一:Aircrack-ng详解
1.1 Aircrack-ng概述
Aircrack-ng是一款用于破解无线802.11WEP及WPA-PSK加密的工具,该工具在2005年11月之前名字是Aircrack,在其2.41版本之后才改名为Aircrack-ng。
Aircrack-ng(注意大小写,aircrack-ng是Aircrackng中的一个组件)是一个包含了多款工具的无线攻击审计套装,这里面很多工具在后面的内容中都会用到,具体见下表为Aircrack-ng包含的组件具体列表。
组件名称 |
描 述 |
aircrack-ng |
主要用于WEP及WPA-PSK密码的恢复,只要airodump-ng收集到足够数量的数据包,aircrack-ng就可以自动检测数据包并判断是否可以破解 |
airmon-ng |
用于改变无线网卡工作模式,以便其他工具的顺利使用 |
airodump-ng |
用于捕获802.11数据报文,以便于aircrack-ng破解 |
aireplay-ng |
在进行WEP及WPA-PSK密码恢复时,可以根据需要创建特殊的无线网络数据报文及流量 |
airserv-ng |
可以将无线网卡连接至某一特定端口,为攻击时灵活调用做准备 |
airolib-ng |
进行WPA Rainbow Table攻击时使用,用于建立特定数据库文件 |
airdecap-ng |
用于解开处于加密状态的数据包 |
tools |
其他用于辅助的工具,如airdriver-ng、packetforge-ng等 |
1.2 各组件详解(主要参考man手册)
1.2.1 airmon-ng
作用:该命令可以用于无线网卡的“管理模式”与“监听模式”的相互切换。当使用该命令并且不加任何选项时,将会显示无线网卡的状态。同时该命令也可以list或者终止会妨碍到无线网卡操作的进程。
a)“管理模式”与“监听模式”的相互切换
用法:airmon-ng <start|stop> <interface> [channel]
#切换前 qi@zhuandshao:~/download/1-专业软件$ iwconfig wlp2s0 IEEE 802.11 ESSID:"2s" mode:Managed Frequency:2.467 GHz Access Point: 44:98:5C:4A:D9:68 Bit Rate=135 Mb/s Tx-Power=16 dBm Retry short limit:7 RTS thr:off Fragment thr:off Power Management:off Link Quality=68/70 Signal level=-42 dBm Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0 Tx excessive retries:11 Invalid misc:131 Missed beacon:0 #切换后 qi@zhuandshao:~/download/1-专业软件$ sudo airmon-ng start wlp2s0 PHY Interface Driver Chipset phy0 wlp2s0 ath9k Qualcomm Atheros QCA9565 / AR9565 Wireless Network Adapter (rev 01) (mac80211 monitor mode vif enabled for [phy0]wlp2s0 on [phy0]wlp2s0mon) (mac80211 station mode vif disabled for [phy0]wlp2s0) qi@zhuandshao:~/download/1-专业软件$ iwconfig enp1s0 no wireless extensions. lo no wireless extensions. wlp2s0mon IEEE 802.11 Mode:Monitor Frequency:2.457 GHz Tx-Power=15 dBm Retry short limit:7 RTS thr:off Fragment thr:off Power Management:off
切换前,查看无线网卡的信息,可以看到红色底色部分展示的无线网卡的名称为wlp2s0,模式为Managed(管理模式);
切换后,再次查看无线网卡信息,可以看到红色底色部分展示的无线网卡的名称为wlp2s0mon,模式为Monitor(监听模式),并且此时无线网卡不再作为一个station接入任何无线网络。
b) 查看无线网卡状态
用法:airmon-ng
1 qi@zhuandshao:~/download/1-专业软件$ sudo airmon-ng 2 3 PHY Interface Driver(驱动程序) Chipset(芯片集) 4 5 phy0 wlp2s0mon ath9k Qualcomm Atheros QCA9565 / AR9565 Wireless Network Adapter (rev 01)
显示出无线网卡的一些基本信息,包括驱动程序与芯片集。
c) list/kill会妨碍到无线网卡操作的进程
用法:airmon-ng <check> [kill]
列出所有可能干扰无线网卡的程序。如果参数kill被指定,将会终止所有的程序。
1 qi@zhuandshao:~/download/1-专业软件$ sudo airmon-ng check 2 3 Found 5 processes that could cause trouble. 4 If airodump-ng, aireplay-ng or airtun-ng stops working after 5 a short period of time, you may want to run \'airmon-ng check kill\' 6 7 PID Name 8 864 avahi-daemon 9 940 avahi-daemon 10 1137 wpa_supplicant 11 7800 dhclient 12 9086 NetworkManager
补充内容:无线网卡模式
被管理模式(Managed mode):当你的无线客户端直接与无线接入点(Wireless Access Point,WAP)连接时,就使用这个模式。在这个模式中,无线网卡的驱动程序依赖WAP管理整个通信过程。
Ad hoc模式:当你的网络由互相直连的设备组成时,就使用这个模式。在这个模式中,无线通信双方共同承担WAP的职责。
主模式(Master mode):一些高端无线网卡还支持主模式。这个模式允许无线网卡使用特制的驱动程序和软件工作,作为其他设备的WAP。
监听模式(Monitor mode):就我们的用途而言,这是最重要的模式。当你希望无线客户端停止收发数据,专心监听空气中的数据包时,就使用监听模式。要使Wireshark捕获无线数据包,你的无线网卡和配套驱动程序必须支持监听模式(也叫RFMON模式)。
大部分用户只使用无线网卡的被管理模式或ad hoc模式。图11-4展示了各种模式如何工作。
1.2.2 airodump-ng
作用:该命令被用作捕获原始802.11数据帧以便使用aircrack-ng破解。如果你的计算机连接的GPS接收器,airodump-ng可以记录发现的接入点的坐标。此外,airodump-ng写出一个文本文件中包含所有接入点和可见客户端的细节。
常用选项描述:
-w <prefix>, --write <prefix>:该选项可用来使用转储文件前缀;即是使用该选项指定存储文件名后,将会生成一个捕获包同名的CVS文件。
1 qi@zhuandshao:~/123$ sudo airodump-ng -w qw wlp2s0mon 2 CH 8 ][ Elapsed: 0 s ][ 2017-07-07 23:53 3 4 BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 5 6 70:3D:15:28:2C:78 -85 3 0 0 6 54e. OPN NCWU-Uicom 7 70:3D:15:22:53:19 -77 1 0 0 6 54e. OPN NCWU 8 70:3D:15:28:2C:79 -88 2 0 0 6 54e. OPN NCWU 9 10 ^C 11 #可以看到转存文件(.cvs)与捕获包(.cap) 12 qi@zhuandshao:~/123$ ls 13 14 qw-01.cap qw-01.csv qw-01.kismet.csv qw-01.kismet.netxml
-i, --ivs:使用该选项后,只会保存可用于破解的IVS数据报文。通过设置过滤,不再将所有无线数据保存,这样可以有效地缩减保存的数据包大小。
1 qi@zhuandshao:~/123$ sudo airodump-ng -i -w qw wlp2s0mon 2 CH 1 ][ Elapsed: 6 s ][ 2017-07-07 23:59 3 4 BSSID(ap的MAC) PWR(信号强度) Beacons(ap发送的beacons数据包量) #Data(捕获的数据包的量), #/s CH MB ENC CIPHER AUTH ESSID 5 6 08:10:76:E6:F9:18 -88 2 0 0 6 54e WPA2 CCMP PSK xiaoyu 7 44:97:5A:4A:C4:68 -36 15 1 0 12 54e WPA2 CCMP PSK 2s 8 9 BSSID STATION PWR Rate Lost Frames Probe 10 11 44:97:5A:4A:C4:68 38:A4:ED:B4:E9:DD -72 0 - 1e 2 2 12 13 14 ^C 15 #捕获的流量包被存储为ivs文件 16 qi@zhuandshao:~/123$ ls 17 qw-01.ivs
-d <bssid>, --bssid <bssid>:根据Bssid过滤,显示指定的bssid的信息。
-N, --essid:根据Essid过滤,显示指定的Essid的信息。
1 #显示bssid为44:97:5A:4A:C4:68 的无线热点的信息 2 qi@zhuandshao:~/123$ sudo airodump-ng --bssid 44:97:5A:4A:C4:68 wlp2s0mon 3 4 CH 9 ][ Elapsed: 24 s ][ 2017-07-08 00:17 5 6 BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 7 8 44:97:5A:4A:C4:68 -34 49 12 2 12 54e WPA2 CCMP PSK 2s 9 10 BSSID STATION PWR Rate Lost Frames Probe 11 12 44:97:5A:4A:C4:68 48:6B:2C:83:6D:28 -32 0e- 0e 0 14
#Bssid为44:97:5A:4A:C4:68的热点上连接有MAC地址为48:6B:2C:83:6D:28机器。
-c <channel>:指定监听的信道,默认在2.4GHz频谱内跳跃。
1 #监听所有的在通道1上的通信 2 qi@zhuandshao:~/123$ sud airodump-ng -c 1 wlp2s0mon 3 CH 1 ][ Elapsed: 12 s ][ 2017-07-08 00:14
输出信息详解:
1 qi@zhuandshao:~/123$ sudo airodump-ng wlp2s0mon #不加参数可以当做扫描周边无线网络
1 CH 3 ][ Elapsed: 0 s ][ 2017-07-08 00:26 2 3 BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 4 5 80:89:17:2F:12:2E -82 0 0 0 11 54e. WPA2 CCMP PSK I love study 6 C4:36:55:68:62:6F -59 76 108 2 1 54e. WPA2 CCMP PSK fuck you 7 D4:83:04:2D:20:E4 -85 3 0 0 13 54e WPA2 CCMP PSK FAST_20E4 8 9 10 BSSID STATION PWR Rate Lost Frames Probe 11 12 (not associated) 48:6B:2C:83:6D:28 -61 0 - 1 11 9 13 (not associated) B6:33:08:3C:B5:DC -82 0 - 1 0 1 14 C4:36:55:68:62:6F 5C:AD:CF:35:4C:46 -80 0 - 1 2 3 15 C4:36:55:68:62:6F AC:E0:10:11:58:17 -83 6e- 1 3 24 fuck you
BSSID:无线热点的MAC地址
PWR:无线热点的信号强度。个人经验一般信号强度大于-70的可以进行破解,大于-60就最好了,小于-70的不稳定,信号比较弱。(信号强度的绝对值越小表示信号越强)
Beacons:AP发送的beacons的数量。每个接入点在最低速率下,大约每秒发送10个beacons。因此会看到该数值增加非常快。
#Data:捕获的数据包量,包含广播数据包。
#/s:
CH:通道.
MB:AP所支持的最大的速率。如果MB = 11,就是802.11b;如果MB = 22,就是802.11b+;更高的速率是802.11g。(54.)表明短前导码的支持,”E”表明网络具有QoS(802.11e)启用。
ENC:使用的加密算法。OPN表示不加密;"WEP?"表示没有足够的数据证明是WEP或者时更高级的WPA; 没有问号标记的WEP表示静态或动态WEP;如果是 TKIP 、 CCMP 或者 MGT则代表WPA或WPA2。
CIPHER:检测的密码。
AUTH:使用的认证协议。
ESSID:也被称为SSID。
STATION:每一个相关的的工作站或搜索AP连接的工作站的MAC地址。
airodump-ng的常用使用方式:
airodump-ng最主要的作用就是捕获用于aircrack-ng破解使用的数据包(.ivs或者.cap)。使用时可以按照如下思路使用:
1.在使用时可以不加任何选项先搜索一下周边的AP,找到感兴趣的AP;
2.使用过滤(根据Bssid过滤)将感兴趣AP的详细信息展示出来;
3.之后开始捕获该AP用于破解的数据包。
//TODO
下篇将会详解Aircrack-ng套件的另外两个组件,aireplay-ng与aircrack-ng。
第三篇会演示一个无线破解示例。