè)信號(hào)好的網(wǎng)卡才是正道。下面推薦三個(gè)USB接口無線網(wǎng)卡：LINKSYS WUSB54G v.4 - RT2571芯片，注意要是V4版的，而且不是LINKSYS WUSB54GS型號(hào)，GS型所用芯片不同。LINKSYS WUSB54G v.4淘寶上有改裝過可以外接天線的賣，加上一個(gè)高DBI的天線，肯定很爽。筆者現(xiàn)在用的就是這個(gè)沒有改裝的，下一步打算再入手一個(gè)改裝的，加個(gè)7DBI的天線。Sparklan (速連) WL-685R - RT73芯片Sparklan (速連) WUBR-101 - RT73芯片三、破解軟件的選擇1、WINDOWS系統(tǒng)軟件WinAirCrack下載地址如下：/download/wireless/aircrack/WinAircrackPack.zipWINDOWS下的破解軟件，更新很慢，支持的網(wǎng)卡型號(hào)少，不推薦使用，具體的破解步驟可以參考網(wǎng)上相關(guān)WINDOWS下破解的相關(guān)文章。2、Linux系統(tǒng)很大黑客工具都在Linux系統(tǒng)下有很好支持，破解無線網(wǎng)絡(luò)的Linux系統(tǒng)有BackTrack、wifiway等Linux LIVE CD。BackTrack是基于Slackware和SLAX的自啟動(dòng)運(yùn)行光盤，它包含了一套安全及計(jì)算機(jī)取證工具。它其實(shí)是依靠融合Auditor Security Linux和WHAX (先前的Whoppix) 而創(chuàng)建成的。其中包含AirCrack等無線網(wǎng)絡(luò)破解工具，當(dāng)然無線網(wǎng)絡(luò)破解只是這個(gè)CD的一小部份功能。本文后面的介紹以本BackTrack3下操作為主。Wifiway或其它Linux LIVE CD下的破解可以參考BackTrack3的操作。四、軟件準(zhǔn)備BackTrack CD下載。BackTrack最新的版本是3.0版，網(wǎng)上很多無線網(wǎng)絡(luò)的破解教程都是以2.0版為基礎(chǔ)的，那是因?yàn)锽ackTrack3是去年底才更新，支持更多的無線網(wǎng)卡，建議下載。光盤版：/bt3b141207.isoU盤版：http:/backtrack.mirrors.skynet.be/pub/backtrack/bt3b141207.rar建議使用迅雷下載。我使用的光盤版。BackTrack3光盤下載后可以直接刻錄使用，也可以在VM虛擬機(jī)下使用。下面介紹如何設(shè)置使BackTrack3光盤可以啟動(dòng)虛擬機(jī)，從而實(shí)現(xiàn)在虛擬機(jī)上破解無線網(wǎng)絡(luò)。1、安裝VMware Workstation，然后建立一個(gè)虛擬機(jī)，虛擬機(jī)配置為“典型”，客戶機(jī)操作系統(tǒng)為Linux，版本為“Other Linux 2.6.x Kernal”，虛擬機(jī)名稱和位置自便，網(wǎng)絡(luò)連接如果想通過主機(jī)的網(wǎng)卡共享上網(wǎng)的話，選擇使用橋接網(wǎng)絡(luò)，磁盤大小建議分配不少于3G (后面用到的是bt3的real安裝，就是全功能安裝，所以空間要比較大)；2、對(duì)剛建立的虛擬機(jī)設(shè)置進(jìn)行編輯，主要是對(duì)CD-ROM進(jìn)行編輯，選擇“使用ISO鏡像”，找到BT3光盤鏡像ISO文件所在的位置，然后確定；效果如圖：以上只是設(shè)置從虛擬機(jī)使用光盤啟動(dòng)BackTrack3，當(dāng)然你也可以把BackTrack3直接安裝到你的虛擬機(jī)硬盤里。具體的方法見Asasqwqw的帖子：/bbs/dv_rss.asp?s=xhtml&boardid=15&id=7488&page=5第三章破解過程步驟一、啟動(dòng)BackTrack3系統(tǒng)現(xiàn)網(wǎng)上主流破解無線網(wǎng)絡(luò)的BackTrack3啟動(dòng)方式有以下幾種：直接啟動(dòng)A、USB引導(dǎo)啟動(dòng) - 方法：需要制作下載USB版BackTrack3制作相應(yīng)U盤，電腦設(shè)成從U盤引導(dǎo)。B、光盤引導(dǎo)啟動(dòng) - 方法：下載光盤版，刻錄光盤，電腦使用光盤引導(dǎo)C、硬盤安裝版啟動(dòng) - 方法：使用光盤引導(dǎo)，然后安裝BackTrack3到硬盤里。得到可以啟動(dòng)BackTrack3的硬盤版。虛擬機(jī)啟動(dòng)A、虛擬機(jī)USB引導(dǎo)啟動(dòng) - 方法：需要制作下載USB版BackTrack3制作相應(yīng)U盤，虛擬機(jī)設(shè)定成從USB引導(dǎo)。B、虛擬機(jī)光盤引導(dǎo)啟動(dòng) (推薦) - 方法：見第二章節(jié)C、虛擬機(jī)硬盤安裝版啟動(dòng) (推薦) - 方法：具體的方法見Asasqwqw的帖子下面以虛擬機(jī)光盤引導(dǎo)的方式為例來繼續(xù)后面的講解 (當(dāng)然，使用別的方式啟動(dòng)BackTrack3系統(tǒng)除了啟動(dòng)過程不同，其它基本相同，只有USB接口的網(wǎng)卡才支持虛擬機(jī)下破解)打開虛擬機(jī)電源，選擇第一項(xiàng)就可以 (或直接20秒后系統(tǒng)自動(dòng)選擇)然后出現(xiàn)一堆亂七八糟的字符，進(jìn)入直接進(jìn)入到可愛的圖形界面 (硬盤安裝版要輸入用戶：root，密碼：toor登錄后，輸入：startx命令才能進(jìn)入圖形界面)。步驟二、想方設(shè)法得到破解所需的Cap數(shù)據(jù)包文件想方設(shè)法得到破解所需的Cap數(shù)據(jù)包文件，就是不管你用什么方式得到破解所需的Cap數(shù)據(jù)包才是正道 (去偷去搶也行，呵呵)。對(duì)于破解WEP加密和WPA加密所需要的Cap數(shù)據(jù)包要求是不一樣的，這已經(jīng)在第二章提到，所以這兩種數(shù)據(jù)包的獲取方式也是不一樣的。下面分別就兩種數(shù)據(jù)包的獲得說明 (每個(gè)步驟后面都有常見問題分析，請(qǐng)參考)：1、關(guān)于WEP數(shù)據(jù)包的獲取加載無線網(wǎng)卡驅(qū)動(dòng)打開一個(gè)新的Shell窗口 (暈，不會(huì)不知道什么是Shell窗口吧？那你到處找找吧！)輸入：ifconfig a查看自己的無線網(wǎng)卡的接口名，我的USB網(wǎng)卡的接口名是rausb0，所以以下的說明都是以我的網(wǎng)卡接口rausb0為例，使用時(shí)請(qǐng)按你自己的接口名輸入。命令：ifconfig a rausb0 UP加載無線網(wǎng)卡驅(qū)動(dòng)完成。常見問題：驅(qū)動(dòng)無法加載a、檢查你的接口名是否輸入錯(cuò)誤b、你的網(wǎng)卡芯片是否光盤所支持的激活網(wǎng)卡的Monitor模式命令：airmon-ng start rausb0 6后面的6是你要破解AP的工作頻道，根據(jù)實(shí)際，換成你破解的AP的實(shí)際工作頻道 (下同)。這樣網(wǎng)卡將啟動(dòng)監(jiān)聽模式，系統(tǒng)將反饋 (mode monitor enabled)?？梢暂斎朊睿篿wconfig檢查網(wǎng)卡的狀態(tài)。常見的問題：網(wǎng)卡不能啟動(dòng)正常的監(jiān)聽模式。a、請(qǐng)檢測你所用的網(wǎng)卡是否是BackTrack3反支持的。筆者筆記本電腦內(nèi)置的3945無線網(wǎng)卡在BT3下就不能正常監(jiān)聽，這是由于BT3下3945的驅(qū)動(dòng)兼容性所致。Wifiway對(duì)3945網(wǎng)卡的支持要好些。b、檢測輸入的命令是否有誤。開始抓取CAP數(shù)據(jù)包命令：airodump-ng -w name -c 6 rausb0其中的name是你抓包存儲(chǔ)的文件名，你也可以起你自己個(gè)性的名字。這樣，你的窗口將顯示一個(gè)工作站，可以看到你要破解的AP的ESSID和MAC。AP的ESSID和MAC在下一步的攻擊中會(huì)用到，與AP連接的合法客戶MAC也可以看到，合法客戶的MAC在WPA破解中有用。其實(shí)到了這一步，你的抓包工作已經(jīng)開始。其中的Data數(shù)據(jù)量的多少是破解WEP密碼的關(guān)健。當(dāng)然如果你的足夠的耐心，只要一直開著這個(gè)窗口，等上一個(gè)月，不用你進(jìn)行下面的操作，你就能收集到足夠的數(shù)據(jù)包 (在有客戶端活動(dòng)的情況下)。為了快速得到需要的大量數(shù)據(jù)包，你可以進(jìn)行第四步的攻擊操作。當(dāng)然你必須一直保持此窗口的打開，才能一直獲取數(shù)據(jù)包。常見問題：請(qǐng)不要關(guān)閉這個(gè)窗口，直接破解完成。采用注入攻擊的方法使AP產(chǎn)生大量CAP數(shù)據(jù)包a、使用aireplay-ng來獲得PRGA這是非常關(guān)鍵的一步。為讓AP接受數(shù)據(jù)包，你必須使網(wǎng)卡和AP關(guān)聯(lián)。如果沒有關(guān)聯(lián)的話，目標(biāo)AP將忽略所有從你網(wǎng)卡發(fā)送的數(shù)據(jù)包，并發(fā)送回一個(gè)未認(rèn)證消息 (DeAuthentication packet)，IVS數(shù)據(jù)將不會(huì)產(chǎn)生從而導(dǎo)致無法破解。命令： aireplay-ng -1 0 -e ESSID a APs MAC -h 網(wǎng)卡s MAC rausb0如不是以上提示，請(qǐng)檢查：a.1、命令是否輸入錯(cuò)誤a.2、目標(biāo)AP做了MAC地址過濾a.3、你離目標(biāo)AP物理距離太遠(yuǎn)a.4、對(duì)方使用了WPA加密a.5、網(wǎng)卡不支持注入a.6、網(wǎng)卡、AP可能不兼容,網(wǎng)卡沒有使用和AP一樣的工作頻道a.7、輸入的ESSIDt或MAC拼寫有誤，請(qǐng)注意檢查你可以根據(jù)命令反饋消息來判斷原因來嘗試解決問題，比如獲得一個(gè)合法的MAC并偽造MAC、使用-o參數(shù)設(shè)置發(fā)送包的個(gè)數(shù)、設(shè)置網(wǎng)卡到一個(gè)較低的rate、到離目標(biāo)AP更近一點(diǎn)的地方_，但是請(qǐng)注意：如果這一步不能成功，下面的步驟請(qǐng)不要再嘗試，都是無用功！b、使用fragmentation attack來獲得PRGA這里的PRGA并不是wep key數(shù)據(jù)，并不能用來解密數(shù)據(jù)包，而是用它來產(chǎn)生一個(gè)新的數(shù)據(jù)包以便我們?cè)诤竺娴牟襟E中進(jìn)行注入。命令: aireplay-ng -5 -b APsMAC -h 網(wǎng)卡SMAC rausb0如果一切順利，系統(tǒng)將回顯 Use this packet?輸入y回車，將得到一個(gè)至關(guān)重要的xor文件。常見問題：反復(fù)出現(xiàn)Use this packet?的提示以筆者的經(jīng)驗(yàn)，這是信號(hào)不好的問題，請(qǐng)移動(dòng)的網(wǎng)卡位置。如果是筆記本電腦可以拿著電腦到房間內(nèi)別的位置試下。我有次就是拿著電腦從臥室跑到廚房才成功的。經(jīng)驗(yàn)是PRW(信號(hào)值)在40以上才能比較容易通過此步。Xor文件的名字一般和日期時(shí)間有關(guān)。可以用ls命令查看，請(qǐng)記下產(chǎn)生的文件，以備后面使用。c、使用packetforge-ng來產(chǎn)生一個(gè)arp包可以利用這個(gè)PRGA (xor文件) 來產(chǎn)生一個(gè)注入包，其工作原理就是使目標(biāo)AP重新廣播包，當(dāng)AP重廣播時(shí)，一個(gè)新的IVS將產(chǎn)生，我們就是利用這個(gè)來破解?，F(xiàn)在，我們生成一個(gè)注入包。命令：packetforge-ng -0 -a APSMAC -h 網(wǎng)卡MAC 5 -k 55 -l 55 -y 文件名.xor -w myarp最后的myarp是生成的注入包文件名，可以取你自己個(gè)性的名字。系統(tǒng)回顯： Wrote packet to: myarp常見問題：-l千萬不要寫成-1了，是L的小寫，筆記就犯了這個(gè)低能的錯(cuò)誤，差點(diǎn)卡在這步。d、注入ARP包命令：aireplay-ng -2 r myarp -x 1024 rausb0讀取上面生成的arp文件，發(fā)包攻擊。其中，-x 1024 是限定發(fā)包速度，避免網(wǎng)卡死機(jī)，我選擇的是1024，你也可以放大數(shù)值。系統(tǒng)提示： Use this packet?輸入y回車攻擊開始。這時(shí)候回頭看下第你一直打開的抓包窗口，Data數(shù)據(jù)是不是飛速上漲？當(dāng)Data值達(dá)到5W左右時(shí)你就可以進(jìn)行下一步破解了。常見問題：-l千萬不要寫成-1了，是L的小寫，筆記就犯了這個(gè)低能的錯(cuò)誤，差點(diǎn)卡在這步。2、關(guān)于WPA數(shù)據(jù)包的獲取步與WEP數(shù)據(jù)包獲取的步驟相同。進(jìn)行Deauth驗(yàn)證攻擊這里為了便于WPA握手驗(yàn)證包的獲取，必須進(jìn)行Deauth驗(yàn)證攻擊，這個(gè)對(duì)于采用WPA驗(yàn)證的AP攻擊都會(huì)用到，可以迫使AP重新與客戶端進(jìn)行握手驗(yàn)證，從而使得截獲成為可能。命令： aireplay-ng -0 10 -a APs MAC -c Clients MAC rausb0解釋：-0指的是采取Deautenticate攻擊方式，后面為發(fā)送次數(shù)，-a后面跟上要入侵的AP的MAC地址，-c這個(gè)后面跟的是監(jiān)測到的客戶端MAC地址 (注意不是你自己的MAC地址，而是與AP聯(lián)接合法用戶MAC，這個(gè)數(shù)據(jù)可以在抓包窗口看到)。這里注意，Deauth攻擊往往并不是一次攻擊就成功，為確保成功截獲需要反復(fù)進(jìn)行，需要說明的是，攻擊期間很可能會(huì)導(dǎo)致該AP的其它無線客戶端無法正常上網(wǎng)即斷網(wǎng)頻繁，如下圖所示，而且對(duì)于一些低端AP嚴(yán)重會(huì)導(dǎo)致其無線功能假死，無法ping通，需重起。是否獲得包含WPA握手驗(yàn)證包的Cap文件，需要在破解時(shí)進(jìn)行驗(yàn)證，以上Deauth攻擊幾次后可以做破解嘗試。WPA破解不用等到數(shù)據(jù)Data達(dá)到幾萬，只要有包含WPA握手驗(yàn)證包的Cap文件就可以。通過上面的方法我們已經(jīng)獲得破解WEP或WPA所需的cap文件。即可進(jìn)行下一步的破解。步驟三、用Cap數(shù)據(jù)包爆力破解從破解難度上講WEP是很容易破解的，只要你收集足夠的Cap數(shù)據(jù)包就肯定可以破解。但WPA的破解需要有好的密碼字典配合才能完成，復(fù)雜的WPA密碼可能幾個(gè)月也破解不出來。1、WEP數(shù)據(jù)Cap破解命令：aircrack-ng -z -b APs MAC name*.capName是步驟三中輸入的文件名。系統(tǒng)會(huì)自動(dòng)在你輸入的文件名后加上-01、-02 (如果數(shù)據(jù)包太多，系統(tǒng)會(huì)自動(dòng)分成幾個(gè)文件存儲(chǔ)并自動(dòng)命名，可以使用ls查看)，輸入name*是打開所有name開關(guān)的cap文件。常見問題：步驟三收集數(shù)據(jù)包已達(dá)30W，無法破解密碼可能系統(tǒng)自動(dòng)分成了幾個(gè)文件貯存cap包。如輸入name-01.cap破解可能導(dǎo)致破解不成功，建議使用name*.cap，我就被這個(gè)問題搞了一個(gè)多小時(shí)。下面是破解成功的界面：2、WPA數(shù)據(jù)Cap破解命令：aircrack-ng w password.txt -b APs MAC name*.capPassword.txt是你事先準(zhǔn)備好的字典。WPA密碼破解必須使用字典破解模式。技巧：可以在windows下使用下載的字典工具生產(chǎn)字典，再在BackTrack3下拷貝到/root下 (aircrack默認(rèn)的工作目錄在/root)。請(qǐng)確認(rèn)你的cap包是否包含有握手驗(yàn)證信息。如下圖顯示：“WPA (1 handshake)”破解完成界面