Intel 2200BG 网卡完美支持无客户端注入石皮解--给ipw2200的朋友一点信心

shenzuole

环境：IBM T43笔记本内置Intel(R) PRO/Wireless 2200BG Network Connection无线网卡。BT3Final版硬盘启动，驱动：ipw2200.lzm包。文中适用的加密方式为WEP，WEP开放式无论有客户端，无客户端都支持，共享式需要合法客户端，这些都是基本常识，目前所有网卡都是这个要求。ipw2200的WPA抓包和其它网卡不一样，这个最后说。
闲言碎语：应该说ipw2200的网卡在BT2及BT3 beta时代还是很牛X的，不过从BT3Final出来后，我估计注入成功的人就不多了。以至于到了现在一提ipw2200，大家就说这个网卡只能被动抓包，不支持注入。特别是现在傻瓜化图形界面工具的普及，如spoonwep2、奶瓶等使用的人越来越多，免去了输入命令的繁琐，动动鼠标便能解决问题。随着工具的越来越傻瓜化，会玩P解的人也越来越多，但真正了解P解过程的人却越来越少了。不信切换到奶瓶的高级模式下，那些功能按钮都对应什么命令？具体的使用次序都清楚吗？有点扯远了，回到正题，ipw2200不支持-0、-1命令是不争的事实，但并不能因此就说ipw2200不支持伪连接和注入，只不过它要用自己特有的方式来实现。
实现的要点：1.正确的驱动—因为现在网上BT2和BT3beta不好找所以没有测试，在BT3beta2下测试完美支持注入，BT3beta2光盘（硬盘）下载地址：ftp://91.121.6.119/bt3b141207.iso，USB或VM的自己百度一下。我用的是BT3Final版，之所以用这个版本是因为我还有一个XG-760n的网卡，这个版本对760n支持比较好。BT3Final自带的驱动是不适合ipw2200注入的，虽然能注入，但注入速度只有10/s左右，而且即使得到了数据包，往往也P不出密码，或者p出的密码就是伪连接时使用的伪密码，这个很晕。因此BT3Final在启动时还需要加载一个ipw2200.lzm的驱动包。在文章结尾提供该驱动包的附件下载，这个lzm包可能也适合BT4beta版，没有测试，感兴趣的可以试一下。
2.输入真确的命令—其实关于ipw2200的注入在07年的时候就有一个英文贴里详细提到了，原贴地址：http://forum.aircrack-ng.org/index.php?topic=1775.0我们这里输入的命令就是以这个帖子为参照，不过需要说明的是文章是在BT2下使用的，BT3及以后版本如果完全按照帖子中的命令操作，在输入抓包命令后，会出现一个错误提示“rtap0在channel 0，与ap不在一个channel”，相信很多ipw2200的朋友都碰到过这个问题。因此需要在配置rtap0端口的同时加入一个指定channel的指令，这个问题在原贴后面的回帖里有提到。虽然帖子中都有，不过这里还是把具体命令再列一下，方便一些喜欢偷懒的朋友，呵呵：

(1)设置rtap0端口，并指定信道。

rmmob ipw2200

modprobe ipw2200 rtap_iface=1 channel=<ap 信道>

(2)建立虚拟连接，与其它网卡不同，2200BG必须设置为managed模式。

iwconfig eth1 ap <Ap mac>（这里的mac必须用：隔开）

iwconfig eth1 key s:fakekey（s：后跟任意密码）

iwconfig eth1 mode managed

(3)端口up

ifconfig eth1 up

ifconfig rtap0 up

这时可以用"iwconfig"看一下虚拟连接是否成功？并观察目标AP的加密方式是否为“开放式”，“共享式”只能等合法客户端出现。

(4)运行抓包命令。

airodump-ng --channel <AP
channel> --bssid <AP mac> -w <文件名> rtap0

(5)开新窗口，运行ARP注入式攻击

aireplay-ng --arpreplay -b <AP mac> -h <client mac> -i rtap0 eth1

(6)当data值达到1W时开新窗口，运行aircrack-ng命令P解密码

aircrack-ng -z -b <AP mac> 文件名*.cap

其实那些参数不要也没有关系，直接aircrack-ng 文件名*.cap即可。

总结：就wep加密而言，只要按上面的方式操作，ipw2200和我手上的XG-760n（没改sma）相比注入更稳定，我测试时的ipw2200注入速度大概稳定在200/s多。760n则是在160-290/s之间跳。对于无客户端而且data一直为0的，ipw2200和760n都束手无策，我用自己的手机连一下再断开，两个网卡的data都暴涨。对于无客户端，输入抓包指令后data隔很长时间增加1个的，ipw2200和760n都能轻松搞定，有客户端的就更不在话下了。对于WPA的加密方式，都知道必须在有合法客户端的时候才能抓到握手包。不过由于ipw2200不支持-0强制断开客户端，所以ipw2200在WPA抓包上和其它网卡相比是有所欠缺的，只能等客户端上线的瞬间才有可能抓到包，比较被动。不过由于WPA即使抓到握手包也不一定能P解，因此这点小小的缺陷也不是什么太大的问题了。最后再提醒一下，一般的傻瓜工具都是以常用网卡为基础的，如果用在ipw2200上只能被动抓包，不能伪连和注入。运气好有客户端，并且客户端在下毛片或者在上H网，不停的刷图片，那速度是很快的。如果碰巧遇上一老头，整杯茶，一个文章品半天，那就有的等了。古人说要两柱香的时间，现在大概就是两包烟的时间了，呵呵。如果运气不好是无客户端的，出密码搞不好就要以天计了。写的比较仓促，如果有错误的地方请多包涵！

ipw2200.lzm驱动包

shenzuole

eth1是本本内置的ipw2200，eth2是XG-760n，选择测试的ap是SpeedTouch路由器（别人家的），一直没见客户端在线。


这张是输入抓包命令后的截图，对照第一张图可以看到，STATION下的客户端就是伪连接成功后ipw2200的MAC，data下有数据不过增长很慢，#/s为0

接下来发包注入，可以看到有个MAC不匹配的提示，不过不影响注入，data开始猛涨，#/s为240

密码出来了，这里可以看到aircrak-ng的版本是1.1，不是BT3自带的1.0，因为我下载了升级包升级过了。

shenzuole

在win下可以连上，不过很遗憾不能上网。


于是用科来获取了局域网内的设备MAC地址，应该是阿尔卡特的无线路由+华为的猫，估计是ADSL，因为我自己用的是FTTB，没用过猫，不太清楚他的组网结构。

gsj6200

路过，了解一下。

mwhsj

看不懂，但是顶上

ihjhnys

精彩，好好向楼主学习

qips001

留个记号
留个记号

lionetliu

我想问下，这个版本怎么变成硬盘版？

rush1981

验证成功，40000+data就解米成功

lm_qdxfx

虽然看的不是很明白 还是给顶一下！