WPS（Wi-Fi Protected Setup）是Wi-Fi保护设置的英文缩写。

对于一般用户，WPS可将具有WPS功能的Wi-Fi设备和无线路由器进行快速互联，还会随机产生一个八位数字的字符串作为个人识别号码（PIN）进行加密操作。省去了客户端需要连入无线网络时，必须手动添加网络名称（SSID）及输入冗长的无线加密密码的繁琐过程。

PIN有8位，其中第8位是由前7位计算得到，接入点(无线路由器)实际上是要找出这个PIN的前半部分(前4位)和后半部分(后3位)是否正确即可。当第一次PIN认证连接失败后，路由器会向客户端发回一个EAP-NACK信息，而通过该回应，攻击者将能够确定的PIN前半部或后半部是否正确。换句话说，黑客只需从7位数的PIN中找出一个4位数的PIN和一个3位数的PIN。这样一来，级次又被降低，从1000万种变化，减少到11000（10^4+10^3）种变化。因此，在实际破解尝试中，黑客最多只需试验11000次，平均只需试验大约5500次就能破解。这也证实了在2小时内破解PIN码的可行性。

3.2.6 第六步

输入如下命令。开始进行PIN码穷举破解（注意末尾的参数是2个小写字母v，-d9和-

t9是防止pin死路由器）

💡

这样pin也是有限制的，比如要被pin出的路由器必须得开启wps功能；貌似现在很多都是防pin路由器或300秒pin限制的。 有些路由pin码可以通过计算得到：腾达和磊科的产品如果路由MAC地址是以“C83A35”或“00B00C”打头那么可以直接计算出PIN值。比如这个：bssid：Tenda_579A18 mac：C8：3A：35：57：9A：18通过计算器将mac后6位换算成10进制数，得到5741080（pin码的前7位），最多试10次或通过软件得到该路由pin码！

等待破解完成（这个破解可能会时间比较长，和你的目标 AP 有关），这期间我们可以查看到穷举破解花费的时间、预计剩余时间、穷举PIN码进度信息：

破解完成后，查看并记录下 PIN码 和 密码：

获取到 PIN码 后，以后即便路由器更换了密码，我们也可以很迅速地通过 PIN码 重新获得新密码。以上方获取到的信息举例：

 

【注意事项】

1、如果在执行 reaver 命令后看到有 WARNING: Failed to associate with xx:xx:xx:xx:xx:xx 这样的提示信息，那么应该是你选择了一个不具备或关闭了 WPS 功能的路由器。这种情况下就执行wash 命令并重新选择一个路由器吧。

2、如果在执行 reaver 命令后看到有 warning detected ap rate limiting waiting 60 seconds before re-checking 这样的提示信息，这表示目标路由器开启了防 PIN破解 功能。因为我们是穷举 PIN码 进行破解的，当连续使用超过某个次数的 PIN码 后，路由器会暂时锁定 WPS 功能一段时间。这种情况下要么我们耐心等待其恢复 WPS 功能，要么执行 mdk3 wlan0mon a -a xx:xx:xx:xx:xx:xx （这是上面的目标AP的MAC地址）命令让路由器主动重启或被动重启以恢复 WPS 功能。