Hack una Wifi desde Windows

Todos sabemos que el mejor sistema operativo para poder realizar cualquier tipo de auditorias es Linux y actualmente nos es fcil encontrar en la red muchas de estas distribuciones orientadas a la auditoria wireless, as tenemos a la mas vieja y potente, Backtrack y posteriormente al WifiSlax cuya comunidad va en aumento y tambin sus herramientas. En esta oportunidad nos centraremos en todos los tipos de ataques que existen y que podemos realizar desde Windows ya que es el Sistema Operativo ms Usado pero no el mejor para este tipo de aventuras, posteriormente os iremos mostrando las formas ms eficientes y efectivas de romper la seguridad de una Wifi desde Linux y adems de ser mucho mas fcil solo con el conocimiento de algunos comandos, pues bien manos a la obra y primeramente tienes que relacionarte con lo que te voy a presentar a continuacin.

ndice Temas
1.- Antecedentes 2.- Cuantos tipo de inyeccin conocidas existen en Linux? 2.1.- Ataque 0: desautentificacin de clientes 2.2.- Ataque 1: falsa autentificacin 2.3.- Ataque 2: Reenvo interactivo de paquetes 2.4.- Ataque 3: Reinyeccin de trafico 2.5.- Ataque 4: El "chopchop" de KoreK (prediccin de CRC) 3.- Que tipos de inyeccin podemos efectuar en Windows? 3.1.- Desautentificacin de clientes 3.2.- Falsa autentificacin 3.3.- Reinyeccin de trafico en windows 4.- Inyectando trafico con CommView 5.2 4.1.- Recordatorio de los "Alias" 4.2.- Como efectuar un Ataque 0 o desauntetificacin de clientes? 4.3.- Obtencin del handshake sobre encriptacin WPA-PSK 4.4.- Descubrir el ESSID oculto de una conexin wireless 4.5.- Conseguir una falsa autentificacin en windows para redes Wireless sin clientes 4.6.- Reinyeccin de trafico en Windows

Pg.
3 4 4 4 4 5 5 5 5 5 5 6 7 10 17 22 27 27

1.- Antecedentes
Todos sabemos que significa el trmino de inyeccin de trfico en las redes inalmbricas, sino es as, has hecho mal en empezar a entenderlo leyendo este manual. Aunque comentare a nivel de recordatorio en cada apartado unos conceptos mnimos a modo de resumen. La inyeccin de trafico, sus razones y sus motivos estn mas que explicado en la Biblia de seguridad, pero nunca se pudo hacer en Windows de forma correcta, solo en Linux. Pero este hecho ha cambiado drsticamente, y supone un cambio bastante a tener en cuenta en la auditoria wireless. ltimamente han salido muchos live CD que recopilan multitud de herramientas para la auditoria, pues bien los desarrolladores de software para entornos Windows (un gigante que camina con pasos muy pesados) han visto la necesidad de desarrollar nuevas herramientas para tales propsitos, aun as considero al entorno Linux el mejor sistema para la auditoria wireless, pero nunca nos debemos a cerrar a nada, comentaremos en este manual la forma de inyectar trafico de forma correcta en una plataforma Windows. Todava no se ha conseguido la eficacia del sistema Linux y difcilmente se conseguir debido a la multitud de programadores libres que trabajan en GNU/Linux, pero podemos decir que los primeros pasos se han dado satisfactoriamente, y en este manual, nico en lenguaje castellano podremos aprender la inyeccin de trfico en Windows. Para realizar nuestros propsitos, nos basaremos en una aplicacin comercial que corresponde al CommView para wifi 5.2. Ya hemos comentado en el Manual bsico de funcionamiento (el cual deberas leer antes que este) que es una aplicacin comercial de pago, pero existe una versin comercial con algunas limitaciones, pero aun as dicha versin de evaluacin es suficiente para la inyeccin de trafico en Windows. De hecho este manual ha sido realizado en su totalidad con dicha versin de evaluacin. Por lo tanto, antes de seguir leyendo y aventurarse en la inyeccin de trfico en Windows, no os aconsejo, sino os obligo a que leis el manual de trabajo y de configuracin de este programa, ya que en esta gua solo explicaremos el apartado correspondiente a la inyeccin de trfico en Windows. As pues, os remito al manual que encontrareis en este mismo portal denominado Modo monitor para las nuevas atheros en Windows. Para que podis entender como funciona, que tarjetas son compatibles y como debe de ser configurado y actuado para poder capturar trafico (modo monitor) previo paso al anlisis de la inyeccin de trafico. No tengis prisa por entenderlo a la primera vez, entiendo vuestras inquietudes pero seguid los pasos indicados de forma correcta y finalmente obtendris unos resultados muy buenos y no solo eso sino que tambin tendris un conocimiento nico de como funcionan las conexiones wireless al tener acceso a informacin "casi" a nivel de cdigo maquina. Es importante remarcar que solamente es necesario una tarjeta wireless para hacer todo el trabajo de ataque y por supuesto una tarjeta para hacer el trabajo de "conejillo de indias". Para el ataque solo hace falta una porque se puede capturar e inyectar a la vez, es mas, la propia aplicacin obliga a que nuestra tarjeta este capturando trafico para poder inyectar, si lo se, es un concepto nuevo al que no estamos acostumbrados todava, ya que anteriormente era al revs, es decir, estbamos deseosos que nuestras tarjetas pudieran inyectar a la vez que capturar cuando los primeros drivers de Linux no lo permitan. Aun as el control de la inyeccin no ser total para todas las tarjetas, sino para determinadas en especial, pero esta claro que si pasan el test de la aplicacin que comento en el manual bsico, podrn seguramente capturar e inyectar a la vez. Estas sern la nicas pruebas de autodiagnstico que podremos realizar, previo paso de efectuar el trabajo sobre campo directo. Es en este punto, donde Linux es mejor que Windows, ya que permite la inyeccin con un nmero mucho mas elevado de tarjetas y de chipset, por ejemplo las ralink, las prism y las realtek. Esperemos que los desarrolladores de de software tomen nota y avances sus investigaciones en la creacin de nuevos drivers. De hecho estoy por probar

nuevas aplicaciones para las ralink, y nunca se sabe............... Si habis llegado hasta aqu, se debe suponer que habis entendido perfectamente el manual de Modo monitor para las nuevas atheros en Windows donde se explican los conceptos bsicos del CommView 5.2 para wifi en sistemas Windows, y por lo tanto ya estamos preparados para inyectar trafico en Windows. Las pruebas han sido efectuadas con mis propios equipos y en ningn momento mis ataques han afectado a redes de terceros que no sean las mas propias, si bien deseis un conocimiento mayor sobre la auditoria wireless, lo ideal es trabajar con 3 tarjetas mas un punto de acceso. Resumiendo; una tarjeta para usar con esta aplicacin, una tarjeta par a conexin normal al punto de acceso al cual ser atacada mediante diferente formas y ser usada como conejillo de indias, y una tercera tarjeta para usarla con un sniffer diferente ya testeado hasta a la saciedad, por ejemplo el airodump o el winairodump y comparar resultados. De hecho esto no es necesario, ya que la misma aplicacin permite ver si la inyeccin es correcta o no. Pero como siempre es necesario en los primeros pasos de una demostracin de algo nuevo, confirmar los resultados mediante aplicaciones alternativas que ya sabemos que funcionan bien. Y adems he usado un cuarto elemento para la comprobacin de la inyeccin y es mi famoso vigila bebe para nios que trabaja en un rango de frecuencias exactamente al mismo que la banda de frecuencias para el estndar 802.11b/g que es el habitual en las redes wireless (2.4GHz). El uso indebido de este manual no es responsabilidad ma, mi intencin solo es demostrar los inseguras que son las redes wireless, y la forma con que manejis esta informacin ser solo responsabilidad vuestra, mi inters radica exclusivamente en dejar de usar la encriptacin WEP y usar siempre WPA. Aunque tambin veremos que la inyeccin tambin permite vulnerar las redes WPA, salvo que mediante contramedidas estas si pueden ser consideras como muy seguras. Y la nica contramedida posible es configurarlas con una contrasea con simbologa fuera de lo normal, siempre que sea posible y de longitud adecuada (Seguridad WPA). Con todo lo dicho, no pretendo dejar de lado el sistema Linux que tan buenos resultados nos dio, ni mucho menos seores, solo pretendemos aumentar posibilidades para todos, los que habitualmente trabajis con Linux seguir hacindolo pero los recin llegado, podis tener mas abanico de posibilidades. Quienes quieran reprocharme que me he olvidado de Linux y estoy a favor mayormente de Windows, les responder diciendo que no se no olviden quienes fueron los impulsores en el foro wireless para actuar de forma correcta en la auditoria wireless con sistemas GNU/Linux.

2.- Cuantos tipo de inyeccin conocidas existen en Linux?

Si echamos un vistazo a la Biblia de seguridad veremos cuatro tipos de inyeccin en Linux, que normalmente denominamos como ataques. 2.1.- Ataque 0: desautentificacin de clientes Este ataque es probablemente el ms til para recuperar un ESSID oculto (no difundido) y para capturar "saludos" WPA forzando a los clientes a reautentificarse. Tambin puede ser usado para generar peticiones ARP en tanto que los clientes Windows a veces vacan su cache de ARP cuando son desconectados. Desde luego, este ataque es totalmente inservible si no hay clientes asociados. Normalmente es ms efectivo fijar como blanco una estacin especfica. Aunque podemos realizar una denegacin de servicio masiva con una tarjeta. 2.2.- Ataque 1: falsa autentificacin Este ataque es particularmente til cuando no hay clientes asociados: creamos la direccin MAC de un cliente falso, la cual quedar registrada en la tabla de asociacin del AP. Esta direccin ser usada para los ataques 3 (reinyeccin de peticiones ARP) y 4 (desencriptacin WEP "chopchop"). Es mejor preparar la tarjeta de ataque con la misma MAC que el cliente falso de esta forma el controlador puede envar ACKs de forma mas adecuada. 2.3.- Ataque 2: Reenvo interactivo de paquetes

Este ataque te permite elegir un paquete dado para reenviarlo; a veces proporciona resultados ms efectivos que el ataque 3 (reinyeccin automtica de ARP). Podras usarlo, por ejemplo, para intentar el ataque "redifundir cualesquiera datos", el cul slo funciona si el AP realmente reencripta los paquetes de datos WEP. 2.4.- Ataque 3: Reinyeccin de trafico Es el clsico ataque de reinyeccin de peticin ARP es el mas efectivo para generar nuevos IVs, y funciona de forma muy eficaz. Puede que tengas que esperar un par de minutos, o incluso ms, hasta que aparezca una peticin ARP; este ataque fallar si no hay trfico. 2.5.- Ataque 4: El "chopchop" de KoreK (prediccin de CRC) Este ataque, cuando es exitoso, puede desencriptar un paquete de datos WEP sin conocer la clave. Incluso puede funcionar con WEP dinmica. Este ataque no recupera la clave WEP en s misma, sino que revela meramente el texto plano. De cualquier modo, la mayora de los puntos de acceso no son en absoluto vulnerables. Algunos pueden en principio parecer vulnerables pero en realidad tiran los paquetes menores de 60 bytes. Este ataque necesita al menos un paquete de datos WEP. Si queris entender como funciona en Linux mantente al tanto de la prxima publicacin

3.- Que tipos de inyeccin podemos efectuar en Windows con el CommView 5.2 para wifi?
3.1.- Desautentificacin de clientes Es el denominado ataque 0 o desauntetificacin de clientes, valido para redes wireless tanto con seguridad WEP como WPA. La recuperacin de clave WPA requiere el uso de ficheros o diccionarios auxiliares. Se puede incluso realizar una peticin de denegacin masiva, deshabilitando a todos los clientes o una en particular, y dejar fuera de servicio el nodo wireless al completo el tiempo que se quiera. Esto es muy peligroso, y recordad de no hacerlo nunca en ninguna instalacin que no sea la vuestra. Es valido para generar peticin de ARP encriptado y poder efectuar posteriormente la reinyeccin de trafico. Tambin permite localizar los nombres de redes (ESSID) ocultos, ya que este nombre si se emite de forma transparente en el inicio de la conversacin entre punto de acceso y cliente, luego veremos como hacerlo 3.2.- Falsa autentificacin Respecto al ataque 1, (falsa autentificacin), mis resultados en Windows no han sido positivos, consigo editar un paquete para realizar un forzado de cliente, lo puedo enviar pero mi punto de acceso me lo rechaza constantemente. Podramos pensar que es algo normal, pero mi router es el Zyxel de Telefonica, y es el router que mayor nmero de ataques suele aceptar, como en Linux me funciona a la primera, puedo determinar que mis resultados no han sido concluyentes, y no cirate en ningn momento la forma de efectuarlo hasta que no lo consiga. Llegados a este punto es hora de especificar la forma terica de como se reinyecta trafico en Windows. 3.3.- Reinyeccin de trfico en windows Es puramente la reinyeccin de trfico o reinyeccin de peticin de ARP, y su finalidad es aumentar la velocidad de la captura de datos para no sufrir el agotamiento mental de horas largas de captura. Esta claro que solo es posible hacerlo con clientes, en caso contrario esta por ver, pero......... podemos servirnos del ataque 1, generando as un cliente ficticio y posteriormente reinyectar con los datos obtenidos del cliente falso. Pero como vuelvo a repetir, esto esta todava por ver..............

En Windows y mediante esta aplicacin no tiene sentido hablar de ataques 2 y 3 ya que se indexan conjuntamente. Es un concepto totalmente nuevo donde se pueden unificar ambas formas de hacerlo, recordad que en el ataque 3 era la propia aplicacin que interpretaba si la peticin de ARP encriptado era correcto o no, lo intua, en Windows es algo similar pero tu decides que paquete se debe de mandar, y esto es mas parecido al ataque 2. Pero la base terica es la misma que el ataque 3, es decir capturamos una peticin de ARP encriptado del cliente hacia su punto de acceso, y luego se lo reenviamos constantemente al punto de acceso, generando nuevas respuesta ARP desde el punto de acceso, y con IV nicos y validos. Si la red a analizar ya tiene un cliente y el trafico es elevado, con la simple captura en modo monitor, ser mas que suficiente, pero este proceso de reinyeccin puede ser tan efectivo, que pueden tomarse datos suficientes en 10 minutos para una red de poco trafico o incluso muchos menos tiempo si la misma tiene un trafico considerable. Pero ser nuestra tarjeta capaz de soportar tantas lecturas seguidas?, eso solo lo veris al probarlo, pero yo dira que quizs si, pero podr soportarlo nuestro ordenador o mejor aun, podr soprtalo esta aplicacin aunque se trabaje con buffer, yo tengo aun algunas dudas. Es importante sealar que ciertos puntos de acceso se saturan con mucha reinyeccin de trafico, es mas incluso se resetean, esto le pasa habitualmente a mi punto de acceso integrado en mi router. La velocidad mxima de inyeccin en Linux corresponde a 1024 paquetes por segundo. Este ataque es muy efectivo en Windows. No es exactamente igual al ataque 3 y 2 en Linux sino que mantiene algunas caractersticas de ambos (ya lo he repetido anteriormente). Posteriormente veremos como realizarlo. Digo no exactas ya que se permite adems, un numero de paquetes mucho mayor, hasta 2000 por segundo, eso esta por ver! Lo que si es cierto es que realmente puede frerle los sesos a cualquier punto de acceso. Respecto al tema de inyectar un archivo lo mismo ya que se pueden grabar los paquetes que queramos y que se han ptimos para conseguir la reinyeccin de trfico La reinyeccin de trafico puede realizarse de varias formas, o bien observamos el trafico en la pantalla de paquetes, hasta observar cuales son las peticiones de ARP encriptados, (yo ya me lo conozco de memoria), o podemos efectuar un ataque 0, y esperar a la peticin de ARP y aplicando una serie de reglas de filtrado. Al igual que Linux se puede reutilizar una peticin ARP, de hecho siempre funciona as debido a que los paquetes se graban en el buffer de datos y luego se inyectan, pero dichos paquetes tambin se pueden guardar en un fichero particular y volver a usar cuando se requiera. De esta manera al ser una versin de evaluacin y tener ciertas limitaciones del numero de capturas, podemos estar seguro que los 5000 datos son IVs nicos y validos, eso si tendrs que realizar varias capturas durante el da. Mediante el CommView podemos conseguir un nivel de trfico mas alto enviando paquetes de ARP cifrados, el punto de Acceso responder con paquetes de respuesta ARP, generando as trfico adicional. Mientras que el ARP original es siempre el mismo y no ayuda de forma directa a obtener una nueva inicializacin del vector IV ya que tienen el mismo contenido los paquetes de respuesta ARP si sern diferentes unos de otros y por lo tanto se usaran para la recuperacin de claves WEP. Es decir si captamos una peticin de ARP y la enviamos al punto de acceso, este responder con paquetes de respuesta ARP donde aparecern nuevos IV validos, uno por cada peticin por lo tanto podemos obtener hasta 2000 IVs por segundo, siempre que luego la tarjeta pueda leerlos tan rpidamente y que nuestra versin de evaluacin lo permita. Y que el punto de acceso no se desintegre. En sistemas de encriptacin WPA no tiene sentido hablar de reinyeccin de trafico, esta no vale para nada, solo ser efectivo el ataque 0, localizando as el famoso "handshake" que tiene lugar en el inicio se sesin cuando se intercambian las claves.

4.- Inyectando trafico con CommView 5.2

Antes de empezar os comentare que no aparece ninguna MAC real visible ya que las he

convertidas todas en Alias, por ejemplo para mi punto de acceso la he definido como "MIap" y la tarjeta cliente como "mi54g", es mas cmodo trabajar de esa forma, y el programa se encarga de interpretar y de pasar los alias a direcciones MAC en hexadecimal, esto esta explicado en el manual base, que se supone ya os habis ledo. Si las nombrare cuando miremos como se generan ciertos paquetes de envi y las reglas de captura, solo que no sern reales. Trabajaremos en el canal 1 y el nombre de red wireless (ESSID- esta aplicacin lo denomina con su forma genrica - SSID-, pero nosotros les seguiremos llamando como siempre) corresponde como siempre a: "Polica", en todo momento el punto de acceso del router esta configurado de forma que el essid este oculto. Quizs sea necesario recordad en estos momentos como se creaban los "Alias" por si no habis ledo el manual sobre Modo monitor para las nuevas atheros en Windows. Lgicamente el tipo de encriptacin depender del ataque que estemos realizando en cada momento. Si es pura reinyeccin de trafico solo ser para encriptacin WEP, si hablamos de desautentificacin o bien podemos tener WPA o WEP, pero si mencionamos la desautentificacin solo para recuperar el handshake, lgicamente estamos hablando de encriptacin WPA. 4.1.- Recordatorio de los "Alias" Si seleccionis un punto de acceso o estacin, y pulsis el botn secundario del ratn, os saldr un men contextual, entre otra cosas permite crear "Alias", los alias son etiquetas que se dan a las direcciones MAC que estn en hexadecimal, para recordarlas mejor. Tambin es interesante ver como media palabra de la direccin MAC, es decir las 3 primeras no salen en hexadecimal sino que sale el nombre del fabricante, todo esto es configurable y editable a travs de mens. La informacin es variada. Podemos ver valores mximos, mnimos, y la medida instantnea de cualquier punto de acceso o de una estacin, los mismo para la velocidad de conexin. Esto es muy til ya que podemos determinar de que estndar son. Y me sirvi mucho de ayuda para comprobar el tema de la inyeccin de trafico con mis equipos, ya que comparaba los resultados con este aplicacin con otro sniffer, pero para eso otro sniffer solo tenia una tarjeta que capturaba trafico en el estndar 802.11b, pues bien mediante esta pantalla como sistema de monitorizacin iba separando los equipos de forma que la cobertura no fuese mala y la velocidad de comunicacin se mantuviera por debajo de los 11Mbs, mi punto de acceso es de modo compartido. Los puntos de acceso se muestran como AP y las estaciones o clientes se muestran como STA. Si queremos saber si una estacin cliente esta autentificado o intenta asociarse a un punto de acceso, podemos verlo fcilmente en la ventana de paquetes. Los nodos wireless se muestran como ADHOC. Tenemos la opcin de crear "Alias" esto es muy til ya que evitamos trabajar con valores hexadecimales. Lo vemos de manera rpida ya que es muy sencillo.

Paso 1.

Paso2.

Paso3.

Cuando se inicie la exploracin o las capturas ya aparecern los "Nodos" con sus "Alias". Y va perfecto sobre todo a la hora de analizar los paquetes.

En este caso mi propio nodo tiene el nombre de red (ESSID) de forma oculta. Para que aparezcan las redes inalmbricas en la pantalla de "Nodos" recordad de usar el

10

botn "Iniciar Exploracin". Y la aplicacin este configurada de esa forma. Durante la captura, tambin pueden ser visibles los nodos, si lo hemos configurado al respecto.

4.2.- Como efectuar un Ataque 0 o desauntetificacin de clientes? En primer lugar ponemos la aplicacin a capturar datos, botn "Play" Mediante la barra de mens del programa nos dirigimos hasta "Reasociacin de nodo".

11

Esta incluido en <Herramientas> y de la lista seleccionamos "Reasociacin de modo". La pantalla que mostrara la aplicacin ser la siguiente:

Si hemos dedicado un poco de tiempo a crear alias a partir de los datos obtenidos en la ventana de "Nodos", en la lista que hay debajo de la etiqueta: "Enviar una solicitud de desautorizacin desde esta AP:" tendremos definidas todos los que hemos creado, pero siempre que en ese momentos estemos en proceso de captura y sean detectadas por la aplicacin, es decir, estemos por as decirlo online. Pero no asocia las estaciones a los puntos de acceso, solo te muestra lo que en ese momento esta detectando, todos los AP y las STA del canal de captura elegido. Por lo tanto solo permitir hacer ataques a los nodos visibles en ese momento, pero podemos cometer el error de mandar una desautentificacin incorrecta, por que el cliente elegido puede no estar asociado al nodo principal que hemos escogido. Lo nico que puede pasar es: nada. En mi caso selecciono "MIap", y en la ventana de "Direcciones de Clientes" selecciono "mi54g". Estos alias se crearon en la ventana de "Nodos" donde se definan los puntos de acceso como "AP" y los clientes como "STA". Vemos el canal actual, que esta seleccionado y capturando. Definimos el numero de paquetes a enviar y el intervalo entre cada paquete. Decir que, un solo envi de paquetes puede ser ms que suficiente. Tambin podemos definir si queremos realizar una denegacin de servicios masiva a todos los clientes mediante seleccin de "Enviar a todos los clientes" o bien fijar la casilla "Enviar a clientes seleccionados", en ese caso marcaremos a los clientes que queremos desauntentificar, en este caso fijare mi cliente nico, que como ya dije es "mi54g". Para realizar una desauntetificacin completa, agresiva y total, podemos marcar "Enviar a todos los clientes", definir el nmero de paquetes a enviar y aumentar el intervalo en milisegundos. Esto realmente es una putada si se hace para redes de terceros, y rotundamente si lo hacis tendris mi desaprobacin y solo os podrn llamar "niatos lammers", con un solo paquete es suficiente para desauntentificar brevemente a un cliente y obtener los resultados deseados, pero como lo vais a probar solo con vuestras redes, podis hacerlo el numero de veces que queris, no as con redes de terceros, donde no debis ni siquiera de hacer un simple ataque de denegacin de servicios wireless, porque adems ya no esta de moda. Y recordad que no todos los clientes pueden que estn asociados al AP seleccionado. Solo quedara pulsar el botn "Enviar Ahora". Como veis es la mar de sencillo.

12

Como comprobamos que es efectivo este ataque, muy simple, tenis varias formas, vamos a verlas: Veamos el icono de conexin wireless de nuestro ordenador, o sea en la barra de estado del windows. Antes de efectuar la desauntetificacin:

Todo esta correcto, efectuamos el ataque 0 y:

Como el ataque es muy breve enseguida tendremos de nuevo:

Ya que windows se recupera de forma automtica. Nota: A veces cuando estamos usando el Messenger notamos que nuestra conexin se pierde momentneamente y en seguida se recupera, si la instalacin es correcta y la cobertura es buena y no estamos en movimiento, pensar que ha sido "algn graciosillo" que esta intentado comprobar como funciona este programa sin hacerlo en sus propias conexiones. Otra forma de verlo, es realizando un ping constante mediante la consola del sistema, par acceder a ella por si no lo sabis ejecutar "cmd" en la opcin de "Ejecutar" habilitado en el Men de Inicio de vuestro escritorio windows.

Veis la informacin que aparece entre medias, eso es debido a que la desauntetificacin se ha realizado con xito. En el caso de la reinyeccin de trafico que trataremos despus, si realicis una inyeccin con un numero de paquetes por segundo muy elevado, tambin produciris micro cortes en las conexiones, y depende del router incluso se puede llegar a reiniciar. Perdiendo totalmente la conexin y por lo tanto la reinyeccin de trafico ya que el punto de acceso dejara de responder a nuestras peticiones. Existe otra forma que yo habitualmente uso y es detectar las interferencias momentneas localizadas en un vigila-bebe.

13

Tambin puede notarse con una "aradio" normal y corriente aunque las frecuencias de trabajo sean diferentes. Esto me lo acabo de inventar, pero probarlo y a ver que pasa. Nota importante: Veis que este proceso es muy simple, y as lo es, pero justo en el momento de desautentificacin y autentificacin automtica posterior han pasado cosas muy interesantes y que podemos interpretar. Luego las analizaremos. Si la aplicacin no esta en modo de captura, al ordenar el comando "Enviar ahora" aparecer el siguiente mensaje;

Deberemos pulsar OK, y posteriormente pulsar el botn de "Play" o iniciar captura a travs de la barra de mens. Con la siguiente visualizacin en pantalla:

Antes de iniciar la captura hay que tener en cuenta en el canal que se esta trabajando. No solo para este tipo de ataques sino tambin para la reinyeccin de trfico y para todas las capturas en general.

14

Pulsamos el botn de "Capturar" y ahora ya podemos iniciar nuevamente la "Reasociacin de nodo":

Y seguidamente:

Recordad que solo se mostraran los AP y estaciones online que se detecten en ese mismo canal. Tambin podemos realizar este tipo de ataque de una manera diferente, la cual me gusta mucho ya que permite controlar de forma ms directa los procesos que tiene lugar en las comunicaciones wireless. Es decir podemos generar nosotros mismo un paquete para desautentificacin de un cliente con solo saber el BBSID (direccin MAC del punto de acceso) y la MAC del cliente. Para saber si una estacin es cliente de un AP solo hay que mirarlo en la pestaa de "Paquetes" y interpretar los mensajes y paquetes, pero es realmente fcil pero que muy fcil de ver, basta con observar si se producen algunos mensajes de la siguiente forma. AP--->STA, o STA--->AP, y siempre con nuestro color favorito como color del texto, como indicador de que el dato es bueno, luego lo veremos. Para realizar este forma manual de denegacin wireless, usamos la barra de men y:

15

Nos desplazamos hasta "Herramientas" y seleccionamos "Generador de paquetes", nos saldr la pantalla de "Generador de paquetes" la cual podemos configurar para enviar todo tipo de paquetes de forma manual. Vemos como he configurado el paquete yo mismo para desautentificar al cliente:

El tamao de un paquete de desautentificacin de un cliente siempre es de longitud 26, pues eso es lo primero que tendremos que hacer. Tenemos 2 reas principales, la de la izquierda sirve para interpretar el paquete creado y la

16

de la derecha para generar el paquete. En verde corresponde a la cabecera del paquete y en este caso siempre tiene que ser: A0 00 98 00 En azul tenemos la direccin MAC del punto de acceso, esta aparece 2 veces, y porque? Muy fcil respuesta, el destino es e mismo AP y el nombre de BSSID tambin es el mismo AP, no tiene ms. Ambas serian la misma direccin MAC del punto de acceso que seria en este caso: 00 13 49 00 11 22 Y el origen; pues la tarjeta cliente que acta como "conejillo de indias", o sea su direccin MAC, la que podemos ver de color rojo, En este caso seria: 00 80 5A 33 44 55 Y la parte mas importante, lo que esta como no.... en fucsia, corresponde a una desautentificacin "voluntaria" emitida por la tarjeta cliente: 90 2A 08 00, este valor debe ser siempre fijo. He puesto entre comillas "voluntaria" por que realmente no es as, sino que es inyectado por la tarjeta que opera bajo esta aplicacin. Si traducs "Diassociated" al castellano , el resultado seria "desasociado" pero es una mala interpretacin del programa, porque lo que realmente no estas es autentificado, y lgicamente tampoco asociado. Podemos determinar los paquetes por segundo que queramos mandar, en este caso solo 1 ya que el paquete de desautentificacin solo es uno, y el numero de veces que queremos realizar esta operacin mediante la seleccin en tiempo. Tambin podemos hacerlo "Continuamente". Si fijamos a 5 el Tiempo(s), se mandara un forzado de desautentificacin cada segundo y durante 5 veces. Recordar que la tarjeta de ataque debe de estar iniciada en modo de captura, si no volver a salir el mensaje:

Esto siempre es as, y realmente prefera que no lo fuera, ya que veris que es un poco li. Es decir se tendra que separar el modo de adaptador abierto para la captura y para la inyeccin. Pero es la nica forma de que se indique a la aplicacin en que canal estamos trabajando. Anteriormente habamos dejado pendiente lo siguiente: "justo en el momento de desautentificacin y autentificacin automtica posterior han pasado cosas muy interesantes y que podemos interpretar. Luego las analizaremos". Pues bien, ahora ser el momento de hacerlo.

17

4.3 .- Obtencin del handshake sobre encriptacin WPA-PSK En primer lugar citar que si estamos ante un nodo con encriptacin WPA, necesitamos filtrar solo los contenidos de los paquetes e ignorar las balizas (beacons), recordad el Manual base.

Y tambin es interesante filtrar mediante "Reglas avanzadas" el trfico de solo el nodo a analizar para la recuperacin de claves WPA. El filtro pare ese nodo y todos los que queris podis realizarlos "Regla avanzadas" Lo vemos:

Mirad como lo configuro:

18

En la formula indico que solo deseo capturar trafico que "venga de" o "vaya a" un AP determinado. Los valores de direccin MAC pueden ser copiados con el ratn directamente en la ventana "Nodos", tal como lo vemos aqu, pero seleccionndolo en el men contextual mediante "Copiar Direccin Fsica (MAC)":

19

Tambin es posible en la ventana "Paquetes". Es evidente que en esta ltima captura tenemos que desplazar el indicador del selector del ratn situado en la orden "Crear Alias..." hasta la orden "Copiar Direccin Fsica (MAC)". Luego en las reglas simplemente usis las teclas de pegar, "Control + V", aunque tambin podis usar los "Alias" en la reglas, pero para este caso me parece mas profesional que aparezcan los trminos hexadecimales. Solo es una mana, vosotros hacedlo como os plazca, ambas maneras son validas. Bien resumimos, tenemos el modo de captura configurado para que solo acepte capturas de paquetes de datos, y solo captamos trfico de ese nodo en particular mediante la validacin de reglas avanzadas. Iniciamos captura como siempre, recordad botn "Play":

20

Indicamos en que "Canal" se debe de iniciar la captura. Iniciamos "Capturar" y ejecutamos la desautentificacin como ya sabemos hacerlo, si hemos equivocado el canal, lgicamente no tendremos los AP y clientes deseados, y si estos no estn ONLINE no podremos desautentificarlos.

21

Volvemos a recordar la generacin de paquetes de forma manual:

Tanto de una forma u de otra enviamos la reasociacin de nodo y esperamos un rato. Posteriormente grabamos los paquetes obtenidos, es decir los pasamos del buffer a un fichero. La forma de grabar ya esta explicado en el manual base. Tambin podis dejar la aplicacin en modo de grabacin automtico, y realizis determinado ataques separados en tiempo, quizs esto ultimo sea lo mejor. En cuanto detengis la captura, los datos de buffer pasaran al archivo si se esta en modo de guardar de forma automtica. Si el guardado automtico no estuviera habilitado nos dirigimos hasta la pantalla de "Paquetes" y los guardamos de forma manual. Posteriormente usis el "Visor de Registro", realizis una conversin de datos a formato tcpdump conforme a lo explicado en el manual base. Y quizs obtendris el famoso "handshake", lo dems ya es historia y de sobras lo sabis (me refiero a la recuperacin de la contrasea WPA a partir del handshake y del uso de diccionarios.

22

4.4 .- Descubrir el ESSID oculto de una conexin wireless (nodo) Como ya sabemos maniobrar con el programa vamos a ser mas directos. En primer lugar filtramos al igual que anteriormente, el trafico de ese nodo.

En segundo lugar, aceptamos en este caso, todos los tipos de paquetes excepto los paquetes de datos.

23

Pasamos a capturar. Y efectuamos el ataque 0 de la forma que queramos, de la forma mas fcil es as:

Y de la forma ms interesante es as:

24

Nos vamos a la ventana de "Paquetes" para interpretar todo lo que esta pasando. Que podemos ver y interpretar?

25

Estos datos corresponden a los primeros en realizarse despus de efectuar un ataque 0 y en el momento preciso que windows reactiva la comunicacin. Si observamos el primer mensaje MNGT/PROBE RESP. donde el origen es el punto de acceso y el destino es el cliente, en la parte de abajo nos mostrada el nombre de la red (ESSID), solo hay podemos verlo, en el caso de que este oculto. Que hubiera pasado si hubisemos aceptado tambin los paquetes de datos?. Pues lo mismo, pero aadiendo los paquetes de datos encriptados que puede tener lugar la secuencia seria la siguiente:

26

Esta captura es muy buena y nos permite ver todo lo que pasa. El paso numero 73 corresponde al forzado de la desautentificacin, esta es la cuarta forma que tenemos para poder observar que el ataque ha sido enviado correctamente. En el paso numero 74 podemos volver a ver el nombre de essid, y del numero 73 al 81 quizs podamos tener guardado el famoso intercambio de claves para redes con encriptacin WPA. Nota: El ataque 0 colabora respecto a la reinyeccin de trafico, pero he descubierto una alternativa donde este proceso (desautentificacin de clientes - ataque 0) ya no es tan prioritario, aun as lo explicaremos y matizaremos en el apartado siguiente.

27

4.5.- Conseguir una falsa autentificacin en windows para redes wireless sin clientes Como ya he dicho anteriormente mis pruebas no han sido concluyentes, y no puedo garantizar que pueda ser realizado de forma efectiva. 4.6.- Reinyeccin de trfico en windows Es muy simple pero muy eficaz. Y obviamente solo valido para encriptacin WEP Anteriormente ya hemos explicado de forma terica como tiene lugar la reinyeccin de trafico en windows, es decir necesitamos una peticin de ARP encriptado desde el cliente al punto de acceso. Y aqu esta el error que muchas personas cometen al confundir los conceptos tericos. Este paquete no puede ser generado de forma manual al igual que se puede hacer con el ataque 0 y quizs el ataque 1. Esto se debe a que dicha peticin esta encriptada. Es un paquete especial que genera el cliente hacia su AP, los cuales si saben las claves. Parece que no se pueda hacer nada, pues si, si que se puede hacer. Sabemos que esta peticin es hecha por el cliente y adems sabemos que caractersticas especiales debe de tener este tipo de peticin. Debe de ser de 68 bytes de largo, tiene como origen la propia direccin MAC de la estacin (en este caso si cliente) del nodo analizado, tiene como la destinacin de Broadcast (FF:FF:FF:FF:FF:FF) y tiene configurado en la cabecera el ToDS igual a True (1), pues bien con esta informacin ya no es suficiente. Solo hay que analizar y observar en que momento se produce esa peticin, capturarla y mandarla posteriormente al AP. Es igual los datos que contenga y como este formada, con las limitaciones de partida podemos determinar posibles peticiones de ARPs, pues para verificar si son realmente peticiones validas, se las inyectamos al AP, esto si podemos hacerlo. Si realmente es una peticin de ARP, el punto de acceso nos responder con un IV nico y valido, acelerando as el proceso de recuperacin de claves WEP, otra cosa es que luego en la prctica sea fcil o difcil de lograr. Adems, sabemos que "quizs" se produce esa peticin tras la autenticacin entre cliente y AP y es ah donde entra en juego el Ataque 0 (al cual hemos dedicado gran parte de este manual), ya que despus de realizarlo se puede producir una autenticacin automtica visible por nuestra tarjeta de captura, pudiendo entonces captar posibles peticiones validas e inyectarlas al AP. Bien, como nos preparamos y como configuramos nuestra aplicacin para ello, muy fcil:

28

Paso 1: Permitimos el trafico de cualquier tipo de paquetes.

Como siempre ignoramos los beacons (balizas). Procedemos a configurar la captura para filtrar mediante "Reglas avanzadas" las caractersticas fundamentales que deben de tener las peticiones de ARP encriptadas por parte de los clientes validos. En este caso no ser necesario filtrar el trafico de ningn nodo, ya que la posibilidad de capturar dos peticiones validas de diferentes redes en el mismo momento es muy reducida, si bien podemos crear una regla avanzada para cumplir con todos estos requisitos. Como filtro las posibles peticiones? Lo vemos con el ejemplo siguiente:

29

Antes que nada pulsamos sobre el botn "Evaluar".

Tenemos ya de esta forma validada la regla, con limitacin de tamao, el broadcast y parte de la cabecera (tods) Tambin puede valer solo con (size=6 and (tods=1). Podis probar, si queris, sin ninguna regla mas, ya que fcilmente se observa cual es la peticin de ARP. Luego lo veremos mejor, si es la primera que lo hacis si recomiendo que usis este regla tal como lo he explicado. Tambin incluso se puede probar sin necesidad de efectuar ningn ataque de desautentificacin, ya que dicha peticin se localizar y observar con un poco de prctica. Pero es cierto que con el ataque 0 todo es mucho mas rpido. Por lo tanto pasemos a efectuar el ataque cero, pero antes de nada un inciso. Es muy importante que despus de haber localizado la peticin de ARP encriptado recordad de volver a deshabilitar estas reglas y filtrar solo para recibir paquetes de datos. Es importante deshabilitar la regla (solo capturar posibles peticiones) porque sino la aplicacin se bloquea sola as misma y no se obtendrs datos ningunos para la recuperacin de claves WEP, o sea

30

IV validos. Lo vemos: Iniciamos capturas como siempre y efectuamos el ataque 0:

En este caso, si os recomiendo usar el ataque mediante la barra de men y no de forma manual con el "Generador de paquetes". Vamos a la pestaa de paquetes y esperamos:

Vemos que realmente hubiera valido captando solo paquetes de datos al ser esta peticin del tipo ENCR.DATA pero as podemos observar mas cosas, entre ellas si el nombre de essid oculto que ya expliquemos anteriormente.

31

Por lo tanto hubiera bastado con el siguiente filtro:

en lugar de:

Sea de una forma u de otra pasamos a probar si realmente es una peticin de ARP encriptada valida para ese AP, podemos parar la captura para pensar lo que estamos haciendo. Yo as lo aconsejo. Seleccionamos todos los paquetes y mediante el ratn secundario del ratn pulsamos en "Enviar paquete(s)". Este men contextual permite la opcin "Todo" o "Seleccionado", pues en este caso le decimos todos, pero podra haber sido uno en particular, ya que cada uno corresponde a una velocidad de transmisin diferente, quizs sea recomendable mandar el de menor velocidad por si la cobertura entre AP y STA no es muy buena. Vemos la opcin "Enviar Paquete(s)" --------->"Todos".

32

Y despus de elegir ese opcin, no mostrara una pantalla tal como esta:

El numero mximo esta situado en 2000 paquetes por segundo (es recomendable bajarlo). Seleccionamos "Continuamente" y enviamos mediante el botn "Enviar", pero antes, no olvidemos de deshabilitar las reglas avanzadas de filtrado para que la aplicacin no se anule as mismo. Y filtramos para aceptar solo paquetes de datos. Si no anulamos la regla de peticin de ARP, seguir a la espera de peticiones de ARP. Y anulara la captura de todo el resto de trfico. Por lo tanto deshabilitamos las reglas avanzadas tal que as:

33

Podis aadir la regla avanzada para que solo capture trfico de un nodo en particular. Comprobamos que el filtro de paquetes solo permite la captura de datos ignorando las balizas, los paquetes de administracin y de control.

Iniciamos captura en canal correspondiente:

34

Fijamos la cantidad de paquetes por segundo, seleccionamos la opcin de enviar "Continuamente".

A continuacin ya podemos enviar los paquetes mediante el botn "Enviar". Y como resultado quizs obtengamos una buena reinyeccin de trfico.

35

Si observamos cada uno de ellos, veramos un IV diferente y valido para cada fila, esto es sntoma de que la reinyeccin de trfico ha tenido xito. Observar en vuestro equipo como el numero de lneas cambia su ritmo a un o mucho mas mayor. Como puedo hacer lo mismo sin necesidad de utilizar la desutentifiacin o reasociacin de nodo? Partimos de la base que ya sabemos como esta compuesta este tipo de peticiones, pues podemos hacerlo sin necesidad de desautentificar (ataque 0) a ningn cliente. Y como lo hacemos: Primero, nada de reglas.

36

Segundo: solo paquetes de datos.

Iniciamos captura como siempre en el canal especificado:

37

Cuando veamos algo parecido a ENCR.DATA con origen en cliente (STA), tamao 68 segn la columna y destino Broadcast, pues paramos la captura. Fijaros bien que en "Mas detalles" nos indica WEP-Can't decrypt. Recordad que este tipo de peticiones no se puede generar de forma automtica. Pero una vez capturada, quizs si puedas reinyectar trafico.

38

Si comparamos con los datos de partida a priori parece una posible una peticin valida. Pues seleccionamos exclusivamente estas lneas de paquetes. Y los preparamos para enviar o inyectar (este paso ya esta explicado anteriormente). Recordad que puede ser interesante solo mandar la peticin de velocidad mas baja.

Volvemos a iniciar la captura como siempre (cuando tengis prctica no necesitareis parar tantas veces el proceso de captura)

Y inyectamos de la forma que explique antes:

39

Si realmente era una peticin buena, enseguida lo veremos, si no es as, volverlo a probar. Durante el proceso de reinyeccin podemos para el proceso y ver como reacciona la captura de paquetes (los que se muestran casi instantneamente en la pestaa de "Paquetes". Tambin es posible observar como reacciona la captura solo a reinyecciones parciales. El numero de reinyecciones parciales se limita o se fija en la casilla "Tiempo(S)".

40

Recodar que en el manual bsico configuremos el color fucsia para identificar a los datos validos. Y ese es el color predominante en esta captura. En cualquier fila de color fucsia que indique ENCR.DATA, podis observar en el rea inferior de la pantalla un IV. Siempre sern de 6 dgitos hexadecimal, o sea 4bits para cada dgitos hexadecimal, en total siempre 24 bits. Recordad el tema de claves explicados en la pagina de complementos del conversor universal, recordad que comentbamos que solo se usaban 40 bits y 104 bits reales para encriptacin WEP de 64 y 128, pues hay tenis la diferencia de bits, lo que corresponden al vector IV, que se emiten de forma publica y que con un cierto trafico capturado permiten la recuperacin de claves WEP. Si tenis problemas para realizar este ltimo proceso, no dudis en usar el ataque 0, y gestionar las reglas que creis oportunas. Y como me gusta contrastar los resultados, os paso una captura de la tercera tarjeta que usaba como informe adicional y validacin de resultados. Si disponis de un numero de tarjetas validas y adecuadas podis comprobar con se paralizan los "Data" en el airodump y

41

como vuelven a aumentar si reiniciamos el envi de las peticiones validas de ARP encriptados al punto de acceso. O si solo enviamos un solo paquete o varios. Adems para mayor seguridad limitar a cero el trafico entre vuestra tarjeta y vuestro punto de acceso, as verificis que la reinyeccin de trafico es correcta. Aunque dispongis de un buen punto de acceso, probar tambin de realizar un ping y quizs observareis que el punto de acceso no responde en un 100% a todos ellos, ya que esta muy ocupada enviando respuestas a las peticiones realizadas por el envi de paquetes con peticin de ARP encriptado.

As que: conseguido la inyeccin de trfico en windows! Quin dijo que no se poda inyectar en windows? Afirmamos que se puede inyectar trafico en Windows de forma correcta, por lo tanto el nivel de seguridad de la redes wireless sobre todo con cifrado WEP son accesibles tanto en win como Linux de forma muy rpida. Si bien Linux sigue siendo el mejor sistema operativo para analizar el estado de tus redes inalmbricas. Para el posterior trato de las capturas de datos realizadas durante la reinyeccin de trafico y exportarlas a otros formatos (por ejemplo a formato compatible con tcpdump), recordad de leer el manual bsico donde se explica la forma de hacerlo y las aplicaciones externas a este programa que se deben usar para la recuperacin de contraseas WEP/WPA. Llegados a este punto solo nos queda conseguir la falsa autenticacin de clientes comnmente denominada ataque 1.

42