究学习WPA更换字典和握手包的方法图解

1、BT3下换字典P解
2、有针对性的生成字典
3、生成生日字典
4、WinAircrackPack挂字典在WIN系统下P解WPA信号
特别提示：这一步现在可以按我最新的教材跑字典，速度更快！
/bbs/viewthread.php?tid=49287&highlight =%2B%B7%E 7%D4%C6007
很多人问我如何得到握手包，大家可以注意下图中的那个信号有2个客户端。

我先是用第一个客户端作为对象攻击结果没有成功，后用第二个就很快就得到了握手包。

后来进路由证实第一个客户端并没有真正连接上路由，只是一个和我一样想ceng的人呵呵！
所以并不是所有的客户端都是“合法有效的客户端”，必须要能够正常接收到路由和“合法有效的客户端”的信号并且“合法有效的客户端”有一定的数据流获取握手包的速度就快！
合法有效的客户端：使用正确的密码连接路由并且有一定的数据流量才是合法有效的客户端
WPA研究详细介绍下载：
WPA破解全攻略anywlan 风云007.pdf (2.26 MB)
WinAircrackPack.rar (1.23 MB)
字典生成器.rar (1.75 MB)
生日+弱密码+常用单词字典.rar (44.13 KB)
包括6000多个英文单词+19500101到20001231生日密码+弱指令1800多个握手包.rar (152.04 KB)
提供一个非常有用的字典还有一个握手包，仅仅给大家测试使用。

需要强大的字典请自己用字典生成器按需要生成有针对性的字典。

BT3破解无线WEP/WPA教程声明：任何不经别人同意而进入别人网络都是非法和不道德的行为。

本教程用于学习和交流，如要实验请拿自已的AP开刀！！题记：本人是中国无线论坛/的ID“中卫”，无线安全版块是本论坛一个特殊而重要的版块，我们一直非常努力的想把这个板块做好。

作为板块现阶段的的一个重点就是无线WEP 和WPA的破解内容。

我根据各位坛友的教程和自己的理解整理编辑成这篇《BT3破解无线WEP/WPA教程》。

由于本人也是初学者，缺乏专业的理论知识，因此文中不免存在理解的偏差甚至错误，希望各位朋友指正。

最后希望更多的朋友参与到教程的整理和编辑中，不断把教程修正和完善。

如果对教程有任何意见和建议，欢迎各位到论坛提问和交流。

谢谢！！中卫08年7月13日开放式WEP破解1．装备：IMBX60笔记本（内置Intel3945无线网卡）、BT3的U盘系统（需用syslinux命令来指定启动BT3的盘符）2．用户名：root密码：toor，进入图形界面：startx。

启动BT3后,(启动黑屏：xconf再输入startx) 3．加载3945网卡的驱动。

打开一个shell输入modprobe –r iwl3945卸载原来的网卡驱动输入modprobe ipwraw 加载可监听的网卡驱动注：不同的网卡有不同的加载方式LINUX驱动是通过模块进行加载的，可以用lsmod来查看机器已加载的模块然后可以通过modinfo ipwraw（模块名）来查看所加载驱动模块的版本信息最新的ipwraw的版本是ipwraw-ng-2.3.4-04022008.tar.bz2的。

最新的版本需要设置rate为1M设置命令为iwconfig wifi0 rate 1M这个版本的驱动支持3945无线网卡发射功率得设置，命令如下iwconfig wifi0 txpower 16（TXPOWER是你想设置的值min=-12 and max=16，单位为dBm）参数on/off可以打开和关闭发射单元，auto和fixed指定无线是否自动选择发射功率。

第一步:虚拟机启动BT3 接入RTL8187芯片的网卡输入ifconfig –a 查看网卡我的网卡是WLAN 0 如图1：第二步：输入spoonwpa弹出spoonwpa的jave窗口如图2：第三步：在弹出的spoonwpa JA VE窗口内NET CARD选WLAN 0DRIVER 选NORMALMODE 选UNKNOWN VICTIM 选好后点NEXT下一步如图3：第四步：选择扫描频道这里建议全频扫描直接点LAUNCH按钮进行扫描如图4：第五步：等待扫描结果根据网卡的天线和离无线路由AP的距离决定时间的长短耐心等待如图5：第六步:处理扫描出的结果参考图6要想成功破解必须满足以下几个条件:A: 信号要强(POW那一栏图中紫色圈住地方) 弱的建议你改装天线增强网卡接收功率如何改装自行百度去B: 必须有数据包（图中紫色圈住地方DATE栏）数字越大越好一直为0的建议改天等它有数据包的时候在破解C: 最好有客户端（图中紫色圈住地方CLIS 栏）打勾的表示有客户端从上面的图我们可以看扫描出二个无线AP 其中一个就在附近信号比较好能够满足我们的条件我们就拿他开刀！第七步：选择攻击的对象参看图7选择能够满足我们条件的那个我们点击它然后在下面查看哪一个网卡的信号比较强和数据包比较多经过查看我们选择一个最好的点击它一下如图红圈内发白的地方然后点击selection ok按钮（图中紫色圈住的地方）第八步：开始获取握手包如下图直接点击图中红圈的按钮！第九步：获得握手包参看下图如果成功获取握手包会出现图中紫色圈住的地方的金色标志第十步：直接攻击破解图中紫色圈住的地方为BT3自带的字典文件的位置我们可以通过U盘拷贝我们自己的字典替换自带的字典或者直接点击红色圈住地方按钮直接破解直到最下面出现found key第十一步：提取获得的握手包到windows下挂字典暴力破解首先插上U盘虚拟机作如下设置：如图把U盘连接到虚拟机使用不知道如何操作请自行baidu打开U盘挂载然后提取握手包握手包地址：/usr/local/bin/wifispoonfeeder/spoonwpa/tmp内里面的wscapture-01.cap就为握手包如下图复制进u盘内然后把U盘连接到主系统内把握手包复制到硬盘内如下图第十二步：利用EWSA这个软件进行挂字典爆破！打开EWSA这个软件首先导入数据------导入AP目标数据文件在弹出的对话框内找到存放握手包文件的路径选择握手包选好字典文件然后点开始攻击看你字典文件的大小以及机器的性能如果你机器四核的CPU加支持GPU运算的高性能显卡恭喜你你的速度爽死了慢慢等结果多试验几个字典文件。

教你如何破解无线网络wpa2密码在动手破解WPA/WPA2前，应该先了解一下基础知识，本文适合新手阅读首先大家要明白一种数学运算，它叫做哈希算法(hash).这是一种不可逆运算，你不能通过运算结果来求解出原来的未知数是多少，有时我们还需要不同的未知数通过该算法计算后得到的结果不能相同，即你不太可能找到两个不同的值通过哈希得到同一个结果。

哈希是一类算法的统称（暂停！移动你的鼠标-猛击右图 ），通常哈希算法都是公开的，比如MD5，SHA-1等等。

我们平时说的WPA密码其实叫PSK（pre-shared key），长度一般是8-63字节，它加上ssid通过一定的算法可以得到PMK（pairwise master key）。

PMK=SHA-1(ssid,psk)，PMK的长度是定长的，都是64字节。

由于计算PMK的过程开销比较大，是我们破解花费时间长的关键，所以采用以空间换时间的原则把PMK事先生成好，这个事先生成好的表就是常说的HASH表（生成PMK的算法是一种哈希），这个工作就是用airlib-ng这个工具来完成的，我们的快速破解就是这么来的。

认证的时候会生成一个PTK（pairwise temporary），这是一组密钥，具体细节不详细说了，它的生成方法也是采用的哈希，参数是连接的客户端MAC地址、AP的BSSID、A-NONCE、S-NONCE、PMK，其中A-NONCE和S-NONCE是两个随机数，确保每次连接都会生成不同的PTK。

PTK的计算消耗很小。

PTK加上报文数据采用一定的算法（AES 或TKIP），得到密文，同时会得到一个签名，叫做MIC（message integrality check），tkip之所以被破解和这个mic有很大关系。

四次握手包中含有以上的哪些东西呢？客户端的MAC地址，AP的BSSID，A-NONCE，S-NONE，MIC，最关键的PMK和PTK是不包含在握手包里的！认证的原理是在获得以上的所有参数后，客户端算出一个MIC，把原文连同MIC 一起发给AP，AP采用相同的参数与算法计算出MIC，并与客户端发过来的比较，如果一致，则认证通过，否则失败。

CDlinux抓取WPA握手包方法
一步一步详述，傻瓜也得会啊
1、下载完CDlinux-0.9.6.1-se-wireless.iso 镜像文件后如果下图所示点开中文虚拟机或
无线路由检测工具
上图所示：1、打开虚拟机点击如图CD-ROM双击鼠标后跳出2
2、如图跳出窗口选择：使用ISM镜像内打点
3、点击浏览后制定路径：之前下载的CDLinux-0-9-6镜像包位置
上图所：1、点击播放后自动进入右图界面
2、记得加载网卡哦虚拟机-可移动设备-USB设备-鼠标左键点击RELTEK USB
3、加载网卡后点击桌面上蓝色图标minidwep-gtk文件
2、自动跳出提示窗口点击OK键
1、进入软件界面后-点击选项选择WPA/WPA2
2、点击选项选择注入速率：800
3、点击扫描扫描WPA/WPA2加密无线路由
2、点击启动键开始抓包
如下图所示开始抓取握手包模式
1、获取握手包后点击提示窗口NO
2、点击OK后自动跳出握手包位置
握手包寻找如下图所示：
1、查询字典位置-点击桌面蓝色图标-Home后自动跳出窗口
2、鼠标左键点击系统文件
3、点击系统文件内的tmp文件包
1、无线路由器WPA握手包文件-现在插移动U盘拷贝握手包-导出数据包
1、插入U盘后自动跳出窗口鼠标左键点击握手包然后点-复制
插入U盘U盘自动跳出从抓包工具中导出WPA握手包
1、导出字典后点击如图这个位置的图标安全拆除U盘
2、自动跳出窗口点击-GENEAL USB FLASH DISK 安全拆除U盘
抓取WPA握手包后，用破解软件破解，具体不详述。

利⽤EWSA跑字典破解操作步骤
利⽤EWSA跑字典破解操作步骤
操作步骤简述：先在CDLinux中抓到包之后，⽤U盘（也可以存⼊硬盘中）将握⼿包⽂件复制出来，再⽤⼀台⾼性能的电脑（性能越⾼跑字典越快）在Windows系统运⾏EWSA跑字典破解这个握⼿包找出密码。

详细操作步骤：（例如：我要抓包破解名为TPJIN这个路由器）
1、如下图所⽰，当你抓到包之后，单击“Cancel”按钮就⾏了。

2、打开桌⾯上的“⽂件系统”
3、单击“tmp”⽂件夹
4、插⼊U盘，U盘将⾃动打开，将⽂件“EC-17-2F-85-33-9E_handshake.cap.wkp”复制到U盘
5、弹出U盘：
6、⽤另⼀台⾼性能的电脑进⼊windows系统，打开这个⽂件夹：
7、双击安装包，安装该软件
8、按照以下步骤执⾏：
9、输⼊注册码，在这个⽂件中有注册码：
10、去掉下图中的钩，因为你现在运⾏这个程序是英⽂版的，需要先汉化⼀下（看后⾯）。

11、安装好该软件之后，桌⾯没有⾃动⽣成快捷⽅式，你需要创建快捷⽅式：
将以下这个汉化⽂件复制到该程序安装的⽬录下
12、第⼀次进⼊为英⽂版，如下图选择语⾔为简体中⽂
13、单击“打开项⽬”按钮
14、在U盘或硬盘中找到刚才那个握⼿包⽂件
15、单击路由“TPJIN”前⾯⼩正⽅形，把它钩上。

WPA 4-way handshakedlmu2001tomorrow_cyz@一、why EALOP 4-way handshake为了解决无线传输不安全，需要对无线连接的接入进行控制，并实现帧传播的加解密。

WPA 4-way handshake有点相当于一个“安全”地协商“交换”秘钥的过程。

这个秘钥就是PTK（Pairwise Transient Key）,成对传输秘钥。

二、WPA 4-way handshake过程1.一个简单的4-way handshake图图1 4-way shake overview以WPA/WPA2-PSK为例，AP/STA在4-way shake前各自都知道密码（也就是用户连接某SSID输入的密码）1)AP(Authenticator)在1/4的时候把自己的随机数(ANonce)传给STA，STA在收到ANonce后，已经可以生成PTK2)2/4的时候把自己的随机数(SNonce)传给AP，同时加了MIC(对应于PTK中的KCK，也就是秘钥确认秘钥)。

AP收到SNonce以后，就可以生成PTK了，将收到的MIC和自己生成的MIC比较进行完整性校验，如果校验失败，握手失败。

校验成功，AP生成PTK和GTK(Group Transient Key，用来加密组播和广播)3)3/4中将GTK和MIC一起发给STA，因为此时双方都已经知道PTK，所以会对GTK进行KEK加密。

4)STA发送ACK进行确认4次握手完成以后，之后的帧传播就都会以加密的方式进行。

2 . 4-way shake在AP/STA通讯中的位置1) open方式下的connect图2 open方式的connect过程a.Open System Authencication Process ,就好比把网线插入AP的有线口b.Association :完成802.11 layer-2的negotiation，建链，成功后AP会分配给STA一个Association IDc.开始真正的数据传输2) wpa/wpa2-psk方式下的connect图3 wpa/wpa2-psk方式下的connecta.Authenciation,同上b. Association，同上c EAPOL 4-way shaked.真正的数据传输3）wpa/wpa2-eap方式下的connect图4 wpa/wpa2-eap方式下的connect在2）的基础上，wpa/wpa2-eap有个802.1x的auth过程，用于在认证服务器上认证，以获取MSK三、具体1.PTK的生成生成PTK，需要5个必要元素，PMK，ANonce（Nonce 1，AP生成的随机数），SNonce(Nonce 2,STA生成的随机数)，Authenticate MAC(MAC1,如AP的MAC),SupplicantMAC(MAC2，如STA的MAC)。

以下资料均参考网络上的，自己动手实际操作。

启动虚拟机---把USB网卡拉进虚拟机里--启动"minidwep-gtk" 点一下“OK”出现下图啦：在加密方式下，把WEP换成WPA/WPA2”，点击右边上面的“扫描”软件就进行无线网络扫描，扫描完成后，会在上方框中显示扫描到的WPA/WPA2无线信号，如图:用鼠标选中带有客户端的信号，点“L启动”程序开始全自动抓包，如果信号带有客户端的，是抓不到握手包的，有客户端的信号会在后面显示客户端的网卡地址：后面的94:39:E5:4D:3D:08 就是客户端的地址,其实，并不是后面不带网卡地址的信号就表示没有客户端，有时软件一时检测不出来的，所以对那些带网卡地址的信号，也可以试试抓包，抓几分钟没抓到，就可能真的是没有客户端了。

我们选中有客户端的信号，点“L启动”开始抓包，几分种后抓到一个握手包：抓到握手包：这时点OK，去选一个字典来跑，先试试系统自带的字典：wordlist.txt 点选后开始跑字典了：二分钟左右竟跑出密码来，看来运气不错：如果系统自带的字典跑不出密码来，那我们可以继续跑其他字典。

首先把我们的字典复制到U盘，然后把U盘拉到虚拟机，这个跟拉网卡进虚拟机一样操作，这里就不多讲了，当U盘成功拉进虚拟机时，会在桌面显示一个USB接口图标并称为“1G可移动卷”，店主的2G U盘是这么显示的。

这时，点minidwep-gtk介面右边的“D跑字典”，选握手包，刚才我们抓到的握手包系统自动保存到了：Home\文件系统\tmp\这个文件夹下，并以信号的地址为名：00-E0-4C-81-86-D3-hendshake.cap 名字好长啊。

选上握手包，系统提示选字典：上图中的左边框中，名为disk 就是我的U盘了打开我们的U盘，选上字典，开始继续跑字典。

1，打开和运行光盘里
程序。

破解工具》》的EWSA.exe程序
打开和运行光盘里《《WPA破解工具
里选择““简体中文
简体中文””或英文
2，在Options——Language里选择
目标数据文件””（就是你抓到的WPA握手包文件,文导入数据””——
——““导入AP目标数据文件
3，打开
打开““导入数据
件后缀是.CAP）,选择OK确定
4， 在“选项选项””————““新建字典选项新建字典选项””里,选择选择““添加添加””按钮按钮，，添加一个或多个密码字典
下面的字典可以同时选择几个字典。

光盘里的《WPA 破解工具》_《字典》文件夹里有一个wordlist.txt 的字典是我们常用的，先选择它来破解(如果之前已经用BT10破解没出密码，该字典不要再使用了，因为BT10的字典就是这个wordlist.txt )。

如果不行，可以选择光盘里的《WPA 破解工具》里的《WPA 字典》文件（解压缩后使用），也可以使用光盘里的《WPA 破解工具》里的字典生成工具来生成字典。

提示:字典太小字典太小，，密码不好破密码不好破；；字典太大字典太大，，破解时间太长破解时间太长。

所以选择字典很重要
所以选择字典很重要。

最好用速度快的台试机电脑运行“跑字典”，效率会相对高一点。

选择好字典后，选择““OK ”
5， 选择选择““开始攻击开始攻击””，开始破解密码
的窗口。

表格里会显示具体的密码
表格里会显示具体的密码。

密码已恢复””的窗口
弹出““密码已恢复
密码出来后的显示画面。

弹出
6，密码出来后的显示画面。

Usb版BT3用SPOONWPA研究学习WPA更换字典和握手包的方法图解研究学习WPA关键是二个问题。

其一是要生成一个握手包文件(*.cap)，取到握手包数据。

其二是要有一个字典文件（*.txt）。

在实际操作过程中会出现这样的情况。

一是要导出握手包文件（因一时无法完成研究学习WPA），等下次再继续研究学习时，导入握手包文件。

这就要做导入导出握手包文件的操作。

二是一个系统自带字典文件不能解决WPA问题，需要用自编的字典文件进行研究。

因为字典文件是*.txt文件，因此这个字典可以根据实际情况自已编写，研究学习时可以更换不同的字典。

下面就图解详说Usb版BT3在SPOONWPA下更换握手包和字典的操作。

一、更换字典操作。

Usb版BT3在SPOONWPA下，系统自带了一个文件名为wordlist.txt的字典文件，这个字典文件是在系统启动时解压生成的，存放在/USR/LOCAL/BIN/WIFISPOONFEEDER/SPOONWPA/LIB文件夹下。

在下图页面的情况下可以进行更换字典文件。

更换字典文件按如下操作。

1、回到图标桌面（如下图），点开HOME图标（以下均按红线框内操作。

）三恩无线论坛三恩无线论坛2、 点下图红线框内图标（向上一级文件夹）。

3、 出现下图时，点开USR 文件夹三恩无线论坛4、 点开LOCAL 文件夹5、 点开BIN 文件夹三恩无线论坛6、 点开WIFISPOONFEEDER 文件夹7、 点开SPOONWPA 文件夹三恩无线论坛8、 点开LIB 文件夹9、 下图红线框内的文件wordlist.txt 就是字典文件。

10、三恩无线论坛三恩无线论坛11、 改名后的字典文件 “wordlist.txt ”。

12、 回到SPOONWPA 页面，点红线框内按钮继续研究。

13、运行情况如下图，现在系统就是用自已的字典文件进行研究了。

这个字典不行还可以再换一个………换N 个都可以。

能不能研究出来就看你的字典文件好不好用了，不能责怪SPOONWPA研究不出来的。

破解:引导系统进入BT3的选择画面，选择后面带有KDE的BT3即可1.进入bt3桌面后，需要用到的就是命令行模式，其实也不难，注意，我们要启动bt3的命令行状态，点击下面这个图标就会启动bt3的命令行状态2.点击图标，进入命令行状态，输入命令:ifconfig –a此命令,就是列出你电脑中的网卡,如果没有列出,那说明是不支持了，如果列出了,说明支持,也不一定能抓包上图就是，输入完命令，回车后看到的信息，注意图中画蓝圈的部分那里显示的是你网卡的ＭＡＣ码，我的就是16-E6结尾的，可以看到说明是支持我的网卡的，我的无线网卡是:intel 2915ABG ,BT3支持2915ABG抓包内至的网卡是以eth0, eth1,eth2.....此类的IDUSB的网卡是以rausb0, rausb1,rausb2....此类的ID下面,就要以eth1,我的内至网卡来抓包2.再打开一个命令窗口,不知道怎么打开的,请去看文章上半部分打开后,输入命令:airodump-ng -w 123 eth1然后回车注意:你自己的无线网卡的ID可能是Rausb0, 或是eth0, eth1命令格式是:airodump-ng -w 123 <网卡ID>即可输入命令,并回车,即可看到下面的信息:解释一下几个名称BSSID:扫描到的无线路由的MAC地址,这个地址破解的时候需要用到PWR:无线路由的信号强度Beacons:向此路由发送的数据包的数量#Data:网卡抓到的数据包的数量CH: 无线路由所在的信道ENC与CIPHER,这个是无线路由的加密方式ESSID:无线路由的SSID的名称我们这次举的例子,要破解的,必须为ENC:wep, CIPHER:wep,如上图的YEROC,就是非常合适的一个破解的对象至于wpa加密的,由于不能抓到足够的数据包,不知道能不能破解,有兴趣的,你可以自己去试现在我们就要查看,那个无线路由的#Data那一栏的数值变化比较快,数据包比较多,这样我们才能破解我们看到,YEROC已经有17个数据包了,那我们就破解它3.开始破解,再打开一个命令行模式,什么?不知道怎么打开命令行模式，自己看文章上半部分去打开命令行窗口,运行:spoonwep然后回车打开spoonwep后Victim MAC:这个栏里,输入我们要破解的无线路由的MAC码,也就是MAC地址注意:是要破解的无线路由的MAC码,不是你无线网卡的MAC码Net Card中,选择刚才运行airodump-ng -w 123 eth1 这个命令中用到的无线网卡我的为eth1,我就选择了eth1Channel:选择要破解的无线路由所在的信道,YEROC为六,我就选择了六Inj Rate,为默认即可Launch那个栏位,选择下拉的第二项0841 REPLAY ATTACK然后点击Launch按钮,就开始破解了开始破解后,要抓到六万到十万的数据包,才能破解，我这个抓了四十分钟才抓够数据包,才破解的。

在动手破解WPA/WPA2前，应该先了解一下基础知识，本文适合新手阅读首先大家要明白一种数学运算，它叫做哈希算法(hash).这是一种不可逆运算，你不能通过运算结果来求解出原来的未知数是多少，有时我们还需要不同的未知数通过该算法计算后得到的结果不能相同，即你不太可能找到两个不同的值通过哈希得到同一个结果。

哈希是一类算法的统称（暂停！移动你的鼠标-猛击右图 ），通常哈希算法都是公开的，比如MD5，SHA-1等等。

我们平时说的WPA密码其实叫PSK（pre-shared key），长度一般是8-63字节，它加上ssid通过一定的算法可以得到PMK（pairwise master key）。

PMK=SHA-1(ssid,psk)，PMK的长度是定长的，都是64字节。

由于计算PMK的过程开销比较大，是我们破解花费时间长的关键，所以采用以空间换时间的原则把PMK事先生成好，这个事先生成好的表就是常说的HASH表（生成PMK的算法是一种哈希），这个工作就是用airlib-ng这个工具来完成的，我们的快速破解就是这么来的。

认证的时候会生成一个PTK（pairwise temporary），这是一组密钥，具体细节不详细说了，它的生成方法也是采用的哈希，参数是连接的客户端MAC地址、AP的BSSID、A-NONCE、S-NONCE、PMK，其中A-NONCE和S-NONCE是两个随机数，确保每次连接都会生成不同的PTK。

PTK的计算消耗很小。

PTK加上报文数据采用一定的算法（AES 或TKIP），得到密文，同时会得到一个签名，叫做MIC（message integrality check），tkip之所以被破解和这个mic有很大关系。

四次握手包中含有以上的哪些东西呢？客户端的MAC地址，AP的BSSID，A-NONCE，S-NONE，MIC，最关键的PMK和PTK是不包含在握手包里的！认证的原理是在获得以上的所有参数后，客户端算出一个MIC，把原文连同MIC 一起发给AP，AP采用相同的参数与算法计算出MIC，并与客户端发过来的比较，如果一致，则认证通过，否则失败。