利用WPS功能破解及本地恢复密码

• 认识WPS功能

  ​ WPS（Wi-Fi Protected Setup）是Wi-Fi保护设置的英文缩写。WPS是由Wi-Fi联盟组织实施的认证项目，主要致力于简化无线局域网安装及安全性能的配置工作。WPS并不是一项新增的安全性能，它只是使现有的安全技术更容易配置。

  ​ WPS提供了一个相当简便的加密方法。通过该功能，不仅可将都具有WPS功能的Wi-Fi设备和无线路由器进行快速互联，还会随机产生一个八位数字的字符串作为个人识别号码（PIN）进行加密操作。省去了客户端需要连入无线网络时，必须手动添加网络名称（SSID）及输入冗长的无线加密密码的繁琐过程。

  	PIN码是随机产生的8位数字。
  	在WPS加密中的PIN码是网络设备间获得接入的唯一要求，不需要其他身份识别方式，这就让暴力破解变得可行。
  	其次，WPS PIN码的第8位数是一个校验和(checksum)，因此黑客只需要算出前7位数即可。这样，唯一的PIN码的数量降了一个级次变成了10的7次方，也就是说有1000万种变化。
  	在实施PIN的身份识别时，接入点(无线路由器)实际上是要找出这个PIN的前半部分(前4位)和后半部分(后3位)是否正确即可。当第一次PIN认证连接失败后，路由器会向客户端发回一个EAP-NACK信息，而通过该回应，攻击者将能够确定的PIN前半部分或后半部分是否正确。换句话说，黑客只需要从7位数的PIN种找出一个4位数的PIN和一个3位数的PIN。这样一来，级次又被降低，从1000万种变化，减少到11000(10的4次方+10的3次方)种变化。因此，在实际破解尝试种，黑客最多只需实验11000次。
  	可利用MAC地址和PIN码的对应关系进行尝试，尽量缩短破解时间。
  

• 利用WPS功能破解无线路由器PIN码

  ​ 破解PIN码和之前的跑包破解密码不同，跑包破解密码追求速度，但破解PIN码还是需要速度较慢一些，可能一秒钟只能破解1到2个PIN码。原因是由于WPS功能中PIN码的特性，告诉破解PIN码很容易导致将无线路由器 ”跑死“ ，也可能被无线路由器屏蔽。目前无线路由器的设计者们均对WPS功能加入了防暴力破解PIN码的功能，所以，足够慢的速度反而能够提高破解的成功率。

  ​ 破解PIN码是一个很看运气的过程，鉴于无线信号的非可靠特性，以及无线路由器的质量的参差不一，PIN码破解成功可能需要多次尝试，只要把握住速度慢、有耐心、多尝试的原则即可。

  ​ 为了安全考虑，用户在实际使用中，请关闭WPS功能。

  	提示：在破解PIN码成功后，无线网卡与目标无线路由器连接后，软件能够一并读取目标无线网络的连接密码。如果需要长期连接一台目标无线路由器，在破解成功后，一定要记住这个PIN码！只要目标无线路由器不关闭WPS功能，即使修改了无线网密码，攻击者也能够利用PIN码方便的再次接入目标无线网络。
  

  在Kali Linux下利用reaver和wifite进行PIN码的破解

  reaver主要步骤：

  1：激活无线网卡至监听模式	airmon-ng start wlan0
  2：探测无线信号	airodump-ng wlan0mon
  3：新建终端窗口，使用reaver破解PIN码
     reaver -i wlan0mon -b BSSID -a -S -vv -c [num]
     参数：-i 选择网卡
          -b 载入无线路由器的MAC地址
          -a 自动检测最佳配置
          -S 使用小DH KEYS用以加速破解过程
          -vv 输出破解过程
          -c 指定信道
     还可以加入-p等参数，设置为从前4位PIN码开始破解
  

  ​ wifite这款工具，具备破解WEP、WPA/WPA2以及PIN码的多种功能，这款工具的主要特点是批量自动化，但跑分破解单个WEP、WPA/WPA2-PSK这个数据包的效果，可能并不如aircrack-ng套件好用。如果批量破解WPS功能的无线路由器，这款工具是个相对还不错的选择。

  wifite主要步骤：

  1：终端运行wifite，需要监听模式
  2：根据颜色判断信号质量，查看是否开启WPS功能
  3：按Ctrl+C键锁定网络列表，输入目标网络编号
  

• 本地恢复WiFi密码

  在Windows系统下利用WiFipasswordDecryptor恢复密码