技术贴: 从无线加密WPA/WPA2破解浅析无线安全

楼主^#

更多发布于：2012-09-25 14:27

[] 1

其实一直想写一篇这样的文章，把一些经验分享给大家，只是因为工作忙，一直没有太多的时间。相信看这篇文章的大多数人都是搞IT的，应该也有不少黑客高手或者因为爱好黑客而接触计算机，从事计算机领域工作的人。其实这篇文章讲的就是无线帐号破解，如果单纯只讲理论，相信本文也会空洞无味，大家看完后也觉得不知所云或者距离实际操作太远，实际生活中用到的不多。本文的难度水平不高，只要有一些简单的计算机知识应该都可以看明白，如果有不懂的地方的话，欢迎到我博客下面留言，我会尽量给大家回复的。

首先按照我写文章的惯例，先介绍一下环境。实验环境是很重要的，以前我还是小菜的时候（其实我现在还是小菜，嘿嘿），看一些高手的文章，满嘴留哈喇子，然后想按照人家的一步一步操作的时候，却发现连最初的几步都不知道该如何操作，甚至都不知道怎么会突然冒出这么一个界面，这是什么程序的界面。为了照顾新手，也为了使本文的流畅性更连贯一些，我们废话不多说，先看看我的实验前的一些准备工作

为了写本文方便截图，我使用Vmware Workstation 9.0.0虚拟机+xiaopan OS搭建的环境，无线网卡用的是传说中的卡皇RTL8187L芯片，将此usb无线网卡连接到虚拟机（其实大家环境也没必要这么麻烦，我这是为了截图方便，大家可以下载xiaopan os用ultraiso刻录到u盘上，光盘上，开机选择光盘引导，u盘引导也一样，而且如果能识别计算机内置的无线网卡，如果内置无线网卡搜索的无线信号足够好的话，可以不用外置的，这样相对来说，环境就更容易搭建了）。除了xiaopan OS可以很容易的破解无线外，还有Beni（奶瓶），BT系列（BT3，BT4，BT5），CDlinux等等，甚至包括ubuntu就可以拿来破解无线（据说BT5就是拿ubuntu改的），我们来破解无线，其实只是用到这些系统内的一两个工具而已，所以，无论是什么样的环境，只要能把我们的工具放进去，就可以进行破解。接下来给我的环境截个图，大家可以看一下

环境介绍好，我们就拿出我们的工具进行操作了，我们点击minidwep-gtk，然后点击OK

接下来我们在下面的界面就应该能够看到我们的网卡了，选中我们的网卡，加密方式默认是wep，本文我们介绍wpa/wpa2的破解，就选择成wpa/wpa2。然后点击scan开始扫描周围的无线。

从上面的图片中，我们可以看出，有很多无线的加密方式后面有_wps的选项，这些就是支持wps连接的路由器
这里对wps的功能做下简单的介绍，我们这里的wps并非金山wps办公软件，这里的WPS就是一键加密键，WPS是由Wi-Fi联盟所推出的全新Wi-Fi安全防护设定(Wi-Fi Protected Setup; WPS)标准，该标准推出的主要原因，是为了解决长久以来无线网络加密认证设定的步骤过于繁杂艰难之弊病，使用者往往会因为步骤太过麻烦，以致干脆不做任何加密安全设定，因而引发许多安全上的问题。说的简单点，就是类似于蓝牙和电脑连接，不用输入密码，只用输入配对码就能连上的这个功能。QSS这一功能就是基于WPS这个标准推出来的。那么什么事QSS呢？QSS又称快速安全设置，通过按下无线路由和无线网卡上的QSS按钮，即可自动建立WPA2级别的安全连接，无需在路由器或网卡管理软件的界面上进行繁琐的设置，大大简化无线安全设置的操作。大家可以看下自己加的路由器的设置界面，现在新买的300MB的11bgn的路由器，大多数都支持此功能，QSS连接的时候的验证码，又称之为PIN码，这个数值默认情况在路由器背面标签上贴有，后来使用过程中可以进行修改。这里给大家截个图看一下

本次我们破解的就是开启了QSS功能的路由器，从上面的截图中，选择需要攻击的AP，然后点击右侧的Reaver，点击OK

接下来我们就可以泡杯茶，出去转一圈，回来之后密码可能就出来了。

WEP是链路层的安全机制，而Real Key的RC4算法本身就是有问题的，我们可以通过抓包等方法进行破解。在wpa/wpa2出来很长一段时间内，我们对此没有更好的办法，网上好多人都说基本上是无法破解的，现在有了PIN，我们可以很轻松的来将WPA/WPA2给破解了，那么PIN破解的原理是什么呢？大家可以看蓝牙PIN破解的步骤

步骤	说明
1	列举出所有可能的PIN值，如果假定PIN长度为4位，那么可能的PIN取值为0000到9999之间
2	按照顺序取PIN列表中的第一个值，并取得消息IN_RAND和BD_ADDR，就可以通过E22（注意：E22算法是公开的）算法，计算得到Kinit
3	根据消息2和消息3，由上面计算得到的Kinit，反推计算出LK_RANDA和LK_RANDB
4	根据LK_RANDA和LK_RANDB以及两个设备的物理地址等信息，计算得到Kab
5	由Kab和消息4（AU_RANDA），计算得到SRES，并与信息5的SRES比较；同样的，用Kab和AU_RANDB，计算得到SRES，并与信息7进行比较
6	如果第5步的消息比较相等，则给定的PIN是正确的；如果不匹配，回到第2步，取PIN列表的下一个PIN，重复步骤2后的步骤，直到找到正确的PIN为止

经过反复代码改进的PIN码破解工具，其破解速率已经从以前的1000key/s提升到了65000key/s，这个速率会随着设备硬件性能的提升而有所变化，根据来自特拉维夫大学的研究报告表明，在奔腾4 3.0GMHz的机器上测试结果显示，破解4位的PIN仅仅需要0.063s。而事实上，很多用户都没有或者根本不知道修改默认PIN码，而很多路由器出厂默认情况下都是开启了QSS的，也就增大了被入侵的风险。虽然绝对安全是做不到的，不过我们在使用过程中，最好是关闭QSS，绑定MAC地址，隐藏SSID，尽量来保证我们的无线的安全