Auditorías de seguridad en redes Wifi.


Aquí se expone a continuación la forma y manera de averiguar la clave de encriptación de una red Wifi. Es válido para una el sistema tanto web como wpa. No obstante se trata de este último ya que la sencillez es mucho mayor. El documento no es mío , pero pienso que es interesante. Cortesía de tutoriaux
Lo importante de una tarjeta WIFI es el chipset. Dá igual la marca, lo que en realidad importa es el chipset. En esta página podéis consultar los chipsets de vuestras tarjetas:
http://linux-wless.passys.nl/
Después comprobad lo que se puede hacer con vuestro chipset:
http://hwagm.elhacker.net/htm/traduccion.htm#q080
Mis chipsets favoritos son el Ralink y el atheros, pero el prism también está muy bien. Los demás tienen bastantes problemas para realizar ataques.
Habréis visto que pone:
Modo Monitor
Que una tarjeta pueda entrar en modo monitor quiere decir que puede “cazar” toda la información de redes WIFI que circule por el aire(alguna está encriptada y otra no), para luego en el caso de la que está encriptada sacar la clave y si no está encriptada podemos ver la información que transmite esa red.
Compactible con aireplay
Que una tarjeta sea compactible con aireplay (es un programa muy usado para el Hacking Wireless), quiere decir que puede “intervenir” en la captura, no como antes que sólo nos dedicábamos a “escuchar” al aire. Puede envenenar los paquetes para acelerar la desencriptación, puede echar a clientes de la red, etc.
Maneras de proteger una red WIFI
Hay diversos medios para proteger una red WIFI, los más comunes son:

Filtrado MAC

El punto de acceso (AP) sólo permite la entrada a la red de los equipos con la MAC especificada. La MAC es una manera de identificación única de tarjetas de red, ya sean WIFI o no.
Notaremos que esto está habilitado porque al intentar conectar a la red no podremos, a pesar de ser la señal buena. Se soluciona observando en Kismet un cliente legítimo de esa red y cambiando nuestra MAC por esa.
DHCP deshabilitado
El AP no nos asigna las IPs. Nos permite conectar pero al cabo de un rato nos pone “Conectividad limitada o nula”. Solución aquí http://foro.elhacker.net/index.php/topic,116743.0.html
ESSID oculto
Son redes ocultas, que sólo se ven con determinados programas, como puede ser el Kismet.

Clave WPA

Muy difíciles de descifrar, por suerte hay pocas. La solución a la protección WPA está en el manual de Hwagm http://foro.elhacker.net/index.php/topic,87869.0.html

Clave WEP

Las más comunes. Se basan en el cifrado WEP (Wireless Equivalent Privacy). Son relativamente vulnerables.
Además, estos medios de encriptación a veces se pueden complementar entre ellos, por ejemplo una red con WEP, filtrado MAC y DHCP deshabilitado, u otra con WPA y filtrado MAC. Lo que nunca os vais a poder encontrar va a ser una red con WPA y WEP al mismo tiempo.
Espero haber aclarado algo.

Manual Básico Hacking WEP Troppix
1. Introducción
Por lo que he visto en el foro había alguna gente que pedía un manual básico sobre redes Wireless en Troppix. Bien, aquí está, pero es muy muy básico.
NOTA: Este manual esta hecho para que cada persona compruebe la seguridad de su PROPIA red Wireless, no me hago responsable de cualquier uso ilegal que se le pueda dar a este manual.
2. Descargando, grabando y arrancando Troppix
TODO lo que necesitamos es el Troppix, no precisamos instalar ningún programa ni driver más. En el caso de los drivers sólo en muy raras ocasiones.
Descargamos la última versión de Troppix (1.2) de http://www.idg.pl/ftp/pobierz/linux/941.html . Atención, los que tengan una tarjeta inhalámbrica con un chipset de intel(IPW) que hagan esto nada más iniciar Troppix. Repito, sólo los de intel:

Código:

rmmod ipw2200
echo 100 > /sys/class/firmware/timeout
modprobe ipw2200

Grabamos la imagen con un programa que lo permita, como Nero o Alcohol 120%
Por último reiniciamos con el CD dentro de la unidad y nos aseguramos de que el boot desde CD-ROM esté activado en la BIOS.
Pulsamos ENTER cuando cargue el Troppix, elegimos Spanish y luego nuestro fabricante de tarjeta gráfica y su resolución.
3. Nuestro objetivo, la WEP (Wired Equivalency Privacy)
La WEP es la clave que se usa para autentificarse como cliente “legal” ante el Punto de Acceso, y que nos deje formar parte de una red, y por lo tanto conseguir los servicios que se les da a los usuarios de la red(como por ejemplo Internet). Así que, manos a la obra.
4. Averiguar la WEP
Para ello hay varios procedimientos, aunque todos se realizan con la suite aircrack  ya incluida (recomiendo bajarla en español e instalarla Aircrack en español by Uxío). Yo recomiendo usar el CCW6 de Hwagm y Uxío , para ahorrarnos escribir demasiado, aunque en el Troppix no se puede usar, así que voy a poner el código escrito normal.
Bien, entonces lo primero que hacemos es inicializar nuestra tarjeta. Para saber que nombre tiene pinchamos en el símbolo de monitor que hay en la barra y escribimos

Código:

iwconfig

Quizá nos aparecerán varias. Nuestra tarjeta es la única que al lado no pone “No wireless extensions” Quedad con ese nombre. La mía es “ath0”, y cuando escriba la voy a poner así, cada uno que la cambie por la suya.
Inicializamos la tarjeta

Código:

airmon.sh start ath0

y ahora entramos en el airodump.

Código:

airodump ath0 pruebas 0 1

donde ath0 es la tarjeta, pruebas es el archivo donde se guardan las capturas ,0 es el canal( al escribir 0 indicamos que busque en todos) y 1 indica que sólo se guarden los IVs, para ahorrar espacio en disco o en memoria.
Miramos cual es el nombre de la red que queremos buscar la WEP y apuntamos el Channel y el ESSID( nombre de la red), en este manual pongamos que es el 6 y el ESSID “Uxio”.
Entonces pulsamos Control+Z y escribimos

Código:

iwconfig ath0 mode monitor channel 6 essid Uxio

Código:

airmon.sh start ath0 6

Código:

airodump ath0 pruebas 6 1

Bien, entonces así ya estaría. esperamos a que el DATA aumente y cuando llegue a más de 250.000 abrimos otra ventana de comandos (hacemos click en el monitor de abajo) y escribimos

Código:

aircrack pruebas*.ivs

Con un poco de suerte debería aparecer la clave aunque a veces se pueden llegar a necesitar hasta 4 millones de IVs (DATA)
5. Acelerar el proceso cuando hay alguien conectado.
Como supongo que os daríais cuenta, los DATA suben muy lentos. Para que suban más rápido debemos usar aireplay. Miramos los datos que aparecen en la lista de abajo y cubrimos aquí los datos. Miramos que el BSSID coincida con el de nuestra red. Si hay varios, nos vale cualquiera. Para escribir esto abrimos otra ventana.

Código:

aireplay -3 ath0 -b BSSID -h STATION

6. Hacer que haya proceso o acelerarlo cuando no hay “Station” (Cliente), es decir, nadie conectado.
A veces ni siquiera van a subir los DATA ni vamos a tener nada en la lista de abajo que tenga que ver con nuestra red. Esto se soluciona de la siguiente manera. Primero abrimos otra ventana y luego ponemos:

Código:

aireplay -1 30 ath0 -e ESSID -a BSSID -h 00:11:22:33:44:55

Si al final de este comando nos pone association successful lo hemos hecho bien, pero esa ventana no la cerramos porque va a seguir enviando datos cada 30 segundos. Si nos da algún problema escribimos:

Código:

iwconfig ath0 rate 1M essid ESSID

Los problemas pueden ser debidos a:

  • El AP está muy lejos
  • El AP está protegido contra este ataque (no hay solución)
  • Los drivers no están parcheados para la reinyección, pero si estáis usando Troppix no os preocupeis por esto porque ya vienen instalados por defecto
  • Filtrado MAC. Nos pondrá algo así “AP rejects MAC”. Para solucionarlo tendremos que coneguir la MAC de un cliente, así que mejor dejamos que se conecte y hacemos el paso 5 directamente.

y luego lo de antes.

Código:

aireplay -1 30 ath0 -e ESSID -a BSSID -h 00:11:22:33:44:55

Bien, después de association succesful abrimos una nueva ventana de comandos y escribimos

Código:

aireplay -3 ath0 -b BSSID -h 00:11:22:33:44:55 -x 300

Si sale bien veremos que cuando lleve cierto número de READ empezarán a aumentar ARP y SENT. Además en el airodump veremos que los DATA empiezan a subir.
Después de todo esto tenemos que ejecutar el aircrack como ya dije antes para averiguar la clave.
Como curiosidad (y salvación para algunos), las redes que son del estilo “PACO 27”, sin barra (_), en aireplay quedarían así

Código:

-e PACO 27.

Mirad tambien este Vídeo sobre cómo crackear WEP sin clientes conectados
7. Conclusiones.
Bueno, creo que con todo esto lo más importante ya está. Esto nos muestra lo inseguras que son la redes basadas en claves WEP, y que simplemente con un Live-CD sin tener experiencia en Linux se pueden romper.
Una vez que tengais varias redes a vuestro alcance desprotegidas es interesante que os mireis también este post:
Hacking Wireless sin cargos de conciencia
Cualquier comentario o duda, mandadme un mensaje personal o colocadlas en este post.

Apéndice A. Proyecto CCW:
El CCW es un programa que creo que podrá ayudar a más de alguno a evitar pisar la consola de comandos. Hace todas las funciones del Hacking Wireless pero no tienes que escribir casi nada, sólo algún que otro dato puntual (No podemos hacer todo por tí)
Los Pros son esos, los Contras son que tiene muchas dependencias y necesita el gambas2 para funcionar:
Para instalarlo en Troppix precisas conexión a Internet. Los pasos son los siguientes:
A ver, lo instalé de la siguiente manera.
Configuro la red y tengo internet.Y luego, lo mismo que hacía LeT en el Kanotix:

Código:

apt-get update
apt-get install libqt3-mt libqt3-mt-dev

Se baja el gambas 2 de la página de Hwagm http://hwagm.elhacker.net/descargas/programar/gambas2-1.9.22.tar.bz2
Se descomprime en una carpeta cualquiera, vamos a esa carpeta en modo consola y:

Código:

./configure
make
make install

Bajamos el CCW7 de http://uxio3.iespana.es/Programas/ccw7.tar.gz , lo descomprimimos en una carpeta y hacemos:

Código:

./ccw6

Si tenéis algún problema con el CCW posteadlo aquí, para no desviar el tema de este hilo: http://foro.elhacker.net/index.php/topic,102226.0.html
Os pongo unas imágenes para que os animeis a usarlo.
clip_image002
clip_image004
clip_image006
Apéndice B: Configurando la conexión a Internet con Troppix.

Podemos hacerlo de dos maneras, a mano o gráficamente en Troppix 1.2 (Menú de inicio -> system -> Network config
Es importante que la clave WEP que nos pide la introduzcamos en hexadecimal y separada por dos puntos (tal como la da el airodump). Ejemplo:

Código:

A5:B7:B0:02…

La mabera de hacerlo a mano es la siguiente:

Código:

iwconfig essid NOMBREDELARED mode managed key WEP

Tutorial Aircrack: Comprueba la seguridad de tu red wifi con clave wep

Doc. Fecha: 28 Febrero 2007
Este documento es una adaptación del tutorial francés:
http://www.tuto-fr.com/tutoriaux/tutorial-crack-wep-aircrack.php

Introducción

Actualmente, la mayoría de los proveedores ofrecen algún tipo de protección en sus modems wifi. Por desgracia la mayoría de ellos aplican encriptación WEP por defecto en el caso de activar la opción wireless. Es sabido que esta protección está herida de muerte… es debil y muy fácilmente crackable. En menos de una hora es posible crackear una clave WEP de 128 bytes y poco mas para una clave de 256 bytes con aircrack. Este tutorial te ayudará a comprobar lo insegura que es tu red wireless, y te darás cuenta de que es conveniente utilizar encriptación WPA. (video crack wep)

Warning, tu eres el único responsable de aplicar este tutorial en
tu PROPIA red wireless. Si tu no eres el dueño de la red o si no tienes 
permiso del propietario no puedes seguir adelante; ya que con toda 
probabilidad estarías violando las leyes vigentes en tu pais. La finalidad 
de este manual es simplemente sensibilizar a las personas de la 
debilidad de la encriptación wep. Y le recuerdo a la gente que todavía 
piensa que puede intentarlo con la red de sus hijos, parientes, 
vecinos...: **NECESITAS AUTORIZACIÓN** para atacar su red, sino te 
pedirán responsabilidades y acabarás siendo condenado e incluso 
podrías ir a la carcel.

Para comprobar la seguridad de tu red wireless, necesitarás la suite aircrack que ha sido diseñado por Christophe Devine. Este programa funciona en windows y en linux, pero algunas de sus funcionalidades no están disponibles bajo windows (inyección de paquetes por ejemplo) Por esta razón usaremos un cd de linux “bootable” o Live-Cd Whax, que es un CD pensado para realizar tests de intrusión. Hay otros Lives-Cds similares, con los cuales tambien podemos aplicar los conocimientso adquiridos en este manual, por ejemplo más actuales son troppix o backtrack. (Estos CDs están orientados al cracking WEP, sin necesidad de tener que instalar ningún sistema operativo Linux e incluyendo todos los programas que necesitamos; pero ubuntu o cualquier otra distribución tambien funcionará si le instalamos los programas necesarios)

Pero no todas las tarjetas están soportadas, básicamente depende del chipset, aquí hay una lista de tarjetas que funcionan con aircrack (compatibles). Y esta es otra lista (fr)

Este manual se hizo con una tarjeta D-link DWL-G650 (pero no G650 + !!!) .

Por fortuna, un amigo me reto a que intentará obtener la clave wep de su punto de acceso; él pensaba que yo no sería capaz. Pero al final le dempostré que se equivocaba, lo que me llevo aproximadamente 2 horas.

Por razones obvias, todos los nombres de las redes (ESSID) han sido borrados, excepto el de la red que queremos crackear, este solo ha sido parcialemente ocultado.

BSSID o direcciones mac tambien han sido parcialmente censuradas, y solo muestro la primera parte de la MAC que hacen referencia al fabricante del hardware.

Repito que si estás intentando entrar en una red, necesitas la 
autorización del dueño, o ser tu el propietario

1. Whax:

Usamos este Live-Cd proque nos gusta mucho nuestro Windows y no sabemos nada de nada acerca de Linux y su pingüino

Puedes conseguir el Live-Cd de WHAX aquí: Download Whax: http://files.tuto-fr.com

Nota : Hay nuevos “lives cds” especializados en wifi, como troppix o backtrack que son tan buenos o incluso mejores. Puedes encontrar estas distribuciones en files.tuto-fr.com El funcionamiento es prácticamente el mismo. Todos ellos incluyen drivers y los programas aircrack y airodump/aireplay.

Quema la imagen ISO en un cd (pero asegurate que la gravas como imagen y no como disco de datos). Además te recomiendo que crees una partición FAT32 de 2 o 3 gigas. La ventaja de FAT32 es que se puede usar tanto en el S.O. windows como en linux. Esa partición puede ser usada para guardar los paquetes capturados y los diferentes archivos necesarios para crackear la clave wep. Esta partición no es indispensable, pero si recomendable, sobre todo si tienes poca memoria RAM en tu PC, porque el Live-Cd se cargará en la memoria RAM y los archivos serían salvados en la RAM y no en la partición. Además si tienes una partición FAT32 puedes apagar el ordenador y reiniciar sin perder ningún archivo de datos.

Otra alternativa, si no quieres formatear tu disco duro, puede ser usar una MEMORIA USB externa para gravar los archivos con las capturas

ATENCIÓN, LAS PARTICIONES NO TIENEN EL MISMO NOMBRE EN 
WINDOWS Y EN LINUX, POR LO TANTO COLOCA UN FICHERO QUE 
RECONOZCAS EN ELLA.

Despues de configurar la BIOS de tu PC para arrncar Whax desde el CD, llegarás a una pantalla en la que se te preguntará por el nombre de usuario (login) (en troppix tendrás que escoger la tarjeta de video + lenguaje del teclado + resolución) El login es root y la contraseña o password es toor; y para iniciar la interface gráfica escribe startx

Una vez cargado Whax, abre una consola o “shell”:

El escritorio es “KDE” por lo que es sencillo de usar. (haz un simple click) clip_image007

Despues escribe “airmon.sh” para ver las tarjetas que tienes y seleccionar la que quieras usar con el comando: “airmon.sh start «interface wifi»”

clip_image008

En esta imagen puedes ver que la tarjeta ha sido reconocida correctamente y que está activado el modo monitor. El modo monitor te permite capturar paquetes sin necesidad de estar conectado a ninguna red.😉

En caso de estar usando una distribución linux, solo necesitarás instalar la suite aircrack: Descarga aircrack airodump, aireplay

2. Airodump:

Uso detallado de airodump en windows y linux

Ahora podemos empezar a escanear en busca de redes wireless con airodump (parte de la suite aircrack).

Escribimos en una consola: “airodump [nombre de la interface] [nombre del archivo] [canal a escanear]”

clip_image009

Para escanear en todos los canales escribe el 0

Puedes añadir el parámetro 1 al final, para modificar la extensión del archivo a .ivs en lugar de .cap, la ventaja es que en este archivo no se guardan todos los paquetes sino solo los IVs, y por lo tanto el tamaño es mucho más reducido. « airodump ath0 out 0 1 »

Es recomendable que uses este método si no has creado una partición FAT32, sino puede que se te cuelgue el sistema en caso de no tener suficiente memoria RAM!!!

Si has creado o si tienes una partición FAT32 necesitas situarte en esa partición. Usa el comando «cd ..» para regresar al directorio anterior. O puedes usar “cd /root/mnt” y despues ir al directorio que corresponde a tu partición windows. Yo lo que hago es escribir «cd ..» y «cd mnt/hda6»

Una vez que airodump está funcionando veremos esto:

clip_image010

Yo vivo en una residencia de estudiantes, por lo que hay un montón de gente.

La columna BSSID se corresponde con la dirección Mac del punto de acceso (AP) La columna ESSID es el nombre de la red (MyWifiNetwork, Wanadoo-xxxx…)

La parte de arriba corresponde a los puntos de acceso detectados y en la parte inferior veremos los clientes de esos APs (los ordenadores que están conectados a cada red)

La columna que nos interesa es la que pone IVs, esos son los archivos que usaremos para crackear la clave WEP. (En versiones recientes de airodump la columna de IVs aparece con el nombre data)

En mi caso el AP de mi amigo es el único que no tiene el ESSID completamente borrado. Para una adecuada captura de los paquetes es necesario lanzar airodump escogiendo únicamente el canal en el que se encuentra el AP (el nuestro es 10)

airodump ath0 out 10

Para parar la captura pulsamos “Ctrl+C”. (esta es la forma de finalizar cualquier programa que se ejecute en una consola en Linux). Tambien estás obligado a parar la captura si quieres copiar la dirección mac para despues pegarla. Para copiar en Linux al “portapapeles” selecciona simplemente con el ratón y situa el cursor en el lugar donde lo quieras pegar y pulsa el botón central del ratón o “Shift+insert”.

Para más detalles sobre las opciones de airodump simplemente escribe [airodump] en la console y aparecerá la ayuda.

clip_image011

Aquí vemos que hay dos clientes y uno de ellos está conectado al AP que nos interesa a nosotros. ESTAMOS DE SUERTE, algunas veces los puntos de acceso tienen filtrado mac y solo permiten la asociación de una o varias MACs determinadas, y para ejecutar aireplay necesitaremos alguna de esas direcciones MAC, actuando como si nosotros fuesemos ese otro ordenador para tener acceso al AP.

Tan pronto como empezamos a capturar algún IV airodump nos dirá cual es el tipo de encriptación de la red: WEP, WPA o OPN (de open=abierta).

Ahora sabemos que la encriptación es WEP, que un cliente está conectado, y que está generando tráfico (350 paquetes enviados por el cliente en no mucho tiempo). Vamos a lanzar aireplay, un inyector de paquetes para acelerar el tráfico y capturar más IVs rápidamente.

Es necesario saber que para crackear una clave WEP de una red wifi, es mucho más fácil y más rápido cuanto mayor sea el tráfico existente en la red.

3. Aireplay:

Para ver todos los detalles consulta el clip_image012aireplay manual

Al igual que airodump, aireplay forma parte de la suite aircrack

3.1. Falsa autenticación:

Mira el clip_image012[1]FAQ aireplay -1

Para lanzar aireplay abre otra consola en la misma pantalla con la ayuda del pequeño icono situado arriba a la izquierda. Tambies puedes renombrarlo haciendo click derecho. Lanzamos aireplay la primera vez sin preocuparnos sobre el bssid (dirección MAC) del cliente :

clip_image013

Los parametros son:

aireplay -1 0 –e [Essid] -a [Bssid del AP] –h [bssid de un cliente 
inventado] [interface]

El parametro -b no es necesario para el ataque -1. ”-1 0” significa ataque de falsa autenticación, y el cero es el tiempo que tardará en enviar un paquete de “sigo aquí” o “keep alive” para que permanezcamos asociados al AP. Si ponemos cero no se enviarán paquetes de “sigo aquí” pero hay APs a los que si no se les envia ningún paquete en un periodo de tiempo determinado procederá a desautenticar a ese cliente. Por esta razón puede ser que sea conveniente utilizar el parámetro ”-1 30” con lo que se enviará un paquete de “sigo aquí” cada 30 segundos una vez asociado.

Podemos ver en la imagen que al usar una mac inventada el AP la rechaza, pero si probamos con la MAC del cliente real el ataque nos funciona:

clip_image014

La mayoría de los AP no tienen configurado ningún filtrado MAC y por lo tanto podremos usar cualquier MAC inventada. Una vez que has conseguido association successful ya tienes tu primera victoria, ya que has sido aceptado por el punto de acceso como cliente.

Este ataque falla si la señal (power) es baja. En este caso puede que consigas “authentication successful” pero te falle la asociación o no sea inmediata:

clip_image015Aquí el ejemplo es pequeño, pero tu fácilmente puedes tener 40 lineas :-S

En la siguiente imagen mostramos las relaciones entre los parámetros de aireplay y la captura de airodump :

clip_image016

Si ya hay un cliente conectado, no es necesario asociar a nadie y por tanto nos podemos saltar este apartado y pasar al 3.2. sin ningún problema..

3.2. Inyección de paquetes:

En detalle clip_image012[2]aireplay attack -3

Una vez que hemos conseguido la asociación (o en el caso de haber ya un cliente legítimo conectado), relanzamos aireplay cambiando alguno de los parámetros.

Necesitamos cambiar el primer parámetro a “-3” que corresponde al ataque de inyección automático. Y tenemos que añadir el parámetro “-x” para indicar el número de paquetes que aireplay enviará cada segundo. Yo pondré 600, pero puedes probar a usar otros parámetros dependiendo de la fuerza de la señal que recibas del AP.

Tambien si tenemos un archivo de una captura anterior con airodump, que sabemos que contiene algún IV, podemos añadir el parámetro –r. Esta opción le indica a aireplay que use los ARP’s que se encuentren en ese archivo.

NO TE OLVIDES DE SITUARTE EN EL MISMO DIRECTORIO

Como el comando es muy parecido al anterior “aireplay -1…”, presiona la tecla de “flecha arriba” para que te aparezca el último comando que has escrito previamente.

clip_image017

Aireplay grava los ARPS en un archivo que se crea cada vez que lo ejecutamos. El nombre está subrayado en la imagen de color rojo. Ese archivo se guarda en la carpeta desde donde lances el aireplay

Aquí, podemos ver que tenemos un arp. Tan pronto como conseguimos un ARP aireplay comienza a enviar paquetes. Y normalmente si todo va bien, los IVS empezarán a aumentar. Y este es nuestro caso, los IVs están creciendo :D:

clip_image018clip_image019clip_image020clip_image021

Al mismo tiempo, los arps tambien aumentan: clip_image022clip_image023

El máximo de arps que guarda aireplay son 1024.

Para que te hagas una idea de la velocidad de captura de los IVs’s he guardado algunas imágenes de la pantalla completa; fíjate en el reloj.

A las 16h25 190.000 IVs A las 16h30 290.000 IVs A las 16h43 650.000 IVs

4. Aircrack:

En detalle en clip_image012[3]FAQ

Necesitarás aproximadamente 300.000 IVs para una WEP de 64 bytes y 1.000.000 para una clave de 128 bytes. A veces puedes necesitar muchos mas, pero el proceso es muy rápido.

Debes lanzar Aircrack cuando tengas 300.000 IVs y si crees que la clave es de 64 bytes (tu lo tienes que saber, porque la red es tuya) . Para ello usa la opción –n 64, y aircrack intentará encontrar la clave WEP como si fuese de 64 bytes.

Personalmente como mi clave WEP es de 128 bytes yo no use la opción -n 64. Y espere a tener 700.000 ivs para empezar a lanzar aircrack mientras continuaba al mismo tiempo la captura de paquetes con airodump.

Abre una nueva shell y ejecuta aircrack.

No te olvides de situarte en el directorio que contiene el archivo, o indica la ruta completa del mismo

aircrack –x -0 nombre_archivo_captura

El parámetro –x evita que se realice “fuerza bruta” sobre los 2 últimos bytes, lo que acelerará el proceso al probar menos claves

El parámetero -0 realmente no sirve para nada, lo único que hace es poner aircrack en un color similar al de la película “Matrix”.

Finalmente el último parametro es el nombre del archivo de las capturas realizadas con airoduimp. Si tenemos varios archivos podemos usar el * como comodín, por ejemplo “*.cap“ y “*.ivs“ para abrir todos los archivos .cap y .ivs.

aircrack –x -0 *.cap *.IVs 

clip_image024

Cuando ejecutamos aircrack, nos muestra todas las redes (networks), nos dice si están encriptadas y el número de IVs capturados para cada una. Por lo tanto, solo tenemos que elegir el número de la red que queremos crackear

Ahora comenzará a buscar la clave:

http://www.tuto-fr.com/tutoriaux/crack-wep/images/aircrack-debut-crack-clef-wep.gif

Al mismo timepo, la captura con airodump continua mientras aircrack busca la clave, y se ira actualizando el número de IVs cada poco tiempo.

De todas formas no recomiendo que mantengais aircrack ejecutándose durante mucho tiempo, ya que usa el microprocesador del PC a máxima potencia. A mi modo de ver es mucho más rentable seguir capturando IVs y lanzar aircrack de vez en cuando combinando diferentes opciones. Con que lo dejeis 1 o 2 minutos es más que suficiente, ya que cuando tengamos suficientes IVs nos mostrará la clave en muy pocos segundos.

Basicamente funciona con un sistema de votos (vote); cuantos más votos tenga un byte, comparado con los otros de la misma linea, mayor es el número de posibilidades de que ese sea el correcto.

Desafortunadamente para mí, no lo he conseguido por lo que tengo que capturar más IVs

Yo creo que influye que apenas había tráfico del cliente real.

clip_image025

Lo mejor es seguir capturando más IVs.

Cuando recapturas IVs, lo mejor es esperar por el cliente real, y conseguir unos ARP’s nuevos.

Personalmente yo mantengo airodump ejecutándose y vuelvo a lanzar el aireplay borrando el parámetro –r con el fin de conseguir ARP’s nuevos. Así cuando el cliente se reconecte a la red se generarán nuevos ARP’s y los captruraré para ser inyectados. Este es el mejor método para obtener la WEP con menos IVs.

Si no eres capaz de capturar el ARP cuando el cliente está conectado, prueba realizando un **ataque de desautenticación**, de está forma el cliente se verá obligado a reconectarse a la red y se generaran ARPs.

aireplay -0 [nº de desautenticaciones a enviar] -a [BSSID] -c [MAC cliente] [interface]

Bueno, lo dejé y cuando regrese ya tenía 2.600.000 IVs.

Relancé aircrack: clip_image026

Bingo !!!!

Podemos ver comparando las dos imágenes, la primera en la cual falló el ataque y la de ahora, que básicamente los números son los mismos; solo que necesitabamos mas IVs.

Si no funciona, tambien puedes probar a cambiar el “fudge factor” con la opción –f: “-f número entre 2 y 10” Por ejemplo:

aircrack –x -0 *.cap *.ivs –f 4

por defecto el “fudge factor” está configurado a 2. Cuanto mayor sea el valor del fudge factor mas combinaciones probará para tratar de encontrar la clave.

Por otro lado, aircrack usa 17 tipos de ataques creados por Korek. Puedes deshabilitar uno por uno si tienes muchos IVs y no obtienes la clave. Por ejemplo:

aircrack –x -0 *.cap *.ivs –k 4

Podemos combinarlo con el “fudge factor” y otras opciones.

Si tienes más de 5.000.000 IVs capturados de un cliente no falsificado y sigues sin obtener la clave, puede haber varias razones: – El dueño ha cambiado la clave mientras realizabas la captura (pero como eres el propietario deberías saber si es así) – El archivo con las capturas está corrupto – No has tenido mucha suerte….

5. Configuración de la conexión:

Fantástico!!! tenemos la clave WEP, lo primero que podemos hacer es escribirla en un papel. Pero tenemos que tener cuidado de no equivocarnos, por ejemplo los 0 (ceros) no pueden ser o (os), ya que en “hexadecimal” las únicas posibilidades son los números del 0 al 9 y las letras de la A a la F.

Ahora que sabemos cual es la clave WEP, la única cosa que nos queda es conectarnos a la red. La mayor parte de las veces las redes están configuradas para asignar las IPs de forma automática (denominado dhcp).

Por lo tanto podemos probar a conectarnos con windows (en este caso introduciremos los 13 dígitos de la clave wep sin los “:“ y si la red tiene activo un filtrado MAC cambiaremos nuestra dirección MAC; o con Whax que tiene en el menú un módulo para la conexión a una red wireless.

5.1. Con whax:

Lo primero es poner la tarjeta en modo managed, para ello:

iwconfig ath0 mode managed

Y en el momento que quieras seguir capturando tráfico, solo necesitas escribir:

iwconfig ath0 mode monitor

clip_image027

Si el AP tiene filtrado MAC cambia tu MAC por la de un cliente legítimo.

Y para abrir el asitente vete al menú “start” y elige whax tool/wireless/wireless assistant y configura tu red. (si no funciona el “dhcp” prueba con windows o sigue leyendo para aprender como averiguar la IP de la red)

Puedes probar haciendo un simple ping como:

ping www.google.es
5.2. En una shell:

Si estás utilizando Whax tambien puedes conectarte escribiendo los comandos en una shell.

Todos los parámetros de nuestra configuración los podemos ver escribiendo el comando:

iwconfig ath0

clip_image028

clip_image029

Para poner la tarjeta en modo managed (para poder conectarnos):

iwconfig ath0 mode managed

Para introducir la clave wep:

iwconfig ath0 key xx:xx:xx:xx:xx:xx

clip_image030

Puedes combinar parámetros en una linea:

iwconfig ath0 mode managed key xx:xx:xx:xx:xx:xx open

Para obtener IP de forma automática:

dhcpcd atho

Para escribir las IP de forma manual:

ifconfig ath0 192.168.x.xx

Para asignar la puerta de enlace:

route add default gateway 192.168.x.1 ath0

Y para fijar una DNS:

echo nameserver xxx.xxx.x.x > /etc/resolv.conf
5.3. Cambiar tu dirección mac:
5.3.1. En linux:

Si el AP tiene configurado un filtro de direcciones MAC tendrás que cambiar la tuya por una que sea aceptada (la tarjeta wireless es “station” en airodump)

Primero necesitas apagar la tarjeta wifi. Despues podrás cambiarla con ifconfig ath0 hw ether: XX:XX:XX:XX:XX:XX

clip_image031

Tened en cuenta que en algunos modelos de tarjetas este comando solo funciona si está en modo managed o en otras solo funciona en modo monitor. Último paso de la activación será activar la interface con: ifconfig ath0 up

Otra alternativa, para cambiar la dirección MAC en linux es usar el programa macchanger

Si no funciona la conexión puedes probar con windows o buscar en network address.

5.3.2. En windows:

En windows tambien podemos cambiar la dirección MAC de varias formas:

1.- Vete a « Inicio/Panel de control/Herramientras administrativas/Administrador de dispositivos/».

Escoge la categoría Adaptadores de red, elige tu tarjeta y haz click derecho para ver las propiedades de la tarjeta. Pincha en la etiqueta “Opciones avanzadas” y busca una categoría con el nombre “Network Adress” o similar. Para cambiar la MAC solo tendrás que introducir el valor correcto en la caja que tienes al efecto.

Hay que tener en cuenta que no todas las tarjetas wireless disponen de esta opción en el controlador de windows. Si no encuentras esta opción puedes usar alguno de los siguientes métodos:

2.- Cambiar el valor de la dirección MAC directamente en el “Registro de Windows”. Para ello vamos a «Inicio/Ejecutar» y escribimos “regedit”. Buscamos la clave del registro: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass{4D36E972-E325-11CE-BFC1-08002bE10318}0XX (siendo 00XX nuestra tarjeta wireless, que en lugar de 00XX puede ser 0012, 0013….)

Ahora solo hay que crear un valor alfanumérico con el nombre NetworkAddress (presta atención al nombre, ya que tiene que coincidir exactamente con el aquí expuesto). Cerramos “regedit” y para que el cambio tenga efecto tendremos que deshabilitar y habilitar la tarjeta o reiniciar Windows.

Para comprobar que hemos cambiado la MAC podemos abrir una consola de MS-DOS (cmd) y escribir el comando “ipconfig /all”

3.- Tambien puedes usar “etherchange ”, un pequeño programa DOS para windows: Descarga etherchange.

Ejecuta el programa y elige la interface a la que le quieres cambiar la dirección MAC. Escribe la nueva MAC y el cambio surtirá efecto.

Para comprobarlo recuerda que puedes usar “ipconfig /all”.

6. Como averiguar la IP de la red:

Si la red no tiene activado el “dhcp”, necesitas conocer el rango de IPs usadas en esa red. En la mayoría de los casos es 192.168.1.xxx con la puerta de enlace del punto de acceso 192.168.1.1 y una máscara de red 255.255.255.0.

Otro rango de IPs habitual es 192.168.0.xxx con puerta de enlace 192.168.0.1. Por lo tanto podemos probar con estas y ver si conseguimos la conexión.

De todos modos hay un modo rápido y fácil de encontrar la IP del punto de acceso con ethereal (o con wireshark, que es el nuevo nombre que le han puesto a ethereal). Ethereal O Wireshark es un sniffer de redes.

Necesitamos la clave WEP para poder ver la IP

Lanzamos ethereal utilizando el menú start/WHAX Tools/Sniffers/ethereal

Configuramos ethereal para desencriptar paquetes con la clave WEP que hemos obtenido con aircrack. Para ello vamos a la pestaña Edit/preferences/protocols/IEEE 802.11 Y escribimos la clave wep, acuerdate de marcar “assume packets have FCS”

clip_image032

Si quieres capturar tráfico con ethereal haz lo siguiente: « capture/options » Choose (ath0) Select (capture paquets in promiscuous mode) Select enable network name résolution

clip_image033clip_image034

Otra opción sería abrir algún archivo.cap que hayamos guardado con anterioridad. Para encontrar únicamente las que te interesan aplica un filtro. Un filtro típico que funciona muy bien es “(wlan.bssid == bssid del AP) && (TCP)”

Así verás únicamente los paquetes enviados usando el protocolo TCP y el bssid que hemos especificado

clip_image035

Bingo, encontramos la IP

Si sigues capturando un poco más de tráfico confirmarás que esa es la IP y quizás consigas más información.

clip_image036

Por ejemplo vemos que mi amigo está usando el emule

Y esto es todo, tienes el nombre de la red, la clave wep, la mac del cliente, la IP y las instrucciones para realizar la conexión. Si de todas formas todavía tienes dudas o problemas, el foro de aircrack-ng está para ayudarte.

Anexos

Ejemplo de una red abierta (OPN) clip_image037

Inyección en windows:

Hay otros softwares para inyectar paquetes usando windows

Para chipsets como el atheros; descarga CommView for wifi

Chipset Prism: descarga airGobbler Packet Generator

FAQ

Consulta el FAQ en francés si dominas este idioma

Archivos:
  • Para conocer datos acerca de tu tarjeta wifi Wlandrv
  • drivers de todos los chipset.

clip_image012[4]FAQ

Links

Christophe Devine video

Acerca de Rafael Quintana

Con ganas de compartir y de aprender
Esta entrada fue publicada en Informática e Internet, Seguridad, software. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s