wpa2密码破解教程|通过字典破解WPA/WPA2加密的WIFI密码( 二 )

④客户端收到密钥后，发送消息给路由器，告诉对方已经收到密钥了。这是第四次握手。
四次握手的数据包都是以明文形式传输的，因此，我们可以通过捕获四次握手的数据包（简称为握手包），来得到随机数1、随机数2，以及PTK 。
将可能的Wifi密码罗列出来，做成一个字典。我们将每个密码和两个随机数进行同样的运算，再和PTK作对比，如果相同，说明该密码就是正确的Wifi密码。
更加有趣的实际操作部分首先，我们设置一个Wifi，密码就随便设置成12345678.

然后，我们让我们的物理电脑连接上这个Wifi 。

打开我们的Kali Linux，使用airodump-ng wlan0mon来扫描周围的Wifi

这个PWR最大的Wifi当然就是我设置的无线热点啦，因为离得最近，信号最好，所以PWR也最大。CH说明是在11信道。
使用ai百思特网rodump-ng --bssid **:**:**:**:**:** -c 11 -w test wlan0mon来指定嗅探的Wifi，并把抓到的握手包包保存在当前目录cap.cap里。当然如果你没有抓到握手包就不会有test.cap这样的文件。这样可以仅得到这个Wifi及连接上的客户端的信息。

现在就能清晰地看到，我的电脑是这个Wifi的唯一的客户端。我们已经得到了我手机网卡的Mac和我电脑的无线网卡的Mac了。（但其实你们并没有得到）
之前我们说过，握手百思特网包是只有在客户端和路由器认证的时候才会发送的数据包，除非我们等到第二个客户端连上我的热点，不然是抓不到握手包的。

【wpa2密码破解教程|通过字典破解WPA/WPA2加密的WIFI密码】

但是，有一个办法能让我们更快地拿到这个握手包。那就是deauth攻击。
路由器有能力要求客户端和自己解除连接。当它要这样做的时候，它会发送一个deauth数据包给客户端。然后客户端就会和路由器断开连接。但是这并不是客户端网卡的意愿，它没有那么好打发，被踹掉之后会第一时间尝试重新连接上这个路由器。
而deauth攻击的原理就是模拟路由器发这个deauth数据包给客户端。如果你不想让你烦人的室友在寝室大声玩网络游戏，而他又恰好连着寝室的wifi，就一直对他使用deauth攻击吧。
我们新建一个窗口，使用aireplay-百思特网ng -0 2 -a **:**:**:**:**:** -c --:--:--:--:--:-- wlan0mon这个命令，使用wlan0mon网卡对mac地址为**:**:**:**:**:**的路由器的mac地址为--:--:--:--:--:--的客户端发送时长为2秒钟的deauth攻击。

发送了之后，就会在原来的airodump-ng那个窗口的右上角，出现一行
WPA handshake：你的WIFI的MAC地址就说明已经抓到握手包了。如果没有抓到，可以增加攻击时间，或者调整无线网卡接收器的角度。
我们按ctrl + c退出，输入ls，看到的确有cap文件了。

然后将含有12345678的字典文件（随便在网上找个字典都不可能没有12345678）passwd.txt也放到这里。执行命令
aircrack-ng -w passwd.txt cap-01.cap

提示KEY FOUND! [12345678]，的的确确找到这个密码了。
虚拟机跑字典的速度比较慢，使用物理机结合GPU一起运算，跑字典的速度随着配置的提升速度最高可以达到几百万。
总结今天我们学习了wifi认证的四次握手，以及通过deauth攻击使已经连接的客户端与路由器重新连接来抓取握手包，并通过字典来套wifi密码的操作。
但不要以为学会这招就可以为所欲为地蹭网了。
诚然只要字典够大，跑得够快，理论上来说，wifi密码总能破解的。
但是，随便计算一下。假设我们采取10位的wifi密码，每一位有a-z,A-Z,0-9，26+26+10=62种可能，也就是62^10种密码的可能，每一密码的长度是10字节，那么我们的字典文件就至少有8*10^17字节，粗略换算，就是800000TB 。还有特殊符号，以我们的普通电脑的运算速度……

但是，有规律的密码，比如说简单的拼音加上数字，比如说电话号码，比如说固话，比如说生日，这些信息列举出来的大小还是在可以接受的范围的。