【1】Kali破解家用WI-FI密码 - WEP加密

【学习记录】

本人小白一枚，文章用来记录自己目前的学习进度，希望能够用最通俗易懂的语言和命令来为大家讲清楚我的实验过程和经验，同时期待我的学习经验也可以帮助到大家。还望各位大佬能不吝朱玉，指出我的错误和不足，谢谢。
同时声明以下内容均为本人亲手试验结果与原创文字，转载请注明出处。

【实验目的 】

使用Kali系统中已有的Aircrack-ng套件，破解附近使用WEP加密的家用WI-FI密码。

【实验环境】

• Kali Linux
  需要注意的是，我使用的Kali系统是烧录进移动硬盘，通过笔记本电脑bios设置为U盘优先启动，其实相当于直接在笔记本电脑中安装了Kali系统，所以并不是使用虚拟机进行的试验。

  这里说一下我所理解的虚拟机和硬盘启动中，Kali系统对本实验所带来的一些方便与不便。

  因为自身笔记本电脑中会内置无线网卡，在以前我将Kali安装到Vmware，当初除了笔记本内置网卡并没有多余的外接网卡，而且需要将网卡驱动加载至Vmware中，但是无论开启服务还是其他方法，Vmware都显示我的网卡加载失败了，最后查阅资料发现问题可能是笔记本电脑中的内置无线网卡无法加载到VMware中，而身边有一块移动硬盘，所以根据网上的教程，将Kali烧录进移动硬盘中进行使用。

  虚拟机中方便之处在于可以在同一个局域网内开多个实验机器进行试验，在安装好Kali并进行快照之后可以随时恢复，不怕玩坏；缺点是虚拟机终究是太卡了，而且还存在我上面所说的无法加载笔记本电脑内置无线网卡的问题，当然其他无线网卡后来我没在VMware中做实验，不过应该可以加载进去。

  烧录移动硬盘的方便之处是在使用USB 3.0进行外接时候，Kali系统运行十分流畅，并且携带方便，而且开机之后免去了很多虚拟机配置之类的问题，开机即用；缺点是在进行其他无线局域网试验的时候，你得使用更多的设备（手机、平板、电脑）之类的进行测试，除非有钱 ，可能无法达到虚拟机的灵活。

• 路由器型号 TP-Link WR740N
  网络名称：luoluo
  认证类型：开放系统
  WEP密钥格式：ASCII码
  加密算法：128位
  WEP密钥：LUOLUOshitama

• 连接到WIFI的客户端
  iphone7

【试验步骤】

1. 输入 ifconfig 命令查看自己的无线网卡名称
   
   我们可以看到有三条信息，eth0对应物理网卡，lo对应localhost本地回环，而wlan0就是我们所要用到的无线网卡。

2. 输入 airmon-ng start wlan0 使无线网卡开启监听模式
   开启监听模式后的无线网卡可以接收所有经过它的数据流，它和混杂模式类似。监听模式的不需要和AP建立连接，监听模式是无线网卡特有的特殊模式，而混杂模式应用于有线网卡和无线网卡，切记不要搞混。

3. 再次输入 ifconfig 检查无线网卡是否已经开启监听模式，例如我的网卡名以变为wlan0mon，表示已经开启了监听模式。
   

4. 输入命令 airodump-ng wlan0mon 回车
   
   
   使用airodump-ng命令来扫描附近的无线路由器和与之连接的客户端信息，这里我们需要特别注意的是接下来要用到的无线路由的BSSID与CH，也就是我图中绿色标注的地方，BSSID表示该AP的MAC地址；CH表示该AP目前的工作信道；ESSID表示该无线局域网的名称，也就是我们连接WIFI时候显示的WIFI名称。

   这里我已经扫描到了我需要的信息，获得了BSSID、ESSID与CH，就可以Ctrl+C停止了。

5. 输入命令 airodump-ng --ivs -c 6 -w luoluo wlan0mon 回车
   
   这里我们同样重新进行扫描，与上面不同的是后面的参数与扫描方式：
   【–ivs】表示设置过滤，只保存可用于破解的IVS数据报文，这样可以有效地缩减保存的数据包大小；
   【-c】表示让我们的无线网卡在相应的信道进行工作，因为上面我们搜索到目标AP是在6号信道工作的，所以设置为-c 6；
   【-w】表示将提取到的数据报文保存至文件中，后面的参数luoluo可以修改为你所需的文件名；
   
   接下来会出现与上面相同界面的扫描结果，但是我们会发现其中少了特别多无线接入点，这是因为我们已经设置了相应的工作信道，现在我们的网卡只会监听工作信道为6的AP。

   红色的地方我们会看到还有一些信息，这里表示的是与上面扫描到的AP相连的客户端的信息，BSSID表示AP的MAC地址，STATION表示与之相连的客户端的MAC地址，同时要关注的是Frames，表示该客户端的流量，如果Frames的值大量增加，表示客户端可能在进行下载、看视频等等的操作，如果Frames增加很少或根本不增加，则表示客户端可能目前没有网络流量的操作，这里我们最希望看到的是Frames大量增加的情况。

   绿色的一条表示与目标AP连接的客户端信息，这里我们需要关注它。

   这个窗口始终都不要再关闭或者停止，因为我们需要它一直去抓取ivs报文。

6. 新开一个黑窗，输入命令 aireplay-ng -3 -b 38:83:45:95:70:A4 -h A0:3B:E3:B4:15:3F wlan0mon 回车
   
   这里的参数：

   【-3】 表示使用aireplay-ng的第三种攻击模式，ARP-request 注入攻击模式，当抓取到一个ARP请求包的时候对它进行重放,WEP体系的AP会对重放的ARP请求包进行应答。当AP存在合法的客户端连接的时候，少量数据就可产生有效的ARP-request；如果没有合法客户端与AP相连，就无法得到ARP-request，则这种攻击方式就会失败。

   因此如果你扫描AP后暂时没有发现有合法的客户端连接到目标AP上，也就是在第5步中没有找到我标注的绿色的那一栏，则需要等待合法客户端连接之后才可以进行这一步操作。

   【-b】 表示AP的BSSID，也就是我们要破解的无线路由器的BSSID，在上面已经扫描出来了，同时也是第五步中绿色的BSSID；

   【-h】 表示连接到目标AP的合法客户端的MAC地址，也就是第五步中标绿色的STATION；

   回车后出现下面的信息：
   
   这里表示就是在等待一个ARP请求，如果获取到了就会向目标AP发送大量的ARP请求，同时合法客户端会产生大量流量。

   如果你已经得到了ARP请求并且开始了ARP攻击，会产生大量Read … packets（got … ARP requests…）…的信息，则可以跳过下一步，直接看第八步；如果界面有一会卡在这个地方不动，则可以进行下一步，不要关闭或停止这个窗口。

7. 新开一个黑窗，输入命令 aireplay-ng -0 5 -a 38:83:45:95:70:A4 -c A0:3B:E3:B4:15:3F wlan0mon 回车
   
   参数：
   【-0】 Deautenticate 冲突模式，伪造一个disassocate包,让客户端与AP失去连接，之后客户端会重新连接AP（说直白点就是把你连接到wifi的手机、电脑之类的打掉线，然后这些设备会自动去重新连接WIFI）,通过重新连接过程我们可以获取到ARP数据包；
   【5】 表示攻击次数，这里填多少都可以，我这里5次足矣把客户端打掉重连；
   【-a】表示需要攻击AP的BSSID，也就是我们一直来攻击的目标AP；
   【-c】表示连接到目标AP的客户端的MAC地址，也就是我们上面进行ARP攻击的客户端的MAC地址；
   这种攻击模式的前提也是在目标AP中有合法的客户端相连。

   当disassocate包发送成功后会出现上面的这种提示，并且如果目标已经掉线重连，我们的前两个窗口应该已经出现了下面的样子；如果没有的话，请用这一步的命令多试几次，或者把攻击次数写大一些，我个人试的时候还是很管用的，不管是自己家的还是邻居家的一踢就掉线 ！
   

   如果成功之后，第一个窗口我标绿色的Frames数字应该在飞速暴涨，而第二个窗口的APR请求应该也在飞速发送，唰唰唰的那种，接下来就万事俱备，只欠破解！我们稍微等个一分钟再进行下一步！

   就算要进行下一步，之前的两个窗口都先不要关闭或者停了，一直开着让跑！因为有可能会因为抓取到的ivs报文数目不够而爆破不出来！

8. 新开一个黑窗，输入命令 ls 确定一下我们保存的ivs的文件名，之后输入aircrack-ng luoluo-01.ivs 回车
   

   我们可以看到虽然我们保存的文件名是luoluo，可是真正存储下来的文件是luoluo-01.ivs，如果我们下一个保存的文件同样输入luoluo，就会存储为-02、-03… 避免了文件覆盖，这里我们只有一个，所以用aircrack-ng工具来爆破密码，后面跟上ivs文件路径就好啦。

   然后我们可以看到让我们从三个BSSID里面选，因为我们的目标AP是第二个，就直接输入2回车。

   
   如果没有出现上图所示的KEY FOUND消息，出现了KEY NOT FOUND，并且让你Try 什么几千几万，反正就不是上面这样，就稍微等上一分钟，再重新执行这一步的命令，再试，没有再试，只要获取到的包够多总会爆破出来的！

   当我们看到上图这个KEY FOUND消息后，恭喜你！密码已经被爆破出来啦！ 绿色标记后面的ASCII:就是这个AP密码的明文！我这里密码设置的还凑乎，不算是弱口令，但是可以看下黄色的位置，几乎是秒破。

【实验总结】

破解WEP加密的无线路由器密码过程并不算难，上面的几步利用工具都很简单，虽然现在几乎所有无线路由器的加密方式都是WPA/WPA2加密，但是WEP破解的原理还是要进行了解，也不排除你会某天突然碰到一个WEP的加密方式。

不过从上面的实验中也可以看出来WEP加密方式很弱很弱，几乎只要获得了ARP-Request就直接秒破，大家在平时也要避免使用这种加密方式。

以上就是WEP加密破解方式，欢迎大家的留言！之后还会陆续记录其他的破解方式与破解过程！希望也能给其他同伴带来一些帮助，文章叙述的很繁杂，只知道原理但是真正实践不出来很打击人，而只能实践出来却不能明白其中的原理充其量只能算是背下了命令！因为我觉得原理和过程都是同等的重要！只有有了最终的结果才能返回头来更灵活的使用各个过程。小白还在学习中，加油！