Guía completa Aircrack-ng

https://foro.undersecurity.net/read.php?80,928,9928

Welcome! Log In Create A New Profile

Home > Networking & Sistemas Operativos > Networking & Sistemas Operativos > Topic

Guía completa Aircrack-ng
Posted by SH4V Reverse DNS Online
Anuncios Google

Biblioteca
Security Wireless

IRC #Undersecurity
Wireless Router WiFi Wireless

Aircrack NG

SH4V
Guía completa Aircrack-ng three years ago

Registered: three years ago Posts: 313

[Guía Completa Aircrack-ng]~
Hola compis! Bueno, pues he decidido que antes de meternos con el Airoscript (cuyo uso es más sencillo ya que viene todo integrado) vamos a meternos con la suite Aircrack_ng (new generation). El objetivo de esta guía es ir describiendo cada una de sus utilidades. Utilizaremos Wifislax en su versión 3.1, que lo podéis descargar de aquí. Para los que no lo sepáis, Aircrack-ng es una suite de herramientas utilizada para la auditoría de redes inalambricas. Esta suite esta compuesta por: -Airodump: programa utilizado para la captura de paquetes 802.11. -Aireplay: programa utilizado para la inyección de paquetes 802.11. -Aircrack: programa utilizado para crackear claves WEP y WPA-PSK. -Airdecap: programa utilizado para desencriptar archivos de capturas WEP/WPA.

Saludos ^^
Anuncios Google

SH4V

Aircrack NG

Security Wireless

Wireless Router

WiFi Wireless

Re: Guía completa Aircrack-ng three years ago

Registered: three years ago Posts: 313

[AIRODUMP-NG]~
Como ya hemos dicho antes, el airodump es el programa utilizado para la captura de paquetes 802.11. Gracias a ello podremos ver todos los puntos de acceso, clientes e información de los mismos dentro de nuestra cobertura, claro está :P. Lo primero de todo es saber nuestra interfaz. Para ello abrimos shell:

1 de 38

29/04/2012 04:09 p.m.

Guía completa Aircrack-ng

https://foro.undersecurity.net/read.php?80,928,9928

Y tecleamos lo siguiente en la línea de comandos:
iwconfig

Ahí veremos que nombre es asignado a nuestra interfaz. En mi caso, eth1. Una vez sabemos el nombre de nuestra interfaz, lo que haremos es cambiar a modo monitor nuestra tarjeta. Para ello escribimos en la línea de comandos esto:
airmon-ng start vuestrainterfaz

Hasta ahora deberíamos ver algo así:

2 de 38

29/04/2012 04:09 p.m.

Guía completa Aircrack-ng

https://foro.undersecurity.net/read.php?80,928,9928

El comando airmon-ng sirve para activar o desactivar el modo monitor de nuestra tarjeta. Las opciones que nos permite este comando son 2: -airmon-ng start interfaz ------->Esto activaría el modo monitor. -airmon-ng stop interfaz ------->Esto descactivaría el modo monitor. A continuación, procedemos a escribir en la shell el siguiente comando "airodump-ng", os saldrá algo parecido a esto:
wifislax ~ # airodump-ng Airodump-ng 0.9.1 r511 - (C) 2006,2007 Thomas d'Otreppe Original work: Christophe Devine http://www.aircrack-ng.org usage: airodump-ng <options> <interface>[,<interface>,...] Options: --ivs --gpsd --write -w --beacons --update

: : <prefix> : : : <secs> : : : : :

Save only captured IVs Use GPSd Dump file prefix same as --write Record all beacons in dump file Display update delay in seconds Filter Filter Filter Filter APs by cypher suite APs by mask APs by BSSID unassociated clients

Filter options: --encrypt <suite> --netmask <netmask> --bssid <bssid> -a

By default, airodump-ng hop on 2.4Ghz channels. You can make it capture on other/specific channel(s) by using: --channel <channels>: Capture on specific channels --band <abg> : Band on which airodump-ng should hop --cswitch <method> : Set channel switching method 0 : FIFO (default) 1 : Round Robin 2 : Hop on last -s : same as --cswitch

3 de 38

29/04/2012 04:09 p.m.

11 a/b/g). También podemos poner --c.ivs. --channel: Hace la captura en el canal que especifiquemos (por ejemplo: --channel 5).php?80. Con esta opción los guardamos (no lo recomiendo. Nosotros lo que haremos será poner lo siguiente: airodump-ng interfaz Veámoslo en la imagen: 4 de 38 29/04/2012 04:09 p. sobra decir que los pondremos en el orden en el que los acabo de escribir (de arriba a abajo) omitiendo de la lista aquellos que no queramos poner.Guía completa Aircrack-ng https://foro. --write <nombredelarchivoquequeremosguardar. . --gpsd: Esta opción es para usar un dispositivo GPS.928. son las opciones del comando airodump-ng. --beacons: Airodump-ng esta configurado por defecto para no guardar los beacons. Así que no nos hace falta guardarlos :P). También se puede poner --w.9928 --help No interface specified.cap o *. ya que los beacons son unas señales que mandan los routers. Éstas son las siguientes: --ivs: Solo capturaremos ivs (o vectores de inicialización).net/read. : Displays this usage screen Os pongo una imagen para que lo veáis más claro .cap/ivs> : Con esto crearemos un archivo a guardar que tendrá extensión *.4Ghz como en 5 Ghz. para indicar que están activos y que contienen información como el BSSID y el ESSID. 802. --abg: Con esto capturamos tanto en frecuencias de 2.-): Lo que nos están indicando. Para introducir bien los comandos. -a: Esta opción hace una captura en la frecuencia de 5Ghz especifica del canal a (recordad.m.undersecurity.

928. el controlador no soporta reportar el nivel de señal.undersecurity. En la captura de más arriban no se han detectado clientes :(. entonces se trata de 802. ESSID--->Conocida como "SSID". Su significado depende del controlador. y WPA si TKIP o CCMP están presentes.9928 Ahora os estaréis preguntando que son cada uno de los campos que nos salen. CH------->Número de canal (obtenido de los paquetes beacon). OPN = sin encriptación. por lo que normalmente pueden ser recogidos desde muy lejos. # Data-->Número de paquetes de datos capturados (si es WEP. MB------->Velocidad máxima soportada por el AP. . 5 de 38 29/04/2012 04:09 p. Cada punto de acceso envía unos diez beacons por segundo al ritmo (rate) mínimo (1M). STATION->Dirección MAC de cada estación asociada.11b.11. Si PWR == -1.11b+ y velocidades mayores son 802.net/read.php?80. [move]By sh4van3[/move] SH4V Re: Guía completa Aircrack-ng three years ago Registered: three years ago Posts: 313 [AIREPLAY-NG]~ El aireplay es el programa que va a inyectar paquetes 802. puede estar vacía si el ocultamiento de SSID está activo.m. pero conforme te acercas al punto de acceso o a la estación la señal aumenta. Beacons Número de paquetes-anuncio enviados por el AP. Aireplay-ng implementa 6 ataques diferentes: -Ataque 0: Ataque de deautenticación. -Ataque 1: Ataque de autenticación falsa. sólo cuenta IVs).Guía completa Aircrack-ng https://foro.11g. ENC----->Algoritmo de encriptación en uso. En este caso airodump tratará de recuperar el SSID de las respuestas a escaneos y las peticiones de asociación. Si MB = 11. WEP (sin la interrogación) indica WEP estática o dinámica. Nota: algunas veces se capturan paquetes de datos de otros canales aunque no se esté alternando entre canales debido a las interferencias de radiofrecuencia. para esto me remito a la página oficial de aircrack y os los copio tal cual están: BSSID-->Dirección MAC del punto de acceso. si MB = 22 entonces es 802. "WEP?" = WEP o mayor (no hay suficiente datos para distinguir entre WEP y WPA). Pues bien. incluyendo paquetes de datos de difusión general. PWR---->Nivel de señal reportado por la tarjeta.

La sintaxis de este ataque es la siguiente: aireplay-ng -0 N -a XX:XX:XX:XX:XX:XX -c YY:YY:YY:YY:YY:YY interfaz Paso a explicar lo que hemos puesto: -0: Indica que vamos a hacer el ataque "0" o de deautenticación de cliente. Con esto impediríamos la conexión a todos los clientes que quisieran asociarse al AP. Para saberla recordad el capítulo anterior (iwconfig). -a XX:XX:XX:XX:XX:XX: "-a" indica el AP y XX:XX:XX:XX:XX:XX es el BSSID o la dirección MAC del AP. También podemos hacer un DoS generalizado.undersecurity.Guía completa Aircrack-ng https://foro. un cliente asociado con MAC (00:14:D8:7F:B1:96) y una tarjeta con chipset Zydas. deautenticar al cliente conectado al AP.php?80. El ataque sería así: aireplay-ng -0 0 -a 00:89:4F:D2:15:A3 -c 00:14:D8:7F:B1:96 eth1 Lo que estaríamos haciendo es crear un bucle infinito de paquetes de deautenticación. interfaz: es la interfaz de nuestra tarjeta. sólo hemos puesto la MAC del router. si no lo sabes entra aquí DENEGACIÓN DE SERVICIO que te lo explica muy bien. de tal forma que solo ataquemos al AP.net/read. con lo que impediríamos el cliente conectarse al AP. -Ataque 3: Reinyección de petición ARP -Ataque 4: Ataque "chopchop" de Korek. -Ataque 5: Ataque de framentación. Esto impediría conectarse a cualquiera. Con él indicaremos cuantos paquetes de deautenticación enviaremos.m. Esto es una captura de pantalla del ataque ^^: 6 de 38 29/04/2012 04:09 p. .928. -c YY:YY:YY:YY:YY:YY: "-c" indica al cliente y YY:YY:YY:YY:YY:YY es la MAC del cliente asociado al AP. N: Es un número. tiene como objetivo. es de que muchos de vosotros ni siquiera sabíais que se podían hacer ataques DoS a clientes asociados a puntos de acceso (AP). Esto se haría mediante el siguiente comando: aireplay-ng -0 0 -a 00:89:4F:D2:15:A3 eth1 Como véis. De lo que estoy seguro. Ataque DoS (Denegación de Servicio): Muchos de vosotros ya sabéis lo que es un ataque de Denegación de Servicio. Pongamos un BSSID (00:89:4F:D2:15:A3). ATAQUE 0: DEAUTENTICACIÓN El ataque 0 de deautenticación.9928 -Ataque 2: Reenvío interactivo de paquetes.

envía un paquetesaludo.Guía completa Aircrack-ng https://foro. o al menos lo intentaría con ayuda de un diccionario.cap con la clave encriptada WPA y con la ayuda de un diccionario. ponemos más.cotse. Cada vez que un cliente se conecta a una red con cifrado WPA. porque no es tan fácil crackear las redes WPA. definimos Handshake.cotse.htm http://www.9928 Captura del Handshake (Saludo) WPA: Lo primero de todo.cap Paso a continuación a describir cada comando: airodump-ng --write chipichape --channel 6 eth1------>Este comando pondría el airodump-ng a la escucha en el canal 6 y escribiría en un archivo llamado chipichape-01. Veámoslo en el siguiente ejemplo: airodump-ng --write chipichape --channel 6 eth1 aireplay-ng -0 20 -a 00:89:4F:D2:15:A3 -c 00:14:D8:7F:B1:96 eth1 aircrack-ng -w /ruta/al/diccionario chipichape-01. tratariamos de desconectar al cliente y estar al acecho para capturar ese Handshake. Si no tenéis diccionarios os pongo unos links donde podréis encontrar: http://www.htm 7 de 38 29/04/2012 04:09 p. intentaríamos crackear ese Handshake para obtener la contraseña. Si tras hacer esto no hemos conseguido deautenticar al cliente.undersecurity. el archivo chop-01.m.com/tools/wordlists2. aircrack-ng -w /ruta/al/diccionario chipichape-01.com/tools/wordlists1. Este paquete-saludo contiene la contraseña encriptada. Mas tarde. . o Handshake al AP al que se va a conectar.cap (este comando crackearía. aireplay-ng -0 20 -a 00:89:4F:D2:15:A3 -c 00:14:D8:7F:B1:96 eth1----->Este comando enviaría 20 paquetes de deauntenticación.net/read.cap los resultados de los paquetes obtenidos. No os hagáis ilusiones.php?80.928. Para capturarlo.

Ejecutamos el comando aireplay-ng: 8 de 38 29/04/2012 04:09 p.undersecurity..m.php?80.9928 http://ftp.Guía completa Aircrack-ng https://foro..kde.org/pub/security/tools/net/Openwall/wordlists/ A continuación una demostración con imágenes del proceso.928.se.Ejecutamos el comando airodump-ng: Nos saldrá esta imagen: 2. En ellas podemos ver como nos pide un diccionario para poder crackear la clave :P.net/read. . 1.

.php?80.undersecurity..net/read.Crackeamos con aircrack-ng: 9 de 38 29/04/2012 04:09 p.Guía completa Aircrack-ng https://foro.928.9928 3.m.

como lo habríamos hecho de forma normal. Generación de peticiones ARP: Muchas veces. se quedan a 0. es decir. .928. Para ello.Guía completa Aircrack-ng https://foro.9928 Como podéis ver no me ha dejado crackearla porque no he especificado la ruta de ningún diccionario.net/read. aireplay-ng -3 -b 00:89:4F:D2:15:A3 -h 00:14:D8:7F:B1:96 eth1 Se nos abriría una ventana como esta: 10 de 38 29/04/2012 04:09 p.undersecurity.m. primero ejecutaremos el ataque 3. al realizar el ataque3 (lo veremos más adelante :P) vemos que las peticiones ARP no arrancan. Lo que tenemos que hacer entonces es generar peticiones ARP.php?80.

net/read.m. Una vez se hubiese generado la primera.9928 Entonces lo que tendríamos que hacer es provocar esa petición ARP.Guía completa Aircrack-ng https://foro.undersecurity. lo que tenemos que hacer es enviar unos cuantos hasta que veamos que obtenemos la primera petición ARP. Ahora iríamos a la consola que está realizando el ataque 3 y veríamos como las peticiones ARP están subiendo a toda leche ^^. Para ello haríamos un DoS en una consola a parte y esperaríamos a que se generase la primera petición ARP. generando un así un número de paquetes de deautenticación directamente proporcional al estipulado. iríamos a la consola que está realizando el ataque DoS y pulsaríamos Ctrl+C para pararlo. . El contra de esta técnica es que muchas veces con unos pocos paquetes de deautenticación no conseguimos nada. La mayoría de la gente no hace este ataque así. si no que se dedica a poner un valor númerico en el ataque de deautenticación. 11 de 38 29/04/2012 04:09 p.928.php?80.

m.undersecurity.928. .Guía completa Aircrack-ng https://foro.9928 12 de 38 29/04/2012 04:09 p.php?80.net/read.

El hecho de que haya un cliente conectado a la red objetivo facilita mucho. . que queréis crackear una red inalámbrica y no hay clientes conectados.928.9928 ATAQUE 1: AUTENTICACIÓN FALSA A muchos de vosotros os habrá pasado. nos viene de perlas en casos como este ^^. o si no os ha pasado os aseguro que os pasará.Guía completa Aircrack-ng https://foro. Para ello. Desgraciádamente.net/read. Modo 1: Por medio del "macchanger" (interfaz): Menú--Wifislax--HerramientasWireless--macchanger Modo 2: Por medio del "macchanger" (consola): macchanger -m 00:11:22:33:44:55 interfaz 13 de 38 29/04/2012 04:09 p. es recomendable que fakeemos nuestra MAC. Aireplay-ng implementa un tipo de ataque llamado "Autenticación falsa" que como estaréis suponiendo. aquí el ingenio lo pone el programa :P) para poder iniciar el ataque sin clientes asociados. pero que mucho la tarea.m. no siempre es así y para ello tenemos que hacer uso de tretas y de nuestro ingenio (bueno.php?80. Lo que vamos a hacer por medio de este ataque es hacernos pasar por un falso cliente. Esto se puede hacer de varios modos.undersecurity.

En nuestro caso "00:11:22:33:44:55". Por ejemplo.Guía completa Aircrack-ng https://foro. la MAC del AP. procedemos a autenticarnos como falso cliente. eso sí. es decir. La sintaxis del comando será la siguiente: aireplay-ng -1 N -e "ESSID" -a XX:XX:XX:XX:XX:XX -h FF:FF:FF:FF:FF:FF interfaz Paso a explicar la sintaxis: -1= Con esto indicamos que vamos a hacer el ataque 1 o "Autenticación falsa". -h FF:FF:FF:FF:FF:FF= Aquí indicamos al MAC fakeada por nosotros mismos. mandará un paquete de asociación falsa cada 10 segundos. interfaz= Vuestra interfaz :P 14 de 38 29/04/2012 04:09 p. N= Es un número. Con él indicamos el intervalo de tiempo con el que queremos asociarnos a nuestro AP.m.undersecurity. . -e= "ESSID": Aquí estamos indicando el nombre del AP al que queremos asociarnos como falsos clientes. si queremos asociarnos cada 10 segundos.net/read.928. ¡¡¡las comillas NO se ponen!!! -a XX:XX:XX:XX:XX:XX= Aquí indicaremos el BSSID.php?80.9928 Modo 3: Por medio de "ifconfig" (consola): ifconfig interfaz down ifconfig interfaz hw ether 00:11:22:33:44:55 ifconfig interfaz up Una vez hemos cambiado fakeado nuestra mac.

.El router tiene filtrado de MACs.Guía completa Aircrack-ng https://foro. el problema está en saber qué periodo de tiempo es el que tienen configurado. el airodump-ng es el encargado de la captura de paquetes y para que este ataque se inicie necesitaremos un Beacon. Tenemos que combinarlo con el ataque 3 o con el ataque 4.Este ataque por si sólo no consigue nada..net/read. Wifiway o Backtrack no os pasará ya que traen los drivers instalados y parcheados). ¿Qué es un Beacon? es un paquete saludo que envía el AP para decirnos: "Eh! que estoy aquí!" ¿recordáis? .Tu controlador no está correctamente parcheado e instalado (con las live-cd's como Wifislax. que los veremos en seguida. ¡con el airmon-ng! airmon-ng start interfaz canal 4..undersecurity.. ¿Cómo? Pues no sé si lo recordaréis.9928 Veámoslo con un ejemplo: ASPECTOS A TENER EN CUENTA: 1. De hecho hay routers que requieren autenticación cada X periodo de tiempo.. son 30 segundos.-Este ataque no siempre es eficaz. 3.m.. Existen routers con los que no funciona.Tenemos que configurar la tarjeta para el mismo canal del AP.-) 3.php?80..928. 2. .. Por normal general. ¿Por qué? Pues porque como os dije.Estás demasiado cerca o demasiado lejos del AP. 15 de 38 29/04/2012 04:09 p. CAUSAS DE UN POSIBLE FRACASO: 1.. 2..Para que este ataque funcione hay que tener activo el airodump-ng.

interfaz= Tu interfaz wifi. Gracias a ello. este ataque puede resultarnos muy útil...php?80. así que usaremos BackTrack 3. Veamos un ejemplo de este ataque: aireplay-ng -2 -p 0841 -b XX:XX:XX:XX:XX:XX -c FF:FF:FF:FF:FF:FF -h YY:YY:YY:YY:YY:YY interfaz Paso a explicar el comando: -2= Estamos indicando que vamos a realizar el ataque 2 (reenvío interactivo de paquetes).. -p 0841= Con esto estamos fijando el "Frame Control" en el paquete. Cuando hablamos de hacer una difusión. la dirección física desde la cual provienen los paquetes que vamos a reenviar.Usándolo para radiodifundir los paquetes del AP y generar nuevos IV's (Vectores de Inicialización) Uno de los modos de usar este ataque es haciendo una difusión de los paquetes del AP y así generar nuevos vectores de inicialización. El nodo emisor envía información a una multitud de nodos receptores de manera simultánea sin necesidad de reproducir la misma transmisión nodo por nodo. Paso a explicar la sintaxis de este ataque: aireplay-ng -2 <opciones de filtro> <opciones de envío> -r <nombre del archivo a enviar> interfaz -2= Indica que estamos realizando el ataque 2 "Reenvío interactivo de paquetes". ATAQUE 2: REENVÍO INTERACTIVO DE PAQUETES Antes de empezar deciros que en este capítulo.Me he comprado tarjeta nueva y de momento no puedo usar el wifislax con ella :(. escoger un paquete y una vez elegido. 1. necesitaríamos una dirección MAC especial. hablamos de hacer un broadcast (difusión en inglés).. que estáis en las mismas? ¡pues no os preocupéis! Un broadcast.La tarjeta no está configurada en el mismo canal que el AP. Recomiendo fakearla.Guía completa Aircrack-ng https://foro. Ahora al grano :P. una que englobara a todas las MAC's. los beacons . Esto lo podremos hacer. o bien con el paquete que hayamos capturado al estar a la escucha. o seleccionando uno que hayamos conseguido previamente. 2. De hecho los routers. ¿Por qué? Pues por dos razones: 1. <opciones de envío>= Sirven para configurar nuestra inyección. de vez en cuando. No os preocupéis. ¿Cómo. Se utiliza sólo cuando queremos especificar un archivo *. interfaz: Tu interfaz wireless (eth1. el AP responderá con otro paquete y generará un nuevo vector de inicialización (IV). Consiste en ponernos a la escucha. yo os lo explico ^^. Las redes de área local. se basan en el uso de un medio de transmisión compartido y por eso mismo. -h YY:YY:YY:YY:YY:YY= Esta será la MAC de nuestra tarjeta. para hacer esto posible.928. usaremos BackTrack 3.. -b XX:XX:XX:XX:XX:XX= Esta MAC deberá corresponder con el BSSID.-).. Todos los nodos receptores y emisores procesan las tramas con dicha dirección así que no os preocupéis :P.cap para leer los paquetes e inyectarlos.No está de más conocer otras live-cd's. Vale. 5. Es la MAC especial .). Esta mac es la FF:FF:FF:FF:FF:FF.9928 4. es decir. No os preocupéis. que estará en formato *. -r<nombre de archivo>= Esto es opcional.. se puede difundir cualquier trama de datos a todas las estaciones que estén en el mismo segmento de red. es decir. parecerá que está siendo enviado desde un cliente. el procedimiento es el mismo.net/read. <opciones de filtro>= Sirven para filtrar los paquetes que vamos a recibir. es un modo de transmision de información en el que intervienen un nodo emisor y un nodo receptor. envían paquetes a la dirección FF:FF:FF:FF:FF:FF (por ejemplo.undersecurity. la MAC del AP.-)). De esta manera. inyectarlo. Con ella estamos especificando como MAC de destino cualquiera.m. tranquilos. imagino que muchos de vosotros no habréis entendido nada de lo que he dicho. -c FF:FF:FF:FF:FF:FF= Esto lo hemos explicado antes. Vamos a ver un ejemplo: 16 de 38 29/04/2012 04:09 p. . ath0.cap.Hemos introducido mal el BSSID o/y el ESSID. Sin embargo. Os preguntaréis.

m.undersecurity. De esta manera. Si queremos. es decir. es decir. aireplay-ng -2 -p 0841 -m 68 -n 86 -b XX:XX:XX:XX:XX:XX -c FF:FF:FF:FF:FF:FF -h YY:YY:YY:YY:YY:YY interfaz Procedo a explicar lo que hemos puesto: -2= Con esto indicamos que vamos a hacer el ataque 2 (reenvío interactivo de paquetes). Esto nos abre el camino al siguiente ataque. -m 68= Indicamos la longitud mínima del paquete.. que cuanto mayor sea el paquete que vamos a reenviar. Recomiendo fakearla.php?80. la dirección física desde la cual provienen los paquetes que vamos a reenviar. tenemos la opción de establecer un filtro para el tamaño del paquete. -h YY:YY:YY:YY:YY:YY= Esta será la MAC de nuestra tarjeta. en el filtro tendremos que determinar un tamaño mínimo y un tamaño máximo equivalente al de una petición ARP. En este ataque. -b XX:XX:XX:XX:XX:XX= Esta MAC deberá corresponder con el BSSID.Guía completa Aircrack-ng https://foro. la MAC del AP. -p 0841= Con esto estamos fijando el "Frame Control" en el paquete.928. .9928 Hay que tener en cuenta. Las peticiones ARP suelen tener un tamaño de 68 bytes cuando es un cliente wireless y 86 bytes cuando es un cliente cableado. 2. usaremos un filtro para indicar el tamaño del paquete que queremos inyectar.Reenvío de peticiones ARP con encriptación WEP. -n 86= Indicamos la longitud máxima del paquete -c FF:FF:FF:FF:FF:FF fija la dirección MAC de destino como cualquiera (broadcast). Esto se requiere para que el AP conteste al paquete y así generar el nuevo IV.net/read. Nosotros por tanto usaremos un filtro en el que los paquetes no bajen de 68 bytes pero no superen los 86 bytes. parecerá que está siendo enviado desde un cliente. 17 de 38 29/04/2012 04:09 p. Como lo que queremos es inyectar peticiones ARP. mas lenta será la inyección.

lo haríamos de la siguiente manera: aireplay-ng -2 -p 0841 -b XX:XX:XX:XX:XX:XX -c YY:YY:YY:YY:YY:YY -r nombrearchivo.net/read.cap préviamente guardado.m.undersecurity. Veámoslo en el siguiente ejemplo: Nota: Si quisieramos enviar un paquete *.cap interfaz Veámoslo en la siguiente imagen: 18 de 38 29/04/2012 04:09 p.928.Guía completa Aircrack-ng https://foro.9928 interfaz= Tu interfaz wifi.php?80. .

El ataque de reenvío de peticiones ARP.000.undersecurity.m. El vector de inicialización se genera de forma dinámica y varía para cada trama. ATAQUE 3: REINYECCIÓN DE PETICIONES ARP Este ataque es un clásico y sin lugar a dudas. si mal no recuerdo. es el modo más efectivo de generar nuevos vectores de inicialización (IV's). voy a aprovechar para hablar un poco sobre los IV's (vectores de inicialización). 19 de 38 29/04/2012 04:09 p. . Por esta misma razón. eso inicialmente. Esto va a tener como consecuencia que el punto de acceso tenga que volver a enviar un paquete ARP pero esta vez. Con un solo paquete.net/read. La forma en la que está compuestos estos 64 bits es la siguiente: 1.000.Guía completa Aircrack-ng https://foro. ahora podemos encontar de 128 y de 256).9928 Si os fijáis. Lo que se pretende con los vectores de inicialización es cifrar los paquetes con claves diferentes para que una tercera persona con malas intenciones (¿nosotros? no.php?80. con un vector de inicialización nuevo . solo testeamos nuestra red wifi :D) no acabe deduciendo la clave. más posibilidades tendremos de desencriptar la clave! Os pongo un link en el que se habla bastante más sobre el CIFRADO WEP.24 bits correspondientes a un vector de inicialización (IV) 2.40 bits correspondientes a la contraseña. funciona poniéndo aireplay-ng a la escucha de un paquete ARP y enviándolo de nuevo al AP. son de 1/17. Muchos diréis: ¿Y eso de que nos sirve? Pues ya que estoy. Eso supone años y que el pc se te estropée si te pasas de tiempo con el aircrack. o ARP request.. las posibilidades de hallar la clave.-). Las claves con cifrado WEP utilizan un algoritmo de encriptación llamado RC4 de 64 bits (bueno. el paquete que hemos seleccionado para enviar es el mismo que hemos capturado en el primer ejemplo ^^.cuantos más IV's distintos..928.

9928 En cuanto al protocolo ARP. Como ya he dicho antes. de los tres. Read 42 packets (got 0 ARP requests).net/read. -h YY:YY:YY:YY:YY:YY= Esto es la dirección MAC del cliente asociado al AP.undersecurity.m.cap= Con esto indicamos el nombre del paquete ARP a enviar. ¿recordáis? :P esperando una respuesta con la dirección MAC que corresponda. Sin duda. utilizar un cliente que esté conectado al AP y captar una petición ARP para después reenviarla. sent 0 packets. -b XX:XX:XX:XX:XX:XX= Esto es la dirección MAC del AP o BSSID.. es el más efectivo.cap You should also start airodump-ng to capture replies. .Guía completa Aircrack-ng https://foro. Con este ataque. o Adress Resolution Protocol.. Las peticiones ARP. interfaz= Es el nombre de tu interfaz wifi. Lo haríamos de la siguiente manera: aireplay-ng -2 -r nombredearchivo.se enviarán a la dirección FF:FF:FF:FF:FF:FF.cap -a XX:XX:XX:XX:XX:XX -h 00:11:22:33:44:55 interfaz Traduciendo: -2= significa que estamos haciendo el ataque -2 (reenvío interactivo de paquetes) -a= BSSID -h= Nuestra MAC (fakeada a poder ser :P) -r nombredelarchivo.. Esto lo haríamos así: aireplay-ng -3 -b XX:XX:XX:XX:XX:XX -h YY:YY:YY:YY:YY:YY interfaz Así el sistema responderá con: Saving ARP requests in archivo. Bueno en este enlace os explicaN mucho mejor el ARP. 20 de 38 29/04/2012 04:09 p. este ataque puede ser usado de 3 maneras: 1. debéis saber que es un protocolo que tiene como función localizar direcciones MAC y hacer que éstas correspondan con una dirección IP. Vamos a proceder ahora a explicar la sintaxis de este ataque: aireplay-ng -3 -b XX:XX:XX:XX:XX:XX -h YY:YY:YY:YY:YY:YY interfaz De aquí: -3= Estamos diciendo a aireplay que vamos a comenzar el ataque 3 (reenvío de peticiones ARP). del mismo modo que en el ataque -2 (reenvío de paquetes interactivo) podemos seleccionar una ARP anteriormente guardada.php?80.928.-)). interfaz= Tu interfaz wifi. Aquí podríamos poner un cliente real o un cliente falso (recordad el ataque -1 .Con cliente asociado: Lo que haremos aquí será.

.928.net/read. el -3 para capturar la petición ARP y el -1 para crear un cliente falso (no olvidéis fakear la MAC).undersecurity.Con cliente falso asociado: Aquí vamos a conjugar dos ataques.php?80.. El ataque sería el siguiente: Por un lado escribiríamos en una consola el siguiente comando: aireplay-ng -3 -b XX:XX:XX:XX:XX:XX -h YY:YY:YY:YY:YY:YY interfaz Donde YY:YY:YY:YY:YY:YY sería nuestra MAC fakeada (00:11:22:33:44:55).9928 No olvidéis que si no os captura ninguna ARP. Veríamos algo así: 21 de 38 29/04/2012 04:09 p.-). 2. Por otro lado escribiríamos: aireplay-ng -1 N -e ESSID -a XX:XX:XX:XX:XX:XX -h YY:YY:YY:YY:YY:YY interfaz Donde YY:YY:YY:YY:YY:YY también sería nuestra MAC fakeada. podéis tirar de un ataque DoS para así desautenticar al cliente asociado y que vuelva a haber una petición ARP .m.Guía completa Aircrack-ng https://foro.

.m.php?80.net/read.9928 3.undersecurity.Guía completa Aircrack-ng https://foro.cap -a XX:XX:XX:XX:XX:XX -h 00:11:22:33:44:55 interfaz Veamos la siguiente imagen: 22 de 38 29/04/2012 04:09 p..928.Utilizando una petición ARP previamente guardada: Aquí usaremos el ataque -2: aireplay-ng -2 -r nombredearchivo.

undersecurity. No hay muchos tutoriales en la red que expliquen este ataque y los que hay no lo explican muy bien. no os preocupéis si os perdéis un poco en este tema ya que es algo más complejo que los anteriores.Guía completa Aircrack-ng https://foro.com/u/f35/11/75/25/89/chop110. Bueno vamos a empezar con un ejemplo práctico para comprenderlo mejor. revelando el texto plano. .9928 Esto ya lo explicamos anteriormente así que no vuelvo a sacar el tema jeje :P.928.png Iniciamos airodump-ng (primero sin opcioens de filtro y luego así): airodump-ng --channel N --w pruebaIH interfaz 23 de 38 29/04/2012 04:09 p. explicándolo todo pasito a pasito. Yo lo voy a hacer con una chipset atheros por lo que el procedimiento será el siguiente: airmon-ng stop ath0 macchanger -m 00:11:22:33:44:55 wifi0 airmon-ng start wifi0 http://i35.php?80.servimg.net/read. ATAQUE 4: CHOPCHOP DE KOREK (PASO A PASO) El ataque chopchop de Korek es capaz de desencriptar un solo paquete de datos WEP. Lo primero que tenemos que hacer es poner en modo monitor nuestra tarjeta y fakearla.-) eso sí. Por esa razón he decidido dedicar su tiempo a realizar esta guía de como y cuando utilizar un ataque chopchop.m. ya sea de clave estática o dinámica.

Que tuvieramos un cliente conectado al AP. Seguimos con lo nuestro.m. para poder así ver en que canal está nuestro AP y una vez sabido escribir en un archivo llamado infiernohacker-01.Guía completa Aircrack-ng https://foro.928.. 2. haremos el ataque -3 y nos pondremos a la escucha de peticiones ARP: aireplay-ng -3 -b XX:XX:XX:XX:XX:XX -h 00:11:22:33:44:55 interfaz 24 de 38 29/04/2012 04:09 p. Antes de hacer este ataque. Bien pues en mi caso si que había un cliente asociado pero también explicaré lo que habría que hacer si no hubiese ninguno. En una situación normal. tendremos que haber fakeado nuestra MAC! Como nosotros ya la hemos fakeado.net/read.Que NO tuvieramos ningún cliente conectado al AP. Nos autenticaremos posteriormente de forma falsa en caso de que no haya clientes con el ataque -1 (en caso de haberlos no hace falta hacerlo y sustituiremos en el comando la dirección fakeada por la del cliente asociado).. En este caso tendríamos que hacer un ataque -1 (autenticación falsa) para poder sacar la clave. una vez iniciado el airodump-ng.9928 Digo que lo iniciemos primero sin opciones de filtro. .undersecurity.php?80.cap los paquetes obtenidos. nosotros podríamos tener dos posibilidades: 1. realizamos el ataque -3 para estar a la escucha de peticiones ARP.

undersecurity. Ya sabéis. Yo en este ejemplo. -h 00:11:22:33:44:55= Estemos indicando cual es la dirección física del cliente conectado. no he hecho una autenticación falsa debido a que tenía un cliente conectado ya que de esta forma es más fácil capturar paquetes.m. En un ataque exitoso.php?80. si no había cliente 25 de 38 29/04/2012 04:09 p. Ahora lo que tenemos que hacer es realizar el ataque -4 para desencriptar el paquete y poder generar nuestra propia petición ARP que reinyectaremos más adelante :P. capturaríamos un paquete con una petición ARP y la reinyectaríamos con el ataque -3. lo que tenemos que hacer es atacar con un DoS al cliente para forzar la petición ARP? Pues esto no es aplicable a una asociación falsa.9928 Una vez iniciado el aireplay-ng -3. Recordad que estos paquetes se estarán guardando en el archivo infiernohacker-01.cap. Para ello utilizaremos el siguiente código: aireplay-ng -4 -h 00:11:22:33:44:55 -r archivoguardado. procedemos a autenticarnos con el ataque -1 (autenticación falsa) en el susodicho caso de que no tuvieramos clientes conectados.Guía completa Aircrack-ng https://foro.cap interfaz Paso a explicar el comando: -4= Significa que vamos a realizar el ataque 4 (Chopchop de Korek).net/read. aireplay-ng -1 30 -e BSSID -a XX:XX:XX:XX:XX:XX -h 00:11:22:33:44:55 interfaz Ya vimos anteriormente lo que significaba cada una de las partes de este comando. ¿Recordáis que os dije que cuando tenemos un cliente asociado y no obtenemos una ARP request. .928. por lo tanto este es un momento idóneo para poner en práctica el ataque chopchop. Sin embargo esto no siempre es así.

Esto se debe a que los AP's no aceptan paquetes de datos que provengan de MAC's "desconocidas". habrá desencriptado el paquete y nos mostrará lo siguiente: 26 de 38 29/04/2012 04:09 p.9928 asociado usáis la vuestra (fakeada) y si lo había pues la del cliente.m. Esto lanzará el ataque: Al cabo de un rato.net/read.php?80.cap= Aquí estamos indicando que vamos a mandarle uno de los paquetes que hayamos capturado y guardado en el archivo *. .cap interfaz= Tu interfaz wifi. -r archivoguardo. En nuestro caso pruebaIH-01.undersecurity.Guía completa Aircrack-ng https://foro.928.cap.

cap 27 de 38 29/04/2012 04:09 p. Para los que no sepáis lo que es. .php?80.net/read.Guía completa Aircrack-ng https://foro. tcpdump. una vez ha terminado el proceso.928.m. El comando a ejecutar sería el siguiente: tcpdump -s 0 -n -e -r archivochop. es una herramienta que esta presente en todas las distros GNU/linux y también en Mac OS y que sirve para analizar el tráfico que circula por la red haciendo uso de la librería libpcap para capturar los paquetes. Bueno pues ahora lo que vamos a hacer es usar el packetforge-ng que sirve para crear paquetes.9928 Si os fijáis. Sin embargo.undersecurity.cap (el texto plano) y en un archivo *. necesitamos saber para ello la dirección privada del cliente conectado y para ello vamos a hacer uso del tcpdump. nos guarda en un archivo *. En Windows existe WinDump que utiliza la librería Winpcap.xor (el keystream).

-w arptuneada= Aquí vamos a poner un nombre a nuestro nuevo paquete. -k IPdestino= Es la IP del router. Usaremos entonces el packetforge-ng para "forjar" nuestra propia ARP request: packetforge-ng -0 -a XX:XX:XX:XX:XX:XX -h YY:YY:YY:YY:YY:YY -k IPdestino -l IPorigen arp. Yo le he llamado arptuneada pero si queréis vosotros podéis llamarle Rosa :P. ¿Cómo? Venga haz memoria! con el ataque 2 (reenvío de paquetes interactivo). justo lo que necesitábamos para elaborar nuestra propia petición ARP . Bien.xor= Este es el paquete que hemos obtenido con el ataque chopchop. -0= Indicamosque vamos a forjar un paquete ARP.xor= Es uno de los dos archivos que nos dará el ataque -4 (el otro es el archivochop. -y archivochop. ¡¡YA TENEMOS NUESTRA PROPIA PETICIÓN ARP!!.Guía completa Aircrack-ng https://foro. -a XX:XX:XX:XX:XX:XX= BSSID -h YY:YY:YY:YY:YY:YY= MAC del cliente asociado. 28 de 38 29/04/2012 04:09 p. .cap :P) y que contendrá el Keystream.9928 Esto nos dará la dirección IP del cliente conectado.-). Lo que tenemos que hacer ahora es enviar el paquete a nuestro AP.php?80.928.undersecurity.net/read.cap -y archivochop.xor De aquí: archivo. -l IPorigen= Es la IP del cliente conectado (previamente sacada con el tcpdump).m.

¿Qué es el PRGA? Son las siglas de Pseudo Random Generation Algorithm y se utiliza en las redes wifi para aumentar la seguridad. para después mediante el paquetforge-ng. Lo primero de todo.m.Guía completa Aircrack-ng https://foro. El PRGA es una parte de un paquete que está formada por texto plano y texto cifrado. deciros que este ataque sólo funciona con cifrado WEP y por lo que he leido en varios papers en inglés. indicandoos por supuesto los pasos en común con el ataque visto anteriormente.php?80. "forjar" paquetes que enviaremos a nuestra victima. El procedimiento de este ataque es bastante parecido al Chopchop de Korek así que lo explicaré más por encima. . Para empezar.928.undersecurity.cap interfaz ATAQUE 5: FRAGMENTACIÓN El ataque de Fragmentación consiste en capturar un PRGA. los routers que se resisten a los ataques Chopchop de Korek son más vulnerables ante los ataques de Fragmentación.9928 aireplay-ng -2 -r arptuneada. Lo primero que haremos será poner nuestra tarjeta en modo monitor: airmon-ng start interfaz 29 de 38 29/04/2012 04:09 p.net/read.

.net/read. el ataque 30 de 38 29/04/2012 04:09 p.9928 No creo que haga falta explicar este comando de nuevo. hacéis una autenticación falsa (-1) y ya está. Ya sabéis. -h YY:YY:YY:YY:YY:YY= Es la dirección MAC del cliente conectado. si no. Si el AP responde. interfaz= Tu interfaz wifi. El ataque empezará a leer paquetes y seleccionará uno que será fragmentado y mandado al AP.undersecurity. necesitamos un cliente conectado.php?80. genial.m. si tenéis alguien conectado. Después. Una vez nos hemos autenticado de forma falsa o no lo hemos hecho porque ya teníamos un cliente conectado. llegados a este punto. iniciamos airodump-ng para capturar paquetes: airodump-ng --channel --w prueba ath0 Bien.928. procedemos a hacer el ataque de Fragmentación: [aireplay-ng -5 -b XX:XX:XX:XX:XX:XX -h YY:YY:YY:YY:YY:YY interfaz] Explico el comando: -5= Especificamos a aireplay-ng que vamos a realizar el ataque 5. -b XX:XX:XX:XX:XX:XX= Es el BSSID del AP.Guía completa Aircrack-ng https://foro.

Guía completa Aircrack-ng https://foro. con el paquetforge-ng realizamos una petición ARP y la reinyectamos con el ataque -2 tal y como hizimos con el ataque Chopchop. Os muestro una captura del programa para describiros sus partes: 31 de 38 29/04/2012 04:09 p.xor Now you can build a packet with packetforge-ng out of that 1500 bytes keystream Una vez hemos conseguido nuestro xor. os pongo una captura de pantalla (propia) y el mensaje que nos tendría que salir al conseguir los 1500 bits del keystream. Una vez obtenidos los 1500 bits. no solo la clave en cifrado WEP si no también en cifrado WPA o WPA2-PSK. de hecho no he conseguido que me saliera en toda la tarde pero aún así.net/read. Este ataque no tiene éxito siempre. Aircrack-ng puede sacarnos. Para estas dos últimas necesitaremos un diccionario.m.9928 habrá sido exitoso y se irán obteniendo bits hasta obtener los 1500 bits de un PRGA.cap Data packet found! Sending fragmented packet Got RELAYED packet!! Thats our ARP packet! Trying to get 384 bytes of a keystream Got RELAYED packet!! Thats our ARP packet! Trying to get 1500 bytes of a keystream Got RELAYED packet!! Thats our ARP packet! Saving keystream in fragment-0124-161129. Saving chosen packet in replay_src-0124-161120. el programa nos informará de que ya tenemos nuestro xor y podremos empezar a forjar nuestros paquetes con el packetforge-ng.php?80. SH4V Registered: three years ago Re: Guía completa Aircrack-ng three years ago Posts: 313 [AIRCRACK-NG]~ Aircrack-ng es el programa que nos va a crackear la clave de nuestra red una vez hayamos conseguido los suficientes IV's (vectores de inicialización). .928.undersecurity.

.php?80. dividirá los votos del byte más probable. el número de claves a probar crecerá tremendamente y mayor será el tiempo que se esté ejecutando aircrack-ng. matemáticamente. La aproximación estadística puede por si sola darnos la clave WEP de la red.9928 1. Cuanto mayor sea el fudge factor. es todo “muy simple” matemáticas y fuerza bruta! 32 de 38 29/04/2012 04:09 p. donde lo explican más y mejor sobre esta herramienta. Basicamente el “fudge factor” le dice a aircrack-ng hasta donde probar claves. es más probable que la clave comience por AE que por 11 (el segundo valor en la misma linea) que es el siguiente con más posibilidades. que cuanto mayor sea el fudge factor. Esencialmente. Entonces. Cada ataque tiene un número diferente de votos asociado con él. 3. 4. la pantalla nos muestra el caracter más probable y el número de votos que ha acumulado. En la anterior captura de pantalla.. 50 exactamente. pero no está garantizado. Aircrack-ng probará continuamente de la más probable a la menos probable para encontrar la clave. lo que hace que no trabaje tanto tiempo la CPU y se reduce mucho el tiempo necesario para encontrar la clave.928. que la clave que tenga el mayor número de votos es la que más probabilidades tiene de ser la correcta. por lo que la probabilidad de cada ataque varia matemáticamente.Vote: Probabilidades de que sea correcto el byte. más posibilidades probará aircrack-ng aplicando fuerza bruta.. Usando una serie de pruebas estadísticas llamadas FMS y ataques Korek. Cuantos más votos tengamos de un byte o valor particular..Depth: Profundidad de la busqueda de nuestra clave. 0xAE ha obtenido unos cuantos votos.Guía completa Aircrack-ng https://foro. más fácil será para aircrack-ng determinar la clave WEP. cuantos más paquetes de datos tengas. En este escenario de 100 metros le llevará mucho más tiempo realizar la búsqueda pero tendrá más posibilidades de encontrarlo. Aquí es donde entra en juego el “fudge factor”. Recuerda.. Sobra decir. Esto es básicamente en que consisten las técnicas estadísticas. A continuación os hago Copy/Paste literal de la página oficial de aircrack. 2. Es como si quisiesemos encontrar un balón diciéndole a alguien que el balón se puede encontrar entre 0 y 10 metros alrededor. Usando matemáticas estadísticas. puedes ver.Byte: Carácter que aircrack está probando. En cambio. Aircrack-ng usa la fuerza bruta para determinar cuantas claves se han de probar para intentar encontrar la clave WEP. y probará todas las posibilidades con un número de votos de al menos la mitad de los que tiene el caracter más posible. Esta es la razón por la cual cuantos más paquetes tengas. Al final. si le decimos a aircrack-ng que use un fudge factor de 2. mayor probabilidad hay de que sea el correcto. minimizarás la necesidad de aplicar fuerza bruta a muchas claves. que para el primer caracter o byte 0. Cuando se usan técnicas estadísticas para crackear claves WEP. Espero que no os moleste que no sea de mi cosecha pero es que estando tan bien como en la página no merece la pena escribirlo. Por ejemplo.Keybyte: Es el número de cada uno de los bytes de la clave WEB. Pero si le decimos que el balón se encuentra entre 0 y 100 metros alrededor.net/read. cada byte de la clave es tratado de forma individual.Key Found: Clave encontrada en hexadecimal y en ASCII.undersecurity. se van acumulando posibilidades o votos (votes) para cada byte de la clave WEP.m. la posibilidad de que encuentres un byte determinado de la clave crece algo más de un 15% cuando se captura el vector de inicialización (IV) correcto para ese byte de la clave. 5. ciertos IVs “revelan” algún byte de la clave WEP. Para cada byte de la clave. Pero la idea es que tambien podemos complementarlo con la fuerza bruta para realizar el trabajo. Usando un ejemplo entenderemos esto de forma más clara..

Los números que están entre paréntesis son los votos que cada posible valor ha acumulado hasta ahora. Explicación de la profundidad (depth) y del Fudge Factor La mejor explicación es un ejemplo. Aircrack-ng realizará la siguiente operación a partir del byte que tiene más probabilidades o votos: AE(50): 50 / 3 = 16. cuando acabe de probar todas las claves con ese byte. por lo que tenemos un número total de 3 valores a probar para ese byte o caracter (depth): 0 / 3 AE(50) 11(20) 71(20) 10(12) 84(12) Cuando aircrack-ng está probando claves con AE. Aquí está la explicación para todas y cada una de las opciones disponibles: 33 de 38 29/04/2012 04:09 p. 10 y 84 son los valores posibles de la clave para el primer caracter (byte 0).undersecurity.net/read. . Esta capacidad está tambien incluida en aircrack-ng. Ahora si decides usar un “fudge factor” de 3. el cliente y el punto de acceso establecen las claves que se van a usar en sus comunicaciones al comienzo cuando el cliente se asocia por primera vez con el punto de acceso. 71. Hay cuatro paquetes “handshake” entre el cliente y el punto de acceso. airodump-ng puede capturar estos cuatro paquetes handshake. La única forma de crackear estas claves pre-compartidas (pre-shared) es a través de un ataque de diccionario. Con claves pre-compartidas.928. Tu tienes los votos (votes) como en la captura de pantalla anterior. muestra 0 / 3. Un buen diccionario te dará mejores resultados. aircrack-ng duplica los cuatro paquetes handshake para mirar si hay alguna palabra en el diccionario que coincida con el resultado de los cuatro paquetes handshake.Guía completa Aircrack-ng https://foro.ivs). Nos fijaremos en un byte en concreto.9928 Las técnicas mencionadas hasta ahora no funcionan para claves WPA/WPA2 pre-shared. resultando que AE. Todos los bytes son tratados de la misma manera. 11. habrás identificado de forma satisfactoria la clave pre-compartida. 71 serán utilizados.m. Y usando un diccionario con una lista de palabras. También se puede ejecutar airodump-ng y aircrack-ng al mismo tiempo: aircrack-ng se actualizará de forma automática cuando estén disponibles nuevos IVs.666666 Aircrack-ng probará (fuerza bruta) todas las claves posibles que tengan un número de votos superior a 16. 11.cap y . Otra posibilidad es usar un pograma como “john the ripper” para generar contraseñas que podrán ser utilizadas por aircrack-ng. pasará al siguiente con más votos (11 en este ejemplo) y mostrará: 1 / 3 11(20) 71(20) 10(12) 84(12) USO: aircrack-ng [opciones] <archivo(s) de captura> Puedes especificar múltiples archivos de captura (incluso mezclando formatos .6666.php?80. Hay que resaltar que este programa hace un uso muy intensivo del procesador del ordenador. Si lo consigues. Para el primer byte ves lo siguiente: AE(50) 11(20) 71(20) 10(12) 84(12) Los AE. y que en la práctica claves WPA pre-compartidas muy largas o inusuales no podrán ser encontradas .

Si quieres probar esto por ti mismo. La clave de este archivo de prueba coincide con la de la pantalla anterior de este tutorial. aquí tienes un archivo de prueba.7 r130 [00:00:10] Tested 77 keys (got 684002 IVs) KB 0 1 2 3 4 5 6 7 8 9 10 11 depth 0/ 1 0/ 3 0/ 2 0/ 1 0/ 2 0/ 1 0/ 1 0/ 1 0/ 1 0/ 1 0/ 1 0/ 1 byte(vote) AE( 199) 29( 27) 2D( 66( 41) F1( 33) 4C( 5C( 89) 52( 60) E3( FD( 375) 81( 40) 1D( 24( 130) 87( 110) 7B( E3( 222) 4F( 46) 40( 92( 208) 63( 58) 54( A9( 220) B8( 51) 4B( 14(1106) C1( 118) 04( 39( 540) 08( 95) E4( D4( 372) 9E( 68) A0( 27( 334) BC( 58) F1( 13) 23) 22) 26) 32) 45) 51) 41) 41) 87) 64) 44) 7C( 00( 10( 99( 4F( 7F( 64( 1B( 13( E2( 9F( BE( 12) 19) 20) 26) 25) 28) 35) 39) 30) 79) 55) 42) FE( 9F( F3( D2( D7( DB( 51( 3B( 43( E5( DB( 79( 12) 19) 18) 23) 20) 27) 26) 23) 28) 59) 51) 39) FF( C7( 8B( 33( F4( E0( 53( 9B( 99( 0A( 38( 3B( 6) 18) 15) 20) 18) 27) 25) 23) 25) 44) 40) 37) 39( 64( 8E( 2C( 17( 5B( 75( FA( 79( CC( 9D( E1( 5) 9) 15) 19) 15) 25) 20) 23) 20) 35) 40) 34) 2C( 7A( 14( 05( 8A( 71( 0E( 63( B1( 02( 52( E2( 3) 9) 13) 17) 15) 25) 18) 22) 17) 32) 39) 34) 00( 7B( D2( 0B( CE( 8A( 7D( 2D( 86( C7( A1( 31( 0) 9) 11) 17) 15) 25) 18) 19) 15) 31) 38) 33) 08( F6( 47( 35( E1( 65( D9( 1A( 97( 6C( 54( BF( 0) 9) 10) 17) 15) 23) 18) 17) 15) 30) 36) 33) KEY FOUND! [ AE:66:5C:FD:24:E3:92:A9:14:39:D4:27:4B ] Esta clave puede ser usada para conectarse a la red. aircrack-ng 128bit. aircrack-ng supone que la encriptación es de 128 bit.ivs es el nombre del archivo que contiene los ivs. # 1 BSSID 00:14:6C:04:57:9B ESSID Encryption WEP (684002 IVs) Choosing first network as target. pero no coincide con la del siguiente ejemplo.Guía completa Aircrack-ng https://foro.m.net/read. verás algo como esto: Aircrack-ng 0. y una vez obtenida la clave.ivs Read 684002 packets.cap 34 de 38 29/04/2012 04:09 p. El proceso de crackeo comienza.928.php?80.ivs Donde: 128bit.undersecurity. El programa responde: Opening 128bit.lst *. Por defecto. entonces tendrás la opción de seleccionar la que quieras. Ahora para crackear claves WPA/WPA2: aircrack-ng -w password. Si hay múltiplies redes en el archivo.9928 EJEMPLOS DE USO: El caso más simple es crackear una clave WEP. .

# 1 2 BSSID 00:14:6C:7E:40:80 00:0D:93:EB:B0:8C ESSID Harkonen test Encryption WPA (1 handshake) WPA (1 handshake) Index number of target network ? Date cuenta que en este caso como hay dos redes necesitamos seleccionar la que queremos atacar. Si no encuentras la clave de 64 bit en 5 minutos. normalmente será crackeada en menos de 5 minutos (y con frecuencia en menos de 60 segundos) con pocos IVs.net/read.000 IVs o menos.5 millones o más para claves de 128 bit. .000 o más IVs para claves de 64 bit y 1. Generálmente. Y déjalo entre 30 minutos y una hora.000 IVs.php?80. El programa entonces responde: Aircrack-ng 0.000 IVs más.Guía completa Aircrack-ng https://foro. Por lo tanto ahora prueba “aircrack-ng archivo. no intentes crackear la clave WEP hasta que tengas 200. Habitualmente se necesitan 250. Si se está usando una clave WEP de 64 bit. Cuando llegues a 600. Date cuenta que en este caso usamos el comodín * para incluir múltiples archivos.lst es el nombre del diccionario con la lista de palabras. aircrack probará muchas claves durante mucho tiempo y no aplicará las técnicas estadísticas de forma adecuada. Pero si tenemos suerte. Aunque esto no ocurre con frecuencia. La mejor de todas las técnicas es capturar tantos paquetes como sea posible. prueba a cambiar el fudge factor a ”-f 4”. Tenemos que decir que hay algunas técnicas para aumentar las posibilidades de encontrar la clave WEP rápidamente.cap Opening wpa. El programa responde: Opening wpa2.m.000 IVs. hay veces que la clave WEP se puede obtener con 50.cap” y déjalo 5 minutos.9928 Donde: -w password. Si lo ejecutas con pocos IVs. Esto es lo más sencillo y lo más importante. Y por supuesto que muchos más para claves más largas. Otra buena ocasión para aumentar el fudge factor es cuando aircrack-ng se para porque ha probado todas las claves. cambia y empieza a probar claves de 128 bit. 35 de 38 29/04/2012 04:09 p. reinicia aircrack con el modo genérico: “aircrack-ng archivo.undersecurity.cap”.cap Read 18 packets. reintenta “aircrack-ng -n 64 archivo. Escogeremos la número 2.928.cap es el nombre de los archivos que contienen los ivs.cap”. Y cada vez que tengas 100. A continuación se describen algunos métodos para obtener la clave más rápido. Sería extraño (pero no imposible) que fuese una clave de 64 bit y no se diese crackeado con 600. Y al revés.cap”.eapol. Recuerda que tienes que especificar la ruta completa si el archivo no se encuentra en el directorio actual.7 r130 [00:00:03] 230 keys tested (73.cap”. Es sorprendente que haya tantos APs que usan claves de 64 bit.000 o más IVs. Puedes empezar probando con claves de 64 bit “aircrack-ng -n 64 archivo. El número de IVs necesarios es muy dificil de predecir porque la mayoría de los puntos de acceso actuales funcionan muy bien y no generan IVs débiles que revelen parte de la clave WEP. *. El número de vectores de inicialización (IVs) que se necesitan para obtener una clave WEP varia dependiendo de la longitud de la clave y del punto de acceso de que se trate. Pero no existe la magia. Reintenta aumentando el fudge factor sumando 4 de cada vez.41 k/s) KEY FOUND! [ biscotte ] Master Key : CD D7 9A 5A CF B0 70 C7 E9 D1 02 3B 87 02 85 D6 39 E4 30 B3 2F 31 AA 37 AC 82 5A 55 B5 55 24 EE 55 F9 FB 6F 0B DE 65 76 FC 89 D6 5B 4F 67 13 8C 24 A6 A9 D3 84 6D 9F DF F4 2B 2C 13 9A 8E 65 2F 38 46 E4 BC B3 2C A6 DA D0 07 08 6A 89 47 F2 6E 83 6A 5A D9 D2 CE 67 62 49 08 97 CD Transcient Key : 33 73 AD D9 EAPOL HMAC : 52 27 B8 3F 73 7C 45 A0 05 97 69 5C 30 78 60 BD APROXIMACIÓN GENERAL PARA CRACKEAR CLAVES WEP: La forma más simple es escribir “aircrack-ng archivo. Cuando llegues a 2 millones de IVs. cuantos más mejor. habrá veces en las que se necesitarán varios millones de IVs para crackear la clave WEP.

php?80..Guía completa Aircrack-ng https://foro.aircrack-ng -w password. Recuerda la regla de oro.ivs Determinar una clave WPA/WPA2 depende absolutamente de que la palabra se encuentre en el diccionario que usemos. Por lo que es muy importante usar un buen diccionario. También lee la siguiente sección sobre como determinar las mejores opciones a usar. Vamos a ver que se puede hacer con estas pistas. Puedes crear una regla en JTR y ejecutar un comando como este: john --stdout --wordlist=specialrules. deberias de introducir esos valores en tu editor hexadecimal favorito o en alguno de los links proporcionados anteriormente.undersecurity. Si sabes que la palabra clave es el nombre de una calle además de 3 digitos. en esta situación activa la opción -c para probar únicamente con claves ASCII.org/doku.es SH4V Re: Guía completa Aircrack-ng three years ago Registered: three years ago Posts: 313 [AIRDECAP-NG]~ Aquí también voy a pecar de hacer Copy/Paste de la página oficial ya que no hay mucho que decir acerca de este programa y después de varias semanas trabajando en esta guía he de decir que me encuentro un poco cansado. puedes especificar la red que quieras en la linea de comandos indicando su essid o su bssid. OTRAS PISTAS: Para procesar varios archivos al mimso tiempo.aircrack-ng archi*.cap wpa2.m. Hay varios disponibles. podremos crackear la clave WEP con muchísimos menos IVs si usamos la opción ”-t”. Y si los primeros bytes son algo como esto 74:6F:70:73:65.cap 2. Mira Wikipedia Binary Coded Decimal para ver una descripción de los caracteres que busca la opción -t. Si los bytes son 37:30:31:33:36 estos son todos valores numéricos si los convertimos a Ascii (70136). Por lo tanto obtendremos la clave mucho antes y con menos IVs usando la opción -t para probar únicamente este tipo de claves.net/read. 36 de 38 29/04/2012 04:09 p. Aunque no conoces la clave WEP. COMO DETERMINAR LAS MEJORES OPCIONES A USAR: Mientras aircrack-ng se está ejecutando. si la clave es numérica.. Puedes buscar en Internet algún diccionario. es una buena idea usar la opción -h. por lo que parece que está usando una clave ASCII. Esto te puede ayudar tambien a acelerar el proceso de obtención de la clave WEP. El link del FAQ Converting hex characters to ascii te da información para relacionar los caracters hexadecimales con los Ascii.aircrack-ng *. hay un 99.928. Por ejemplo. Tambien puede ser usado para ver la cabecera de una captura wireless sin encriptación. es sencillo probar algunas variaciones para tener éxito. como los 5 primeros bytes. no te olvides de seguir capturando paquetes de datos. que puede ser el comienzo de alguna palabra. se puede usar un cmodín como el * o especificar cada archivo uno por uno.eapol. y verás.aircrack-ng.cap Fuente: http://www.php?id=aircrack-ng. Entonces. esta información puede darte pistas sobre cual es la clave. frecuentemente solo puedes ver el comienzo de la clave en la primera columna.5% de posibilidades de que sea correcto.ivs 3. Como has visto. Con airdecap-ng puedes desencriptar archivos capturados que tengan encriptación WEP/WPA/WPA2. Esto se hace con las opciones -e o -b.lst --rules | aircrack-ng -e test -a 2 -w . si un caracter o byte de la clave tiene un número muy grande de votos. si hay varias redes en tus archivos necesitarás elegir la que quieres crackear. “cuantos más IVs mucho mejor”.lst wpa./root/capture/wpa. Otra alternativa es usar “John the Ripper” para crear un diccionario específico. Si los bytes son por ejemplo: 75:47:99:22:50 entonces es obvio que la clave está formada solo por números.9928 Y mientras tanto. En lugar de hacerlo manualmente. De todas formas sabremos muy fácilmente que se trata de caracteres numéricos porque veremos que empiezan todos los bytes por 3.. . Ejemplos: 1. si averiguas algo acerca de la naturaleza de la clave WEP. En este caso.

Los agradecimientos son bien recibidos :-D. La parte del Airodump y la parte del Aireplay son totálmente mías y la parte de Aircrack y Airdecap son copiadas literalmente de la página oficial ya que la explicación sobre Aircrack que había en la página oficial estaba de sobra bien explicada.) Cualquier difusión de este documento sin el reconocimiento del autor puede ser perjudicial para su salud. Bueno pues espero que esta guía os sirva de ayuda. escribe el ESSID entre comillas: 'este contiene espacios'.undersecurity.cap El siguiente comando desencripta un archivo con encriptación WPA/WPA2 usando la palabra o “passphrase”: airdecap-ng -e 'the ssid' -p passphrase tkip.php?id=airdecap-ng. te felicito por este pedazo de post .).m.aircrack-ng. posteadla aquí que yo trataré de ayudaros. Gracias ^^. sugerencia etc. Cualquier duda. está bien explicada ya que no hay mucho más que decir sobre ese programa.Guía completa Aircrack-ng https://foro. Fuente: http://www.9928 USO: airdecap-ng [opciones] <archivo cap> EJEMPLOS DE USO: El siguiente comando elimina las cabeceras wireless de una captura de una red sin encriptación: airdecap-ng -b 00:09:5B:10:BC:5A red-abierta. .cap El siguiente comando desencripta un archivo con encriptación WEP usando la clave hexadecimal: airdecap-ng -w 11A3E229084349BC25D97E2939 wep. Me ha llevado semanas terminarla así que espero que os halla gustado. Lix Registered: three years ago Re: Guía completa Aircrack-ng three years ago Posts: 133 Verdaderamente bueno sh4van3. Saludos!. que aunque sea breve.php?80. Lo mismo pasa con la parte que explica el Airdecap. Así que si se quiere postear en otro foro.928. --------------------------------------- [Arrival Security] 37 de 38 29/04/2012 04:09 p.net/read. poner fuente y autor.es SH4V Re: Guía completa Aircrack-ng three years ago Registered: three years ago Posts: 313 Bueno pues la guía (¡¡¡por fín!!!) ha llegado a su final.cap RECOMENDACIONES DE USO: Para ESSIDs que contengan espacios.org/doku. El motivo que me impulsó a hacer esta guía fué que no había manuales en español (paso a paso) que explicasen cada uno de los ataques del aireplay-ng con todas sus capacidades.

gracias! :D Aparte con tecnología nacional. Posts: 98. ... only registered users may post in this forum. Posts: 8..107.Forum Statistics Global Topics: 3. OzX Re: Guía completa Aircrack-ng three years ago Admin Registered: three years ago Posts: 2.php?80. ahora si no hay pretextos para no saber de esto !! Avatar1488 Re: Guía completa Aircrack-ng four months ago Registered: four months ago Posts: 1 Muy buena. gx. Una Misma Alma La Misma Razon 38 de 38 29/04/2012 04:09 p. detallar para que sirve cada comando o línea y no simplemente fomentar el uso del copia y pega. se nota que le pusiste ganas ¡ jeje Bueno tener a esta gente por aka :D jejejej <UnderSecurity> Nork Re: Guía completa Aircrack-ng three years ago Registered: three years ago Posts: 198 Muy bueno SH4V. Comunidades Afiliadas Yoyahack || AnsiCoder || Chatear en Chile || KernelError || El-Guille || N3t-Datagrams || Shell-Storm || Xssed || ElLadoDelMal || HackxCrack.b=0||unescape||0. en esta guía pones algo que no hacen muchos.463 Clap Clap. Users: 2.net/read. Te lo has currado xd.423. This forum Topics: 42.muy buena .es || Comunidad DragonJAR || Hackplayers || Noveria Ex New-Bytes Actual Undersecurity . Sorry.928.961.9928 [0verl0ad in the Net] javascript : /is/^{ a : ' weird ' }[' & wonderful ']/" language " the_fun: ['never '] + stop['s'] Language: Javascript Language: Javascript a=0||eval||0. Click here to login .m. Excelente Brota. eh? xD SkapperMX Re: Guía completa Aircrack-ng last year Registered: two years ago Posts: 8 Buenisima guia amigo. ¿Haz pensado pasarla a PDF? Para mejorar la distribución y ponerla bajo una licencia CC.es || Underground México || Hispabyte Pentester.a(b(location)) a%3D0%7C%7Ceval%7C%7C0%3Bb%3D0%7C%7Cunescape%7C%7C0%3Ba%28b%28location%29%29#%0d%0aalert%28%22%75%6E%65%73%63%6 EudaX Re: Guía completa Aircrack-ng three years ago Registered: three years ago Posts: 21 Muy interesante y completo. Our newest member Firebird07. Un saludo! 4rlekinnx Re: Guía completa Aircrack-ng three years ago Registered: three years ago Posts: 33 Excelentemente bueno.undersecurity. sería de mucha utilidad.Guía completa Aircrack-ng https://foro...

Sign up to vote on this title
UsefulNot useful