利用WPS功能破解无线路由器PIN码

认识WPS功能

WPS是wifi保护设置的英文缩写。WPS是由wifi联盟组织实施的认证项目，主要致力于简化无线局域网安装及安全性能的配置工作。WPS并不是一项新增的安全性能，它只是使现有的安全技术更容易配置。

WPS提供了一个相当简便的加密方法。通过该功能，不仅可将具有WPS功能的wifi设备和无线路由器进行快速互联，还会随机产生一个八位数字的字符串作为个人识别号码（PIN）进行加密操作。省去了客户端要连入无线网络时，必须手动添加网络名称（SSID）及输入冗长的无线加密密码的繁琐过程。

PIN码是随机产生的8位数字。在WPS加密中PIN码是网络设备间获得接入的唯一要求，不需要其他身份识别方式，这就让暴力破解变得可行。

其次，WPS PIN码的第8位数是一个校验和，因此黑客只需要算出前7位数即可。这样，唯一的PIN码的数量降了一个级别变成了10的7次方，也就是说有1000万种变化。在实施PIN的身份识别时，接入点实际上是要找这个PIN的前半部分（前四位）和后半部分（后三位）是否正确即可。当第一次PIN认证连接失败后，路由器会向客户端发回一个EAP-NACK信息，而通过该回应，攻击者将能够确定的PIN前半部或后半部是否正确。换句话说，黑客只需从7位数的PIN中找出一个4位数的PIN和一个3位数的PIN。这样一来，级别又被降低，从1000万种变法，减少到了11000（10的4次方+10的3次方）种变化。因此，在实际破解尝试中，黑客最多只需试验11000次。可以利用MAC地址和PIN码的对应关系进行尝试，尽量缩短破解时间。

破解PIN码和之前的跑包破解密码不同，跑包破解密码追求速度，但破解PIN码还是需要速度较慢一些，可能一秒钟只能破解1到2个PIN码。原因是由于WPS功能种PIN码的特性，告诉破解PIN码很容易导致将路由器跑死，也可能被无线路由器屏蔽。目前无线路由器的设计者均对WPS功能加入了防暴力破解PIN码的功能，所以，足够慢的速度反而能够提高破解的成功率。破解PIN码是一个很看运气的过程，鉴于无线信号的非可靠特性，以及无线路由器质量的参差不一，PIN码破解成功可能需要多次尝试，只要把握住速度慢、有耐心、多尝试的原则即可。为了安全考虑，用户在实际使用中，请关闭WPS功能。

提示：

在破解PIN码成功后，无线网卡与目标无线路由器连接后，软件能够一并读取目标无线路由器的连接密码。如果需要长期连接一台目标无线路由器，在破解成功后，一定要记住这个PIN码！只要目标无线路由器不关闭WPS功能，即使修改了无线网密码，攻击者也能够利用PIN码方便的再次接入目标的无线网络。利用WPS功能破解无线路由器PIN码在kali下利用reaver和wifite进行PIN码的破解reaver主要步骤：

1. 激活无线网卡至监听模式 airmon-ng start wlan0
2. 探测无线信号 airodump-ng wlan0mon
3. 新建终端窗口，使用reaver破解PIN码 reaver -i wlan0mon -b BBSID -a -S -vv -c 【num】

wifite这款工具，具备破解WEP、WPA/WPA2以及PIN码的多种功能，这款工具的主要特点是批量自动化，但跑包破解单个WEP、WPA/WPA2-PSK这种数据包的效果，可能并不如aircrack-ng套件好用。如果批量破解WPS功能的无线路由器，这款工具是个相对不错的选择。wifite主要步骤：

1. 终端运行wifite，需要监听模式
2. 根据颜色判断信号质量，查看是否开启WPS功能
3. 按Ctrl+C键锁定网络列表，输入目标网络编号