pin码破解wpa
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
WPA-PSK无线网络破解原理及过程 shentouceshi2015-02-05金币奖励+13共2024898人围观 ,发现 45 个不明物体 无线安全网络安全
本文将主要讲讲WPA-PSK类型的无线网络安全问题,首先我们看下802.11协议相关的基础知识。
802.11常见的几种认证方式:
1、不启用安全
2、WEP
3、WPA/WPA2-PSK(预共享密钥)
4、WPA/WPA2 802.1X (radius认证)
具体在路由器的配置界面一般如下图所示:
AAAAAAAAAAAAAA.png
WPA-PSK的认证过程:
由于我这里主要分析wpa-psk类型的认证方式,所以这里就不讨论其他的认证方式了,通过抓包分析,我们可以看到wpa-psk的大致认证过程分为以下几步。
AAAAAAAAAAAAAA.png
1、无线AP定期发送beacon数据包,使无线终端更新自己的无线网络列表。
2、无线终端在每个信道(1-13)广播ProbeRequest(非隐藏类型的WiFi含ESSID,隐藏类型的WiFi不含ESSID)。
3、每个信道的AP回应,ProbeResponse,包含ESSID,及RSN信息。
4、无线终端给目标AP发送AUTH包。AUTH认证类型有两种,0为开放式、1为共享式(WPA/WPA2必须是开放式)。
5、AP回应网卡AUTH包。
6、无线终端给AP发送关联请求包associationrequest数据包。
7、AP给无线终端发送关联响应包associationresponse数据包。
8、EAPOL四次握手进行认证(握手包是破解的关键)。
9、完成认证可以上网。
802.11数据帧类型说明
802.11协议的帧类型主要包括管理帧和数据帧,我们这里主要用到管理帧:
管理帧的主体包含的固定字段与信息元素是用来运送信息的。管理帧主要以下几种,负责链路层的各种维护功能。
1. Beacon 信标帧
主要用来声明某个网络的存在。定期(默认100s、可自己设置)传送的信标可让station得知网络的存在,从而调整加入该网络所必需的参数。
2. Probe Request 探查请求帧
移动工作站利用Probe Request探查请求帧来扫描区域内目前哪些802.11网络。
包含2个字段
SSID:可被设定为特定网络的 SSID 或任何网络的 SSID 。
Support rates:移动工作站所支持的速率。
3.ProbeResponse探查响应帧
如果ProbeRequest所探查的网络与之兼容,该网络就会以ProbeResponse帧响应。送出最后一个beacon帧的工作站必须负责响应所收到的探查信息。
Probe Request帧中包含了beacon帧的所参数,station可根据它调整加入网络所需要的参数。
4.IBSS announcement traffic indication map (ATIM)
IBSS 的通知传输只是消息
5.Disassociation and Deauthentication
取消关联、解除验证帧
6. AssociationRequest
关联请求帧
7.Reassociation Request
重新关联
8.Association Response and Reassociation Response
关联响应、重新关联响应
9.Authentication
身份验证帧 ///Authentication Algorithm Number:用于算法择
10.Action frame
帧传送、关联与身份验证的状态
State1 :未经认证且尚未关联 2 :已经认证但尚未关联 3 :已经认证且已经关联。
下图是用科来分析数据包显示的帧类型:
AAAAAAAAAAAAAA.png
WPA-PSK认证四次握手认证的过程:
AAAAAAAAAAAAAA.png
WPA-PSK破解原理:
用我们字典中的PSK+ssid先生成PMK(此步最耗时,是目前破解的瓶颈所在),然后结合握手包中的客户端MAC,AP的BSSID,A-NONCE,S-NONCE计算PTK,再加上原始的报文数据算出MIC并与AP发送的MIC比较,如果一致,那么该PSK就是密钥。如图所示:
AAAAAAAAAAAAAA.png
WPA-PSK破解过程:
接下来我们看看如何进行抓握手包破解WPA-PSK的无线AP,我这里用的工具是kali Linux,kali Linux集成了aircrack套件。然后网卡使用的是rtl8187芯片的外置USB网卡。
破解步骤如下:
第一步:把usb网卡插入虚拟机,并开启网卡到监听模式,命令如下:
“ifconfig wlan0 up” 加载usb网卡。
“airmon-ng start wlan0” 监听模式已激活到mon0。(通过config 命令查看)。
如果不开启监听模式会报错如下图:
AAAAAAAAAAAAAA.png
第二步:抓包查看有哪些无线网络,抓包的界面如下图所示:
“airodump-ng mon0” 查看周边路由AP的信息。
个人经验一般信号强度大于-70的可以进行破解,大于-60就最好了,小于-70的不稳定,信号比较弱。(信号强度的绝对值越小表示信号越强)
AAAAAAAAAAAAAA.pngAAAAAAAAAAAAAA.png
AAAAAAAAAAAAAA.png
第三步:选择要破解的WiFi,有针对性的进行抓握手包,命令如下:
“ airodump-ng--ignore-negative-one -w /tmp/test.cap-c 11 --bssid 40:16:9F:76:E7:DE mon0”
参数说明:-w 保存数据包的文件名 –c 信道 –bssid ap的mac地址
(注意test.cap会被重命名),也可以用其他工具抓包比如:wireshark、tcpdump,抓到握手包会有提示。
第四步:为了顺利抓到握手包,我们需要使用DEAUTH攻击使已经连接的客户端断开并重新连接,以产生握手包。(注意:抓握手包破解必须有合法的客户端才行。)攻击命令如下:
aireplay-ng-0 111 -a ap'mac mon1
aireplay-ng-0 3 -a B8:A3:86:63:B4:06 -c 00:18:1a:10:da:c9 -x 200 mon1
参数说明:-0 Deautenticate 冲突模式 3 发包次数 -x 发包速度
AAAAAAAAAAAAAA.png
抓包可以看到很多deauthentication类型的数据包:
AAAAAAAAAAAAAA.png
包结构如下:
AAAAAAAAAAAAAA.png
抓到的数据包打开后如下图:图中使用wireshark打开的,EAPOL类型的数据包共有4个,即四次握手的数据包。
AAAAAAAAAAAAAA.png
第五步:接下来就是破解握手包,命令如下:
aircrack-ng-w pass-haoyong.txt test-03.cap
参数解释:-w 字典路径
AAAAAAAAAAAAAA.png
也可以使用图形化工具EWSA进行破解,Elcomsoft Wireless Security Auditor(EWSA)
号称可以利用GPU的运算性能快速攻破无线网络密码,运算速度相比使用CPU可提高最多上百倍。
AAAAAAAAAAAAAA.png
上面我们讲解了通过抓握手包破解WPA-PSK认证的无线AP的全过程,从上述过程可以看出,如果AP没有合法的客户端连接,或者密码设置的足够复杂就基本上不可能破解。
通过WPS破解无线路由器密码
接下来我们看一下另一种破解方式,也就是常说的pin码破解后者叫wps破解。首先了解下什么是wps:
WPS(Wi-FiProtected Setup,Wi-Fi保护设置)是由Wi-Fi联盟组织实施的认证项目,主要致力于简化无线网络的安全加密设置。
功能:
简化配置,快速配置一个基于WPA2的网络。
快速连接,输入pin码或按下WPS键即可完成网络连接。
问题:
由于WPS存在漏洞,通过PIN码可以直接提取上网密码。
通过WPS快速配置无线路由器
我们可以通过WPS快速配置无线路由器:步骤如下
1、通过电脑连接新买的无线路由器,提示通过pin码进行设置,界面如下:
AAAAAAAAAAAAAA.png
2、输入pin码下一步,就会为路由器自动生成一个足够复杂的认证方式及密码:
AAAAAAAAAAAAAA.png
AAAAAAAAAAAAAA.png
通过WPS快速连接已有网络
我们也可以通过WPS快速连接已有网络,不用输入复杂的密码:步骤如下(我使用小米手机进行测试)
1、在手机上选择通过PIN码进行连接或通过路由器上的WPS按键连接。
2、如果选择前者只需要输入pin码即可连接,如果选择的是后者则只需要按以下路由器上的wps键即可完成连接。
AAAAAAAAAAAAAA.png
Pin码破解的原理:
由于WPS存在安全问题,通过PIN码可以直接提取上网密码。而pin码是一个8位的整数,破解过程时间比较短。WPS PIN码的第8位数是一个校验和,因此黑客只需计算前7位数。另外前7位中的前四位和后三位分开认证。所以破解pin码最多只需要1.1万次尝试,顺利的情况下在3小时左右。Wps认证流程如下图:
AAAAAAAAAAAAAA.png
破解的操作步骤:
第一步:Wash 扫描开启WPS的网络。
wash-i mon1 –C
AAAAAAAAAAAAAA.png
第二步:穷举破解pin码,并通过获取的pin码得到无线AP上网密码。
reaver-i mon0 -b 5C:63:BF:BA:44:DC -a -S -vv
reaver参数说明:
1. -i 监听后接口称号
2. -b APmac地址
3. -a 主动检测AP最佳配置
4. -S 利用最小的DH key(能够进步PJ速度)
5. -v、-vv 显示更多的破解信息
6. -d 即delay每穷举一次的闲置时候预设为1秒
7. -t 即timeout每次穷举守候反应的最长时候
8. -c指定频道能够便当找到信号,如-c1 指定1频道
AAAAAAAAAAAAAA.png
如果无线路由器没开wps功能会报错如下图:
AAAAAAAAAAAAAA.png
另外破解过程中无线路由器会有如下特征:
AAAAAAAAAAAAAA.png
破解成功后如下:
AAAAAAAAAAAAAA.png
如果之前破解的无线路由器密码被改了,可以直接通过pin码获取密码,命令如下:
reaver-i mon0 -b MAC -p PIN8位数
AAAAAAAAAAAAAA.png
上面就是通过pin码破解无线路由器密码的全过程,可见开启wps功能并不安全,建议最好不要开此功能。
最后介绍几个图形界面的工具:
常用的图形界面的工具有水滴、打气筒、奶瓶:
这些工具只是将Aircrack-ng、 reaver打包图形化,即为Aircrack-ng套件的GUI。
1. Aircrack-ng是一个与802.11标准的无线网络分析关的安全软件,主要功能:网络侦测,数据包嗅探,WEP和WPA/WPA2-PSKPJ。
2. reaver,专用来pin PJ的软件、一般都集成在水滴等里面了。
3. 另外我们常用的注:beini/CDlinux/xiaopan都是小型linux系统,已集成了上述工具。下图为水滴的界面。
AAAAAAAAAAAAAA.png
安全建议:
1. 使用WPA2认证,不要使用wep或无认证。
2. 为无线网路设置复杂的密码。
3. 关闭WPS功能。
[作者/shentouceshi,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]
shentouceshi
shentouceshi
3 篇文章
等级: 4级
||
上一篇:使用Kali Linux在渗透测试中信息收集下一篇:暗网搜索引擎Memex:美帝最新制造的犯罪追踪神器(含视频)
这些评论亮了
夜尽天明 (6级)千秋邈矣独留我,百战归来再读书回复
我从来没能在3小时左右pin出密码的,,要么路由器被pin死,要么路由器有60秒防护的 
)34(亮了
Halry 回复
Beacon时间错了,是100ms,不是100s
)9(亮了
发表评论已有 45 条评论
Halry 2015-02-05回复 1楼
Beacon时间错了,是100ms,不是100s
亮了(9)
init5 认证作者(3级) 招商银行安全员 2015-02-05回复 2楼
大神你好@
亮了(4)
root_ (1级) 2015-02-05回复 3楼
学习了
亮了(3)
很好 2015-02-05回复 4楼
不错不错
亮了(2)
godrolus (1级) 2015-02-05回复 5楼
算是千篇一律中归纳的比较详细的了
亮了(5)
daker (2级) 像草一样活着,不能自拔 2015-02-05回复 6楼
我看行,虽然装逼安了kaili,还是习惯的get了minidwep,命令行用的太少!
亮了(5)
zero123 (1级) 2015-02-05回复 7楼
那些方块是什么鬼,乱码??
亮了(1)
fsd010 (1级) 2015-02-05回复
@ zero123 楼主的密码
亮了(1)
︻$▅▆▇◤ (1级) 2015-02-05回复 8楼
讲的非常详细。
亮了(1)
xiaoning 2017-03-16回复
@ ︻$▅▆▇◤ RTL8187L这个推荐个好用的网址我买学习下
亮了(0)
图图 (1级) 2015-02-05回复 9楼
@daker 再同意不过了!!!
亮了(1)
shfu 2015-02-05回复 10楼
我累个去。。。。这种文章网上遍地都是的,还发出来。
亮了(1)
Machete (1级) 2015-02-05回复 11楼
wish 和-i要分开来
亮了(2)
Hi2vd (4级) 某甲方乙方最讨厌的人······ 2015-02-05回复 12楼
只为了留下这十五个字你看可行?
亮了(1)
夜尽天明 (6级) 千秋邈矣独留我,百战归来再读书 2015-02-05回复 13楼
我从来没能在3小时左右pin出密码的,,要么路由器被pin死,要么路由器有60秒防护的
亮了(34)
MBA (1级) 2015-02-05回复 14楼
大神,你好,把你网卡型号贴出来,,
亮了(1)
Chein (1级) 2015-02-05回复 15楼
学习了啊哈
亮了(1)
Zhanghe (1级) 2015-02-05回复 16楼
哇擦看不懂
亮了(1)
Angus (5级) AMD®Zen.Team.com.org.cn.net/lo... 2015-02-05回复 17楼
用2个系统?WIN还是Linux?
亮了(1)
极雪 2015-02-05回复 18楼
扯这么多干嘛,我这里一堆密码要么是12345678要么是87654321要么是88888888 
亮了(1)
newday 2015-02-07回复
哪里可能还到处是这种密码。就算这种密码多,楼主说的也具有方法论的意义。
亮了(1)
Tender (2级) 2015-02-05回复 19楼
怎么破都依依赖字典。
亮了(3)
XiaoLiu (1级) 2015-02-05回复 20楼
我家河蟹分分钟的事~
亮了(1)
9733983833 (1级) 2015-02-05回复 21楼
学习了
亮了(1)
啊啊啊 2015-02-06回复 22楼
wps可破解貌似必须是n协议其他协议是一次校检8位的,只有802.11n才会先校检前4位
亮了(2)
YMSZ (2级) 2015-02-06回复 23楼
遇到金刚包,就算好字典和显卡也难破
亮了(1)
虾米 2015-02-07回复
@ YMSZ 淘宝20元 搞定金刚包
亮了(1)
lnterface (2级) 2015-02-06回复 24楼
现在的人都用自动化工具了,温习一下命令行
亮了(1)
小包菜 (1级) 2015-02-07回复 25楼
请问用什么无线网卡,在虚拟机里?
亮了(3)
默默点个赞 2015-02-08回复 26楼
不知道作者前期准备工作对环境准备的步骤。比如网卡。还有一些兼容或者其他报错问题
亮了(2)
ger 2015-02-09回复 27楼
跑包软件wifipr会更快
亮了(1)
Angel Beats (1级) 2015-02-15回复 28楼
看看
亮了(2)
davie80 (3级) 2015-02-21回复 29楼
just have a look
亮了(2)
我称心 2015-03-31回复 30楼
晚上破解自己家的试试。
亮了(1)
子系口佳一 2015-03-31回复 31楼
就是不用密码了嘛?
亮了(1)
_Silvers 2015-03-31回复 32楼
转发微博
亮了(1)
菜菜哪里走 2015-03-31回复 33楼
工具怎么没有提到BT4?
亮了(1)
yiran4827 (5级) 姿势可以不猥琐,人一定要猥琐 2015-04-12回复 34楼
fan zong wei wu
亮了(1)
我秤心 2015-02-05回复 35楼
晚上破解自己家的试试。
亮了(1)
alt3 (1级) 2015-07-31回复 36楼
牛叉,学着试试
亮了(1)
playboysnow 2015-08-27回复 37楼
要有个好的字典
亮了(4)
范慧慧 (1级) 2015-09-02回复 38楼
厉害啦。~~
亮了(1)
你大叔 2016-05-21回复
@ 范慧慧 妹子你好。约嘛。
亮了(1)
流言 (1级) 2018-01-15回复 39楼
我家WiFi密码是
0.0 0.0 0.0
… … …
亮了(0)
流言 (1级) 2018-01-15回复 40楼
支持,不过负数越小 信号越强
亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆?注册邮箱
请输入邮箱地址
必须(保密)表情插图
有人回复时邮件通知我
shentouceshi
shentouceshi
http://www.cnblogs.com/SEC-fsq/
3
文章数
98
评论数
最近文章
小米范系列渗透测试工具介绍
2016.07.28
BWAPP:一款非常好用的漏洞演示平台
2015.09.05
WPA-PSK无线网络破解原理及过程
2015.02.05
浏览更多
相关阅读
从某云服务商溯源黑客老巢:实例讲解Botnet僵尸网络和DDoS利用企业邮件系统构造命令控制(C&C)和数据窃取(Exfiltration)通道的思路探讨解码针对工业工程领域的网络攻击 Operation Ghoul(食尸鬼行动)BCTF解题报告怎样解释OSX 10.8和iOS 6系统应用崩溃漏洞的原因?
特别推荐
关注我们 分享每日精选文章
活动预告
11月
FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月
【16课时-连载中】挖掘CVE不是梦(系列课程2)
已结束
10月
【首节课仅需1元】挖掘CVE不是梦
已结束
9月
【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank
文章评论