|
在 《 使用 minidwep-gtk 破解 WEP 密码》介绍了如何使用 minidwep-gtk 来破解 WEP 密码,实际上 minidwep-gtk 背后调用的也是 air*-ng 的系列工具,下面演示如何手工使用这系列工具来破解 WEP 密码。
1. 先用 iwconfig 命令查无线网卡的状态:
root@kali:~# iwconfig
wlan0 IEEE 802.11bgn ESSID:"rztec"
Mode:Managed Frequency:2.437 GHz Access Point: C8:E7:D8:00:18:D0
Bit Rate=72.2 Mb/s Tx-Power=20 dBm
Retry short limit:7 RTS thr:off Fragment thr:off
Encryption key:off
Power Management:off
Link Quality=70/70 Signal level=-33 dBm
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:4 Invalid misc:19 Missed beacon:0
lo no wireless extensions.
eth0 no wireless extensions.
2. 将无线网卡设置为监听模式,这道理类似于你以前用的各种嗅探工具来抓取数据包及密码:
# airmon-ng start wlan0
Found 2 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!
PID Name
3361 NetworkManager
3472 wpa_supplicant
Interface Chipset Driver
wlan0 Ralink RT2870/3070 rt2800usb - [phy0]
(monitor mode enabled on mon0)
=======================
由红色高亮行可以看到,新建了一个 mon0 接口,并处于监听模式;用 ifconfig 命令也可以看到该接口。上面的命令输出中还提示了可能引起问题的进程,这个不要紧,无须理会。
在激活了无线网卡并使之处于监听模式后,就可以开始抓包了。抓包命令使用 airodump-ng 。在开始抓包之前,一般要进行一下探测活动,以获得周边无线网络的概况,比如我们可以获得 AP 的 SSID,MAC 地址,工作频道,以及接入某个 AP 的无线客户端的 MAC 地址及数量等。由于我们这里只关心 WEP 保护协议,所以输入下面的命令:
其中 -t 选项后接保护协议类型,如 OPN, WEP, WPA, WPA1, WPA2 等。如下图所示:
由上图可以看到出现了两个 WEP目标,再观察 PWR 一栏,可以看到 ESSID 为 TP-LINK_1ECADE 的信号最强;如果 PWR 的值显示为 -1,那说明网卡驱动没法报告出该信号强度,无须理会。
我们获得了目标的 ESSID 为 TP-LINK_1ECADE, BSSID(MAC) 为 C8:E7:D8:1E:CA:DE ,工作频道为 2, 还有连接到该 AP 的一个客户端 MAC 为 98:6C:F5:0E:6D:B8 。
接下来,就要开始真正的工作了,输入下面的命令:
- airodump-ng --ivs -w mytp -c 2 mon0
复制代码
选项说明如下:
--ivs ,仅保存可用于破解的 IVS 数据报文,设置该过滤条件有助于缩减保存的数据包大小。
-c,设置目标 AP 的工作频道。
-w,要保存的文件名前缀,w 就是 wirte ,即写入之意。需要注意的是,生成的文件不会是 mytp.ivs,而是会加一个编号,如 mytp-01.ivs ,以后再用时,又会自动生成 02 编号的文件名,如 mytp-02.ivs 。
运行该命令的窗口可以不用关闭,通过它可以观察到一些数据的情况。
如果连接该 AP/路由 的无线客户端正在进行大流量的交互,比如下载大文件,观看视频等,那么依靠单纯的抓包就能破解 WEP 密码。但你总不会这么好运,或许他在在线看小说,而且读得很慢,半天都不翻一篇,所以你会等得有些着急。然而,这个工具包里还提供了另外一款辅助工具 aireplay-ng ,它采用了一种称之为 ArpRequest 的方式读取 ARP 请求报文,并伪造报文再次重发出去,以刺激 AP 产生更多的数据包,从而加速破解进程。这种方法就称之为 ArpQuest 注入攻击,输入以下命令开始这种攻击:
- aireplay-ng -3 -b 00:19:E0:D9:C2:E8 -h 98:6C:F5:0E:6D:B8 mon0
复制代码
有时候可能会遇到提示你得加入一个 --ignore-negative-one 的选项,照着添加进去即可:
- aireplay-ng --ignore-negative-one -3 -b 00:19:E0:D9:C2:E8 -h 98:6C:F5:0E:6D:B8 mon0
复制代码
接下来开始等待,此时你回到执行 airodump-ng 的界面查看,会看到 #Data 一栏的数据在快速网上增长,这是好事。一旦成功截获了 ARP 请求报文,那么会看到大量 ARP 报文快速交互的情况,如下图所示:
在抓取的无线数据报文在达到一定数量后,一般情况下 ivs 达到 2 万左右时,就可以开始破解了。如果一时破解不出来,那么就继续等一会,由于该破解方式不是在跑字典,所以不用担心字典跑完了密码还没出现的情况,只要收集的数据包一直往上走,或快或慢,总有到达要求的时候。需要注意的是,在破解生成的 ivs 文件的时候,不需要关闭掉这个注入攻击窗口,而是打开一个 shell 进行同步破解,一时破解不了,那么稍后再继续执行破解命令,如下所示:
。
当破解成功时,会给出结果,如下图所示:
由上图可以看到,该密码是 ABC11 ,使用该密码就可以连接目标 AP 了。由于我在做这个测试时,就将机器丢在一边许久时间,因此捕获到了非常多的 ivs,实际上无需这么多。一般来说,破解 64 位的 WEP 至少需要 1 万以上的 ivs,如果是高强度密码,那么就需要捕获更多,比如 8 万,甚至是十几万。捕获累积 ivs 的过程会比较缓慢,但一旦数量到,那么破解出来也就几秒钟的事情。
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
|