Aircrack-ng学习笔记之无AP破解WiFi密码

0x01 原理介绍

　　在目标AP已有合法客户端连接的情况下，可以通过airodump-ng侦听数据包，然后用aireplay-ng的deauth强制合法客户端掉线，掉线后客户端会尝试重新连接AP，此时会产生握手包。如果成功抓取到该握手包，则可以用字典进行本地离线破解。使用这种方法进行攻击的前提有两个：1、必须处在目标AP的信号范围内。2、已有合法客户端连接该AP。

　　在客户端开启无线，但是没有与目标AP连接的情况下，可以通过airbase-ng伪造目标AP来欺骗客户端与其连接，这时也会产生握手包，通过这个握手包，同样可以实现破解目标AP无线密码以及入侵该客户端。

 

0x02 实验准备

　　Kali物理机，手机A（创建一个名为Hack_WiFi_Without_AP的热点）,手机B（连接热点，然后关闭手机A热点，不关闭手机B的无线）

 

0x03 实验步骤

关闭会影响抓包的进程，网卡开启侦听模式

airmon-ng check kill
airmon-ng start wlan0

　　

 

启用airodump-ng扫描周围的无线信号　

airodump-ng wlan0mon

74:AD:B7:A7:CB:A2是手机B的网卡MAC地址，处于not associated状态，所以手机B此时扫描周围是否有曾经连接过的AP，如有则尝试连接。可以看到c此时正在搜索曾经连过的BSSID名为ChinaNet-qQRH和Hack_WiFi_Without_AP的这两个AP

 

指定Hack_WiFi_Without_AP进行抓包，结果命名为test

airodump-ng wlan0mon --essid Hack_WiFi_Without_AP -w test

 

 

用airbase-ng构造一个同名的虚假AP

airbase-ng --essid Hack_WiFi_Without_AP -c 6 -Z 4 wlan0mon

-c代表channel信道，-Z代表WPA2加密，参数4是指定CCMP加密

P.S. -z代表WPA1加密，参数1～5分别表示WEP40、TKIP、WRAP、CCMP、WEP104，与-Z共用

 

 

手机B发现这个ESSID和加密方式相同的虚假AP，发送握手包

 

 

用字典离线破解密码

aircrack-ng -w 字典文件 test-01.cap

　

　

 

0x04 题外话

相比于传统的打掉客户端进行deauth攻击，本以为无AP破解WiFi这个思路比较鸡肋，因为即使你得到WiFi密码可是AP不在范围内照样连不上。直到我看到了tk教主的老司机的BlackHat手册——衣食住行和WiFi，文中说道：参加任何安全大会，最重要的事儿都是关闭手机WiFi，主要是防Karma攻击——只要你之前连接过任何一个无密码的WiFi，攻击者就可以让你的手机认为又来到了这个WiFi旁边，并连接上去。看来猥琐的思路最重要，重心不一定是在AP端，也可以是客户端。