BT3无线密码无线路由破解教程打印版Word格式.docx

1、22:33:44:55 wifi05激活网卡的 Monitor 模式并工作在 11 信道。（加载网卡，激活监听模式，工作在 11 信道）输入 airmon-ng start wifi0 11 也可用 iwconfi wifi0 来查看网卡的工作模式和工作信道。可用 aireplay-ng -9 wifi0 测试注入6输入截取数据包命令（截取 11 信道的 ivs 数据包，并保存名为 name.ivs）输入命令 airodump-ng -ivs -w name -c 11 wifi0 ，（-ivs：仅截取 ivs 数据包，-w：写入文件，-c：截取 ivs 的信道）（其中 name 是获取的 i

2、vs 的保存文件的名字，11 是 channel 值，你根据实际修改）一. 有客户端 WEP 破解1有客户端，且合法客户端产生大量有效的数据，能直接获得大量 IVS。思路：1-6 步同上7直接用 aircrack-ng 破解第七步： aircrack-ng -n 64 -b name-01.ivs2有客户端，合法客户端只能产生少量 ivs 数据，就 需要注入攻击加速产生大量 ivs。只要有少量的数据就可能获得 arp 请求包，则可用 arp 注入模式的-3 模式通过不断向 AP 发送同样的 arp 请求包，来进行注入式攻击。7用 aireplay-ng 的 arp 注入方式获得大量的 ivsa

3、ireplay-ng -3 -b -h wifi0这一步可能时间会长一点，因为需要等到 ARP。3有客户端，但是客户端根本不在通信，不能产生 ARP 包。-3 注入模式不成功 思路：7-0 冲突模式强制断开合法客户端和 ap 连接，使之重新连接8利用-0 冲突模式重新连接所产生的握手数据让-3 获得有效的 ARP 从而完成 ARP 注入第八步：aireplay-ng -0 10 a -c 4有客户端，并且客户端能产生有效 arp 数据的另类破解方式前面的步骤一样：输入 modprobe r iwl3945输入 modprobe ipwraw输入 airmon-ng start wifi0 11

4、现在，只要一个命令就搞定，输入:输入 wesside-ng -i wifi0 -v 01:02:03:04:05:06 （此格式的 AP MAC）。Wesside-ng 这个命令其实就是一个-5 碎片注入，fragmentation 构造注入包，-3arp 注入，最后 PTW 破解这样一个思路。二无客户端开放式 WEP 破解因为是无客户端，所以第一步就需要和 AP 之间建立一个虚拟连接。这是非常关键的一步。为让 AP 接受数据包，必须使自己的网卡和 AP 关联。如果没有关联的话，目标 AP将忽略所有从你网卡发送的数据包，IVS 数据将不会产生。输入 aireplay-ng -1 0 -e -a

5、 如果回显虚拟伪装连接不成功，不能成功的原因很多，具体有如下几种：1、目标 AP 做了 MAC 地址过滤2、你离目标 AP 物理距离太远3、对方使用了 WPA 加密5、网卡、AP 可能不兼容,网卡没有使用和 AP 一样的工作频道 注：遇有不规则的 essid 可用引号将 essid 引起来 比如，jack chen。 虚拟连接不成功可做如1直接将e 这个参数省略掉2降低网卡的速率重新进行连接Iwconfig wifi0 rate 2M参数说明：rate 后面跟连接的速率，可以从小往大设置做尝试连接。后面的单位 M 必须为大写也可以使用命令 tcpdump 来确认网卡是否已经连接到目标 AP 上

6、tcpdump -n -e -s0 -vvv -i wifi01第一种破解方式：1-7 步同上建立虚拟连接后直接用-2 交互攻击模式，这个模式集合了抓包和提取数据，发包注入三种能力。抓包，提数据和发包攻击aireplay-ng -2 -p 0841 -c ff:ff:ff -b 发包成功后可得到足够的 ivs，然后用 aircrack-ng 破解。成功后如上图截获了一个可以直接进行注入的数据包，并回显 Use this packet，按 y 然后开始发包攻击，date 飞快涨。当获得足够的 ivs 以后就可破解了。2第二种破解方式：利用-5 碎片攻击模式获得一个可用的包含密钥是数据文件（xor

7、 文件）第九步：然后通过数据包制造程序 Packetforge-ng 提取 xor 文件中的 PRGA 伪造一个 arp 包，第十步：最后利用交互式攻击模式-2 发包攻击。采用碎片包攻击模式-5，获得一个 PRGA 数据包（xor 文件）。输入 aireplay-ng -5 -b 如顺利，将得到一个可利用的数据包如上图，系统将回显 Use this packet ? 输入 y 回车，将得到一个至关重要的 xor 文件。这一步生成的 xor 文件将被我们用来产生 arp 数据包。再输入 ls 查看当前目录，你将看到刚才生成的一个后缀名为 xor 的文件。用数据包制造程序 packetforge-

8、ng 将上面获得的 PRGA 数据包伪造成可利用的 ARP 注入包。其工作原理就是使目标 AP 重新广播包，当 AP 重广播时，一个新的 IVS 将产生，我们就是利用这个来破解。输入 packetforge-ng -0 -a -k 255.255.255.255 l 255.255.255.255 -yname-xor -w myarp-y （filename）是用来读取 PRGA 的文件-w （filename）将 arp 包写入文件，我用的文件名是 myarp系统回显：Wrote packet to: mrarp采用交互模式-2，发包注入攻击。输入 aireplay-ng -2 r mya

9、rp -x 256 rausb0【-r】：从指定文件中读取 arp 数据包【-x】：定义每秒发送的数据包数量。为避免网卡死机，可选择 256，最高不超过 1024输入 y 回车 攻击开始这时，前面的抓包窗口上的 data 将迅速增加。到数据增加到 1.5 万以上时。第十一步：采用 aircrack-ng 来进行破解3第三种破解方式：利用-4 的 Chopchop 攻击模式获得一个可用的包含密钥数据文件（xor 文件） 第九步：通过数据包制造程序 Packetforge-ng 提取 xor 文件中的 PRGA 伪造一个 arp 包 第十步：采用-4 的 Chopchop 攻击模式获得一个包含密钥

10、数据的 xor 文件输入 aireplay-ng -4 -b -b：设置需要破解的 AP 的 mac-h：设置用于连接的无线网卡的 mac（自己网卡）顺利将得到一个可利用的数据包，按 y 将利用此数据包生产一个 xor 文件如上图所示得到一个名为 replay_dec-0523-075615 的 xor 文件，通过数据包制造程序 Packetforge-ng 提取上面 xor 文件来伪造一个 arp 包如上图，成功生成一个名为 myarp 的可用来注入的 arp 数据包。输入 aireplay-ng -2 -r myarp rausb0发现了可利用的 myarp 的数据包，按 y 后，立刻注入

11、攻击。Date 疯涨注入成功将会获得足够的 ivs 然后直接用 aircrack 进行破解在破解无客户端的时候经常会遇到有些 AP，尝试了各种注入攻击模式都无法成功注入，date 一直为 0。这时候可以根据下面的四种提示做进一步的尝试。1移动无线网卡位置让其获得更好的信号强度；2在注入攻击的过程中尝试多次进行-1 虚拟连接；3在-2 交互模式攻击中加入-F 参数（自动选择获取的数据包进行注入攻击）如下图所示然后你可以一边去做自己的事，等你忙好了回来的时候说不定 date 已经涨到几十万了；4在使用各种注入命令等待获取注入数据包的时候，如果你另外有一台计算机可以让另外一 台计算机连接到你要破解的

12、无线 AP。在连接过程中当提示输入密码的时候，你随便输入一个 什么密码，会出现正在获取 IP 地址。这时候你的注入攻击的页面就会获得一个可用的注入数 据包，从而实现注入攻击。预共享 WEP 破解大家都知道 WEP 加密有两种加密方式开放式和共享式。开放式系统验证和共享密钥验证两种模式中，每个移动客户端都必须针对访问点进行验证。开放式系统验证其实可以称为“无验证”，因为实际上没有进行验 证工作站说“请求验证”，而 AP 也不管是否密钥是否正确，先“答应了再说”，但最终 ap 会验证密钥 是否正确，决定是否允许接入这种验证方式的 ap，往往你随便输入一个密码，都可以连接，但如果密 码不正确，会显示

13、为“受限制”。共享密钥验证稍微强大一些，工作站请求验证，而访问点（AP）用 WEP 加密的质询进行响应。如果工作站的提供的密钥是错误的，则立即拒绝请求。如果工作站有正确的 WEP 密 码，就可以解密该质询，并允许其接入。因此，连接共享密钥系统，如果密钥不正确，通常会立即显示“该 网络不存在等提示”。前提：预共享 WEP 破解必须要有合法无线客户端预共享密钥的 WEP 不能建立-1 虚拟连接，你在建立虚拟连接的时候会有如下提示，见图中红色提示。由于预共享 WEP 加密不能建立虚拟连接，因此预共享 WEP 破解必须是有客户端，无客户端不能进行破解具体破解方式和开放式 WEP 破解的思路是一样的。1

14、 正常激活网卡的监听模式2输入截取数据包命令（截取11 信道的ivs数据包，并保存名为name.ivs）输入命令 airodump-ng -ivs -w name -c 11 wifi0仅截取ivs数据包，-w：截取ivs的信道）（其中 name 是获取的 ivs 的保存文件的名字，11 是 channel 值，你根据实际修改） 如下图所示 STATION 下有一个合法的客户端，AUTH 下显示 SKA 为预共享 WEP 加密方式破解思路一：3用 aireplay-ng 的 arp 注入-h 后面跟合法客户端的 MAC 地址如下图所示成功注入这一步可能时间会长一点，因为需要等到可注入的 ARP

15、。 注入成功将会获得足够的 ivs 然后直接用 aircrack 进行破解破解思路二：3.用-2 交互攻击模式注入破解思路三：以上两步都是基于有客户端并且客户端能产生少量数据的情况，但是有时候 AP 有客户端连接，但是并不在通信不能产生少量可用于注入的数据包。这时候就可以利用-0 冲突模式重新连接所产生的握手数据让-3 的ARP 注入方式或-2 交互注入方式获得有效的可用于注入的 ARP 从而完成注入。 如下图所示当-0 冲突模式攻击成功后，-2 的交互模式立刻获得一个可用的注入包。如下图所示破解思路四：大家看这张图，在建立-1 虚拟连接的时候出现失败的提示You sheould specif

16、y a xor file （-y） with at least 148 keystreambytes提示你建立虚拟连接需要用-y 参数指定一个预共享密钥的握手包。这个握手包的获得和 WPA 中握手包的获得方式是一样的，采用-0 冲突模式，获得一个以 AP MAC 为名的 xor包。然后在-1 建立虚拟连接的时候指定这个包。然后利用-5 碎片攻击模式攻击，packetforge-ng 构造 ARP 注入包，然后-2 注入。从而获得足够的 ivs 用于破解。因为我一执行-0 冲突模式，导致另外系统蓝屏，所以没能获得这个握手包，这部分内容不够详细。等我换了网卡再做测试，如果 OK 我会补充到教程中。

17、WPA 破解详细教程破解 WPA 的前提：必须要有合法无线客户端WPA 破解的原理：利用Deauth验证攻击。也就是说强制让合法无线客户端与AP被断开，当它被从WLAN 中断开后，这个无线 客户端会自动尝试重新连接到AP上，在这个重新连接过程中，数据通信就产生了，然后利用airodump捕获 一个无线路由器与无线客户端四次握手的过程，生成一个包含四次握手的cap包。然后再利用字典进行暴力 破解。1 激活网卡，并让其工作于11信道Airmon-ng start wifi0 112 捕获11信道的cap包，并保存cap包为123.capAirodump-ng w 123 c 11 wifi0上图可

18、以看出采用了WPA加密方式，并且有一个0016b69d10ad合法的无线客户端。3. 进行Deauth验证攻击，强制断开合法无线客户端和AP直接的连接，使其重新进行连接aireplay-ng -0 10 -a 解释：-0指的是采取Deautenticate攻击方式，后面为发送次数。-c建议还是使用，效果会更好，这个后面跟的是监测到的合法的已连接的客户端MAC地址注意上图红色部分，-c后面为合法无线客户端的MAC地址 Deauth攻击往往并不是一次攻击就成功，为确保成功截获需要反复进行（WPA破解不用等到数据Data达到 几万，因为它只要一个包含WPA4次握手验证包就可以了）。如果成功捕获会出现

19、下图红色部分的提示这时如果输入dir就可以在root目录下看到名为123.cap的握手包了。得到握手包以后就可以用字典直接破解 首先将在windows下用字典工具生成的字典（例password.txt）拷贝到root目录下 在BT3桌面双击system然后出现下图。图中左边红色就为root目录，图中红色存储介质双击打开以后就看到你的每个硬盘的分区了。可以进入硬盘分区右键拷贝，然后进入root目录右键粘贴。如下图红色部分目前 WPA 的破解主要还是基于暴力破解和字典破解，暴力破解和字典破解的一个共性就是“耗时、费力、运气”所以往往有时候你花了很多时间但还是破不了，这时候希望大家还是要接受这样一个

20、残酷的现实。破解方式一：用 Cap 数据包直接暴力破解从破解难度上讲 WEP 是很容易破解的，只要你收集足够的 Cap 数据包就肯定可以破解。WPA 的破解需要有好的密码字典配合才能完成，复杂的 WPA 密码可能几个月也破解不出来。输入：aircrack-ng -z b 123*.cap123 是前面所获得的握手包的文件名。系统会自动在你输入的文件名后加上-01、-02（如果数据包太多，系统会自动分成几个文件存储并自动命名，可以使用 ls 查看），输入 123*是打开所有 123 相关的 cap 文件。常见问题：步骤 2 中收集数据包已达 30W，无法破解密码。可能系统自动分成了几个文件贮存

21、cap 包。 如输入 123-01.cap 破解可能导致破解不成功，建议使用 123*.cap 选择所有的 cap 包进行破解。破解方式二. 挂字典破解一直接在 BT3 中挂字典破解aircrack-ng w password.txt b 123.cappasswrod.txt为字典名称 123.cap为步骤2中获得的握手信息包耗时1分31秒获得WPA密码，如下图从上图可以看出破解用时1分31秒，速度149.91K/S本教程只为了描述破解的过程。我是做了个256K的小字典，事先把密码已经加到字典里了。二也可以把包含 4 次握手的 CAP 数据包拷贝到硬盘下在 WIN 下用 WinAircrac

22、k 挂字典破解。如上图 Encryption type处选择WPA-PSK，下面capture files处导入抓取的握手包123.cap然后选择WPA选项，如下图在上图中Dictionary file处导入字典文件password.txt。然后点击右下角的Aircrack the key然后出现下图提示上图，选择1后回车，然后开始破解。成功破解如下图从上图可以看出破解用时54秒，速度251.73K/S（比BT3下要快）三通过airolib构建WPA table实现WPA线速破解WPA的字典破解除了直接挂字典破解外，另外一种就是用airolib将字典构造成WPA table然后再用aircra

23、c进行破解。构建WPA table就是采用和WPA加密采用同样算法计算后生成的Hash 散列数值，这样在需要破解的时候直 接调用这样的文件进行比对，破解效率就可以大幅提高。先讲通过airolib构建WPA tableWPA table具有较强的针对ssid的特性。1. 在构建WPA table之前需要准备两个文件：一个是ssid列表的文件ssid.txt，一个是字典文件password.txt。下图为我的文件大家可以看到两个txt的文件，ssid记事本里是ssid的列表，你可以增加常见的ssid进去，后面的passwrod就是字典文件了。2. 把这ssid.txt和password.txt还有

24、上面抓到的握手包123.cap这三个文件拷贝到root目录下方便使用。见下图3.开始利用airolib-ng来构建WPA table了。构建wpa table保存的名字为wpahash（下同）第一步，如下图airolib-ng wpa -import essid ssid.txt第二步，如下图airolib-ng wpa -import passwd password.txt第三步，如下图airolib-ng wpa -clean all第四步，如下图airolib-ng wpa -batch这一步要等很久（视字典大小而定，我256K的字典等了有15分钟）4. 用aircrack来利用WPA

25、table进行破解Aircrack-ng r wpahash 123.cap选择1以后将开始破解。成功破解将如下图所示从上图中可以看出耗时00:00:00反正不超过1秒钟，速度42250.00K/S大家也看到了三种破解方式，直接挂字典中在win下用WinAircrack破解是速度比在BT3下要快。直接挂字典 破解不超过1分钟就破出了密码；利用WPA table破解速度虽然不到一秒，但是构建WPA table却耗费了15分 钟。构建WPA table是很耗时的，但是构建出了包括常见ssid的和相对较大字典的WPA table的话，以后破 解的速度将大大降低。当然没有万能的字典，如果有万能的字典，再构建出一个常见ssid的WPA table的话 那这个预运算数据库是超级超级庞大的。WIN平台下的CAIN软件中的破解器也可用于WEP和WPA的基于暴力和字典的破解，但是其破解速度很慢，相比aircrack-ng而言不具实用价值。Aireplay-ng 的 6 种攻击模式详解-0 Deautenticate 冲突模式使已经连接的合法客户端强制断开与路由端的连接，使其重新连接。在重新连