Wi-Fi网络能够让我们便利地访问因特网，但同时，我们又不希望隔壁抠门猥琐男总是蹭我们的网，所以自然要给WiFi加个密码，对吧？于是，好消息是，也许你已经看过我的另一篇文章，“如何使用BackTrack破解WIFI无线网络的WEP密钥”，所以你使用了更稳固的WPA安全协议。

但坏消息是，现在有一款自由开源新工具——Reaver，已经挖掘出了无线路由器的一个漏洞，由此能够破解绝大多数路由器上的密码。今天，我就来一步步介绍，如何使用Reaver破解WPA/WPA2密码。最后我会给出相应的防范对策。

文章的第一部分，是使用Reaver破解WPA的详细步骤，读者可以看视频，也可以跟着下面的文字一起做。然后，我会解释Reaver的工作原理。最后，介绍如何防范Reaver攻击。

http://www.youtube.com/embed/z1c1OIMbmb0?wmode=transparent&rel=0&autohide=1&showinfo=0&enablejsapi=1

在正式开始之前，我还是要不厌其烦强调一下：知识就是力量，但是拥有力量不代表着可以为所欲为、触犯法律。同样，骑白马的不一定是王子，会开锁的也不一定是小偷。本文只是关于某些技术的实验与验证，只适用于学习。你知道的越多，就能够越好的保护自己。

准备工作

首先，无需成为一名网络专家，学会使用复杂的命令行工具，你只需要准备一张空白DVD、一台能连接WiFi的电脑，并腾出几个小时时间，这就是我们基本需要的东西。要安装Reaver，可以有很多方法，但是这里我们建议你按照下面的指南来做：

• The BackTrack 5 Live DVD。BackTrack是一款支持自启动的Linux发行版，上面集成了大量的网络测试工具。虽然这对于安装、配置Reaver并不是必需的一个条件，但是对于大多数用户却是最简单一个方法。从BackTrack的下载页面（传送门）下载Live DVD，然后刻盘。这里你也可以下载镜像然后使用VMware安装，如果你不知道VMware是啥，额，那就还是刻盘吧。如图所示，下载的时候，下拉菜单选择BackTrack 5 R3版本、Gnome环境、根据你的CPU选择32或64位系统（如果这里不确定是32还是64，为了保险起见，请选择32位），下载类型选择ISO，然后就可以点击下载了。
• 配有DVD光驱、支持WiFi的电脑。BackTrack支持大多数的笔记本无线网卡，这一点对于大多数读者应该没什么问题。同时，你的电脑需要有一个DVD光驱，这样才能从BackTrack光盘启动。我的测试环境是一台用了6年的MacBook Pro。
• 附近要有采用WPA加密的WiFi网络。没WiFi网，你破解谁去 =。= ……一会我会在“Reaver的工作原理部分”介绍，WiFi防护设置是如何产生安全漏洞、WPA破解是如何成为可能的。
• 最后，你还需要一点点的耐心。这是整个实验的最后一步，使用Reaver破解WPA密码并不难，它采用的是暴力破解，因此，你的电脑将会测试大量不同的密码组合，来尝试破解路由器，直到最终找到正确的密码。我测试的时候，Reaver花了大概两个半小时破解了我的WiFi密码。Reaver的主页上介绍，一般这个时间在4到10个小时之间，视具体情况而定。

让我们开始吧

此时，你应该已经把BackTrack的DVD光盘刻录好了，笔记本也应该已经准备就绪。

第1步：启动BackTrack

要启动BackTrack，只需将DVD放入光驱，电脑从光盘启动。（如果不知道如何使用live CD或DVD启动，请自行Google。）启动过程中，BackTrack会让你选择启动模式，选择默认的“BackTrack Text - Default Boot Text Mode”然后回车。

最终BackTrack会来到一个命令行界面，键入startx，回车，BackTrack就会进入它的图形界面。

第2步：安装Reaver

（文章更新：Reaver在R3版中已经预装，如果你安装的是BT5的R3版，这一步骤可以忽略，直接跳到第3步。）

Reaver已经加入了BackTrack的最新版软件包，只是还没有集成到live DVD里，所以，在本文最初撰写的时候，你还需要手动安装Reaver。要安装Reaver，首先设置电脑联网。

1.点击Applications > Internet > Wicd Network Manager 2.选择你的网络并点击Connect，如果需要的话，键入密码，点击OK，然后再次点击Connect。

连上网以后，安装Reaver。点击菜单栏里的终端按钮（或者依次点击 Applications > Accessories > Terminal）。在终端界面，键入以下命令：

apt-get update

更新完成之后，键入：

apt-get install reaver

如果一切顺利，Reaver现在应该已经安装好了。如果你刚才的下载安装操作使用的是WiFi上网，那么在继续下面的操作之前，请先断开网络连接，并假装不知道WiFi密码 =。= 接下来我们要准备破解它~

第3步：搜集设备信息，准备破解

在使用Reaver之前，你需要获取你无线网卡的接口名称、路由的BSSID（BSSID是一个由字母和数字组成的序列，用于作为路由器的唯一标识）、以及确保你的无线网卡处于监控模式。具体参见以下步骤。

找到无线网卡：在终端里，键入：

iwconfig

回车。此时你应该看到无线设备的相关信息。一般，名字叫做wlan0，但如果你的机子不止一个无线网卡，或者使用的是不常见的网络设备，名字可能会有所不同。

将无线网卡设置为监控模式：假设你的无线网卡接口名称为wlan0，执行下列命令，将无线网卡设置为监控模式：

airmon-ng start wlan0

这一命令将会输出监控模式接口的名称，如下图中箭头所示，一般情况下，都叫做mon0。

找到你打算破解的路由器的BSSID：最后，你需要获取路由器的唯一标识，以便Reaver指向要破解的目标。执行以下命令：

airodump-ng wlan0

（注意：如果airodump-ng wlan0命令执行失败，可以尝试对监控接口执行，例如airodump-ng mon0）

此时，你将看到屏幕上列出周围一定范围内的无线网络，如下图所示：

当看到你想要破解的网络时，按下Ctrl+C，停止列表刷新，然后复制该网络的BSSID（图中左侧字母、数字和分号组成的序列）。从ENC这一列可以看出，该网络是WPA或WPA2协议。（如果为WEP协议，可以参考我的前一篇文章——WEP密码破解指南）

现在，手里有了BSSID和监控接口的名称，万事俱备，只欠破解了。

第4步：使用Reaver破解无线网络的WPA密码

在终端中执行下列命令，用你实际获取到的BSSID替换命令中的bssid：

reaver -i moninterface -b bssid -vv

例如，如果你和我一样，监控接口都叫做mon0，并且你要破解的路由器BSSID是8D:AE:9D:65:1F:B2，那么命令应该是下面这个样子：

reaver -i mon0 -b 8D:AE:9D:65:1F:B2 -vv

最后，回车！接下来，就是喝喝茶、发发呆，等待Reaver魔法的发生。Reaver将会通过暴力破解，尝试一系列PIN码，这将会持续一段时间，在我的测试中，Reaver花了2个半小时破解网络，得出正确密码。正如前文中提到过的，Reaver的文档号称这个时间一般在4到10个小时之间，因此根据实际情况不同，这个时间也会有所变化。当Reaver的破解完成时，它看起来是下图中这个样子：

一些要强调的事实：Reaver在我的测试中工作良好，但是并非所有的路由器都能顺利破解（后文会具体介绍）。并且，你要破解的路由器需要有一个相对较强的信号，否则Reaver很难正常工作，可能会出现其他一些意想不到的问题。整个过程中，Reaver可能有时会出现超时、PIN码死循环等问题。一般我都不管它们，只是保持电脑尽量靠近路由器，Reaver最终会自行处理这些问题。

除此以外，你可以在Reaver运行的任意时候按下Ctrl+C中断工作。这样会退出程序，但是Reaver下次启动的时候会自动恢复继续之前的工作，前提是只要你没有关闭或重启电脑（如果你直接在live DVD里运行，关闭之前的工作都会丢失）。

Reaver的工作原理

你已经学会了使用Reaver，现在，让我们简单了解一下Reaver的工作原理。它利用了WiFi保护设置（WiFi Protected Setup - 下文中简称为WPS）的一个弱点，WPS是许多路由器上都有的一个功能，可以为用户提供简单的配置过程，它与设备中硬编码保存的一个PIN码绑定在一起。Reaver利用的就是PIN码的一个缺陷，最终的结果就是，只要有足够的时间，它就能破解WPA或WPA2的密码。

关于这个缺陷的具体细节，参看Sean Gallagher's excellent post on Ars Technica。

如何防范Reaver攻击

该缺陷存在于WPS的实现过程中，因此，如果能够关闭WPS，WiFi就是安全的（或者，更好的情况是，你的路由器天生就木有这一功能）。但不幸的是，正如Gallagher在Ars的文章中所指出的，即使在路由器设置中人为关掉了WPS，Reaver仍然能够破解其密码。

在一次电话通话中，Craig Heffner说道，很多路由器即使关闭WPS都无法有效防范攻击。他和同事一起测试过，所有的Linksys和Cisco Valet无线路由器都是如此。“在所有的Linksys路由器上，你甚至无法手动关闭WPS，”他说，尽管Web界面中有关闭WPS配置的按钮，但是“它仍然会自动打开，极易受到攻击”。

因此，方法一：失败！。也许你可以亲自尝试把你的路由器WPS关闭，然后测试一下Reaver是否还能成功破解。

你也可以在路由器中设置一下MAC地址过滤（只允许指定的白名单设备连接你的网络），但是有经验的黑客还是能够检测出设备的白名单MAC地址，并使用MAC地址仿冒你的计算机。

方法二：失败！那到底该怎么办？

我的建议是，我曾经在我的路由器上安装了开源路由固件DD-WRT，成功防御了Reaver攻击。因为，DD-WRT天生就是不支持WPS的，因此，这成为了又一个我热爱自由软件的原因。如果你也对DD-WRT感兴趣，可以看一下这里的设备支持列表，看是否支持你的路由器设备。除了安全上的升级，DD-WRT还可以监控网络行为，设置网络驱动器，拦截广告，增强WiFi信号范围等，它完全可以让你60美刀的路由器发挥出600美刀路由器的水平！

via: http://lifehacker.com/5873407/how-to-crack-a-wi+fi-networks-wpa-password-with-reaver

译者：Mr小眼儿 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

你可能已经知道如果你想要加锁自己的WIFI无线网络，你最好选择WPA加密方式，因为WEP加密很容易被人破解。但是，你知道有多么的容易么？下面我们来看看吧。

注意：此帖是验证如何破解很少使用而陈旧的WEP加密协议。如果你希望破解的网络采用了更受欢迎的WPA加密，请看这篇：如何使用Reaver破解Wi-Fi网络的WPA密码。

今天我们来看看如何一步一步的破解采用WEP加密方法加密的WIFI网络。但是，有言在先：知识是一种力量，但是力量并不意味着你应该成为一个混球或者做任何违法的事。知道如何挑选一把锁具并不会让你成为一个贼。请将此帖用于教育性质或者概念验证性试验。

关于如何使用这个方案破解WEP加密的教程在互联网上有很多。认认真真的谷歌下，这个并不能被称作新闻。但是，让人惊讶的是如笔者一般的只有很少的网络经验的菜鸟，也可以使用一些免费的软件和廉价的WIFI适配器来完成这个做破解。下面就来看看吧！

你需要些什么

除非你是一个电脑网络安全的忍者，否则你不太可能具有完成实验的所有工具。以下是你需要的：

• 一个兼容的无线适配器.这是最主要的需求。你需要一个无线适配器，能用来完成包注入，你的电脑很可能不具备这个功能。在和我的安全专家邻居讨论了以后，我从亚马逊上花了50美元购买了一个Alfa AWUS050NH适配器，图片如上。更新：别学我，其实应该买Alfa AWUS036H而不是US050NH。视频里的哥们儿用$12美金在Ebay上买了一个解调器（同时可以选择把自己的路由器卖掉）。网上有很多可以兼容aircrack的适配器。
• 一个BackTrack Live CD. 我们已经提供了一个完整的BackTrack 3的安装使用教程，Linux Live CD可以让你完成所有的安全测试和测试工作。请自行下载一个CD镜像，然后刻录或者从VMware中启动它。
• 一个靠近的WEP加密的WIFI网络. 信号需要足够的强，理想的情况下最好有用户正在使用、连接和断开设备。越多的人使用网络，你就可以的到更多的破解数据，这样你就更可能成功。
• 使用命令行的耐心. 这里总共有10步，总共需要输入很长、很难懂的命令，然后等你的wifi网卡收集足够破解密码的数据。就像一个医生和一个急躁的病人说，要有点耐心。

破解WEP

为了破解WEP，你需要启动一个Konsole，它是BackTrack内置的命令行界面，它在任务栏的左下角，从左往右第二个图标。现在，输入命令吧。

第一步，运行下面的命令，获得你网卡列表：

airmon-ng

笔者只看见了一个ra0的结果。你的可能不一样；记录下这些内容（找个纸或者截图）。现在开始，更改替换掉命令中每一个包括(interface)的地方。

现在，运行下面的四个命令。看看截图里的输入结果。

airmon-ng stop (interface)
ifconfig (interface) down
macchanger —mac 00:11:22:33:44:55 (interface)
airmon-ng start (interface)

如果你没有获得像截图一样的结果，最可能的情况就是你的无线网卡不能在特殊破解模式下工作。如果你成功了，你应该已经成功的在你的无线网卡上伪造了一个新的MAC地址，00:11:22:33:44:55.

现在，开始使用的你网络接口，运行：（译者注：interface在范例中就是ra0）

airodump-ng (interface)

就可以看见你周围的wifi网络列表了。当你认准了你的目标后，按Ctrl+C结束列表。高亮你感兴趣的网络，同时记录下两样数据：它的BSSID和它的Channel(讯道，标签为CH的那列)，就像下面的截图。很明显你想要破解的网络需要是WEP加密的，而不是WPA或者其他加密方式。

就像我说的，按Ctrl+C来终止列表。（我需要重复一两次来找到我需要的网络）一旦你找到了你需要破解的网络，高亮BSSID然后复制它到你的剪切板来为将要输入的命令做准备。

现在我们需要观察你选中的目标网络，并捕捉信息存入一个文件里，运行如下命令：

airodump-ng -c (channel) -w (file name) —bssid (bssid) (interface)

其中，(channel),(bssid)就是你之前获取的那些信息。你可以使用Shift+Insert来将剪切板中的bssid信息粘贴到命令行中。随便给你的文件取个名字。我用的是“YoYo”，我破解的网络的名字。

你能够得到如截图中的窗口输出。就这么放着这个窗口。在前台新建一个konsole窗口，输入如下命令：

aireplay-ng -1 0 -a (bssid) -h 00:11:22:33:44:55 -e (essid) (interface)

这里的ESSID是接入点SSID的名字，例如我的就是YoYo。你希望能在运行后得到“Association successful”的结果。

你如果到了这一步，现在是时候运行下面的命令了：

aireplay-ng -3 -b (bssid) -h 00:11:22:33:44:55 (interface)

现在，我们创建了一个路由通路来更快的抓取数据，从而加快我们的破解过程。几分钟以后，前台的窗口会开始疯狂的读写数据包。（这时，我也不能用YoYo的网络在另一台机器上上网）这里，你可以喝杯Java牌儿咖啡，然后出去走走。一般来说，你需要收集到足够的数据后再运行你的破解程序。看着“#Data”列里的数据，你需要它在10，000以上。（图里的数据只有854）

这个过程可能需要一些时间，这取决于你的网络信号强度（截图中可以看到，我的信号强度低于-32DB，虽然YoYo的AP和我的适配器在同一间屋里）。等待直到包数据到达10K，因为在此之前破解过程不会成功。实际上，你可能需要超过10K，虽然他可能是大多数情况下都足够了。

一旦你收集了足够多的数据，就是见证奇迹的时刻了。启动第三个终端窗口，同时输入下面的命令来破解你收集到的数据：

aircrack-ng -b (bssid) (filename-01.cap)

这里的filename就是你在上面输入的文件名。你可以在自己的Home目录下看到。他应该是一个.cap后缀名的文件。

如果你没有足够的数据，破解可能失败，aircrack会告诉你获得更多的数据后重新尝试。如果成功了，你会看到如图结果：

WEP密钥会接着显示“KEY FOUND”。去掉引号，然后输入他就可以登录到目标网络了。

这个过程中的问题

通过这篇文章，我们可以证明想要破解WEP加密的网络对于任何一个具有硬件和软件人来说是如此简单的过程。我一直认为是这样的，但是不像下面视频里的伙计，这个过程中我遇到了很多的问题。实际上，你应该可以注意到最后一张截图和其他的不一样，因为它不是我的截图。虽然我破解的AP是我自己的AP，和我的Alfa在同一间屋子里，而且读取的信号强度一直在-30左右，但是数据的收集速度依然很缓慢，而在数据收集完成以前，BackTrack不能破解他。在尝试了各种方案（在我的MAC和PC上），我始终没能抓取到足够的数据量来破解密钥。

所以，这个过程在理论上是很简单的，实际上因为设备、到AP的距离却又因人而异.

可以去Youtube上看看视频，感受下这个伙计的实际操作。

http://www.youtube.com/embed/kDD9PjiQ2_U?wmode=transparent&rel=0&autohide=1&showinfo=0&enablejsapi=1

感受到一点使用BackTrack破解WEP加密的作用了么？你想说些什么呢？赶快换掉它吧。

via: http://lifehacker.com/5305094/how-to-crack-a-wi+fi-networks-wep-password-with-backtrack

译者：stduolc 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

今天遇到一件囧事，长时间不进Windows环境结果把自己设置的密码给忘记了，于是便发了一条微博。热心朋友一大堆，给我推荐各种各样的方法，自己也到网上搜了一搜，原来在Linux下去除Windows的密码是那么简单。方法步骤如下：

一、安装工具chntpw

这个工具应该在各大发行版的官源里都存在（Linux对Windows的安全环境考虑真是没得说。==！）。直接用你的发行版里最常用的安装方式安装即可。

比如Archlinux– sudo pacman -S chntpw

二、使用工具

挂载windows系统分区盘，进入到 windows/system32/config中，就地打开终端，运行如下命令：

sudo chntpw SAM

会得到如下提示：

chntpw version 0.99.6 110511 , (c) Petter N Hagen
Hive name (from header):
ROOT KEY at offset: 0×001020 * Subkey indexing type is: 666c
File size 262144 [40000] bytes, containing 5 pages (+ 1 headerpage)
Used for data: 233/17736 blocks/bytes, unused: 16/2584 blocks/bytes.
* SAM policy limits:
Failed logins before lockout is: 0
Minimum password length : 0
Password history count : 0
| RID -|———- Username ————| Admin? |- Lock? –|
| 01f4 | Administrator | ADMIN | *BLANK* |
| 01f5 | Guest | | dis/lock |

———————> SYSKEY CHECK <———————–
SYSTEM SecureBoot : -1 -> Not Set (not installed, good!)
SAM AccountF : 0 -> off
SECURITY PolSecretEncryptionKey: -1 -> Not Set (OK if this is NT4)
Syskey not installed!

RID : 0500 [01f4]
Username: Administrator
fullname:
comment : ���:(�)��n7
homedir :

User is member of 1 groups:
00000220 = Administrators (which has 1 members)

Account bits: 0×0210 =
[ ] Disabled | [ ] Homedir req. | [ ] Passwd not req. |
[ ] Temp. duplicate | [X] Normal account | [ ] NMS account |
[ ] Domain trust ac | [ ] Wks trust act. | [ ] Srv trust act |
[X] Pwd don’t expir | [ ] Auto lockout | [ ] (unknown 0×08) |
[ ] (unknown 0×10) | [ ] (unknown 0×20) | [ ] (unknown 0×40) |

Failed login count: 0, while max tries is: 0
Total login count: 81
** No NT MD4 hash found. This user probably has a BLANK password!
** No LANMAN hash found either. Sorry, cannot change. Try login with no password!

• – - – User Edit Menu:
  1 – Clear (blank) user password
  2 – Edit (set new) user password (careful with this on XP or Vista)
  3 – Promote user (make user an administrator)
  (4 – Unlock and enable user account) [seems unlocked already]
  q – Quit editing user, back to user select
  Select: [q] >

很显然，选1清除密码;选2重设密码;选3不知不觉提升用户权限，哈哈;选4启用或者关闭某个用户。我果然选1，重启进入Windows一路无阻！

来自Cloudpen