Professional Documents
Culture Documents
Introduccin
Hay muchas veces que encontramos redes wireless que no tienen clientes conectados.
Este tutorial describe como obtener la clave WEP cuando no hay clientes. Aunque este
tema ha sido discutido muchas veces en el Foro, este tutorial est hecho con la intencin
de entrar en ms detalles y poner algunos ejemplos.
Es recomendable que cada uno experimente con su propio punto de acceso wireless, para
familiarizarse con estas ideas y tcnicas. Si no tienes un punto de acceso propio, recuerda
que tienes que pedir permiso al propietario del router con el que quieras practicar este
ateque.
Antes de nada hay que darles las gracias a los Desarrolladores de la suite Aircrack-ng por
crear estas herramientas tan fantsticas.
Por favor, enviame cualquier sugerencia, positiva o negativa. Bien sean problemas o
buenas ideas sern bienvenidas.
Puntos de partida
Suponemos que:
Ests usando drivers parcheados para inyeccin. Puedes capturar paquetes con
Wireshark para comprobar si ests inyectando.
Ests fsicamente suficientemente cerca para enviar y recibir paquetes del punto de
acceso. Recuerda que recibir paquetes del punto de acceso no significa que los
paquetes que transmitas sean recibidos por el AP. La fuerza de la seal de las tarjetas
wireless generalmente es menor que la fuerza de la seal de los AP. Por lo tanto, es
necesario estar cerca del AP, para que los paquetes que transmitimos sean recibidos
por el AP. Deberas confirmar que te puedes comunicar con el AP siguiendo estas
instrucciones
Hay algunos paquetes de datos que vienen del punto de acceso. Beacons (balizas) y
otros paquetes como management frame packets son intiles para nuestros
propsitos en este tutorial. Una forma rpida para comprobar el trfico es ejecutar
airodump-ng y ver si hay algn paquete de datos. En el caso de tener paquetes de
datos capturados del punto de acceso en otras sesiones, podramos usarlos para
generar nuevo trfico. Esto es para usuarios avanzados y este tutorial no da
instrucciones detalladas para este caso.
El punto de acceso usa encriptacin WEP abierta (open authentication). No funcionar
si la autentificacin es compartida (shared key authentication) (SKA). Con SKA el nico
mtodo si no existen clientes es capturar el PRGA xor data con airodump-ng
handshake o hacer previamente un ataque con aireplay-ng. Esto es as porque
necesitas el archivo PRGA xor para hacer una falsa autenticacin de forma exitosa.
Usamos la versin 0.9 de aircrack-ng. Si usas otra versin algunos comandos puede
que se tengan que escribir de forma diferente.
Asegurate de que cumples todas las condiciones, sino no funcionar. En los siguientes
ejemplos, tendrs que cambiar ath0 por el nombre de la interface de tu tarjeta wireless.
En los ejemplos, la opcin guin doble bssid se muestra como - -bssid. Acurdate de
borrar el espacio entre los dos guiones cuando lo utilices en la vida real. Esto tambien se
aplica a - -ivs.
Equipo usado
En este tutorial:
Solucin
Contenidos
Aqu esta los pasos que vamos a seguir:
Esto es un recordatorio para que uses tu direccin MAC real y no una falsa. En el paso 3
es importante que la direccin MAC que se use sea la de la nuestra tarjeta, para realizar la
falsa autenticacin. Si quieres cambiar la direccin MAC de tu tarjeta puedes consultar
este : post en inglsFAQ: How do I change my card's MAC address ?.
Paso 2 - Colocar la interface wireless en modo monitor y fijar el
canal
Escribe el siguiente comando para poner la tarjeta wireless en modo monitor en el canal 9:
Nota: En este comando usamos wifi0 en lugar de nuestra interface ath0. Esto se debe a
que estamos usando los drivers madwifi-ng y no madwifi-old.
Escribe ifconfig ath0 up para levantar la interface ath0 que usaremos a continuacin.
lo no wireless extensions.
Podemos ver que ath0 est en modo monitor, en la frecuencia 2.452GHz que corresponde
al canal 9 y en Access Point vemos la direccin MAC de nuestra tarjeta wireless. Es
importante comprobar toda esta informacin antes de continuar, ya que sino no funcionar.
Para ver la correspondencia entre frecuencia y canal,
mira:http://www.cisco.com/en/US/docs/wireless/technology/channel/deployment/guide/Cha
nnel.html#wp134132 . As obtendrs la frecuencia para cada canal.
Problemas
Si tienes otra interface en modo monitor que no sea ath0, puedes usarla o escribir
airomon-ng stop athX donde X es la interface que quieres parar.
Para que un punto de acceso acepte un paquete, la direccin MAC debe estar
previamente asociada. Si la direccin MAC con la cual estas inyectando no et asociada,
el AP ignorar el paquete y enviar un paquete de desautentificacin. En este caso, no se
crearn nuevos IVs porque el AP est ignorando todos los paquetes inyectados.
La falta de asociacin con el punto de acceso es la razn ms habitual por la cual falla la
inyeccin.
Donde:
Algunos puntos de acceso estn configurados para permitir nicamente una direccin
MAC para asociarse y conectarse. Si este es tu caso, no sers capaz de realizar la
falsa autenticacin de forma xitosa, salvo que conozcas una de las direcciones MAC
que estn permitidas para poder conectarse a ese AP. Mira los problemas de filtrado
MAC en este tutorial
Si deseas confirmar que ests asociado de forma correcta puedes usar tcpdump y
mirar los paquetes. Inicia una consola y escribe:
Si solo quieres seleccionar los paquetes de deautenticacin con tcpdump usa: tcpdump -n
-e -s0 -vvv -i ath0 | grep DeAuth. Puedes cambiar la palabra DeAuth para escoger otros
paquetes que quieras buscar.
Tanto chopchop como el ataque de fragmentacin pueden ser usados para obtener el
archivo PRGA. El resultado es el mismo, por lo que usa el que mejor te funcione. Los pros
y contras de cada ataque estn descritos en la pgina de aircrack-ng.
Donde:
Cuando recibamos un paquete del punto de acceso, escribe y para continuar. Puede que
sea necesario probar unos pocos paquetes para tener xito.
BSSID = 00:14:6C:7E:40:80
Dest. MAC = FF:FF:FF:FF:FF:FF
Source MAC = 00:40:F4:77:E5:C9
Pequeas ayudas
Problemas
Si el primer paquete que has seleccionado no funciona, prueba unos pocos ms.
Algunas veces hay que intentarlo varias veces para conseguir tener xito en cualquiera
de los ataques.
El ataque chopchop no funciona en algunos puntos de acceso. Si esto ocurre, prueba
el ataque de fragmentacin. Y viceversa.
Asegurate de que ests correctamente asociado al AP. Para comprobarlo sigue las
instrucciones del paso 2 con tcpdump.
Donde:
Pequeas ayudas
Escribimos: airdecap-ng -e teddy -w <tu clave WEP> arp-request. Y para ver el paquete
desencriptado: tcpdump -n -r arp-request-dec. Deberamos observar algo como esto:
Donde:
Donde:
BSSID = 00:14:6C:7E:40:80
0x0000: 0841 0201 0014 6c7e 4080 0009 5bec eef2 .A....l~@...[...
0x0010: ffff ffff ffff 8001 8f00 0000 7af3 8be4 ............z...
0x0020: c587 b696 9bf0 c30d 9cd9 c871 0f5a 38c5 ...........q.Z8.
0x0030: f286 fdb3 55ee 113e da14 fb19 17cc 0b5e ....U..>.......^
End of file.
Puedes observar que solo hay un punto de acceso puesto que hemos incluido en
airodump-ng el filtro para limitar la captura a un nico BSSID. Tambien observa que los
paquetes de la tarjeta son aproximadamente los mismos que los paquetes (data) del
BSSID. Esto significa que la inyeccin est funcionando bien y se pierden pocos
paquetesl. Tambien observa la velocidad de inyeccin (#/s) de 336 paquetes por segundo,
lo cual es un indicador de que la inyeccin est funcionando muy bien. Esta es una
situacin ideal de inyeccin.
Problemas
Si los paquetes del BSSID (data) no aumentan asegurate de que estas todava
asociado con el punto de acceso. Para hacer esto, mira las instrucciones sobre
tcpdump en el paso 2.
Paso 8 - Ejecutar aircrack-ng para obtener la clave WEP
Inicia otra consola y escribe:
Donde:
-z significa que se use el mtodo PTW para obtener ms rpido la clave WEP
capture*.cap selecciona todos los archivos que comienzan por capture y con
extensin cap.
-b 00:14:6C:7E:40:80 selecciona el punto de acceso en el que estamos interesados
Puedes ejecutar aircrack-ng mientras capturas paquetes. En poco tiempo, vers la clave
WEP. Usando el mtodo PTW, necesitars alrededor de 20,000 paquetes de datos para
una clave de 64 bit y 40,000 para claves de 128 bit. Recuerda que el mtodoPTW solo
funciona con paquetes ARP. Como este tutorial solo cubre este tipo de paquetes no
tendrs problema ninguno. El otro requerimiento es que has de capturar con airodump
archivos *.cap, lo que significa que no puedes usar laopcin - -ivs.
Problemas:
Algunas veces es recomendable probar varias tcnicas para obtener la clave WEP
rpidamente. Prueba la opcin -n para fijar la longitud de la clave (por ejemplo -n 64).
Usa -f y prueba diferentes fudge factors. Usa -k y prueba a desabilitar los mtodos
korek.
Solucin alternativa
Existe un pequeo engao que simplifica el crackeo de la clave WEP sin clientes.
Bsicamente consiste en recoger cualquier paquete broadcast del punto de acceso y
convertirlo para que el punto de acceso genere un nuevo IV.
Es importante que tengas en cuenta que si usas este truco, no podrs utilizar la opcin -z
del mtodo PTW con aircrack-ng. Esto se debe a que el mtodo PTW requiere paquetes
arp y de esta forma no los generamos.
OK, ahora te estars preguntando porque no te enseo esta tcnica paso a paso?. La
razn es que con esta tcnica se reenvian todos los paquetes que recibas. Por lo que si
recibes un paquete de 1000 byte entonces reenviaras 1000 bytes. Esto reduce de forma
muy importante el nmero de paquetes capturados por segundo. Aunque, como ventaja
podemos destacar que es muy simple y muy fcil de hacer. Adems puede que tengas
suerte y que recibas un paquete muy pequeo para reenviar. En este caso, esta tcnica
funcionar tan bien como la descrita con anterioridad en este tutorial.
Hay que tener en cuenta las mismas consideraciones y realizar con anterioridad una falsa
autenticacin.
Donde:
BSSID = 00:14:6C:7E:40:80
0x0000: 0842 0000 ffff ffff ffff 0014 6c7e 4080 .B..........l~@.
0x0010: 00d0 cf03 348c a0f4 2000 0000 e233 962a ....4... ....3.*
0x0020: 90b5 fe67 41e0 9dd5 7271 b8ed ed23 8eda ...gA...rq...#..
0x0030: ef55 d7b0 a56f bc16 355f 8986 a7ab d495 .U...o..5_......
0x0040: 1daa a308 6a70 4465 9fa6 5467 d588 c10c ....jpDe..Tg....
Si aun no has iniciado airodump-ng, ejectalo ahora. Una vez que tengas suficientes IVs,
puedes iniciar aircrack-ng e intentar averiguar la clave WEP.
Otra variacin de este ataque es usar paquetes de una captura anterior. Debes de tener
guardados los paquetes enteros, y no solo los IVs.