WEP、WPA無(wú)線(xiàn)網(wǎng)絡(luò )破解破解過(guò)程

步驟一、啟動(dòng)BackTrack3系統

現網(wǎng)上主流破解無(wú)線(xiàn)網(wǎng)絡(luò )的BackTrack3啟動(dòng)方式有以下幾種：

　?、僦苯訂?dòng)
　　A、USB引導啟動(dòng) - 方法：需要制作下載USB版BackTrack3制作相應U盤(pán)，電腦設成從U盤(pán)引導。
　　B、光盤(pán)引導啟動(dòng) - 方法：下載光盤(pán)版，刻錄光盤(pán)，電腦使用光盤(pán)引導
　　C、硬盤(pán)安裝版啟動(dòng) - 方法：使用光盤(pán)引導，然后安裝BackTrack3到硬盤(pán)里。得到可以啟動(dòng)BackTrack3的硬盤(pán)版。

　?、谔摂M機啟動(dòng)
　　A、虛擬機USB引導啟動(dòng) - 方法：需要制作下載USB版BackTrack3制作相應U盤(pán)，虛擬機設定成從USB引導。
　　B、虛擬機光盤(pán)引導啟動(dòng) (推薦) - 方法：見(jiàn)第二章節
　　C、虛擬機硬盤(pán)安裝版啟動(dòng) (推薦) -

下面以虛擬機光盤(pán)引導的方式為例來(lái)繼續后面的講解 (當然，使用別的方式啟動(dòng)BackTrack3系統除了啟動(dòng)過(guò)程不同，其它基本相同，只有USB接口的網(wǎng)卡才支持虛擬機下破解)

打開(kāi)虛擬機電源，選擇第一項就可以 (或直接20秒后系統自動(dòng)選擇)

然后出現一堆亂七八糟的字符，進(jìn)入直接進(jìn)入到可愛(ài)的圖形界面 (硬盤(pán)安裝版要輸入用戶(hù)：root，密碼：toor登錄后，輸入：startx命令才能進(jìn)入圖形界面)。

步驟二、想方設法得到破解所需的Cap數據包文件

想方設法得到破解所需的Cap數據包文件，就是不管你用什么方式得到破解所需的Cap數據包才是正道 (去偷去搶也行，~~呵呵)。

對于破解WEP加密和WPA加密所需要的Cap數據包要求是不一樣的，這已經(jīng)在第二章提到，所以這兩種數據包的獲取方式也是不一樣的。下面分別就兩種數據包的獲得說(shuō)明 (每個(gè)步驟后面都有常見(jiàn)問(wèn)題分析，請參考)：

1、關(guān)于WEP數據包的獲取

①加載無(wú)線(xiàn)網(wǎng)卡驅動(dòng)

打開(kāi)一個(gè)新的Shell窗口 (暈，不會(huì )不知道什么是Shell窗口吧？那你到處找找吧！)

輸入：ifconfig –a

查看自己的無(wú)線(xiàn)網(wǎng)卡的接口名，我的USB網(wǎng)卡的接口名是rausb0，所以以下的說(shuō)明都是以我的網(wǎng)卡接口rausb0為例，使用時(shí)請按你自己的接口名輸入。

命令：ifconfig –a rausb0 UP

加載無(wú)線(xiàn)網(wǎng)卡驅動(dòng)完成。

常見(jiàn)問(wèn)題：驅動(dòng)無(wú)法加載

a、檢查你的接口名是否輸入錯誤

b、你的網(wǎng)卡芯片是否光盤(pán)所支持的

②激活網(wǎng)卡的Monitor模式

命令：airmon-ng start rausb0 6

后面的6是你要破解AP的工作頻道，根據實(shí)際，換成你破解的AP的實(shí)際工作頻道 (下同)。這樣網(wǎng)卡將啟動(dòng)監聽(tīng)模式，系統將反饋 (mode monitor enabled)。

可以輸入命令：iwconfig檢查網(wǎng)卡的狀態(tài)。

常見(jiàn)的問(wèn)題：網(wǎng)卡不能啟動(dòng)正常的監聽(tīng)模式。

a、請檢測你所用的網(wǎng)卡是否是BackTrack3反支持的。筆者筆記本電腦內置的 3945無(wú)線(xiàn)網(wǎng)卡在BT3下就不能正常監聽(tīng)，這是由于BT3下3945的驅動(dòng)兼容性所致。Wifiway對3945網(wǎng)卡的支持要好些。

b、檢測輸入的命令是否有誤。

③開(kāi)始抓取CAP數據包

命令：airodump-ng -w name -c 6 rausb0

其中的name是你抓包存儲的文件名，你也可以起你自己個(gè)性的名字。這樣，你的窗口將顯示一個(gè)工作站，可以看到你要破解的AP的ESSID和 MAC。AP的ESSID和MAC在下一步的攻擊中會(huì )用到，與AP連接的合法客戶(hù)MAC也可以看到，合法客戶(hù)的MAC在WPA破解中有用。

其實(shí)到了這一步，你的抓包工作已經(jīng)開(kāi)始。其中的Data數據量的多少是破解WEP密碼的關(guān)健。當然如果你的足夠的耐心，只要一直開(kāi)著(zhù)這個(gè)窗口，等上一個(gè)月，不用你進(jìn)行下面的操作，你就能收集到足夠的數據包 (在有客戶(hù)端活動(dòng)的情況下~~)。

為了快速得到需要的大量數據包，你可以進(jìn)行第四步的攻擊操作。當然你必須一直保持此窗口的打開(kāi)，才能一直獲取數據包。

常見(jiàn)問(wèn)題：請不要關(guān)閉這個(gè)窗口，直接破解完成。

④采用注入攻擊的方法使AP產(chǎn)生大量CAP數據包

a、使用aireplay-ng來(lái)獲得PRGA

這是非常關(guān)鍵的一步。為讓AP接受數據包，你必須使網(wǎng)卡和AP關(guān)聯(lián)。如果沒(méi)有關(guān)聯(lián)的話(huà)，目標AP將忽略所有從你網(wǎng)卡發(fā)送的數據包，并發(fā)送回一個(gè)未認證消息 (DeAuthentication packet)，IVS數據將不會(huì )產(chǎn)生從而導致無(wú)法破解。

命令： aireplay-ng -1 0 -e ESSID –a AP's MAC -h 網(wǎng)卡's MAC rausb0

如不是以上提示，請檢查：
　　a.1、命令是否輸入錯誤
　　a.2、目標AP做了MAC地址過(guò)濾
　　a.3、你離目標 AP物理距離太遠
　　a.4、對方使用了WPA加密
　　a.5、網(wǎng)卡不支持注入
　　a.6、網(wǎng)卡、AP可能不兼容,網(wǎng)卡沒(méi)有使用和AP一樣的工作頻道
　　a.7、輸入的ESSIDt或MAC拼寫(xiě)有誤，請注意檢查

你可以根據命令反饋消息來(lái)判斷原因來(lái)嘗試解決問(wèn)題，比如獲得一個(gè)合法的MAC并偽造MAC、使用-o參數設置發(fā)送包的個(gè)數、設置網(wǎng)卡到一個(gè)較低的rate、到離目標AP更近一點(diǎn)的地方^_^，但是請注意：如果這一步不能成功，下面的步驟請不要再?lài)L試，都是無(wú)用功！

b、使用fragmentation attack來(lái)獲得PRGA

這里的PRGA并不是wep key數據，并不能用來(lái)解密數據包，而是用它來(lái)產(chǎn)生一個(gè)新的數據包以便我們在后面的步驟中進(jìn)行注入。

命令: aireplay-ng -5 -b AP'sMAC -h 網(wǎng)卡'SMAC rausb0

如果一切順利，系統將回顯 Use this packet?

輸入y回車(chē)，將得到一個(gè)至關(guān)重要的xor文件。

常見(jiàn)問(wèn)題：反復出現Use this packet?的提示

以筆者的經(jīng)驗，這是信號不好的問(wèn)題，請移動(dòng)的網(wǎng)卡位置。如果是筆記本電腦可以拿著(zhù)電腦到房間內別的位置試下。我有次就是拿著(zhù)電腦從臥室跑到廚房才成功的。經(jīng)驗是PRW(信號值)在40以上才能比較容易通過(guò)此步。Xor文件的名字一般和日期時(shí)間有關(guān)?？梢杂胠s命令查看，請記下產(chǎn)生的文件，以備后面使用。

c、使用packetforge-ng來(lái)產(chǎn)生一個(gè)arp包

可以利用這個(gè)PRGA (xor文件) 來(lái)產(chǎn)生一個(gè)注入包，其工作原理就是使目標AP重新廣播包，當AP重廣播時(shí)，一個(gè)新的IVS將產(chǎn)生，我們就是利用這個(gè)來(lái)破解?，F在，我們生成一個(gè)注入包。

命令：packetforge-ng -0 -a AP'SMAC -h 網(wǎng)卡'MAC 5 -k 255.255.255.255 -l 255.255.255.255 -y 文件名.xor -w myarp

最后的myarp是生成的注入包文件名，可以取你自己個(gè)性的名字。

系統回顯： Wrote packet to: myarp

常見(jiàn)問(wèn)題：-l千萬(wàn)不要寫(xiě)成-1了，是L的小寫(xiě)，筆記就犯了這個(gè)低能的錯誤，差點(diǎn)卡在這步。

d、注入ARP包

命令：aireplay-ng -2 –r myarp -x 1024 rausb0

讀取上面生成的arp文件，發(fā)包攻擊。其中，-x 1024 是限定發(fā)包速度，避免網(wǎng)卡死機，我選擇的是1024，你也可以放大數值。

系統提示： Use this packet?

輸入y回車(chē)

攻擊開(kāi)始。

這時(shí)候回頭看下第③你一直打開(kāi)的抓包窗口，Data數據是不是飛速上漲？

當Data值達到5W左右時(shí)你就可以進(jìn)行下一步破解了。

常見(jiàn)問(wèn)題：-l千萬(wàn)不要寫(xiě)成-1了，是L的小寫(xiě)，筆記就犯了這個(gè)低能的錯誤，差點(diǎn)卡在這步。

2、關(guān)于WPA數據包的獲取

①~③步與WEP數據包獲取的步驟相同。

④進(jìn)行Deauth驗證攻擊

這里為了便于WPA握手驗證包的獲取，必須進(jìn)行Deauth驗證攻擊，這個(gè)對于采用WPA驗證的AP攻擊都會(huì )用到，可以迫使AP重新與客戶(hù)端進(jìn)行握手驗證，從而使得截獲成為可能。

命令： aireplay-ng -0 10 -a AP's MAC -c Client's MAC rausb0

解釋?zhuān)?0指的是采取Deautenticate攻擊方式，后面為發(fā)送次數，-a后面跟上要入侵的AP的MAC地址，-c這個(gè)后面跟的是監測到的客戶(hù)端MAC地址 (注意不是你自己的MAC地址，而是與AP聯(lián)接合法用戶(hù)MAC，這個(gè)數據可以在抓包窗口看到)。

這里注意，Deauth攻擊往往并不是一次攻擊就成功，為確保成功截獲需要反復進(jìn)行，需要說(shuō)明的是，攻擊期間很可能會(huì )導致該AP的其它無(wú)線(xiàn)客戶(hù)端無(wú)法正常上網(wǎng)即斷網(wǎng)頻繁，如下圖所示，而且對于一些低端AP嚴重會(huì )導致其無(wú)線(xiàn)功能假死，無(wú)法ping通，需重起。

是否獲得包含WPA握手驗證包的Cap文件，需要在破解時(shí)進(jìn)行驗證，以上Deauth攻擊幾次后可以做破解嘗試。WPA破解不用等到數據 Data達到幾萬(wàn)，只要有包含WPA握手驗證包的Cap文件就可以。

通過(guò)上面的方法我們已經(jīng)獲得破解WEP或WPA所需的cap文件。即可進(jìn)行下一步的破解。

WEP、WPA無(wú)線(xiàn)網(wǎng)絡(luò )用Cap數據包爆力破解

從破解難度上講WEP是很容易破解的，只要你收集足夠的Cap數據包就肯定可以破解。但WPA的破解需要有好的密碼字典配合才能完成，復雜的 WPA密碼可能幾個(gè)月也破解不出來(lái)。

1、WEP數據Cap破解

命令：aircrack-ng -z -b AP's MAC name*.cap

Name是步驟三③中輸入的文件名。系統會(huì )自動(dòng)在你輸入的文件名后加上-01、-02 (如果數據包太多，系統會(huì )自動(dòng)分成幾個(gè)文件存儲并自動(dòng)命名，可以使用ls查看)，輸入name*是打開(kāi)所有name開(kāi)關(guān)的cap文件。

常見(jiàn)問(wèn)題：步驟三③收集數據包已達30W，無(wú)法破解密碼

可能系統自動(dòng)分成了幾個(gè)文件貯存cap包。如輸入name-01.cap破解可能導致破解不成功，建議使用name*.cap，我就被這個(gè)問(wèn)題搞了一個(gè)多小時(shí)。

下面是破解成功的界面：

2、WPA數據Cap破解

命令：aircrack-ng –w password.txt -b AP's MAC name*.cap

Password.txt是你事先準備好的字典。WPA密碼破解必須使用字典破解模式。

技巧：可以在windows下使用下載的字典工具生產(chǎn)字典，再在BackTrack3下拷貝到/root下 (aircrack默認的工作目錄在/root)。

請確認你的cap包是否包含有握手驗證信息。如下圖顯示：“WPA (1 handshake)”

破解完成界面：

請注意，破解WPA密碼的時(shí)間取決于密碼難易程度，字典包含程度，內存及CPU等，一般來(lái)說(shuō)，破解WEP加密的時(shí)間最快可在1分鐘左右，但破解 WPA-PSK除非字典確實(shí)很對應，最快的1分鐘內即可，但絕大多數情況下都是要花少則20分鐘，多則數小時(shí)。如上圖就花費了40分鐘，畢竟，不是所有人都使用類(lèi)似test、admin123之類(lèi)密碼的。