CRACKEAR

REDES
WPA/WPA2
EN
BACKTRACK (4)
(WIFIWAY,
WIFISLAX,
ETC.)

BlDKr

1 www.zonainformaticos.com
Buenas, en este manual aprenderemos a crackear una red inalámbrica con cifrado
WPA/WPA2.

Para ello, hemos usado una distribución de Linux llamada BackTrack 4, siendo el 4
su última versión (a día de hoy), pero también es válido cualquier otra versión que
tenga instala el paquete aircrack, ya sea Wifislax, Wifiway, Slax, etc.

Lo primero que debemos de hacer es asegurarnos que tenemos una tarjeta

inalámbrica disponible o soportada para trabajar en modo monitor en el SO que
usemos, así que tenemos que ver en principio si el Sistema Operativo, al menos, la ha
detectado.

Para ello introduciremos el comando iwconfig.

Como podemos ver, tras ejecutar el comando, existe un dispositivo de red del cual
nos muestra información, llamado wlan0, en principio (y normalmente será llamado
así) debe soportar el modo monitor, así que lanzaremos el siguiente comando:
iwconfig wlan0 mode monitor.

2 www.zonainformaticos.com
Si lo ejecutamos y no sale ningún error, todo nos habrá salido bien hasta ahora.

El siguiente paso es escanear todas las redes que están a nuestro alcance, para poder
centrarnos en aquella que “atacaremos” para lograr la clave.

Esto se hará mediante el programa “airodump”, airodump-ng wlan0.

Recuerdo que “wlan0” es el nombre de nuestro dispositivo de red que pusimos en

modo inalámbrico, en caso de que su nombre fuese distinto, cambiarlo por aquél que
nos mostró al principio.

Esperamos unos instantes y empezará con el escaneo completo.

3 www.zonainformaticos.com
4 www.zonainformaticos.com
Como se puede apreciar en la imagen de arriba, nos vamos a centrar en la red cuyo
essid es “WLAN_E1”, que usa el cifrado WPA2.

Para centrarnos en esa única red, pararemos el escaneo que está corriendo (con
Ctrl+C) y lanzaremos de nuevo airodump, pero esta vez más específico, mediante la
siguiente instrucción: airodump-ng wlan0 -cX --bssid (MAC) -w archivo.

Explicaré algunas cosas, la “X” que viene después de la “c” indica el canal en el cual
está transmitiendo la red atacada, “(MAC)” se refiere a la dirección MAC de la red la
cual estamos atacando, estos datos lo sacamos del escaneo que hicimos
anteriormente, en las columnas “BSSID” y “CH”. “archivo” tras “-w” es el nombre
del archivo donde guardaremos todos los paquetes, que el programa automáticamente
se encargará de añadirle la extensión y número.

5 www.zonainformaticos.com
En el ejemplo que estamos usando en este manual, el canal (channel) por el que está
transmitiendo “WLAN_E1” es el número 3 (-c3), se le ha indicado su direccción
MAC (bssid) y se le ha puesto al nombre del fichero donde se guardarán todas las
capturas de paquetes “captura1”.

6 www.zonainformaticos.com
Como podemos ver en la imagen que precede este texto, ya en el escaneo que hace
airodump sólo aparece la red que deseábamos, y, más abajo, podemos ver que hay, al
menos, un cliente asociado a ella. Esto es muy importante, ya que sin clientes
asociados, difícilmente podremos hacer algo...

Bien, ahora abriremos un nuevo terminal (en otra ventana u otra pestaña) y, dejando
corriendo el escaneo mientras guarda todos los paquetes que está capturando,
lanzamos un primer ataque, en principio el único que nos debe de hacer falta.

Este ataque se hará gracias a “aireplay”, en su ataque número “-0” para desasociar a
los clientes que están asociados a la red víctima.

La instrucción a mandarle en concreto es aireplay-ng -0 0 -a (MAC) wlan0.

El “0” tras indicar el ataque “-0” se refiere a que hará la desasociación sin un número
limitado de ataque, es decir, hasta que no lo paremos manualmente, no parará.

De nuevo, “(MAC)” se refiere a la dirección física de la red atacada, el bssid que

anteriormente copiamos.

7 www.zonainformaticos.com
Repito una vez más que wlan0 es el nombre más común que nos sale tras “iwconfig”,
pero que puede ser otro que deberá ser sustituido por ese en la instrucción indicada.

Este ataque podemos además hacerlo más específico, centrándonos en una única
máquina cliente víctima asociada a la red.

Ahora debemos de volver a la shell donde teníamos airodump ejecutándose para

esperar a que el cliente (o clientes) que estamos desasociando por otra parte con
aireplay, vuelva a asociarse a la red y capturar así el handshake que estamos
esperando para poder ya intentar descifrarla mediante fuerza bruta.

¿Qué es el handshake? Por decirlo de una forma clara, es un proceso por el cual una
máquina cliente se asocia o intenta asociarse a una máquina servidora (por ejemplo
un router o aquél dispositivo que le dé salida a Internet) mostrando sus credenciales o
todo aquello que le haga falta para estar asociada a ella.

Tras desasociar con aireplay, la máquina que estaba asociada vuelve a buscar la red a
la cual estaba conectada, e intenta volver a conectarse a ella dejando en el
intercambio entre router/PA la clave cifrada que le permite estar asociada a ella.

8 www.zonainformaticos.com
Como se puede observar en la imagen, airodump nos indica cuando consigue dicho
handshake y la MAC del dispositivo del cual lo ha conseguido :).

Por último, debemos de equiparnos de un buen diccionario (wordlist) que tenga un

amplio número de posibles combinaciones para contraseñas.

Estos wordlists, en caso de que la distribución que elegimos no traiga ninguna,

tendremos que buscarlo por Internet, donde existe una gran cantidad de diccionarios
(gratuitos, de pago, por idiomas, etc), o bien crearlos nosotros mismos (mediante
scripts, programas, etc) y, junto al archivo donde fuimos capturando los paquetes,
pasárselo todo a la aplicación “aircrack” la cual irá probando distintas
combinaciones, hasta que dé con la clave correcta de la red wifi que estábamos
atacando.

Esto se consigue con la siguiente línea: aircrack-ng -w (WORDLIST) archivo.cap.

Como se podrá ver en la siguiente imagen, nuestro diccionario “(WORDLIST)” se

llama “words.spanish.txt” y el archivo de captura de paquetes “captura1-01.cap”.

Los wordlists pueden tener extensión .lst, .txt, …, o incluso sin extensión.

9 www.zonainformaticos.com
10 www.zonainformaticos.com
Dependiendo de nuestra CPU o GPU, diccionario, clave, etc, podemos tardar más o
menos en dar en la clave (o incluso no dar en ella :().

Como se ve en la imagen de la página anterior, dimos con la clave correcta, que era
“mantecacolora”, a una velocidad de unas 318 palabras por segundo.

Por último, me gustaría añadir una última opción, para dar con la dirección IP privada
que existe en la red atacada, para, en el caso de conectarnos y darnos conexión
limitada (es decir, no nos da dirección IP porque tenga el DHCP desactivado o por
cualquier otro problema), podemos desencriptar los paquetes y conseguir, al menos,
una dirección IP.

Esto se hará con “airdecap”, con la función “-p” por ser una clave WPA/WPA2 con
passphrase.

La instrucción en concreto es: airdecap-ng -p (CLAVE) -e (ESSID) archivo.cap.

“(CLAVE)” es la clave que hemos conseguido (mantecacolora en nuestro caso),

“(ESSID)” el nombre de la red (WLAN_E1 en el manual) y “archivo.cap” el archivo
de las capturas.

11 www.zonainformaticos.com
Esto nos creará un nuevo archivo, del mismo nombre que el que le pasamos pero con
una añadiéndole al nombre “...-dec.cap”.

Por último, este nuevo archivo generado por airdecap, lo abriremos con Wireshark
(incluido en la distribución que elegimos, y si no es así deberemos de instarlo
manualmente), simplemente lanzando wireshark archivo-dec.cap.

Esto abrirá Wireshark en un entorno gráfico, para poder visualizarlo de una manera
más sencilla, así que esperamos a que cargue el programa y nos mostrará ya,
definitivamente, si consiguió al menos airdecap desencriptar 1 paquete WPA.

En el ejemplo que se ha seguido en la elaboración de este manual, se observa que la

dirección por la cual trabajan en la red WLAN_E1 es la 192.168.1.X :-).

Observaremos, en la imagen posterior, la dirección del router, 192.168.1.1, y la

dirección de la máquina cliente que estaba asociada a la red, 192.168.1.36.

12 www.zonainformaticos.com
Con esto termino este nuevo manual, intentando haber explicado todo claramente y
de forma sencilla y clara cada uno de los pasos y para qué sirve, para no sólo ir
haciéndolo línea a línea como si fuéramos máquinas, creo que es importante
comprender y entender lo que estamos haciendo.

No me hago responsable del uso que se pueda hacer de este manual, se ha realizado
en un entorno privado y controlado, y sólo debe de hacerse para auditar redes y
comprobar la seguridad de las mismas.

Un saludo y suerte, para cualquier duda, sugerencia, ruego, etc, estoy en el foro!

13 www.zonainformaticos.com