这篇的重置版已经发布于新站

前言

最近在某个群看到有人问如何获取WiFi密码，刚好又在在Freebuf看到一篇WiFi渗透相关的近源渗透——WiFi渗透，于是便打算对其进行一遍复现。于是等了大概两个星期的WiFi Adapter终于到了，买的是Amazon的CanaKit Raspberry Pi WiFi Wireless Adapter / Dongle (802.11 n/g/b 150 Mbps)，感觉隐藏性比较好，而且看过几篇YouTube相关的用的也是这个Adapter，Kali Linux也支持，于是乎便下单了。
然后是漫长的两个星期等待，终于到了。O(∩_∩)O 可以开始复现了
这里有一些前置知识感觉很有用，于是一起照搬过来了

自备无线网卡（支持Monitor模式，即监听模式）：我们平时用的网卡都是混杂模式的，是不支持监听模式的，需要自备。监听模式：监听模式下，可以监听到经过它的所有流量，并且不需要与无线接入点建立连接，就可以接收到目标的mac地址等信息。
握手包：当终端与路由器建立连接时，会先进行认证，认证过程中传输的报文就是握手包。其中包括了路由器的密码，所以抓取握手包，获取密码并破解即可实现。通过网卡的监听模式，可以监听来自经过它的所有流量，从而可以抓取目标的握手包。
wifi密码的破解方式：破解方式有很多种，利用路由器的相关漏洞，基于弱加密（WPS，WEP）的破解，以及对WPA/WPA2的暴力破解，就加密算法来说wep<wpa<wpa2<wpa3；然而现如今市场上的主流路由器加密方式都是wpa2的，所以只能通过字典进行暴力破解。
Aircrack-ng：是一套用于无线审计的工具，kali自带，里面包含了多种工具，此处主要用到了以下工具；airmon-ng：改变网卡的工作模式；airodump-ng：捕获802.11的数据报文；aireplay-ng：发送注入数据包攻击目标，为后续捕获握手包做准备；aircrack-ng：对捕获的握手包进行暴力破解
密码字典生成工具：推荐使用crunch，kali自带，详情请见crunch 使用教程-随心所欲生成字典

正文

1. 暴力破解

1.1 启动WiFi Adapter

首先，插入我们的WiFi Adapter，然后进入Kali虚拟机：

输入命令iwconfig查看当前插入的网卡，发现wlan0就是我们的设备，也就是IEEE 802.11。接着我们便可以开始启动网卡，
但是在启动网卡之前，建议kill掉可能会影响的进程，使用命令airmon-ng check kill，但是我这边发现即使kill了之后，后续不明什么原因还是会有东西影响，导致后续使用命令airodump-ng进行渗透的时候，会一直用fixed channel: + 一个随机的channel的问题，不知道什么情况，有知道的小伙伴求说一下。（这里问题已经解决了，是因为airodump-ng请不要同时开启两个，比如同时airodump-ng wlan0mon和airodump-ng --bssid BA:B8:1B:73:CE:4A -c 4 -w psk wlan0mon，这样的话就会造成一边在一直monitor，但是同一边又在想要固定channel 4的局面，在airodump-ng wlan0mon之后，就暂停即可。）
输入命令airmon-ng start wlan0可以启动我们的网卡，并且再次通过iwconfig查询的时候，发现我们的网卡从wlan0已经变成了wlan0mon，并且工作模式已经从Managed变成了Monitor。

1.2 查看附近可用WiFi

输入命令，airodump-ng wlan0mon，启用监听，监听附近的WiFi。可以发现我们的测试WiFi就在第一个，（笑，因为我直接把他摆在我面前，所以距离最近，必然是第一个）

对某些数值的解释，文章近源渗透——WiFi渗透解释的很清楚，所以打算在他基础上细化一下（更详细的请查询Aircrack-ng官方文档）：

AP: Access Point，接入点，其功能是把有线网络转为无线网络
BSSID: 目标路由器的mac地址
PWR(Packets W? R?): 与目标的距离，该值越大，距离越近
Beacons: AP发送的公告包数
#Data: 捕获的数据包的数量
#/s: 10秒内捕获的数据包的数量
CH: 信道号
MB: AP 支持的最大速度；例：MB=11，则为802.11b
ENC: 加密算法；例：OPN=不加密，WPA...
CIPHER: 检测到密码。 CCMP、WRAP、TKIP、WEP、WEP40 或 WEP104 之一。
AUTH: 使用的身份验证协议。 MGT（WPA/WPA2 使用单独的身份验证服务器）、SKA（WEP 共享密钥）、PSK（WPA/WPA2 预共享密钥）或 OPN（WEP 开放）之一。
ESSID: WiFi的名称

1.3 嗅探并尝试抓取目标的握手包

由于我们的目标为“Pen-testing...”这个Wifi网络，我们可以看见其AP地址为BA:B8:1B:73:CE:4A，于是使用命令airodump-ng --bssid BA:B8:1B:73:CE:4A -c 4 -w psk wlan0mon进行抓包模式，其中：

bssid：AP的bssid
-c：信道号，这里是4
-w：保存的文件名，我们之后需要将抓的包保存的地址
wlan0mon：interface，也就是我们的网卡名

我们可以发现这里，有一个正在与我们路由器连接的设备F4:30:8B:01:01:DB，也就是我们这里的测试设备，我们也就获取了我们的测试设备，可以进行进一步的抓取握手包操作，这里对其其他参数进行稍微的补充解释：

Station: 连接这个ap客户端的mac地址，需要记录，后续抓握手包使用
PWR: 与上文一样
Rate: Station的接收速率 - 传输速率
Lost: 在过去 10 秒内丢失的数据包数
Frames: data一种
Notes: 有关客户端的其他信息，例：EAPOL、PMKID
Probes: 探测到的 ESSID。

1.4 泛洪攻击，加速获取握手包的速度

其实到了1.3这一步我们就可以慢慢等待用户连接了，但是这个速度未必太慢了一点，因为握手包一旦确立，Session一旦建立，下一次的获取也许就不知道是什么时候了，我们这个时候可以使用泛洪攻击，强制断开station与AP的连接，进而让他们重新验证，我们进而可以获得握手包。
使用命令aireplay-ng -0 2 -a BA:B8:1B:73:CE:4A -c F4:30:8B:01:01:DB wlan0mon

-0: 冲突攻击，使目标和客户端断开连接，重新连接的时候进而获得我手表
0: 攻击次数，1为1次，2为2次，0为循环
-a: 后面跟着Bssid
-c: 后面跟着Station
wlan0mon: 使用的带有monitor模式的无线网卡

这时候转去我们第一个窗口，我们发现我们对于BA:B8:1B:73:CE:4A的握手包已经找到了，显示为WPA handshake:BA:B8:1B:73:CE:4A