Está en la página 1de 17

No. No me volv tarumba (no mas que lo de costumbre) tampoco es un ttulo muy descriptivo que se diga, o si??

En este post vamos a escenificar un ataque diferente, . Y es que el ttulo del post puede que s sea descriptivo se trata del ataque Caffe-Latte, no muy conocido pero muy efectivo, con pocos minutos y con pocos paquetes tendremos la clave Wep de una red inalmbrica. (Pocos son unos 50.000 paquetes y de 5 a 10 minutos dependiendo de la velocidad de inyeccin de la tarjeta) Ciertamente es un ataque de inyeccin como otros, pero con algn aderezo, como el del despliegue de puntos de acceso ilcitos o falsos (fake AP), al estilo de Karma pero ms sencillo. Al igual que en este otro post (no os lo perdis que es pecado ) http://comunidad.dragonjar.org/seguridad-wireless/7643-como-acceder-una-redinalambrica-sin-conocer-la-clave-wep.html Se trata de un ataque del tipo MiTM (Hombre en medio) y para llevarlo a cabo con xito, bastar con que el atacante utilice un punto de acceso falso. Dispondremos de dos modos de realizar estos ataques:

Ataque Hirte: Muy efectivo pero tanto nuestra tarjeta inyectora como el punto de acceso vctima deben soportar fragmentacin Ataque Caf con Leche: Que su nombre debe venir de lo que se tarda en obtener la clave WEP , y est indicado para los casos en que no se pueda o el punto de acceso no sea vulnerable frente ataques por fragmentacin.

Ambas tcnicas se basan en lo mismo, encontrar la manera de engaar al cliente habilitado con la WEP para hacerle pensar que est registrado en una red que ya conoce. Ms informacin en: Cafe Latte attack steals data from Wi-Fi PCs | Security Central InfoWorld Antes de comenzar vamos a sorprendernos con algunas opciones de la suite de aircrack, desconocidas por mucha gente. Ms o menos todos ya conocemos (al menos sabemos de la existencia) de los modos 0-1-23-4 y 5 de aireplay:

Ataque -0: Deautenticacin Ataque -1: Falsa autenticacin

Ataque -2: Seleccin interactiva del paquete a enviar Ataque -3: Reinyeccin de una peticin ARP (ARP-request) Ataque -4: Ataque chopchop Ataque -5: Ataque de Fragmentacin Pues bueno, existen otros, como son el -9, -7 y -6

Tambin vamos a aprender a usar otras herramientas que se incluyen en la suite aircrackng, muy tiles y que no se les presta la atencin debida estas van a ser:

airserv-ng airbase-ng

Pruebas de inyeccin con aireplay-ng y airserv-ng Emnpecemois por el modo -9 de aireplay, se trata de un test de inyeccin y viene a ser muy til cuando queremos probar si ser factible la inyeccin de frames en una red inalmbrica. Ponemos airodump-ng a escuchar por ejemplo por el canal 6, as: Cdigo: ./airodump-ng -w prueba -c 6 eth1 (eth1 es el nombre de mi tarjeta inalmbrica)

Probamos: Cdigo: ./aireplay-ng -9 eth1

Tambin podramos haber indicado el essid o el punto de acceso, algo as: Cdigo: ./aireplay-ng -9 -a AQU_LA_MAC -e AQU_EL_ESSID eth1

Si disponemos de dos tarjetas inalmbricas podemos probar: Cdigo: ./aireplay-ng -9 -i wlan1 wlan0

wlan1 actuar como punto de acceso wlan0 es la tarjeta que inyectar los paquetes.

Como ya os dije, hay algunas utilidades interesantes y no muy conocidas, una de ellas es airserv-ng que nos puede ser til por si queremos realizar un ataque desde otra mquina Os pego una breve descripcin traducida de la web de aircrack Cita: Airserv-ng es un servidor para tarjetas wireless que permite mltiples aplicaciones y usar programas wireless independientemente de la tarjeta y del driver, a travs de una conexin de red TCP cliente-servidor. Todos los sistemas operativos y drivers de las tarjetas wireless estn incorporados dentro del servidor. Esto elimina la necesidad de que cada aplicacin wireless contenga los datos de la tarjeta y del driver. Tambien soporta mltiples sistemas operativos. Cuando se inicia el servidor, escucha en una IP y en un nmero de puerto TCP especficos por las conexiones de los clientes. La aplicacin wireless entonces se comunica con el servidor a travs de la direccin IP y el nmero de puerto. Cuando usemos la suite aircrackng, especificaremos <direccin IP del servidor> dos puntos <nmero de puerto> en lugar del nombre de la interface. Un ejemplo puede ser 127.0.0.1:666. Esto permite interesantes posibilidades: Eliminado la complejidad de los nombres de las tarjetas wireless y sus drivers, los desarrolladores de software se podrn concentrar en las funcionalidades de los programas. Esto permitir que estn disponibles un mayor nmero de aplicaciones. Tambin se reducen de forma importante los esfuerzos de mantenimiento. Sensores remotos sern de esta forma fciles de implementar. Solo una tarjeta wireless y airserv-ng se requieren para ejecutar en un sensor remoto. Esto significa que se pueden crear pequeos sistemas empotrados de forma fcil. Puedes mezclar y compartir varios sistemas operativos. El servidor y cada una de las aplicaciones pueden potencialmente ejecutarse en diferentes sistemas operativos. Algunas tarjetas wireless no permiten ejecutar mltiples aplicaciones al mismo tiempo. Este contratiempo se elimina ahora con este nuevo sistema cliente-servidor. Usando una red TCP, el cliente y el servidor pueden encontrarse en diferentes partes del mundo. Con que solo dispongas de una conexin de red, funcionar. A probar en una shell lanzamos el servidor, as:

Cdigo: ./airserv-ng -p 9999 -d eth1 -c1 (escuchar por el Puerto 9999 de TCP y usa el canal 1)

Y ahora desde otra mquina podremos conectarnos para hacer la prueba de inyeccin: Cdigo: ./aireplay-ng -9 172.28.0.101:9999 Si no disponemos de otra maquina con aircrack instalado podemos probar desde otra shell en nuestro mismo sistema (esto no tiene mucho sentido pero se trata de probar) Cdigo: ./aireplay-ng -9 127.0.0.1:9999 O bien, desde otra mquina:

Tambin podramos remotamente o desde Internet hacer algo as: Cdigo: Aireplay-ng -0 5 -a 00:11:22:33:44:55 80.33.45.108:9999 Siempre y cuando tengamos abierto el puerto 9999 y mapeado a la mquina 172.28.0.101 Ataques. Caffe-Latte y Hirte attack con airbase-ng Para llevar a cabo estos ataques necesitamos saber usar otra herramienta de aircrack, que es: airbase-ng Airbase-ng es una utilidad muy verstil con la que podemos convertir nuestro pc y/o nuestra tarjeta inalmbrica en un punto de acceso lcito. Pero airbase tambin puede atacar a los clientes conectados a un Punto de Acceso. Las funciones ms importantes que se pueden realizar son:

Implementa el ataque a un cliente Caffe Latte WEP. Implementa el ataque Hirte WEP client attack. Captura del handshake WPA/WP2. Puede actuar como un Punto de Acceso ad-hoc Puede actuar como un Punto de Acceso normal Puede filtrar por SSID o direccin MAC del cliente

Puede manipular y reenviar paquetes Puede encriptar los paquetes enviados y desendriptar los recibidos Vamos, una joya. Airbase utiliza una interface TAP (como la del post anterior de buddy y easside) por lo que antes de usarla escribimos: Cdigo: modprobe tun y una vez que lancemos airbase podemos usar esa interface mediante: Cdigo: ifconfig at0 up Podemos desplegar un punto de acceso sencillamente escribiendo: Cdigo: ./airbase-ng -c 11 -e APVictor Y entonces los clientes se podran conectar al punto de acceso APVictor usando el canal 11 y sin seguridad si adems implementamos un servidor dhcp, enrutamiento, etc.. pues eso se comporta como una red insegura. Tambin podemos usar cifrado: Cdigo: ./airbase-ng -c11 -e APVictor -w F110ECE0DC Y los clientes que se quieran conectar debers usar la clave especificada en la opcin -w Pero bueno, esto no es lo que nos interesa lo que queremos es otra cosa. Usaremos airbase para desplegar un punto de acceso falso con la esperanza que se conecten los clientes y poder as conseguir la clave WEP de la red. Imagina que en tu casa/oficina/colegio existe una red que se llama PEPILLO y que tras lanzar al airodump conseguimos averiguar el canal que est usando, el bssid del punto de acceso y la mac de algn cliente asociado esto no es nada nuevo, es lo de siempre. Ahora viene la pregunta de rigor!!! Qu pasara si adems de ese existe otro punto de acceso con el mismo essid, con el mismo bssid y emitiendo por el mismo canal? Si estamos lo suficientemente cerca del cliente vctima y(o diponemos de una buen antena y/o amplificador... ser nuestro. Estas tcnicas se basan en la proximidad entre cliente-atacante y no entre el atacante-punto de acceso.

LLeg la hora llevemos a cabo estas tcnicas de las que hemos hablado primero a fijar el objetivo: Nuestra vctima ser AticoB

Ahora afinamos mas airodump Cdigo: ./airodump-ng -w captura_AticoB -c10 -d 00:18:E7:35:47:9A

E otra shell vamos a lanzar el ataque Hirte con airbase-ng, as: Cdigo: ./airbase-ng -c 10 -e AticoB -W 1 -N -a 00:18:E7:35:47:9A Donde:

-c es el canal por el que emite el punto de acceso legtimo -e es el essid -W 1 obligar al cliente a conectarse con clave WEP (la suya claro -N es el tipo de ataque (N para Hirte L para Caffe-Latte) -a es la MAC del punto de acceso )

Bien pero qu hace airbase??? Pues despliega un punto de acceso (falso en este caso) y usar la interface TAP junto con la interface fsica para completar el ataque. y el cliente vctima? Sucede algo? Pues no sencillamente pasar por nuestro fake AP y del nuestro al verdadero, es decir, actuamos como intermediarios, el cliente no pierde conectividad y podemos inyectarle paquetes La interface TAP (at0) se usar para enviar los paquetes, mientras que la interface fsica los capturar Una vez lanzado el comando anterior se procede automticamente al ataque especificado (Hirte o Caffe-Latte) sin mas intervencin.

En la ventana de airodump se iran mostrando los datos capturados (no te preocupes si parece que no avanza o si parece atascado es posible que pasados unos segundos aumenten bruscamente, por ejemplo de 1200 a 7000 es normal en este tipo de ataque, es como si los fuese guardando airbase) Si el/los clientes ya estn conectados puede ser necesario (no es obligatorio) enviarles una desautenticacin para que inicie mas rpidamente el ataque En fin, voy a empezar de nuevo y te pongo las capturas de pantalla todas juntas: 1.- Lanzamos airodump para fijar el objetivo

2.- Lanzamos airbase en otra shell

3.- Vemos que ocurre en la shell de airodump

Observa que he resaltado en rojo el tiempo que lleva!!! 3 minutos y mas de 43000 paquetes de datos 4.- En otra shell lanzamos aircrack con la opcin -P 2 esto acelerar el crack de forma notable y con apenas 40-50 mil paquetes la tendremos.

Ya lo ves, en menos de 3 minutos (tard mas en copiar y pegar las pantallas que en crackear la clave WEP La tcnica de Caffe-Latte es similar, igualita en su desarrollo, lo que difiere es cmo inyecta. En fin, os dejo tarea hay otra herramienta en la suite de aircrack MUY, MUY, MUY util es airtun-ng, a ver si os animis y le sacamos partido.

Hola, esta vez os traigo algo que quera hacer desde hace tiempo y es romper una clave WEP. Para ello utilizare una distribucin que ya es conocida y es Bactrack ahora est en su versin tres. La versin BETA de la 4 ya a salido y seguro que ser mucho mejor que la anterior. Empezemos con la auditoria de nuestra red wiffi, y romperemos la seguridad que ser de nivel http://es.wikipedia.org/wiki/WEP Romperemos la seguridad de WEP usando una herramienta de la suite Aircrack bastante novedosa y que nos automatiza todos los pasos, se trata de wesside-ng Los pasos sern los siguientes: Preparemos el entorno: -Iniciamos con el cd de Backtrack -Esperar que haya cargado la interfaz grfica(En caso de que no cargara y te pidiera login y passsword el login es root y el pasword toor, y luego startx) -Cambiar el idioma del teclado, por defecto viene en Ingls, asi que botn derecho encima, configure y aadimos Spain(En mi caso) y luego lo seleccionamos, ya podemos empezar a auditar nuestra red Wiffi Empezamos con la auditora: Nota: La auditora est echa con una tarjeta wiffi Atheros y con un porttil Acer 5930 -Abrimos un teminal y ponemos: ifconfig -a Con este comando nos saldrn las interfaces que tenemos levantadas. Entonces hay que poner la tarjeta en modo monitor(modo escucha), para que pueda empezar a recibir paquetes. Las interfaces que nos salen levantadas sn: lo-Interfaz de loopback eth0- la de ethernet ath0-la de la tarjeta atheros wiffi0-La interfaz de wiffi Asi que lo que haremos ser poner la interfaz de wiffi0 en modo monitor, para hacer esto ponemos en el terminal: airmon-ng start wiffi0 En el caso de que se llame de otra manera pues de otra. -Nos fijamos que despus de habe echo esto nos ha aadido mas interfaces. -Asi que las comprobaos otra vez con: ifconfig -a

Y nos tiene que salir algo como esto:

Aqu vemos las interfaces, as que lo que haremos ser empezar a capturar paquetes con la herramienta airodump-ng tambin de la suite aircrack-ng. El comando para empezar con airodump-ng es: airodump-ng ath1

Entonces nos tiene que salir algo as:

Como veis nos salen todas las redes que podemos auditar, Asi que ya nos podemos poner a ello, utilizaremos la herramienta wesside-ng: wesside-ng -i ath1 Y entonces empezar a hacer la auditoria para ver cuanto tiempo tarda en crackear el cifrado WEP A de salir algo as:

Ahora empezar a hacer la auditora, como veis recojes los paquetes y cuando coje un volumen de ellos, intenta crackearlos. No creo que tarde mucho aunque siempre depende de la distancia con el acces point. Al final obtendremos algo as:

Como veis en mi caso a tardado 3.90 minutos. Y eso es todo es tan fcil como unos sencillos pasos PD: Gracias a NightBringer por las herramientas como el Porttil y su wiffi.

Proximamente WPA Y WPA2