破解无线路由密码过程详解

现在用无线路由的很多，小区里随便搜索一下就能好几个无线信号，不过大部分都是加密的，本教程的目的是破解这些加密的信号，前提必须是用wep加密的，其实绝大多数都是wep加密的。
由于wap（非wep）加密的破解起来比较困难，成功率很低，故在此暂不讨论。
而wep加密的只要你的无线网卡能够被bt3支持，那么基本上10分钟左右（甚至更快）就能破解一个。

这篇帖子是以装在硬盘上为例进行介绍的
====基本思路=====

在Windows系统中安装BT3（linux）到D盘；
重启后从双启动菜单选择进入BT3操作系统；
在BT3中运行Spoonwep这个程序破解无限AP的密码。

====基本条件=====


1. 笔记本或台式机（必须有wifi网卡，而且必须能被bt3支持）；
注：目前701/900/900HA等机型的无线网卡均支持BT3破解，这几款的无线网卡型号好像是Athero 5007EG。901和1000H好像目前都不支持破解，因为之前我从网上到了1000H的无线网卡在bt3中的驱动模块，能成功驱动起来，但只支持监听，不支持注入，所以无法破解到密码。

2. 能够在你的周围搜索到无线信号，而且是用wep加密的（本文只讨论wep加密的破解，至于wap加密的暂不讨论）；

3. 如果无线路由有客户端，也就是有人在用这个路由的信号上网，那么破解起来要快一些；如果没有客户端的话，也可以破解，不过要慢一些。

====软件准备=====

软件准备：本文用EeePC900HA（无线网卡：Athero 5007EG）为例做说明，采用硬盘安装bt3的方式（安装到D盘）（U盘安装BT3的方法参见：fan/redirect.php?tid=16670）。

1. BT3（BT3是linux的一种，好比REDLINUX，好比红旗LINUX。不过这个BT3集成了大量的黑客工具，尤以破无线网的工具而出名。）
BT3光盘版下载地址：ftp.heanet.ie/mirrors/backtrack/bt3-final.iso
如果上面的链接你无法下载，你可以自己百度或者迅雷搜索，网上很多这个资源的。
2. BT3硬盘安装助手（三个文件都要下载，点击其一解压缩）（U盘安装BT3的话这个就不需要了）
www.anywlan/bbs/attachment.php?aid=23619&k=8e41537ce6455601aff41ab7df47e145&t=1244197234&fid=15&sid=7fcfZRkkF%2BMaRtqKOMx1230CKDXC38DgMGM6a6scJ7%2FjML0
running man201702263. spoonwep2无线网络破解工具（两个文件都要下载，点击其一解压缩）（必须的)
1. www.home-wifi/attachment.php?aid=181&k=b26bcc1831b9a9a21f6aec27afd8bc76&t=1226681098
2. www.anywlan/bbs/attachment.php?aid=6021&k=7fb42d2100f52c04c5e963db800fe9c8&t=1222629137
4. daemon tools3.47简体中文版（U盘安装BT3的话就不需要了）
down/soft/200812/HA_DToolz347Classic-CHS_CZ1.zip
====破解过程=====
（如果你已经在U盘上安装了BT3请直接从第三步开始即可）


1. 将BT3的ISO镜像载入虚拟光驱

安装daemon tools，安装完毕后若提示重启，无需重启；若提示新硬盘，自动安装即可。在托盘区右键点击daemon tools图标，选择“虚拟CD/DVD-ROM”-》“设置驱动器数量"->"一个驱动器”。然后再次右键单击托盘区的dm图标，选择“虚拟CD/DVD-ROM”-》“驱动器0”-》“安装映像文件”，映像文件选择之前下载好的bt3镜像bt3-final.iso。然后会弹出窗口显示虚拟出来的光盘的文件。记住盘符。

2. 利用bt3硬盘安装助手安装bt3到本地硬盘D盘。

运行bt3硬盘安装助手，点击“开始安装”后，在新弹出的窗口中：“启动时间”无需改动，bt光盘位置点击右侧下拉按钮选择虚拟出来的光驱对应的盘符。“bt安装位置”选择D盘即可，其他盘也可以。设置好后点击“确认安装”，会提示“文件夹D:\boot 不存在”，点击“是怎么优雅的说脏话”创建。然后提示“文件夹D：\bt3 ”不存在，同样点击“是”。完成后会给你用户名、密码和命令，其实根本用不着，重启后（先不要重启）双启动菜单中选择第二个自动就可以进入bt3系统，无需输入什么命令。


3. 在BT3中添加spoonwep2破解工具

接下来需要将spoonwep2破解工具复制到bt3的modules目录下，如果把bt3系统安装到了d盘，那么应该是d盘下的/BT3/modules/目录。另外bt3系统是英文的，从网上也可下载中文包，不过的很不完全，没什么用处，所以干脆也别装了。

4. 在bt3系统中用spoonwep2破解。

（在破解密码之前你当然应该确定你周围有带密码的无线信号才行，这个在xp系统中就可以检测到。）

a. 重启系统，出现双启动菜单，选择第二项：back track by colin；然后有一个菜单选择


b. 进入系统后点击屏幕左下角“开始”按钮右侧第一个黑的小图标，弹出终端命令窗口。

c. 输入：spoonwep然后按回车，等会儿就会弹出一个新窗口即spoonwep2的界面

d. 在sponwep settings 界面中net card项如果使用的机型是701/900/900HA等则可选择wifi0（其他机型自己尝试，一般选择下拉框中最下边的选项即可）；driver选择normal；mode选择unknown victim；然后点击next。
  NET CARD 网卡接口 选择 WIFI0
  DRIVER 驱动    选择 NORMAL
  MODE    模式    选择 UNKNOWN VICTIM

e. 在victims discovery界面中，点击左上角下拉菜单中有两项（是指路由器工作的频道）：
        FIXED CHAN 固定频段扫描（选定可从从右侧手动切换频段）
  郭美美多高      CHAN HOPPING 是全频段扫描

一般情况下保持默认即Chan Hopping即可，无需更改设置，点击右上角 LAUNCH 按钮 (点完后会变成 ABORT ) 这时会弹出抓包窗口（SCAN），可作为参考，也可不用理会。稍等一会儿，如果能够到符合要求的信号，会在当前的victims discovery窗口中显示扫描到的信息，其中：

  ESSID 路由广播名称
  MAC 路由的MAC地址
  CHAN 使用的频道
  POW 信号强度
  DATA (注意：这个数值一直为0基本无法破解，你可另寻时机等到有DATA再破）
  CLIS 空白代表无客户端，打钩则代表有客户端

每一行代表一个扫描到的无限AP信号，点击选中你要破解的信号（尽量选择有DATA以及CLIS后有对号的信号进行破解）；然后在信号信息框的下面相应的显示出在AP当前的客户端，你可以点击选中一个客户端（这样更容易破解一些），也可以不选。然后点击窗口下边的selection OK按钮，就会进入attack panel界面。


f. 在attack panel界面，攻击模式下拉框中几个选项的区别如下（由客户端建议选择第一项，无客户端建议选择第四项）：
ARP REPLAY ATTACK          （有客户端时用）
P0841 REPLAY ATTACK                (第三选择）
CHOPCHOP & FORGEATTACK    （第二选择）
FRAGMENTATION & FORGE ATTACK（首选）

然后直接点击launch即可是破解，这时同样会在任务栏出现一个新的窗口，你可以用鼠标点击出来看一看，里面会显示一些相关的信息，如信号强度等。注意，最后破解出来的密码是在attack panel界面下方显示（而不是在spoonwep dump窗口显示）。

如果确实有wep加密的信号，而且对方正在上网，那么大概需要10几分钟既可以破解出来了，破解出来的是16进制的一个数，每隔两位用冒号隔开，直接把冒号去掉，然后在连接无线信号上网时根据提示按要求输入就可以免费上网了。

BT3安装在硬盘上的，操作起来比较麻烦。今天帖子的方法是将BT3安装在U盘或者SD卡上。

不明白BT3和无线信号密码破解是怎么回事的先自己百度一下吧，在这里就不详细介绍原理了。

本帖的思路：
在U盘（或者SD卡）上安装BT3系统，从U盘启动进入BT3，利用Spoonwep2来破解wep加密的无线信号。

====要求====
1. 你的无线网卡比如支持BT3破解才可以，你可以对照附件中的列表查看自己的无限网卡是否支持bt3破解：
BT3支持列表:
1 Wireless Cards And Drivers
2 Tested Card List
2.1 PCI
2.1.1 Asus WL-138g v2
2.1.2 Belkin F5D8001
2.1.3 CNet CWP-854
2.1.4 Dlink DWL-AG530
2.1.5 Dlink DWL-G520
2.1.6 Dlink DWL-G550
2.1.7 Dlink DWL-G510
2.1.8 Foxconn WLL-3350
2.1.9 MSI PC60G
2.1.10 Netgear WG311T
2.1.11 Netgear WPN311
2.1.12 SMC SMCWPCI-G

2.2 Mini PCI (Built in)
2.2.1 Broadcom BCM4306 802.11b/g (rev 3)
2.2.2 Broadcom BCM4318 802.11b/g
2.2.3 IBM AR5212 802.11abg NIC (rev 01)
2.2.4 IPW2100
2.2.5 IPW2200
2.2.6 WN360G

2.3 Mini PCIe (Built in)
2.3.1 Broadcom BCM4311 802.11b/g
2.3.2 IPW3945
2.3.3 IPWRAW (IPW3945 Monitor + Inject)
2.3.4 IPW4965/IWL4965 agn
2.3.5 Gigabyte GN-WS50G b/g

2.4 PCMCIA Cards
2.4.1 3COM 3CRWE154G72 v1
2.4.2 3COM 3CRPAG175B with XJACK Antenna
2.4.3 Agere Systems ORiNOCO GOLD PC Card Classic
2.4.4 AirLink101 AWLC4130
2.4.5 ASUS WL100G
2.4.6 Belkin F5D6020 v3
2.4.7 Belkin F5D7010 V1000
2.4.8 Belkin F5D7010 V3000UK
2.4.9 Belkin F5D7010 V5000
2.4.10 Belkin F5D7010 V6000
2.4.11 Belkin F5D7011
2.4.12 Buffalo WLI-CB-G54HP
2.4.13 Cisco AIR-LMC350
2.4.14 Cisco AIR-PCM350-T
2.4.15 Cisco Aironet AIR-CB21AG-A-K9
2.4.16 Dlink DWA-645
2.4.17 Dlink DWL-650+
2.4.18 Dlink DWL-G650
2.4.19 Dlink DWL-G630， 650+/-
2.4.20 Dlink DWL-G650M
2.4.21 Dlink DWL-G650+
2.4.22 D-Link WNA-1330
2.4.23 Enterasys Roamabout 802.11 DS High Rate
2.4.24 Gigabyte GN-WM01GT AirCruiserG Mach G
2.4.25 Lucent Technologies Orinoco Silver
2.4.26 Linksys WPC11v4
2.4.27 Linksys WPC11v4
2.4.28 Linksys WPC54G v3
2.4.29 Motorola WN825G v2
2.4.30 NetGear MA401
2.4.31 NetGear WPN511
2.4.32 NetGear WPN511 - Range Max
2.4.33 NetGear WG511T
2.4.34 NetGear WAG511v2
2.4.35 NetGear WG511 v1
2.4.36 NetGear WG511v2
2.4.37 Netgear WG511U
2.4.38 NetGear WPN511GR
2.4.39 Netgear WPNT511
2.4.40 PROXIM ORiNOCO 802.11b/g Gold (Model: 8470-WD)
2.4.41 Senao NL-2511CD PLUS EXT2
2.4.42 Senao Sl-2511CD Plus EXT2
2.4.43 Senao SL-2511 CD PLUS (the one w/o external connectors)
2.4.44 Sitecom WL-100b
2.4.45 SMC 2532W-B
2.4.46 SMC SMC2536W-AG
2.4.47 SMC WCB-G
2.4.48 SWEEX LW051 ver:1.0
2.4.49 TP-link SuperG&eXtended Range 108M Wireless Cardbus Adapter(TL-WN610G)
2.4.50 TP-link eXtended Range 54M Wireless Cardbus Adapter (TL-WN510G)
2.4.51 Ubiquiti SRC
2.4.52 Wistron WLAN 802.11a/b/g Cardbus CB9-GP
2.4.53 X-Micro WLAN 11g PCMCIA Card (XWL-11GPAG)
2.4.54 ZCom XI-325HP+
2.4.55 Zyxel ZyAIR G-100 PCMCIA Card (FCC ID:N89-WE601l)

2.5 USB Dongles
2.5.1 Airlink101 AWLL3026
2.5.2 ALFA Networks AWUS036H
2.5.3 ALFA Networks AWUS036S
2.5.4 ASUS WL-167G
2.5.5 AVM Fritz!Wlan USB V1.1
2.5.6 Belkin F5D7050 V1
2.5.7 Belkin F5D7050 (4000 series)
2.5.8 Belkin F5D7050B
2.5.9 Belkin F5D7051
2.5.10 Buffalo Airstation G54 WLI-U2-KG54-AI (2A)
2.5.11 Chiefmax
2.5.12 D-Link DWL 122 (USB) F/W 3.2.1 H/W A1
2.5.13 D-Link DWL G122 (USB) F/W 2.03 B1
2.5.14 D-Link WUA-1340
2.5.15 Edimax EW-7317UG
2.5.16 Edimax EW-7318USG
2.5.17 Linksys WUSB54g v4
2.5.18 Linksys WUSB54GC
2.5.19 MicroEdge MEG55A Wireless-G USB Dongle
2.5.20 NetGear WG111v2
2.5.21 NetGear WG111T
2.5.22 Netopia ter/gusb-e
2.5.23 OvisLink Evo-w54usb
2.5.24 SafeCom SWMULZ-5400
2.5.25 ZyDAS 1211
2.5.26 SMCWUSB-G EU
2.5.27 MSI US54SE
2.5.28 Hawking HWUG1
目前已知支持bt3破解的几款上网本有：701， 900， 900HA等，不支持的有：联想S10，EeePC 1000H

2. 要求你要破解到无线信号为wep加密（不能是wap），这个在破解的过程中能看出来是wep加密还是wap加密的。

====准备====

1. BT3 U盘版（注意BT3还有光盘版的，在这里一定要用U盘版，不能用光盘版）下载地址：
ftp.heanet.ie/mirrors/backtrack/bt3final_usb.iso
或者从这里下载：/cgi-bin/fileget?version=bt4-beta-iso

2. 2 下载Unetbootin For Windows的版本（因为是要在Windows系统中使用）3.87MB
lubi.sourceforge/unetbootin.html

3. Spoonwep2（替代BT3自带的spoonwep）（以下两个分卷压缩包都要下载，然后点击其一解压缩）
a. www.home-wifi/attachment.php?aid=181&k=b26bcc1831b9a9a21f6aec27afd8bc76&t=1226681098
b. www.anywlan/bbs/attachment.php?aid=6021&k=7fb42d2100f52c04c5e963db800fe9c8&t=1222629137
====教程====

1. 在U盘/SD卡上安装BT3系统
准备1G以上的U盘或者SD卡，插在笔记本上，在Windows系统中运行Unetbootin，在“磁盘镜像”处指定BT3的ISO镜像的位置，然后在“驱动器”右侧的下拉框中选择U盘所在盘符，其他选项保持默认即可，然后点击确定。接下来有个制作的过程，所需时间因U盘而异，完成后会提示你重启，这时候就已经制作好啦。



重启系统，（以EeePC系列为例）开机不停的按“Esc”直至出现启动顺序选择菜单，选择从U盘启动，然后会出现一个bt3的菜单，一定不要按照默认的设置，必须手动切换到“房祖名被抓BT3 Graphics mode (VESA KDE)”模式才行。然后就可以顺利的进入BT3系统了。

最后强调一个关键的两点：

a. 一定要选择“U盘版BT3的ISO镜像”。
b. 一定要在重启后选择“BT3 Graphics mode (VESA KDE)”模式才能进入图形界面。

另外如果启动盘制作完后直接无法启动的话，建议换一个U盘试试，最好是容量小一点的，比如1G的。
2. 在BT3中放入spoonwep2破解工具。
将你下载的spoonwep2.lzm文件拷贝到U盘下的/BT3/modules/目录中。这样再从U盘启动BT3的时候，BT3可自动加载spoonwep。
3. 在BT3系统中利用spoonwep2破解    （详细图文可参考此贴：hi.baidu/%C1%AC%BD%AD%D3%F1%BA%C9/blog/item/9a0124599b5150d79c8204d7.html的第四步）。 
a. 从U盘启动系统，出现Grub菜单，选择第五项：BT3 Graphics Mode （VESA KDE）（注意，一定要选择VESA KDE模式，这一步和硬盘安装的bt3是不一样的）


b. 进入系统后点击屏幕左下角“开始”按钮右侧第一个黑的小图标，弹出终端命令窗口(类似于Windows下的DOS命令提示符窗口)。

c. 输入：spoonwep然后按回车，等会儿就会弹出一个新窗口即spoonwep2的界面。

d. 在sponwep settings 界面中net card项如果使用的机型是701/900/900HA等则可选择wifi0（其他机型自己尝试，一般选择下拉框中最下边的选项即可）；driver选择normal；mode选择unknown victim；然后点击next。

e. 在victims discovery界面中，点击左上角下拉菜单中有两项（是指路由器工作的频道），保持默认的CHAN HOPPING （全频段扫描）即可 。点击右上角 LAUNCH 按钮 (点完后会变成 ABORT ) 这时会在任务栏出现抓包窗口（SCAN），可作为参考，也可不用理会。稍等一会儿，如果能够到符合要求的信号，会在当前的victims discovery窗口（注意不是Scan窗口）中显示扫描到的信息，上半部分为到的无线信号列表，每一行代表一个扫描到的无限AP信号，点击选中你要破解的信号（尽量选择有DATA以及CLIS后有对号的信号进行破解）；然后在信号信息框的下面相应的显示出在AP当前的客户端（即正在使用该无线信号上网的电脑），你可以点击选中一个客户端（这样更容易破解一些），也可以不选。然后点击窗口下边的selection OK按钮，就会进入attack panel界面。

f. 在attack panel界面，攻击模式下拉框中有4个选项，至于到底选哪个比较好，我也没有搞透，你自己可以再百度一下，实在搞不懂就4中攻击模式挨个试试，下面我摘了网上搜来的一点建议：

效率最高的是交互攻击（也就是p0841 replay attack），但只对64位wep密码有效，
最稳定的是断续攻击（chopchop & forge attack），尤其对128位或更复杂的wep密码有效，介于二者之间的是碎片注入，但却是首选项，能用这个攻击成功的话就一切ok，
否则再选择交互，最后选择断续，而对ARP我一般都是试试，成了就成了，但不报太多期望，因为手动破解的经验告诉我，这个对power值要求高。

选择好攻击模式之后，直接点击launch即可是开始破解，这时同样会在任务栏出现一个新的窗口(spoonwep dump)，你可以用鼠标点击出来看一看，里面会显示一些相关的信息，如信号强度等。注意，最后破解出来的密码是在attack panel界面下方显示（而不是在spoonwep dump窗口显示）。

一般破解大概需要几分钟既可以破解出来了，20分钟以上破解不出来就直接放弃或者换攻击模式。破解出来的密码是16进制的一个数，每隔两位用冒号隔开，直接把冒号去掉，然后在连接无线信号上网时根据提示按要求输入就可以免费上网了

其他注意的问题：

U盘版BT3能够制作成功的关键在于两点，一是一定要选择U盘版的BT3（不要用光盘版）；二是一定要开机选择ＶＥＳＡ　ＫＤＥ模式，不要按照默认的。

BT3光盘版下载地址：ftp.heanet.ie/mirrors/backtrack/bt3-final.iso
准备工作：
1 将USB 网卡插入电脑，放入附带驱动盘，安装网卡驱动程序。安装完成后右下角会出现网络信号符号，双击然后搜索可用网络，选信号较强网络（WEP加密）记下网络名称备用。
2 把电脑设置为光驱启动，U 盘版设置为 USB 启动，如果你不知道如何设置请参考主板说 明书，或者直接 google 一下，（现在很多电脑买回来默认开启光驱启动，所以你不设置说不 定也可以）
3 放入 BT3 光盘，选择 第一项 BT3 Graphics mode （KDE) 进入 linux 系统，如果不 选择会倒数 30 秒自动进入。
正式开始破解，首先拿自己的路由开刀（无客户端模式） ESSID：奇的组词是 CWZMD
1 点击左下角第二个图标（黑）开启一个窗口，输入：spoonwep 回车后 10 秒左右弹出
spoonwep2 程序：
NET CARD 网卡接口 选择 ETH 1
DRIVER 驱动 选择 NORMAL
中国好声音刘倩MODE 模式 选择 UNKNOWN VICTIM
点 NEXT 转到 VICTIMS DISCOVERY 窗口：
2 首先点击左上角下拉菜单选择 FIXED CHAN 然后拉箭头指定频道 我的路由是 3
这里的 CHAN HOPPING 是全频段扫描
点击右上角 LAUNCH 按钮 (点完后会变成 ABORT ) 这时会弹出抓包窗口，可作为参 考，也可不用理会。20 秒左右程序会显示扫描到的信息，其中：
ESSID 路由广播名称 MAC 路由的 MAC 地址 CHAN 使用的频道
POW 信号强度
DATA (注意：这个数值一直为 0 基本无法破解，你可另寻时机等到有 DATA 再破）
CLIS 空白代表无客户端，打钩则代表有客户端
选择我自己的路由 CWZMD ，然后点 SELECTION OK 转到 ATTACK PANEL 窗口：
3 第一个下拉菜单有 4 个选项，后面 3 个都可作为无客户端攻击模式，其中 ：
ARP REPLAY ATTACK （不用）
P0841 REPLAY ATTACK (次选） CHOPCHOP & FORGEATTACK （首选）FRAGMENTATION & FORGE ATTACK （次次选）
第二个下拉菜单有 3 个选项，其中：
??? LENGTH (不指定加密位数，首选）
128 BITS LENGTH （指定 128 位加密，次次选）
64 BITS LENGTH （指定 64 位加密，次选）
两个下拉菜单右边的 Inj Rate 是每秒发包数量，选默认的 600 即可。
选择好 2 个下拉菜单，点击左边 LAUNCH 按钮 开始自动破解，破解速度和信号强度成正 比，因为是自己的路由，信号很强，密码 1 分钟就出来了！最下面的 WEP Key 既是密码
在 windows 下输入 aaaaa88888 即可，无需输入冒号。
下面实战破别人的路由（有客户端模式） 选了个最国内最常见的 TP-LINK
注：有客户端模式比无客户端成功率要高。
选中打 算破 解的路 由， 下面会 显示 当前所 有连 接到这 个路 由的合 法客 户端， 选择 一个
POWER 和 PACKETS 都比较高的客户端，最后点 SELEETION OK转到ATTACK PANEL 窗口 选中 ARP REPLAY ATTACK
点击 LAUNCH， 之后的工作是全自动的，直到出现 WEP Key ，此路由密码宣告破解。