【3】Kali破解家用WI-FI密码 - 建立伪装热点

【学习记录】

本人小白一枚，文章用来记录自己目前的学习进度，希望能够用最通俗易懂的语言和命令来为大家讲清楚我的实验过程和经验，同时期待我的学习经验也可以帮助到大家。还望各位大佬能不吝朱玉，指出我的错误和不足，谢谢。
同时声明以下内容均为本人亲手试验结果与原创文字，转载请注明出处。

【实验目的 】

实验需要两块无线网卡，使用fluxion工具来创建一个钓鱼热点，钓鱼热点会有与原热点拥有相同的ESSID，但是没有密码。其中一块无线网卡会攻击目标AP使连接在其上的客户端一直掉线，另一块网卡则用来建立钓鱼热点，引诱客户端与其相连，来获得WIFI密码。
fluxion主要是集成了众多的工具，通过自动化的工具来让你选择步骤，然后进行扫描AP，抓握手包，建立、钓鱼的过程，原理和我之前所说的破解WPA/WPA2密码的原理类似，只不过这次是让目标客户端主动输入密码，然后通过握手包在本地验证客户端输入的密码是否正确。
这次实验的原理较为简单，但是过程则比较繁琐。
fluxion工具：https://github.com/FluxionNetwork/fluxion
在kali中输入命令：git clone https://github.com/FluxionNetwork/fluxion.git 来获取fluxion工具

【实验环境】

• Kali Linux
  需要注意的是，我使用的Kali系统是烧录进移动硬盘，通过笔记本电脑bios设置为U盘优先启动，其实相当于直接在笔记本电脑中安装了Kali系统，所以并不是使用虚拟机进行的试验。

  这里说一下我所理解的虚拟机和硬盘启动中，Kali系统对本实验所带来的一些方便与不便。

  因为自身笔记本电脑中会内置无线网卡，在以前我将Kali安装到Vmware，当初除了笔记本内置网卡并没有多余的外接网卡，而且需要将网卡驱动加载至Vmware中，但是无论开启服务还是其他方法，Vmware都显示我的网卡加载失败了，最后查阅资料发现问题可能是笔记本电脑中的内置无线网卡无法加载到VMware中，而身边有一块移动硬盘，所以根据网上的教程，将Kali烧录进移动硬盘中进行使用。

  虚拟机中方便之处在于可以在同一个局域网内开多个实验机器进行试验，在安装好Kali并进行快照之后可以随时恢复，不怕玩坏；缺点是虚拟机终究是太卡了，而且还存在我上面所说的无法加载笔记本电脑内置无线网卡的问题，当然其他无线网卡后来我没在VMware中做实验，不过应该可以加载进去。

  烧录移动硬盘的方便之处是在使用USB 3.0进行外接时候，Kali系统运行十分流畅，并且携带方便，而且开机之后免去了很多虚拟机配置之类的问题，开机即用；缺点是在进行其他无线局域网试验的时候，你得使用更多的设备（手机、平板、电脑）之类的进行测试，除非有钱 ，可能无法达到虚拟机的灵活。

• 路由器型号 TP-Link WR740N
  网络名称：luoluo
  认证类型：WPA2-PSK
  加密算法：AES
  WEP密钥：11111111

• 连接到WIFI的客户端
  iphone7

• 无线网卡型号
  （1） Intel® Dual Band Wireless-AC 3165 （笔记本电脑内置无线网卡）
  （2） WG111V2 （外接USB无线网卡）
  这里需要两块网卡是因为需要他们分别进行不同工作（建立钓鱼热点与发送disconnect包，来达到让客户端掉线无法重连，尝试连接钓鱼热点的操作）。
  经过我的实验发现只有一块网卡的话，最后只能建立热点，无法再攻击客户端，对于客户端来讲就几乎没有什么理由下线了。

【实验步骤】

1. 输入命令 https://github.com/FluxionNetwork/fluxion.git 下载工具
   
   下载完成后会在目录文件夹内
   
   进入文件夹后，如果是第一次下载运行，建议先输入 ./fluxion.sh 运行一下，可能会提示你在里面缺少很多工具组件，后面会出现很多很多 - MISSING的字样，告诉你无法运行，下面会提示你，请运行./fluxion -i来下载组件。
   退出软件后输入 ./fluxion -i 就可以进行下载了，就不需要去管了，如果报错就退出再试一两次，联网状态下可以下载出来，等更新完再进行下面的步骤。

2. 开启两块无线网卡的监听模式
   输入ifconfig查看无线网卡接口
   
   这里我的两块无线网卡接口分别是wlan0和wlan1，接下来用airmon-ng开启监听模式。
   输入 airmon-ng start wlan0
   输入 airmon-ng start wlan1
   
   再次输入ifconfig检查一下
   
   没问题，这里已经开启了监听模式，我们就可以运行fluxion工具了。

3. 等待更新完成后，输入./fluxion运行工具
   
   进来会让你选择语言，没得说，输入 17 回车，进入下一步。

4. 扫描目标AP与抓取握手包
   
   两个选项
   （1）邪恶的双胞胎接入点 – 我估计是机翻的问题，我第一次看时候吓我一跳…其实就是建立一个钓鱼热点，但是我们现在还没有目标AP的信息，没法建立。
   （2）检索WPA/WP2，当我们要选择新的攻击目标时候，要先选这个选项，来获取目标AP的信息与握手包。
   输入 2 回车
   
   这里列出来的是你的两块无线网卡接口，意思是：让你选择一块无线网卡进行扫描AP的操作，其实就是使用airodump-ng工具进行扫描。
   我这里就用第一块网卡扫描了，输入 1 回车
   
   这里让你选择扫描的信道：
   （1）如果你不知道目标AP的工作信道，你就输入 3 回车，会自动帮你扫描所有信道工作的AP，最后选就行。
   （2）如果你知道目标AP的工作信道（可以提前用airodump-ng扫描一下），或者想攻击某个信道的AP，就输入4，下一步输入信道号。
   我知道我的AP在哪个信道工作，所以输入4进行下一步。
   
   工具上面提示你如何输入信道，这里我的AP工作在1号信道，就不去扫描其他信道了，输入1 回车 ，你们根据自己的目标来进行输入。
   
   之后左上角会出现一个黑色的扫描窗口，稍微等待一下，就会列出很多无线接入点，然后去寻找我们的目标，当目标出现之后，就直接ctrl+c停止就好，我这次实验的目标是名为【luoluo】的无线接入点。
   
   停止扫描后会出现一个列表，上面显示了所有你刚才扫描到的无线接入点，找到你的目标AP输入序号。
   我们可以看到【luoluo】也在里面，而且信号不错，WPA2加密，序号是2，输入 2 回车 继续下一步。
   
   这一步的大意是让你选择一个无线网卡接口来一直扫描目标AP的信息，因为没有多余的无线网卡了，而且也不是必须选项，输入3 回车 跳过。
   
   因为我之前进行过攻击，所以这个工具自动保存了我之前的配置，我选择2重置攻击，如果你的没出来这个页面，直接看下面。
   
   这里让你选择一种攻击方式，通过攻击获取握手包。
   （1）监听模式 - 不使用工具发送disconnect包断开客户端与AP的连接，被动的等待客户端去连接目标AP；（不推荐）
   （2）侵略性 - 主动攻击目标客户端，伪造disconnect包来使连接到目标AP的客户端强行掉线重连，来抓取握手包；（推荐）
   下面的两个工具，看个人喜好了，我比较喜欢aireplay-ng工具，输入 2 回车。
   
   选择一个Hash的验证方式，人家推荐3，咱就输入 3 回车呗。
   
   多久检查一次是否抓到握手包，我推荐60秒吧，因为30秒检查一次过后就会重置攻击，重新进行扫描、攻击，验证等等操作，如果一次两次没抓到包，反而更耗时。
   输入 2 回车。
   
   我测试之后认为，这一步应该是问你如何验证握手包。
   （1）Asynchronously 异步的 - 攻击和验证握手包异步进行，互不影响，速度快。（推荐这个）
   （2）Sysnchronously 同步的 - 到达上一步设置的时限之后，停止攻击，然后验证握手包，如果没有抓到握手包，再重新攻击，如此循环，比较耗时。
   这里都行，这次实验我 输入的 2 回车。
   接下来就开始攻击和抓包验证了。
   
   会弹出来三个窗口，分别介绍：
   （1） 监听目标AP，监听与目标AP相连的客户端信息；
   （2）检查握手包的窗口，等到了时间限制会自动去检查是否抓到握手包；
   （3）攻击窗口，用我们之前选的aireplay-ng工具让目标AP的客户端掉线重连；
   这里我们就不难发现了，这些都是我们之前选择的工具、方式等等，fluxion自动帮我们确定目标并且使用，极大的简化了我们的操作。
   接下来就是等，如果握手包抓取成功，（1）（2）号窗口会消失，（3）号窗口会提示你 成功 ！
   
   这个小窗口可以关掉了。
   
   我们在主窗口这里输入1 回车，可以进行钓鱼热点的建立了。

5. 建立一个 邪恶的双胞胎接入点！
   
   我们可以看到上面的ESSID,BSSID等信息已经被填上了，下面终于能创建一个邪恶的双胞胎接入点了，输入1 回车！
   
   下面问你是否继续这个目标，输入 Y 回车。
   
   又是这个，输入3 回车跳过。
   
   这里让你选择一个用于干扰的网卡接口，其实就是对客户端发送disconnected包使其掉线的网卡接口。我这里打算用第二块网卡wlan1
   mon，这里我就输入2 回车。
   
   这里让你选择一个建立钓鱼热点的无线接口，注意千万别和上一步选重复了（如果你这两步选择了同一块网卡，这块网卡最后只会建立钓鱼热点，没有网卡进行攻击，这就没什么意义了），我这一步要用wlan0mon，输入2回车。
   
   之后让你选择一个攻击方式，这里我还是选择用aireplay-ng工具，输入2回车。
   ![在这里插入图片描述](https://img-blog.csdnimg.cn/2020032221244490.png?x-oss-
   选择一个建立流氓AP 工具，人家推荐1 ，咱输入1 回车。
   
   这里告诉你已经找到了对应目标AP的Hash文件，是不是要直接用，也就是我们刚才抓取到的，直接输入1回车。
   
   推荐3 输入3回车。
   
   创建证书，输入1回车。

断开原网络连接， 输入1回车。

这里会让你选择一个路由器认证界面，就像我们去商场连接的WiFi，连接后会首先打开一个网页让你认证，成功后才能上网。
这个页面展示了各种型号的路由器的认证界面，上面是通用的认证界面，全部的只有第3个是中文界面，输入3回车。

接下来会弹出来六个窗口，如果你弹出来只有五个或者四个，那就说明你之前选择网卡的时候，可能选择重复了，在主界面输入1重新配置一下。
分别介绍一下各个窗口的作用：
（1）监听连接到钓鱼热点的客户端的一些信息；
（2）创建连接协议和会话的信息；
（3）显示当前创建的钓鱼热点的信息，还有是否有客户端在线；
（4）客户端连接53号端口的信息；
（5）客户端连接到钓鱼热点后，发送给验证界面服务器的头部信息；
（6）发送disconnected包的攻击请求的信息；

接下来就成功建立了一个钓鱼热点，并且目标客户端会不停的从目标WIFI的连接上掉线，甚至会忘记该WIFI的连接密码。

从我的手机上可以看出来，建立的钓鱼热点【luoluo】已经出现了，钓鱼热点是一个开放的接入点。
这里我在用iPhone测试时候，发现我原来的WIFI不见了，但是用Android手机测试时候，会出现两个WIFI，一个有密码，一个没密码。这里我还没搞清怎么回事。但是原WiFi一定是连接上就会立马掉线的，因为我们开着一个不停攻击的窗口。

我用我的手机连接上钓鱼热点，之后会弹出来认证界面。

怎么说呢，就是这么个认证界面，告诉你无线网出现了严重的问题，让你输入密码来修复。我觉得吧… 估计就算是一般学计算机的可能遇到这界面也不会突然反应过来怎么回事… 至少我第一眼看到时候还觉得挺有那么回事的的…

输入密码提交之后会发送到我们建立的认证界面服务器上进行验证，如果是正确的密码通过计算会认证通过；如果是错误的密码会告诉你密码错误，让你重新输入。

如果我们输入了错误的密码：

如果我们输入了正确的密码：

如果对方输入了正确的密码，我们认证成功之后，就会出现上面的信息，然后我们这边的攻击也会停止，钓鱼热点也会停止，确实是网络会在短时间内恢复了…

成功后其余五个窗口会消失，只留下一个小窗口告诉你：密码的路径在这里。最后只要cat一下这个路径，就可以看到对方的正确密码啦！

【实验总结】

这一篇打字打的好累，这一种方法是通过扫描，抓取握手包，让对方输入WIFI密码，我们来认证的一种方式。fluxion为我们提供了非常方便的傻瓜式攻击，相对于之前讲解的暴力破解确实是一种更方便和高明一些的手段，避免了跑包的麻烦；但是缺点也很明显，是需要双方的互动来完成的。

这个方法还是比较好的，但是我认为只适用于信号强度不错，切你有至少两块无线网卡。

继续学习！打字不易！希望大家留个赞！