一、 無線AP的加密方式

由于在無線網路環境中，資料是以廣播包的形式傳輸的，所以資料可能被惡意攻擊者捕獲或攔截，為了加強資料的安全性，一般AP都自帶了加密方式，

WEP加密

WEP是Wired Equivalent Privacy的簡稱，有線等效保密（WEP）協議是對在兩臺設備間無線傳輸的資料進行加密的方式，用以防止非法用戶竊聽或侵入無線網路，密碼分析學家已經找出了幾個WEP的弱點，因此這一協議在2003年被Wi-Fi Protected Access（WPA）替代，又在2004年由完整的IEEE 802.11i標準（又稱WPA2）所取代，但由于WEP演算法已被破解，WEP已在先進大多數路由器中消失，從下圖的掃描結果中也可以看出，幾乎沒有路由器還在使用WEP加密，大部分路由器甚至已經移除了WEP加密設定，禁止用戶使用此加密方式

WPA-PSK/WPA2-PSK加密

WPA-PSK/WPA2-PSK是WPA/WPA2的簡化版，WPA全稱Wi-Fi Protected Access，包括WPA和WPA2兩個標準，是一種包含無線網路安全的系統，WPA加密方式是為了改進WEP密鑰的安全性協議和演算法，WPA2比WPA安全性更高，WPA演算法改變了密鑰生成方式，通過更頻繁的變換密鑰來獲得安全，它還增加了訊息完整性檢查功能來防止資料包偽裝，
該加密方式一直被使用至今

WPS加密

WPS（Wi-Fi Protected Setup，Wi-FI保護設定），它由Wi-Fi聯盟組織實施認證專案，主要用來解決無線網路加密的設定步驟過于繁雜的問題，一般情況下，用戶在新建一個無線網路時，為了保證無線網路的安全，都會對無線網路名稱（SSID）和無線加密方式進行設定，即“隱藏SSID”和設定“無線網路連接密碼”，
當這些設定完成，客戶端需要連入此無線網路時，就必須手動添加網路名稱（SSID）及輸入冗長的無線加密密碼，這對很多用戶來說都是一個繁瑣的程序，二有了WPS“一鍵加密”，這個程序就變得非常簡單了，用戶只需按一下無線路由器上的WPS鍵，就能輕松快速的完成無線網路連接，并且獲得WPA2級加密的無線網路，實作WPS"一鍵加密"的方法非常簡單，用戶可以有兩種選擇，即輸入PIN碼法和PBC按鈕配置法，
以下為某無線路由器WPS加密功能的PBC模式和PIN模式的截圖：

但是這種加密方式在帶來方便的同時也存在著風險，因為某一品牌的路由器的pin碼往往都是由固定位數的數字組成，對攻擊者來說，相較于用字典暴力破解WPA-PSK/WPA2-PSK加密的握手包，暴力窮舉pin碼地方式顯然是更好的選擇，前者的不確定性太大，后者幾乎能百分之百地成功連接目標路由器，

二、 無線密碼破解

WEP加密的破解

由于WEP的解密相對較簡單，且實際應用意義不大，本文主要講述的是無線滲透測驗，所以加密和解密原理這里便不再做詳細介紹，

工具介紹

1、WINDOWS系統軟體

WinAirCrack
WINDOWS下的破解軟體，更新很慢，支持的網卡型號少，不推薦使用，具體的破解步驟可以參考網上相關WINDOWS下破解的相關文章，
下載地址：http://www.heibai.net/download/Soft/Soft_5930.htm

2、Linux系統軟體
很大黑客工具都在Linux系統下有很好支持，破解無線網路的Linux系統有BackTrack、wifiway等Linux LIVE CD，
BackTrack是基于Slackware和SLAX的自啟動運行光碟，它包含了一套安全及計算機取證工具，它其實是依靠融合Auditor Security Linux和WHAX（先前的Whoppix）而創建成的，其中包含AirCrack等無線網路破解工具，當然無線網路破解只是這個CD的一小部份功能，現在最新版本為BT5 R2，
下載地址：http://www.backtrack-linux.org/

3、第三款CDLinux（本次實驗使用）,一款專門用來做無線破解的工具，因為所有的功能都能通過圖形化界面實作，所以對新手較為友好，但由于很久沒有更新了，里面自帶的某些工具可能實際用處不大，

復現

1. 使用minidwep掃描使用了WEP加密的路由器
   

2. 啟動抓取IVS包（IVS包的數量取決于接入路由器的用戶數量和資料互動量），IVS包越多，破解成功幾率越大
   

3. 破解成功
   

WPA-PSK/WPA2-PSK加密的破解

工具介紹

1. Aircrack-ng
   Aircrack-ng是一款用于破解無線802.11WEP及WPA-PSK加密的工具，該工具在2005年11月之前名字是Aircrack，在其2.41版本之后才改名為Aircrack-ng，Aircrack-ng主要使用了兩種攻擊方式進行WEP破解：一種是FMS攻擊，該攻擊方式是以發現該WEP漏洞的研究人員名字（Scott Fluhrer、Itsik Mantin及Adi Shamir）所命名；另一種是KoreK攻擊，經統計，該攻擊方式的攻擊效率要遠高于FMS攻擊，當然，最新的版本又集成了更多種型別的攻擊方式，
   對于無線黑客而言，Aircrack-ng是一款必不可缺的無線攻擊工具，可以說很大一部分無線攻擊都依賴于它來完成；而對于無線安全人員而言，Aircrack-ng也是一款必備的無線安全檢測工具，它可以幫助管理員進行無線網路密碼的脆弱性檢查及了解無線網路信號的分布情況，非常適合對企業進行無線安全審計時使用，
   Aircrack-ng（注意大小寫）是一個包含了多款工具的無線攻擊審計套裝，這里面很多工具在后面的內容中都會用到，

2. Hashcat
   Hashcat號稱世界上最快的密碼破解，世界上第一個和唯一的基于GPU規則引擎，免費多GPU（高達128個GPU），多哈希，多作業系統（Linux和Windows本地二進制檔案），多平臺（OpenCL和CUDA支持），多演算法，資源利用率低，基于字典攻擊，支持分布式破解等等，hashcat目前支持各類公開演算法高達247類，市面上面公開的密碼加密演算法基本都支持！

復現

1. 開啟無線網卡監聽模式（使用外置網卡）
   

2. 探測周圍無線網路，確定目標路由器的ESSID
   

3. 監聽目標網路的握手包
   命令：airodump-ng -c 1 –-bssid 00:50:BA:CE:5F:60 -w /root/Data/ wlan0mon
   引數解釋：
   -c指定信道
   –bssid指定路由器的bssid
   -w指定抓取的資料包保存位置
   
   注意：握手包需要有設備正常連接路由器時才能抓到，這里因為我使用的是自己的測驗wifi，所以用自己的設備斷開再重新連接就行了，如果在真實情況下抓不到握手包，可以使用：aireplay-ng -0 50 -a 00:50:BA:CE:5F:60 -c 92:C1:35:98:4D:00 wlan0mon命令進行斷網攻擊
   （使用此攻擊模式的前提是必須有通過認證的合法的客戶端連接到路由器）
   引數解釋：
   -0 沖突模式，后面跟發送次數（設定為0，則為回圈攻擊，不停的斷開連接，客戶端無法正常上網）強制使對方連接斷開，不得不重新連接
   -a 指定路由器的BSSID
   -c 指定強制斷開的設備

4. 破解抓取的握手包
   使用aircrack內置工具破解：
   命令：aircrack-ng -w /usr/share/wordlists/1.txt /root/Data/-01.cap
   引數解釋：
   -w指定字典檔案
   最后是抓取的握手包路徑
   
   注：用字典暴力破解的成功率很大程度上取決于字典的強度，并且速度也很慢，接下來再介紹一種破解方式，就是使用hashcat破解，因為hashcat需要用到GPU資源，所以只有在真實機上才能使用，速度也會快好幾倍，結合彩虹表的話效果更佳，

使用hashcat破解（可使用字典也可不使用字典）：
a) 將握手包轉換成hccap格式
aircrack-ng *.cap -J wpahashcat

b) 使用掩碼破解
命令：hashcat -m 2500 -a 3 wpahash.hccap ?d?d?d?d?d?d?d?d
引數解釋：
-m 2500:代表破解WPA/WPA2
-a 3：使用掩碼暴力破解
?d?d?d?d?d?d?d?d: 表示密碼是八位數字組成（正確的掩碼使用往往可以大大提高破解速度）

注：Hashcat有多達五種破解方式，其他的方式請讀者自行探索
| Mode
=+====
0 | Straight
1 | Combination
3 | Brute-force
6 | Hybrid Wordlist + Mask
7 | Hybrid Mask + Wordlist

5.關閉監聽模式
命令：airmon-ng stop wlan0mon

使用Reaver窮舉pin碼破解

pin碼窮舉可以無視密碼的復雜度，理論上講，只要開了WPS功能的路由器，都有被pin碼窮舉破解的風險，因為大多數pin碼都是由八位數字組成的，而且有些廠商的pin碼甚至還有規律可循，這也大大增加了無線安全的風險，

1. 使用CDLinux掃描
   

2. 使用Reaver進行pin碼攻擊
   
   

3. 窮舉pin碼成功
   

三、用Fluxion社工釣魚獲取WiFi密碼

1. 輸入：./fluxion.sh啟動程式（如果是第一次啟動，請先運行./fluxion.sh -i安裝依賴）
   

2. 選擇語言
   

3. 選擇攻擊方式，注意：此處必須先選擇2，先進行掃描
   

4. 選擇要掃描的信道（這里我選擇的是3）
   當出現目標AP后停止掃描
   
   當出現目標AP后停止掃描
   

5. 選擇目標并攻擊
   
   
   
   
   其實本質上還是使用了和上文提到的和aircrack一樣的攻擊方式進行斷網攻擊，之后一直按照推薦選擇就行了，攻擊成功，用戶重連后會出現如下界面：
   

6. 接著選擇攻擊方式
   
   
   
   
   
   
   
   

7. 選擇完攻擊方式之后會出現如下界面
   
   當有用戶成功連接時，界面右上角會出現用戶設備名稱：
   
   這個時候我們的設備會被強制斷開連接，還會提示原密碼錯誤，并且還會出現一個同名且開放的WiFi，如下圖所示：
   
   當一些安全意識不太強的用戶看到之后可能會點擊那個開放的wifi，點擊之后就會彈出我們設定的釣魚視窗，提示用戶輸入密碼，當然可以自己寫一些更精致的釣魚頁面：
   
   輸入密碼之后，fluxion會將獲得的密碼經過WPA加密之后與之前抓到的握手包進行匹配，匹配成功的話就會提示如下視窗：
   
   不成功的話就會一直讓用戶輸密碼，直到密碼正確為止，至此釣魚攻擊結束，路由器也恢復正常，用戶輸入的密碼則被fluxion保存到下面路徑：
   
   訪問該路徑之后發現成功獲取密碼：
   

WIFI安全防御

本文參考鏈接：
? https://blog.csdn.net/cpongo3/article/details/93995875
? https://blog.csdn.net/weixin_44064908/article/details/103920329
? https://blog.csdn.net/leiman1986/article/details/51030418