精典3分鐘U盤BT3+Intel3945無(wú)線網(wǎng)卡破解無(wú)線密碼簡(jiǎn)明教程

1、Intel3945BT3破解無(wú)線WEP/WPA密碼簡(jiǎn)明教程1裝備：三星Q35無(wú)線網(wǎng)卡為Intel（R）PRO/Wireless3945ABGBT3優(yōu)盤版，解壓bt3的iso文件到優(yōu)盤，打開boot文件夾，運(yùn)行bootinst.bat，制作完畢。下載最新的spoonwpa.lzm和spoonwep2.lzm軟件放在BT3modules目錄下用U盤引導(dǎo)啟動(dòng)，直接打回車啟動(dòng)后打開一個(gè)命令窗口，加載無(wú)線網(wǎng)卡驅(qū)動(dòng)，因?yàn)锽T3默認(rèn)情況下不加載Intel3945驅(qū)動(dòng)。此步驟非常關(guān)鍵，否則得話掃描沒(méi)有結(jié)果。（如果是atheros的無(wú)線網(wǎng)卡可以自動(dòng)加載驅(qū)動(dòng)）。modprobe-riwl3945modprobei

2、pwraw注：不同的網(wǎng)卡有不同的加載方式5：進(jìn)入菜單backtrackradionetworkanalysis80211crackingspoonwep2或者spoonwpa6：netcard選擇wifi0，device選擇nomal，mode選擇Unknown7：具體用法如下：頻段建議全部掃描，如果有客戶端后面的口里面會(huì)有，選擇一個(gè)power信號(hào)強(qiáng)度大的，packets多的客戶端攻擊，一般情況下默認(rèn)設(shè)置就可以了。如果是wpa需要抓握手包，如果wep2的需要抓包到15000-30000不等才能破解密碼，主要影響因素為信號(hào)強(qiáng)度和無(wú)線路由器使用的客戶端的數(shù)據(jù)流的打小。Intel3945BT3命令破

3、解無(wú)線WEP/WPA密碼教程2本教程用于學(xué)習(xí)和交流，如要實(shí)驗(yàn)請(qǐng)拿自已的AP開刀！BT3破解無(wú)線WEP/WPA教程。由于本人也是初學(xué)者，缺乏專業(yè)的理論知識(shí)，因此文中不免存在理解的偏差甚至錯(cuò)誤，希望各位朋友指正。最后希望更多的朋友參與到教程的整理和編輯中，不斷把教程修正和完善。對(duì)無(wú)線WEP和WPA破解有興趣的朋友也可加入QQ一起交流。謝謝！WEP破解裝備：IMBX60筆記本（內(nèi)置Intel3945無(wú)線網(wǎng)卡）、BT3的U盤系統(tǒng)（需用syslinux命令來(lái)指定啟動(dòng)BT3的盤符）用戶名：root密碼：toor，進(jìn)入圖形界面：startx。啟動(dòng)BT3后,（啟動(dòng)黑屏：xconf再輸入startx）加載394

4、5網(wǎng)卡的驅(qū)動(dòng)。打開一個(gè)shell輸入modprobe-riwl3945輸入modprobeipwraw注：不同的網(wǎng)卡有不同的加載方式查找目標(biāo)：用Airoscript命令（Backtrack/radionetworkanalysis/80211/all/Aioscript）的掃描功能連續(xù)三次都選擇1發(fā)現(xiàn)5個(gè)，有4個(gè)加密，data都是0，開放的netgear那個(gè)AP有一個(gè)客戶端。PWR值一般看出信號(hào)強(qiáng)度。也可以用airodump-ngwifi0來(lái)搜索我們選擇第一個(gè)作為目標(biāo)，channel為11（上圖中的CH代表信道）。注：修改自己網(wǎng)卡的MAC地址的命令。輸入macchangerm00:11:22:

5、33:44:55wifiO5激活網(wǎng)卡的Monitor模式并工作在11信道。（加載網(wǎng)卡，激活監(jiān)聽模式，工作在11信道）輸入airmon-ngstartwifi011也可用iwconfiwifi0來(lái)查看網(wǎng)卡的工作模式和工作信道?？捎胊ireplay-ng-testwifi0來(lái)測(cè)試是否可以注入6輸入截取數(shù)據(jù)包命令（截取11信道的ivs數(shù)據(jù)包，并保存名為name.ivs）輸入命令airodump-ng-ivs-wname-c11wifi0，（-ivs：僅截取ivs數(shù)據(jù)包，-w:寫入文件，-c：截取ivs的信道）（其中name是獲取的ivs的保存文件的名字，11是channel值，你根據(jù)實(shí)際修改）一.有

6、客戶端WEP破解1有客戶端，且合法客戶端產(chǎn)生大量有效的數(shù)據(jù)，能直接獲得大量IVS。思路：1-6步同上7直接用aircrack-ng破解第七步：aircrack-ng-n64-bname-01.ivs2有客戶端，合法客戶端只能產(chǎn)生少量ivs數(shù)據(jù)，就需要注入攻擊加速產(chǎn)生大量ivs。只要有少量的數(shù)據(jù)就可能獲得arp請(qǐng)求包，則可用arp注入模式的-3模式通過(guò)不斷向AP發(fā)送同樣的arp請(qǐng)求包，來(lái)進(jìn)行注入式攻擊。思路：1-6步同上7用aireplay-ng的arp注入方式獲得大量的ivs第七步：aireplay-ng-3-b-hwifi0注：這一步可能時(shí)間會(huì)長(zhǎng)一點(diǎn)，因?yàn)樾枰鹊紸RP。3有客戶端，但是客戶

7、端根本不在通信，不能產(chǎn)生ARP包。-3注入模式不成功思路：1-6步同上7.-0沖突模式強(qiáng)制斷開合法客戶端和ap連接，使之重新連接&利用-0沖突模式重新連接所產(chǎn)生的握手?jǐn)?shù)據(jù)讓-3獲得有效的ARP從而完成ARP注入第七步：aireplay-ng-3-b-hwifi0第八步：aireplay-ng-010a-cwifi04.有客戶端，并且客戶端能產(chǎn)生有效arp數(shù)據(jù)的另類破解方式前面的步驟一樣：輸入modprobe-riwl3945輸入modprobeipwraw輸入airmon-ngstartwifi011現(xiàn)在，只要一個(gè)命令就搞定，輸入:輸入wesside-ng-iwifi0-v01:02:03:0

8、4:05:06（此格式的APMAC）。很簡(jiǎn)單吧，密碼出來(lái)了。二.無(wú)客戶端WEP破解思路：1-6步同上因?yàn)槭菬o(wú)客戶端，所以第一步就需要和AP之間建立一個(gè)虛擬連接。這是非常關(guān)鍵的一步。為讓AP接受數(shù)據(jù)包，必須使自己的網(wǎng)卡和AP關(guān)聯(lián)。如果沒(méi)有關(guān)聯(lián)的話，目標(biāo)AP將忽略所有從你網(wǎng)卡發(fā)送的數(shù)據(jù)包，IVS數(shù)據(jù)將不會(huì)產(chǎn)生。第七步：輸入aireplay-ng-10-e-a-hwifi0如果回顯虛擬偽裝連接不成功，不能成功的原因很多，具體有如下幾種：1、目標(biāo)AP做了MAC地址過(guò)濾2、你離目標(biāo)AP物理距離太遠(yuǎn)3、對(duì)方使用了WPA加密5、網(wǎng)卡、AP可能不兼容,網(wǎng)卡沒(méi)有使用和AP一樣的工作頻道也可以使用命令tcpdum

9、p來(lái)確認(rèn)網(wǎng)卡是否已經(jīng)連接到目標(biāo)AP上tcpdump-n-e-s0-vvv-iwifi01第一種破解方式：思路：1-7步同上建立虛擬連接后直接用-2交互攻擊模式，這個(gè)模式集合了抓包和提取數(shù)據(jù)，發(fā)攻擊包三種能力。第八步：抓包，提數(shù)據(jù)和發(fā)包攻擊aireplay-ng-2-p0841-cff:ff:ff:ff:ff:ff-b-hwifi0發(fā)包成功后可得到足夠的ivs，然后用aircrack-ng破解。成功后如上圖截獲了一個(gè)可以直接進(jìn)行注入的數(shù)據(jù)包，并回顯Usethispacket，按y然后開始發(fā)包攻擊，date飛快漲。當(dāng)獲得足夠的ivs以后就可破解了。2第二種破解方式：思路：1-7步同上第八步：利用-

10、5碎片攻擊模式獲得一個(gè)可用的包含密鑰是數(shù)據(jù)文件(xor文件)第九步：然后通過(guò)數(shù)據(jù)包制造程序Packetforge-ng提取xor文件中的PRGA偽造一個(gè)arp包，第十步：最后利用交互式攻擊模式-2發(fā)包攻擊。第八步：采用碎片包攻擊模式-5,獲得一個(gè)PRGA數(shù)據(jù)包(xor文件)。輸入aireplay-ng-5-b-hwifi0如順利,將得到一個(gè)可利用的數(shù)據(jù)包如上圖,系統(tǒng)將回顯Usethispacket?輸入y回車,將得到一個(gè)至關(guān)重要的xor文件。再輸入ls查看當(dāng)前目錄,你將看到剛才生成的一個(gè)后綴名為xor的文件。第九步：用數(shù)據(jù)包制造程序packetforge-ng將上面獲得的xor數(shù)據(jù)包偽造成可利

11、用的ARP注入包。輸入packetforge-ng-0-a-h-k255.255.255.255-l255.255.255.255-yname-xor-wmyarp參數(shù)說(shuō)明：-y(filename)是用來(lái)讀取PRGA的文件-w(filename)將arp包寫入文件,我用的文件名是myarp系統(tǒng)回顯：Wrotepacketto:mrarp第十步：采用交互模式-2,發(fā)包注入攻擊。輸入aireplay-ng-2-rmyarp-x256rausbO【-r】：從指定文件中讀取arp數(shù)據(jù)包【-x】：定義每秒發(fā)送的數(shù)據(jù)包數(shù)量。為避免網(wǎng)卡死機(jī)，可選擇256，最高不超過(guò)1024輸入y回車攻擊開始這時(shí)，前面的抓包

12、窗口上的data將迅速增加。到數(shù)據(jù)增加到1.5萬(wàn)以上時(shí)。第十一步：采用aircrack-ng來(lái)進(jìn)行破解3第三種破解方式：思路：1-7步同上第八步：利用-4的Chopchop攻擊模式獲得一個(gè)可用的包含密鑰數(shù)據(jù)文件（xor文件）第九步：通過(guò)數(shù)據(jù)包制造程序Packetforge-ng提取xor文件中的PRGA偽造一個(gè)arp包第十步：最后利用交互式攻擊模式-2發(fā)包攻擊。第八步：采用-4的Chopchop攻擊模式獲得一個(gè)包含密鑰數(shù)據(jù)的xor文件輸入aireplay-ng-4-b-hwifi0參數(shù)說(shuō)明：-b:設(shè)置需要破解的AP的mac-h:設(shè)置用于連接的無(wú)線網(wǎng)卡的mac（自己網(wǎng)卡）順利將得到一個(gè)可利用的數(shù)

13、據(jù)包，按y將利用此數(shù)據(jù)包生產(chǎn)一個(gè)xor文件如上圖所示得到一個(gè)名為replay_dec-0523-075615的xor文件，第九步：通過(guò)數(shù)據(jù)包制造程序Packetforge-ng提取上面xor文件來(lái)偽造一個(gè)arp包輸入packetforge-ng-0-a-h-k255.255.255.255-l255.255.255.255-yname-xor-wmyarp如上圖，成功生成一個(gè)名為myarp的可用來(lái)注入的arp數(shù)據(jù)包。第十步：最后利用交互式攻擊模式-2發(fā)包攻擊。輸入aireplay-ng-2-rmyarprausb0發(fā)現(xiàn)了可利用的myarp的數(shù)據(jù)包，按y后，立刻注入攻擊。Date瘋漲破解WPA1

14、、加載無(wú)線網(wǎng)卡驅(qū)動(dòng)2、設(shè)置網(wǎng)卡為在指定的ap的工作頻道的監(jiān)控模式這兩部與前面相同3、輸入截取數(shù)據(jù)包命令（截取11信道的cap數(shù)據(jù)包，并保存名為12345.cap）輸入命令airodump-ng-w12345-c11wifi0，（-w:寫入文件，-c：截取cap的信道）（其中12345是獲取的cap的保存文件的名字，11是channel值，你根據(jù)實(shí)際修改。）回車后可以看到是WPA-TIKP-PSK加密方式4、進(jìn)行-0的Deauth驗(yàn)證攻擊這里為了便于WPA握手驗(yàn)證包的獲取，必須進(jìn)行Deauth驗(yàn)證攻擊，這個(gè)對(duì)于采用WPA驗(yàn)證的AP攻擊都會(huì)用到，可以迫使AP重新與已連接的合法客戶端進(jìn)行握手驗(yàn)證，重

15、新握手驗(yàn)證過(guò)程中獲得驗(yàn)證數(shù)據(jù)包。輸入：aireplay-ng-010-awifi0或者輸入：aireplay-ng-010-a-cwifi0解釋：-0指的是采取Deautenticate攻擊方式，后面為發(fā)送次數(shù)。-c建議還是使用，效果會(huì)更好，這個(gè)后面跟的是監(jiān)測(cè)到的合法的已連接的客戶端MAC地址，如上圖中顯示的。這里注意，Deauth攻擊往往并不是一次攻擊就成功，為確保成功截獲需要反復(fù)進(jìn)行，需要說(shuō)明的是，攻擊期間很可能會(huì)導(dǎo)致該AP的其它無(wú)線客戶端無(wú)法正常上網(wǎng)即斷網(wǎng)頻繁，而且對(duì)于一些低端AP可能會(huì)導(dǎo)致其無(wú)線功能假死，無(wú)法ping通，需重起。是否獲得包含WPA握手驗(yàn)證包的Cap文件，需要在破解時(shí)進(jìn)行

16、驗(yàn)證，以上Deauth攻擊幾次后可以做破解嘗試。WPA破解不用等到數(shù)據(jù)Data達(dá)到幾萬(wàn)，因?yàn)樗灰粋€(gè)包含WPA握手驗(yàn)證包就可以了，通過(guò)上面的方法我們已經(jīng)獲得破解WPA所需的cap文件。即可進(jìn)行下一步的破解。5、用得到的CAP數(shù)據(jù)包以后進(jìn)行WPA破解破解方式一：用Cap數(shù)據(jù)包直接暴力破解從破解難度上講WEP是很容易破解的，只要你收集足夠的Cap數(shù)據(jù)包就肯定可以破解。WPA的破解需要有好的密碼字典配合才能完成，復(fù)雜的WPA密碼可能幾個(gè)月也破解不出來(lái)。1、WEP數(shù)據(jù)Cap破解輸入：aircrack-ng-z-b12345*.cap12345是步驟3中輸入的cap的文件名。系統(tǒng)會(huì)自動(dòng)在你輸入的文件名

17、后加上-01、-02（如果數(shù)據(jù)包太多，系統(tǒng)會(huì)自動(dòng)分成幾個(gè)文件存儲(chǔ)并自動(dòng)命名，可以使用Is查看），輸入12345*是打開所有1234相關(guān)的cap文件。常見(jiàn)問(wèn)題：步驟3中收集數(shù)據(jù)包已達(dá)30W，無(wú)法破解密碼。可能系統(tǒng)自動(dòng)分成了幾個(gè)文件貯存cap包。如輸入name-01.cap破解可能導(dǎo)致破解不成功，建議使用name*.cap選擇所有的cap包進(jìn)行破解。破解方式二：WPA數(shù)據(jù)Cap破解輸入：aircrack-ng-wpassword.txt-b12345*.cap（-w:是字典破解模式）Password.txt是你事先準(zhǔn)備好的字典。WPA密碼破解必須使用字典破解模式。技巧：可以在windows下使用下

18、載的字典工具生產(chǎn)字典，再在BackTrack3下拷貝到/root下（aircrack默認(rèn)的工作目錄在/root）。請(qǐng)注意，破解WPA密碼的時(shí)間取決于密碼難易程度，字典包含程度，內(nèi)存及CPU等。多則數(shù)小時(shí)。也可以把CAP數(shù)據(jù)包拷貝出來(lái)在WIN下用WinAircrack破解。針MAC地址過(guò)濾問(wèn)題：因?yàn)锳P只回應(yīng)認(rèn)證的的客戶端.用airodump-ng搜索到剛剛連接上AP的MAC地址，把自己的修改為這個(gè)MAC地址，就可以突破MAC地址過(guò)濾的。AirepIay-ng的6種攻擊模式詳解-0Deautenticate沖突模式1024。使已經(jīng)連接的合法客戶端強(qiáng)制斷開與路由端的連接，使其重新連接。在重新連接過(guò)

19、程中獲得驗(yàn)證數(shù)據(jù)包，從而產(chǎn)生有效ARPrequest。如果一個(gè)客戶端連在路由端上，但是沒(méi)有人上網(wǎng)以產(chǎn)生有效數(shù)據(jù)，此時(shí)，即使用-3也無(wú)法產(chǎn)生有效ARPrequest。所以此時(shí)需要用-0攻擊模式配合，-3攻擊才會(huì)被立刻激活。aireplay-ng-010-a-cwifiO參數(shù)說(shuō)明：【-0】：沖突攻擊模式，后面跟發(fā)送次數(shù)（設(shè)置為0，則為循環(huán)攻擊，不停的斷開連接，客戶端無(wú)法正常上網(wǎng)）【-a】：設(shè)置ap的mac【-c】：設(shè)置已連接的合法客戶端的mac。如果不設(shè)置-c,則斷開所有和ap連接的合法客戶端。aireplay-ng-3-b-hwifi0注：使用此攻擊模式的前提是必須有通過(guò)認(rèn)證的合法的客戶端連接到

20、路由器-1fakeauthcount偽裝客戶端連接這種模式是偽裝一個(gè)客戶端和AP進(jìn)行連接。這步是無(wú)客戶端的破解的第一步,因?yàn)槭菬o(wú)合法連接的客戶端,因此需要一個(gè)偽裝客戶端來(lái)和路由器相連。為讓AP接受數(shù)據(jù)包，必須使自己的網(wǎng)卡和AP關(guān)聯(lián)。如果沒(méi)有關(guān)聯(lián)的話，目標(biāo)AP將忽略所有從你網(wǎng)卡發(fā)送的數(shù)據(jù)包,IVS數(shù)據(jù)將不會(huì)產(chǎn)生。用-1偽裝客戶端成功連接以后才能發(fā)送注入命令,讓路由器接受到注入命令后才可反饋數(shù)據(jù)從而產(chǎn)生ARP包。aireplay-ng-10-e-a-hwifiO參數(shù)說(shuō)明：【-1】：偽裝客戶端連接模式,后面跟延時(shí)【-e】：設(shè)置ap的essid【-a】:設(shè)置ap的mac【-h】：設(shè)置偽裝客戶端的網(wǎng)卡M

21、AC（即自己網(wǎng)卡mac）-2Interactive交互模式這種攻擊模式是一個(gè)抓包和提數(shù)據(jù)發(fā)攻擊包,三種集合一起的模式1這種模式主要用于破解無(wú)客戶端,先用-1建立虛假客戶端連接然后直接發(fā)包攻擊aireplay-ng-2-p0841-cff:ff:ff:ff:ff:ff-b-hwifi0參數(shù)說(shuō)明：【-2】：交互攻擊模式【-p】設(shè)置控制幀中包含的信息（16進(jìn)制），默認(rèn)采用0841【-c】設(shè)置目標(biāo)mac地址【-b】設(shè)置ap的mac地址【-h】設(shè)置偽裝客戶端的網(wǎng)卡MAC（即自己網(wǎng)卡mac）2提取包,發(fā)送注入數(shù)據(jù)包aireplay-ng-2r-x1024wifi0發(fā)包攻擊.其中,-x1024是限定發(fā)包速度

22、,避免網(wǎng)卡死機(jī),可以選擇-3ARP-request注入攻擊模式這種模式是一種抓包后分析重發(fā)的過(guò)程這種攻擊模式很有效。既可以利用合法客戶端，也可以配合-1利用虛擬連接的偽裝客戶端。如果有合法客戶端那一般需要等幾分鐘，讓合法客戶端和ap之間通信，少量數(shù)據(jù)就可產(chǎn)生有效ARPrequest才可利用-3模式注入成功。如果沒(méi)有任何通信存在，不能得到ARPrequest.,則這種攻擊就會(huì)失敗。如果合法客戶端和即之間長(zhǎng)時(shí)間內(nèi)沒(méi)有ARPrequest,可以嘗試同時(shí)使用-0攻擊。如果沒(méi)有合法客戶端，則可以利用-1建立虛擬連接的偽裝客戶端，連接過(guò)程中獲得驗(yàn)證數(shù)據(jù)包,從而產(chǎn)生有效ARPrequest。再通過(guò)-3模式注入。aireplay-ng-3-b-h-x512wifi0參數(shù)說(shuō)明：【-3】：arp注入攻擊模式【-b】：設(shè)置ap的mac【-h】：設(shè)置【-X】：定義每秒發(fā)送數(shù)據(jù)戶包的數(shù)量，但是最高不超過(guò)1024，建議使用512（也可不定義）-4Chopchop攻擊模式，用以獲得一個(gè)包含密鑰數(shù)據(jù)的Xor文件這種模式主要是獲得一個(gè)可利用包含密鑰數(shù)據(jù)的Xor文件，不能用來(lái)解密數(shù)據(jù)包。而是用它來(lái)產(chǎn)生一個(gè)新的數(shù)據(jù)包以便我們可以進(jìn)行注入。aireplay-ng-4-b-hwifi0參數(shù)說(shuō)明：-b:設(shè)置需要破解的AP的mac-h:設(shè)置虛擬偽裝連接的mac（即自己網(wǎng)卡的mac）-5fragment碎片包攻擊模式