domingo, 15 de junio de 2008

Romper claves wireless

El caso es que todos los métodos de cifrado de datos en las redes Wifi tienen un bug (un error), que es que hay un dato que se repite en cada paquete que se transmite. Consiguiendo un número de paquetes de datos suficientes, podremos romper la clave, ya sea WEP, WPA o WPA2. Cada tipo de clave tiene su historia.

Usaremos la distribución LiveCD Wifislax, está basada en entorno grafico KDE, aunq se puede arrancar en modo texto. Mola mas con las KDE, ya que puedes hacerlo todo en ventanitas.
usuario: root contraseña: toor

Tiene accesos directos en las KDE a todas las herramientas y a más, usaremos la suite actual (*-ng), y el driver Atheros, primero incrementaremos en un dispositivo más el interface, para tener un ath1 (se monta sobre el /wifi0), la d-link se ve inicialmente como wifi0 haciendo un ifconfig -a
Las herramientas *-ng (NewGeneration):

airodump-ng es para capturar el trático que hay en el aire, por defecto se lanza y guarda los paquetes en /root/swireless/capturas/ o algo así, hace captura bruta de todo el trafico, no solo de IVs, de este modo da igual el ataque que hagamos que el fichero .cap nos vale
aireplay-ng es la herramienta con la que inyectaremos paquetes y efectuaremos el ataque, con varios portátiles se puede hacer más rápido (abriendo varias no valdría, ya que todo lo procesa un único interfaz físico). La idea es que tu le indicas una MAC o un SSID de un punto de acceso y lanzas paquetes enmascarados por la MAC de un cliente (los clientes asociados se ven con el airodump).
Ojo, para inyectar hay que tener un chip wireless compatible con el driver atheros.
aircrack-ng es el que machaca las claves bien por fuerza bruta o usando diccionario
aircrack-ptw, este es nuevo, está en la distribución actual, es un nuevo algoritmo para sacar weps con ataque ARP con unos 50000 paquetes es suficiente (esta usé yo).

En la práctica:
El ataque que hice yo el finde fue el de ARP, para sacarlo con el aircrack-ptw, mientras el airodump-ng escucha, usé el aireplay-ng asi (primera MAC es la del router, la segunda la de un cliente que se ha asociado en algún momento -en este momento la seguridad por filtrado MAC ya no vale una mierda-):

aireplay-ng -3 -b 00:AA:BB:CC:DD:FF -h 00:11:22:33:44:55 ath1

Lo dejé una noche, y consegui unos 70k paquetes (de sobra), el descifrado de la WEP es inmediato, no es fuerza bruta, es con un algoritmo nuevo.
La suite esta preparada para que cuando lanzas las herramientas desde los lanzadores de las KDE, apuntan directamente a donde están los .cap, de este modo el aircrack-ng o el -ptw directamente lo leen y te dicen que elijas que wifi machacar.

Segunda parte, hackear una WPA/WPA2.

Usaremos:
airodump-ng Para capturar
airodump-ng -w -c ath1

aireplay-ng Para inyectar (-0 nos hace el ataque de deautenticación, el 5 es numero de deautenticaciones por segundo)
aireplay-ng -0 5 -a -c ath1

aircrack-ng Para crackear por fuerza bruta (-a es ataque por fuerza bruta, el 2 es para ataques para WPA/WPA2, el -0 nos pone colorines, y el -w hay q decirle una ruta de un diccionario)
aircrack-ng -a 2 -0 -w
Para este ataque necesitamos un diccionaro, hay cienes por ahí....
Pequeño tutorial de Cracking para mas info:

Redes WLAN_XX de telefónica: Algoritmo descubierto para varios modelos de routers

Hay una aplicación que se llama WLANDECRYPTER, con ponerle el principio de la MAC del AP y el nombre completo de la WLAN_XX de Telefónica, te genera un diccionario corto donde está la WEP. Necesitas únicamente unos 10 paquetes y luego por fuerza bruta saca la clave WEP mediante el diccionario que has generado. Esta aplicación está en el Wifislax, por supuesto.

Ojo, todos los datos los almacena en memoria, si se apaga el PC se pierden, así que merece la pena guardarse los .cap que contienen todo.

Una vez sacada la clave, se pueden descifrar los ficheros .cap y en teoría puedes ver todo el trafico que has capturado previamente.


Un saludo y no seais malos ;)

Ah, se me olvidaba algo:

ATENCIÓN: Este tutorial es únicamente para que puedas comprobar la seguridad de tu red wireless, si lo utilizas para romper la red de otro lo harás bajo tu responsabilidad.

4 comentarios:

Anónimo dijo...

Disculpa pero tengo una duda, cuando uso airodump-ng y me salen las redes(ssid) hay algunas que me salen encryptadas con wep, pero tambien me salen otras con wep?(wep con signo de interrogacion) mi pregunta es: que cuando trato de inyectar trafico en las wep? no se puede que me podrias recomendar hacer? gracias espero tu respuesta, mi correo es tecnologias2006@hotmail.com,,,,,,saludos

Javitronz dijo...

La verdad que me has pillado, nunca había visto eso del wep?

El caso es que parece ser que cuando sale así es que aún no tiene suficiente información para saber si es wep o wpa, tendrás que capturar mas paquetes.

Tal vez no tenga trático y el router tenga algún tipo de protección que no emita nada si no hay uso de la red y así dificulta lo que intentas hacer, hay algunos modelos que tienen sistemas para poner mas dificil las auditorías, pero no imposible.

Ten paciencia, espero haberte ayudado.

Un saludo!

Anónimo dijo...

Muy tarde pero, el artículo tiene errores por todos sitios...

Anónimo dijo...

jajajajaja- por dios, es mejor usar back track 3 o 4