[BackTrack2下破解无线WPA-PSK加密实战讲解

之前已讲述了BackTrack2下关于无线接入点采用WEP64/128位加密的破解，那只是个开始...........应更多人的需要，这里继续深入阐述无线接入点更高级加密即WPA-PSK-TKIP及AES的破解。技术是双刃剑，请大家遵守相关法律及法规。 呵呵，这里也借此打击一下某些自认为采用WPA高级加密就万事无忧的机构部门和个人，望引起对安全理念的更深层次理解。 关于WPA-PSK加密原理这里就不再重述，提示：查看该帖前最好有BackTrack2下破解WEP加密的经验，因为一些以前出现过的小问题这里不再反复回答，请查看之前我发的相关主帖。 无线接入点WPA-PSK加密破解步骤： 注：由于某些原因，我隐去了部分MAC地址，希望各位理解。 首先，在测试用D-LINK的无线AP上配置加密级别为WPA-PSK，启用TKIP。 然后，这里在攻击者笔记本上使用BackTrack2光盘启动引导系统，也就是我之前说的BT2，无线破解只是其中一个功能而已。 在进入系统后，进入方法光盘上直接就有提示，进入到Shell后 输入：startx 进入到图形界面 在图形界面中，打开一个Shell，如下图，输入ifconfig -a 察看当前网卡 这里我就使用USB网卡为例，可以看到有一个名为rausb0的网卡，状态是未载入，这里先不载入网卡驱动。 应先升级Aircrack-ng 0.7 r214至较新版本AirCrack-ng 0.9.1r784，方法如下 输入： cd / cd pentest/wireless update-aircrack.sh 通过网络来升级，速度取决于网络，见下图： 升级完成后，输入aircrack-ng确认当前版本是否更新至aircrack-ng 0.9.1 r784，如下图： 接下来即可输入 ifconfig -a rausb0 up来载入USB网卡驱动，见下图： 下来，我们可以使用如Kismet、Airosnort等工具来扫描当前无线网络的AP，若使用Kismet的话，可以看到该软件很清晰地给出AP频道、流量及加密状况，这里就不再抓图了。 然后，我们需要将网卡激活成monitor模式，才可以进行后续的破解，命令如下： airmon-ng start rausb0 ，这里注意：若前面没有升级过，则显示如下： 若已升级至aircrack-ng 0.9.1，则显示如下，可看到驱动已修正并正常加载： 然后输入下列命令开始嗅探并抓包 airodump-ng -w ciw.cap --channel 6 rausb0 ，这里ciw.cap就是我设置的抓包文件名，回车后可看到采用的是WPA-PSK-TKIP加密，如下图： 这里为了便于WPA握手验证包的获取，必须进行Deauth验证攻击，这个对于采用WPA验证的AP攻击都会用到，可以迫使AP重新与客户端进行握手验证，从而使得截获成为可能。命令如下 aireplay-ng -0 10 -a AP's MAC rausb0 或者 aireplay-ng -0 10 -a AP's MAC -h Client's MAC rausb0 解释一下：-0指的是采取Deautenticate攻击方式，后面为发送次数，-a后面跟上要入侵的AP的MAC地址，-h建议还是使用，效果会更好，这个后面跟的是监测到的客户端MAC地址，如上图中显示的，最后是指定USB无线网卡，如下图： 这里注意，Deauth攻击往往并不是一次攻击就成功，为确保成功截获需要反复进行，需要说明的是，攻击期间很可能会导致该AP的其它无线客户端无法正常上网即断网频繁，如下图所示，而且对于一些低端AP严重会导致其无线功能假死，无法ping通，需重起。我的Dlink和网件AP就是这样反复攻击被废掉的........我可怜的AP啊，Tange、Zero，我可就指望你们这次的AP来继续试验了，哈哈 下来，建立破解WPA-PSK所需的字典，关于字典建立的工具有很多，这里鉴于篇幅不再深究，大家可自行建立。呵呵，其实BackTrack2已为我们备好了破解字典，具体如下： 输入：zcat /pentest/password/dictionaries/wordlist.txt.Z > password.txt 接下来，将字典cp回当前目录下，就可以同步开启aircrack-ng来进行同步破解了，命令如下： aircrack-ng -w password.txt ciw.cap这里-w是字典破解模式，password.txt就是刚才建立的字典，后面是我们即时保存的那个捕获到WPA验证的抓包文件，回车后等待就可破开看到下图了

请注意，破解时间取决于密码难易程度，字典包含程度，内存及CPU等，一般来说，破解WEP加密的时间最快可在1分钟左右，但破解WPA-PSK除非字典确实很对应，最快的1分钟内即可，但绝大多数情况下都是要花少则20分钟，多则数小时。如上图就花费了40

分钟，毕竟，不是所有人都使用类似test、admin123之类密码的。 除了AirCrack-ng，这里也可以使用Cowpatty进行WPA-PSK的破解，如下： 使用Ethereal，WireShark之类嗅探工具打开之前抓取的包含WPA握手的cap文件，使用eapol进行过滤，可看到抓取的Key数据，如下图

另存为wpa.cap，如下图：

然后就可使

用Cowpatty配合字典进行破解了，具体参数如下： cowpatty -f passd.txt -r wpa.cap -s AP’sSSID -v 解释一下：这里-f是字典破解模式，passd.txt为字典，-r后面是刚另存的WPA验证的抓包文件，-s后面跟的是监测到AP的ESSID，最后-v是显示详细过程， 下图为使用

Cowpatty

破

解

WPA

加

密

界

面

下图为破解WPA加密成功后界面

此时既然已经获得WPA-PSK加密密码，即可在自己无线网卡上进行对应配置，就可以通过该AP上网了。当然，换句话说，也就连接到对方内网了，嘿嘿，如此一来，无论对方在有线网络采用多强大的防火墙、IDS的配置架构，或者采取什么Linux、BSD、Unix操作系统，我们完全可以通过对无线网络的入侵将其全部绕过，直接攻入内网。对指定目标的渗透，若无法通过注入提权之类的方式进入，不妨从无线领域试试，或许会有意想不到的收获[em01]

一些细节： 很多新手在进行WPA破解时都会面临网卡驱动不支持的情况，这里为保证

更多网卡的驱动能够识别并正常载入，一定要先升级Aircrack-ng 0.7 r214至较新版本AirCrack-ng 0.9.1r784。 没有截获到WPA握手的数据包，在破解时会如下图所示：

在

使用AirCrack-ng破解WPA时，也可以这样输入： aircrack-ng -w password.txt -z ciw.cap 这里-z是采用aircrack-ptw模式破解，该模式只存在于aircrack-ng0.9.1以上版本或aircrack-ptw，其破解速度有时比-ng模式会更快些，主要在于其所需截获的内容更少，破解界

面

见

下

图

对于其他操作系统而言，破解原理及过程基本类似，只是工具及命令上的区别，如其它Linux，BSD，MacOS等，这里不再重复发帖，只给出一个图例，如下图为在Ubuntu下成功破解WPA加密界面

7mL2h10n.jpg (29.67 KB) 2007-10-30 15:36 最后： 我是

ZerOne安全小组组长

Christopher Yang，本文原稿写于2007年6月，

原为ZerOne内部交流资料，此次发出为提高整体安全水平和参加AnyWlan原创奖励计划活动之意，希望此文可加深大家体会无线安全领域发展形势，如文中有不明或表述有误的地方，恭请指正。 ZerOne Security Team之前一直保持低调，最近才决定浮出水面，无线安全是我们其中一个方向，目前正努力和国外相关技术接轨，请大家继续支持。下次我会带来更多最新的无线攻击如WPA2PSK/认证服务器攻击等.....敬请期待。[em05] 中国的无线

黑客时代已经到来，Join and Enjoy ！