Documentos de Académico
Documentos de Profesional
Documentos de Cultura
El objetivo de esta guía es ir describiendo cada una de las utilidades que nos ofrece la
suite Aircrack-ng. Utilizaremos Wifislax en su versión 3.1, que lo podéis descargar de
aquí. Poco a poco iré añadiendo temas a la guía. Para los que no lo sepáis, Aircrack-ng
es una suite de herramientas utilizada para la auditoría de redes inalambricas. Esta suite
esta compuesta por:
[AIRODUMP-NG]~
Como ya hemos dicho antes, el airodump es el programa utilizado para la captura de
paquetes 802.11. Gracias a ello podremos ver todos los puntos de acceso, clientes e
información de los mismos dentro de nuestra cobertura, claro está . Lo primero de
todo es saber nuestra interfaz. Para ello abrimos shell:
Y tecleamos lo siguiente en la línea de comandos:
Código:
iwconfig
Ahí veremos que nombre es asignado a nuestra interfaz. En mi caso, eth1. Una vez
sabemos el nombre de nuestra interfaz, lo que haremos es cambiar a modo monitor
nuestra tarjeta. Para ello escribimos en la línea de comandos esto:
Código:
airmon-ng start vuestrainterfaz
Código:
wifislax ~ # airodump-ng
Filter options:
--encrypt <suite> : Filter APs by cypher suite
--netmask <netmask> : Filter APs by mask
--bssid <bssid> : Filter APs by BSSID
-a : Filter unassociated clients
No interface specified.
Código:
airodump-ng interfaz
Veámoslo en la imagen:
Ahora os estaréis preguntando que son cada uno de los campos que nos salen. Pues
bien, para esto me remito a la página oficial de aircrack y os los copio tal cual están:
[AIREPLAY-NG]~
El aireplay es el programa que va a inyectar paquetes 802.11. Aireplay-ng implementa 6
ataques diferentes:
ATAQUE 0: DEAUTENTICACIÓN
El ataque 0 de deautenticación, tiene como objetivo, deautenticar al cliente conectado al
AP. La sintaxis de este ataque es la siguiente:
Código:
aireplay-ng -0 N -a XX:XX:XX:XX:XX:XX -c YY:YY:YY:YY:YY:YY interfaz
Código:
aireplay-ng -0 0 -a 00:89:4F:D2:15:A3 -c 00:14:D8:7F:B1:96 eth1
Código:
aireplay-ng -0 0 -a 00:89:4F:D2:15:A3 eth1
Como véis, sólo hemos puesto la MAC del router. Esto impediría conectarse a
cualquiera. Esto es una captura de pantalla del ataque ^^:
Captura del Handshake (Saludo) WPA:
Lo primero de todo, definimos Handshake. Cada vez que un cliente se conecta a una red
con cifrado WPA, envía un paquete-saludo, o Handshake al AP al que se va a conectar.
Este paquete-saludo contiene la contraseña cifrada. Para capturarlo, tratariamos de
desconectar al cliente y estar al acecho para capturar ese Handshake. Mas tarde,
intentaríamos crackear ese Handshake para obtener la contraseña. Veámoslo en el
siguiente ejemplo:
Código:
airodump-ng --write chipichape --channel 6 eth1
aireplay-ng -0 20 -a 00:89:4F:D2:15:A3 -c 00:14:D8:7F:B1:96 eth1
aircrack-ng -w /ruta/al/diccionario chipichape-01.cap
http://www.cotse.com/tools/wordlists1.htm
http://www.cotse.com/tools/wordlists2.htm
http://ftp.se.kde.org/pub/security/tools/net/Openwall/wordlists/
A continuación una demostración con imágenes del proceso. En ellas podemos ver
como nos pide un diccionario para poder crackear la clave .
Muchas veces, al realizar el ataque3 (lo veremos más adelante ) vemos que las
peticiones ARP no arrancan, es decir, se quedan a 0. Lo que tenemos que hacer entonces
es generar peticiones ARP. Para ello, primero ejecutaremos el ataque 3, como lo
habríamos hecho de forma normal.
aireplay-ng -3 -b 00:89:4F:D2:15:A3 -h 00:14:D8:7F:B1:96 eth1
Entonces lo que tendríamos que hacer es provocar esa petición ARP. Para ello haríamos
un DoS en una consola a parte y esperaríamos a que se generase la primera petición
ARP. Una vez se hubiese generado la primera, iríamos a la consola que está realizando
el ataque DoS y pulsaríamos Ctrl+C para pararlo. Ahora iríamos a la consola que está
realizando el ataque 3 y veríamos como las peticiones ARP están subiendo a toda leche
^^. La mayoría de la gente no hace este ataque así, si no que se dedica a poner un valor
númerico en el ataque de deautenticación, generando un así un número de paquetes de
deautenticación directamente proporcional al estipulado. El contra de esta técnica es que
muchas veces con unos pocos paquetes de deautenticación no conseguimos nada, lo que
tenemos que hacer es enviar unos cuantos hasta que veamos que obtenemos la primera
petición ARP.
ATAQUE 1: AUTENTICACIÓN FALSA
A muchos de vosotros os habrá pasado, o si no os ha pasado os aseguro que os pasará,
que queréis crackear una red inalámbrica y no hay clientes conectados. El hecho de que
haya un cliente conectado a la red objetivo facilita mucho, pero que mucho la tarea.
Desgraciádamente, no siempre es así y para ello tenemos que hacer uso de tretas y de
nuestro ingenio (bueno, aquí el ingenio lo pone el programa ) para poder iniciar el
ataque sin clientes asociados.
Menú--Wifislax--HerramientasWireless--macchanger
Modo 2: Por medio del "macchanger" (consola):
Código:
macchanger -m 00:11:22:33:44:55 interfaz
Código:
ifconfig interfaz down
ifconfig interfaz hw ether 00:11:22:33:44:55
ifconfig interfaz up
Una vez hemos cambiado fakeado nuestra mac, procedemos a autenticarnos como falso
cliente. La sintaxis del comando será la siguiente:
Código:
aireplay-ng -1 N -e "ESSID" -a XX:XX:XX:XX:XX:XX -h FF:FF:FF:FF:FF:FF
interfaz
-1= Con esto indicamos que vamos a hacer el ataque 1 o "Autenticación falsa".
N= Es un número. Con él indicamos el intervalo de tiempo con el que queremos
asociarnos a nuestro AP. Por ejemplo, si queremos asociarnos cada 10 segundos,
mandará un paquete de asociación falsa cada 10 segundos.
-e= "ESSID": Aquí estamos indicando el nombre del AP al que queremos asociarnos
como falsos clientes, eso sí, ¡¡¡las comillas NO se ponen!!!
-a XX:XX:XX:XX:XX:XX= Aquí indicaremos el BSSID, es decir, la MAC del AP.
-h FF:FF:FF:FF:FF:FF= Aquí indicamos al MAC fakeada por nosotros mismos. En
nuestro caso "00:11:22:33:44:55".
interfaz= Vuestra interfaz
1.-Este ataque no siempre es eficaz. Existen routers con los que no funciona. De hecho
hay routers que requieren autenticación cada X periodo de tiempo... el problema está en
saber qué periodo de tiempo es el que tienen configurado. Por normal general, son 30
segundos.
2.- Para que este ataque funcione hay que tener activo el airodump-ng. ¿Por qué? Pues
porque como os dije, el airodump-ng es el encargado de la captura de paquetes y para
que este ataque se inicie necesitaremos un Beacon. ¿Qué es un Beacon? es un paquete
saludo que envía el AP para decirnos: "Eh! que estoy aquí!" ¿recordáis?
3.- Tenemos que configurar la tarjeta para el mismo canal del AP. ¿Cómo? Pues no sé si
lo recordaréis... ¡con el airmon-ng!
Código:
airmon-ng start interfaz canal
4.- Este ataque por si sólo no consigue nada. Tenemos que combinarlo con el ataque 3 o
con el ataque 4, que los veremos en seguida.
Ahora al grano , este ataque puede resultarnos muy útil. Consiste en ponernos a la
escucha, escoger un paquete y una vez elegido, inyectarlo. Esto lo podremos hacer, o
bien con el paquete que hayamos capturado al estar a la escucha, o seleccionando uno
que hayamos conseguido previamente, que estará en formato *.cap. Paso a explicar la
sintaxis de este ataque:
Código:
aireplay-ng -2 <opciones de filtro> <opciones de envío> -r <nombre del
archivo a enviar> interfaz
1.- Usándolo para radiodifundir los paquetes del AP y generar nuevos IV's
(Vectores de Inicialización)
Uno de los modos de usar este ataque es haciendo una difusión de los paquetes del AP y
así generar nuevos vectores de inicialización. Vale, tranquilos, imagino que muchos de
vosotros no habréis entendido nada de lo que he dicho. No os preocupéis, yo os lo
explico ^^. Cuando hablamos de hacer una difusión, hablamos de hacer un broadcast
(difusión en inglés). ¿Cómo, que estáis en las mismas? ¡pues no os preocupéis! Un
broadcast, es un modo de transmision de información en el que intervienen un nodo
emisor y un nodo receptor. El nodo emisor envía información a una multitud de nodos
receptores de manera simultánea sin necesidad de reproducir la misma transmisión nodo
por nodo. Las redes de área local, se basan en el uso de un medio de transmisión
compartido y por eso mismo, se puede difundir cualquier trama de datos a todas las
estaciones que estén en el mismo segmento de red. Sin embargo, para hacer esto
posible, necesitaríamos una dirección MAC especial, una que englobara a todas las
MAC's. Esta mac es la FF:FF:FF:FF:FF:FF. Todos los nodos receptores y emisores
procesan las tramas con dicha dirección así que no os preocupéis . De hecho los
routers, de vez en cuando, envían paquetes a la dirección FF:FF:FF:FF:FF:FF (por
ejemplo, los beacons ). Veamos un ejemplo de este ataque:
Código:
aireplay-ng -2 -p 0841 -b XX:XX:XX:XX:XX:XX -c FF:FF:FF:FF:FF:FF -h
YY:YY:YY:YY:YY:YY interfaz
En este ataque, usaremos un filtro para indicar el tamaño del paquete que queremos
inyectar. Como lo que queremos es inyectar peticiones ARP, en el filtro tendremos que
determinar un tamaño mínimo y un tamaño máximo equivalente al de una petición
ARP. Las peticiones ARP suelen tener un tamaño de 68 bytes cuando es un cliente
wireless y 86 bytes cuando es un cliente cableado. Nosotros por tanto usaremos un filtro
en el que los paquetes no bajen de 68 bytes pero no superen los 86 bytes.
Código:
aireplay-ng -2 -p 0841 -m 68 -n 86 -b XX:XX:XX:XX:XX:XX -c
FF:FF:FF:FF:FF:FF -h YY:YY:YY:YY:YY:YY interfaz
-2= Con esto indicamos que vamos a hacer el ataque 2 (reenvío interactivo de paquetes).
-p 0841= Con esto estamos fijando el "Frame Control" en el paquete. De esta manera,
parecerá que está siendo enviado desde un cliente.
-m 68= Indicamos la longitud mínima del paquete.
-n 86= Indicamos la longitud máxima del paquete
-c FF:FF:FF:FF:FF:FF fija la dirección MAC de destino como cualquiera (broadcast).
Esto se requiere para que el AP conteste al paquete y así generar el nuevo IV.
-b XX:XX:XX:XX:XX:XX= Esta MAC deberá corresponder con el BSSID, es decir, la
MAC del AP.
-h YY:YY:YY:YY:YY:YY= Esta será la MAC de nuestra tarjeta, es decir, la dirección
física desde la cual provienen los paquetes que vamos a reenviar. Recomiendo fakearla.
interfaz= Tu interfaz wifi.
Código:
aireplay-ng -2 -p 0841 -b XX:XX:XX:XX:XX:XX -c YY:YY:YY:YY:YY:YY -r
nombrearchivo.cap interfaz
Las claves con cifrado WEP utilizan un algoritmo de cifrado llamado RC4 de 64 bits
(bueno, eso inicialmente, ahora podemos encontar de 128 y de 256). La forma en la que
está compuestos estos 64 bits es la siguiente:
El vector de inicialización se genera de forma dinámica y varía para cada trama. Lo que
se pretende con los vectores de inicialización es cifrar los paquetes con claves diferentes
para que una tercera persona con malas intenciones (¿nosotros? no, solo testeamos
nuestra red wifi ) no acabe deduciendo la clave. Con un solo paquete, las
posibilidades de hallar la clave, si mal no recuerdo, son de 1/17.000.000. Eso supone
años y que el pc se te estropée si te pasas de tiempo con el aircrack. Por esta misma
razón,cuantos más IV's distintos, más posibilidades tendremos de descifrar la clave! Os
pongo un link en el que se habla bastante más sobre el CIFRADO WEP.
Código:
aireplay-ng -3 -b XX:XX:XX:XX:XX:XX -h YY:YY:YY:YY:YY:YY interfaz
De aquí:
-3= Estamos diciendo a aireplay que vamos a comenzar el ataque 3 (reenvío de
peticiones ARP).
-b XX:XX:XX:XX:XX:XX= Esto es la dirección MAC del AP o BSSID.
-h YY:YY:YY:YY:YY:YY= Esto es la dirección MAC del cliente asociado al AP.
Aquí podríamos poner un cliente real o un cliente falso (recordad el ataque -1 ).
interfaz= Es el nombre de tu interfaz wifi.
Con este ataque, del mismo modo que en el ataque -2 (reenvío de paquetes interactivo)
podemos seleccionar una ARP anteriormente guardada. Lo haríamos de la siguiente
manera:
Código:
aireplay-ng -2 -r nombredearchivo.cap -a XX:XX:XX:XX:XX:XX -h
00:11:22:33:44:55 interfaz
Traduciendo:
Lo que haremos aquí será, utilizar un cliente que esté conectado al AP y captar una
petición ARP para después reenviarla. Sin duda, de los tres, es el más efectivo. Esto lo
haríamos así:
Código:
aireplay-ng -3 -b XX:XX:XX:XX:XX:XX -h YY:YY:YY:YY:YY:YY interfaz
Código:
Saving ARP requests in archivo.cap
You should also start airodump-ng to capture replies.
Read 42 packets (got 0 ARP requests), sent 0 packets...
No olvidéis que si no os captura ninguna ARP, podéis tirar de un ataque DoS para así
desautenticar al cliente asociado y que vuelva a haber una petición ARP .
Aquí vamos a conjugar dos ataques, el -3 para capturar la petición ARP y el -1 para
crear un cliente falso (no olvidéis fakear la MAC). El ataque sería el siguiente:
Código:
aireplay-ng -3 -b XX:XX:XX:XX:XX:XX -h YY:YY:YY:YY:YY:YY interfaz
Código:
aireplay-ng -1 N -e ESSID -a XX:XX:XX:XX:XX:XX -h YY:YY:YY:YY:YY:YY
interfaz
Código:
aireplay-ng -2 -r nombredearchivo.cap -a XX:XX:XX:XX:XX:XX -h
00:11:22:33:44:55 interfaz
Lo primero que tenemos que hacer es poner en modo monitor nuestra tarjeta y fakearla.
Yo lo voy a hacer con una chipset atheros por lo que el procedimiento será el siguiente:
Código:
airmon-ng stop ath0
macchanger -m 00:11:22:33:44:55 wifi0
airmon-ng start wifi0
Código:
http://i35.servimg.com/u/f35/11/75/25/89/chop110.png
Código:
airodump-ng --channel N --w pruebaIH interfaz
Digo que lo iniciemos primero sin opciones de filtro, para poder así ver en que canal
está nuestro AP y una vez sabido escribir en un archivo llamado infiernohacker-01.cap
los paquetes obtenidos.
En una situación normal, nosotros podríamos tener dos posibilidades:
Bien pues en mi caso si que había un cliente asociado pero también explicaré lo que
habría que hacer si no hubiese ninguno. Seguimos con lo nuestro, una vez iniciado el
airodump-ng, realizamos el ataque -3 para estar a la escucha de peticiones ARP. Nos
autenticaremos posteriormente de forma falsa en caso de que no haya clientes con el
ataque -1 (en caso de haberlos no hace falta hacerlo y sustituiremos en el comando la
dirección fakeada por la del cliente asociado). Antes de hacer este ataque, tendremos
que haber fakeado nuestra MAC! Como nosotros ya la hemos fakeado, haremos el
ataque -3 y nos pondremos a la escucha de peticiones ARP:
Código:
aireplay-ng -3 -b XX:XX:XX:XX:XX:XX -h 00:11:22:33:44:55 interfaz
Una vez iniciado el aireplay-ng -3, procedemos a autenticarnos con el ataque -1
(autenticación falsa) en el susodicho caso de que no tuvieramos clientes conectados.
Código:
aireplay-ng -1 30 -e BSSID -a XX:XX:XX:XX:XX:XX -h 00:11:22:33:44:55
interfaz
Ya vimos anteriormente lo que significaba cada una de las partes de este comando.
Código:
aireplay-ng -4 -h 00:11:22:33:44:55 -r archivoguardado.cap interfaz
Código:
tcpdump -s 0 -n -e -r archivochop.cap
Esto nos dará la dirección IP del cliente conectado, justo lo que necesitábamos para
elaborar nuestra propia petición ARP . Usaremos entonces el packetforge-ng para
"forjar" nuestra propia ARP request]:
Código:
packetforge-ng -0 -a XX:XX:XX:XX:XX:XX -h YY:YY:YY:YY:YY:YY -k
IPdestino -l IPorigen arp.cap -y archivochop.xor -w arptuneada.cap
De aquí:
archivo.xor= Es uno de los dos archivos que nos dará el ataque -4 (el otro es el
archivochop.cap ) y que contendrá el Keystream.
-0= Indicamosque vamos a forjar un paquete ARP.
-a XX:XX:XX:XX:XX:XX= BSSID
-h YY:YY:YY:YY:YY:YY= MAC del cliente asociado.
-k IPdestino= Es la IP del router.
-l IPorigen= Es la IP del cliente conectado (previamente sacada con el tcpdump).
-y archivochop.xor= Este es el paquete que hemos obtenido con el ataque chopchop.
-w arptuneada= Aquí vamos a poner un nombre a nuestro nuevo paquete. Yo le he
llamado arptuneada pero si queréis vosotros podéis llamarle Rosa .
Bien, ¡¡YA TENEMOS NUESTRA PROPIA PETICIÓN ARP!!. Lo que tenemos que
hacer ahora es enviar el paquete a nuestro AP. ¿Cómo? Venga haz memoria! con el
ataque 2 (reenvío de paquetes interactivo).
Código:
aireplay-ng -2 -r arptuneada.cap interfaz
ATAQUE 5: FRAGMENTACIÓN
El ataque de Fragmentación consiste en capturar un PRGA, para después mediante el
paquetforge-ng, "forjar" paquetes que enviaremos a nuestra victima. Lo primero de
todo, ¿Qué es el PRGA? Son las siglas de Pseudo Random Generation Algorithm y se
utiliza en las redes wifi para aumentar la seguridad. El PRGA es una parte de un
paquete que está formada por texto plano y texto cifrado. El procedimiento de este
ataque es bastante parecido al Chopchop de Korek así que lo explicaré más por encima,
indicandoos por supuesto los pasos en común con el ataque visto anteriormente.
Para empezar, deciros que este ataque sólo funciona con cifrado WEP y por lo que he
leido en varios papers en inglés, los routers que se resisten a los ataques Chopchop de
Korek son más vulnerables ante los ataques de Fragmentación. Lo primero que haremos
será poner nuestra tarjeta en modo monitor:
Código:
airmon-ng start interfaz
No creo que haga falta explicar este comando de nuevo. Después, iniciamos airodump-
ng para capturar paquetes:
Código:
airodump-ng --channel --w prueba ath0
Bien, llegados a este punto, necesitamos un cliente conectado. Ya sabéis, si tenéis
alguien conectado, genial, si no, hacéis una autenticación falsa (-1) y ya está. Una vez
nos hemos autenticado de forma falsa o no lo hemos hecho porque ya teníamos un
cliente conectado, procedemos a hacer el ataque de Fragmentación:
Explico el comando:
El ataque empezará a leer paquetes y seleccionará uno que será fragmentado y mandado
al AP. Si el AP responde, el ataque habrá sido exitoso y se irán obteniendo bits hasta
obtener los 1500 bits de un PRGA. Una vez obtenidos los 1500 bits, el programa nos
informará de que ya tenemos nuestro xor y podremos empezar a forjar nuestros
paquetes con el packetforge-ng. Este ataque no tiene éxito siempre, de hecho no he
conseguido que me saliera en toda la tarde pero aún así, os pongo una captura de
pantalla (propia) y el mensaje que nos tendría que salir al conseguir los 1500 bits del
keystream.
Código:
Saving chosen packet in replay_src-0124-161120.cap
Data packet found!
Sending fragmented packet
Got RELAYED packet!!
Thats our ARP packet!
Trying to get 384 bytes of a keystream
Got RELAYED packet!!
Thats our ARP packet!
Trying to get 1500 bytes of a keystream
Got RELAYED packet!!
Thats our ARP packet!
Saving keystream in fragment-0124-161129.xor
Now you can build a packet with packetforge-ng out of that 1500 bytes
keystream
Una vez hemos conseguido nuestro xor, con el paquetforge-ng realizamos una petición
ARP y la reinyectamos con el ataque -2 tal y como hizimos con el ataque Chopchop.
[AIRCRACK-NG]~
Aircrack-ng es el programa que nos va a crackear la clave de nuestra red una vez
hayamos conseguido los suficientes IV's (vectores de inicialización). Aircrack-ng puede
sacarnos, no solo la clave en cifrado WEP si no también en cifrado WPA o WPA2-PSK.
Para estas dos últimas necesitaremos un diccionario.
Os muestro una captura del programa para describiros sus partes:
Cuando se usan técnicas estadísticas para crackear claves WEP, cada byte de la clave es
tratado de forma individual. Usando matemáticas estadísticas, la posibilidad de que
encuentres un byte determinado de la clave crece algo más de un 15% cuando se captura
el vector de inicialización (IV) correcto para ese byte de la clave. Esencialmente, ciertos
IVs “revelan” algún byte de la clave WEP. Esto es básicamente en que consisten las
técnicas estadísticas.
Usando una serie de pruebas estadísticas llamadas FMS y ataques Korek, se van
acumulando posibilidades o votos (votes) para cada byte de la clave WEP. Cada ataque
tiene un número diferente de votos asociado con él, por lo que la probabilidad de cada
ataque varia matemáticamente. Cuantos más votos tengamos de un byte o valor
particular, mayor probabilidad hay de que sea el correcto. Para cada byte de la clave, la
pantalla nos muestra el caracter más probable y el número de votos que ha acumulado.
Sobra decir, que la clave que tenga el mayor número de votos es la que más
probabilidades tiene de ser la correcta, pero no está garantizado. Aircrack-ng probará
continuamente de la más probable a la menos probable para encontrar la clave.
La aproximación estadística puede por si sola darnos la clave WEP de la red. Pero la
idea es que tambien podemos complementarlo con la fuerza bruta para realizar el
trabajo. Aircrack-ng usa la fuerza bruta para determinar cuantas claves se han de probar
para intentar encontrar la clave WEP.
Aquí es donde entra en juego el “fudge factor”. Basicamente el “fudge factor” le dice a
aircrack-ng hasta donde probar claves. Es como si quisiesemos encontrar un balón
diciéndole a alguien que el balón se puede encontrar entre 0 y 10 metros alrededor. Pero
si le decimos que el balón se encuentra entre 0 y 100 metros alrededor. En este
escenario de 100 metros le llevará mucho más tiempo realizar la búsqueda pero tendrá
más posibilidades de encontrarlo.
Por ejemplo, si le decimos a aircrack-ng que use un fudge factor de 2, dividirá los votos
del byte más probable, y probará todas las posibilidades con un número de votos de al
menos la mitad de los que tiene el caracter más posible. Cuanto mayor sea el fudge
factor, más posibilidades probará aircrack-ng aplicando fuerza bruta. Recuerda, que
cuanto mayor sea el fudge factor, el número de claves a probar crecerá tremendamente y
mayor será el tiempo que se esté ejecutando aircrack-ng. En cambio, cuantos más
paquetes de datos tengas, minimizarás la necesidad de aplicar fuerza bruta a muchas
claves, lo que hace que no trabaje tanto tiempo la CPU y se reduce mucho el tiempo
necesario para encontrar la clave.
Las técnicas mencionadas hasta ahora no funcionan para claves WPA/WPA2 pre-
shared. La única forma de crackear estas claves pre-compartidas (pre-shared) es a través
de un ataque de diccionario. Esta capacidad está tambien incluida en aircrack-ng.
Con claves pre-compartidas, el cliente y el punto de acceso establecen las claves que se
van a usar en sus comunicaciones al comienzo cuando el cliente se asocia por primera
vez con el punto de acceso. Hay cuatro paquetes “handshake” entre el cliente y el punto
de acceso. airodump-ng puede capturar estos cuatro paquetes handshake. Y usando un
diccionario con una lista de palabras, aircrack-ng duplica los cuatro paquetes handshake
para mirar si hay alguna palabra en el diccionario que coincida con el resultado de los
cuatro paquetes handshake. Si lo consigues, habrás identificado de forma satisfactoria la
clave pre-compartida.
Hay que resaltar que este programa hace un uso muy intensivo del procesador del
ordenador, y que en la práctica claves WPA pre-compartidas muy largas o inusuales no
podrán ser encontradas . Un buen diccionario te dará mejores resultados. Otra
posibilidad es usar un pograma como “john the ripper” para generar contraseñas que
podrán ser utilizadas por aircrack-ng.
Tu tienes los votos (votes) como en la captura de pantalla anterior. Para el primer byte
ves lo siguiente: AE(50) 11(20) 71(20) 10(12) 84(12)
Los AE, 11, 71, 10 y 84 son los valores posibles de la clave para el primer caracter (byte
0). Los números que están entre paréntesis son los votos que cada posible valor ha
acumulado hasta ahora.
50 / 3 = 16.666666
Aircrack-ng probará (fuerza bruta) todas las claves posibles que tengan un número de
votos superior a 16.6666, resultando que
AE, 11, 71
serán utilizados, por lo que tenemos un número total de 3 valores a probar para ese byte
o caracter (depth):
Cuando aircrack-ng está probando claves con AE, muestra 0 / 3, cuando acabe de probar
todas las claves con ese byte, pasará al siguiente con más votos (11 en este ejemplo) y
mostrará:
USO:
Código:
aircrack-ng [opciones] <archivo(s) de captura>
Aquí está la explicación para todas y cada una de las opciones disponibles:
EJEMPLOS DE USO:
El caso más simple es crackear una clave WEP. Si quieres probar esto por ti mismo,
aquí tienes un archivo de prueba. La clave de este archivo de prueba coincide con la de
la pantalla anterior de este tutorial, pero no coincide con la del siguiente ejemplo.
aircrack-ng 128bit.ivs
Donde:
Código:
Opening 128bit.ivs
Read 684002 packets.
El proceso de crackeo comienza, y una vez obtenida la clave, verás algo como esto:
Código:
Aircrack-ng 0.7 r130
Código:
Opening wpa2.eapol.cap
Opening wpa.cap
Read 18 packets.
Date cuenta que en este caso como hay dos redes necesitamos seleccionar la que
queremos atacar. Escogeremos la número 2. El programa entonces responde:
Código:
Aircrack-ng 0.7 r130
Master Key : CD D7 9A 5A CF B0 70 C7 E9 D1 02 3B 87 02 85 D6
39 E4 30 B3 2F 31 AA 37 AC 82 5A 55 B5 55 24 EE
Transcient Key : 33 55 0B FC 4F 24 84 F4 9A 38 B3 D0 89 83 D2 49
73 F9 DE 89 67 A6 6D 2B 8E 46 2C 07 47 6A CE 08
AD FB 65 D6 13 A9 9F 2C 65 E4 A6 08 F2 5A 67 97
D9 6F 76 5B 8C D3 DF 13 2F BC DA 6A 6E D9 62 CD
EAPOL HMAC : 52 27 B8 3F 73 7C 45 A0 05 97 69 5C 30 78 60 BD
La mejor de todas las técnicas es capturar tantos paquetes como sea posible; cuantos
más mejor. Esto es lo más sencillo y lo más importante. El número de vectores de
inicialización (IVs) que se necesitan para obtener una clave WEP varia dependiendo de
la longitud de la clave y del punto de acceso de que se trate. Habitualmente se necesitan
250,000 o más IVs para claves de 64 bit y 1.5 millones o más para claves de 128 bit. Y
por supuesto que muchos más para claves más largas. Pero si tenemos suerte, hay veces
que la clave WEP se puede obtener con 50,000 IVs o menos. Aunque esto no ocurre con
frecuencia. Y al revés, habrá veces en las que se necesitarán varios millones de IVs para
crackear la clave WEP. El número de IVs necesarios es muy dificil de predecir porque
la mayoría de los puntos de acceso actuales funcionan muy bien y no generan IVs
débiles que revelen parte de la clave WEP.
Generálmente, no intentes crackear la clave WEP hasta que tengas 200,000 o más IVs.
Si lo ejecutas con pocos IVs, aircrack probará muchas claves durante mucho tiempo y
no aplicará las técnicas estadísticas de forma adecuada. Puedes empezar probando con
claves de 64 bit “aircrack-ng -n 64 archivo.cap”. Si se está usando una clave WEP de 64
bit, normalmente será crackeada en menos de 5 minutos (y con frecuencia en menos de
60 segundos) con pocos IVs. Es sorprendente que haya tantos APs que usan claves de
64 bit. Si no encuentras la clave de 64 bit en 5 minutos, reinicia aircrack con el modo
genérico: “aircrack-ng archivo.cap”. Y cada vez que tengas 100,000 IVs más, reintenta
“aircrack-ng -n 64 archivo.cap” y déjalo 5 minutos.
Cuando llegues a 600,000 IVs, cambia y empieza a probar claves de 128 bit. Sería
extraño (pero no imposible) que fuese una clave de 64 bit y no se diese crackeado con
600,000 IVs. Por lo tanto ahora prueba “aircrack-ng archivo.cap”.
Cuando llegues a 2 millones de IVs, prueba a cambiar el fudge factor a ”-f 4”. Y déjalo
entre 30 minutos y una hora. Reintenta aumentando el fudge factor sumando 4 de cada
vez. Otra buena ocasión para aumentar el fudge factor es cuando aircrack-ng se para
porque ha probado todas las claves.
También lee la siguiente sección sobre como determinar las mejores opciones a usar.
Esto te puede ayudar tambien a acelerar el proceso de obtención de la clave WEP. Por
ejemplo, si la clave es numérica, podremos crackear la clave WEP con muchísimos
menos IVs si usamos la opción ”-t”. Entonces, si averiguas algo acerca de la naturaleza
de la clave WEP, es sencillo probar algunas variaciones para tener éxito.
Si los bytes son por ejemplo: 75:47:99:22:50 entonces es obvio que la clave está
formada solo por números, como los 5 primeros bytes. Por lo tanto obtendremos la
clave mucho antes y con menos IVs usando la opción -t para probar únicamente este
tipo de claves. Mira Wikipedia Binary Coded Decimal para ver una descripción de los
caracteres que busca la opción -t.
Si los bytes son 37:30:31:33:36 estos son todos valores numéricos si los convertimos a
Ascii (70136). En este caso, es una buena idea usar la opción -h. El link del FAQ
Converting hex characters to ascii te da información para relacionar los caracters
hexadecimales con los Ascii. De todas formas sabremos muy fácilmente que se trata de
caracteres numéricos porque veremos que empiezan todos los bytes por 3.
Y si los primeros bytes son algo como esto 74:6F:70:73:65, deberias de introducir esos
valores en tu editor hexadecimal favorito o en alguno de los links proporcionados
anteriormente, y verás, que puede ser el comienzo de alguna palabra, por lo que parece
que está usando una clave ASCII; en esta situación activa la opción -c para probar
únicamente con claves ASCII.
OTRAS PISTAS:
Para procesar varios archivos al mimso tiempo, se puede usar un cmodín como el * o
especificar cada archivo uno por uno.
Ejemplos:
Como has visto, si hay varias redes en tus archivos necesitarás elegir la que quieres
crackear. En lugar de hacerlo manualmente, puedes especificar la red que quieras en la
linea de comandos indicando su essid o su bssid. Esto se hace con las opciones -e o -b.
Otra alternativa es usar “John the Ripper” para crear un diccionario específico. Si sabes
que la palabra clave es el nombre de una calle además de 3 digitos. Puedes crear una
regla en JTR y ejecutar un comando como este:
Código:
john --stdout --wordlist=specialrules.lst --rules | aircrack-ng -e
test -a 2 -w - /root/capture/wpa.cap
Código:
Fuente: http://www.aircrack-ng.org/doku.php?id=aircrack-ng.es
[AIRDECAP-NG]~
Aquí también voy a pecar de hacer Copy/Paste de la página oficial ya que no hay mucho
que decir acerca de este programa y después de varias semanas trabajando en esta guía
he de decir que me encuentro un poco cansado.
USO:
Código:
airdecap-ng [opciones] <archivo cap>
EJEMPLOS DE USO:
El siguiente comando elimina las cabeceras wireless de una captura de una red sin
cifrado:
Código:
airdecap-ng -b 00:09:5B:10:BC:5A red-abierta.cap
Código:
airdecap-ng -w 11A3E229084349BC25D97E2939 wep.cap
Código:
airdecap-ng -e 'the ssid' -p passphrase tkip.cap
RECOMENDACIONES DE USO:
Para ESSIDs que contengan espacios, escribe el ESSID entre comillas: 'este contiene
espacios'.
Código:
Fuente: http://www.aircrack-ng.org/doku.php?id=airdecap-ng.es