一:Aircrack-ng詳解
1.1 Aircrack-ng概述
Aircrack-ng是一款用於破解無線802.11WEP及WPA-PSK加密的工具,該工具在2005年11月之前名字是Aircrack,在其2.41版本之后才改名為Aircrack-ng。
Aircrack-ng(注意大小寫,aircrack-ng是Aircrackng中的一個組件)是一個包含了多款工具的無線攻擊審計套裝,這里面很多工具在后面的內容中都會用到,具體見下表為Aircrack-ng包含的組件具體列表。
| 組件名稱 |
描 述 |
| aircrack-ng |
主要用於WEP及WPA-PSK密碼的恢復,只要airodump-ng收集到足夠數量的數據包,aircrack-ng就可以自動檢測數據包並判斷是否可以破解 |
| airmon-ng |
用於改變無線網卡工作模式,以便其他工具的順利使用 |
| airodump-ng |
用於捕獲802.11數據報文,以便於aircrack-ng破解 |
| aireplay-ng |
在進行WEP及WPA-PSK密碼恢復時,可以根據需要創建特殊的無線網絡數據報文及流量 |
| airserv-ng |
可以將無線網卡連接至某一特定端口,為攻擊時靈活調用做准備 |
| airolib-ng |
進行WPA Rainbow Table攻擊時使用,用於建立特定數據庫文件 |
| airdecap-ng |
用於解開處於加密狀態的數據包 |
| tools |
其他用於輔助的工具,如airdriver-ng、packetforge-ng等 |
1.2 各組件詳解(主要參考man手冊)
1.2.1 airmon-ng
作用:該命令可以用於無線網卡的“管理模式”與“監聽模式”的相互切換。當使用該命令並且不加任何選項時,將會顯示無線網卡的狀態。同時該命令也可以list或者終止會妨礙到無線網卡操作的進程。
a)“管理模式”與“監聽模式”的相互切換
用法:airmon-ng <start|stop> <interface> [channel]
#切換前 qi@zhuandshao:~/download/1-專業軟件$ iwconfig wlp2s0 IEEE 802.11 ESSID:"2s" mode:Managed Frequency:2.467 GHz Access Point: 44:98:5C:4A:D9:68 Bit Rate=135 Mb/s Tx-Power=16 dBm Retry short limit:7 RTS thr:off Fragment thr:off Power Management:off Link Quality=68/70 Signal level=-42 dBm Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0 Tx excessive retries:11 Invalid misc:131 Missed beacon:0 #切換后 qi@zhuandshao:~/download/1-專業軟件$ sudo airmon-ng start wlp2s0 PHY Interface Driver Chipset phy0 wlp2s0 ath9k Qualcomm Atheros QCA9565 / AR9565 Wireless Network Adapter (rev 01) (mac80211 monitor mode vif enabled for [phy0]wlp2s0 on [phy0]wlp2s0mon) (mac80211 station mode vif disabled for [phy0]wlp2s0) qi@zhuandshao:~/download/1-專業軟件$ iwconfig enp1s0 no wireless extensions. lo no wireless extensions. wlp2s0mon IEEE 802.11 Mode:Monitor Frequency:2.457 GHz Tx-Power=15 dBm Retry short limit:7 RTS thr:off Fragment thr:off Power Management:off
切換前,查看無線網卡的信息,可以看到紅色底色部分展示的無線網卡的名稱為wlp2s0,模式為Managed(管理模式);
切換后,再次查看無線網卡信息,可以看到紅色底色部分展示的無線網卡的名稱為wlp2s0mon,模式為Monitor(監聽模式),並且此時無線網卡不再作為一個station接入任何無線網絡。
b) 查看無線網卡狀態
用法:airmon-ng
1 qi@zhuandshao:~/download/1-專業軟件$ sudo airmon-ng 2 3 PHY Interface Driver(驅動程序) Chipset(芯片集) 4 5 phy0 wlp2s0mon ath9k Qualcomm Atheros QCA9565 / AR9565 Wireless Network Adapter (rev 01)
顯示出無線網卡的一些基本信息,包括驅動程序與芯片集。
c) list/kill會妨礙到無線網卡操作的進程
用法:airmon-ng <check> [kill]
列出所有可能干擾無線網卡的程序。如果參數kill被指定,將會終止所有的程序。
1 qi@zhuandshao:~/download/1-專業軟件$ sudo airmon-ng check 2 3 Found 5 processes that could cause trouble. 4 If airodump-ng, aireplay-ng or airtun-ng stops working after 5 a short period of time, you may want to run 'airmon-ng check kill' 6 7 PID Name 8 864 avahi-daemon 9 940 avahi-daemon 10 1137 wpa_supplicant 11 7800 dhclient 12 9086 NetworkManager
補充內容:無線網卡模式
被管理模式(Managed mode):當你的無線客戶端直接與無線接入點(Wireless Access Point,WAP)連接時,就使用這個模式。在這個模式中,無線網卡的驅動程序依賴WAP管理整個通信過程。
Ad hoc模式:當你的網絡由互相直連的設備組成時,就使用這個模式。在這個模式中,無線通信雙方共同承擔WAP的職責。
主模式(Master mode):一些高端無線網卡還支持主模式。這個模式允許無線網卡使用特制的驅動程序和軟件工作,作為其他設備的WAP。
監聽模式(Monitor mode):就我們的用途而言,這是最重要的模式。當你希望無線客戶端停止收發數據,專心監聽空氣中的數據包時,就使用監聽模式。要使Wireshark捕獲無線數據包,你的無線網卡和配套驅動程序必須支持監聽模式(也叫RFMON模式)。
大部分用戶只使用無線網卡的被管理模式或ad hoc模式。圖11-4展示了各種模式如何工作。
1.2.2 airodump-ng
作用:該命令被用作捕獲原始802.11數據幀以便使用aircrack-ng破解。如果你的計算機連接的GPS接收器,airodump-ng可以記錄發現的接入點的坐標。此外,airodump-ng寫出一個文本文件中包含所有接入點和可見客戶端的細節。
常用選項描述:
-w <prefix>, --write <prefix>:該選項可用來使用轉儲文件前綴;即是使用該選項指定存儲文件名后,將會生成一個捕獲包同名的CVS文件。
1 qi@zhuandshao:~/123$ sudo airodump-ng -w qw wlp2s0mon 2 CH 8 ][ Elapsed: 0 s ][ 2017-07-07 23:53 3 4 BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 5 6 70:3D:15:28:2C:78 -85 3 0 0 6 54e. OPN NCWU-Uicom 7 70:3D:15:22:53:19 -77 1 0 0 6 54e. OPN NCWU 8 70:3D:15:28:2C:79 -88 2 0 0 6 54e. OPN NCWU 9 10 ^C 11 #可以看到轉存文件(.cvs)與捕獲包(.cap) 12 qi@zhuandshao:~/123$ ls 13 14 qw-01.cap qw-01.csv qw-01.kismet.csv qw-01.kismet.netxml
-i, --ivs:使用該選項后,只會保存可用於破解的IVS數據報文。通過設置過濾,不再將所有無線數據保存,這樣可以有效地縮減保存的數據包大小。
1 qi@zhuandshao:~/123$ sudo airodump-ng -i -w qw wlp2s0mon 2 CH 1 ][ Elapsed: 6 s ][ 2017-07-07 23:59 3 4 BSSID(ap的MAC) PWR(信號強度) Beacons(ap發送的beacons數據包量) #Data(捕獲的數據包的量), #/s CH MB ENC CIPHER AUTH ESSID 5 6 08:10:76:E6:F9:18 -88 2 0 0 6 54e WPA2 CCMP PSK xiaoyu 7 44:97:5A:4A:C4:68 -36 15 1 0 12 54e WPA2 CCMP PSK 2s 8 9 BSSID STATION PWR Rate Lost Frames Probe 10 11 44:97:5A:4A:C4:68 38:A4:ED:B4:E9:DD -72 0 - 1e 2 2 12 13 14 ^C 15 #捕獲的流量包被存儲為ivs文件 16 qi@zhuandshao:~/123$ ls 17 qw-01.ivs
-d <bssid>, --bssid <bssid>:根據Bssid過濾,顯示指定的bssid的信息。
-N, --essid:根據Essid過濾,顯示指定的Essid的信息。
1 #顯示bssid為44:97:5A:4A:C4:68 的無線熱點的信息 2 qi@zhuandshao:~/123$ sudo airodump-ng --bssid 44:97:5A:4A:C4:68 wlp2s0mon 3 4 CH 9 ][ Elapsed: 24 s ][ 2017-07-08 00:17 5 6 BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 7 8 44:97:5A:4A:C4:68 -34 49 12 2 12 54e WPA2 CCMP PSK 2s 9 10 BSSID STATION PWR Rate Lost Frames Probe 11 12 44:97:5A:4A:C4:68 48:6B:2C:83:6D:28 -32 0e- 0e 0 14
#Bssid為44:97:5A:4A:C4:68的熱點上連接有MAC地址為48:6B:2C:83:6D:28機器。
-c <channel>:指定監聽的信道,默認在2.4GHz頻譜內跳躍。
1 #監聽所有的在通道1上的通信 2 qi@zhuandshao:~/123$ sud airodump-ng -c 1 wlp2s0mon 3 CH 1 ][ Elapsed: 12 s ][ 2017-07-08 00:14
輸出信息詳解:
1 qi@zhuandshao:~/123$ sudo airodump-ng wlp2s0mon #不加參數可以當做掃描周邊無線網絡
1 CH 3 ][ Elapsed: 0 s ][ 2017-07-08 00:26 2 3 BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 4 5 80:89:17:2F:12:2E -82 0 0 0 11 54e. WPA2 CCMP PSK I love study 6 C4:36:55:68:62:6F -59 76 108 2 1 54e. WPA2 CCMP PSK fuck you 7 D4:83:04:2D:20:E4 -85 3 0 0 13 54e WPA2 CCMP PSK FAST_20E4 8 9 10 BSSID STATION PWR Rate Lost Frames Probe 11 12 (not associated) 48:6B:2C:83:6D:28 -61 0 - 1 11 9 13 (not associated) B6:33:08:3C:B5:DC -82 0 - 1 0 1 14 C4:36:55:68:62:6F 5C:AD:CF:35:4C:46 -80 0 - 1 2 3 15 C4:36:55:68:62:6F AC:E0:10:11:58:17 -83 6e- 1 3 24 fuck you
BSSID:無線熱點的MAC地址
PWR:無線熱點的信號強度。個人經驗一般信號強度大於-70的可以進行破解,大於-60就最好了,小於-70的不穩定,信號比較弱。(信號強度的絕對值越小表示信號越強)
Beacons:AP發送的beacons的數量。每個接入點在最低速率下,大約每秒發送10個beacons。因此會看到該數值增加非常快。
#Data:捕獲的數據包量,包含廣播數據包。
#/s:
CH:通道.
MB:AP所支持的最大的速率。如果MB = 11,就是802.11b;如果MB = 22,就是802.11b+;更高的速率是802.11g。(54.)表明短前導碼的支持,”E”表明網絡具有QoS(802.11e)啟用。
ENC:使用的加密算法。OPN表示不加密;"WEP?"表示沒有足夠的數據證明是WEP或者時更高級的WPA; 沒有問號標記的WEP表示靜態或動態WEP;如果是 TKIP 、 CCMP 或者 MGT則代表WPA或WPA2。
CIPHER:檢測的密碼。
AUTH:使用的認證協議。
ESSID:也被稱為SSID。
STATION:每一個相關的的工作站或搜索AP連接的工作站的MAC地址。
airodump-ng的常用使用方式:
airodump-ng最主要的作用就是捕獲用於aircrack-ng破解使用的數據包(.ivs或者.cap)。使用時可以按照如下思路使用:
1.在使用時可以不加任何選項先搜索一下周邊的AP,找到感興趣的AP;
2.使用過濾(根據Bssid過濾)將感興趣AP的詳細信息展示出來;
3.之后開始捕獲該AP用於破解的數據包。
//TODO
下篇將會詳解Aircrack-ng套件的另外兩個組件,aireplay-ng與aircrack-ng。
第三篇會演示一個無線破解示例。