-
-
[讨论]win7下破解wep
-
发表于: 2012-4-4 01:24
-
wep是很老的东西了,但貌似还是有不少人在用,可能旧的路由器默认用的wep吧,家里一扫描,16个信号,8个是wep :)
对linux无爱,BT系列的一大堆命令看着晕呼,所以尝试自己弄一个工具,有感兴趣的朋友欢迎加q交流:94566062
因为是用的 NDIS 6 Filter 驱动,这个只有win7才支持,而且只支持 win7-32位, 因为64位下安装驱动必须要数字签名。。
rc4
关于rc4的原理和破解,这两篇文章说得非常详细
1. e37K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4T1L8$3u0S2i4K6u0W2k6s2u0A6P5Y4A6D9k6h3S2G2M7%4c8A6L8X3N6Q4x3X3g2U0L8$3#2Q4x3V1k6u0c8f1g2q4i4K6u0r3M7X3x3@1i4K6g2X3K9%4y4S2M7s2u0G2j5#2)9J5k6i4m8V1k6R3`.`.
2. ef0K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2U0M7$3c8F1i4K6u0W2L8X3g2@1i4K6u0r3c8$3q4m8i4K6g2X3f1X3q4Q4x3V1k6S2M7Y4c8A6j5$3I4W2i4K6u0r3k6r3g2@1j5h3W2D9M7#2)9J5c8U0f1%4y4o6f1J5y4K6R3`.
附件 rc4.rar 中模拟了wep 包的生成和 rc4 破解。
无线 wep
无线包分3种, Management, Control 和 Data,其中只有 Data 是加密的,因此捕捉前两种包是没用的,只有 Data 有用。
理论上10分钟内破解wep的流程是这样:
1. 监听目标 AP 活动,找到一个正在与其通讯的 client
2. 发送伪造的 deauthentication 数据包给 AP,使 client 掉线
3. client 会自动重连,在连上(associate)后,client 会发送 ARP 包(arp request 是Data类型),AP会对这个 ARP 包作出回应(arp response是Data类型)
4. 捕捉这个 arp request, 然后反复发送,AP 就会反复应答,这样就能产生大量的数据包通讯
5. 监听经过 AP 的所有 Data 包然后破解
但目前还没找到注入包的方法(见下面),以上 1,2,3,4 都白搭,只能直接第5步被动监听了。。
另外之所以捕捉 ARP 包是因为它的体积很小,通常70字节左右,因此也很容易辨认,client重连后,满足条件
的第一个包,就是 arp request 了
网卡模式
一般平时上网时候网卡都处于 extensible station mode,简称 ext-sta。该模式下网卡会对接收到的数据包过滤,如果目标不是自己就丢弃这个包。就像局域网抓包用的混杂模式一样,无线下也有一种 monitor 模式,该模式下不管什么数据包都会接收,通常用来调试网卡,我试了手上的4块网卡都支持,应该是块网卡就支持吧。。
网卡信道
弄这个才知道网卡有信道一说,或者频道,channel,一般 802.11b/g 工作在 2.4GHz,通常划分成13个信道区域,
从频率2407000开始,2412000是信道1,2417000是信道2。。。每+5000是一个信道
如果好多无线都挤在一个信道,可能导致信号质量变差,所以路由器的设置页面里,有信道这个选项,一般都是自动选择,路由会自动挑空闲的信道
即使网卡处于 monitor 模式下,也只能接收当前信道的数据包,所以必须设置网卡和AP在同一信道才能接收到数据。
关于 NDIS 6 Lightweight Filter 驱动(LWF)
win7 下有一层 LWF: Microsoft Native WiFi LWF,绑定在它上层的 Filter 只能看到802.3包,只有比它更底层才能看到802.11无线数据包
MS 公开的 Filter 驱动有两种
1. monitoring filter driver
inf中的标志是
HKR, Ndi,FilterType,0x00010001,0x00000001
好处是能同时绑定在 Microsoft Native WiFi 上层和下层,也就是能同时看到 802.3 包和 802.11 包, 所以会有多个 instance,FilterAttach 会被调用多次
缺点是每个instance都会接收包,一个数据包会同时被所有instance接收一遍,所以需要加额外代码来控制重复接收
2. modifying filter driver
HKR, Ndi,FilterType,0x00010001,0x00000002
好处是只绑定一个instance
缺点是只能绑定在 Microsoft Native WiFi 上层,所以看不到原始的 802.11 包
还有一种未公开的类型,win7 提供了一种 Virtual Wifi,可以在 c:\windows\inf\netvwififlt.inf 里看到
HKR, Ndi,FilterClass,, ms_medium_converter_128
HKR, Ndi\Interfaces, FilterMediaTypes,,"vwifi"
vwifi 只绑定一个instance,而且直接绑定在 802.11 miniport 上, wep.inf 里用的就是这种类型。
关于包注入(packet inject)
windows下发包还真是困难,试了4个无线网卡
1. Intel(R) Centrino(R) Advanced-N 6205 笔记本内置网卡
monitor mode下,包发不出去
ext-sta mode下,包能发出去,但包的部分内容和包长度都被篡改了。。
2. Netgear WG111 v2 usb网卡
3. TP-LINK 821N usb网卡
4. TP-LINK 822N usb网卡
后面这三个发包直接蓝屏-_-
可以用wep.exe测试网卡能不能发包,比如家里路由器的 mac 是 11-11-11-11-11-11,手机的 mac 是 22-22-22-22-22-22
切换到"Inject test",在框里填入这两个 mac, 然后点 Inject,会发送一个掉线包来让手机掉线,如果测试 monitor 模式下发包,先点"Set Monitor Mode" 再 "Inject"
如果成功的话就可以看到手机掉线了然后自动重连
当然,网卡不同,很有可能直接蓝屏:) 操作前请关闭其他需要保存的程序
如果有网卡能在win7下注入包的话,或者蓝屏是因为代码有问题,还请告知,谢谢。
关于程序
Refresh: 刷新无线列表
iswep列是"Yes"的表示是 wep 加密,5个星号表示密码是5个字符,还有13个星号的,先选一个需要破解的,然后点 "Start",会有红色框提示安装驱动,选第二项安装就ok了。
窗口标题上的数字表示每秒钟捕捉的数据包个数
默认是密码的每一位需要400个包(400个包几乎100%破解成功),200个包大概是70%, 100个大概50%
进行到一半时候可以点"Show Status"查看当前捕捉到多少包,也可以用"Force Crack"用已捕捉到的包尝试破解。
"Quit"关闭时候会保存已抓到的包,下次打开时断点续抓。
这是测试自己家AP的截图(2m adsl 迅雷下载5个小时基本可以完成破解)
关于代码
驱动根据 wdk\src\network\ndis\filter 修改
device.cpp 发包,设置网卡模式,以及与用户界面的通讯
filter.cpp 收包
states.h 每个破解步骤
wlan.h win7的wlan api
环境: win7-32bit, wdk, sdk, cmake, nmake
对linux无爱,BT系列的一大堆命令看着晕呼,所以尝试自己弄一个工具,有感兴趣的朋友欢迎加q交流:94566062
因为是用的 NDIS 6 Filter 驱动,这个只有win7才支持,而且只支持 win7-32位, 因为64位下安装驱动必须要数字签名。。
rc4
关于rc4的原理和破解,这两篇文章说得非常详细
1. e37K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4T1L8$3u0S2i4K6u0W2k6s2u0A6P5Y4A6D9k6h3S2G2M7%4c8A6L8X3N6Q4x3X3g2U0L8$3#2Q4x3V1k6u0c8f1g2q4i4K6u0r3M7X3x3@1i4K6g2X3K9%4y4S2M7s2u0G2j5#2)9J5k6i4m8V1k6R3`.`.
2. ef0K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2U0M7$3c8F1i4K6u0W2L8X3g2@1i4K6u0r3c8$3q4m8i4K6g2X3f1X3q4Q4x3V1k6S2M7Y4c8A6j5$3I4W2i4K6u0r3k6r3g2@1j5h3W2D9M7#2)9J5c8U0f1%4y4o6f1J5y4K6R3`.
附件 rc4.rar 中模拟了wep 包的生成和 rc4 破解。
无线 wep
无线包分3种, Management, Control 和 Data,其中只有 Data 是加密的,因此捕捉前两种包是没用的,只有 Data 有用。
理论上10分钟内破解wep的流程是这样:
1. 监听目标 AP 活动,找到一个正在与其通讯的 client
2. 发送伪造的 deauthentication 数据包给 AP,使 client 掉线
3. client 会自动重连,在连上(associate)后,client 会发送 ARP 包(arp request 是Data类型),AP会对这个 ARP 包作出回应(arp response是Data类型)
4. 捕捉这个 arp request, 然后反复发送,AP 就会反复应答,这样就能产生大量的数据包通讯
5. 监听经过 AP 的所有 Data 包然后破解
但目前还没找到注入包的方法(见下面),以上 1,2,3,4 都白搭,只能直接第5步被动监听了。。
另外之所以捕捉 ARP 包是因为它的体积很小,通常70字节左右,因此也很容易辨认,client重连后,满足条件
BOOLEAN is_arp_request(UCHAR* p, INT DataLen) {// filter.cpp
return DataLen > 60 && DataLen < 130 &&
is_data(p) &&
is_to_ds(p) && // packet from client to AP
is_broadcast(p);
}的第一个包,就是 arp request 了
网卡模式
一般平时上网时候网卡都处于 extensible station mode,简称 ext-sta。该模式下网卡会对接收到的数据包过滤,如果目标不是自己就丢弃这个包。就像局域网抓包用的混杂模式一样,无线下也有一种 monitor 模式,该模式下不管什么数据包都会接收,通常用来调试网卡,我试了手上的4块网卡都支持,应该是块网卡就支持吧。。
网卡信道
弄这个才知道网卡有信道一说,或者频道,channel,一般 802.11b/g 工作在 2.4GHz,通常划分成13个信道区域,
从频率2407000开始,2412000是信道1,2417000是信道2。。。每+5000是一个信道
如果好多无线都挤在一个信道,可能导致信号质量变差,所以路由器的设置页面里,有信道这个选项,一般都是自动选择,路由会自动挑空闲的信道
即使网卡处于 monitor 模式下,也只能接收当前信道的数据包,所以必须设置网卡和AP在同一信道才能接收到数据。
关于 NDIS 6 Lightweight Filter 驱动(LWF)
win7 下有一层 LWF: Microsoft Native WiFi LWF,绑定在它上层的 Filter 只能看到802.3包,只有比它更底层才能看到802.11无线数据包
MS 公开的 Filter 驱动有两种
1. monitoring filter driver
inf中的标志是
HKR, Ndi,FilterType,0x00010001,0x00000001
好处是能同时绑定在 Microsoft Native WiFi 上层和下层,也就是能同时看到 802.3 包和 802.11 包, 所以会有多个 instance,FilterAttach 会被调用多次
缺点是每个instance都会接收包,一个数据包会同时被所有instance接收一遍,所以需要加额外代码来控制重复接收
2. modifying filter driver
HKR, Ndi,FilterType,0x00010001,0x00000002
好处是只绑定一个instance
缺点是只能绑定在 Microsoft Native WiFi 上层,所以看不到原始的 802.11 包
还有一种未公开的类型,win7 提供了一种 Virtual Wifi,可以在 c:\windows\inf\netvwififlt.inf 里看到
HKR, Ndi,FilterClass,, ms_medium_converter_128
HKR, Ndi\Interfaces, FilterMediaTypes,,"vwifi"
vwifi 只绑定一个instance,而且直接绑定在 802.11 miniport 上, wep.inf 里用的就是这种类型。
关于包注入(packet inject)
windows下发包还真是困难,试了4个无线网卡
1. Intel(R) Centrino(R) Advanced-N 6205 笔记本内置网卡
monitor mode下,包发不出去
ext-sta mode下,包能发出去,但包的部分内容和包长度都被篡改了。。
2. Netgear WG111 v2 usb网卡
3. TP-LINK 821N usb网卡
4. TP-LINK 822N usb网卡
后面这三个发包直接蓝屏-_-
可以用wep.exe测试网卡能不能发包,比如家里路由器的 mac 是 11-11-11-11-11-11,手机的 mac 是 22-22-22-22-22-22
切换到"Inject test",在框里填入这两个 mac, 然后点 Inject,会发送一个掉线包来让手机掉线,如果测试 monitor 模式下发包,先点"Set Monitor Mode" 再 "Inject"
如果成功的话就可以看到手机掉线了然后自动重连
当然,网卡不同,很有可能直接蓝屏:) 操作前请关闭其他需要保存的程序
如果有网卡能在win7下注入包的话,或者蓝屏是因为代码有问题,还请告知,谢谢。
关于程序
Refresh: 刷新无线列表
iswep列是"Yes"的表示是 wep 加密,5个星号表示密码是5个字符,还有13个星号的,先选一个需要破解的,然后点 "Start",会有红色框提示安装驱动,选第二项安装就ok了。
窗口标题上的数字表示每秒钟捕捉的数据包个数
默认是密码的每一位需要400个包(400个包几乎100%破解成功),200个包大概是70%, 100个大概50%
进行到一半时候可以点"Show Status"查看当前捕捉到多少包,也可以用"Force Crack"用已捕捉到的包尝试破解。
"Quit"关闭时候会保存已抓到的包,下次打开时断点续抓。
这是测试自己家AP的截图(2m adsl 迅雷下载5个小时基本可以完成破解)
关于代码
驱动根据 wdk\src\network\ndis\filter 修改
device.cpp 发包,设置网卡模式,以及与用户界面的通讯
filter.cpp 收包
states.h 每个破解步骤
wlan.h win7的wlan api
环境: win7-32bit, wdk, sdk, cmake, nmake
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
多谢,正准备开始看wpa
win7-64位的驱动要数字签名,那玩意儿不会搞 
|
|
|
|
|
|
貌似很高端啊。
  Xp下一运行就崩了。 |
|
|
|
|
|
[QUOTE=莫灰灰;1060517]貌似很高端啊。
Xp下一运行就崩了。[/QUOTE] 哈哈 补上了 限win7 32位 
|
|
|
|
|
|
[QUOTE=莫灰灰;1060517]貌似很高端啊。
Xp下一运行就崩了。[/QUOTE] 我怎么和这位仁兄出现的情况一样!!RP问题吗? 
|
|
|
|
|
|
|
|
|
|
|
|
照着试试看
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
