Iniciación en Wireless Con Wifislax y Wifiway 1 0 Final Incluye Wep
Iniciación en Wireless Con Wifislax y Wifiway 1 0 Final Incluye Wep
Iniciación en Wireless Con Wifislax y Wifiway 1 0 Final Incluye Wep
Foro de elhacker.net Seguridad Informtica Hacking Wireless Wireless en Linux (Moderadores: rh3nt0n, longits, *dudux, ChimoC, KARR) Manual Wifislax, Wifiway Avanzado WEP y WPA Rockeropasiempre, Heavyloto y Zydas. Pginas: [1] Autor rockeropasiempre Desconectado Mensajes: 1.114
Tema: Manual Wifislax, Wifiway Avanzado WEP y WPA Rockeropasiempre, Heavyloto y Zydas. (Ledo 11096 veces) Manual Wifislax, Wifiway Avanzado WEP y WPA Rockeropasiempre, Heavyloto y Zydas. en: 22 Julio 2009, 00:31
INICIACIN EN WIRELESS CON WIFISLAX Y WIFIWAY 1.0 FINAL. INCLUYE WEP Y WPA.
Este tutorial viene de la mano de Rockeropasiempre, Heavyloto y Zydas. Cada uno hemos aportado nuestra propia experiencia y conocimientos. No habra sido posible realizarlo sin los aportes de las distintas pginas que a menudo visitamos como el foro de Elhacker.net, y Seguridad Wireless entre otras.
En la parte que toca a Linux, KARR aport su grano de arena, aportando apuntes y como no, algn que otro listado. Adems fue quien revis y di el ok al proyecto final. Esta gua en ningn caso est destinado a uso fraudulento o delictivo, el uso que se haga de este aporte queda nica y exclusivamente ligado a la responsabilidad de cada uno, quedando fuera de nuestras intenciones cualquier uso no debido, as como de la pgina de elhacker.net. Los programas a los que se hace mencin o referencia no estn destinados a tal uso, sino a la verificacin de la seguridad de nuestras propias conexiones.
INDICE GENERAL.
El ndice est confeccionado de forma que vayamos de menos a ms, as pues, los puntos quedan de esta manera:
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_avanzado_wep_y_wpa_rockeropasiempre_heavyloto_y_zydas-t261907.0.html (2 de 72) [18/09/2009 22:55:16]
WIFISLAX NO ME ARRANCA.
Si al comenzar con el arranque, nos encontramos con este problema, la primera opcin a revisar es el propio arranque de la BIOS, y asegurarnos de que est seleccionada como primera opcin de boteo el lector donde tenemos el disco. Es interesante comprobar que el disco no est araado, rayado o defectuoso.
Opcin 1.
Para introducirlos deberemos hacerlo al inicio del arranque. Esto quiere decir que deberemos escribirlos cuando se nos muestra la pantalla de Wifislax esperando que pulsemos enter para continuar. Desde aqu podremos introducir tantos cheatcodes como nos sean necesarios de uno en uno y pulsando enter tras escribirlo.
Opcin 2.
Tras pulsar enter en la opcin 1 sin meter ningn cheatcode, veremos una pantalla con el ttulo Wifislax Text mode. En esta pantalla se nos da la opcin de arrancar con un nico cheatcode, el cual elegiremos mediante las flechas de direccin. Si no pulsamos ninguna opcin, el programa arrancar normalmente, al igual que si directamente pulsamos enter sin tocar las flechas de direccin.
acpi=off Este cheatcode es til cuando al iniciar nos encontramos con un pantallazo negro. La forma de usarlo
es tan simple como seleccionarlo y pulsar enter, y as para el resto de cheatcodes de esta lista.
noagp Evita la deteccin de nuestra tarjeta grfica, y as evitar posibles errores que pueda causarnos en el arranque. nopcmcia Impide el acceso a la deteccin del puerto PCMCIA, evitando que pueda reconocernos una tarjeta de
ese tipo que nos est causando algn problema.
nohotplug Este en concreto, lo que hace es inhabilitar la deteccin de casi todo el hardware de nuestro
equipo. Quizs pueda ser el ms utilizado, por el simple hecho de que algunos tipos de hardware den cierta
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_avanzado_wep_y_wpa_rockeropasiempre_heavyloto_y_zydas-t261907.0.html (5 de 72) [18/09/2009 22:55:16]
guerra. Por eso este cheatcode procede a evitar la deteccin de los mismos, y ahorrarnos quebraderos de cabeza.
http://www.wifislax.com/manuales/cheatcode.php
Para continuar sera necesario, familiarizarse con algunos de los trminos ms usados , ya que de aqu en adelante nos harn falta. He asociado a cada trmino un color para verlo mejor en la imagen. Quede claro, que en la terminologa wifi, a veces se utilizan trminos que puedan parecer en un principio, un tanto agresivos, no obstante es obvio, que cuando nos referimos por ejemplo a la vctima, no significa que vayamos a agredir a nadie, ni que se tenga que aplicar en el sentido mas literal de la palabra. Son solo eso, trminos para entendernos mejor. Aqu va un pequeo listado.
AP = Access point, punto de acceso inalmbrico (router). MAC = Numeracin de cada tarjeta inalmbrica. Viene a ser el D.N.I de cada tarjeta. Victima = Nuestra red a verificar para su seguridad. Cliente = PC conectado con la vctima. STATION = Mac del cliente asociado con la vctima. (Flecha azul en la imagen). Shell = Ventana BSSID = Mac de la vctima (Flecha blanca). ESSID = Nombre de la red. (Flecha verde). POWER = Potencia de la seal de la red en cuestin. (Flecha roja). Datas, Ivs = Paquetes especficos con la informacin de la encriptacin. Beacons = Paquetes. Son simplemente eso, paquetes anuncio, que enva cada red.
Una imagen vale ms que mil palabras, estn sealados en colores distintos algunos de los trminos ms significativos.
Evidentemente no he sealado todos, pero los que quedan podemos intuirlos claramente. En la ventana superior izquierda podemos identificar los siguientes: RXQ: Es el valor de la seal limpia, es decir sin ruido, la potencia real de la red.
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_avanzado_wep_y_wpa_rockeropasiempre_heavyloto_y_zydas-t261907.0.html (7 de 72) [18/09/2009 22:55:16]
#/s: Este valor es variable y nos da el porcentaje de las datas que se capturan por segundo. En base a ello
podemos calcular aproximadamente cuanto tiempo nos llevar capturar un nmero determinado de Datas. Ch: Canal en que emite el Ap.
Mb: Muestra el valor en Megabits de la tarjeta vctima. Enc: Encriptacin de la red. Vara entre Open, Wpa, Wep y Wpa2. CIPHER: Este campo pertenece al cifrado de la red, y comprende los siguientes valores; WEP para redes
con encriptacin WEP. Valor nulo para redes sin encriptacin (OPEN). Y por ltimo los valores CCMP y TKIP para redes con encriptacin WPA AUTH: Autentificacin de la red. Existen dos tipos de autenticacin Open y Shared. Por lo general el campo perteneciente a este valor suele estar vacio, a excepcin de las redes WPA, las cuales mostrarn las siglas PSK tanto si la encriptacin es en WPA o WPA2. Y por ltimo una de las ms importantes, tal vez la reina de la casa; ARP: Estas son las siglas de ADDRESS REQUEST PREDICTION, en castellano es la traduccin de nuestra direccin Mac a una Ip para aumentar la velocidad de conexin. Por supuesto son muchas ms las palabras empleadas en la terminologa Wifi, pero ests quizs son las que considero necesarias para comenzar con todo esto. A medida que se vaya subiendo el rango de aprendizaje, el nivel de terminologa tambin subir, pero de momento, no toca. Por tanto, con estas tenemos para empezar.
Pci, para ordenadores de sobremesa. - Usb para estos ltimos y tambin para porttiles. - Tarjetas PCMCIA y Mini Pci, las dos explcitamente para porttil.
-
Lo primero a tener en cuenta y razn ms que IMPORTANTE, es el chipset que nuestro dispositivo monta, en base a ello podremos auditar con Wifislax o no. Quiero decir con esto, que si el chipset que el dispositivo monta, no es compatible con Wifislax, nada podremos hacer con esa tarjeta. Por eso es ms importante el chipset, que la propia marca del dispositivo en cuestin. Queda claro entonces que para auditar con el programa debemos tener en cuenta que no todos los dispositivos Wifi nos sirven para tal fin. En el siguiente listado vemos los principales chipset para poder auditar con Wifislax, junto con su *interface*.
* Qu es la interface?
La interface son las siglas con las que Wifislax interpreta cada chipset.
LISTADO DE INTERFACES.
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_avanzado_wep_y_wpa_rockeropasiempre_heavyloto_y_zydas-t261907.0.html (8 de 72) [18/09/2009 22:55:16]
Atheros = ath0 Este chipset se puede duplicar, es decir navega y captura. Creando las interfaces ath0 y ath1. Ralink = ra0 Ralink dispositivo Usb. = rausb0 Prism = eth0 Broadcom = eth0 Zydas = eth0 Realtek = wlan0 Intel 3945, 5500 4965 = wlan0 Intel 2200 = eth1 y rtap0 (Crea dos interfaces tambin) En algunos casos como veris, algunos chipset utilizan la misma interface que otros. Por ello deberemos estar atentos en el caso de que tengamos ms de un dispositivo Wifi instalado, y poder as identificar cada uno para su posterior utilizacin. En tal caso el programa asignar un nmero distinto a cada interface. Por ejemplo dos dispositivos Zydas los reconocera de esta forma: eth0, eth1, Dos dispositivos Ralink seran ra0, ra1. Un dispositivo Broadcom y otro Prism tambin los reconocera de igual manera, eth0, eth1. Uno con chipset Atheros y otro por ejemplo Usb Ralink, seran ath0 y rausb0. En el caso de que tengamos dos o ms dispositivos cuyas siglas sean idnticas, los reconocera numerndolos sucesivamente, por ejemplo eth1, eth2, eth3, etc.
Cdigo: lsusb
Cdigo: lspci
Siempre queda la forma artesanal, quitando el lateral del PC, y despus el tornillo para desmontar la tarjeta e inspeccionar que pone. En los Usb quizs lo tengamos ms complicado ya que no suele poner nada, pero indagando con el Everest seguro que daremos con ello.
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_avanzado_wep_y_wpa_rockeropasiempre_heavyloto_y_zydas-t261907.0.html (12 de 72) [18/09/2009 22:55:16]
http://hwagm.elhacker.net/htm/tarjetas.htm
COMO PONGO MI TARJETA EN MODO MONITOR? Estooooooo, uummm, pero que es modo monitor?
Respondiendo a la segunda pregunta, el modo monitor no es otra cosa que poner nuestro dispositivo en modo escucha, para poder ver que es lo que est pasando delante de nuestras narices pero que no vemos. Es como poner la oreja detrs de una puerta y no hacer ruido mientras nos enteramos de lo que pasa por nuestra red. A la primera pregunta, para poner la tarjeta en modo monitor lo haremos desde el mismo programa. Dependiendo del chipset de nuestra tarjeta lo haremos de un modo u otro. Me explico, en mi caso con Atheros, basta con ir a Men, Wifislax, asistencia chipset, asistencia chipset Atheros, modo monitor. Aplicaremos sobre nuestra interface y listo, ya estamos en modo monitor. Con la Usb Ralink el proceso es similar, solo que en vez de Atheros elijo Ralink forzar Rt73 sobre Rt750 y listo, modo monitor voila. Con una tercera antena, este caso Zydas, el proceso lo hago mediante Shell, escribiendo en la misma Iwconfig para que me la detecte primero y cuando me da la eleccin de interfaz, en caso de Zydas eth0, la selecciono y listo. Modo monitor activado. El proceso puede hacerse tambin manualmente mediante ventana y comando correspondiente. Para ello, abrimos Shell y escribimos el siguiente comando: Para Atheros Cdigo: airmon-ng start wifi0 De esta forma al usar la interface wifi0, lo que hemos hecho es crear una interface ath1 (que es la interface de atheros), y es esta la que se activa en modo monitor. En la foto vemos ambas formas de poner la tarjeta en modo monitor.
Observad que en este caso, para la Ralink con driver RT2500 tenemos que forzarla para utilizar el RT73 que es el funciona. *Ahora veremos como poner en modo monitor un dispositivo Usb con chipset Realtek en Wifislax 3.1 y poder usar airoscript con l. En este caso la tarjeta en si es la siguiente: GOLD USB 800mW con chipset Realtek. Una vez estamos ya en Wifislax 3.1, abrimos shell y escribimos para que detecte nuestra tarjeta: Cdigo: iwconfig Presionamos enter y de nuevo escribimos: Cdigo:
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_avanzado_wep_y_wpa_rockeropasiempre_heavyloto_y_zydas-t261907.0.html (15 de 72) [18/09/2009 22:55:16]
iwconfig wlan0 Recordad que wlan0 = la interface de Realtek Tras presionar enter escribimos: Cdigo: iwconfig wlan0 essid pepe No tiene por qu ser pepe, puede ser lo que vosotros queris, simplemente requiere un nombre, no tiene mayor historia. Vemos la imagen de abajo para que quede ms claro. Esta manera de poner el dispositivo con chipset Realtek, en modo monitor es solo en Wifislax 3.1, ya que en versiones a partir de Wifiway 1.0 ya est solucionado este problema, y no es necesario todo esto.
Tras presionar enter, lo nico que deberemos tener en cuenta es el hecho de no cerrar esa ventana, de lo contrario tendremos que volver a repetir el proceso. Pues nada, ya simplemente nos queda abrir airoscript y manos a la obra. Hay que comentar que para realizar el proceso inverso y deshabilitar el modo monitor, habra que realizar el proceso cambiando start, por stop. En una Shell escribir el siguiente comando; Para Atheros Cdigo: airmon-ng stop ath1 Recordad que ath1 fue la interface que nos cre anteriormente, en el caso de que tuviramos mas atheros, habra que hacerlo con el nmero que tocara; ath1, ath2, ath3, etc... Para hacerlo mediante el ratn, sera Men-Wifislax-Asistencia chipset-asistencia chipset Atherosmodo managed. Para la Ralink, en ventana escribir: Cdigo: airmon-ng stop rausb0 Para la Realtek: Cdigo: airmon-ng stop wlan0 Dicho esto, queda claro que el proceso puede hacerse en ambas formas, mediante el uso del ratn y el uso de comandos.
Una de las preguntas ms frecuente suele ser: Me suben los beacons pero no los datas Qu significa esto?. Esto no es otra cosa que simplemente estamos viendo pasar ante nuestras narices paquetes, pero estos no sirven , ya que solo son paquetes anuncio y por ende no contienen los datos de la clave. Obvia decir que si estamos capturando beacons y ningn data, estamos perdiendo el tiempo. La respuesta a la pregunta me suben los beacons pero no los datas es que sencillamente puede que el Ap no est navegando, que no estemos asociados a l, o que simplemente est ah, sin hacer nada, encendido. Pueden pasar miles de paquetes por nuestras narices, o mejor dicho por las narices de nuestra tarjeta. Pueden pasar muchos, muchsimos pero si no estamos asociados con la red en cuestin, eso es todo lo que vamos a ver. Solo veremos beacons. Para que el invento funcione, deberemos de asociarnos y capturar lo que verdaderamente nos interesa; datas. Fijaros en la siguiente foto.
Concretamente en la ventana Asociando con: (ESSID), se observa como nos hemos asociado con un cliente (Association sucessful:-), pero al no haber movimiento entre la red y el cliente conectado a esta, no podemos capturar. Lo que necesitamos entonces es generar el trfico de alguna manera, y as comenzar a provocar las peticiones ARP.
SE PUEDE SOLUCIONAR?
Si, para generar trfico con nuestra propia tarjeta deberemos echar mano del tuto que Heavyloto ya public en su da para tal fin, y nosotros vamos a usar ahora. Una vez empezado todo el proceso y viendo que no suben las datas, debemos fijarnos si hay clientes conectados. En caso afirmativo debemos asociarnos con un cliente y para ello abriremos Shell y escribiremos en la misma: Cdigo: aireplay-ng -3 b (Mac vctima) h (Mac cliente) (las siglas de nuestra interface)
optado por un buen chipset, aunque de todas formas nunca estamos exentos de que se nos avere.
NO CONSIGO INYECTAR
Para inyectar necesitamos una vez ms peticiones ARP. Para generar peticiones, deberemos seguir los pasos ledos antes, pues al asociarse con un cliente o siendo uno mismo, empezaremos a capturar peticiones. Si no hay peticiones ARP, es la pescadilla que se muerde la cola, porque no tenemos nada, y por tanto la inyeccin no funciona. Nos fijamos para verlo ms claro en la imagen de abajo, en la ltima lnea, vemos como hay 0 peticiones del ARP. La solucin como se puede preveer pasa por repetir los pasos citados antes y volver a asociarse con un cliente o generarlo, si no lo hubiese. Nota: Esto no es una ciencia exacta, y puede que tardemos 1 minuto, o 1 mes en capturar la primera peticin ARP, por tanto el uso de Wifislax conlleva la prctica de la paciencia y la persistencia.
Ahora nos fijamos en la siguiente imagen, donde las peticiones ARP ya estn disparadas, (nada que ver con la imagen anterior, fijaros bien) adems observamos por curiosidad la flecha blanca que seala a las datas, que ya han sobrepasado las 250.000, y en la ventana de Aircracking que ya est buscando la key.
En la ltima foto vemos como ya ha soltado la key con poco ms de 540.000 datas, iv's, (ventana derecha aircracking). Volvindonos a fijar ahora en la ventana: "capturando datos del canal 2" , fijaros por curiosidad, la cantidad que lleva capturada (flecha blanca). Pero lo que de verdad importa es empezar a capturar peticiones ARP, que ahora andan por algo ms de los 8 millones.
que ocurrir es que necesitaremos capturar mas. As que, que no nos pille de sorpresa esto, ni tampoco nos lleve a la desesperacin, simplemente pasa. En la imagen de abajo se muestra la ventana de aircracking dicindonos que algo ha fallado. La solucin pasa por seguir capturando datas y continuar con el proceso tal cual, volviendo a abrir aircrack cuando lo estimemos oportuno.
La imagen de abajo es la consecucin de la anterior. Ha sido necesario capturar 400.000 ms para este fin.
Como se ve, todo es siempre cuestin de paciencia y persistencia. Entonces, es imposible sacar la key con cantidades menores? Pues no, no es imposible. Eso s, hay que tener en cuenta que una clave en 104 bits, ser fcil que nos haga falta capturar mas datas, que otra ms corta. Hay mtodos y formas para lanzar el aircrack. El kit de la cuestin est en aprender a manejar de una forma correcta este asunto. Esto se consigue con la lectura y el
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_avanzado_wep_y_wpa_rockeropasiempre_heavyloto_y_zydas-t261907.0.html (26 de 72) [18/09/2009 22:55:16]
estudio de buenos manuales que ya andan por Elhacker.net hace tiempo. En ellos se explica de forma muy detallada el uso y manejo de esta cuestin. Como detalle apuntar que el aircrack-ptw es bastante ms eficaz y rpido que el aircrack-ng. No voy a extenderme mas sobre este asunto, tan solo veremos de una forma rpida como proceder. Vemos unas capturas.
Como se aprecia en la ventana de captura (izquierda superior), las datas ni siquiera llegan a 21.000 y el aircracking ha resuelto la key con tan solo 19.488 paquetes. El proceso es simple pero ha de ser
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_avanzado_wep_y_wpa_rockeropasiempre_heavyloto_y_zydas-t261907.0.html (27 de 72) [18/09/2009 22:55:16]
ejecutado correctamente. Para ello explicar el orden que se ha seguido. Lo primero, a estas alturas ya debera ser obvio. Es decir, poner tarjeta en modo monitor, escaneo, etc., etc. Una vez capturando, procederemos a lanzar el aircrack, abriendo para ello una Shell, y escribiendo el comando Cdigo: aircrack-ptw Dejamos un espacio tras este comando, y posteriormente arrastraremos la captura del AP correspondiente. La captura deberemos buscarla siguiendo la ruta: /root/swireless/airoscript
La arrastraremos desde esa ventana hasta la Shell donde tenemos el comando aircrack-ptw esperndonos.
Con esto conseguimos que aircrack empiece a trabajar desde ya, pero eso no quiere decir que tenga que resolverla con la cantidad que en ese momento tiene capturada, ver sino en la imagen siguiente como se han realizado varios intentos hasta que di resultado.
Como se puede apreciar en este caso concreto, el primer intento fue con 14.141 paquetes y este err, el segundo con 16.067 tambin fall, el tercero ni siquiera se molest, y el cuarto fue el definitivo. Para ir cerrando este tema, comentaros que el proceso puede efectuarse con distintas frmulas como el comando aircrack-ptw y tambin con aircrack-ng. Adems hay que comentar que existe una tercera opcin que sera con el comando aircrack-ng -z, esta ltima opcin es bastante interesante, ya que nos permite dejar nuestro pc capturando, y el solito volver a intentarlo cada 5.000 datas. Esta opcin, la cual tiene una presentacin mas "bonita" tiene por contra que en porttiles puede darnos problemas de calentamiento. Realizar vuestras propias pruebas al respecto, sin olvidaros tambin que aircrack puede lanzarse tambin desde airoscript
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_avanzado_wep_y_wpa_rockeropasiempre_heavyloto_y_zydas-t261907.0.html (30 de 72) [18/09/2009 22:55:16]
sin necesidad de hacerlo mediante Shell y comandos. Est explicado en el manual bsico para Wifislax, y recordad que la cantidad de datas es una ciencia casi inexacta que en ocasiones nos llevarn minutos, y otras se nos irn las horas, das o vete t a saber cunto. Esta gua no representa un manual en s, sino ms bien es el apoyo que completa el manual bsico para Wifislax. Por eso hago hincapi en que deben de leerse otros muchos tutoriales y manuales que son los que en definitiva nos llevan a este punto concreto en el que nos encontramos hoy. Por eso apunto algunos enlaces que nos sern de mucha ayuda y no son solo recomendables sino ms bien obligatorios para poder llegar a entender las cosas de pleno. La Biblia, manual por excelencia y obligatorio: LA BIBLIA VERSION ORIGINAL AIRCRACK POR DEVINE LA BIBLIA VERSION ACTUALIZADA POR MISTERX Otros enlaces muy interesantes y prcticamente obligatorios tambin, son estos: COMANDOS LINUX DEFINICIONES AIRCRACK-NG ATAQUES WIFISLAX GUIA NESTUMBLER Nestumbler es el programa por excelencia en deteccin de redes y entre otras cosas nos muestra la potencia de la seal, el ruido, mac del ap, essid, canales, etc. En definitiva es obligatorio cuando escaneamos desde Windows, ya que en base a ello, tendremos una mejor referencia a la hora de usar Wifislax. (No olvidemos que Wifislax corre bajo Linux). Podremos encontrarlo fcilmente en la red. Mi especial agradecimiento al amigo KARR, por sus aportes, su tiempo y su paciencia. Sin ms prembulos, vamos a pasar al siguiente punto de este tutorial.
2.- INTRODUCCION A LA SEGURIDAD WEP. Por Heavyloto. DIFERENTES TIPOS DE ATAQUES POR COMANDOS EN WIFISLAX O WIFIWAY, EN ESTE CASO USAREMOS WIFIWAY 1.0 FINAL.
- Ataque 0: Desauntentificacin - Ataque 1: Autentificacin falsa - Ataque 2: Seleccin interactiva del paquete a enviar
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_avanzado_wep_y_wpa_rockeropasiempre_heavyloto_y_zydas-t261907.0.html (31 de 72) [18/09/2009 22:55:16]
En primer lugar decir, que este manual/tutorial, est creado para, comprobar la vulnerabilidad de nuestras redes, y no para fines maliciosos o delictivos, siendo de cada uno la responsabilidad del uso que se le d. Una vez ya hemos abierto el Cd live (Wifislax, Wifiway), abrimos una Shell o consola, en la cual comprobamos la interface de nuestra tarjeta, en este caso es una Alfa Usb 500mv, con chipset Realtek 8187L y ejecutamos el siguiente comando, Cdigo: iwconfig
Aqu nos dir, si nuestra tarjeta es reconocida por el sistema o no lo es. Bien sabiendo ya la interface de nuestra tarjeta que puede ser, wlan0, wlan1, ath0, etc, etc, dependiendo del chipset claro est. En este caso es wlan0, (puesto que es Realtek), ejecutamos el airodump-ng, para abrir el escner de redes en la misma Shell. Cdigo: airodump-ng wlan0
Una vez abierto el escner de redes como veis en la foto, nos muestra todas las redes a nuestro alcance. Seleccionamos nuestra red, de la cual debemos saber, bssid (Mac del AP), ch (canal donde emite), essid (nombre del AP), vamos a crear un archivo donde se guardaran nuestras capturas, paramos el escner, con Ctrl+c, y escribimos en la misma Shell: Cdigo: airodump-ng -c ch -bssid (Mac del AP) -w (nombre archivo) wlan0 Nota: de aqu en adelante tomaremos como referencia el bssid aa:bb:cc:dd:ee:ff de una forma simblica, entendemos que cada uno pondr la que le corresponda en su caso. Por ejemplo el canal es, el 6 y la bssid es, aa:bb:cc:dd:ee:ff (se entiende que habremos de poner los reales), el nombre del archivo lo inventamos, por ejemplo, lan, quedara as; Cdigo: airodump-ng c 6 -bssid aa:bb:cc:dd:ee:ff w lan wlan0
Una vez hemos ejecutado esto nos quedara en pantalla nuestro AP, donde veremos si hay cliente, que aparecer debajo de STATION. Si no lo hay, en otra Shell, sin cerrar esta, ejecutamos el siguiente comando que pertenece al Ataque 1. Cdigo: aireplay-ng -1 30 -o 1 -e (nombre bssid) -a aa:bb:cc:dd:ee:ff -h (Mac de nuestra tarjeta) wlan0
Bien, suponiendo que nuestro AP se llama PERICO, y la Mac de nuestra tarjeta es 00:11:22:33:44:55, quedara as: Cdigo: aireplay-ng -1 30 -o 1 -e PERICO -a aa:bb:cc:dd:ee:ff -h 00:11:22:33:44:55 wlan0
En el caso de que se llame PERICO DE LOS PALOTES, pondremos el nombre entre comillas, ya que cuando el essid lleva espacios se hace de esta forma. Ejemplo: Cdigo: aireplay-ng -1 30 -o 1 -e PERICO DE LOS PALOTES -a aa:bb:cc:dd:ee:ff 00:11:22:33:44:55 wlan0
-h
Ahora saldr la Mac de nuestra tarjeta debajo de STATION, (en algunas ocasiones). Como ya sabemos, estamos haciendo una asociacin falsa a nuestro AP, que si hemos tenido xito y estamos asociados, debajo de AUTH saldr OPN, y saldr la Mac de nuestra tarjeta debajo de STATION, (esta Shell podemos pararla) en otra Shell ejecutamos el Ataque 3. Cdigo: aireplay-ng -3 -b aa:bb:cc:dd:ee:ff -h 00:11:22:33:44:55 wlan0
Si tenemos suerte y conseguimos inyectar, estarn subiendo las datas al mismo tiempo ms o menos que las peticiones ARP, que a la vez, se estarn guardando en el archivo que creamos al principio. Una vez hayamos superado las 50.000 datas, (mas o menos, podemos hacerlo antes, pero es aconsejable a partir de ah), ejecutamos aircrack, en otra Shell, de la siguiente manera. Como nosotros lo habamos llamado lan, lo haremos as: Citar
aircrack-ptw lan-01.cap
Y hay esta nuestra clave, (foto de arriba). En este caso, hemos necesitado 44.092 datas y hemos capturado 39.921 paquetes Ahora bien, si resulta que ya tenemos un cliente (siguiente foto, donde apunta la flecha) y su Mac es aa:bb:cc:dd: ee:ff, aplicamos directamente el Ataque 3.
Ataque 3
Cdigo: aireplay-ng -3 -b
Mac vctima -h
aa:bb:cc:dd:ee:ff interface
Asocindonos de esta manera con la Mac del cliente, en este caso aa:bb:cc:dd:ee:ff
Donde, ocurrir tambin lo mencionado anteriormente, y la misma operacin, en alcanzar datas suficientes y capturar los paquetes necesarios, igual que antes, ejecutamos; Cdigo: aircrack-ptw (nombre archivo)-01.cap
Que con un poquito de suerte nos dir la clave, que ente caso, hemos necesitado, 44.351 datas y 34.173 paquetes. (Foto de arriba, ventana pequea). Ahora, vamos al momento en que nuestro AP a pesar de estar correctamente asociado, o tener cliente, no conseguimos inyectar, por que las datas no suben o suben muy despacio, y no hay manera de enganchar una para la inyeccin. Utilizaremos el Ataque 2, o bien despus de un Ataque 1, o un Ataque 3, segn correspondiera, si hubiera cliente o no, sera el siguiente comando. Cdigo: aireplay-ng -2 p 0841 c ff:ff:ff:ff:ff:ff b (bssid del Ap) h (nuestra bssid o la del cliente) wlan0
Como estamos asociados con xito, utilizamos nuestra Mac o bssid, (la real, no la simblica que en este caso es 00:11:22:33:44:55) Cdigo: aireplay-ng -2 p 0841 c ff:ff:ff:ff:ff:ff b aa:bb:cc:dd:ee:ff -h
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_avanzado_wep_y_wpa_rockeropasiempre_heavyloto_y_zydas-t261907.0.html (43 de 72) [18/09/2009 22:55:17]
00:11:22:33:44:55 wlan0
Nota: En este ataque si que hay que poner tal cual ff:ff:ff:ff:ff:ff, ya que as lo requiere el propio ataque.
Aqu estamos enviando paquetes, a la espera de que suba una data que nos facilite la inyeccin, a veces es con la primera que sube pero otras no, por lo que repetimos el ataque, hasta que nos funcione, aqu hemos tenido suerte y lo ha hecho con la primera como veis en la siguiente imagen.
Ahora nos preguntar si queremos utilizar los paquetes, simplemente le decimos, yes.
A partir de ahora empezaremos a capturar, si tenemos suerte a una velocidad razonable, fijaros sino en las tres flechas que marco a continuacin.
Cuando utilicemos este ataque, debemos tener en cuenta que vamos a necesitar 500.000, Ivs, datas, para obtener la clave, podemos atacar antes, a veces funciona pero esa es la cantidad recomendable, aqu aircrack, lo utilizamos sin el ptw, quedara as. Cdigo: aircrack lan-01.cap
Como veis, nos ha dado la clave y su conversin a ASCII Para terminar vamos a ver de una forma breve el famoso Chop Chop de Korek.
foro hermano Seguridad Wireless, que lo hace de una forma sencilla y comprensible, en la linea en que se basa este tutorial. Con su permiso hemos aadido, su post en Seguridad Wireless
http://foro.seguridadwireless.net/manuales-de-wifislax-wifiway/chop-chop-con-bosslanalfa-a1a4-a2-sin-clientes/
Y esto es todo lo que puedo ofrecer, a base de comandos en Shell, por supuesto hay varias formas de interpretar los comandos, aqu hemos utilizado una de ellas, espero que este clarito, y os sirva de ayuda en la seguridad de vuestras redes.
WLANDECRYPTER
Ahora vamos a comprobar la vulnerabilidad de las redes WLAN_XX de telefnica. El Wlandecrypter es un pequeo generador de diccionarios para este tipo de redes, el cual se incluye en la distro Wifiway 1.0 final. El funcionamiento de Wlandecrypter es muy sencillo y bsico. Lo nico, que no poco, jeje, que hace este programa es generar un diccionario con las posibles claves WEP de las redes WLAN_XX. Mas abajo lo generaremos para verlo mas claro, lo marco con tres asteriscos para que sepamos en que momento lo estamos creando y no nos perdamos. Yo voy hacer una demostracin de su sencillez de uso, ya que con pocos paquetes, nos dar la clave en pocos segundos. En esta ocasin voy a usar esta tarjeta; GOLD USB Wireless 54Mbps 802.11g Chipset Zydas. Bien, abrimos airodump-ng para visualizar las redes como ya sabemos, en esta tarjeta la interface tambin es wlan0, con lo cual escribimos: Cdigo: airodump-ng wlan0 Aqu seleccionamos, nuestra WLAN_XX para capturar paquetes, de la siguiente manera y teniendo en cuenta que vamos a crear el archivo que llamaremos lan, y la bssid del AP es 00:11:22:33:44:55 Cdigo: airodump-ng bssid 00:11:22:33:44:55 w lan wlan0 Y quedar de la siguiente manera:
*** Ahora vamos a generar un diccionario con las posibles claves, usando este comando para Wlandecrypter. Cdigo: wlandecrypter 00:11:22:33:44:55 WLAN_XX diccionario
Hemos generado un fichero, llamado diccionario que contiene las posibles claves, a continuacin ejecutamos aircrack-ng aadiendo el diccionario creado y nuestro archivo. Cdigo: aircrack-ng w diccionario lan-01.cap
ya tenemos nuestra clave, con muy poquitos paquetes, en un plis plas, sencillo verdad?, pues esta es la seguridad que tenemos en nuestra WLAN_XX, con cifrado WEP. Wlandecrypter no es el nico programa para redes concretas, entre otros tenemos; Jazzteldecrypter, Decsagem, Netgear, y otros cuantos mas que se estn gestando para aparecer en un futuro no muy lejano. Cuando lo veamos oportuno iremos actualizndonos en todo este terreno. De momento aqu os he dejado parte de nuestro trabajo, que como coment antes iremos extendiendo con el tiempo.
En lnea
Manual Wifislax, Wifiway Avanzado WEP y WPA Rockeropasiempre, Heavyloto y Zydas. Respuesta #1 en: 22 Julio 2009, 00:48
Para que la cosa no se complique a la hora de instalar programas en Linux nos basaremos en los programas que trae por defecto Wifiway 1.0 final, aunque algunos programas tambin se encuentran en Windows, iremos mostrando los enlaces.
el PC y el router, mientras que en la WPA la clave solo aparece en el momento de la conexin. En la WPA una vez se haya autentificado el usuario con el router , la clave ya no aparece en los datos transmitidos. Para conseguir una clave WEP es necesario obtener la mayor cantidad posible de datas porque as tenemos mayor probabilidad de encontrar la clave, no ocurre lo mismo para las WPA. 2.- Capturar un handshake (Clave WPA encriptada).
La clave WPA encriptada se llama handshake, entonces, para poder obtener la clave, primero debemos capturar un handshake, es decir el paquete o data que contiene la clave WPA en si, y se transmite en el momento de conexin entre el usuario legtimo y el router. Solo este paquete contiene la clave.
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_avanzado_wep_y_wpa_rockeropasiempre_heavyloto_y_zydas-t261907.0.html (54 de 72) [18/09/2009 22:55:17]
Primero tenemos que escanear con airodump para encontrar la red con clave Wpa, para ello abrimos shell y lanzamos airodump-ng. Cdigo: airodump-ng <interface> * Ya nos qued claro como abrir un shell, que es y como identificar la interface de nuestro dispositivo en la seccin de Wifislax de Rockeropasiempre,. * Nos tiene que aparecer alguna red con clave Wpa lgicamente para poder continuar.
Tenemos una red con clave WPA llamada wpa_psk (imagen de arriba) que usaremos como ejemplo para el ataque. Para ello volvemos a lanzar airodump pero con los filtros para poder capturar solamente esa red. Cdigo: airodump-ng -c <canal> --bssid <mac ap> -w <archivo.cap> <interface>
Como hemos comentado antes, la clave WPA solo se transmite en el momento de la conexin y si tenemos que esperar a que un cliente legtimo se conecte y transmita el handshake cuando nosotros estemos preparados para su captura nos podemos hacer viejos. As que nos las vamos a ingeniar para que el cliente legtimo se caiga de su red y de forma automtica se vuelva a conectar, nosotros estaremos esperando ese preciado paquete que contiene el handshake. Vamos ahora a capturar nuestro handshake, para ello lanzamos un A0 en el canal de nuestro cliente, para ello lanzamos el ataque A0 30 veces. (Esto no quiere decir abrir 30 ventanas Cdigo: aireplay-ng -0 30 a <mac ap> -c <mac cliente> <interface> )
*SI NO HAY CLIENTE CONECTADO NO HAY HANDSHAKE Cuando haya terminado y sin parar el airodump-ng lanzamos aircrack-ng para ver si nuestra seal es suficientemente fuerte para hacer caer de la red a nuestro cliente legtimo y hemos capturado el handshake. Usaremos el siguiente cdigo. Cdigo: aircrack-ng achive-01.cap
Si no aparece el mensaje WPA (1 handshake) (imagen de arriba) es que hemos fracasado y debemos repetir el A0 o tambin aumentar nuestro nivel de seal para que nuestra seal sea ms fuerte que la del cliente y poder desconectarlo *(DoS). *(DoS) Ataque DoS. Denegacin de servicio. Si nos falla el A0 para obtener el handshake, probaremos lanzando el programa mdk3 incluido tambin en wifiway 1.0. En este manual utilizaremos los parmetros por defecto, pero para aquellos que quieran realizar sus propias pruebas aqu os dejo las opciones. Cdigo: mdk3 <interface> m t <mac ap>
Estas son las opciones para wpa_tkip: m -Michael shutdown exploitation (TKIP) Cancels all traffic continuously -t <bssid> Set Mac address of target AP
-w <seconds> Seconds between bursts (Default: 10) -n <ppb> Set packets per burst (Default: 70) -s <pps> Set speed (Default: 400)
Con este ataque mdk3 se suprime todo el trafico entre el AP y el cliente de forma continua, hasta que anulemos el ataque con Ctrl+c, y por tanto haciendo que el cliente legtimo se desconecte. Este ataque se debe estar ejecutando durante unos segundos (entre 10 y 40) para asegurar DoS (denegacin de servicio). Una vez lanzado mdk3 volvemos a comprobar con aircrack si hemos obtenido el handshake, si no es as, tendremos que aumentar nuestro nivel de seal, para ello podemos usar antenas de mayor ganancia, acercarnos al router, usar amplificadores, etc.
SI NO HAY HANDSHAKE NO HAY CLAVE WPA. YA TENGO UN HANDSHAKE --- ATAQUE POR DICCIONARIO 1.- Usando aircrack-ng
Una vez tengamos un handshake capturado en un archivo cap., lo que haremos es lanzar aircrack-ng con la opcin w para archivos cap. y ataque por diccionario, al igual que se usa en Wlandecrypter, para ello lanzaremos el siguiente comando: Cdigo: aircrack-ng w <diccionario.lst> < archivo-01.cap >
Despus de que termine aircrack-ng y comparar cada una de las palabras con el handshake del achivo-01.cap, nos mostrar el siguiente mensaje, (si la clave ha sido encontrada).
Para aquellos que usan Windows aqu tienen Cowpatty para Windows. Este programa puede trabajar de dos formas, una forma de trabajar es igual que aircrack-ng, de forma que le damos como entradas el diccionario, el archivo cap. y el essid. Cdigo: cowpatty r <archivo-01.cap > f <diccionario plano> -s <essid>
Otra forma es creando un rainbow table con hash-1 y el diccionario. Este tipo de ataque es mucho ms rpido que aircrack-ng, pero tiene el inconveniente de que primero debemos crear un diccionario pre computado (rainbow table) y slo es vlido para la misma essid, es decir que si tenemos una red con diferente nombre (diferente essid) no podemos usar el mismo rainbow table, debemos crear otro con el nuevo essid, aunque el diccionario sea el mismo. Esto es debido a que la clave WPA est mezclada con el nombre de la red (essid) y por lo tanto slo es vlido para ese nombre de red.
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_avanzado_wep_y_wpa_rockeropasiempre_heavyloto_y_zydas-t261907.0.html (60 de 72) [18/09/2009 22:55:17]
La ventaja de este sistema es, que existen redes con el mismo essid como por ejemplo TELE2, y por lo tanto nos valdra el mismo rainbow table y la obtencin de la clave WPA se hara en unos pocos minutos (si ese diccionario es bueno y contiene la clave).
Con este comando hemos creado un diccionario pre computado (rainbow) llamado hash-1wpa , para despus utilizarlo con el Cowpatty, dependiendo del tamao del diccionario puede durar horas. Este es el mismo procedimiento que utiliza el programa wpa_passphrase (incluido en Wifiway) pero con diccionario plano
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_avanzado_wep_y_wpa_rockeropasiempre_heavyloto_y_zydas-t261907.0.html (61 de 72) [18/09/2009 22:55:18]
y almacenando el resultado en un rainbow table. Cuando termine genpmk-ng lanzaremos el Cowpatty que es mucho ms rpido que aircrack-ng ya que parte del trabajo lo hemos hecho con genpmk-ng. Cdigo: cowpatty r <archive-01.cap > d <rainbow table> -s <essid>
Una vez que haya terminado, si la clave est en rainbow table (diccionario pre computado) tendremos la clave. Si nuestra clave no se encuentra en el diccionario, entonces tendremos que probar con otros diccionarios, aqu tenis unos cuantos links para que tengis vuestro PC ocupado.
Aqu tenis unos conversores de texto plano de un sistema operativo a otro. http://www.gammon.com.au/files/pennmush/unix2dos.zip - 19K - program to convert unix text files to DOS format http://www.gammon.com.au/files/pennmush/dos2unix.zip - 19K - program to convert DOS text files to Unix format http://www.gammon.com.au/files/pennmush/mac2unix.zip - 19K - program to convert Macintosh text files to Unix format http://www.gammon.com.au/files/pennmush/unix2mac.zip - 19K - program to convert Unix text files to Macintosh format http://www.gammon.com.au/files/pennmush/unix2dos.c - 7K - source code used to compile above 4 conversion programs
Para aquellos que usis Windows aqu tenis Johntheripper para Windows, es posible que vuestro antivirus lo confunda con un virus al igual que ocurre con cain. No voy a ser muy exhaustivo con este ataque ya que es muy lento y muy poco efectivo en claves WPA pero es un clsico del hack. Para lanzar John con diccionario usar este comando: Cdigo: john --stdout --wordlist=<diccionario> --rules | aircrack-ng e <essid> -a 2 -w <archive.cap> Para usar John como fuerza bruta y que tome todas las combinaciones, usar este comando: Cdigo: John -incremental=all | aircrack-ng.exe e <essid> -a 2 -w <archivo.cap>
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_avanzado_wep_y_wpa_rockeropasiempre_heavyloto_y_zydas-t261907.0.html (64 de 72) [18/09/2009 22:55:18]
YA TENGO UNA HANDSHAKE --- ATAQUE POR FUERZA BRUTA CON DISTRIBUTED PASSWORD RECOVERY
Este programa est diseado especialmente para descubrir claves por fuerza bruta y trabaja bajo Windows, no voy a poner el link de descarga ya que es un programa de pago. Distributed password recovery puede trabajar con la CPU de nuestro PC o con la GPU (procesador de la tarjeta grfica) de tarjetas Nvidia. Para poder trabajar con la GPU es necesario tener los ltimos drivers actualizados, como yo no tengo Nvidia slo explicar para trabajar con la CPU. Este programa parece ser el Tendn de Aquiles de las WPA porque aunque trabaje por fuerza bruta es capar de utilizar las GPU que son 140 veces ms rpidas que las CPU. Lo primero que debemos hacer es ejecutar el programa Distributed Agent si no est ejecutndose, y lo mantendremos minimizado ya que ste se encargar del control de la CPU, despus lanzaremos Distributed password recovery y abriremos nuestro archivo cap. con el handshake.
Una vez abierto el archivo cap. nos aparecer una ventana como la de abajo, en donde el programa reconoce que el archivo cap. contiene una clave WPA, y nos muestra el nombre de la red, la mac del AP y la mac del cliente.
Ahora tendremos que elegir la longitud de caracteres, y que caracteres vamos a utilizar para la fuerza bruta. Normalmente se elegir el abecedario en minsculas y los nmeros del 0 al 9 con una longitud de la clave de 8 caracteres como mnimo y un mximo que puede ser desde 8 a 64, lo normal sera 9 o 10.
Cuando el proceso haya terminado, clicaremos en result para conocer la clave WPA, este proceso puede tardar desde horas hasta meses o incluso aos, dependiendo de la velocidad de trabajo, longitud de la clave y cantidad de caracteres a usar.
-No est totalmente terminado, sobre todo la ltima parte. -Tanto el cliente como el AP tienen que tener activado el QoS (calidad de servicio) o en algunos AP se les llama WMM (Wifi multimedia). -El cliente debe estar conectado al AP en todo el proceso que dura como mnimo 20 minutos (aunque pueden tardar varias horas). -El AP debe estar configurado en modo WPA_PSK. Este programa tiene varias fases, La primera consiste en obtener el handshake con la desautentificacin del cliente, una vez conseguido el handshake y un ARP vlido se inyectan los paquetes. Yo no he conseguido terminar el proceso y tampoco s muy bien como funciona. Para lanzar tkiptun-ng. Cdigo: tkiptun-ng a <maca p> -h <mac cliente> -m 80 n
100 <interface>
By Zydas
Hasta aqu nuestros conocimientos y fuerza de voluntad. Nos ha llevado un largo periodo de tiempo recopilar, estudiar, e intercambiar opiniones para llegar hasta este punto. Esperamos que este manual sea de vuestro agrado y lo utilicis para vuestras pruebas de una forma correcta. Una vez mas dar las gracias al foro de Elhacker.net por la oportunidad de plasmar nuestras propias experiencias, y poder compartir todas las de los usuarios entre si.
Rockeropasiempre
Heaviloto
, mejoras, erratas, felicitaciones
Zydas
, sugerencias, o cualquier otra cosa, abrir post para ello. Se trata de mantener el foro ordenado
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_avanzado_wep_y_wpa_rockeropasiempre_heavyloto_y_zydas-t261907.0.html (71 de 72) [18/09/2009 22:55:18]
y hacer de esta gua algo util para todos. Saludos. ltima modificacin: 22 Julio 2009, 18:43 por rockeropasiempre En lnea
Ir a:
ir
Foros de ayuda
Yashira.org
Videojuegos
indetectables.net
Indejuegos
Noticias Informatica
Seguridad Wireless
Todas las webs afiliadas estn libres de publicidad engaosa. Powered by SMF 1.1.10 | SMF 2006-2008, Simple Machines LLC