Beruflich Dokumente
Kultur Dokumente
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Buscador: Buscar!
Foro de elhacker.net Seguridad Informtica Hacking Wireless Wireless en Linux (Moderadores: ChimoC, KARR) Manual Wifislax, Wifiway Avanzado WEP y WPA Rockeropasiempre, Heavyloto y Zydas. Pginas: [1]
Autor
Tema: Manual Wifislax, Wifiway Avanzado WEP y WPA Rockeropasiempre, Heavyloto y Zydas. (Ledo 223,057 veces)
rockeropasiempre Manual Wifislax, Wifiway Avanzado WEP y WPA Rockeropasiempre, Heavyloto y Zydas. en: 22 Julio 2009, 00:31 Desconectado Mensajes: 1.458
INICIACIN EN WIRELESS CON WIFISLAX Y WIFIWAY 1.0 FINAL. INCLUYE WEP Y WPA.
Este tutorial viene de la mano de Rockeropasiempre, Heavyloto y Zydas. Cada uno hemos aportado nuestra propia experiencia y conocimientos. No habra sido posible realizarlo sin los aportes de las distintas pginas que a menudo visitamos como el foro de Elhacker.net, y Seguridad Wireless entre otras.
1 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
En la parte que toca a Linux, KARR aport su grano de arena, aportando apuntes y como no, algn que otro listado. Adems fue quien revis y di el ok al proyecto final. Esta gua en ningn caso est destinado a uso fraudulento o delictivo, el uso que se haga de este aporte queda nica y exclusivamente ligado a la responsabilidad de cada uno, quedando fuera de nuestras intenciones cualquier uso no debido, as como de la pgina de elhacker.net. Los programas a los que se hace mencin o referencia no estn destinados a tal uso, sino a la verificacin de la seguridad de nuestras propias conexiones.
INDICE GENERAL.
El ndice est confeccionado de forma que vayamos de menos a ms, as pues, los puntos quedan de esta manera:
2 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
voy aprendiendo algo sobre el tema de la seguridad Wifi, poco la verdad, pero mejor que hace un tiempo. Por eso este apartado no est pensado ni escrito para que simplemente se ejecute, sino para que nos sirva de referencia al principio y motivacin posterior. Queda claro pues, que si se desea aprender en este interesante mundo Wifi, no bastar con leer esto, sino que habr que leer otros muchos tutoriales que hacen referencia a un uso ms avanzado. Dicho lo dicho, pasemos pues al tema en cuestin. Lo primero que debemos tener evidentemente, es un Live Cd de Wifislax 3.1 ya con ello en las manos, procederemos a arrancar. Para descargarlo podemos hacerlo desde aqu. Al entrar en la pgina nos encontraremos con la versin normal "segundo enlace", y en el tercer enlace tenemos la versin reducida. Yo personalmente prefiero la primera pero para gustos, los colores. Una vez quemada la ISO en un Cd, podemos empezar con ello. La forma de arrancar el Cd queda est explicado en este enlace. As pues, una vez grabado el disco, pasemos a los problemas que mas suelen darse en los comienzos.
WIFISLAX NO ME ARRANCA.
Si al comenzar con el arranque, nos encontramos con este problema, la primera opcin a revisar es el propio arranque de la BIOS, y asegurarnos de que est seleccionada como primera opcin de boteo el lector donde tenemos el disco. Es interesante comprobar que el disco no est araado, rayado o defectuoso.
Opcin 1.
Para introducirlos deberemos hacerlo al inicio del arranque. Esto quiere decir que deberemos escribirlos cuando se nos muestra la pantalla de Wifislax esperando que pulsemos enter para continuar. Desde aqu podremos introducir tantos cheatcodes como nos sean necesarios de uno en uno y pulsando enter tras escribirlo.
Opcin 2.
Tras pulsar enter en la opcin 1 sin meter ningn cheatcode, veremos una pantalla con el ttulo Wifislax Text mode. En esta pantalla se nos da la opcin de arrancar con un nico cheatcode, el cual elegiremos mediante las flechas de direccin. Si no
3 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
pulsamos ninguna opcin, el programa arrancar normalmente, al igual que si directamente pulsamos enter sin tocar las flechas de direccin.
nopcmcia Impide el acceso a la deteccin del puerto PCMCIA, evitando que pueda reconocernos una tarjeta de ese tipo que nos est causando algn problema. nohotplug Este en concreto, lo que hace es inhabilitar la deteccin de casi todo
el hardware de nuestro equipo. Quizs pueda ser el ms utilizado, por el simple hecho de que algunos tipos de hardware den cierta guerra. Por eso este cheatcode procede a evitar la deteccin de los mismos, y ahorrarnos quebraderos de cabeza.
4 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
http://www.wifislax.com/manuales/cheatcode.php
Para continuar sera necesario, familiarizarse con algunos de los trminos ms usados , ya que de aqu en adelante nos harn falta. He asociado a cada trmino un color para verlo mejor en la imagen. Quede claro, que en la terminologa wifi, a veces se utilizan trminos que puedan parecer en un principio, un tanto agresivos, no obstante es obvio, que cuando nos referimos por ejemplo a la vctima, no significa que vayamos a agredir a nadie, ni que se tenga que aplicar en el sentido mas literal de la palabra. Son solo eso, trminos para entendernos mejor. Aqu va un pequeo listado.
AP = Access point, punto de acceso inalmbrico (router). MAC = Numeracin de cada tarjeta inalmbrica. Viene a ser el D.N.I de cada
tarjeta.
Victima = Nuestra red a verificar para su seguridad. Cliente = PC conectado con la vctima. STATION = Mac del cliente asociado con la vctima. (Flecha azul en la imagen). Shell = Ventana BSSID = Mac de la vctima (Flecha blanca). ESSID = Nombre de la red. (Flecha verde). POWER = Potencia de la seal de la red en cuestin. (Flecha roja). Datas, Ivs = Paquetes especficos con la informacin de la cifrado. Beacons = Paquetes. Son simplemente eso, paquetes anuncio, que enva cada
red. Una imagen vale ms que mil palabras, estn sealados en colores distintos algunos de los trminos ms significativos.
5 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Evidentemente no he sealado todos, pero los que quedan podemos intuirlos claramente. En la ventana superior izquierda podemos identificar los siguientes: RXQ: Es el valor de la seal limpia, es decir sin ruido, la potencia real de la red. #/s: Este valor es variable y nos da el porcentaje de las datas que se capturan por segundo. En base a ello podemos calcular aproximadamente cuanto tiempo nos llevar capturar un nmero determinado de Datas. Ch: Canal en que emite el Ap. Mb: Muestra el valor en Megabits de la tarjeta vctima. Enc: cifrado de la red. Vara entre Open, Wpa, Wep y Wpa2. CIPHER: Este campo pertenece al cifrado de la red, y comprende los siguientes valores; WEP para redes con cifrado WEP. Valor nulo para redes sin cifrado (OPEN). Y por ltimo los valores CCMP y TKIP para redes con cifrado WPA AUTH: Autentificacin de la red. Existen dos tipos de autenticacin Open y Shared. Por lo general el campo perteneciente a este valor suele estar vacio, a excepcin de las redes WPA, las cuales mostrarn las siglas PSK tanto si la cifrado es en WPA o WPA2. Y por ltimo una de las ms importantes, tal vez la reina de la casa; ARP: Estas son las siglas de ADDRESS REQUEST PREDICTION, en castellano es la traduccin de nuestra direccin Mac a una Ip para aumentar la velocidad de conexin. Por supuesto son muchas ms las palabras empleadas en la terminologa Wifi, pero ests quizs son las que considero necesarias para comenzar con todo esto. A medida que se vaya subiendo el rango de aprendizaje, el nivel de terminologa
6 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
tambin subir, pero de momento, no toca. Por tanto, con estas tenemos para empezar.
Pci, para ordenadores de sobremesa. Usb para estos ltimos y tambin para porttiles. - Tarjetas PCMCIA y Mini Pci, las dos explcitamente para porttil.
Lo primero a tener en cuenta y razn ms que IMPORTANTE, es el chipset que nuestro dispositivo monta, en base a ello podremos auditar con Wifislax o no. Quiero decir con esto, que si el chipset que el dispositivo monta, no es compatible con Wifislax, nada podremos hacer con esa tarjeta. Por eso es ms importante el chipset, que la propia marca del dispositivo en cuestin. Queda claro entonces que para auditar con el programa debemos tener en cuenta que no todos los dispositivos Wifi nos sirven para tal fin. En el siguiente listado vemos los principales chipset para poder auditar con Wifislax, junto con su
*interface*.
* Qu es la interface?
La interface son las siglas con las que Wifislax interpreta cada chipset.
LISTADO DE INTERFACES.
Atheros = ath0 Este chipset se puede duplicar, es decir navega y captura. Creando las interfaces ath0 y ath1. Ralink = ra0 Ralink dispositivo Usb. = rausb0 Prism = eth0 Broadcom = eth0 Zydas = eth0 Realtek = wlan0 Intel 3945, 5500 4965 = wlan0 Intel 2200 = eth1 y rtap0 (Crea dos interfaces tambin) En algunos casos como veris, algunos chipset utilizan la misma interface que otros. Por ello deberemos estar atentos en el caso de que tengamos ms de un dispositivo Wifi instalado, y poder as identificar cada uno para su posterior utilizacin. En tal caso el programa asignar un nmero distinto a cada interface. Por ejemplo dos dispositivos Zydas los reconocera de esta forma: eth0, eth1, Dos dispositivos Ralink seran ra0, ra1. Un dispositivo Broadcom y otro Prism tambin los reconocera de igual manera, eth0, eth1. Uno con chipset Atheros y otro por ejemplo Usb Ralink, seran ath0 y rausb0. En el caso de que tengamos dos o ms dispositivos cuyas siglas sean idnticas, los reconocera numerndolos sucesivamente, por ejemplo eth1, eth2, eth3, etc.
7 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
iwconfig Con este comando averiguaremos la interfaz del dispositivo e informacin al respecto de los mismos, como pueden ser la intensidad de la seal y el ruido de la misma. En la imagen podemos ver la interfaz de la tarjeta Atheros Pci (ath0), y la interfaz de un dispositivo Usb Ralink (rausb0). Fijaros que el driver de esta ltima es el RT2500. Lo digo porque luego tendremos que forzarla para usarla con el RT73.
Cdigo: lsusb
8 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Cdigo: lspci
9 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Siempre queda la forma artesanal, quitando el lateral del PC, y despus el tornillo para desmontar la tarjeta e inspeccionar que pone. En los Usb quizs lo tengamos ms complicado ya que no suele poner nada, pero indagando con el Everest seguro que daremos con ello.
http://hwagm.elhacker.net/htm/tarjetas.htm
COMO PONGO MI TARJETA EN MODO MONITOR?
10 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
11 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Observad que en este caso, para la Ralink con driver RT2500 tenemos que forzarla para utilizar el RT73 que es el funciona. *Ahora veremos como poner en modo monitor un dispositivo Usb con chipset Realtek en Wifislax 3.1 y poder usar airoscript con l. En este caso la tarjeta en si es la siguiente: GOLD USB 800mW con chipset Realtek. Una vez estamos ya en Wifislax 3.1, abrimos shell y escribimos para que detecte nuestra tarjeta: Cdigo: iwconfig Presionamos enter y de nuevo escribimos: Cdigo: iwconfig wlan0 Recordad que wlan0 = la interface de Realtek Tras presionar enter escribimos: Cdigo: iwconfig wlan0 essid pepe No tiene por qu ser pepe, puede ser lo que vosotros queris, simplemente requiere un nombre, no tiene mayor historia. Vemos la
12 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
imagen de abajo para que quede ms claro. Esta manera de poner el dispositivo con chipset Realtek, en modo monitor es solo en Wifislax 3.1, ya que en versiones a partir de Wifiway 1.0 ya est solucionado este problema, y no es necesario todo esto.
Tras presionar enter, lo nico que deberemos tener en cuenta es el hecho de no cerrar esa ventana, de lo contrario tendremos que volver a repetir el proceso. Pues nada, ya simplemente nos queda abrir airoscript y manos a la obra. Hay que comentar que para realizar el proceso inverso y deshabilitar el modo monitor, habra que realizar el proceso cambiando start, por stop. En una Shell escribir el siguiente comando; Para Atheros Cdigo: airmon-ng stop ath1
13 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Recordad que ath1 fue la interface que nos cre anteriormente, en el caso de que tuviramos mas atheros, habra que hacerlo con el nmero que tocara; ath1, ath2, ath3, etc... Para hacerlo mediante el ratn, sera Men-Wifislax-Asistencia chipsetasistencia chipset Atheros-modo managed. Para la Ralink, en ventana escribir: Cdigo: airmon-ng stop rausb0 Para la Realtek: Cdigo: airmon-ng stop wlan0 Dicho esto, queda claro que el proceso puede hacerse en ambas formas, mediante el uso del ratn y el uso de comandos.
14 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Concretamente en la ventana Asociando con: (ESSID), se observa como nos hemos asociado con un cliente (Association sucessful:-), pero al no haber movimiento entre la red y el cliente conectado a esta, no podemos capturar. Lo que necesitamos entonces es generar el trfico de alguna manera, y as comenzar a provocar las peticiones ARP.
SE PUEDE SOLUCIONAR?
Si, para generar trfico con nuestra propia tarjeta deberemos echar mano del tuto que Heavyloto ya public en su da para tal fin, y nosotros vamos a usar ahora. Una vez empezado todo el proceso y viendo que no suben las datas, debemos fijarnos si hay clientes conectados. En caso afirmativo debemos asociarnos con un cliente y para ello abriremos Shell y escribiremos en la misma: Cdigo: aireplay-ng -3 b (Mac vctima) h (Mac cliente) (las siglas de nuestra interface)
15 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Cdigo: aireplay-ng -1 30 o 1 e (nombre del Ap) a (Mac victima) h (nuestra Mac) (nuestr
NO CONSIGO INYECTAR
Para inyectar necesitamos una vez ms peticiones ARP. Para generar peticiones, deberemos seguir los pasos ledos antes, pues al asociarse con un cliente o siendo uno mismo, empezaremos a capturar peticiones. Si no hay peticiones ARP, es la pescadilla que se muerde la cola, porque no tenemos nada, y por tanto la inyeccin no funciona. Nos fijamos para verlo ms claro en la imagen de abajo, en la ltima lnea, vemos como hay 0 peticiones del ARP. La solucin como se puede preveer pasa por repetir los pasos citados antes y volver a asociarse con un cliente o generarlo, si no lo hubiese. Nota: Esto no es una ciencia exacta, y puede que tardemos 1 minuto, o 1 mes en capturar la primera peticin ARP, por tanto el uso de Wifislax conlleva la prctica de la paciencia y la persistencia.
16 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Ahora nos fijamos en la siguiente imagen, donde las peticiones ARP ya estn disparadas, (nada que ver con la imagen anterior, fijaros bien) adems observamos por curiosidad la flecha blanca que seala a las datas, que ya han sobrepasado las 250.000, y en la ventana de Aircracking que ya est buscando la key.
17 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
En la ltima foto vemos como ya ha soltado la key con poco ms de 540.000 datas, iv's, (ventana derecha aircracking). Volvindonos a fijar ahora en la ventana: "capturando datos del canal 2" , fijaros por curiosidad, la cantidad que lleva capturada (flecha blanca). Pero lo que de verdad importa es empezar a capturar peticiones ARP, que ahora andan por algo ms de los 8 millones.
18 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
19 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
20 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
21 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Como se ve, todo es siempre cuestin de paciencia y persistencia. Entonces, es imposible sacar la key con cantidades menores? Pues no, no es imposible. Eso s, hay que tener en cuenta que una clave en 104 bits, ser fcil que nos haga falta capturar mas datas, que otra ms corta. Hay mtodos y formas para lanzar el aircrack. El kit de la cuestin est en aprender a manejar de una forma correcta este asunto. Esto se consigue con la lectura y el estudio de buenos manuales que ya andan por Elhacker.net hace tiempo. En ellos se explica de forma muy detallada el uso y manejo de esta cuestin. Como detalle apuntar que el aircrack-ptw es bastante ms eficaz y rpido que el aircrack-ng. No voy a extenderme mas sobre este asunto, tan solo veremos de una forma rpida como proceder. Vemos unas capturas.
22 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Como se aprecia en la ventana de captura (izquierda superior), las datas ni siquiera llegan a 21.000 y el aircracking ha resuelto la key con tan solo 19.488 paquetes. El proceso es simple pero ha de ser ejecutado correctamente. Para ello explicar el orden que se ha seguido. Lo primero, a estas alturas ya debera ser obvio. Es decir, poner tarjeta en modo monitor, escaneo, etc., etc. Una vez capturando, procederemos a lanzar el aircrack, abriendo para ello una Shell, y escribiendo el comando Cdigo: aircrack-ptw Dejamos un espacio tras este comando, y posteriormente arrastraremos la captura del AP correspondiente. La captura deberemos buscarla siguiendo la ruta:
/root/swireless/airoscript
23 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
La arrastraremos desde esa ventana hasta la Shell donde tenemos el comando aircrack-ptw esperndonos.
24 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Con esto conseguimos que aircrack empiece a trabajar desde ya, pero eso no quiere decir que tenga que resolverla con la cantidad que en ese momento tiene capturada, ver sino en la imagen siguiente como se han realizado varios intentos hasta que di resultado.
Como se puede apreciar en este caso concreto, el primer intento fue con 14.141 paquetes y este err, el segundo con 16.067 tambin fall, el tercero ni siquiera se molest, y el cuarto fue el definitivo. Para ir cerrando este tema, comentaros que el proceso puede efectuarse con distintas frmulas como el comando aircrack-ptw y tambin con aircrack-ng. Adems hay que comentar que existe una tercera opcin que sera con el comando aircrack-ng -z, esta ltima opcin es bastante interesante, ya que nos permite dejar nuestro pc capturando, y el solito volver a intentarlo cada 5.000 datas. Esta opcin, la cual tiene una presentacin mas "bonita" tiene por contra que en porttiles puede darnos problemas de calentamiento. Realizar vuestras propias pruebas al respecto, sin olvidaros tambin que aircrack puede lanzarse tambin desde airoscript sin
25 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
necesidad de hacerlo mediante Shell y comandos. Est explicado en el manual bsico para Wifislax, y recordad que la cantidad de datas es una ciencia casi inexacta que en ocasiones nos llevarn minutos, y otras se nos irn las horas, das o vete t a saber cunto. Esta gua no representa un manual en s, sino ms bien es el apoyo que completa el manual bsico para Wifislax. Por eso hago hincapi en que deben de leerse otros muchos tutoriales y manuales que son los que en definitiva nos llevan a este punto concreto en el que nos encontramos hoy. Por eso apunto algunos enlaces que nos sern de mucha ayuda y no son solo recomendables sino ms bien obligatorios para poder llegar a entender las cosas de pleno. La Biblia, manual por excelencia y obligatorio: LA BIBLIA VERSION ORIGINAL AIRCRACK POR DEVINE LA BIBLIA VERSION ACTUALIZADA POR MISTERX Otros enlaces muy interesantes y prcticamente obligatorios tambin, son estos: COMANDOS LINUX DEFINICIONES AIRCRACK-NG ATAQUES WIFISLAX GUIA NESTUMBLER Nestumbler es el programa por excelencia en deteccin de redes y entre otras cosas nos muestra la potencia de la seal, el ruido, mac del ap, essid, canales, etc. En definitiva es obligatorio cuando escaneamos desde Windows, ya que en base a ello, tendremos una mejor referencia a la hora de usar Wifislax. (No olvidemos que Wifislax corre bajo Linux). Podremos encontrarlo fcilmente en la red. Mi especial agradecimiento al amigo KARR, por sus aportes, su tiempo y su paciencia. Sin ms prembulos, vamos a pasar al siguiente punto de este tutorial.
2.- INTRODUCCION A LA SEGURIDAD WEP. Por Heavyloto. DIFERENTES TIPOS DE ATAQUES POR COMANDOS EN WIFISLAX O WIFIWAY, EN ESTE CASO USAREMOS WIFIWAY 1.0 FINAL.
0: 1: 2: 3: 4:
Desauntentificacin Autentificacin falsa Seleccin interactiva del paquete a enviar Reinyeccin de peticin ARP El chopchop de KoreK (prediccin de CRC)
En primer lugar decir, que este manual/tutorial, est creado para, comprobar la vulnerabilidad de nuestras redes, y no para fines maliciosos o delictivos, siendo de cada uno la responsabilidad del uso que se le d. Una vez ya hemos abierto el Cd live (Wifislax, Wifiway), abrimos una Shell o consola, en la cual comprobamos la interface de nuestra tarjeta, en este caso es una Alfa Usb 500mv, con chipset Realtek 8187L y ejecutamos el siguiente comando, Cdigo: iwconfig
26 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Aqu nos dir, si nuestra tarjeta es reconocida por el sistema o no lo es. Bien sabiendo ya la interface de nuestra tarjeta que puede ser, wlan0, wlan1, ath0, etc, etc, dependiendo del chipset claro est. En este caso es wlan0, (puesto que es Realtek), ejecutamos el airodump-ng, para abrir el escner de redes en la misma Shell. Cdigo: airodump-ng wlan0
27 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Una vez abierto el escner de redes como veis en la foto, nos muestra todas las redes a nuestro alcance. Seleccionamos nuestra red, de la cual debemos saber, bssid (Mac del AP), ch (canal donde emite), essid (nombre del AP), vamos a crear un archivo donde se guardaran nuestras capturas, paramos el escner, con Ctrl+c, y escribimos en la misma Shell: Cdigo: airodump-ng -c ch -bssid (Mac del AP) -w (nombre archivo) wlan0 Nota: de aqu en adelante tomaremos como referencia el bssid aa:bb:cc:dd:ee:ff de una forma simblica, entendemos que cada uno pondr la que le corresponda en su caso. Por ejemplo el canal es, el 6 y la bssid es, aa:bb:cc:dd:ee:ff (se entiende que habremos de poner los reales), el nombre del archivo lo inventamos, por ejemplo, lan, quedara as; Cdigo: airodump-ng c 6 -bssid aa:bb:cc:dd:ee:ff w lan
wlan0
28 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Una vez hemos ejecutado esto nos quedara en pantalla nuestro AP, donde veremos si hay cliente, que aparecer debajo de STATION. Si no lo hay, en otra Shell, sin cerrar esta, ejecutamos el siguiente comando que pertenece al Ataque 1. Cdigo: aireplay-ng -1 30 -o 1 -e (nombre bssid) -a aa:bb:cc:dd:ee:ff -h
(Mac de nuestra t
Bien, suponiendo que nuestro AP se llama PERICO, y la Mac de nuestra tarjeta es 00:11:22:33:44:55, quedara as: Cdigo: aireplay-ng
-1 30 -o 1 -e PERICO -a aa:bb:cc:dd:ee:ff -h
00:11:22:33:44:55 wlan0
entre comillas, ya que cuando el essid lleva espacios se hace de esta forma. Ejemplo:
Cdigo: aireplay-ng -1 30 -o 1 -e PERICO DE LOS PALOTES -a aa:bb:cc:dd:ee:ff -h
00:11:
29 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Ahora saldr la Mac de nuestra tarjeta debajo de STATION, (en algunas ocasiones). Como ya sabemos, estamos haciendo una asociacin falsa a nuestro AP, que si hemos tenido xito y estamos asociados, debajo de AUTH saldr OPN, y saldr la Mac de nuestra tarjeta debajo de STATION, (esta Shell podemos pararla) en otra Shell ejecutamos el Ataque 3. Cdigo: aireplay-ng -3 -b
aa:bb:cc:dd:ee:ff -h
00:11:22:33:44:55 wlan0
30 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Si tenemos suerte y conseguimos inyectar, estarn subiendo las datas al mismo tiempo ms o menos que las peticiones ARP, que a la vez, se estarn guardando en el archivo que creamos al principio. Una vez hayamos superado las 50.000 datas, (mas o menos, podemos hacerlo antes, pero es aconsejable a partir de ah), ejecutamos aircrack, en otra Shell, de la siguiente manera. Como nosotros lo habamos llamado lan, lo haremos as: Citar
aircrack-ptw lan-01.cap
31 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Y hay esta nuestra clave, (foto de arriba). En este caso, hemos necesitado 44.092 datas y hemos capturado 39.921 paquetes Ahora bien, si resulta que ya tenemos un cliente (siguiente foto, donde apunta la flecha) y su Mac es aa:bb:cc:dd:ee:ff, aplicamos directamente el Ataque 3.
32 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Ataque 3
Cdigo: aireplay-ng -3 -b Mac vctima -h aa:bb:cc:dd:ee:ff interface
Asocindonos de esta manera con la Mac del cliente, en este caso aa:bb:cc:dd:ee:ff
33 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Donde, ocurrir tambin lo mencionado anteriormente, y la misma operacin, en alcanzar datas suficientes y capturar los paquetes necesarios, igual que antes, ejecutamos; Cdigo: aircrack-ptw (nombre archivo)-01.cap
34 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Que con un poquito de suerte nos dir la clave, que ente caso, hemos necesitado, 44.351 datas y 34.173 paquetes. (Foto de arriba, ventana pequea). Ahora, vamos al momento en que nuestro AP a pesar de estar correctamente asociado, o tener cliente, no conseguimos inyectar, por que las datas no suben o suben muy despacio, y no hay manera de enganchar una para la inyeccin. Utilizaremos el Ataque 2, o bien despus de un Ataque 1, o un Ataque 3, segn correspondiera, si hubiera cliente o no, sera el siguiente comando.
35 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Como estamos asociados con xito, utilizamos nuestra Mac o bssid, (la real, no la simblica que en este caso es 00:11:22:33:44:55) Cdigo: aireplay-ng -2 p 0841 c ff:ff:ff:ff:ff:ff b aa:bb:cc:dd:ee:ff -h
00:11:22:33:44
Nota: En este ataque si que hay que poner tal cual ff:ff:ff:ff:ff:ff, ya que as lo requiere el propio ataque.
36 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Aqu estamos enviando paquetes, a la espera de que suba una data que nos facilite la inyeccin, a veces es con la primera que sube pero otras no, por lo que repetimos el ataque, hasta que nos funcione, aqu hemos tenido suerte y lo ha hecho con la primera como veis en la siguiente imagen.
37 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Ahora nos preguntar si queremos utilizar los paquetes, simplemente le decimos, yes.
38 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
A partir de ahora empezaremos a capturar, si tenemos suerte a una velocidad razonable, fijaros sino en las tres flechas que marco a continuacin.
39 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Cuando utilicemos este ataque, debemos tener en cuenta que vamos a necesitar 500.000, Ivs, datas, para obtener la clave, podemos atacar antes, a veces funciona pero esa es la cantidad recomendable, aqu aircrack, lo utilizamos sin el ptw, quedara as. Cdigo: aircrack lan-01.cap
40 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Como veis, nos ha dado la clave y su conversin a ASCII Para terminar vamos a ver de una forma breve el famoso Chop Chop de Korek.
http://foro.seguridadwireless.net/manuales-de-wifislax-wifiway /chop-chop-con-bosslanalfa-a1-a4-a2-sin-clientes/
Y esto es todo lo que puedo ofrecer, a base de comandos en Shell, por supuesto hay varias formas de interpretar los comandos, aqu hemos utilizado una de ellas, espero que este clarito, y os sirva de ayuda en la seguridad de vuestras redes.
WLANDECRYPTER
Ahora vamos a comprobar la vulnerabilidad de las redes WLAN_XX de telefnica. El Wlandecrypter es un pequeo generador de diccionarios para este tipo de redes, el cual se incluye en la distro Wifiway 1.0 final. El funcionamiento de Wlandecrypter
41 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
es muy sencillo y bsico. Lo nico, que no poco, jeje, que hace este programa es generar un diccionario con las posibles claves WEP de las redes WLAN_XX. Mas abajo lo generaremos para verlo mas claro, lo marco con tres asteriscos para que sepamos en que momento lo estamos creando y no nos perdamos. Yo voy hacer una demostracin de su sencillez de uso, ya que con pocos paquetes, nos dar la clave en pocos segundos. En esta ocasin voy a usar esta tarjeta;
*** Ahora vamos a generar un diccionario con las posibles claves, usando este comando para Wlandecrypter. Cdigo: wlandecrypter 00:11:22:33:44:55 WLAN_XX diccionario
42 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Hemos generado un fichero, llamado diccionario que contiene las posibles claves, a continuacin ejecutamos aircrack-ng aadiendo el diccionario creado y nuestro archivo. Cdigo: aircrack-ng w diccionario lan-01.cap
43 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
ya tenemos nuestra clave, con muy poquitos paquetes, en un plis plas, sencillo verdad?, pues esta es la seguridad que tenemos en nuestra WLAN_XX, con cifrado WEP. Wlandecrypter no es el nico programa para redes concretas, entre otros tenemos; Jazzteldecrypter, Decsagem, Netgear, y otros cuantos mas que se estn gestando para aparecer en un futuro no muy lejano. Cuando lo veamos oportuno iremos actualizndonos en todo este terreno. De momento aqu os he dejado parte de nuestro trabajo, que como coment antes iremos extendiendo con el tiempo.
En lnea
44 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
1.458
ATAQUES
Para que la cosa no se complique a la hora de instalar programas en Linux nos basaremos en los programas que trae por defecto Wifiway 1.0 final, aunque algunos programas tambin se encuentran en Windows, iremos mostrando los enlaces.
En la cifrado WEP, la clave se encuentra en cada uno de los paquetes que se transmiten entre el PC y el router, mientras que en la WPA la clave solo aparece en el momento de la conexin. En la WPA una vez se haya autentificado el usuario con el router , la clave ya no aparece en los datos transmitidos. Para conseguir una clave WEP es necesario obtener la mayor cantidad posible de datas porque as tenemos mayor probabilidad de encontrar la clave, no ocurre lo mismo para las WPA. 2.- Capturar un handshake (Clave WPA cifrada).
La clave WPA cifrada se llama handshake, entonces, para poder obtener la clave, primero debemos capturar un handshake, es decir el paquete o data que contiene la clave WPA en si, y se transmite en el momento de conexin entre el usuario legtimo y el router. Solo este paquete contiene la clave. Primero tenemos que escanear con airodump para encontrar la red con clave Wpa, para ello abrimos shell y lanzamos airodump-ng. Cdigo: airodump-ng <interface> * Ya nos qued claro como abrir un shell, que es y como identificar la interface de nuestro dispositivo en la seccin de Wifislax de Rockeropasiempre,.
* Nos tiene que aparecer alguna red con clave Wpa lgicamente para poder continuar.
45 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Tenemos una red con clave WPA llamada wpa_psk (imagen de arriba) que usaremos como ejemplo para el ataque. Para ello volvemos a lanzar airodump pero con los filtros para poder capturar solamente esa red. Cdigo: airodump-ng
-c
<canal>
<interface>
Como hemos comentado antes, la clave WPA solo se transmite en el momento de la conexin y si tenemos que esperar a que un cliente legtimo se conecte y transmita el handshake cuando nosotros estemos preparados para su captura nos podemos hacer viejos. As que nos las vamos a ingeniar para que el cliente legtimo se caiga de su red y de forma automtica se vuelva a conectar, nosotros estaremos esperando ese preciado paquete que contiene el handshake. Vamos ahora a capturar nuestro handshake, para ello lanzamos un A0 en el canal de nuestro cliente, para ello lanzamos el ataque A0 30 veces. (Esto no quiere decir abrir 30 ventanas )
46 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
*SI NO HAY CLIENTE CONECTADO NO HAY HANDSHAKE Cuando haya terminado y sin parar el airodump-ng lanzamos aircrack-ng para ver si nuestra seal es suficientemente fuerte para hacer caer de la red a nuestro cliente legtimo y hemos capturado el handshake. Usaremos el siguiente cdigo. Cdigo: aircrack-ng achive-01.cap
47 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Si no aparece el mensaje WPA (1 handshake) (imagen de arriba) es que hemos fracasado y debemos repetir el A0 o tambin aumentar nuestro nivel de seal para que nuestra seal sea ms fuerte que la del cliente y poder desconectarlo *(DoS). *(DoS) Ataque DoS. Denegacin de servicio. Si nos falla el A0 para obtener el handshake, probaremos lanzando el programa mdk3 incluido tambin en wifiway 1.0. En este manual utilizaremos los parmetros por defecto, pero para aquellos que quieran realizar sus propias pruebas aqu os dejo las opciones. Cdigo: mdk3 <interface> m
<mac ap>
-Michael shutdown exploitation (TKIP) Cancels all traffic continuously -t <bssid> Set Mac address of target AP -w <seconds> Seconds between bursts (Default: 10) -n <ppb> Set packets per burst (Default: 70) -s <pps> Set speed (Default: 400)
Con este ataque mdk3 se suprime todo el trafico entre el AP y el cliente de forma continua, hasta que anulemos el ataque con Ctrl+c, y por tanto haciendo que el cliente legtimo se desconecte. Este ataque se debe estar ejecutando durante unos segundos (entre 10 y 40) para asegurar DoS (denegacin de servicio). Una vez lanzado mdk3 volvemos a comprobar con aircrack si hemos obtenido el handshake, si no es as, tendremos que aumentar nuestro nivel de seal, para ello podemos usar antenas de mayor ganancia, acercarnos al router, usar amplificadores, etc.
SI NO HAY HANDSHAKE NO HAY CLAVE WPA. YA TENGO UN HANDSHAKE --- ATAQUE POR DICCIONARIO 1.- Usando aircrack-ng
Una vez tengamos un handshake capturado en un archivo cap., lo que haremos es lanzar aircrack-ng con la opcin w para archivos cap. y ataque por diccionario, al igual que se usa en Wlandecrypter, para ello lanzaremos el siguiente comando: Cdigo: aircrack-ng
w <diccionario.lst>
48 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Despus de que termine aircrack-ng y comparar cada una de las palabras con el handshake del achivo-01.cap, nos mostrar el siguiente mensaje, (si la clave ha sido encontrada).
<archivo-01.cap >
<diccionario plano> -s
<essid>
Otra forma es creando un rainbow table con hash-1 y el diccionario. Este tipo de ataque es mucho ms rpido que aircrack-ng, pero tiene el inconveniente de que primero debemos crear un diccionario pre computado (rainbow table) y slo es vlido para la misma essid, es decir que si tenemos una red con diferente nombre (diferente essid) no podemos usar el mismo rainbow table, debemos crear otro con el nuevo essid, aunque el diccionario sea el mismo. Esto es debido a que la clave WPA est mezclada con el nombre de la red (essid) y por lo tanto slo es vlido para ese nombre de red. La ventaja de este sistema es, que existen redes con el mismo essid como por ejemplo TELE2, y por lo tanto nos valdra el mismo rainbow table y la obtencin de la clave WPA se hara en unos pocos minutos (si ese diccionario es bueno y contiene la clave).
-s <essid>
49 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Con este comando hemos creado un diccionario pre computado (rainbow) llamado hash-1wpa , para despus utilizarlo con el Cowpatty, dependiendo del tamao del diccionario puede durar horas. Este es el mismo procedimiento que utiliza el programa wpa_passphrase (incluido en Wifiway) pero con diccionario plano y almacenando el resultado en un rainbow table. Cuando termine genpmk-ng lanzaremos el Cowpatty que es mucho ms rpido que aircrack-ng ya que parte del trabajo lo hemos hecho con genpmk-ng. Cdigo: cowpatty r
<essid>
Una vez que haya terminado, si la clave est en rainbow table (diccionario pre computado) tendremos la clave. Si nuestra clave no se encuentra en el diccionario, entonces tendremos que probar con otros diccionarios, aqu tenis unos cuantos links para que tengis vuestro PC ocupado.
50 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Aqu tenis unos conversores de texto plano de un sistema operativo a otro. http://www.gammon.com.au/files/pennmush/unix2dos.zip - 19K program to convert unix text files to DOS format http://www.gammon.com.au/files/pennmush/dos2unix.zip - 19K program to convert DOS text files to Unix format http://www.gammon.com.au/files/pennmush/mac2unix.zip - 19K program to convert Macintosh text files to Unix format http://www.gammon.com.au/files/pennmush/unix2mac.zip - 19K program to convert Unix text files to Macintosh format http://www.gammon.com.au/files/pennmush/unix2dos.c - 7K - source code used to compile above 4 conversion programs
51 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Para aquellos que usis Windows aqu tenis Johntheripper para Windows, es posible que vuestro antivirus lo confunda con un virus al igual que ocurre con cain. No voy a ser muy exhaustivo con este ataque ya que es muy lento y muy poco efectivo en claves WPA pero es un clsico del hack. Para lanzar John con diccionario usar este comando:
Cdigo: john --stdout --wordlist=<diccionario> --rules | aircrack-ng e <essid> -a 2 -w < Para usar John como fuerza bruta y que tome todas las combinaciones, usar este comando: Cdigo: John -incremental=all | aircrack-ng.exe e <essid> -a 2 -w <archivo.cap>
YA TENGO UNA HANDSHAKE --- ATAQUE POR FUERZA BRUTA CON DISTRIBUTED PASSWORD RECOVERY
Este programa est diseado especialmente para descubrir claves por fuerza bruta y trabaja bajo Windows, no voy a poner el link de descarga ya que es un programa de pago. Distributed password recovery puede trabajar con la CPU de nuestro PC o con la GPU (procesador de la tarjeta grfica) de tarjetas Nvidia. Para poder trabajar con la GPU es necesario tener los ltimos drivers actualizados, como yo no tengo Nvidia slo explicar para trabajar con la CPU. Este programa parece ser el Tendn de Aquiles de las WPA porque aunque trabaje por fuerza bruta es capar de utilizar las GPU que son 140 veces ms rpidas que las CPU. Lo primero que debemos hacer es ejecutar el programa Distributed Agent si no est ejecutndose, y lo mantendremos minimizado ya que ste se encargar del control de la CPU, despus lanzaremos Distributed password recovery y abriremos nuestro archivo cap. con el handshake.
52 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Una vez abierto el archivo cap. nos aparecer una ventana como la de abajo, en donde el programa reconoce que el archivo cap. contiene una clave WPA, y nos muestra el nombre de la red, la mac del AP y la mac del cliente.
53 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
utilizar para la fuerza bruta. Normalmente se elegir el abecedario en minsculas y los nmeros del 0 al 9 con una longitud de la clave de 8 caracteres como mnimo y un mximo que puede ser desde 8 a 64, lo normal sera 9 o 10.
Cuando el proceso haya terminado, clicaremos en result para conocer la clave WPA, este proceso puede tardar desde horas hasta meses o incluso aos, dependiendo de la velocidad de trabajo, longitud de la clave y cantidad de caracteres a usar.
54 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
55 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
100 <interface>
By Zydas
Hasta aqu nuestros conocimientos y fuerza de voluntad. Nos ha llevado un largo periodo de tiempo recopilar, estudiar, e intercambiar opiniones para llegar hasta este punto. Esperamos que este manual sea de vuestro agrado y lo utilicis para vuestras pruebas de una forma correcta. Una vez mas dar las gracias al foro de Elhacker.net por la oportunidad de plasmar nuestras propias experiencias, y poder compartir todas las de los usuarios entre si.
56 de 57
02/08/2011 11:34
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_...
Rockeropasiempre Zydas
Heaviloto
, mejoras, erratas,
felicitaciones , sugerencias, o cualquier otra cosa, abrir post para ello. Se trata de mantener el foro ordenado y hacer de esta gua algo util para todos. Saludos. ltima modificacin: 21 Noviembre 2009, 21:12 por rockeropasiempre
En lnea
Ir a:
ir
57 de 57
02/08/2011 11:34