kali無線網路滲透書

Ⅰ Kali從入門到銀手鐲（二）：開啟WPS的無線網路滲透測試

很多無線路由器都支持WPS（Wifi Protection Setup）功能，它是一種可以讓用戶無需密碼直接連接Wifi的技術。本來這種技術的初衷是讓用戶更加方便的連接網路，但是因為它有嚴重的安全漏洞，所以反而讓用戶的網路更加不安全。因此在這里推薦大家使用路由器的時候沒事就把WPS功能關掉。

因為要進行滲透測試，所以首先我先把自己路由器的WPS功能開啟，當然測試結束之後別忘了關閉WPS功能。

使用前一篇文章介紹的方法安裝好Kali虛擬機或者U盤系統，然後就可以准備開始了。

當然這里使用到的工具並不是只有Kali能用，其他Linux發行版也可以使用。但是還是推薦Kali，因為很多滲透測試工具都是按照安防論文的理論來實現的，很多都已經不再維護了。而Kali收集了很多尚在維護的工具分支，如果你使用其他發行版的話，可能其軟體倉庫中的版本還是原來的舊版本。

本文比較簡單，涉及到的工具有兩個，reaver和aircrack-ng。

我用的是台式機安裝的Kali虛擬機系統，自然是沒有無線功能的，所以需要一塊無線網卡。值得稱道的是現在Linux驅動非常完善了，我原來買的360無線網卡可以直接驅動成功。

連接方法也十分簡單，電腦插上無線網卡，然後在VMware軟體右下角找到無線網卡的圖標，點擊並選擇連接到虛擬機，這樣就大功告成了。整個系統可能會卡幾秒鍾，之後就正常了。

連接成功後，在Kali虛擬機中應該可以看到Wifi圖標了，用lsusb命令還可以查看到無線網卡的廠商和具體型號，可以看到我的無線網卡具體型號是MT7601U。

首先輸入 sudo airmon-ng 命令查看一下當前系統中的無線網卡，在Kali中這個介面名默認應該是wlan0。

然後輸入下面的命令關閉可能影響網卡監聽的程序，然後開啟監聽模式。開啟完畢之後，再次輸入 sudo airmon-ng ，應該就會看到這次介面名變成了wlan0mon，這樣就說明成功開啟了監聽模式，可以進行下一步了。

輸入下面的命令開始掃描附近的無線網路。

稍後應該就會顯示出附近開啟了WPS的所有網路了，dBm是信號大小，值越小說明信號越強，按Ctrl+C即可中斷命令。如果想要查看所有網路的話，可以添加 -a 參數，它會列出所有網路（包括了未開啟WPS功能的網路）。

這時候就要記下來網路的BSSID(網路Mac地址)以及ESSID(網路名稱)，准備好下一步的工作了。

好了，下面就可以開始正式的工作了，其實說起來原理也很簡單，WPS PIN是一個8位數字密碼，所以其實我們要做的就是不斷的嘗試，最終找到這個PIN。總共需要嘗試的次數有一億次，看起來這個數字非常大，但是在安全領域，一億次算是一個非常小的次數了，很多加密演算法要攻破甚至需要全世界所有計算機同時計算幾百年。

當然要搞定WPS的PIN並不需要這么長時間，最多10來個小時就可以了，平均用時可能也就4-5個小時左右。而且一旦知道了PIN，獲得WIFI密碼僅需要數秒即可搞定。之後只要PIN碼沒有發生變化，就算WIFI密碼被修改，也可以很輕松的搞定。

接下來就要輪到本文的主角登場了，這就是reaver，專門用於破解WPS Wifi網路的工具。輸入 -h 參數即可查看幫助信息，這里簡單列出一些我們要使用的參數。

詳細參數參考reaver的幫助，並不難懂。

了解了reaver命令行的用法之後，就可以正式開始了。很多時候一次可能並不能成功，需要嘗試多次。

因為是測試，所以我乾脆直接指定了PIN的值。為了更詳細的了解命令運行過程，可以開啟2級或者3級輸出看看reaver工具到底幹了啥。

如果出現了下面的bad FCS，可以在添加 -F 參數忽略幀校驗錯誤，然後再次嘗試。

如果一切正常的話，應該會在幾分鍾內通過PIN解開WIFI的密碼。如果不知道PIN密碼的話，也可以通過幾個小時的嘗試來試出PIN進而得知WIFI密碼。因此我們在日常使用的時候，一定要記得關掉WPS功能，它是很多漏洞的根源。

Ⅱ 《KaliLinux高級滲透測試》epub下載在線閱讀全文，求百度網盤雲資源

《Kali Linux高級滲透測試》（（加）羅伯特W. 貝格斯（Robert W. Beggs））電子書網盤下載免費在線閱讀

鏈接: https://pan..com/s/1YRyNH1xCb6PsudT3x5NM-w

書名：Kali Linux高級滲透測試

作者：（加）羅伯特W. 貝格斯（Robert W. Beggs）

譯者：蔣溢

豆瓣評分：7.4

出版社：機械工業出版社

出版年份：2016-5

頁數：223

內容簡介：飢鬧

Kali Linux向專業的滲透測試和安全審計，集成了大量精心挑選的安全檢測工具。

本書在Kali Linux平台上從攻擊者的角度來審視網路框架，詳細介紹攻擊者」殺鏈」採取的具體步驟。

本書旨在幫助你開發自己的方法和方式來進行有效滲透測試，深入理解黑客怎樣攻擊數據系統，進而了解怎樣在漏洞被利用之前彌補漏洞。如果你是—名專業的安全工程師、滲透測試員，或者是對復雜的數據環境的安全感興趣的人，那麼這本書是為你准備的宴羨。

作者簡介：

羅伯特W.貝格斯（Robert W. Beggs）是Digitial Defence公司的創始人和首席執行官，該公司專門從事信息安全事件的預防和處理。他擁有超過15年的安全業務技術管理經驗，涉及有線和無線網路的滲透測試、事件響爛祥罩應、數據取證等內容。

Ⅲ 如何使用Kali Linux破解WPA或WPA2無線區域網

目錄部分1：准備工作1、了解在什麼情況下可以合法破解無線區域網。2、下載Kali Linux磁碟鏡像。3、將U盤插入電腦。4、製作可啟動U盤5、將Kali Linux ISO文件復制到U盤上。6、安裝Kali Linux。7、購買支持監聽模式的無線網卡。8、以root用戶身份登錄Kali Linux電腦。9、將無線網卡插入Kali Linux電腦。部分2：破解無線區域網1、打開Kali Linux電腦上的"終端"應用程序。2、輸入Aircrack-ng安裝命令。3、出現提示時輸入密碼。4、安裝Aircrack-ng。5、開啟airmon-ng。6、找到監聽介面名稱。7、開始監聽網路。8、啟用監聽模式介面。9、終止返回錯誤的進程。10、復查監聽介面的名稱。11、讓電腦監聽附近的路由器。12、找到要破解的路由器。13、確保路由器使用的是WPA或WPA2加密方式。14、記住路由器的MAC地址和信道號。15、監聽所選網路以抓取握手包。16、等待握手。17、退出airomp-ng，然後打開桌面。18、重命名".cap"文件。19、將".cap"文件轉換為"hccapx"格式。20、安裝naive-hashcat。21、運行naive-hashcat。22、等到網路密碼破解完成。部分3：在沒有獨顯的電腦上使用Aircrack-Ng1、下載字典文件。2、通過aircrack-ng破解密碼。3、等待"終端"顯示結果。部分4：使用Deauth攻擊強制握手1、了解Deauth攻擊的機制。2、監聽網路。3、等待設備連接網路。4、打開新的"終端"窗口。5、發送Deauth包。6、重新打開原"終端"窗口。7、搜索握手包。本指南介紹如何通過Kali Linux破解WPA或WPA2網路的密碼。
部分1：准備工作
1、了解在什麼情況下可以合法破解無線區域網。在大部分地區，你只能破解自己的WPA或WPA2網路，或在明確獲得同意的情況下破解別人的網路。如果不符合上述條件，破解將被視為非法，甚至可能構成犯罪。
2、下載Kali Linux磁碟鏡像。要破解WPA或WPA2網路，首推使用Kali Linux。你可以通過以下方式下載Kali Linux安裝鏡像（ISO）：在電腦瀏覽器中前往https://www.kali.org/downloads/。
找到要使用的Kali版本，然後單擊旁邊的HTTP。
等待文件下載完成。
3、將U盤插入電腦。U盤至少要有4GB的存儲空間。
4、製作可啟動U盤。只有這樣才能選擇U盤作為安裝位置。還可以使用Mac來製作啟動盤。
5、將Kali Linux ISO文件復制到U盤上。打開U盤，然後將下載的Kali Linux ISO文件拖曳到U盤窗口中。完成後不要拔出U盤。
6、安裝Kali Linux。要在電腦上安裝Kali Linux，按以下步驟操作：重啟Windows。
進入BIOS菜單。
找到"啟動選項"或類似的選項，選項U盤名稱，然後移到列表的頂部，這樣就可以從U盤啟動電腦了。
保存並退出，然後等待Kali Linux安裝窗口出現。之後可能還需要再重啟一次電腦。
按照Kali Linux安裝窗口中的提示操作。
7、購買支持監聽模式的無線網卡。可以在網上買或去電子商店買。一定要買支持監聽（RFMON）的無線網卡，否則無法破解網路。很多電腦內置RFMON無線網卡，在購買前可以先試試下一節中的前四個步驟。
如果是在虛擬機上使用Kali Linux，無論電腦本身是否內置了無線網卡，都需要購買RFMON無線網卡。
8、以root用戶身份登錄Kali Linux電腦。輸入root用戶名和密碼進行登錄。整個破解過程都需要root帳戶。
9、將無線網卡插入Kali Linux電腦。隨後會立即開始安裝網卡並下載驅動。如果看到提示，按屏幕上的說明完成安裝。完成後，就可以開始進行網路破解了。即使之前曾在電腦上安裝過該網卡，插入後仍需要在Kali Linux上重新安裝。
大部分情況下，只需要將網卡插入電腦就能完成安裝。
部分2：破解無線區域網
1、打開Kali Linux電腦上的"終端"應用程序。找到並單擊"終端"應用程序，圖標是一個中間帶有白色"$_"圖案的黑色方塊。也可以按Alt+Ctrl+T來打開"終端"。
2、輸入Aircrack-ng安裝命令。輸入以下命令，然後按? Enter：
sudo apt-get install aircrack-ng
3、出現提示時輸入密碼。輸入電腦的登錄密碼，然後按? Enter。這樣就可以使用root許可權在"終端"中執行命令。如果稍後根據本文中的說明打開了另一個"終端"窗口，可能還需要運行sudo命令和/或再次輸入密碼。
4、安裝Aircrack-ng。出現提示時輸入Y，然後等待程序完成安裝。
5、開啟airmon-ng。輸入以下命令，然後按? Enter。
airmon-ng
6、找到監聽介面名稱。它位於"Interface"列中。如果破解的是自己的網路，名稱通常是"wlan0"。
如果沒有看到監聽介面，無線網卡可能不支持監聽。
7、開始監聽網路。輸入以下命令，然後按? Enter開始監聽：
airmon-ng start wlan0將"wlan0"替換為目標網路的名稱。
8、啟用監聽模式介面。輸入以下命令：
iwconfig
9、終止返回錯誤的進程。某些情況下，無線網卡會和電腦上運行的服務沖突。輸入以下命令終止這些進程：
airmon-ng check kill
10、復查監聽介面的名稱。大部分情況下，名稱類似"mon0"或"wlan0mon"。
11、讓電腦監聽附近的路由器。要獲取附近的路由器列表，輸入以下命令：
airomp-ng mon0將"mon0"替換為上一步中的監聽介面名稱。
12、找到要破解的路由器。在每一行字元串的末尾都有一個名稱，找到要破解的網路名稱。
13、確保路由器使用的是WPA或WPA2加密方式。如果在網路名稱旁看到"WPA"或"WPA2"，可以繼續下一步驟，否則就無法破解網路。
14、記住路由器的MAC地址和信道號。這些信息在網路名稱的左側：MAC地址——它是路由器所在行最左側的一串數字。
信道——它是WPA或WPA2標記左側的數字，比如0、1、2等。
15、監聽所選網路以抓取握手包。有設備連接網路時就會發生"握手"，比如電腦連接路由器時。輸入以下代碼，注意將命令中的以下部分替換為網路的實際信息：
airomp-ng -c channel --bssid MAC -w /root/Desktop/ mon0將"channel"替換為上一步中找到的信道號。
將"MAC"替換為上一步中找到的MAC地址。
將"mon0"替換為實際的介面名稱。
以下為地址示例：
airomp-ng -c 3 --bssid 1C:1C:1E:C1:AB:C1 -w /root/Desktop/ wlan0mon
16、等待握手。看到屏幕右上角出現"WPA handshake: <Mac地址>"的提示後，繼續下一步。如果不想等待，可以使用Deauth攻擊強行握手，然後再繼續下一步。
17、退出airomp-ng，然後打開桌面。按Ctrl+C退出，檢查電腦桌面上是否有".cap"文件。
18、重命名".cap"文件。改名的目的是方便你稍後找到它，但也可以不改。輸入以下命令更改名稱，注意將"name"替換為期望的名稱：
mv ./-01.cap name.cap如果".cap"文件的當前名稱不是"-01.cap"，將它替換為實際的名稱。
19、將".cap"文件轉換為"hccapx"格式。可以使用Kali Linux的轉換工具來轉換。輸入以下命令，注意將"name"替換為文件名稱：
cap2hccapx.bin name.cap name.hccapx還可以前往https://hashcat.net/cap2hccapx/，然後單擊 Choose File（選擇文件）將".cap"文件上傳到轉換工具。完成後，單擊Convert（轉換）進行轉換，將轉換的文件下載到桌面，然後繼續下一步。
20、安裝naive-hashcat。你將它用來破解密碼。按順序輸入以下命令：
sudo git clone https://github.com/brannondorsey/naive-hashcatcd naive-hashcatcurl -L -o dicts/rockyou.txt https://github.com/brannondorsey/naive-hashcat/releases/download/data/rockyou.txt如果電腦上沒有獨顯，需要改用aircrack-ng。
21、運行naive-hashcat。安裝完成後，輸入以下命令，注意將所有"name"替換為".cap"文件的名稱：
HASH_FILE=name.hccapx POT_FILE=name.pot HASH_TYPE=2500 ./naive-hashcat.sh
22、等到網路密碼破解完成。密碼被破解後，"naive-hashcat"目錄下的"name.pot"文件中會多出一個字元串，字元串中的最後一個分號後的文字或短語就是密碼。破解密碼所需的時間從幾小時到幾個月不等。
部分3：在沒有獨顯的電腦上使用Aircrack-Ng
1、下載字典文件。最常用的是"Rock You"。可以輸入以下命令下載它：
curl -L -o rockyou.txt https://github.com/brannondorsey/naive-hashcat/releases/download/data/rockyou.txt注意，如果WPA或WPA2密碼不在字典里，aircrack-ng就無法破解。
2、通過aircrack-ng破解密碼。輸入以下命令，根據需要替換以下網路信息：
aircrack-ng -a2 -b MAC -w rockyou.txt name.cap如果破解的不是WPA2網路，而是WPA網路，將"-a2"替換為-a。
將"MAC"替換為上一節中找到的MAC地址。
將"name替換為".cap"文件的名稱。
3、等待"終端"顯示結果。如果看見"KEY FOUND!"標題，就代表aircrack-ng找到了密碼。密碼顯示在此標題右側的括弧中。
部分4：使用Deauth攻擊強制握手
1、了解Deauth攻擊的機制。Deauth攻擊會向你嘗試破解的路由器發送惡意的取消身份驗證包，從而造成網路斷線並要求用戶重新登錄。一旦用戶登錄，你就能獲得握手包。
2、監聽網路。輸入以下命令，根據需要輸入網路信息：
airomp-ng -c channel --bssid MAC比如：
airomp-ng -c 1 --bssid 9C:5C:8E:C9:AB:C0
3、等待設備連接網路。看到兩個連續的MAC地址以及包含生產商名稱的字元串後，繼續下一步。這表示已有客戶端連接網路，比如電腦。
4、打開新的"終端"窗口。按Alt+Ctrl+T就可以打開。在原本的"終端"窗口中繼續運行airomp-ng。
5、發送Deauth包。輸入以下命令，注意將以下部分替換為實際的網路信息：
aireplay-ng -0 2 -a MAC1 -c MAC2 mon0"2"是指發送的數據包數量。可以增加或減少，但要注意，超過2個包可能會讓對方察覺到有人在入侵。
將"MAC1"替換為原"終端"窗口底部最左側的MAC地址。
將"MAC2"替換為原"終端"窗口底部最右側的MAC地址。
將"mon0"替換為電腦最初搜索路由器時找到的介面名稱。
以下是命令示例：
aireplay-ng -0 3 -a 9C:5C:8E:C9:AB:C0 -c 64:BC:0C:48:97:F7 mon0
6、重新打開原"終端"窗口。在發送deauth包後，返回原"終端"窗口。
7、搜索握手包。在找到"WPA handshake: <地址>"後，繼續破解網路。
小提示在啟動伺服器前，用此方法測試無線區域網中的漏洞，這樣可以預防類似攻擊。
警告擅自破解其他人的無線區域網在大部分國家都是違法行為。只能對自己的網路，或明確同意你測試的網路執行上述步驟。
發送兩個以上的Deauth包可能會造成目標電腦崩潰，這樣會讓對方起疑。

Ⅳ 《KaliLinux滲透測試的藝術》epub下載在線閱讀全文，求百度網盤雲資源

《KaliLinux滲透測試的藝術》（）電子書網盤下載免費在線閱讀

鏈接：https://pan..com/s/1OpSLvfAGsLVz-jx_cR6-Gg

書名：KaliLinux滲透測試的藝術

豆瓣評分：6.7

作者:Lee Allen/Tedi Heriyanto/Shakeel Ali

出版社:人民郵電出版社

原作名:Kali Linux: Assuring Security by Penetration Testing

出版年:2015-2

頁數:378

內容簡介

Kali Linux是一個滲透測試兼安全審計平台，集成了多款漏洞檢測、目標識別和漏洞利用工具，在信息安全業界有著廣泛的用途。

本書從業務角度出發，通過真實攻擊案例並輔之以各種實用的黑客工具，探討了進行滲透測試所需的各種准備工序和操作流程。本書共分為12章，其內容涵蓋了Kali Linux的使用、滲透測試方法論、收集評估項目需求的標准流程、信息收集階段的工作流程、在目標環境中探測終端設備的方法、服務枚舉及用途、漏洞映射、社會工程學、漏洞利用、提升許可權、操作系統後門和Web後文的相關技術、滲透測試文檔報告的撰寫等。

本書適合講解步驟清晰易懂、示例豐富，無論是經驗豐富的滲透測試老手，還是剛入門的新手，都會在本書中找到需要的知識。

作者簡介

Lee Allen是在頂尖大學里任職的安全架構師。多年以來，他持續關注信息安全行業和安全界內的新近發展。他有15年以上的IT行業經驗，並且持有OSWP等多項業內的資格認證。Lee Allen還是Advanced Penetration Testing for Highly-Secured Environments: The Ultimate Security Guide（由Packt Publishing出版，人民郵電出版社出版了其中文版）一書的作者。

Tedi Heriyanto是印尼一家信息安全公司的首席顧問。他一直在與（印尼）國內外的多家知名機構進行信息安全滲透測試方面的合作。他擅長設計安全網路架構、部署與管理企業級的信息安全系統、規范信息安全制度和流程、執行信息安全審計和評估，以及提供信息安全意識培訓。在閑暇之餘，他在印尼安全界的各種活動中不停地研究和學習。他還通過寫作各種安全圖書與大家分享界內知識。有興趣的讀者可以訪問他的博客http://theriyanto.wordpress.com。

Shakeel Ali在世界500強公司里擔任安全和風險管理顧問。在此之前，他是英國Cipher Storm Ltd.的核心創始人。他從事過安全評估、系統審計、合規部門顧問、IT管理和法證調查工作，積累了信息安全領域的各種知識。他還是CSS Providers SAL的首席安全員。他以廢寢忘食的工作態度，為全球各類商業公司、教育機構和政府部門提供了不間斷的安全支持服務。作為一名活躍的業內獨立研究人員，他發表了大量的文章和白皮書。有興趣的讀者可以訪問他的個人博客Ethical-Hacker.net。此外，他還長期參與墨西哥舉辦的BugCon Security Conferences活動，定期報告最前沿的網路安全威脅，並分享相應的應對方案。

Ⅳ 《KaliLinux無線網路滲透測試詳解》epub下載在線閱讀全文，求百度網盤雲資源

《Kali Linux無線網路滲透測試詳解》（李亞偉）電子書網盤下載免費在線閱讀

鏈接: https://pan..com/s/1CpZEh8Jr0m2CgA4POvTgJA

書名：Kali Linux無線網路滲透測試詳解

作者：李亞偉

出版社：清華大學出版社

出版年份：2016-2-1

頁數：236

內容簡介：

本書是國內第一本無線網路安全滲透測試圖書。本書基於Kali Linux操作系統，由淺入深，全面而系統地介紹了無線網路滲透技術。本書針對不同的加密方式的工作原理及存在的漏洞進行了詳細介紹，並根據每種加密方式存在的漏洞介紹了實施滲透測試的方法。另外，本書最後還特意介紹了針對每種加密方法漏洞的應對措施。

本書共10章，分為3篇。第1篇為基礎篇，涵蓋的主要內容有搭建滲透測試環境和WiFi網路的構成。第2篇為無線數據篇，涵蓋的主要內容有監聽WiFi網路、捕獲數據包、分析數據包和獲取信息。第3篇為無線網路加密篇，涵蓋的主要內容有WPS加密模式、WEP加密模式、WPA加密模式和WPA+RADIUS加密模式。

本書涉及面廣，從基本環境搭建到數據包的捕獲，再到數據包的分析及信息獲取，最後對WiFi網路中的各種加密模式進行了分析和滲透測試。本書不僅適合想全面學習WiFi網路滲透測試技術的人員閱讀，同樣適合網路維護人員和各類信息安全從業人員閱讀。

作者簡介：

李亞偉 就職於大學霸網站，任技術研究員。熟悉Apache、Tomcat、Oracle、MySQL、集群、RAC、SAN和容災等IT業界中流行的系統集成技術。長期從事Linux和網路安全最新技術的研究，以及Linux伺服器維護工作。擁有多年的伺服器維護經驗。曾經參與編寫並出版了《Wireshark數據包分析實戰詳解》一書。

Ⅵ Kali Linux 無線滲透測試入門指南 第四章 WLAN 加密缺陷

即使做了最充分的預測，未來始終是不可預測的。WLAN 委員會設計了了 WEP 和 WPA 作為最簡單的加密機制，但是，久而久之，這些機制擁有在現實世界中廣泛公布和利用的缺陷。

WLAN 加密機制易受密碼學攻擊，這有相當長的歷史了。這從 2000 年的 WEP 開始，它最後被完全破解。最近，攻擊慢慢轉向了 WPA。即使當前沒有公開攻擊方式用於在所有情況下破解 WPA，特殊情況下的攻擊還是可行的。

WLAN 在空氣中傳輸數據，所以保護數據的機密性是一種內在需求。使用加密是最佳方案。WLAN 委員會（IEEE 802.11）為數據加密指定了以下協議：

這一章中，我們會看一看每個加密協議，並演示針對它們的多種攻擊。

WEP 協議在 2000 年發現漏洞，但是，詫異的是，它仍然被使用，並且接入點仍然自帶 WEP 功能。

WEP 中有許多密碼學缺陷，它們被 Walker，Arbaugh，Fluhrer，Martin，Shamir，KoreK，以及其它人發現。密碼學立場上的評估超出了這本書的范圍，並且涉及到復雜的數學。這一節中，我們會看一看如何使用 Kali 中便捷可用的工具來破解 WEP 加密。這包含整個 aircrack-ng 工具套件 -- airmon-ng ， aireplay-ng ， airomp-ng ， aircrack-ng ，以及其它。

WEP 的基礎缺陷是使用 RC4 和短的 IV 值，每 224 幀復用。雖然這本身是個大數，但是每 5000 個封包中還是有 50% 的幾率重用四次。為了利用這個，我們嘗試大量流量，是我們增加重用 IV 的可能性，從而比較兩個使用相同密鑰和 IV 加密的密文。

讓我們首先在測試環境中建立 WEP，並且看看如何破解。

遵循以下指南來開始：

我們在環境中建立 WEP，並成功破解了 WEP 密鑰。為了完成它，我們首先等待正常客戶端連接到接入點。之後，我們使用 aireplay-ng 工具在網路上重放 ARP 封包。這會導致網路發送 ARP 重放封包，從而增加空中發送的數據封包數量。之後我們使用 aircrack-ng 工具，通過分析數據風暴的密碼學缺陷來破解 WEP 密鑰。

要注意我們也能夠使用共享密鑰驗證繞過機制，來偽造接入點的驗證，這會在後面的章節中學到。如果正常客戶端離開了網路，這可以更方便一些。這會確保我們可以偽造驗證和關聯，並且繼續將重放封包發送到網路。

在之前的練習中，如果正常客戶端突然斷開了網路，我們就不能重放封包，因為接入點會拒絕接受來自未關聯客戶端的封包。

你的挑戰就是，使用即將在後面學到的共享密鑰繞過偽造驗證和授權，使你仍然能夠將封包注入到網路中，並驗證接入點是否接受和響應它們。

WPA 或者 WPA v1 主要使用 TKIP 加密演算法。TKIP 用於改進 WEP，不需要完全新的硬體來運行。反之，WPA2 必須使用 AES-CCMP 演算法來加密，這比 TKIP 更加強大和健壯。

WPA 和 WPA2 允許 基於 WAP 的驗證，使用基於 RADIUS 伺服器（企業）和預共享密鑰（PSK）（個人）的驗證模式。

WPA/WPA2 PSK 易受字典攻擊。攻擊所需的輸入是客戶端和接入點之間的四次 WPA 握手，以及包含常用口令的單詞列表。之後，使用例如 Aircrack-ng 的工具，我們可以嘗試破解 WPA/WPA2 PSK 口令。

四次握手的演示見下面：

WPA/WPA2 PSK 的原理是它導出了會話層面的密鑰，叫做成對臨時密鑰（PTK），使用預共享密鑰和五個其它參數 -- 網路 SSID、驗證者 Nounce （ANounce）、申請者 Nounce （SNounce）、驗證著 MAC 地址（接入點 MAC）、申請者 MAC 地址（WIFI 客戶端 MAC）。密鑰之後用於加密接入點和客戶端之間的所有數據。

通過嗅探空氣來竊取整個對話的攻擊者，可以獲得前面提到的全部五個參數。它唯一不能得到的東西就是預共享密鑰。所以，預共享密鑰如何創建？它由用戶提供的 WPA-PSK 口令以及 SSID 導出。這些東西的組合通過基於密碼的密鑰推導函數（PBKDF2）來發送，它的輸出是 256 位的共享密鑰。

在典型的 WPA/WPA2 PSK 字典攻擊中，攻擊者會使用可能口令的大量字典以及攻擊工具。工具會從每個口令中導出 256 位的預共享密鑰，並和其它參數（之前提到過）一起使用來創建 PTK。PTK 用於在握手包之一中驗證信息完整性檢查（MIC）。如果匹配，從字典中猜測的口令就正確，反之就不正確。

最後，如果授權網路的口令存在於字典中，它會被識別。這就是 WPA/WPA2 PSK 破解的工作原理。下面的圖展示涉及到的步驟：

下個練習中，我們會看一看如何破解 WPA PSK 無線網路。使用 CCMP（AES）的WPA2-PSK 網路的破解步驟與之相同。

遵循以下指南來開始：

我們在接入點上設置了 WPA-PSK，使用常見口令： abcdefgh 。之後我們使用解除驗證攻擊，讓正常客戶端重新連接到接入點。當我們重新連接時，我們捕獲了客戶端和接入點之間的 WPA 四次握手。

因為 WPA-PSK 易受字典攻擊，我們向 Aircrack-ng 輸入了包含 WPA 四次握手的捕獲文件，以及常見口令的列表（以單詞列表形式）。因為口令 abcdefgh 出現在單詞列表中， Aircrack-ng 就能夠破解 WPS-PSK 共享口令。要再次注意，在基於字典的 WPA 破解中，你的水平就等於你的字典。所以在你開始之前，編譯一個大型並且詳細的字典非常重要。通過 Kali 自帶的字典，有時候可能不夠，可能需要更多單詞，尤其是考慮位置因素。

Cowpatty 是個同樣使用字典攻擊來破解 WPA-PSK 口令的工具。這個工具在 Kali 中自帶。我將其留做練習，來讓你使用 Cowpatty 破解 WPA-PSK 口令。

同樣，設置不常見的口令，它不出現在你的字典中，並再次嘗試。你現在再破解口令就不會成功了，無論使用 Aircrack-ng 還是 Cowpatty。

要注意，可以對 WPA2-PSK 網路執行相同攻擊。我推薦你自己驗證一下。

我們在上一節中看到，如果我們在字典中擁有正確的口令，破解個人 WPA 每次都會像魔法一樣。所以，為什麼我們不創建一個大型的詳細字典，包含百萬個常見密碼和片語呢？這會幫助我們很多，並且多數情況都會最終破解出口令。這聽起來不錯，但是我們錯過了一個核心組件 -- 所花費的時間。更多需要 CPU 和時間的計算之一就是使用 PSK 口令和 SSID 通過 PSKDF2 的預共享密鑰。這個函數在輸出 256 位的與共享密鑰之前，計算超過 4096 次二者組合的哈希。破解的下一步就是使用這個密鑰以及四次握手中的參數來驗證握手中的 MIC。這一步計算了非常大。同樣，握手中的參數每次都會變化，於是這一步不能預先計算。所以，為了加速破解進程，我們需要使來自口令的與共享密鑰的計算盡可能快。

我們可以通過預先計算與共享密鑰，在 802.11 標准術語中也叫作成對主密鑰（PMK）來加速。要注意，因為 SSID 也用於計算 PMK，使用相同口令和不同 SSID，我們會得到不同的 PMK。所以，PMK 取決於口令和 SSID。

下個練習中，我們會看看如何預先計算 PMK，並將其用於 WPA/WPA2 的破解。

我們可以遵循以下步驟來開始：

我們查看了多種不同工具和技巧來加速 WPA/WPA2-PSK 破解。主要原理就是對給定的 SSID 和字典中的口令列表預計算 PMK。

在所有我們做過的聯系中，我們使用多種技巧破解了 WEP 和 WPA 密鑰。我們能拿這些信息做什麼呢？第一步就是使用密鑰解密我們捕獲的數據封包。

下一個練習中，我們會在相同的我們所捕獲的記錄文件中解密 WEP 和 WPA 封包，使用我們破解得到的密鑰。

遵循以下步驟來開始：

我們剛剛看到了如何使用 Airdecap-ng 解密 WEP 和 WPA/WPA2-PSK 加密封包。要注意，我們可以使用 Wireshark 做相同的事情。我們推薦你查閱 Wireshark 的文檔來探索如何用它來完成。

我們也可以在破解網路密鑰之後連接到授權網路。這在滲透測試過程中非常方便。使用破解的密鑰登錄授權網路，是你可以提供給客戶的證明網路不安全的證據。

遵循以下步驟來開始：

我們連接到了 WEP 網路。

遵循以下步驟來開始：

默認的 WIFI 工具 iwconfig 不能用於連接 WPA/WPA2 網路。實際上的工具是 WPA_Supplicant 。這個實驗中，我們看到如何使用它來連接 WPA 網路。

Q1 哪種封包用於封包重放？

Q2 WEP 什麼時候能被破解？

Q3 WPA 什麼時候能被破解？

這一章中，我們了解了 WLAN 加密。WEP 含有缺陷，無論 WEP 密鑰是什麼，使用足夠的數據封包就能破解 WEP。WPA/WPA2 在密碼學上不可破解；但是，在特殊的場景下，例如 WPA/WP2-PSK 中使用了弱口令，它就能夠通過字典攻擊來獲得口令。

下一章中我們會看一看 WLAN 設施上的不同工具，例如偽造接入點，邪惡雙生子，位反轉攻擊，以及其它。