Linux kali无线安全之WPA/WPA2握手包捕获与爆破

提示：本文章内所有内容环境为自己搭建绝无违法内容，请不要利用其中的技术来做违法的事情。

无线网络安全

简介

相对于有线网络，无线网络有严重的缺点，因为它使用天空作为媒介。因此，黑客有能力通过中间人或其他方法进行攻击。
因此，无线的安全问题直至现在都十分关注，按照无线网络的安全标准可划分为：

WEP
WPA-PSK
WPA2-PSK
WPA-802.1x
WPA2-802.1x

WEP 是原始安全标准的无线网络，但它很容易破解。WPA 和 WPA2 是主动提供无线安全，解决安全漏洞的 WEP。WPA 和 WPA2 仍划分共享密钥和 802.1x，用于个人和企业。

渗透测试环境

一个WPA2的无线网络,mac地址2E:20:0B:52:FD:A4

靶机A win7系统 mac地址48:8A:D2:7E:2E:89

靶机B win10系统 mac地址2C:6F:C9:15:49:75
攻击机kali linux系统

实施攻击

如果kali装在虚拟机中，不管你的电脑是台式还是笔记本，都需要连接无线网卡，如果你的电脑是笔记本也请接上无线网卡。

终端中执行iwconfig命令，看到wlan字样即代表连接成功

加载无线网卡：ifconfig wlan0 up

执行以下命令激活无线网卡到monitor（监听）模式

airmon-ng start wlan0

再次执行iwconfig命令，当看到wlan0后面有个mon时，说明monitor监听模式成功启动

执行以下命令可以探测所有无线网络，抓取数据包

 airodump-ng wlan0mon

字段解释
BSSID是AP（access point）的MAC地址，由于是手机开的热点，在这里ap为开热点的手机
PWR代表信号水平，信号值越高说明距离越近，但是注意，-1值说明无法监听
CH表示工作的信道号
ENC表示算法加密体系
CIPHER表示检测到的加密算法
AUTH表示认证协议
ESSID即ssid号,wifi的名称
STATION表示连接无线网络的客户端的MAC地址（ctrl-c停止扫描）

根据无线网络的BSSID（MAC地址）和CH（信道号）探测指定的无线网络
示例：airodump-ng -c 信道号 --ivs -w test --bssid 无线网络MAC地址 wlan0mon（–ivs表示保存ivs格式的包）

airodump-ng -c 6 --ivs -w test --bssid 2E:20:0B:52:FD:A4 wlan0mon

在这里可以看到靶机A的mac地址是48:8A:D2:7E:2E:89，靶机B的mac地址是2C:6F:C9:15:49:75

根据无线网络路由器的MAC地址和连接无线网络的设备的MAC地址对指定目标发起deauth反认证包攻击，让那个设备断开wifi，随后它自然会再次连接wifi，当它自动重新连接wifi的时候，我们的攻击终端便能抓到握手包。
参数解释：
-0指定发送反认证包的个数（反认证包个数越大，对方断网时间越长） -a指定无线路由器BSSID -c指定要强制断开的设备。

aireplay-ng -0 100 -a 2E:20:0B:52:FD:A4 -c 2C:6F:C9:15:49:75 wlan0mon

我们在这里根据靶机B的mac地址发起攻击

若执行命令报错，则重新执行直到数据包开始发出。

攻击过程中可以看到靶机B在不停的断网和重新连接

攻击过程中可以看到监听窗口获取到了WPA handshake，这表示抓到握手包，我们可以暂停攻击（ctrl+z）。

WPA2的4次握手协议图解

握手包文件会保存在用户的家目录下

接下来我们执行以下命令使用密码字典对握手包文件爆破
示例：aircrack-ng -w 密码字典绝对路径握手包绝对路径

aircrack-ng -w /root/wifi.txt /root/test-01.ivs

很快便成功匹配到握手包密码

密码字典可以在github找下Blasting_dictionary项目

很显然握手包爆破比枚举连接爆破更加节省时间，之前我写过一个python脚本来枚举连接爆破WIFI，爆破速度很感人…

拿到WIFI密码后可以就此结束入侵，或者打通内网进一步实行内网渗透攻击。