第一章引言近些年無線技術發展迅速，越來越多的用戶開始使用無線網絡，最近新搬到一小區沒有安裝網絡，后面想到以前出差時在機場用過無線網絡，小區內是否也有無線網絡呢？隨便一搜，果然有幾個無線網絡信號，于是打起了免費蹭網的主意，但信號最好的幾個網絡的WEP或WPA密碼成為了一個門坎，于是在公司上網查到相關資料，通過幾天的學習+實踐，終于破解了小區內的幾個無線網絡。破解過程中雖然有了各位前輩的經驗，但一些前輩的經驗過于籠統、專業，細節的地方比較少。我就是在破解過程中走了不小彎路，還好本人學習和總結能力還可以 (誰扔的雞蛋)，現主要就自己破解過程中的一些注意事項和細節從頭介紹無線網絡的破解過程。本文只是對前輩們經驗的一點補充，我的文章離不開前輩們的經驗。套用最新的流行語:)感謝anywlan論壇、感謝haohamaru、感謝zero老大、longas老大、感謝ggdlyg、感謝liyg、感謝所有幫助我的朋友、感謝cctv、感謝mtv第二章破解前的準備一、無線網絡加密的方式和破解方法原理 (看不懂沒關系)1、WEP加密 - 破解方式：收集足夠的Cap數據包 (5萬以上15萬)，然后使用aircrack破解。可以在無客戶端情況下采用主動注入的方式破解2、WPA加密 - 破解方式：收包含握手信息的Cap數據包，然后使用aircrack破解。必須在合法的客戶端在線的情況下抓包破解。可主動攻擊合法客戶端使其掉線，合法客戶端掉線后再與AP重新握手即可抓到包含握手信息的數據包。或可守株待兔等待合法的客戶端上線與AP握手。二、硬件準備、網卡選擇工先利其事，必先利其器。一個好的無線網卡可以大大提高破解的效率，少走很多彎路，筆者之前就是沒有一個好的無線網卡連WEP加密都沒破開一個，后面換了網卡很快搞定。1、網卡芯片選擇現在主流的無線網卡芯片有以下四個品牌：Intel Pro、RaLink、Broadcom、Atheros。Intel芯片主要集成在迅馳系統中，市場上很多主流的迅馳筆記本電腦都裝的這種芯片的無線網卡，遺憾的是現在主流的破解工具BackTrack3對Intel芯片支持不是太佳。RaLink、Broadcom、Atheros系列大部份芯片BackTrack3支持較好，具體支持的型號可以參考本站相關的帖子。比較有代表性的是芯片型號是Realtek RT73和RaLink 2500，壇子里使用的人最多，完美支持注入攻擊。本站就有銷售采用RT73芯片的無線網卡。2、無線網卡接口方式的選擇無線網卡主要有MINI-PCI內置型無線網卡 (迅馳系列)、臺式機專用的PCI接口、筆記本電腦專用的PCMICA接口、USB無線網卡幾種形式。推薦使用USB接口無線網卡，支持VM虛擬機下使用。其他幾種接口都不支持虛擬機下使用。臺式機專用的PCI接口無線網卡有較多可以外接天線的型號供選擇。外接天線可以加強信號，信號的強度是破解成功與否的關健。這是筆者印象最深刻的經驗，筆者就是把手提電腦搬到廚房才把一個“頑固”的無線AP給破解的，這是笨辦法，手中暫時沒有信號好的網卡，所以一個信號好的網卡才是正道。下面推薦三個USB接口無線網卡：LINKSYS WUSB54G v.4 - RT2571芯片，注意要是V4版的，而且不是LINKSYS WUSB54GS型號，GS型所用芯片不同。LINKSYS WUSB54G v.4淘寶上有改裝過可以外接天線的賣，加上一個高DBI的天線，肯定很爽。筆者現在用的就是這個沒有改裝的，下一步打算再入手一個改裝的，加個7DBI的天線。Sparklan (速連) WL-685R - RT73芯片Sparklan (速連) WUBR-101 - RT73芯片三、破解軟件的選擇1、WINDOWS系統軟件WinAirCrack下載地址如下：/download/wireless/aircrack/WinAircrackPack.zipWINDOWS下的破解軟件，更新很慢，支持的網卡型號少，不推薦使用，具體的破解步驟可以參考網上相關WINDOWS下破解的相關文章。2、Linux系統很大黑客工具都在Linux系統下有很好支持，破解無線網絡的Linux系統有BackTrack、wifiway等Linux LIVE CD。BackTrack是基于Slackware和SLAX的自啟動運行光盤，它包含了一套安全及計算機取證工具。它其實是依靠融合Auditor Security Linux和WHAX (先前的Whoppix) 而創建成的。其中包含AirCrack等無線網絡破解工具，當然無線網絡破解只是這個CD的一小部份功能。本文后面的介紹以本BackTrack3下操作為主。Wifiway或其它Linux LIVE CD下的破解可以參考BackTrack3的操作。四、軟件準備BackTrack CD下載。BackTrack最新的版本是3.0版，網上很多無線網絡的破解教程都是以2.0版為基礎的，那是因為BackTrack3是去年底才更新，支持更多的無線網卡，建議下載。光盤版：/bt3b141207.isoU盤版：http:/backtrack.mirrors.skynet.be/pub/backtrack/bt3b141207.rar建議使用迅雷下載。我使用的光盤版。BackTrack3光盤下載后可以直接刻錄使用，也可以在VM虛擬機下使用。下面介紹如何設置使BackTrack3光盤可以啟動虛擬機，從而實現在虛擬機上破解無線網絡。1、安裝VMware Workstation，然后建立一個虛擬機，虛擬機配置為“典型”，客戶機操作系統為Linux，版本為“Other Linux 2.6.x Kernal”，虛擬機名稱和位置自便，網絡連接如果想通過主機的網卡共享上網的話，選擇使用橋接網絡，磁盤大小建議分配不少于3G (后面用到的是bt3的real安裝，就是全功能安裝，所以空間要比較大)；2、對剛建立的虛擬機設置進行編輯，主要是對CD-ROM進行編輯，選擇“使用ISO鏡像”，找到BT3光盤鏡像ISO文件所在的位置，然后確定；效果如圖：以上只是設置從虛擬機使用光盤啟動BackTrack3，當然你也可以把BackTrack3直接安裝到你的虛擬機硬盤里。具體的方法見Asasqwqw的帖子：/bbs/dv_rss.asp?s=xhtml&boardid=15&id=7488&page=5第三章破解過程步驟一、啟動BackTrack3系統現網上主流破解無線網絡的BackTrack3啟動方式有以下幾種：直接啟動A、USB引導啟動 - 方法：需要制作下載USB版BackTrack3制作相應U盤，電腦設成從U盤引導。B、光盤引導啟動 - 方法：下載光盤版，刻錄光盤，電腦使用光盤引導C、硬盤安裝版啟動 - 方法：使用光盤引導，然后安裝BackTrack3到硬盤里。得到可以啟動BackTrack3的硬盤版。虛擬機啟動A、虛擬機USB引導啟動 - 方法：需要制作下載USB版BackTrack3制作相應U盤，虛擬機設定成從USB引導。B、虛擬機光盤引導啟動 (推薦) - 方法：見第二章節C、虛擬機硬盤安裝版啟動 (推薦) - 方法：具體的方法見Asasqwqw的帖子下面以虛擬機光盤引導的方式為例來繼續后面的講解 (當然，使用別的方式啟動BackTrack3系統除了啟動過程不同，其它基本相同，只有USB接口的網卡才支持虛擬機下破解)打開虛擬機電源，選擇第一項就可以 (或直接20秒后系統自動選擇)然后出現一堆亂七八糟的字符，進入直接進入到可愛的圖形界面 (硬盤安裝版要輸入用戶：root，密碼：toor登錄后，輸入：startx命令才能進入圖形界面)。步驟二、想方設法得到破解所需的Cap數據包文件想方設法得到破解所需的Cap數據包文件，就是不管你用什么方式得到破解所需的Cap數據包才是正道 (去偷去搶也行，呵呵)。對于破解WEP加密和WPA加密所需要的Cap數據包要求是不一樣的，這已經在第二章提到，所以這兩種數據包的獲取方式也是不一樣的。下面分別就兩種數據包的獲得說明 (每個步驟后面都有常見問題分析，請參考)：1、關于WEP數據包的獲取加載無線網卡驅動打開一個新的Shell窗口 (暈，不會不知道什么是Shell窗口吧？那你到處找找吧！)輸入：ifconfig a查看自己的無線網卡的接口名，我的USB網卡的接口名是rausb0，所以以下的說明都是以我的網卡接口rausb0為例，使用時請按你自己的接口名輸入。命令：ifconfig a rausb0 UP加載無線網卡驅動完成。常見問題：驅動無法加載a、檢查你的接口名是否輸入錯誤b、你的網卡芯片是否光盤所支持的激活網卡的Monitor模式命令：airmon-ng start rausb0 6后面的6是你要破解AP的工作頻道，根據實際，換成你破解的AP的實際工作頻道 (下同)。這樣網卡將啟動監聽模式，系統將反饋 (mode monitor enabled)。可以輸入命令：iwconfig檢查網卡的狀態。常見的問題：網卡不能啟動正常的監聽模式。a、請檢測你所用的網卡是否是BackTrack3反支持的。筆者筆記本電腦內置的3945無線網卡在BT3下就不能正常監聽，這是由于BT3下3945的驅動兼容性所致。Wifiway對3945網卡的支持要好些。b、檢測輸入的命令是否有誤。開始抓取CAP數據包命令：airodump-ng -w name -c 6 rausb0其中的name是你抓包存儲的文件名，你也可以起你自己個性的名字。這樣，你的窗口將顯示一個工作站，可以看到你要破解的AP的ESSID和MAC。AP的ESSID和MAC在下一步的攻擊中會用到，與AP連接的合法客戶MAC也可以看到，合法客戶的MAC在WPA破解中有用。其實到了這一步，你的抓包工作已經開始。其中的Data數據量的多少是破解WEP密碼的關健。當然如果你的足夠的耐心，只要一直開著這個窗口，等上一個月，不用你進行下面的操作，你就能收集到足夠的數據包 (在有客戶端活動的情況下)。為了快速得到需要的大量數據包，你可以進行第四步的攻擊操作。當然你必須一直保持此窗口的打開，才能一直獲取數據包。常見問題：請不要關閉這個窗口，直接破解完成。采用注入攻擊的方法使AP產生大量CAP數據包a、使用aireplay-ng來獲得PRGA這是非常關鍵的一步。為讓AP接受數據包，你必須使網卡和AP關聯。如果沒有關聯的話，目標AP將忽略所有從你網卡發送的數據包，并發送回一個未認證消息 (DeAuthentication packet)，IVS數據將不會產生從而導致無法破解。命令： aireplay-ng -1 0 -e ESSID a APs MAC -h 網卡s MAC rausb0如不是以上提示，請檢查：a.1、命令是否輸入錯誤a.2、目標AP做了MAC地址過濾a.3、你離目標AP物理距離太遠a.4、對方使用了WPA加密a.5、網卡不支持注入a.6、網卡、AP可能不兼容,網卡沒有使用和AP一樣的工作頻道a.7、輸入的ESSIDt或MAC拼寫有誤，請注意檢查你可以根據命令反饋消息來判斷原因來嘗試解決問題，比如獲得一個合法的MAC并偽造MAC、使用-o參數設置發送包的個數、設置網卡到一個較低的rate、到離目標AP更近一點的地方_，但是請注意：如果這一步不能成功，下面的步驟請不要再嘗試，都是無用功！b、使用fragmentation attack來獲得PRGA這里的PRGA并不是wep key數據，并不能用來解密數據包，而是用它來產生一個新的數據包以便我們在后面的步驟中進行注入。命令: aireplay-ng -5 -b APsMAC -h 網卡SMAC rausb0如果一切順利，系統將回顯 Use this packet?輸入y回車，將得到一個至關重要的xor文件。常見問題：反復出現Use this packet?的提示以筆者的經驗，這是信號不好的問題，請移動的網卡位置。如果是筆記本電腦可以拿著電腦到房間內別的位置試下。我有次就是拿著電腦從臥室跑到廚房才成功的。經驗是PRW(信號值)在40以上才能比較容易通過此步。Xor文件的名字一般和日期時間有關。可以用ls命令查看，請記下產生的文件，以備后面使用。c、使用packetforge-ng來產生一個arp包可以利用這個PRGA (xor文件) 來產生一個注入包，其工作原理就是使目標AP重新廣播包，當AP重廣播時，一個新的IVS將產生，我們就是利用這個來破解。現在，我們生成一個注入包。命令：packetforge-ng -0 -a APSMAC -h 網卡MAC 5 -k 55 -l 55 -y 文件名.xor -w myarp最后的myarp是生成的注入包文件名，可以取你自己個性的名字。系統回顯： Wrote packet to: myarp常見問題：-l千萬不要寫成-1了，是L的小寫，筆記就犯了這個低能的錯誤，差點卡在這步。d、注入ARP包命令：aireplay-ng -2 r myarp -x 1024 rausb0讀取上面生成的arp文件，發包攻擊。其中，-x 1024 是限定發包速度，避免網卡死機，我選擇的是1024，你也可以放大數值。系統提示： Use this packet?輸入y回車攻擊開始。這時候回頭看下第你一直打開的抓包窗口，Data數據是不是飛速上漲？當Data值達到5W左右時你就可以進行下一步破解了。常見問題：-l千萬不要寫成-1了，是L的小寫，筆記就犯了這個低能的錯誤，差點卡在這步。2、關于WPA數據包的獲取步與WEP數據包獲取的步驟相同。進行Deauth驗證攻擊這里為了便于WPA握手驗證包的獲取，必須進行Deauth驗證攻擊，這個對于采用WPA驗證的AP攻擊都會用到，可以迫使AP重新與客戶端進行握手驗證，從而使得截獲成為可能。命令： aireplay-ng -0 10 -a APs MAC -c Clients MAC rausb0解釋：-0指的是采取Deautenticate攻擊方式，后面為發送次數，-a后面跟上要入侵的AP的MAC地址，-c這個后面跟的是監測到的客戶端MAC地址 (注意不是你自己的MAC地址，而是與AP聯接合法用戶MAC，這個數據可以在抓包窗口看到)。這里注意，Deauth攻擊往往并不是一次攻擊就成功，為確保成功截獲需要反復進行，需要說明的是，攻擊期間很可能會導致該AP的其它無線客戶端無法正常上網即斷網頻繁，如下圖所示，而且對于一些低端AP嚴重會導致其無線功能假死，無法ping通，需重起。是否獲得包含WPA握手驗證包的Cap文件，需要在破解時進行驗證，以上Deauth攻擊幾次后可以做破解嘗試。WPA破解不用等到數據Data達到幾萬，只要有包含WPA握手驗證包的Cap文件就可以。通過上面的方法我們已經獲得破解WEP或WPA所需的cap文件。即可進行下一步的破解。步驟三、用Cap數據包爆力破解從破解難度上講WEP是很容易破解的，只要你收集足夠的Cap數據包就肯定可以破解。但WPA的破解需要有好的密碼字典配合才能完成，復雜的WPA密碼可能幾個月也破解不出來。1、WEP數據Cap破解命令：aircrack-ng -z -b APs MAC name*.capName是步驟三中輸入的文件名。系統會自動在你輸入的文件名后加上-01、-02 (如果數據包太多，系統會自動分成幾個文件存儲并自動命名，可以使用ls查看)，輸入name*是打開所有name開關的cap文件。常見問題：步驟三收集數據包已達30W，無法破解密碼可能系統自動分成了幾個文件貯存cap包。如輸入name-01.cap破解可能導致破解不成功，建議使用name*.cap，我就被這個問題搞了一個多小時。下面是破解成功的界面：2、WPA數據Cap破解命令：aircrack-ng w password.txt -b APs MAC name*.capPassword.txt是你事先準備好的字典。WPA密碼破解必須使用字典破解模式。技巧：可以在windows下使用下載的字典工具生產字典，再在BackTrack3下拷貝到/root下 (aircrack默認的工作目錄在/root)。請確認你的cap包是否包含有握手驗證信息。如下圖顯示：“WPA (1 handshake)”破解完成界面