Gua Completa Aircrack-ng gracias a sh4van3
El objetivo de esta gua es ir describiendo cada una de las
utilidades que nos ofrece la suite Aircrack-ng. Utilizaremos
Wifislax en su versin 3.1, que lo podis descargar de aqu: Wifislax
- Descargas - Versiones Wifislax Poco a poco ir aadiendo temas a la
gua. Para los que no lo sepis, Aircrack-ng es una suite de
herramientas utilizada para la auditora de redes inalambricas. Esta
suite esta compuesta por:
-Airodump: programa utilizado para la captura de paquetes
802.11.-Aireplay: programa utilizado para la inyeccin de paquetes
802.11.-Aircrack: programa utilizado para crackear claves WEP y
WPA-PSK.-Airdecap: programa utilizado para desencriptar archivos de
capturas WEP/WPA
[AIRODUMP-NG]
Como ya hemos dicho antes, el airodump es el programa utilizado
para la captura de paquetes 802.11. Gracias a ello podremos ver
todos los puntos de acceso, clientes e informacin de los mismos
dentro de nuestra cobertura, claro est. Lo primero de todo es saber
nuestra interfaz.
Cuando inicies wifislax te pedira el usuario y su pass que si te
fijas te lo da en la misma pantalla para el que no lo encuentre
es:
Cdigo:
usuario: root
pass: toor
y para que configure tu tarjeta automaticamente
codigo:xconfstartx despues vereis esto Para ello abrimos shell con
los siguientes pasos:
Y tecleamos lo siguiente en la lnea de comandos:
Cdigo:
iwconfig
Ah veremos que nombre es asignado a nuestra interfaz. En mi
caso, eth1. Una vez sabemos el nombre de nuestra interfaz, lo que
haremos es cambiar a modo monitor nuestra tarjeta. Para ello
escribimos en la lnea de comandos esto:
Cdigo:
airmon-ng start vuestrainterfaz
Hasta ahora deberamos ver algo as:
El comando airmon-ng sirve para activar o desactivar el modo
monitor de nuestra tarjeta. Las opciones que nos permite este
comando son 2:
-airmon-ng start interfaz ------->Esto activara el modo
monitor.-airmon-ng stop interfaz ------->Esto descactivara el
modo monitor.
A continuacin, procedemos a escribir en la shell el siguiente
comando "airodump-ng", os saldr algo parecido a esto:
Cdigo:
wifislax ~ # airodump-ng
Airodump-ng 0.9.1 r511 - (C) 2006,2007 Thomas d'Otreppe
Original work: Christophe Devine
Aircrack-ng usage: airodump-ng [,,...]
Options:
--ivs : Save only captured IVs
--gpsd : Use GPSd
--write : Dump file prefix
-w : same as --write
--beacons : Record all beacons in dump file
--update : Display update delay in seconds
Filter options:
--encrypt : Filter APs by cypher suite
--netmask : Filter APs by mask
--bssid : Filter APs by BSSID
-a : Filter unassociated clients
By default, airodump-ng hop on 2.4Ghz channels.
You can make it capture on other/specific channel(s) by
using:
--channel : Capture on specific channels
--band : Band on which airodump-ng should hop
--cswitch : Set channel switching method
0 : FIFO (default)
1 : Round Robin
2 : Hop on last
-s : same as --cswitch
--help : Displays this usage screen
No interface specified.
Os pongo una imagen para que lo veis ms claro:
Lo que nos estn indicando, son las opciones del comando
airodump-ng. stas son las siguientes:
--ivs: Solo capturaremos ivs (o vectores de
inicializacin).--gpsd: Esta opcin es para usar un dispositivo
GPS.--write : Con esto crearemos un archivo a guardar que tendr
extensin *.cap o *.ivs. Tambin se puede poner --w.--beacons:
Airodump-ng esta configurado por defecto para no guardar los
beacons. Con esta opcin los guardamos (no lo recomiendo, ya que los
beacons son unas seales que mandan los routers, para indicar que
estn activos y que contienen informacin como el BSSID y el ESSID.
As que no nos hace falta guardarlos).--channel: Hace la captura en
el canal que especifiquemos (por ejemplo: --channel 5). Tambin
podemos poner --c.-a: Esta opcin hace una captura en la frecuencia
de 5Ghz especifica del canal a (recordad, 802.11 a/b/g).--abg: Con
esto capturamos tanto en frecuencias de 2,4Ghz como en 5 Ghz.
Para introducir bien los comandos, sobra decir que los pondremos
en el orden en el que los acabo de escribir (de arriba a abajo)
omitiendo de la lista aquellos que no queramos poner. Nosotros lo
que haremos ser poner lo siguiente:
Cdigo:
airodump-ng interfaz
Vemoslo en la imagen:
Ahora os estaris preguntando que son cada uno de los campos que
nos salen. Pues bien, para esto me remito a la pgina oficial de
aircrack y os los copio tal cual estn:
BSSID-->Direccin MAC del punto de acceso.PWR---->Nivel de
seal reportado por la tarjeta. Su significado depende del
controlador, pero conforme te acercas al punto de acceso o a la
estacin la seal aumenta. Si PWR == -1, el controlador no soporta
reportar el nivel de seal.Beacons Nmero de paquetes-anuncio
enviados por el AP. Cada punto de acceso enva unos diez beacons por
segundo al ritmo (rate) mnimo (1M), por lo que normalmente pueden
ser recogidos desde muy lejos.# Data-->Nmero de paquetes de
datos capturados (si es WEP, slo cuenta IVs), incluyendo paquetes
de datos de difusin general.CH------->Nmero de canal (obtenido
de los paquetes beacon). Nota: algunas veces se capturan paquetes
de datos de otros canales aunque no se est alternando entre canales
debido a las interferencias de
radiofrecuencia.MB------->Velocidad mxima soportada por el AP.
Si MB = 11, entonces se trata de 802.11b, si MB = 22 entonces es
802.11b+ y velocidades mayores son 802.11g.ENC----->Algoritmo de
encriptacin en uso. OPN = sin encriptacin, "WEP?" = WEP o mayor (no
hay suficiente datos para distinguir entre WEP y WPA), WEP (sin la
interrogacin) indica WEP esttica o dinmica, y WPA si TKIP o CCMP
estn presentes.ESSID--->Conocida como "SSID", puede estar vaca
si el ocultamiento de SSID est activo. En este caso airodump tratar
de recuperar el SSID de las respuestas a escaneos y las peticiones
de asociacin.STATION->Direccin MAC de cada estacin asociada. En
la captura de ms arriban no se han detectado clientes.
[AIREPLAY-NG]
El aireplay es el programa que va a inyectar paquetes 802.11.
Aireplay-ng implementa 6 ataques diferentes:
-Ataque 0: Ataque de deautenticacin.-Ataque 1: Ataque de
autenticacin falsa.-Ataque 2: Reenvo interactivo de
paquetes.-Ataque 3: Reinyeccin de peticin ARP-Ataque 4: Ataque
"chopchop" de Korek.-Ataque 5: Ataque de framentacin.
Vamos a ver los ataques uno por uno.
ATAQUE 0: DEAUTENTICACIN
El ataque 0 de deautenticacin, tiene como objetivo, deautenticar
al cliente conectado al AP. La sintaxis de este ataque es la
siguiente:
Cdigo:
aireplay-ng -0 N -a XX:XX:XX:XX:XX:XX -c YY:YY:YY:YY:YY:YY
interfaz
Paso a explicar lo que hemos puesto:
-0: Indica que vamos a hacer el ataque "0" o de deautenticacin
de cliente.N: Es un nmero. Con l indicaremos cuantos paquetes de
deautenticacin enviaremos.-a XX:XX:XX:XX:XX:XX: "-a" indica el AP y
XX:XX:XX:XX:XX:XX es el BSSID o la direccin MAC del AP.-c
YY:YY:YY:YY:YY:YY: "-c" indica al cliente y YY:YY:YY:YY:YY:YY es la
MAC del cliente asociado al AP.interfaz: es la interfaz de nuestra
tarjeta. Para saberla recordad el captulo anterior (iwconfig).
Ataque DoS (Denegacin de Servicio):
Muchos de vosotros ya sabis lo que es un ataque de Denegacin de
Servicio, si no lo sabes entra aqu DENEGACIN DE SERVICIO que te lo
explica muy bien. De lo que estoy seguro, es de que muchos de
vosotros ni siquiera sabais que se podan hacer ataques DoS a
clientes asociados a puntos de acceso (AP). Pongamos un BSSID
(00:89:4F:D2:15:A3), un cliente asociado con MAC
(00:14:D8:7F:B1:96) y una tarjeta con chipset Zydas. El ataque sera
as:
Cdigo:
aireplay-ng -0 0 -a 00:89:4F:D2:15:A3 -c 00:14:D8:7F:B1:96
eth1
Lo que estaramos haciendo es crear un bucle infinito de paquetes
de deautenticacin, con lo que impediramos el cliente conectarse al
AP. Tambin podemos hacer un DoS generalizado, de tal forma que solo
ataquemos al AP. Con esto impediramos la conexin a todos los
clientes que quisieran asociarse al AP. Esto se hara mediante el
siguiente comando:
Cdigo:
aireplay-ng -0 0 -a 00:89:4F:D2:15:A3 eth1
Como vis, slo hemos puesto la MAC del router. Esto impedira
conectarse a cualquiera. Esto es una captura de pantalla del
ataque:
Captura del Handshake (Saludo) WPA:
Lo primero de todo, definimos Handshake. Cada vez que un cliente
se conecta a una red con cifrado WPA, enva un paquete-saludo, o
Handshake al AP al que se va a conectar. Este paquete-saludo
contiene la contrasea encriptada. Para capturarlo, tratariamos de
desconectar al cliente y estar al acecho para capturar ese
Handshake. Mas tarde, intentaramos crackear ese Handshake para
obtener la contrasea. Vemoslo en el siguiente ejemplo:
Cdigo:
airodump-ng --write chipichape --channel 6 eth1
aireplay-ng -0 20 -a 00:89:4F:D2:15:A3 -c 00:14:D8:7F:B1:96
eth1
aircrack-ng -w /ruta/al/diccionario chipichape-01.cap
Paso a continuacin a describir cada comando:
airodump-ng --write chipichape --channel 6 eth1------>Este
comando pondra el airodump-ng a la escucha en el canal 6 y
escribira en un archivo llamado chipichape-01.cap los resultados de
los paquetes obtenidos.
aireplay-ng -0 20 -a 00:89:4F:D2:15:A3 -c 00:14:D8:7F:B1:96
eth1----->Este comando enviara 20 paquetes de deauntenticacin.
Si tras hacer esto no hemos conseguido deautenticar al cliente,
ponemos ms.
aircrack-ng -w /ruta/al/diccionario chipichape-01.cap (este
comando crackeara, o al menos lo intentara con ayuda de un
diccionario, el archivo chop-01.cap con la clave encriptada WPA y
con la ayuda de un diccionario. No os hagis ilusiones, porque no es
tan fcil crackear las redes WPA. Si no tenis diccionarios os pongo
unos links donde podris encontrar:
COTSE-Word ListsCOTSE-Word ListsSUNET's Index of
/pub/security/tools/net/Openwall/wordlists
A continuacin una demostracin con imgenes del proceso. En ellas
podemos ver como nos pide un diccionario para poder crackear la
clave.
1.- Ejecutamos el comando:
Cdigo:
airodump-ng --write chipichape --channel 6 eth1
Nos saldr esta imagen:
2.- Ejecutamos el comando:
Cdigo:
aireplay-ng -0 20 -a 00:89:4F:D2:15:A3 -c 00:14:D8:7F:B1:96
eth1
Gua completa Aircrack-ng parte 3
3.- Crackeamos con:
Cdigo:
aircrack-ng -w /ruta/al/diccionario chipichape-01.cap
Como podis ver no me ha dejado crackearla porque no he
especificado la ruta de ningn diccionario.
Generacin de peticiones ARP:
Muchas veces, al realizar el ataque3 (lo veremos ms adelante)
vemos que las peticiones ARP no arrancan, es decir, se quedan a 0.
Lo que tenemos que hacer entonces es generar peticiones ARP. Para
ello, primero ejecutaremos el ataque 3, como lo habramos hecho de
forma normal.
Cdigo:
aireplay-ng -3 -b 00:89:4F:D2:15:A3 -h 00:14:D8:7F:B1:96
eth1
Se nos abrira una ventana como esta:
Entonces lo que tendramos que hacer es provocar esa peticin ARP.
Para ello haramos un DoS en una consola a parte y esperaramos a que
se generase la primera peticin ARP. Una vez se hubiese generado la
primera, iramos a la consola que est realizando el ataque DoS y
pulsaramos Ctrl+C para pararlo. Ahora iramos a la consola que est
realizando el ataque 3 y veramos como las peticiones ARP estn
subiendo a toda leche ^^. La mayora de la gente no hace este ataque
as, si no que se dedica a poner un valor nmerico en el ataque de
deautenticacin, generando un as un nmero de paquetes de
deautenticacin directamente proporcional al estipulado. El contra
de esta tcnica es que muchas veces con unos pocos paquetes de
deautenticacin no conseguimos nada, lo que tenemos que hacer es
enviar unos cuantos hasta que veamos que obtenemos la primera
peticin ARP.
Gua completa Aircrack-ng parte 4
ATAQUE 1: AUTENTICACIN FALSA
A muchos de vosotros os habr pasado, o si no os ha pasado os
aseguro que os pasar, que queris crackear una red inalmbrica y no
hay clientes conectados. El hecho de que haya un cliente conectado
a la red objetivo facilita mucho, pero que mucho la tarea.
Desgracidamente, no siempre es as y para ello tenemos que hacer uso
de tretas y de nuestro ingenio (bueno, aqu el ingenio lo pone el
programa) para poder iniciar el ataque sin clientes asociados.
Aireplay-ng implementa un tipo de ataque llamado "Autenticacin
falsa" que como estaris suponiendo, nos viene de perlas en casos
como este. Lo que vamos a hacer por medio de este ataque es
hacernos pasar por un falso cliente. Para ello, es recomendable que
fakeemos nuestra MAC. Esto se puede hacer de varios modos.
Modo 1: Por medio del "macchanger" (interfaz):
MenWifislax--HerramientasWireless--macchanger
Modo 2: Por medio del "macchanger" (consola):
Cdigo:
macchanger -m 00:11:22:33:44:55 interfaz
Modo 3: Por medio de "ifconfig" (consola):
Cdigo:
ifconfig interfaz down
ifconfig interfaz hw ether 00:11:22:33:44:55
ifconfig interfaz up
Una vez hemos cambiado fakeado nuestra mac, procedemos a
autenticarnos como falso cliente. La sintaxis del comando ser la
siguiente:
Cdigo:
aireplay-ng -1 N -e "ESSID" -a XX:XX:XX:XX:XX:XX -h
FF:FF:FF:FF:FF:FF interfaz
Paso a explicar la sintaxis:
-1= Con esto indicamos que vamos a hacer el ataque 1 o
"Autenticacin falsa".N= Es un nmero. Con l indicamos el intervalo
de tiempo con el que queremos asociarnos a nuestro AP. Por ejemplo,
si queremos asociarnos cada 10 segundos, mandar un paquete de
asociacin falsa cada 10 segundos.-e= "ESSID": Aqu estamos indicando
el nombre del AP al que queremos asociarnos como falsos clientes,
eso s, las comillas NO se ponen!!!-a XX:XX:XX:XX:XX:XX= Aqu
indicaremos el BSSID, es decir, la MAC del AP.-h FF:FF:FF:FF:FF:FF=
Aqu indicamos al MAC fakeada por nosotros mismos. En nuestro caso
"00:11:22:33:44:55".interfaz= Vuestra interfaz
Gua completa Aircrack-ng parte 5
Vemoslo con un ejemplo:
ASPECTOS A TENER EN CUENTA:
1.-Este ataque no siempre es eficaz. Existen routers con los que
no funciona. De hecho hay routers que requieren autenticacin cada X
periodo de tiempo... el problema est en saber qu periodo de tiempo
es el que tienen configurado. Por normal general, son 30
segundos.
2.- Para que este ataque funcione hay que tener activo el
airodump-ng. Por qu? Pues porque como os dije, el airodump-ng es el
encargado de la captura de paquetes y para que este ataque se
inicie necesitaremos un Beacon. Qu es un Beacon? es un paquete
saludo que enva el AP para decirnos: "Eh! que estoy aqu!"
recordis?
3.- Tenemos que configurar la tarjeta para el mismo canal del
AP. Cmo? Pues no s si lo recordaris... con el airmon-ng!
Cdigo:
airmon-ng start interfaz canal (EJ: airmon-ng start wlan0 -c
3)
4.- Este ataque por si slo no consigue nada. Tenemos que
combinarlo con el ataque 3 o con el ataque 4, que los veremos en
seguida.
CAUSAS DE UN POSIBLE FRACASO:
1.- El router tiene filtrado de MACs.2.- Ests demasiado cerca o
demasiado lejos del AP.3.- Tu controlador no est correctamente
parcheado e instalado (con las live-cd's como Wifislax, Wifiway o
Backtrack no os pasar ya que traen los drivers instalados y
parcheados).4.- La tarjeta no est configurada en el mismo canal que
el AP.5.- Hemos introducido mal el BSSID o/y el ESSID.
ATAQUE 2: REENVO INTERACTIVO DE PAQUETES
Antes de empezar deciros que en este captulo, usaremos BackTrack
3. Os preguntaris, Por qu? Pues por dos razones:
1.- No est de ms conocer otras live-cd's. No os preocupis, el
procedimiento es el mismo.2.- Me he comprado tarjeta nueva y de
momento no puedo usar el wifislax con ella, as que usaremos
BackTrack 3.
Ahora al grano :P, este ataque puede resultarnos muy til.
Consiste en ponernos a la escucha, escoger un paquete y una vez
elegido, inyectarlo. Esto lo podremos hacer, o bien con el paquete
que hayamos capturado al estar a la escucha, o seleccionando uno
que hayamos conseguido previamente, que estar en formato *.cap.
Paso a explicar la sintaxis de este ataque:
Cdigo:
aireplay-ng -2 -r interfaz
-2= Indica que estamos realizando el ataque 2 "Reenvo
interactivo de paquetes".= Sirven para filtrar los paquetes que
vamos a recibir.= Sirven para configurar nuestra inyeccin.-r= Esto
es opcional. Se utiliza slo cuando queremos especificar un archivo
*.cap para leer los paquetes e inyectarlos.interfaz: Tu interfaz
wireless (eth1, ath0...).
1.- Usndolo para radiodifundir los paquetes del AP y generar
nuevos IV's (Vectores de Inicializacin)
Uno de los modos de usar este ataque es haciendo una difusin de
los paquetes del AP y as generar nuevos vectores de inicializacin.
Vale, tranquilos, imagino que muchos de vosotros no habris
entendido nada de lo que he dicho. No os preocupis, yo os lo
explico. Cuando hablamos de hacer una difusin, hablamos de hacer un
broadcast (difusin en ingls). Cmo, que estis en las mismas? pues no
os preocupis! Un broadcast, es un modo de transmision de informacin
en el que intervienen un nodo emisor y un nodo receptor. El nodo
emisor enva informacin a una multitud de nodos receptores de manera
simultnea sin necesidad de reproducir la misma transmisin nodo por
nodo. Las redes de rea local, se basan en el uso de un medio de
transmisin compartido y por eso mismo, se puede difundir cualquier
trama de datos a todas las estaciones que estn en el mismo segmento
de red. Sin embargo, para hacer esto posible, necesitaramos una
direccin MAC especial, una que englobara a todas las MAC's. Esta
mac es la FF:FF:FF:FF:FF:FF. Todos los nodos receptores y emisores
procesan las tramas con dicha direccin as que no os preocupis :P.
De hecho los routers, de vez en cuando, envan paquetes a la
direccin FF:FF:FF:FF:FF:FF (por ejemplo, los beacons). Veamos un
ejemplo de este ataque:
Cdigo:
aireplay-ng -2 -p 0841 -b XX:XX:XX:XX:XX:XX -c FF:FF:FF:FF:FF:FF
-h YY:YY:YY:YY:YY:YY interfaz
Paso a explicar el comando:
-2= Estamos indicando que vamos a realizar el ataque 2 (reenvo
interactivo de paquetes).-p 0841= Con esto estamos fijando el
"Frame Control" en el paquete. De esta manera, parecer que est
siendo enviado desde un cliente.-b XX:XX:XX:XX:XX:XX= Esta MAC
deber corresponder con el BSSID, es decir, la MAC del AP.-c
FF:FF:FF:FF:FF:FF= Esto lo hemos explicado antes. Es la MAC
especial. Con ella estamos especificando como MAC de destino
cualquiera. Gracias a ello, el AP responder con otro paquete y
generar un nuevo vector de inicializacin (IV).-h YY:YY:YY:YY:YY:YY=
Esta ser la MAC de nuestra tarjeta, es decir, la direccin fsica
desde la cual provienen los paquetes que vamos a reenviar.
Recomiendo fakearla.interfaz= Tu interfaz wifi.
Vamos a ver un ejemplo:
Hay que tener en cuenta, que cuanto mayor sea el paquete que
vamos a reenviar, mas lenta ser la inyeccin. Si queremos, tenemos
la opcin de establecer un filtro para el tamao del paquete. Esto
nos abre el camino al siguiente ataque.
2.- Reenvo de peticiones ARP con encriptacin WEP.
En este ataque, usaremos un filtro para indicar el tamao del
paquete que queremos inyectar. Como lo que queremos es inyectar
peticiones ARP, en el filtro tendremos que determinar un tamao
mnimo y un tamao mximo equivalente al de una peticin ARP. Las
peticiones ARP suelen tener un tamao de 68 bytes cuando es un
cliente wireless y 86 bytes cuando es un cliente cableado. Nosotros
por tanto usaremos un filtro en el que los paquetes no bajen de 68
bytes pero no superen los 86 bytes.
Cdigo:
aireplay-ng -2 -p 0841 -m 68 -n 86 -b XX:XX:XX:XX:XX:XX -c
FF:FF:FF:FF:FF:FF -h YY:YY:YY:YY:YY:YY interfaz
Procedo a explicar lo que hemos puesto:
-2= Con esto indicamos que vamos a hacer el ataque 2 (reenvo
interactivo de paquetes).-p 0841= Con esto estamos fijando el
"Frame Control" en el paquete. De esta manera, parecer que est
siendo enviado desde un cliente.-m 68= Indicamos la longitud mnima
del paquete.-n 86= Indicamos la longitud mxima del paquete-c
FF:FF:FF:FF:FF:FF fija la direccin MAC de destino como cualquiera
(broadcast). Esto se requiere para que el AP conteste al paquete y
as generar el nuevo IV.-b XX:XX:XX:XX:XX:XX= Esta MAC deber
corresponder con el BSSID, es decir, la MAC del AP.-h
YY:YY:YY:YY:YY:YY= Esta ser la MAC de nuestra tarjeta, es decir, la
direccin fsica desde la cual provienen los paquetes que vamos a
reenviar. Recomiendo fakearla.interfaz= Tu interfaz wifi.
Vemoslo en el siguiente ejemplo:
Nota: Si quisieramos enviar un paquete *.cap prviamente
guardado, lo haramos de la siguiente manera:
Cdigo:
aireplay-ng -2 -p 0841 -b XX:XX:XX:XX:XX:XX -c YY:YY:YY:YY:YY:YY
-r nombrearchivo.cap interfaz
Vemoslo en la siguiente imagen:
Si os fijis, el paquete que hemos seleccionado para enviar es el
mismo que hemos capturado en el primer ejemplo.
Gua completa Aircrack-ng parte 6
ATAQUE 3: REINYECCIN DE PETICIONES ARP
Este ataque es un clsico y sin lugar a dudas, es el modo ms
efectivo de generar nuevos vectores de inicializacin (IV's). El
ataque de reenvo de peticiones ARP, o ARP request, funciona ponindo
aireplay-ng a la escucha de un paquete ARP y envindolo de nuevo al
AP. Esto va a tener como consecuencia que el punto de acceso tenga
que volver a enviar un paquete ARP pero esta vez, con un vector de
inicializacin nuevo. Muchos diris: Y eso de que nos sirve? Pues ya
que estoy, voy a aprovechar para hablar un poco sobre los IV's
(vectores de inicializacin).
Las claves con cifrado WEP utilizan un algoritmo de encriptacin
llamado RC4 de 64 bits (bueno, eso inicialmente, ahora podemos
encontar de 128 y de 256). La forma en la que est compuestos estos
64 bits es la siguiente:
1.- 24 bits correspondientes a un vector de inicializacin
(IV)2.- 40 bits correspondientes a la contrasea.
El vector de inicializacin se genera de forma dinmica y vara
para cada trama. Lo que se pretende con los vectores de
inicializacin es cifrar los paquetes con claves diferentes para que
una tercera persona con malas intenciones (nosotros? no, solo
testeamos nuestra red wifi) no acabe deduciendo la clave. Con un
solo paquete, las posibilidades de hallar la clave, si mal no
recuerdo, son de 1/17.000.000. Eso supone aos y que el pc se te
estrope si te pasas de tiempo con el aircrack. Por esta misma
razn,cuantos ms IV's distintos, ms posibilidades tendremos de
desencriptar la clave! Os pongo un link en el que se habla bastante
ms sobre el CIFRADO WEP.
En cuanto al protocolo ARP, o Adress Resolution Protocol, debis
saber que es un protocolo que tiene como funcin localizar
direcciones MAC y hacer que stas correspondan con una direccin IP.
Las peticiones ARP,se enviarn a la direccin FF:FF:FF:FF:FF:FF,
recordis? esperando una respuesta con la direccin MAC que
corresponda. Bueno en este enlace os explicaN mucho mejor el
ARP.
Vamos a proceder ahora a explicar la sintaxis de este
ataque:
Cdigo:
aireplay-ng -3 -b XX:XX:XX:XX:XX:XX -h YY:YY:YY:YY:YY:YY
interfaz
De aqu:-3= Estamos diciendo a aireplay que vamos a comenzar el
ataque 3 (reenvo de peticiones ARP).-b XX:XX:XX:XX:XX:XX= Esto es
la direccin MAC del AP o BSSID.-h YY:YY:YY:YY:YY:YY= Esto es la
direccin MAC del cliente asociado al AP. Aqu podramos poner un
cliente real o un cliente falso (recordad el ataque -1).interfaz=
Es el nombre de tu interfaz wifi.
Con este ataque, del mismo modo que en el ataque -2 (reenvo de
paquetes interactivo) podemos seleccionar una ARP anteriormente
guardada. Lo haramos de la siguiente manera:
Cdigo:
aireplay-ng -2 -r nombredearchivo.cap -a XX:XX:XX:XX:XX:XX -h
00:11:22:33:44:55 interfaz
Traduciendo:
-2= significa que estamos haciendo el ataque -2 (reenvo
interactivo de paquetes)-a= BSSID-h= Nuestra MAC (fakeada a poder
ser)-r nombredelarchivo.cap= Con esto indicamos el nombre del
paquete ARP a enviar.interfaz= Tu interfaz wifi.
Como ya he dicho antes, este ataque puede ser usado de 3
maneras:
1.- Con cliente asociado:
Lo que haremos aqu ser, utilizar un cliente que est conectado al
AP y captar una peticin ARP para despus reenviarla. Sin duda, de
los tres, es el ms efectivo. Esto lo haramos as:
Cdigo:
aireplay-ng -3 -b XX:XX:XX:XX:XX:XX -h YY:YY:YY:YY:YY:YY
interfaz
As el sistema responder con:
Cdigo:
Saving ARP requests in archivo.cap
You should also start airodump-ng to capture replies.
Read 42 packets (got 0 ARP requests), sent 0 packets...
No olvidis que si no os captura ninguna ARP, podis tirar de un
ataque DoS para as desautenticar al cliente asociado y que vuelva a
haber una peticin ARP.
2.- Con cliente falso asociado:
Aqu vamos a conjugar dos ataques, el -3 para capturar la peticin
ARP y el -1 para crear un cliente falso (no olvidis fakear la MAC).
El ataque sera el siguiente:
Por un lado escribiramos en una consola el siguiente
comando:
Cdigo:
aireplay-ng -3 -b XX:XX:XX:XX:XX:XX -h YY:YY:YY:YY:YY:YY
interfaz
Donde YY:YY:YY:YY:YY:YY sera nuestra MAC fakeada
(00:11:22:33:44:55).
Por otro lado escribiramos:
Cdigo:
aireplay-ng -1 N -e ESSID -a XX:XX:XX:XX:XX:XX -h
YY:YY:YY:YY:YY:YY interfaz
Donde YY:YY:YY:YY:YY:YY tambin sera nuestra MAC fakeada.
Veramos algo as:
3.- Utilizando una peticin ARP previamente guardada:
Aqu usaremos el ataque -2:
Cdigo:
aireplay-ng -2 -r nombredearchivo.cap -a XX:XX:XX:XX:XX:XX -h
00:11:22:33:44:55 interfaz
Veamos la siguiente imagen:
Esto ya lo explicamos anteriormente as que no vuelvo a sacar el
tema jeje
Gua completa Aircrack-ng parte 7
ATAQUE 4: CHOPCHOP DE KOREK (PASO A PASO)
El ataque chopchop de Korek es capaz de desencriptar un solo
paquete de datos WEP, ya sea de clave esttica o dinmica, revelando
el texto plano. No hay muchos tutoriales en la red que expliquen
este ataque y los que hay no lo explican muy bien. Por esa razn he
decidido dedicar su tiempo a realizar esta gua de como y cuando
utilizar un ataque chopchop, explicndolo todo pasito a pasito;-)
eso s, no os preocupis si os perdis un poco en este tema ya que es
algo ms complejo que los anteriores. Bueno vamos a empezar con un
ejemplo prctico para comprenderlo mejor.
Lo primero que tenemos que hacer es poner en modo monitor
nuestra tarjeta y fakearla. Yo lo voy a hacer con una chipset
atheros por lo que el procedimiento ser el siguiente:
Cdigo:
airmon-ng stop ath0
macchanger -m 00:11:22:33:44:55 wifi0
airmon-ng start wifi0
Una imagen para que lo veais bien pinchar el enlace:
http://i35.servimg.com/u/f35/11/75/25/89/chop110.png
Iniciamos airodump-ng (primero sin opcioens de filtro y luego
as):
Cdigo:
airodump-ng --channel N --w pruebaIH interfaz
Digo que lo iniciemos primero sin opciones de filtro, para poder
as ver en que canal est nuestro AP y una vez sabido escribir en un
archivo llamado infiernohacker-01.cap los paquetes obtenidos.
En una situacin normal, nosotros podramos tener dos
posibilidades:
1.- Que tuvieramos un cliente conectado al AP.2.- Que NO
tuvieramos ningn cliente conectado al AP. En este caso tendramos
que hacer un ataque -1 (autenticacin falsa) para poder sacar la
clave.
Bien pues en mi caso si que haba un cliente asociado pero tambin
explicar lo que habra que hacer si no hubiese ninguno. Seguimos con
lo nuestro, una vez iniciado el airodump-ng, realizamos el ataque
-3 para estar a la escucha de peticiones ARP. Nos autenticaremos
posteriormente de forma falsa en caso de que no haya clientes con
el ataque -1 (en caso de haberlos no hace falta hacerlo y
sustituiremos en el comando la direccin fakeada por la del cliente
asociado). Antes de hacer este ataque, tendremos que haber fakeado
nuestra MAC! Como nosotros ya la hemos fakeado, haremos el ataque
-3 y nos pondremos a la escucha de peticiones ARP:
Cdigo:
aireplay-ng -3 -b XX:XX:XX:XX:XX:XX -h 00:11:22:33:44:55
interfaz
Una vez iniciado el aireplay-ng -3, procedemos a autenticarnos
con el ataque -1 (autenticacin falsa) en el susodicho caso de que
no tuvieramos clientes conectados.
Cdigo:
aireplay-ng -1 30 -e BSSID -a XX:XX:XX:XX:XX:XX -h
00:11:22:33:44:55 interfaz
Ya vimos anteriormente lo que significaba cada una de las partes
de este comando.
En un ataque exitoso, capturaramos un paquete con una peticin
ARP y la reinyectaramos con el ataque -3. Sin embargo esto no
siempre es as. Recordis que os dije que cuando tenemos un cliente
asociado y no obtenemos una ARP request, lo que tenemos que hacer
es atacar con un DoS al cliente para forzar la peticin ARP? Pues
esto no es aplicable a una asociacin falsa, por lo tanto este es un
momento idneo para poner en prctica el ataque chopchop. Yo en este
ejemplo, no he hecho una autenticacin falsa debido a que tena un
cliente conectado ya que de esta forma es ms fcil capturar
paquetes. Recordad que estos paquetes se estarn guardando en el
archivo infiernohacker-01.cap. Ahora lo que tenemos que hacer es
realizar el ataque -4 para desencriptar el paquete y poder generar
nuestra propia peticin ARP que reinyectaremos ms adelante. Para
ello utilizaremos el siguiente cdigo:
Cdigo:
aireplay-ng -4 -h 00:11:22:33:44:55 -r archivoguardado.cap
interfaz
Paso a explicar el comando:
-4= Significa que vamos a realizar el ataque 4 (Chopchop de
Korek).-h 00:11:22:33:44:55= Estemos indicando cual es la direccin
fsica del cliente conectado. Ya sabis, si no haba cliente asociado
usis la vuestra (fakeada) y si lo haba pues la del cliente. Esto se
debe a que los AP's no aceptan paquetes de datos que provengan de
MAC's "desconocidas".-r archivoguardo.cap= Aqu estamos indicando
que vamos a mandarle uno de los paquetes que hayamos capturado y
guardado en el archivo *.cap. En nuestro caso
pruebaIH-01.capinterfaz= Tu interfaz wifi.
Esto lanzar el ataque:
Al cabo de un rato, habr desencriptado el paquete y nos mostrar
lo siguiente: (...)
Gua completa Aircrack-ng parte 8
Al cabo de un rato, habr desencriptado el paquete y nos mostrar
lo siguiente:
Si os fijis, una vez ha terminado el proceso, nos guarda en un
archivo *.cap (el texto plano) y en un archivo *.xor (el
keystream). Bueno pues ahora lo que vamos a hacer es usar el
packetforge-ng que sirve para crear paquetes. Sin embargo,
necesitamos saber para ello la direccin privada del cliente
conectado y para ello vamos a hacer uso del tcpdump. Para los que
no sepis lo que es, tcpdump, es una herramienta que esta presente
en todas las distros GNU/linux y tambin en Mac OS y que sirve para
analizar el trfico que circula por la red haciendo uso de la
librera libpcap para capturar los paquetes. En Windows existe
WinDump que utiliza la librera Winpcap. El comando a ejecutar sera
el siguiente:
Cdigo:
tcpdump -s 0 -n -e -r archivochop.cap
Esto nos dar la direccin IP del cliente conectado, justo lo que
necesitbamos para elaborar nuestra propia peticin ARP ;-). Usaremos
entonces el packetforge-ng para "forjar" nuestra propia ARP
request]:
Cdigo:
packetforge-ng -0 -a XX:XX:XX:XX:XX:XX -h YY:YY:YY:YY:YY:YY -k
IPdestino -l IPorigen arp.cap -y archivochop.xor -w
arptuneada.cap
De aqu:
archivo.xor= Es uno de los dos archivos que nos dar el ataque -4
(el otro es el archivochop.cap) y que contendr el Keystream.-0=
Indicamosque vamos a forjar un paquete ARP.-a XX:XX:XX:XX:XX:XX=
BSSID-h YY:YY:YY:YY:YY:YY= MAC del cliente asociado.-k IPdestino=
Es la IP del router.-l IPorigen= Es la IP del cliente conectado
(previamente sacada con el tcpdump).-y archivochop.xor= Este es el
paquete que hemos obtenido con el ataque chopchop.-w arptuneada=
Aqu vamos a poner un nombre a nuestro nuevo paquete. Yo le he
llamado arptuneada pero si queris vosotros podis llamarle Rosa
Bien, YA TENEMOS NUESTRA PROPIA PETICIN ARP!!. Lo que tenemos
que hacer ahora es enviar el paquete a nuestro AP. Cmo? Venga haz
memoria! con el ataque 2 (reenvo de paquetes interactivo).
Cdigo:
aireplay-ng -2 -r arptuneada.cap interfaz
Gua completa Aircrack-ng parte 9
ATAQUE 5: FRAGMENTACIN
El ataque de Fragmentacin consiste en capturar un PRGA, para
despus mediante el paquetforge-ng, "forjar" paquetes que enviaremos
a nuestra victima. Lo primero de todo, Qu es el PRGA? Son las
siglas de Pseudo Random Generation Algorithm y se utiliza en las
redes wifi para aumentar la seguridad. El PRGA es una parte de un
paquete que est formada por texto plano y texto cifrado. El
procedimiento de este ataque es bastante parecido al Chopchop de
Korek as que lo explicar ms por encima, indicandoos por supuesto
los pasos en comn con el ataque visto anteriormente.
Para empezar, deciros que este ataque slo funciona con cifrado
WEP y por lo que he leido en varios papers en ingls, los routers
que se resisten a los ataques Chopchop de Korek son ms vulnerables
ante los ataques de Fragmentacin. Lo primero que haremos ser poner
nuestra tarjeta en modo monitor:
Cdigo:
airmon-ng start interfaz
No creo que haga falta explicar este comando de nuevo. Despus,
iniciamos airodump-ng para capturar paquetes:
Cdigo:
airodump-ng --channel --w prueba ath0
Bien, llegados a este punto, necesitamos un cliente conectado.
Ya sabis, si tenis alguien conectado, genial, si no, hacis una
autenticacin falsa (-1) y ya est. Una vez nos hemos autenticado de
forma falsa o no lo hemos hecho porque ya tenamos un cliente
conectado, procedemos a hacer el ataque de Fragmentacin:
[aireplay-ng -5 -b XX:XX:XX:XX:XX:XX -h YY:YY:YY:YY:YY:YY
interfaz]
Explico el comando:
-5= Especificamos a aireplay-ng que vamos a realizar el ataque
5.-b XX:XX:XX:XX:XX:XX= Es el BSSID del AP.-h YY:YY:YY:YY:YY:YY= Es
la direccin MAC del cliente conectado.interfaz= Tu interfaz
wifi.
El ataque empezar a leer paquetes y seleccionar uno que ser
fragmentado y mandado al AP. Si el AP responde, el ataque habr sido
exitoso y se irn obteniendo bits hasta obtener los 1500 bits de un
PRGA. Una vez obtenidos los 1500 bits, el programa nos informar de
que ya tenemos nuestro xor y podremos empezar a forjar nuestros
paquetes con el packetforge-ng. Este ataque no tiene xito siempre,
de hecho no he conseguido que me saliera en toda la tarde pero an
as, os pongo una captura de pantalla (propia) y el mensaje que nos
tendra que salir al conseguir los 1500 bits del keystream.
Cdigo:
Saving chosen packet in replay_src-0124-161120.cap
Data packet found!
Sending fragmented packet
Got RELAYED packet!!
Thats our ARP packet!
Trying to get 384 bytes of a keystream
Got RELAYED packet!!
Thats our ARP packet!
Trying to get 1500 bytes of a keystream
Got RELAYED packet!!
Thats our ARP packet!
Saving keystream in fragment-0124-161129.xor
Now you can build a packet with packetforge-ng out of that 1500
bytes keystream
Una vez hemos conseguido nuestro xor, con el paquetforge-ng
realizamos una peticin ARP y la reinyectamos con el ataque -2 tal y
como hizimos con el ataque Chopchop