Aircrack-ng学习笔记之无AP破解WiFi密码

0x01 原理介绍

  在目标AP已有合法客户端连接的情况下,可以通过airodump-ng侦听数据包,然后用aireplay-ng的deauth强制合法客户端掉线,掉线后客户端会尝试重新连接AP,此时会产生握手包。如果成功抓取到该握手包,则可以用字典进行本地离线破解。使用这种方法进行攻击的前提有两个:1、必须处在目标AP的信号范围内。2、已有合法客户端连接该AP。

  在客户端开启无线,但是没有与目标AP连接的情况下,可以通过airbase-ng伪造目标AP来欺骗客户端与其连接,这时也会产生握手包,通过这个握手包,同样可以实现破解目标AP无线密码以及入侵该客户端。

 

0x02 实验准备

  Kali物理机,手机A(创建一个名为Hack_WiFi_Without_AP的热点),手机B(连接热点,然后关闭手机A热点,不关闭手机B的无线)

 

0x03 实验步骤

关闭会影响抓包的进程,网卡开启侦听模式

airmon-ng check kill
airmon-ng start wlan0

  

 

启用airodump-ng扫描周围的无线信号 

airodump-ng wlan0mon

74:AD:B7:A7:CB:A2是手机B的网卡MAC地址,处于not associated状态,所以手机B此时扫描周围是否有曾经连接过的AP,如有则尝试连接。可以看到c此时正在搜索曾经连过的BSSID名为ChinaNet-qQRH和Hack_WiFi_Without_AP的这两个AP

 


指定Hack_WiFi_Without_AP进行抓包,结果命名为test

airodump-ng wlan0mon --essid Hack_WiFi_Without_AP -w test

 

 

用airbase-ng构造一个同名的虚假AP

airbase-ng --essid Hack_WiFi_Without_AP -c 6 -Z 4 wlan0mon

-c代表channel信道,-Z代表WPA2加密,参数4是指定CCMP加密

P.S. -z代表WPA1加密,参数1~5分别表示WEP40、TKIP、WRAP、CCMP、WEP104,与-Z共用

 

 

手机B发现这个ESSID和加密方式相同的虚假AP,发送握手包

 

 

用字典离线破解密码

aircrack-ng -w 字典文件 test-01.cap

 

 

 

0x04 题外话

相比于传统的打掉客户端进行deauth攻击,本以为无AP破解WiFi这个思路比较鸡肋,因为即使你得到WiFi密码可是AP不在范围内照样连不上。直到我看到了tk教主的老司机的BlackHat手册——衣食住行和WiFi,文中说道:参加任何安全大会,最重要的事儿都是关闭手机WiFi,主要是防Karma攻击——只要你之前连接过任何一个无密码的WiFi,攻击者就可以让你的手机认为又来到了这个WiFi旁边,并连接上去。看来猥琐的思路最重要,重心不一定是在AP端,也可以是客户端。

posted @ 2016-08-11 16:07  tzuxung  阅读(12756)  评论(0编辑  收藏  举报