BT4_破解无线网密码

2009年05月04日 星期一 15:47

本教程，目的是让大家可以了解破解无线网络的方式，从而加强自己的网络安全性。请不要用于非法目的。

另外，在互联网上，有太多的方法知道你是谁，不要以为用别人的AP就没人找得到你哦。

这里是一个较为详细的BT3   Backtrack 3 破解无线网WEP的一个教程。

首先

http://wiki.remote-exploit.org/index.php/HCL:Laptops

到这个地方确认你的笔记本电脑可以做这个事情。

基本新一点的都是兼容的。

其次，到这里确认你的无线网卡兼容

http://wiki.remote-exploit.org/index.php/HCL:Wireless

补充:

显卡兼容性是最大的问题,IBM X61这种Intel内置显卡是不支持的.

如果你启动不了图形界面，哪么考虑下面两个补丁：

ATI的驱动在这里:

http://wiki.remote-exploit.org/index.php/Modules

Navida的驱动在这里

http://www.offensive-security.com/modules/nvidia.lzm

将下载的模块copy到 x:\\BT3\\modules 文件夹里即可

然后开始下载你需要的BT3版本：

http://wiki.remote-exploit.org/index.php/Main_Page

个人建议：

如果随便玩玩，或者是台式机，可以下载CD版的那个，因为启动一次时间不短。

如果是笔记本，硬盘又大，可以下载 USB版的那个。

USB版：

http://www.remote-exploit.org/bt3b141207.rar.torrent 

http://backtrack.mjdupree.com/bt3b141207.rar 

ftp://bt3.aircrack-ng.org/bt3b141207.rar

下载完以后，可以装到一个可以启动的U盘里面，或者直接扔到硬盘上，后面我会说如何用硬盘直接启动这个东西。

—————–如何变成启动盘——————–

光盘版的，刻录完就好了，不提了。

USB版的， 随便解压缩到某个U盘的根目录，这样，根目录下有 BT3和Boot两个文件夹。

打开一个DOS窗口， 指向你的U盘目录，比如是H盘，那么

———运行———

H:   +回车

cd boot

bootinst.bat

按提示，确认你的确是在你的U盘的目录下操作。然后OK了。

重启时插入U盘即可启动，如果有任何问题，请确认你的电脑打开了U盘启动，并且被放在第一启动项（ThinkPad可以指定排除某个启动项的，请检查）

或者在启动时按住F12， 选择 U盘启动。

如果是硬盘启动，虽然有很多办法，但是为了VISTA和XP的兼容，个人推荐 DOS启动法，即先弄一个DOS的启动，比如弄一个MouseDOS一类的，傻瓜安装，可以让电脑启动进入纯DOS状态，然后在DOS情况下，进入 硬盘上解压出的那个Boot目录里面，里面有个DOS 目录，然后执行BT3.bat 即可。

建议在执行BT3.bat前，先运行一下 Smartdrv.exe ,可以加快启动速度很多。（附件里有 Smartdrv.exe 98版）

小提示：DOS下的启动，不会自动进入图形界面，可以通过编辑 DOS目录里面的 CONFIG文件来实现：

只需要在CONFIG里面，最后加上一句：

autoexec=xconf;kdm

就可以了。

我顺便修改了MouseDOS的 Autoexec.bat文件，直接加上：

smartdrv.exe

D:

cd boot

cd dos

bt3.bat

这样启动直接进入了图形界面。

这时候的BT3，是全部在内存里的，也就是说，在系统内，任何对桌面和配置的改动都不会被记录，所以如果要记录文档，请不要放在桌面上。

———————————破解—————————————

以下是破解过程

WEP 破解

1) ifconfig -a

2) airmon-ng start wifi0 6

3) airodump-ng –ivs -w name -c 6 ath1

4) aireplay-ng -1 0 -e ap_essid -a ap_mac -h XXXXXXXXXX ath1

-1 is -one

5) aireplay-ng -5 -b ap_mac -h XXXXXXXXXX ath1

新的第5步： aireplay-ng   -3   -b ap_mac -h XXXXXXXXXX -x   1024   ath1

6) packetforge-ng -0 -a ap_mac -h XXXXXXXXXX -k 255.255.255.255 -l 255.255.255.255 -y fragment-XXXXX-XXXXXX.xor -w mrarp

7) aireplay-ng -2 -r mrarp -x 1024 ath1

aircrack-ng -n  -b ap_mac name-01.ivs

我提供了样板的文件供下载。

以下一一解释：（运行这些命令都需要打开终端窗口，可以使用Ctrl+C 从文本文件Copy， 然后 Shift+Insert 粘贴入终端窗口）

1）ifconfig -a

这个命令用于找到自己的无线网卡的 Mac地址。请记录下来备用。

2) airmon-ng start wifi0 6

这个命令用于将自己的无线网卡置于Monitor 模式，即类似一个AP的效果，因此可以有抓别人包的功能。

其中 wifi0 是我电脑里面给无线网卡的 ，一般应该都是这个，第一个ifconfig -a命令可以看得到。

wifi0 后面的那个6 ，是需要破解的AP的频道，如果不知道，可以在事前左下角开始菜单里面，找到 第二项 Internet 下面的倒数第二个画着 无线网的一个工具，用它可以看到那些需要破解的AP的频道（Channel）。

运行命令成功以后，你会看到返回的提示显示出现一个 Ath1（如果你是 Athoes的无线网卡的话就是这个，其他的可能不同，不过一般都是XXX1这样）

这个就是你的用于破解的网卡代号

这个命令，简而言之，就是把你的无线网卡置于监控模式，并且指定监控的频道。

如果你发现弄错了频道，那么没关系，重新运行一遍就可以了，不过这个时候，可能就会变成 Ath2…Ath3 等等，但是好像最多运行三次，然后就会失败。

3) airodump-ng –ivs -w name -c 6 ath1

这个命令比较关键，你运行以后，就会列出所有该频道的AP。

其中，6 是指你需要监控的频道，必须和第二个命令里的一样， ath1是刚才第二步出现的别名。

这个命令运行以后，显示的内容比较多，简单介绍一下：

BSSID : 其实就是AP的Mac 地址

PWR： AP信号的大小，一般，低于10，就比较麻烦了，丢包情况严重，比较难破解

RXQ： 干扰的大小

Beacons：发送接受的包，参考信息，在跳说明有数据

#Data： 这个比较重要，是接受到可以用来破解的特殊包，如果一直不变，那么，说明没有客户端连接，破解可能很麻烦，如果对方有大文件在下载，那么这个跳的速度非常快，10来分钟就可以有足够的包来破解了，如果跳得很慢，那么，就需要用一些特殊的方式来破解了。

CH：频道

MB：网络连接速度 54就是54MB

ENC， CIPHER，AUTH

这些是加密方式，我们这次只讨论显示为   WEP 和 WEP+ OPN的

如果显示 WPA TKIP 啥的，只能密码穷举破解，个人认为希望不大。

ESSID： 这个是AP的名字，需要用到的。如果是中文貌似会出问题。因此为了阻挡别人破解，可以用中文的ESSID

过一会儿，下面会显示哪些客户端连接到了哪些AP，针对有些Mac地址加密的，很容易模拟对方客户端的Mac从而骗进去，所以不要简单地相信Mac功能。

这个窗口就开着好了，不用关闭，以后的命令，需要重新打开一个终端窗口操作。

4）aireplay-ng -1 0 -e ap_essid -a ap_mac -h XXXXXXXXXX ath1

这一步开始，我们要做一些真正的破解工作，主要是针对那些客户端仅仅连接，没什么流量的AP，这种AP，#Data的增长非常慢，往往需要很长的时间才有 可能取得足够的包（一般5位的密码需要10000个包左右，更多的密码就要更多的。。）这个时候就需要 aireplay-ng 出面了，顾名思义，这个软件就是 Replay，也就是说，模拟发包。

首先解释命令：

-e ap_essid   就是   -e 之后加上你需要破解的essid ，比如 TP-LINK ， linksys 啥的，注意大小写。

-a ap_mac   就是   -a 之后加上你需要破解的AP的Mac地址，第三步BSSID就可以看得到。不需要 ：哦。

-h XXXXXXXXXX 就是 -h 之后，加上你的无线网卡的 Mac地址， 在第一步你可以得到。

ath1 ，上面解释过了。

一个样板例子：

aireplay-ng -1 0 -e TP-LINK -a 001900123456 -h 001900345678 ath1

这里有个小的建议，大家可以把以上的命令，都记录在一个文件里，然后把里面的XXXXXXXX都用自己的网卡Mac地址替换掉，这样就不需要每次都输入自 己的Mac地址了。每次都可以用Copy Paste的方式来输入，这样可以有效防止什么1 和 l ， O和0 的混淆。

这一条命令，是用欺骗的方式，连接上那个AP，因此，如果网络信号不好，可能会执行不成功。

如果成功了，那么会显示Successful :>   字样。否则，请让信号强度大于10。

5）aireplay-ng -5 -b ap_mac -h XXXXXXXXXX ath1

上一条成功以后，我们需要开始收集那些需要的数据包，才能够进行模拟，并且破解。

所谓的需要的数据包，就是 #Data的数据，如果 #Data一直是0，那么可能会很麻烦，最好的情况是 #Data缓慢增长的这种情况。

解释一下

-b ap_mac 就是你需要破解的AP的Mac 地址，从第三步那里的 BSSID可以找得到。

-h XXXXXXXXXX   就是你自己网卡的Mac地址。

Ath1 和上面一样。。。

这一条命令的执行，和#data包有关，如果#Data 没有增加，则这个命令会一直执行，直到捕获一个#Data包。

捕获以后，程序会问你是否需要用这个包来模拟攻击。回答Y即可。

如果攻击成功，则会显示成功，失败往往是因为信号太差造成的， 如果攻击失败（往往是捕获的包有问题），程序重试N次以后，或自动重新开始捕捉包，继续进行即可。

等成功完成以后，会显示一个文件名：fragment-XXXXX-XXXXXX.xor

这个文件名，XXXXX里面是数字，是一个文件。马上会用得到。

这一步是最有可能失败的一步，尽量保持信号好一点。

6) packetforge-ng -0 -a ap_mac -h XXXXXXXXXX -k 255.255.255.255 -l 255.255.255.255 -y fragment-XXXXX-XXXXXX.xor -w mrarp

第六步，参数比较多，解释一下：

-a ap_mac 是待破解的AP的Mac地址，

-h XXXXXXXXX 是你自己的无线网卡Mac地址

fragment-XXXXX-XXXXXX.xor   就是第五步显示的那个文件名。

这一步会很快做完， 显示生成文件到 mrarp啥的，其实就是破解包的准备过程。

7) aireplay-ng -2 -r mrarp -x 1024 ath1

这一步没哈可以修改的，参数解释一下

ath1 是 你的无线网卡的名字

1024 是攻击速度，1024是最大值了，如果你的无线网卡不是MiniPCI的，个人建议设为 512 ，这样不容易死机。

当这一步开始执行，你会看到 第一个终端窗口里面，你破解的那个AP后面的   #Data在飞速增长，一般是 200个/s的速度，我们只需等待即可

8）我们可以新打开一个终端窗口，当 #Data达到 10000个的时候，就可以测试破解了，很多密码都可以 10000左右#Data就算出来

新窗口中运行：

aircrack-ng -n  -b ap_mac name-01.ivs

解释一下，

-b ap_mac 对方AP的Mac地址

name-01.ivs 其实是第三步自动生成的一个文件， 如果你多次运行了第三步，那么，可能会生成多个 name-XX.ivs文件， 你可以到对应的文件夹里看一下（就在桌面上的第一个文件夹图标里），找到XX最大的那个，就是你当前正在使用的这个文件。

-n  是指破解位的密码,如果10万以上Data都破解不出来,那就试试 -n 128,估计这个兄弟用了128位加密。

运行以后，如果运气好，一会儿就会显示破解出来的密码，同时会显示 对应的Assic码，如果不是标准Assic码，就是一串数字，记录下来，搞掂。

运气不好的情况，这个程序会继续等待更多的#Data，等到了，就会重新计算一次密码。

小结一下：

本教程只针对 WEP 密码的破解，而且，最好有得到认证的客户端连接在这个AP上，如果没有，有些AP（比如TP-LINK）能够被破解，某些可能就无法破解。

本教程也提供了 模拟Mac地址从而破解 Mac的方法

如果你需要你的AP很难被破解，建议：

1）用WPA 加密方式，并且使用不可能被字典猜到的密码，目前还是基本可靠的

2）如果只支持 WEP加密，那么，尽量考虑用隐藏 SSID的方式，这样可以增加破解难度

3）如果只支持 WEP加密，那么，可以考虑使用中文名字作为SSID，这样基本问题不大。

4）一般破解时候，大家都会选择常用的频道，例如 6频道， 第三步显示频道的时候，你的AP也会被列出来，那么第一个目标失败的时候，黑客往往会选择第二个容易下手的目标， 但是如果你选择了8、 4、这些奇怪的频道，那么狠客往往懒得重新进入该频道的监控模式，你就可以逃过一劫。不过， 某些廉价AP，往往对6 频道做了优化，这个频道信号最强….这就没办法了。

5）有空换换你的密码：）

又注：联入网络以后，你可以管理他的AP，进行一些优化啥的，往往AP的密码，可能就是WEP的密码。

补充:

其中第5步:

aireplay-ng -5 -b ap_mac -h XXXXXXXXXX ath1 可以用新命令替代:

aireplay-ng   -3   -b ap_mac -h XXXXXXXXXX -x   1024   ath1

这一条命令可以自动地捕捉包,自动的发送包,自动的存为文件.

因此,这一步执行以后,如果开始正确的发收包,则可以看到 Data开始上涨,不过貌似速度会慢一点,用老命令的话,每秒500个增加,用新命令可能只有200个/秒

当足够多的数据包出现以后,可以直接运行第八步,跳过6\\7两步.

**********************************************************************************************************************************

U盘版Bt3,大概783MB,连接为：

准备工作:一张1G以上的U盘,或是SD卡,或是TF卡,当然,TF或SD卡的话,你要有读卡器才能

在电脑上读出来,

建议将Ｕ盘格式化成FAT32,这样比较节省空间，至于为什么节省空间，FAT32与FAT格式的比较

请您自己百度去，这里不多说了

格式化完成后，此Ｕ盘为空的Ｕ盘

插入到电脑USB口

1.下载U盘版bt3的文件

地址为:

文件大概为783MB

2.将此ISO文件加载到虚拟光驱中,在虚拟光驱中,得到如下文件:

当然,你也可以用winrar解压到目录中,估计应该没啥问题,因为空间问题,我就不想解压了

3.将虚拟光驱中的文件也就是BT3，BOOT这两件文件夹copy到U盘中去

我是直接加栽到虚拟光驱来用的,省空间,无需解压

4.点击开始-运行，输入CMD, 然后回车，进入命令行模式

输入U盘的盘符，我的为I:，然后　回车

输入 cd boot 回车

输入 bootinst.bat 回车，就会开始制作BT3

开始制作时，会出现这样的画面，大概意思就是，此操作将会重写U盘的

MBR(即引导区)，如果此分区是您的一个硬盘上的分区，那您的Windows系统

将会启动不了，请小心,按Ｘ键中止操作，按其他任意键继续制作　

我就是在Ｕ盘上操作的,所以不用理会，按任意键就可以了

上面的图，是制作完成后的提示，设置引导记录成功，按任意键退出制作　

制作的过程很快，大概不到十秒，其他，他只是重新写了一下Ｕ盘的引导区

就ＯＫ了

到此为止，此Ｕ盘就可以引导系统进去bt3了

当然，您的电脑如何设置成Ｕ盘启动就是您的问题了，我的是USBHDD启动的

破解:引导系统进入BT3的选择画面，选择后面带有KDE的BT3即可

1.进入bt3桌面后，需要用到的就是命令行模式，其实也不难，注意，我们要启动

bt3的命令行状态，点击下面这个图标就会启动bt3的命令行状态

上图就是，输入完命令，回车后看到的信息，注意图中画蓝圈的部分

那里显示的是你网卡的ＭＡＣ码，我的就是 16-E6结尾的，可以看到

说明是支持我的网卡的，我的无线网卡是:intel 2915ABG ,BT3支持 2915ABG抓包

内至的网卡是以 eth0, eth1,eth2.....此类的ID

USB的网卡是以 rausb0, rausb1,rausb2....此类的ID

下面,就要以eth1,我的内至网卡来抓包

2.再打开一个命令窗口,不知道怎么打开的,请去看文章上半部分

打开后,输入命令:airodump-ng -w 123eth1

然后 回车

注意:你自己的无线网卡的ID可能是 Rausb0, 或是 eth0, eth1 

命令格式是:airodump-ng -w 123 <网卡ID>

即可

解释一下几个名称

BSSID:扫描到的无线路由的MAC地址,这个地址破解的时候需要用到

PWR:无线路由的信号强度

Beacons:向此路由发送的数据包的数量

#Data:网卡抓到的数据包的数量

CH: 无线路由所在的信道

ENC与CIPHER,这个是无线路由的加密方式

ESSID:无线路由的SSID的名称

我们这次举的例子,要破解的,必须为ENC:wep, CIPHER:wep,如上图的YEROC,就是非常合适的一个破解的对象

至于wpa加密的,由于不能抓到足够的数据包,不知道能不能破解,有兴趣的,你可以自己去试试

现在我们就要查看,那个无线路由的 #Data那一栏的数值变化比较快,数据包比较多,这样我们才能破解

我们看到,YEROC已经有17个数据包了,那我们就破解它

3.开始破解,再打开一个命令行模式,什么?不知道怎么打开命令行模式,抽S,自己看文章上半部分去

打开命令行窗口,运行:spoonwep

然后回车

打开spoonwep后

Victim MAC:这个栏里,输入我们要破解的无线路由的MAC码,也就是MAC地址

注意:是要破解的无线路由的MAC码,不是你无线网卡的MAC码

Net Card中,选择刚才运行 airodump-ng -w123 eth1 这个命令中用到的无线网卡

我的为eth1,我就选择了eth1

Channel:选择要破解的无线路由所在的信道,YEROC为六,我就选择了六

Inj Rate,为默认即可

Launch那个栏位,选择下拉的第二项                               0841 REPLAY ATTACK

然后点击 Launch按钮 ,就开始破解了

开始破解后,要抓到六万到十万的数据包,才能破解

我这个抓了四十分钟才抓够数据包,才破解的

此时,由于在运行,你看不到数据包的变化

没关系

此时,再打开一个命令行窗口,输入 airodump-ng -w 123 eth1 然后回车

你就会看到#Data 的数据包在不断的变化,因为运行spoonwep时,刚才那个airodump-ng的窗口会数据显示

所以,开始破解后,再运行一次:airodump-ng -w 123 eth1 你就可以观察数据包数量变化的速度

也就会大概估计大概多长时间才能破解完成了

如果很慢,可以在睡前就开机来运算,进行破解

如果很快,在洗个澡的时间就可以破解了

这就需要你观察破解时,数据包变化的速度,然后再安排个时间来破解了

Over,全文完