回到家里，林耀打开电脑找到店小二。

“小二，能帮我找到晨星网安燕山公司的公网信息吗？或者这两个手机号的设备编码和网络使用记录。”

短暂的等待后，店小二发来两段加密信息：

“有现成的晨星网关后门入侵程序，需要1300积分。这两个移动设备，有其中一个的私网使用记录和网络信息，需要15积分。”

1300积分，听到这个价格富裕如林耀都不由得咂舌。

这跟抢劫也没什么区别了：

“小二，你也太黑了吧，还是给我移动设备的网络使用记录吧。”

很快一个标注了崔建生手机号的TXT文件发送过来。

“那可是网安公司的网关后门程序里面的信息有多大的价值你还不明白吗？1300还是给你赤焰的优惠价。”

“那我还得谢谢你了。”

“不客气。”

关掉聊天界面，林耀把收到的网络使用记录拉出来。

重新排序以后有几段使用次数比较多网络信息，其中一个私网访问次数超过了1000+，这种程度的访问量一般都是家庭WiFi。

林耀打开Openvpn在WiFi范围内找到一个电视机顶盒作为肉鸡跳板，尝试着进入崔建生的路由器设备。

现在路由器主要的链接模式有两种：个人识别码(PIN)模式和按钮(PBC)模式。

其中个人识别码是黑客们常用的抓鸡入侵手段。

而PIN之所以频繁被黑客利用，本质上还是各大网络运营商为了方便网络维护和检修而偷工减料的结果。

路由器在出厂时会默认开启WPS功能。

WPS会随机产生一个八位数字的字符串作为个人识别号码（PIN）也就是路由底部除了后台地址账号密码之后的一组八位数的数字。

一旦发生网络故障，技术人员就可以通过这个八位数字快速登录而不需要输入路由器名称和密码等。

Pin码会分成前半四码和后半四码。前四码如果错误的话，那路由器就会直接送出错误讯息，而不会继续看后四码，意味着试到正确的前四码，最多只需要试 10000组号码。

一旦没有错误讯息，就表示前四码是正确的，而我们便可以开始尝试后四码。

后四码比前四码还要简单，因为八码中的最后一码是检查码，由前面七个数字产生，因此实际上要试的只有三个数字，共一千个组合。

这样的设置虽然大大提高了检修的效率，方便管理，但同时它也使得原本原本最高应该可达一千万组的密码组合（七位数+检查码），瞬间缩减到仅剩 11，000组。

11，000组对于计算的算力来说就是秒级得破解速度。

林耀看着数据栏力快速跳动的数字，随手又编写出一个夺权文件。

这时候崔建生的家用WiFi上有四个电子设备正在连接中。

他选中一个家用热水器的WiFi辐射模块作为突破口为其注入编写的文件，获得WiFi的加密方式。

之后再利用Deauth验证攻击，让热水器的无线客户端与AP被断开。

当它被从WiFi中断开后会自动尝试重新连接到AP上。

这个时候，林耀利用airodump文件在重新连接过程中截取了热水器的通信数据包。

然后模拟路由器与WIFI发射模块的四次握手的过程，生成一个包含四次握手的cap包。

所谓“握手”，就是连接设备和路由器之间互相进行加密报文的过程。

而林耀利用airodump文件复制对方的握手cap包的过程就类似于给想去网吧上网的未成年复制了一张完美的身份证件。

利用字典进行暴力破解后，它顺利获得崔建生家的网络控制权。

之后林耀在云库中种马一个apk木马安装包，把他隐藏在微聊和贴吧两个AP压缩里。

这样只要崔建生回家后链接到WiFi，并且使用了这两个App就一定会中招。