无线WEP&WPA破解教程.pdf

无线 WEP/WPA 破解教程 ——银河学院 无线网络的破解随着 BackTrack 的出世而不断普及，使得破解可让普通用户轻易言之，无线网络的安全也正获得越来越多人的重视对于毫无经验的菜鸟，如何破解 WEP 或 WPA，网上遍地都是破解的经验、方法，而系统性的操作需要菜鸟朋友们花费不少时间去潜水学习本文将详细讲解如何快速破解无线网络 WEP/PWA 加密的几种方法 但方法是相对的，仅提供给您一个理论性的改善和提高能力的路径，而您——是破解的主角，动手+思考才是最最有效的方法 一、WEP\WPA 加解密、破解原理 1、WEP加密 WEP：Wired EquIValent PrIVacy，有线等效加密算法WEP算法是一种可选的链路层安全机制，用来提供访问控制，数据加密和安全性检验等WEP算法的加密和解密原理如下图所示： 1发送端加密过程分析： IV为初始化向量； PASSWORD为密码， KSA=IV+PASSWORD； DATA为明文数据， CRC-32为明文的完整性校验值；PRGA=RC4(KSA)的伪随机数密钥流；XOR异或的加密算法；ENCRYPTED DATA为最后的密文最后IV+ENCRYPTED DATA一起发送出去。

接收端解密过程分析：CIPHERTEXT 为密文它采用与加密相同的办法产生解密密钥序列，再将密文与之XOR得到明文，将明文按照CRC32 算法计算得到完整性校验值CRC-32′，如果加密密钥与解密密钥相同，且CRC-32′= CRC-32，则接收端就得到了原始明文数据，否则解密失败 根据以上WEP加解密原理，WEP的破解就是利用加密体制缺陷，通过收集足够的IV数据包，使用分析密钥算法还原出密码而WPA目前没有加密体制的缺陷可被利用，破解WPA密码使用的是常规的字典攻击法所以在破解方式上WEP和WPA有很大差异 2、WEP破解 方法一：监听模式被动破解（有客户端并存在大量有效通信） 根据已知的的信息我们知道要还原出WEP的密码关键是要收集足够的有效数据帧，从这个数据帧里我们可以提 取IV值和密文与对于这个密文对应的明文的第一个字节是确定的他是逻辑链路控制的802.2 头信息通过这一个字 节的明文和密文，我们做XOR运算能得到一个字节的WEP密钥流由于rc4流密码产生算法只是把原来的密码给打乱了 次序而已，所以我们获得的这一次字节的密码就是就IV+PASSWORD的一部分但是由于RC4的打乱，不知道这一个 字节具体的位置很排列次序，当我们收集到足够多的IV 值还有碎片密码时，就可以进行统计分析运算了。

用上面的密 码碎片重新排序配合IV使用RC4算法得出的值和多个流密码位置进行比较最后得到这些密码碎片正确的排列次序 这样WEP的密码就被分析出来了下图就是WEP破解过程有助于你理解破解WEP通过分析子密码还原密码的过程 23方法二：主动攻击（有客户端，少量通信或者没有通讯） 主动攻击其实就是使用ARP注入(-3 ARP-request attack mode)攻击抓取合法客户端的arp请求包如果发现合法客户 端发给AP的arp请求包，攻击者就会向AP重放这个包由于802.11b允许IV重复使用所以AP接到这样的arp请求后就会 回复客户端，这样攻击者就能搜集到更多的IV了当捕捉到足够多的IV就可以按上面的思路进行破解了如果没有办 法获取arp请求包我们就可以用-0攻击使得合法客户端和AP断线后重新连接0 Deautenticate攻击实际就是无线欺骗 这样我们就有机会获得arp请求包了 方法三：主动攻击（无客户端模式） 只要能和AP建立伪链接，也称为虚连接(-1 fakeauth count attack mode)，这样就能产生数据包了收集两个IV 相同 的WEP 包， 把这两个包里的密文做XOR 运算。

得到一个XOR 文件 用这个XOR文件配合伪造arp包的工具 利CRC-32 的特点伪造一个arp包和原来的IV一起发给AP这样就可以按上面的思路进行破解了其中-2 Interactive，-4 Chopchop， -5 Fragment 都是属于上面这个攻击类型的 3、WPA 加密 wpa 加密算法有两个版本，一个是 WPA，一个是 WPA2，后者为前者的增强版本 其算法结构如下所示： WPA = 802.1x + EAP + TKIP + MIC = Pre-shared Key + TKIP + MIC WPA2(802.11i) = 802.1x + EAP + AES + CCMP = Pre-shared Key + AES + CCMP 这里802.1x + EAP，Pre-shared Key是身份校验算法（WEP没有设置有身份验证机制）；TKIP和AES是数据传输加 密算法（类似于WEP加密的RC4 算法）；MIC和CCMP是数据完整性编码校验算法（类似于WEP中CRC32算法）；EAP称为扩 展认证协议，是一种架构，而不是算法常见的有LEAP，MD5，TTLS，TLS，PEAP，SRP，SIM，AKA。

其中的TLS和TTLS 是双向认证模式， 这个认证方式是不怕网络劫持和字典攻击的 而md5是单向认证的， 无法抵抗网络劫持和中间人攻击 关于企业级的WPA如何破解就不属于本文的讨论范围了，我们只讨论家用级WPA-PSK的破解 WPA认证方式： 802.1x + EAP （工业级的，安全要求高的地方用需要认证服务器） Pre-shared Key （家庭用的，用在安全要求低的地方不需要服务器） 4、WPA-PSK 破解 我们都知道破解WPA-PSK不是和WEP一样抓很多包就能破解的， 这跟抓多少数据包一点关系也没有 破解的关键是要获取握手包，这个握手包叫4way-handshake四次握手包WPA四次握手过程如下图所示： WPA-PSK 初始化工作: 初始化工作: 使用SSID和passphares使用以下算法产生PSK 在WPA-PSK中PMK=PSK,PSK=PMK=pdkdf2_SHA1(passphrase，SSID，SSID length，4096) 第一次握手 第一次握手 AP广播SSID，AP_MAC(AA)→STATION STATION 端使用接受到的SSID，AP_MAC(AA)和passphares使用同样算法产生PSK 第二次握手 第二次握手 STATION 发送一个随机数SNonce，STATION_MAC(SA)→AP AP端接受到SNonce，STATION_MAC(SA)后产生一个随机数Anonce,然后用 PMK,AP_MAC(AA),STATION_MAC(SA)，SNonce，ANonce 用以下算法产生PTK PTK=SHA1_PRF(PMK， Len(PMK)， “Pairwise key expansion“，MIN(AA，SA) ||Max(AA，SA) || Min(ANonce，SNonce) || Max(ANonce，SNonce)) 提取这个PTK 前16 个字节组成一个MIC KEY 第三次握手 第三次握手 AP发送上面产生的ANonce→STATION STATION 端用接收到ANonce 和以前产生PMK，SNonce，AP_MAC(AA)，STATION_MAC(SA)，用同样的算法产生 PTK。

提取这个PTK 前16 个字节组成一个MIC KEY,使用以下算法产生MIC值， 用这个MIC KEY 和一个802.1x data 数 据帧使用以下算法得到MIC值 MIC = HMAC_MD5(MIC Key，16，802.1x data) 第四次握手 第四次握手 STATION 发送802.1x data ，MIC→AP STATION 端用上面那个准备好的802.1x 数据帧在最后填充上MIC值和两个字节的0（十六进制）让后发送这个数据帧 到AP AP端收到这个数据帧后提取这个MIC 并把这个数据帧的MIC部分都填上0 （十六进制） 这时用这个802.1x data 数据帧， 和用上面AP产生的MIC KEY 使用同样的算法得出MIC’如果MIC’等于STATION 发送过来的MIC那么第四次握 手成功若不等说明则AP 和STATION 的密钥不相同，或STATION 发过来的数据帧受到过中间人攻击，原数据被篡 改过握手失败了 4综上所述，WPA-PSK安全体系是十分强大和完善的但他始终是用一个密码保护的，对于这种用密码保护的安全体系，一般情况下我们都可以用一种叫字典攻击的常规攻击手段。

针对WPA-PSK的破解，目前也就只有字典攻击这一种方式了原理是通过截取WPA-PSK的四次握手包中包含的和密码有联系的信息，再依靠这个信息进行字典暴破 总之，想要破解 WPA-PSK 这种强大的加密算法，必须符合以下条件： A、 必须要有合法客户端，并且存在合法的通信流量 B、 通过抓取数据包进行破解的几率为 0，唯一的破解方法是抓取 WPA-PSK 的四次握手包然后进行字典破解 C、 得到四次握手包之后，最后破解的关键是字典的好坏程度，有一定的运气成分了如果碰到强口令时千万不要钻牛角尖，趁早放弃，因为 WPA-PSK 的破解目前唯一有实际价值的只有弱密码字典攻击 二、BT3 傻瓜式破解 wep (spoonwep2) 此方法是最早也是最主流的 WEP 破解方法了 这里的 BT3 就是 backtrack3， 一种开源 linux 系统的发布版 slax，传说中的黑客专用操作系统，国外的很多大牛都使用此系统进行黑客活动BT3 之所以受到广大黑友的亲睐之处在于它强大的无线破解功能，几乎支持所有无线网卡芯片，可轻松破解 wep 协议 40bit/64bit/128bit 加密无线网络密钥。

大家可以google搜索或者http://www.offensive- 系统， 因为WEP的破解就是使用此linux系统平台下的spoonwep2 工具进行的有了此破解利器之后，就算你很菜，菜到不懂linux，不懂protocol，不懂network，OK啦!!会用鼠标会用键盘会打字，就可以入侵wep无线，破解密钥，直接免费蹭网了!so easy!! 但是，嘿嘿~~~做人要厚道，蹭网要文明，拒绝BT，拒绝图谋盗取别人ADSL宽带账号密码！最后，蹭网不是件多么光荣的事情！呵呵~~~好了，言归正传，具体操作步骤如下： 1、 下载到BT3的镜像文件之后， 可将此镜像做成U盘引导进入BT3系统 或者， 更简单的方法， 可以直接使用windows平台下的 Vmware 虚拟机以 cdrom 引导的方式启动到 BT3 系统下 2、 Vmware 启动 BT3 之后，首先要打开一个 shell 窗口，使用 ifconfig –a 命令得到无线网卡的信息如下图所示 53、在 shell 窗口输入命令 spoonwep 命令启动 spoonwep2 图形化工具在”SPOONWEP SETINGS”选项下设置参数： NET CARE 网卡、DRIVER 设备类型、MODE 攻击模式，如下图所示： 64、”NEXT”下一步之后，进入”VICTIMS DISCOVERY”选项下，直接点击”LAUNCH”开始扫描 WEP 无线网络。

如果你的无线网卡天线增益很强，也就是信号收发强度足够，并且附近存在大量的无线网络，2 分钟之内就可以扫描到无线网络信号了在扫描到的无线网络中选择一个“POW”值和“DATA”值都较高的进行破解，因为这两个值决定了 WEP 破解的成功率和破解效率，如下图所示，我选择 SSID 为 ANY 的无线网络为我的攻击目标，它的”POW”和”DATA”值分别为 40、12选定好目标网络之后，点击”SELECTION。