【BT wep/wpa crack】

ziggler

使用fragmentation attack 来获得PRGA（pseudo random genration algorithm）
这里的PRGA 并不是wep key 数据，并不能用来解密数据包，而是用它来产生一个新的
数据包以便我们在后面的步骤中进行注入。输入命令:wifiway:~# aireplay‐ng ‐5 ‐b
00:90:96:00:00:01 ‐h 00:11:22:33:44:55 wifi0
‐5 告诉aireplay‐ng 使用fragmentation attack 模式
‐b，‐h ，wifi0 就不用再解释了吧，呵呵。
系统将显示：
21:20:46 Waiting for a data packet...
Size: 78, FromDS: 1, ToDS: 0 (WEP)
BSSID = 00:90:96:00:00:01
Dest. MAC = 01:80:C2:00:00:00
Source MAC = 00:90:96:00:00:01
0x0000: 0842 0000 0180 c200 0000 0090 9600 0001 .B..............
0x0010: 0090 9600 0001 b013 b66d a100 fbd7 4289 .........m....B.
0x0020: d814 0d6c 9570 c61a 0d38 3034 dc48 3e9f ...l.p...804.H>.
0x0030: 273d 2fed c2b7 0991 2557 5c32 aae1 a2fd '=/.....%W\2....
0x0040: 855a 3bbb 5f7f 74ae 1850 2503 bd2f .Z;._.t..P%../
Use this packet ? y（在这里请输入y 表示使用这个包）
中国无线门户
Anywhere WLAN!! 29
Saving chosen packet in replay_src-1104-212046.cap（保存了一个cap 文件，但并不
能用来破解）
21:20:55 Data packet found!
21:20:55 Sending fragmented packet
21:20:55 Got RELAYED packet!!
21:20:55 Thats our ARP packet!
21:20:55 Trying to get 384 bytes of a keystream
21:20:55 Got RELAYED packet!!
21:20:55 Thats our ARP packet!
21:20:55 Trying to get 1500 bytes of a keystream
21:20:55 Got RELAYED packet!!
21:20:55 Thats our ARP packet!
Saving keystream in fragment-1104-212055.xor（生成了一个xor 文件）
Now you can build a packet with packetforge-ng out of that 1500 bytes keystream
这一步生成的xor 文件将被我们用来产生arp 数据包，如果你选的包不成功，请多试几
次。

ziggler

2.9.1 监听模式被动破解(这个就是有客户端并有大量有效通信)
根据已知的的信息。我们知道要还原出WEP的密码关键是要收集足够的有效数据
帧，从这个数据帧里我们可以提取IV 值和密文。与对于这个密文对应的明文的第一个
字节是确定的他是逻辑链路控制的 802.2 头信息。通过这一个字节的明文，还有密文我
们做XOR运算能得到一个字节的WEP密钥流，由于rc4 流密码产生算法只是把原来的
密码给打乱的次序。所以我们获得的这一次字节的密码就是就IV+PASSWORD 的一部
分。但是由于RC4 的打乱。不知道这一个字节具体的位置很排列次序。当我们收集到足
够多的IV 值还有碎片密码时，就可以进行统计分析运算了。用上面的密码碎片重新排
序配合IV使用RC4算法得出的值和多个流密码位置进行比较。最后得到这些密码碎片
正确的排列次序。这样WEP的密码就被分析出来了。下图就是WEP破解过程。有助于
你理解破解WEP通过分析子密码还原密码的过程。

2.9.2 主动攻击(有客户端。少量通信或者没有通讯)
-3 ARP-request attack mode攻击抓取合法客户端的arp请求包。如果发现合法客户
端发给AP的arp请求包，攻击者就会向AP重放这个包。由于802.11b 允许 IV重复使
用。所以AP接到这样的arp请求后就会回复客户端。这样攻击者就能搜集到更多的IV
了。当捕捉到足够多的IV就可以按上面的2.9.1里的进行破解了。如果没有办法获取arp
请求包我们就可以用-0 攻击使得合法客户端和AP断线后重新连接。-0 Deautenticate攻
击实际就是无线欺骗。这样我们就有机会获得arp请求包了。
2.9.3 主动攻击(没有客户端的模式)
先和AP进行伪链接-1 fakeauth count attack mode。这样就能产生数据包了。
收集两个IV 相同的的WEP 包，把这两个包里的密文做XOR 运算。得到一个XOR 文
件。用这个XOR文件配合伪造arp包的工具。利用CRC-32的特点伪造一个arp包和原
来的IV一起发给AP。这样就可以按上面 2.9.2 里的进行破解了。其中 -2 Interactive，
-4 Chopchop，-5 Fragment 都是属于上面这个攻击类型的。

[ 本帖最后由 ziggler 于 2009-8-17 22:50 编辑 ]

ziggler

2.10 WEP的安全弱点
A.802.2 头信息和简单的rc4 流密码算法
导致攻击者在有客户端并有大量有效通信时，可以分析出WEP的密码。
B.IV重复使用
导致在攻击者在有客户端。少量通信或者没有通讯时，可以使用arp 重放的方法获得大
量有效数据。
C．无身份验证机制，使用线性函数CRC32进行完整性校验。
无身份验证机制，导致攻击者能使用-1 fakeauth count attack mode和AP建立伪链接。
进而获得XOR 文件。使用线性函数CRC32 进行完整性校验，导致攻击者能用XOR 文
件伪造一个arp包。然后依靠这个包去捕获大量有效数据。

ziggler

3.1 WPA加密算法的的两个版本介绍
WPA = 802.1x + EAP + TKIP + MIC
= Pre-shared Key + TKIP + MIC
802.11i(WPA2)
= 802.1x + EAP + AES + CCMP
= Pre-shared Key + AES + CCMP
这里802.1x + EAP，Pre-shared Key是身份校验算法 （WEP没有设置有身份验证机制）
TKIP和AES是数据传输加密算法 （类似于WEP加密的RC4 算法）
MIC和CCMP数据完整性编码校验算法 （类似于WEP中CRC32算法）
3.2 WPA 认证方式
802.1x + EAP （工业级的，安全要求高的地方用。需要认证服务器）
Pre-shared Key （家庭用的，用在安全要求低的地方。不需要服务器）
EAP 扩展认真协议，是一种架构。而不是定义了算法。常见的有LEAP，MD5，TTLS，
TLS，PEAP，SRP，SIM，AKA 其中的TLS 和TTLS 是双向认证模式。这个和网络银行的
安全方式差不多。这个认证方式是不怕网络劫持和字典攻击的。而md5 是单向认证的。不
抗网络劫持，中间人攻击。关于企业级的如何破解就不讨论了。因为论坛上也很少提到。本
身EAP模式是个协议，不是算法。

ziggler

深入WEP和WPA密码原理

[ 本帖最后由 ziggler 于 2009-8-17 23:07 编辑 ]

ziggler

原帖由 ziggler 于 2009-8-17 12:37 发表
使用fragmentation attack 来获得PRGA（pseudo random genration algorithm）
这里的PRGA 并不是wep key 数据，并不能用来解密数据包，而是用它来产生一个新的
数据包以便我们在后面的步骤中进行注入。输入命 ...

收集两个IV 相同的的WEP 包，把这两个包里的密文做XOR 运算。得到一个XOR 文
件。

看来两个IV相同的wep包几率也不是很高，需要多试验才行。

ziggler

BT 4 R1版本出来了，最近准备装这个，学习学习。

ziggler

安装BackTrack到U盘(不可保存修改)
这里提供最简单的安装方法用Unetbootin把BackTrack安装到U盘,注意需要把U盘格式化.

   1. 插入您的U盘(最小容量 2 GB)
   2. 把U盘格式化成FAT32
   3. 从http://unetbootin.sourceforge.net/下载Unetbootin
   4. 运行Unetbootin,然后选择Diskimage (backtrack-final 的 ISO文件)
   5. 选中你U盘然后点”OK” 就能创建一块可引导的BackTrack U盘了
   6. 用 root / toor 登录系统.


BT4 R1的话 2G的U盘已经不够用了，BT3还可以。

ziggler

BT4 R1 双系统安装成功；

先做启动U盘 ；
然后用U盘启动安装；
再安装中文语言包；
再安装中文输入法；

再安装SPOONWEP和SPOONWPA。

安装完后发现一个问题，网卡启动不了监听模式，导致如果用SPOONWEP的话，就连不上网络了，但是SPOONWEP可以用；

报错信息如下：

mon0: ERROR while getting interface flags: No such device

网上找了两种解决办法：

一.先执行如下命令，再启动监听模式；

modprobe -r ipw2200 ;
modprobe ipw2200
二.直接用命令启动监听模式

iwconfig eth1 mode monitor；

明天再实验一下。

ziggler

BT4 R1版本网卡默认的ID为ETH1而不是过去的WLAN0。