言

一個客戶端連接上一個無線熱點時，它們之間會交換一些數(shù)據(jù)，如果我們能抓獲這些數(shù)據(jù)，我們便有望得到這個無線熱點的密碼。看完這篇文章，您將會收獲：

• 客戶端使用正確的密碼連接上無線熱點的過程
• 抓獲它們連接時傳輸?shù)臄?shù)據(jù)并從中解析密碼的手段

在進(jìn)行這篇文章的實驗之前，請確定基本的環(huán)境已經(jīng)準(zhǔn)備好了：

無線網(wǎng)絡(luò)安全第一步：在虛擬機(jī)上配置kali

以及，對Kali系統(tǒng)一些基本的命令行操作也已經(jīng)有所了解，也已經(jīng)準(zhǔn)備好了一塊今天實驗所必需的無線網(wǎng)卡：

無線網(wǎng)絡(luò)安全學(xué)習(xí)：網(wǎng)卡準(zhǔn)備與常用的命令行操作

在學(xué)習(xí)的過程中，如果有疑問，可以私信作者，或者在文章下評論，我會竭盡全力為各位讀者答疑解惑。

可能無聊但是請耐心聽完的理論講解

在這一部分，我們會了解WIFI認(rèn)證過程中的四次握手過程，這是我們接下來實驗的知識儲備。

首先，我們的數(shù)據(jù)通過無線的方式傳輸，也就是通過電磁波（也就是光）形式傳輸，是不如以有線的方式（電）傳輸安全的。因為電傳播的介質(zhì)是導(dǎo)線，有線網(wǎng)絡(luò)的介質(zhì)是網(wǎng)線，網(wǎng)線走到哪里數(shù)據(jù)傳輸?shù)侥睦铮鵁o線網(wǎng)絡(luò)是以光的形式向外輻射的，光能到達(dá)的地方數(shù)據(jù)都能到達(dá)。

所以，在無線傳輸中，一定要有一種可靠的加密算法來保護(hù)我們的數(shù)據(jù)，保護(hù)它不讓它被不該知道的人知道。

最先被提出的加密方式是WEP，它是Wired Equivalent Privacy的簡稱。翻譯過來，就是有線等效保密。它是在IEEE 802.11最初提出時，作為其一部分被一同提出的。提出這個算法的委員會認(rèn)為，這個加密方式和有線傳輸一樣安全，因此為它這樣命名。

很遺憾的是，這個號稱“與有線一樣安全”的加密方式的壽命僅僅持續(xù)了不到5年（1999年9月提出的IEEE802.11，在2003年被WPA淘汰）。它的漏洞實在太嚴(yán)重了，能夠解決它的安全問題的辦法，只剩下更換更安全的WPA或者WPA2。

“……對 WEP 安全問題最廣為推薦的解法是換到 WPA 或 WPA2，不論哪個都比 WEP 安全。”——百度百科

取而代之的是WPA，Wifi Protected Access，直譯是Wifi保護(hù)訪問。在2004年又發(fā)布了IEEE802.11i，它修訂了之前的WPA，提出了更加可靠、安全的WPA2，這個加密方式被一直沿用至今，保護(hù)無線通訊的安全。下面，我們就來簡要了解采取這個加密方式加密的無線熱點的認(rèn)證過程中，客戶端與路由器之間發(fā)生的故事，也就是四次握手：

①路由器向客戶端發(fā)送一個隨機(jī)數(shù)（記為隨機(jī)數(shù)1）。這是第一次握手。

②客戶端收到了這個隨機(jī)數(shù)1，自己再產(chǎn)生一個隨機(jī)數(shù)（記為隨機(jī)數(shù)2）然后客戶端以隨機(jī)數(shù)1、隨機(jī)數(shù)2、輸入的Wifi密碼這三個參數(shù)，通過一種函數(shù)關(guān)系，生成一個密碼（記為PTK）

隨即，客戶端將隨機(jī)數(shù)2，它計算出來的這個PTK，發(fā)回給路由器。這是第二次握手。

③路由器收到了隨機(jī)數(shù)2，它自己是知道自己的Wifi密碼的，于是它也通過隨機(jī)數(shù)1、隨機(jī)數(shù)2、自己的Wifi密碼這三個參數(shù)，通過客戶端中同樣的函數(shù)關(guān)系，生成一個PTK。

對比客戶端發(fā)過來的PTK和自己的PTK，如果通過固定的函數(shù)關(guān)系，運算出來的結(jié)果是一樣的，也就是發(fā)過來的PTK等于自己計算出來的PTK，說明三個參數(shù)（隨機(jī)數(shù)1、隨機(jī)數(shù)2、輸入的密碼）都是一樣的，也就是客戶端輸入的密碼正是自己的Wifi密碼，通過認(rèn)證。反之，握手結(jié)束。

在這里可能有的讀者會問：一個輸入只對應(yīng)一個輸出，但是一個輸出卻未必只對應(yīng)一個輸入？也就是說憑什么就這樣認(rèn)為輸入的密碼和正確的Wifi密碼相同？也有可能是雖然不相同，但是函數(shù)運算出相同的結(jié)果呢？
這是一個好問題，能夠問出這個問題，就說明您已經(jīng)確實地在思考了。生成PTK的這個算法，是我們軟件運算中最常見的，Hash，也叫散列運算。它將不同長度的輸入映射成長度相同、獨一無二的輸出，并且，沒有辦法從輸出確定唯一的輸入，因此，我們可以通過比較輸出來在不知道輸入的情況下比較輸入。
的確存在兩個輸入映射成同樣的輸出的情況出現(xiàn)，這也稱為哈希碰撞。
是有辦法避免哈希碰撞的情形的，采取某種措施，可以將碰撞的幾率降低到可以忽略的程度。有興趣的讀者可以在網(wǎng)上自行了解。
因此，在這里，就認(rèn)為輸入的密碼正是正確的Wifi密碼。

認(rèn)證成功后，路由器發(fā)送另外的一個密鑰給客戶端。這是第三次握手。

④客戶端收到密鑰后，發(fā)送消息給路由器，告訴對方已經(jīng)收到密鑰了。這是第四次握手。

四次握手的數(shù)據(jù)包都是以明文形式傳輸?shù)模虼耍覀兛梢酝ㄟ^捕獲四次握手的數(shù)據(jù)包（簡稱為握手包），來得到隨機(jī)數(shù)1、隨機(jī)數(shù)2，以及PTK。

將可能的Wifi密碼羅列出來，做成一個字典。我們將每個密碼和兩個隨機(jī)數(shù)進(jìn)行同樣的運算，再和PTK作對比，如果相同，說明該密碼就是正確的Wifi密碼。

更加有趣的實際操作部分

首先，我們設(shè)置一個Wifi，密碼就隨便設(shè)置成12345678.

然后，我們讓我們的物理電腦連接上這個Wifi。

打開我們的Kali Linux，使用airodump-ng wlan0mon來掃描周圍的Wifi

這個PWR最大的Wifi當(dāng)然就是我設(shè)置的無線熱點啦，因為離得最近，信號最好，所以PWR也最大。CH說明是在11信道。

使用airodump-ng --bssid **:**:**:**:**:** -c 11 -w test wlan0mon來指定嗅探的Wifi，并把抓到的握手包包保存在當(dāng)前目錄cap.cap里。當(dāng)然如果你沒有抓到握手包就不會有test.cap這樣的文件。這樣可以僅得到這個Wifi及連接上的客戶端的信息。

現(xiàn)在就能清晰地看到，我的電腦是這個Wifi的唯一的客戶端。我們已經(jīng)得到了我手機(jī)網(wǎng)卡的Mac和我電腦的無線網(wǎng)卡的Mac了。（但其實你們并沒有得到）

之前我們說過，握手包是只有在客戶端和路由器認(rèn)證的時候才會發(fā)送的數(shù)據(jù)包，除非我們等到第二個客戶端連上我的熱點，不然是抓不到握手包的。

但是，有一個辦法能讓我們更快地拿到這個握手包。那就是deauth攻擊。

路由器有能力要求客戶端和自己解除連接。當(dāng)它要這樣做的時候，它會發(fā)送一個deauth數(shù)據(jù)包給客戶端。然后客戶端就會和路由器斷開連接。但是這并不是客戶端網(wǎng)卡的意愿，它沒有那么好打發(fā)，被踹掉之后會第一時間嘗試重新連接上這個路由器。

而deauth攻擊的原理就是模擬路由器發(fā)這個deauth數(shù)據(jù)包給客戶端。如果你不想讓你煩人的室友在寢室大聲玩網(wǎng)絡(luò)游戲，而他又恰好連著寢室的wifi，就一直對他使用deauth攻擊吧。

我們新建一個窗口，使用aireplay-ng -0 2 -a **:**:**:**:**:** -c --:--:--:--:--:-- wlan0mon這個命令，使用wlan0mon網(wǎng)卡對mac地址為**:**:**:**:**:**的路由器的mac地址為--:--:--:--:--:--的客戶端發(fā)送時長為2秒鐘的deauth攻擊。

發(fā)送了之后，就會在原來的airodump-ng那個窗口的右上角，出現(xiàn)一行

WPA handshake：你的WIFI的MAC地址

就說明已經(jīng)抓到握手包了。如果沒有抓到，可以增加攻擊時間，或者調(diào)整無線網(wǎng)卡接收器的角度。

我們按ctrl + c退出，輸入ls，看到的確有cap文件了。

然后將含有12345678的字典文件（隨便在網(wǎng)上找個字典都不可能沒有12345678）passwd.txt也放到這里。執(zhí)行命令

aircrack-ng -w passwd.txt cap-01.cap

提示KEY FOUND! [12345678]，的的確確找到這個密碼了。

虛擬機(jī)跑字典的速度比較慢，使用物理機(jī)結(jié)合GPU一起運算，跑字典的速度隨著配置的提升速度最高可以達(dá)到幾百萬。

總結(jié)

今天我們學(xué)習(xí)了wifi認(rèn)證的四次握手，以及通過deauth攻擊使已經(jīng)連接的客戶端與路由器重新連接來抓取握手包，并通過字典來套wifi密碼的操作。

但不要以為學(xué)會這招就可以為所欲為地蹭網(wǎng)了。

誠然只要字典夠大，跑得夠快，理論上來說，wifi密碼總能破解的。

但是，隨便計算一下。假設(shè)我們采取10位的wifi密碼，每一位有a-z,A-Z,0-9，26+26+10=62種可能，也就是62^10種密碼的可能，每一密碼的長度是10字節(jié)，那么我們的字典文件就至少有8*10^17字節(jié)，粗略換算，就是800000TB。還有特殊符號，以我們的普通電腦的運算速度……

但是，有規(guī)律的密碼，比如說簡單的拼音加上數(shù)字，比如說電話號碼，比如說固話，比如說生日，這些信息列舉出來的大小還是在可以接受的范圍的。

反過來，使用這些有規(guī)律的密碼，被破解出來的可能性就更大了。

但是，現(xiàn)在又出現(xiàn)了一種新的認(rèn)證。像去肯德基麥當(dāng)當(dāng)這些公共wifi，它們都不設(shè)密碼的。要求用手機(jī)號收驗證碼認(rèn)證。

學(xué)習(xí)是永遠(yuǎn)都不能停下來的。一停止學(xué)習(xí)，就會落后于時代。

如果您在閱讀的過程中產(chǎn)生了什么疑問，或者實際操作產(chǎn)生了什么問題，請在文章下方留言，我一定竭盡全力為您解答。

關(guān)注以獲得更多資訊。

有流量怎么辦，蹭wifi，用什么軟件蹭呢？下面分享4款wifi密碼破解軟件，讓你成功連接wifi享受免費wifi的樂趣。

wifi萬能鑰匙這個軟件是應(yīng)該是大家必備的軟件吧，反正我手機(jī)是必備的，蹭網(wǎng)很簡單，點擊查詢?nèi)f能鑰匙就可以看到附近可以連接的wifi，然后選擇你要連接的wifi就可以開始連接了，成功率還是挺高的。

騰訊wifi管家是我的第二選擇了，當(dāng)wifi萬能鑰匙連不上的時候我會打開它看看它能不能連上，兩個互相使用還是非常方便的，騰訊的用戶群體很大也分享了非常多的免費wifi。

幻影wifi是一款跑字典的軟件，就是窮舉，用文件里的一個個密碼去嘗試連接，這個最笨的方法，有的wifi密碼簡單的可以很快就破解出來，比如987654321 類似的密碼，它是我第三首選，在上面兩個軟件都沒有密碼的情況下我會用它來碰碰運氣，一般密碼簡單的幾分鐘就破解出來了。

沒錯，這就是軟件自帶的密碼字典，你也可以制作自己的字典去跑，一般也沒什么意義。

點擊開始破解就會掃描附近的wif。

選擇一個信號不錯的wifi進(jìn)行破解跑字典。

破解出來以后會顯示密碼并自動連接。

一般我用這個破解就是開著軟件讓它跑，運氣好的馬上就出來了，如果1小時到半天跑不出來就沒意義了。密碼一定很復(fù)雜像是手機(jī)號類似的就放棄吧。

最后一個幻影pin是跑路由器pin碼的軟件，它有一個局限性就是只能破解打開pin的路由器，而且如果路由器有防止pin的話也無法破解，多一個工具總是好的，我的手機(jī)上不知道怎么回事安裝不了驅(qū)動，所以就沒法演示了，這個軟件也是暴力破解的，不知道pin碼的可以去百度搜一下，但是現(xiàn)在很多路由器都沒有pin的功能了，所以這個軟件以后的作用會越來越少。

今天的4款wifi破解工具非常齊全，總有一個能幫你連上wifi，其他雜七雜八的小破解工具我也沒去試，有的都是廣告，這里希望大家不要盲目去下載。歡迎搜索關(guān)注并加入老王研究所交流，我會盡可能回答大家的問題。本期視頻和資源已上傳到網(wǎng)站，歡迎點擊閱讀原文查看。