“WIFI渗透从入门到精通”共有0条留言

0×00 前言

写这篇文章的初衷也是因为狗哥的一篇文章，看到狗哥的这篇文章不禁感触。不过我还是想说一句，不一定免费的WiFi才有风险哦~~.

0×01 让小绵羊知道自己是怎么被黑的

路由器WPS功能漏洞，路由器使用者往往会因为步骤太过麻烦，以致干脆不做任何加密安全设定，因而引发许多安全上的问题。WPS用于简化Wi-Fi无线的安全设置和网络管理。它支持两种模式：个人识别码(PIN)模式和按钮(PBC)模式。路由器在出产时默认都开启了WPS，但这真的安全吗？

在2011年12月28日，一名名叫Stefan Viehbock的安全专家宣布，自己发现了无线路由器中的WPS（Wi-Fi Protected Setup）漏洞，利用这个漏洞可以轻易地在几小时内破解WPS使用的PIN码以连上无线路由器的Wi-Fi网络。

个人识别码(PIN)，有人可能会问了什么是PIN码？WPS技术会随机产生一个八位数字的字符串作为个人识别号码（PIN），也就是你路由底部除了后台地址账号密码之后的一组八位数的数字，通过它可以快速登录而不需要输入路由器名称和密码等。PIN码会分成前半四码和后半四码。前四码如果错误的话，那路由器就会直接送出错误讯息，而不会继续看后四码，意味着试到正确的前四码，最多只需要试10000组号码。一旦没有错误讯息，就表示前四码是正确的，而我们便可以开始尝试后四码。后四码比前四码还要简单，因为八码中的最后一码是检查码，由前面七个数字产生，因此实际上要试的只有三个数字，共一千个组合。这使得原本最高应该可达一千万组的密码组合（七位数+检查码），瞬间缩减到仅剩11000组，大幅降低破解所需的时间。

根据路由MAC地址算出默认PIN码，另外有种更快破解Wi-Fi的方法就是根据路由MAC地址（MAC是路由器的物理地址，是唯一的识别标志）算出默认出产时的PIN码，例如以下软件，还可以通过别人共享的找到PIN码！

抓取握手包破解，提前条件是有客户端连接Wi-Fi。另外作者是不会讲破解WEP的，使用的小伙伴好自为之。就简单介绍下原理吧，一个TCP包走进一家酒吧，对服务员说：“给我来瓶啤酒”。服务员说：“你要来瓶啤酒？”。TCP包说：“是的，来瓶啤酒”。服务员说：“好的”。

1、当一个无线客户端与一个无线AP连接时，先发出连接认证请求（握手申请：你好！） 2、无线AP收到请求以后，将一段随机信息发送给无线客户端（你是？） 3、无线客户端将接收到的这段随机信息进行加密之后再发送给无线AP（这是我的名片） 4、无线AP检查加密的结果是否正确，如果正确则同意连接（哦～原来是自己人呀！）

通常我们说的抓“握手包”，是指在无线AP与它的一个合法客户端在进行认证时，捕获“信息原文”和加密后的“密文”。

利用Deauth验证攻击。也就是说强制让合法无线客户端与AP被断开，当它被从WLAN中断开后，这个无线客户端会自动尝试重新连接到AP上，在这个重新连接过程中，数据包通信就产生了，然后利用Airodump捕获一个无线路由器与无线客户端四次握手的过程，生成一个包含四次握手的cap包。然后再利用字典进行暴力破解。

另外也提下关于这行的黑色产业。当我们抓到带数据的握手包时，这时候黑色产业往往会帮我们很大的忙。GPU速度也是我们普通设备跑密码的速度上百倍。所以我是不建议自己跑密码的！把包发给那些团队，跑的出密码才收10-30rmb不等的费用（根据需要跑的密码定价分普通包还有金刚包，普通包的字典只使用十个G的字典，金刚包会使用五十G以上的字典，收费也会偏贵些）。不过也有一些团队会收取电费（既跑不跑的出密码都会收取一定的费用）…另外这样的设备非常耗电，不是一般人的消耗得起的哦。一般闲置的时候会利用这样的机器挖矿。

分布式破解，《骇客追缉令》片中的主人公都是有使用到分布式破解的。拿电影中的米特尼克来说吧，剧情中他拿到下村勉的加密后的密文，一般电脑来说要跑出密码需要几十年至几百年的时间才有机会跑出密码。此时的米特尼克利用了伪装，欺骗了某大学保安，偷偷地潜入进去使用大学中的超级电脑，只使用了几个小时就能到了想要的结果！《血色星期一》中的主角三浦春马使用了傀儡网络（肉鸡）使他在半个小时拿到了密码。（两部电影因为太久没看了可能有些地方说错了见谅。）于2009年9月26日晚ZerOne无线安全团队与AnyWlan无线门户成功完成国内首次分布式破解项目。

工具附上。另外想说是分布式破解只是思路，不是破解方案。破不出来也没有关系。

WiFi万能钥匙 or WiFi分享

其实我是十分不愿意提到这款流氓软件的，但这也是大部分网友主要的破解WiFi的途径。为什么我不愿意提这款软件，又必须提到呢？答：这款最流氓的功能也就是这款软件最核心的功能，就是集成了全国各地的WiFi账号密码。这必定包括一些恶意分享和一些无意分享出来的。使用这款软件开始的时候有两个选项：一、自动分享热点；二、分享前提示我。默认是选择一的。有些心急破解WiFi的小伙伴可能看到没看就直接点击了下一步，将自己本机保存的WiFi账号无意间公之于众。酱紫即使WiFi密码强度在强也会因为猪一样的队友团灭。这样误操作的例子真的很多。不得不提到的就是这款软件强大的集成了全国各地的WiFi账号密码。当你使用这款软件的时候可以很方便地根据附近的SSID和MAC地址在万能钥匙的数据库中找到正确的密码。这方便了用户，也方便了不怀好意的童鞋。小米科技也试着模仿盛大的万能钥匙，可最终还是死在了摇篮里。13年9月5日晚间消息，小米科技今日年度发布会上发布的MIUI新功能——WiFi密码自助分享引发争议，众多网友指责小米此行为将导致WiFi严重安全隐患，有咖啡店主甚至指责小米此行为如同偷窃。从2013-8-2开始到发布会截止前，一个月就分享了32万个公共Wi-Fi密码，可想而知后续这个雪球会滚得更加大。微博网友@王伟也对这个新功能十分愤怒，他表示：“我们只剩下两个选择：1、拒绝向使用小米手机的朋友提供家里/公司的WiFi密码。2、使用小米手机的朋友离开之后马上更改家里公司的WiFi密码。”另外为什么万能钥匙没有遭到封杀我也不得而知了。但我想劝大家一句，千万不要依靠万能钥匙。

弱密码

WPA-PSK的密码空间用浩瀚来形容一点不为过，所以直接进行字典攻击是傻子的行为。但是作为一个密码，对字典攻击来说有强密码和弱密码的区别。强密码就是破解希望极其渺茫的密码，弱密码是很有希望破解的密码。当然强弱也是个相对概念，他也是依赖于加安全制的。银行的密码一般都为6位，像这样密码空间如此小的密码，普通情况下都为弱密码。但是银行的ATM一天只让你试三次，三次密码不对锁卡。有这样的机制，6位的就不再是弱密码了。由弱密码组成的字典叫弱密码字典。这篇文章讲的更为详细。

有一定联系性规律性密码

例子：有人曾破如此一个WPA-PSK密码IX1V7051242。如果你不了解这个密码的背景，你可能会觉得很神奇，这么强的密码也能破。这样的密码是在西班牙的tele2这样的AP上有，而且这样AP_ESSID里都有tele2字段。这样的密码后面的8位是相同的，有真正的密码只有四位。四位密码其密码空间很小很容易被字典攻击出来。这个也是AP的默认密码。所以这个密码被破解是因为AP本身产生的随机密码就是个弱密码，是AP的厂家自己降低了安全性的做法。例如有一些餐厅、酒店、事业单位等等。SSID总会改成名字的拼音，密码当然是跟SSID相关的。最常见的就是这个单位的电话号码！

Airmon-ng start wlan0

Airodump-ng -c 1 --bssid XX:XX:XX:XX:XX -w mobi mon0

意思是启动网卡的监听模式。敲完这条命令后设备名wlan=mon0，一般命令后都是要跟上设备名。在抓包前肯定是要先选择目标。这条命令的意思是探测无线网络。选好目标，首选是客户端连接多的。复制好BSSID即MAC地址。记住信道（CH）。

Aireplay-ng -0 10 -a (AP的mac) -c (客户端的mac) 

-C参数是选择目标信道。如果该信道就目标一个AP使用的话不用加上--bssid，这个参数是为了跟精准的锁定目标~~ -w是保存握手包的名字。获取后会在当前目录生成一个mobi-01.cap的握手包。这时就不用关闭这条shell而是另外打开一个shell。

Aircrack-ng -w /pentest/passwords/sxsx.lst mobi-01.cap

Reaver -i mon0 -b xx:xx:xx:xx -vv

-0参数是发起deauth攻击。10是次数，可以调节。-a即第一条shell中BSSID，下面的AP路由器MAC地址。-c即STATION下客户机的MAC地址（这条为可选项）。-w选择字典mobi-01.cap，即抓到的握手包。Ps：我是不建议自己跑密码的。我直接挂载U盘，把握手包copy到U盘里，在通过QQ方式把包发给跑包团队。然后是把正确密码添加到了我的字典里，才会出现上图（既成功破解后的图）！另外是密码使用有一定联系性规律性密码。

破解方案二：利用路由器WPS功能漏洞。Airodump-ng mon0查看附近无线情况。在MB这行带点的“.”表示能跑出PIN码。使用wash -i mon0 -C可查看是否开启了WPS功能。