1、Aircrack-ng 是一款用于破解无线 802.11WEP 及 WPA-PSK 加密其实关于无线基础知识的内容还是挺多的,但是由于本书侧重于 BT4 自身工具使用的讲解,若是再仔细讲述这些外围的知识,这就好比讲述 DNS 工具时还要把 DNS 服务器的类型、工作原理及配置讲述一遍一样,哈哈,估计整本书的厚度就需要再翻一、两倍了。恩,关于无线网络基础知识建议大家可以参考我之前在黑手这里出版的无线黑客傻瓜书一书,会很有帮助。恩,先说明一下,本章的内容适用于目前市面所有主流品牌无线路由器或 AP 如Linksys、Dlink、TPLink、BelKin 等。涉及内容包括了 WEP 加密及 WPA
2、-PSK 加密的无线网络的破解操作实战。什么是 Aircrack-ngAircrack-ng 是一款用于破解无线 802.11WEP 及 WPA-PSK 加密的工具,该工具在 2005年 11 月之前名字是 Aircrack,在其 2.41 版本之后才改名为 Aircrack-ng。Aircrack-ng 主要使用了两种攻击方式进行 WEP 破解:一种是 FMS 攻击,该攻击方式是以发现该 WEP 漏洞的研究人员名字(Scott Fluhrer、Itsik Mantin 及 Adi Shamir)所命名;另一种是 KoreK 攻击,经统计,该攻击方式的攻击效率要远高于 FMS 攻击。当然,最新
3、的版本又集成了更多种类型的攻击方式。对于无线黑客而言,Aircrack-ng 是一款必不可缺的无线攻击工具,可以说很大一部分无线攻击都依赖于它来完成;而对于无线安全人员而言,Aircrack-ng 也是一款必备的无线安全检测工具,它可以帮助管理员进行无线网络密码的脆弱性检查及了解无线网络信号的分布情况,非常适合对企业进行无线安全审计时使用。Aircrack-ng(注意大小写)是一个包含了多款工具的无线攻击审计套装,这里面很多工具在后面的内容中都会用到,具体见下表 1 为 Aircrack-ng 包含的组件具体列表。表 1组件名称 描 述aircrack-ng 主要用于 WEP 及 WPA-PS
4、K 密码的恢复,只要 airodump-ng 收集到足够数量的数据包,aircrack-ng 就可以自动检测数据包并判断是否可以破解airmon-ng 用于改变无线网卡工作模式,以便其他工具的顺利使用airodump-ng 用于捕获 802.11 数据报文,以便于 aircrack-ng 破解aireplay-ng 在进行 WEP 及 WPA-PSK 密码恢复时,可以根据需要创建特殊的无线网络数据报文及流量airserv-ng 可以将无线网卡连接至某一特定端口,为攻击时灵活调用做准备airolib-ng 进行 WPA Rainbow Table 攻击时使用,用于建立特定数据库文件airdeca
5、p-ng 用于解开处于加密状态的数据包tools 其他用于辅助的工具,如 airdriver-ng、packetforge-ng 等Aircrack-ng 在 BackTrack4 R2 下已经内置( 下载 BackTrack4 R2),具体调用方法如下图 2 所示:通过依次选择菜单中“Backtrack”“Radio Network Analysis” “80211”“Cracking”“Aircrack-ng ”,即可打开 Aircrack-ng 的主程序界面。也可以直接打开一个Shell,在里面直接输入 aircrack-ng 命令回车也能看到 aircrack-ng 的使用参数帮助。图
6、 2使用 Aircrack-ng 破解 WEP 加密无线网络首先讲述破解采用 WEP 加密内容,启用此类型加密的无线网络往往已被列出严重不安全的网络环境之一。而 Aircrack-ng 正是破解此类加密的强力武器中的首选,关于使用 Aircrack-ng套装破解 WEP 加密的具体步骤如下。步骤 1:载入无线网卡。其实很多新人们老是在开始载入网卡的时候出现一些疑惑,所以我们就把这个基本的操作仔细看看。首先查看当前已经载入的网卡有哪些,输入命令如下:ifconfig回车后可以看到如下图 3 所示内容,我们可以看到这里面除了 eth0 之外,并没有无线网卡。图 3确保已经正确插入 USB 或者 P
7、CMCIA 型无线网卡,此时,为了查看无线网卡是否已经正确连接至系统,应输入:ifconfig -a 参数解释:-a 显示主机所有网络接口的情况。和单纯的 ifconfig 命令不同,加上 -a 参数后可以看到所有连接至当前系统网络接口的适配器。如下图 4 所示,我们可以看到和上图 3 相比,出现了名为 wlan0 的无线网卡,这说明无线网卡已经被 BackTrack4 R2 Linux 识别。图 4既然已经识别出来了,那么接下来就可以激活无线网卡了。说明一下,无论是有线还是无线网络适配器,都需要激活,否则是无法使用滴。这步就相当于 Windows 下将“本地连接”启用一样,不启用的连接是无法
8、使用的。在上图 4 中可以看到,出现了名为 wlan0 的无线网卡,OK,下面输入:ifconfig wlan0 up 参数解释:up 用于加载网卡的,这里我们来将已经插入到笔记本的无线网卡载入驱动。在载入完毕后,我们可以再次使用 ifconfig 进行确认。如下图 5 所示,此时,系统已经正确识别出无线网卡了。图 5当然,通过输入 iwconfig 查看也是可以滴。这个命令专用于查看无线网卡,不像 ifconfig 那样查看所有适配器。iwconfig 该命令在 Linux 下用于查看有无无线网卡以及当前无线网卡状态。如下图 6 所示。图 6步骤 2:激活无线网卡至 monitor 即监听模
9、式。对于很多小黑来说,应该都用过各式各样的嗅探工具来抓取密码之类的数据报文。那么,大家也都知道,用于嗅探的网卡是一定要处于 monitor 监听模式地。对于无线网络的嗅探也是一样。在 Linux 下,我们使用 Aircrack-ng 套装里的 airmon-ng 工具来实现,具体命令如下:airmon-ng start wlan0 参数解释:start 后跟无线网卡设备名称,此处参考前面 ifconfig 显示的无线网卡名称;如下图 7 所示,我们可以看到无线网卡的芯片及驱动类型,在 Chipset 芯片类型上标明是Ralink 2573 芯片,默认驱动为 rt73usb,显示为“monito
10、r mode enabled on mon0”,即已启动监听模式,监听模式下适配器名称变更为 mon0。图 7步骤 3:探测无线网络,抓取无线数据包。在激活无线网卡后,我们就可以开启无线数据包抓包工具了,这里我们使用 Aircrack-ng 套装里的 airmon-ng 工具来实现,具体命令如下:不过在正式抓包之前,一般都是先进行预来探测,来获取当前无线网络概况,包括 AP 的SSID、MAC 地址、工作频道、无线客户端 MAC 及数量等。只需打开一个 Shell,输入具体命令如下:airodump-ng mon0 参数解释:mon0 为之前已经载入并激活监听模式的无线网卡。如下图 8 所示。
11、图 8回车后,就能看到类似于下图 9 所示,这里我们就直接锁定目标是 SSID 为“TP-LINK”的AP,其 BSSID(MAC)为“00:19:E0:EB:33:66”,工作频道为 6,已连接的无线客户端 MAC 为“00 :1F:38 :C9:71:71” 。图 9既然我们看到了本次测试要攻击的目标,就是那个 SSID 名为 TP-LINK 的无线路由器,接下来输入命令如下:airodump-ng -ivs w longas -c 6 wlan0 参数解释:-ivs 这里的设置是通过设置过滤,不再将所有无线数据保存,而只是保存可用于破解的 IVS数据报文,这样可以有效地缩减保存的数据包大
12、小;-c 这里我们设置目标 AP 的工作频道,通过刚才的观察,我们要进行攻击测试的无线路由器工作频道为 6;-w 后跟要保存的文件名,这里 w 就是“write 写”的意思,所以输入自己希望保持的文件名,如下图 10 所示我这里就写为 longas。那么,小黑们一定要注意的是:这里我们虽然设置保存的文件名是 longas,但是生成的文件却不是 longase.ivs,而是 longas-01.ivs。图 10注意:这是因为 airodump-ng 这款工具为了方便后面破解时候的调用,所以对保存文件按顺序编了号,于是就多了-01 这样的序号,以此类推,在进行第二次攻击时,若使用同样文件名 lon
13、gas 保存的话,就会生成名为 longas-02.ivs 的文件,一定要注意哦,别到时候找不到又要怪我没写清楚:)啊,估计有的朋友们看到这里,又会问在破解的时候可不可以将这些捕获的数据包一起使用呢,当然可以,届时只要在载入文件时使用 longas*.cap 即可,这里的星号指代所有前缀一致的文件。在回车后,就可以看到如下图 11 所示的界面,这表示着无线数据包抓取的开始。图 11步骤 4:对目标 AP 使用 ArpRequest 注入攻击若连接着该无线路由器/AP 的无线客户端正在进行大流量的交互,比如使用迅雷、电骡进行大文件下载等,则可以依靠单纯的抓包就可以破解出 WEP 密码。但是无线黑
14、客们觉得这样的等待有时候过于漫长,于是就采用了一种称之为“ARP Request”的方式来读取 ARP 请求报文,并伪造报文再次重发出去,以便刺激 AP 产生更多的数据包,从而加快破解过程,这种方法就称之为 ArpRequest 注入攻击。具体输入命令如下:aireplay-ng -3 -b AP 的 mac -h 客户端的 mac mon0 参数解释:-3 指采用 ARPRequesr 注入攻击模式;-b 后跟 AP 的 MAC 地址,这里就是前面我们探测到的 SSID 为 TPLINK 的 AP 的 MAC;-h 后跟客户端的 MAC 地址,也就是我们前面探测到的有效无线客户端的 MAC;
15、最后跟上无线网卡的名称,这里就是 mon0 啦。回车后将会看到如下图 12 所示的读取无线数据报文,从中获取 ARP 报文的情况出现。图 12在等待片刻之后,一旦成功截获到 ARP 请求报文,我们将会看到如下图 13 所示的大量 ARP报文快速交互的情况出现。图 13此时回到 airodump-ng 的界面查看,在下图 14 中我们可以看到,作为 TP-LINK 的 packets栏的数字在飞速递增。图 14步骤 5:打开 aircrack-ng,开始破解 WEP。在抓取的无线数据报文达到了一定数量后,一般都是指 IVs 值达到 2 万以上时,就可以开始破解,若不能成功就等待数据报文的继续抓取
16、然后多试几次。注意,此处不需要将进行注入攻击的 Shell 关闭,而是另外开一个 Shell 进行同步破解。输入命令如下:aircrack-ng 捕获的 ivs 文件 关于 IVs 的值数量,我们可以从如下图 15 所示的界面中看到,当前已经接受到的 IVs 已经达到了 1 万 5 千以上, aircrack-ng 已经尝试了 41 万个组合。图 15那么经过很短时间的破解后,就可以看到如下图 16 中出现“KEY FOUND”的提示,紧跟后面的是 16 进制形式,再后面的 ASCII 部分就是密码啦,此时便可以使用该密码来连接目标 AP了。 一般来说,破解 64 位的 WEP 至少需要 1
17、万 IVs 以上,但若是要确保破解的成功,应捕获尽可能多的 IVs 数据。比如下图 16 所示的高强度复杂密码破解成功依赖于 8 万多捕获的IVs。图 16注意:由于是对指定无线频道的数据包捕获,所以有的时候大家会看到如下图 17 中一样的情景,在破解的时候出现了多达 4 个 AP 的数据报文,这是由于这些 AP 都工作在一个频道所致,很常见的。此时,选择我们的目标,即标为 1 的、SSID 位 dlink 的那个数据包即可,输入 1,回车后即可开始破解。图 17看到这里,可能有的朋友会说,这些都是弱密码(就是过于简单的密码),所以才这么容易破解,大不了我用更复杂点的密码总可以了吧,比如#87
18、G 之类的,即使是采用更为复杂的密码,这样真的就安全了吗?嘿嘿,那就看看下图 18 中显示的密码吧:)图 18正如你所看到的,在上图 18 中白框处破解出来的密码已经是足够复杂的密码了吧?我们放大看一看,如下图 19 所示,这样采用了大写字母、小写字母、数字和特殊符号的长达 13 位的WEP 密码,在获得了足够多的 IVs 后,破解出来只花费了约 4 秒钟!图 19现在,你还认为自己的无线网络安全么?哈,这还只是个开始,我们接着往下看。补充一下:若希望捕获数据包时,能够不但是捕获包括 IVS 的内容,而是捕获所有的无线数据包,也可以在事后分析,那么可以使用如下命令:airodump-ng w
19、longas -c 6 wlan0 就是说,不再-ivs 过滤,而是全部捕获,这样的话,捕获的数据包将不再是 longas-01.ivs,而是 longas-01.cap,请大家注意。命令如下图 20 所示。图 20同样地,在破解的时候,对象也变成了 longas-*.cap。命令如下:aircrack-ng 捕获的 cap 文件 回车后如下图 21 所示,一样破解出了密码。图 21可能有的朋友又要问,ivs 和 cap 直接的区别到底在哪儿呢?其实很简单,若只是为了破解的话,建议保存为 ivs,优点是生成文件小且效率高。若是为了破解后同时来对捕获的无线数据包分析的话,就选为 cap,这样就能
20、及时作出分析,比如内网 IP 地址、密码等,当然,缺点就是文件会比较大,若是在一个复杂无线网络环境的话,短短 20 分钟,也有可能使得捕获的数据包大小超过 200MB。如下图 22 所示,我们使用 du 命令来比较上面破解所捕获的文件大小。可以看到,longas-01.ivs 只有 3088KB,也就算是 3MB,但是 longas-02.cap 则达到了 22728KB,达到了20MB 左右!图 22使用 Aircrack-ng 破解 WPA-PSK 加密无线网络结合上小节的内容,下面继续是以 BackTrack4 R2 Linux 为环境,讲述破解 WPA-PSK 加密无线网络的具体步骤,
21、详细如下。步骤 1:升级 Aircrack-ng。前面在第一章 1.3 节我们已经讲述了升级 Aircrack-ng 套装的详细步骤,这里也是一样,若条件允许,应将 Aircrack-ng 升级到最新的 Aircrack-ng 1.1 版。由于前面我已经给出了详细的步骤,这里就不再重复。除此之外,为了更好地识别出无线网络设备及环境,最好对 airodump-ng 的 OUI 库进行升级,先进入到 Aircrack-ng 的安装目录下,然后输入命令如下:airodump-ng-oui-update 回车后,就能看到如下图 23 所示的开始下载的提示,稍等一会儿,这个时间会比较长,恩,建议预先升级
22、,不要临阵磨枪。图 23步骤 2:载入并激活无线网卡至 monitor 即监听模式。在进入 BackTrack4 R2 系统后,载入无线网卡的顺序及命令部分,依次输入下述命令:startx 进入到图形界面 ifconfig a 查看无线网卡状态ifconfig wlan0 up 载入无线网卡驱动airmon-ng start wlan0 激活网卡到 monitor 模式如下图 24 所示,我们可以看到无线网卡的芯片及驱动类型,在 Chipset 芯片类型上标明是Ralink 2573 芯片,默认驱动为 rt73usb,显示为“monitor mode enabled on mon0”,即已启动
23、监听模式,监听模式下适配器名称变更为 mon0。图 24步骤 3:探测无线网络,抓取无线数据包。在激活无线网卡后,我们就可以开启无线数据包抓包工具了,这里我们使用 Aircrack-ng 套装里的 airodump-ng 工具来实现,具体命令如下:airodump-ng -c 6 w longas mon0 参数解释:-c 这里我们设置目标 AP 的工作频道,通过观察,我们要进行攻击测试的无线路由器工作频道为 6;-w 后跟要保存的文件名,这里 w 就是“write 写”的意思,所以输入自己希望保持的文件名,这里我就写为 longas。那么,小黑们一定要注意的是:这里我们虽然设置保存的文件名是
24、longas,但是生成的文件却不是 longas.cap,而是 longas-01.cap。mon0 为之前已经载入并激活监听模式的无线网卡。如下图 25 所示。在回车后,就可以看到如下图 25 所示的界面,这表示着无线数据包抓取的开始。接下来保持这个窗口不动,注意,不要把它关闭了。另外打开一个 Shell。进行后面的内容。图 25步骤 4:进行 Deauth 攻击加速破解过程。和破解 WEP 时不同,这里为了获得破解所需的 WPA-PSK 握手验证的整个完整数据包,无线黑客们将会发送一种称之为“Deauth”的数据包来将已经连接至无线路由器的合法无线客户端强制断开,此时,客户端就会自动重新连
25、接无线路由器,黑客们也就有机会捕获到包含 WPA-PSK 握手验证的完整数据包了。此处具体输入命令如下:aireplay-ng -0 1 a AP 的 mac -c 客户端的 mac wlan0 参数解释:-0 采用 deauth 攻击模式,后面跟上攻击次数,这里我设置为 1,大家可以根据实际情况设置为 10 不等;-a 后跟 AP 的 MAC 地址;-c 后跟客户端的 MAC 地址;回车后将会看到如下图 26 所示的 deauth 报文发送的显示。图 26此时回到 airodump-ng 的界面查看,在下图 27 中我们可以看到在右上角出现了“WPA handshake”的提示,这表示获得到
26、了包含 WPA-PSK 密码的 4 此握手数据报文,至于后面是目标 AP 的 MAC,这里的 AP 指的就是要破解的无线路由器。图 27若我们没有在 airodump-ng 工作的界面上看到上面的提示,那么可以增加 Deauth 的发送数量,再一次对目标 AP 进行攻击。比如将-0 参数后的数值改为 10。如下图 28 所示。图 28步骤 5:开始破解 WPA-PSK。在成功获取到无线 WPA-PSK 验证数据报文后,就可以开始破解,输入命令如下:aircrack-ng -w dic 捕获的 cap 文件 参数解释:-w 后跟预先制作的字典,这里是 BT4 下默认携带的字典。在回车后,若捕获数
27、据中包含了多个无线网络的数据,也就是能看到多个 SSID 出现的情况。这就意味着其它 AP 的无线数据皆因为工作在同一频道而被同时截获到,由于数量很少所以对于破解来说没有意义。此处输入正确的选项即对应目标 AP 的 MAC 值,回车后即可开始破解。如下图 29 所示为命令输入情况。图 29由下图 30 可以看到,在双核 T7100 的主频+4GB 内存下破解速度达到近 450k/s,即每秒钟尝试 450 个密码。图 30经过不到 1 分多钟的等待,我们成功破解出了密码。如下图 31 所示,在“KEY FOUND”提示的右侧,可以看到密码已被破解出。密码明文为“longaslast”,破解速度约
28、为 450 key/s。若是能换成 4 核 CPU 的话,还能更快一些。图 31使用 Aircrack-ng 破解 WPA2-PSK 加密无线网络对于启用 WPA2-PSK 加密的无线网络,其攻击和破解步骤及工具是完全一样的,不同的是,在使用 airodump-ng 进行无线探测的界面上,会提示为 WPA CCMP PSK。如下图 32 所示。图 32当我们使用 aireplay-ng 进行 deauth 攻击后,同样可以获得到 WPA 握手数据包及提示,如下图 33 所示。图 33同样地,使用 aircrack-ng 进行破解,命令如下:aircrack-ng -w dic 捕获的 cap
29、文件 参数解释:-w 后跟预先制作的字典文件经过 1 分多钟的等待,可以在下图 34 中看到提示:“KEY FOUND!” 后面即为 WPA2-PSK连接密码 19890305。图 34现在,看明白了吧?破解 WPA-PSK 对硬件要求及字典要求很高,所以只要你多准备一些常用的字典比如生日、8 位数字等,这样破解的时候也会增大破解的成功率。使用 Aircrack-ng 进行无线破解的常见问题恩,下面使一些初学无线安全的小黑们在攻击中可能遇到的问题,列举出来方便有朋友对号入座:1我的无线网卡为何无法识别?答:BT4 支持的无线网卡有很多,比如对采用 Atheros、Prism2 和 Ralink
30、 芯片的无线网卡,无论是 PCMCIA 还是 PCI,亦或是 USB 的,支持性还是很高的。要注意 BT4 也不是所有符合芯片要求的无线网卡都支持的,有些同型号的但是硬件固件版本不同就不可以,具体可以参考Aircrack-ng 官方网站的说明。2为什么我输入的命令老是提示错误?答:呃没什么说的,兄弟,注意大小写和路径吧。3为什么使用 airodump-ng 进行的的 ArpRequest 注入攻击包时,速度很缓慢?答:原因主要有两个:(1是可能该无线网卡对这些无线工具的支持性不好,比如很多笔记本自带的无线网卡支持性就不好;(2是若只是在本地搭建的实验环境的话,会因为客户端与 AP 交互过少,而
31、出现 ARP 注入攻击缓慢的情况,但若是个客户端很多的环境,比如商业繁华区或者大学科技楼,很多用户在使用无线网络进行上网,则攻击效果会很显著,最短 5 分钟即可破解 WEP。4为什么使用 aireplay-ng 发送的 Deauth 攻击包后没有获取到 WPA 握手包?答:原因主要有两个:(1是可能该无线网卡对这些无线工具的支持性不好,需要额外的驱动支持;(2是无线接入点自身问题,有的 AP 在遭受攻击后会短时间内失去响应,需重起或等待片刻才可恢复正常工作状态。5为什么我找不到捕获的 cap 文件?答:其实这是件很抓狂的问题,虽然在前面使用 airodump-ng 时提到文件保存的时候,我已经
32、说明默认会保存为“文件名-01.cap” 这样的方式,但是依旧会有很多由于过于兴奋导致眼神不济的小黑们抱怨找不到破解文件。好吧,我再举个例子,比如最初捕获时我们命名为 longas 或者 longas.cap,但在 aircrack-ng 攻击载入时使用 ls 命令察看,就会发现该文件已变成了 longas-01.cap,此时,将要破解的文件改为此即可进行破解。若捕获文件较多,需要将其合并起来破解的话,就是用类似于“longas*.cap”这样的名字来指代全部的 cap 文件。这里*指代-01、-02 等文件。6 Linux 下捕获的 WPA 握手文件是否可以放到 Windows 下破解?答:
33、这个是可以的,不但可以导入 windows 下 shell 版本的 aircrack-ng 破解,还可以导入Cain 等工具进行破解。关于 Windows 下的破解我已在无线黑客傻瓜书里做了详细的阐述,这里就不讲述和 BT4 无关的内容了。BT4 Linux 黑客手册国内第一本关于 BackTrack3/4/4R1/4R2/5 下内置工具讲解书籍,适用于各类 BT4 狂热分子、BT4 英文能力不强者、BT4 初哥、BT4 宅男宅女、BT4 深度学习人士、BT5 过渡期待者、BT3 迷恋者、BT4 无线 hacking 爱好者、鄙视 Windows 者及.(此处略去 1 千字),聚众奋力编写 6 个月,终于粉墨登场!全书共 15 章,全书稿页数近 600 页,涉及工具近 100 个,攻防操作案例 60 个,从有线到无线、从扫描到入侵、从嗅探到 PJ、从逆向到取证,全面协助小黑们从零开始一步步学习 BT4下各类工具的使用及综合运用。
