抓包

需要将网卡设置为混杂模式airmon-ng start wlan0

  1. 使用airodump抓包
    airodump-ng --bssid 目标ap的mac地址 --channel 目标网络的信道频段 -w test wlan0mon
  2. 使用tcpdump抓包
    tcpdump -i wlan0mon -s 0 -w test.pcap
  3. 使用wireshark
    首先为wireshark添加wifi密钥,然后监听开启了混杂模式的网卡即可。

解密

如果wifi使用了wpa加密,待解密的pcap文件中必须含有有效的“四次握手包”,即密钥交换的数据包。可以在开始监听后用发起deauth攻击使客户端断网(“aireplay-ng –deauth 0 -a 目标ap的mac地址 -c 已连接的客户端mac地址 wlan0mon”),客户端断网后会尝试重新连接,在重新连接后就可以拿到密钥交换数据包。

  1. 用airdecap-ng解密
    airdecap-ng -e 无线网essid -p wifi密码 /mnt/share/test-01.cap
  2. 用wireshark解密
    为wireshark设置wifi解密密钥,然后用wireshark载入pcap文件即可。

为wireshark设置wifi解密密钥

Preferences -> Protocols下找到 IEEE 802.11,勾选 Enable decryption
配置IEEE 802.11

点击 Decryption Keys右侧的Edit,添加无线网的密码。wpa-pwd格式的密码格式为密码:essid
配置wifi密码

关于airdecap-ng

With airdecap-ng you can decrypt WEP/WPA/WPA2 capture files. As well, it can also be used to strip the wireless headers from an unencrypted wireless capture.
It outputs a new file ending with ”-dec.cap” which is the decrypted/stripped version of the input file.

airdecap-ng可用于解密WEP/WPA/WPA2加密的无线数据包,也可用于从未加密的数据包中剔除无线网络头(即802.11帧的首部)。它会在当前位置生成一个以-dec.cap结尾的文件,此文件即为解密/剔除header后的数据包文件。