用Wireshark解密无线网络数据包

当知道WIFI密码时，不需要直接连接WIFI，就可以抓取数据包

抓取数据包

开启网卡的监听模式

airmon-ng start wlan0

抓取指定AP的网络数据包

airodump-ng -c 11 -w xyw --bssid 36:DE:1A:98:F6:2A wlan0mon --output-format pcap

这里--output-format是输出文件的文件格式

需要注意是，在抓的包中必须要有握手包，可以慢慢等，也可以进行洪水攻击

使用洪水攻击使其掉线，然后抓握手包

aireplay-ng -0 10 -a 36:DE:1A:98:F6:2A  -c 14:F6:5A:A1:37:97 wlan0mon

再等上一段时间，就停止抓包。

解密数据包

刚抓到的数据包用Wireshark打开的话，是看不到具体的东西的需要解密。

打开Wireshark后，先在Edit->preference->protocols->IEEE 802.11中启动Enable decryption

然后点上view->Wireless Toolbar，就会在后面出现Decryptions Keys

点击这个Decryptions Keys，输入密码和SSID，然后点击apply,ok

最后view->reload,就可以看到里面具体的数据了

命令行

可以使用命令行直接解包

wireshark -r xyw-02.cap -o wlan.enable_decryption:TRUE -o wlan.wep_key1:wpa-pwd:12345678:xyw

-r 后面接要打开的数据包 -o参数是要改变preference里面的设置

不过这是早期版本的Wireshark可以用 ，较新的版本里都不能使用

新版本可以试下

wireshark -r xyw-02.cap -o wlan.enable_decryption:TRUE -o "uat:80211_keys:\"wpa-pwd\",\" 12345678:xyw\""

自己测试是成功的

参考

• http://www.lovemytool.com/blog/2010/05/wireshark-and-tshark-decrypt-sample-capture-file-by-joke-snelders.html
• https://wiki.wireshark.org/HowToDecrypt802.11
• https://ask.wireshark.org/questions/24249/decrypt-wpa-with-tshark