Curso práctico y gratuito de hack, para principiantes y ava

Hola amigos de Taringa, a continuación les voy a dejar un curso de hacking, tanto como para usuarios que recién están empezando como para usuarios mas avanzados.
Si esperan que en esta guía les enseñe, literalmente, a como hackear un FB, Twitter, Instagram, etc. pueden ir cerrando este post. Todo lo que enseño a continuación es solo y exclusivo para hacking ético.

Para empezar vamos a ver los siguientes puntos, después, si veo que el post tubo éxito, iré agregando mas puntos.

Hacking WI-FI (todo lo que necesitas y tienes que saber sobre redes y conexiones a internet)

01) Introducción y Becon Frames.
02) Conexión cliente-AP en red abiertas y cabeceras WLAN.
03) Operando con potencias y frecuencias fuera de la regulación.
04) Ataques Hotspot, obligando a la víctima a conectarse a mi.
05) Como evitar el filtrado MAC de un AP.
06) MITM (Fake AP)
07) Cracking WEP en menos de 5 minutos.
08) Atacando al cliente, cracking WEP sin AP: ataque Hirte.
09) Decifrando tráfico WEP sin tener la clave: ataque ChopChop
10) Obten la clave de cualquier WLAN_XX en 2 segundos.
11) Entendiendo WPA/WPA2 personal.
12) Cracking WPA/WPA2 con diccionario.
13) Acelerando proceso de cracking WPA/WPA2.
14) Cracking WPA/WPA2 sin diccionario.
15) Atacando al cliente, cracking WPA/WPA2 sin AP.
16) Descifrando capturas WI-FI.
17) Como descifrar un SSID oculto.
18) Hacking autenticación WEP.

Bien, hasta acá llega la primera parte del post, les recomiendo que si no tienen conocimientos previos de lo que se detallo anteriormente no se salten ningún paso y si los tienen y quieren leanlos, a lo mejor encuentran algo que no sabían.

Sin mas que aclarar empecemos con los cursos.

01) Introducción y Becon Frames.

Las redes Wi-Fi son muy peligrosas. Son redes que no puedes ver físicamente, es decir, no puedes poner protecciones físicas como sí podrías hacer con una red cableada. Además las redes Wi-Fi atraviesa las paredes con lo que deja de estar a tu alcance y será complicado localizar a un atacante si no puedes verle físicamente. Gracias a los dispositivos móviles podemos conectarnos a muchas redes diferentes allá donde vayamos. Los ataques pasivos como capturar el tráfico de la red es prácticamente indetectable y se pueden hacer desde muy lejos.

Les recomiendo la tarjeta Alfa Networks AWUS036h. En Kali ya trae sus drivers instalados, es capaz de capturar trafico e inyectar paquetes.

Vamos a ver el arte del capturar paquetes wireless. El concepto es muy similar al de capturar en una red cableada, la diferencia será que aquí deberemos de poner nuestra interfaz de red en modo monitor (igual que cuando capturamos en red cableada poniamos la interfaz en modo promiscuo) para poder aceptar todo el trafico, y no solo los paquetes en los que seamos nosotros el destinatario.

Esto lo haremos con la herramienta Airmon-NG de la suite Aircrack-NG. Si utilizamos una interfaz de red externa como la que he recomendado, a lo mejor hay que levantarla a mano. Primero listaremos todas las interfaces, caidas y levantadas:

# ifconfig -a

Y despues veremos las interfaces levantadas:

# ifconfig

Si aparece la primera vez, y no en la segunda, está caida y tendremos que levantarla de la siguiente forma:

# ifconfig wlan0 up

Ahora tenemos que crear una interfaz en modo monitor encima de nuestra inferfaz wifi que vayamos a utilizar, en nuestro caso wlan0. Para saber si tenemos alguna en modo monitor escribimos:

# airmon-ng

Para crearla:

# airmon-ng start wlan0

Podemos comprobar que se ha creado con

# iwconfig

Donde verás que el modo es “Monitor”.

Ahora abriremos Wireshark y capturaremos con la interfaz “mon0″ que es la que se nos ha creado. Podemos ver los paquetes del protocolo 802.11.

hack

Capturar paquetes Wi-Fi (802.11) es más complicado de lo que parece. El Wi-Fi se puede transmitir en 3 frecuencias distitnas:

- 2.4GHz (802.11b/g/n)
- 3.6GHz (802.11y)
- 4.9/5.0GHz (802.11a/h/j/n)

Cada una de estas frecuencias se divide en canales (cada canal es una frecuencia especifica dentro del rango correspondiente). Cada pais tiene una lista de canales permitidos, quien puede usar esos canales y la maxima potencia con la que puedes transmitir en ese canal. En esta foto podeis algunos de los canales que se usan en España. Hay paises en los que es legal y otros en los que está prohibido utilizar determinados canales.

Wifi

Las tarjetas de red vienen preconfiguradas con estas normas, pero hay tarjetas de red que se pueden cambiar }.

Recordar que una tarjeta de red solo puede capturar en una banda (2.4 , 3.6 ó 5) y un canal a la vez. En la práctica que vamos a hacer se va a ver los diferentes canales y como cambiarnos de unos a otros.

Primero vamos a cambiar de canal nuestra tarjeta de red:

# iwconfig wlan0 channel 1

Nos hemos cambiado al canal 1, y si vemos la configuración de la interfaz de red con “iwconfig” podemos ver como ha cambiado el valor de la frecuencia en la que estamos y ahora aparece 2.412 que como podemos ver en la tabla anterior corresponda al canal 1.
Ahora vamos a empezar utilizar la herramienta Airodump-NG para capturar la red e ir saltando por todos los canales. Por defecto la herramienta trabaja en los canales de la frecuencia 2.4Ghz aunque podemos configurarla para capturar por otras frecuencias y otros canales.

Ahora vamos a ver todos los puntos de acceso que hay emitiendo (parte de arriba), y todos los dispositivos que hay con el wireless activado (parte de abajo).

# airodump-ng mon0

hacking

Los paquetes de tipo 802.11 se dividen en 3 tipos de paquetes:

- Management
- Control
- Data

ataques

cracking

Cada uno de estos tipos tiene a su vez subtipos. Tienes más información en aqui. Vamos a centrarnos solo en los paquetes relacionados con la seguridad y el hacking.

Cada punto de acceso es configurado con un SSID, para poder ser reconocido por los dispositivos clientes que se quieran conectar a él. El punto de acceso emite Beacons Frames para anunciar su presencia y que todo el mundo sepa que está ahi.

Ahora vamos a capturar estos Beacons Frames. Como siempre pondremos la tarjeta en modo monitor:

# airmon-ng start wlan0

Después arrancaremos Wireshark y pondremos a capturar en la interfaz mon0. Podemos ver mucho trafico. En la columna Info podemos ver como algunos de esos paquetes son Beacon Frames. Seleccionamos uno de ellos y nos vamos a la ventana del medio de Wireshark, donde nos desgrana el paquete dividiendolo en capas y campos. Seleccionamos la pestaña IEEE 802.11 Beacon Frame. Y podemos ver como el subtipo de paquete es 8, y si vamos a la tabla anterior podemos ver que el tipo 8 (1000 en binario) corresponde a un paquete de tipo Beacon.

gratuito

Nos damos cuenta de que toda la información de este paquete va en texto plano, es decir, no va cifrado. Esto permitirá a un atacante crearse paquetes de este tipo, Beacons Frames. Con lo cual cualquiera podrá inyectar este tipo de paquetes. Con esto conseguiríamos que a todos los dispositivos que haya por la zona les aparezca un nuevo punto de acceso.

Pues vamos a realizar la prueba. Esto lo haremos con la herramienta MDK3 de Kali. Utilizaremos la opción de Beacon Flood Mode para inyectar paquetes del tipo Beacon Frames en todos los canales provocando confusión en los dispositivos cliente de la zona.

gratis

Hemos simulado que existe una red llamada Pwneado!

curos

¿Que conclusiones podemos sacar de esta pequeña prueba de concepto?

- En primer lugar que podemos hacer Spoofing de los paquetes.

- Que las cabeceras de los paquetes de Management y Control van en texto plano y no tienen ningún tipo de cifrado o protección.

Si quisiésemos hacer algo similar en una red cableada el atacante debería de estar dentro de esa red, pero la diferencia es que aquí el atacante no tiene que estar dentro de ninguna red.

Más adelante vamos a ver como sacar beneficio de esto, forzando a un cliente que se conecte a ti y no al punto de acceso legitimo.

02) Conexión cliente-AP en red abiertas y cabeceras WLAN.

Vamos a ver el proceso conexión entre un cliente y un punto de acceso que no tiene contraseña. Lo primero que haremos será crear una red Wi-Fi sin contraseña, es decir, todo el tráfico que haya en la red irá sin cifrar y podremos verlo para analizar el intercambio de paquetes entre el cliente y el punto de acceso. Esto lo explicaré en los próximos post que serán ya todos prácticos, este será el último teórico. Recomiendo ir leyendo los artículos anteriores para poder comprender mejor los contenidos, puesto que habrá cosas que me salte por haberlas explicado en el anterior articulo por no repetirme.

Para que esta prueba funcione correctamente tendremos que configurar nuestra tarjeta de red en el mismo canal que el punto de acceso al que se conectará un cliente para capturar ese proceso de conexión. Para ver en que canal está el punto de acceso utilizaremos Airodump-NG (para que funcione habrá que poner nuestra tarjeta en modo monitor, mon0). En este caso haremos la prueba con la red WLAN_27E7. A continuación tendremos que poner nuestra interfaz mon0 (modo monitor) en el mismo canal. También habrá que cambiar de canal la interfaz de red sobre la que se ha creado la interfaz en modo monitor, es decir, la wlan0.

# airodump-ng mon0

hacking wifi

Con la herramienta iwconfig, invocándola sin argumentos podemos ver en que frecuencia está trabajando nuestra tarjeta, y si miramos en la tabla que relaciona frecuencias con canales ( http://en.wikipedia.org/wiki/List_of_WLAN_channels ) podremos ver a que canal corresponde. De esta manera podremos comprobar que hemos hecho el cambio de canal correctamente.

Una vez hecho esto nos vamos a Wireshark y seleccionamos la interfaz mon0 para capturar. Ahora utilizaremos un filtro de visualización para que solo nos muestre los paquetes que nos interesen y poder hacer el análisis sin tanto paquete que nos moleste. Primero mostraremos los paquetes que contengan la dirección MAC del punto de acceso. La MAC del AP la podemos obtener de la herramienta Airodump-NG que acabamos de utilizar. Pondremos un segundo filtro que indique que los paquetes tengan también la dirección MAC del cliente. De esta forma podremos ver de una forma clara el intercambio de paquetes que ocurre entre cliente y AP, ya que solo se mostrará por pantalla el tráfico entre estos dos.

Filtro: (wlan.addr == <mac_AP> && (wlan.addr == <mac_Cliente>

Ahora conectaremos un dispositivo a esa red y veremos que ocurre.

Curso práctico y gratuito de hack, para principiantes y ava

No aparece en la imagen, pero el primer paquete que envía el cliente es un Probe Request al Broadcast indicando a sus dispositivos de alrededor de su presencia para que a su vez, estos dispositivos de alrededor envíen Probe Responses indicando de su existencia para que el cliente pueda elegir a que AP quiere conectarse. El cliente también podría enviar un probe request preguntando si hay en la zona un ESSID en específico, pero esto ya depende de la implementación de cada sistema operativo en particular, ya que como veremos más adelante esto no es una práctica muy segura y los SO modernos están dejando de hacerlo. De todos modos veremos la forma de explotar esto ya que todavía hay muchos dispositivos que sí que lo hacen.

Lo siguiente en lo que nos tenemos que fijar es en el paquete Authentication, que será un paquete de tipo request con el objetivo de solicitar autenticarse al AP. Como es abierta la red, el punto de acceso responderá un paquete de tipo response dando el visto bueno. Una vez este proceso se ha realizado con éxito, se procederá a la asociación, para que puedan intercambiar tráfico. El cliente mandará un paquete tipo request de asociación, y el AP contestará con un response de asociación.

Resumen (STA es el cliente y AP STA es el AP):

hack

Ahora vamos a ver por encima las cabeceras de los paquetes WLAN.

Seleccionamos en el Wireshark un paquete, el Beacon Frame por ejemplo. Miramos en la ventana de en medio y vamos a ir analizando las cabeceras. La primera cabecera llamada Frame nos dará información sobre cuando se ha capturado ese paquete.

Wifi

La segunda llamada Radiotap, nos da la potencia de la señal y la frecuencia en la que estaba el paquete entre otras cosas.

hacking

Pero estas dos cabeceras no son propias del protocolo WLAN. La siguiente cabecera IEEE 802.11 nos dará la información de las direcciones MAC y el tipo de paquete.

ataques

Y la siguiente pestaña ya será el contenido del paquete, IEEE 802.11 wireless.

cracking

03) Operando con potencias y frecuencias fuera de la regulación.

Las frecuencias en las que puede operar tu tarjeta de red WiFi están reguladas por tu país. También está regulada la potencia con la que puedes transmitir. El ordenador viene configurado con las restricciones para que no puedas cambiar la configuración de tu tarjeta de red a una configuración que no esté permitida en tu país. Más adelante lo veremos con un ejemplo y nos saltaremos la regulación del país de una forma muy simple.

Primero necesitaré ver las especificaciones técnicas del producto, en este caso, mi tarjeta de red, para ver en que rango de frecuencias puede operar, y de esta forma saber en que canales puedo operar como podemos ver en esta tabla.

gratuito

Para mi tarjeta de red, he visto que puedo operar en las siguientes frecuencias:

wi3

La potencia puede aparecer de 2 modos, con la unidad de medida Watts, o en dBm. Lo normal es utilizarlo en la forma dBm así que puedes transformarlo con esta tabla. Lo más usual (en tarjetas de red para usuarios) es que la tarjeta tenga una potencia maxima de 30 dBm.

gratis

Una vez tenemos claros los conceptos vamos a ponernos manos a la obra. Lo primero será mirar en que frecuencia y con que potencia está trabajando actualmente mi tarjeta de red.

curos

En wlan1 podemos ver la potencia en el campo Tx-Power. Para esta interfaz no se muestra ninguna frecuencia porque todavía no está asociada a ningún punto de acceso, esto no quiere decir que no esté configurada con una frecuencia específica, sí que lo está, pero no se nos muestra. Para la interfaz wlan0 sí que podemos ver que está en la frecuencia 2.452 GHz, y que está configurada con una potencia de 15 dBm.

Ahora haré unas pruebas cambiandome de un canal a otro y finalmente intentaré cambiarme a un canal que no esté permitido en mi país, o que mi tarjeta no soporte esa frecuencia (en este caso no podremos hacer nada!).

hacking wifi

La potencia se puede cambiar. Para cambiarla, y aumentarla, será de la siguiente forma (no podrás aumentar a más potencia de la que ponga en las especificaciones tecnicas del producto!):

# iwconfig wlan1 txpower 30

Curso práctico y gratuito de hack, para principiantes y ava

Y me da error.

Cada país tiene unas leyes que regulan las frecuencias en las que pueden trabajar las personas, y la potencia con la que pueden hacerlo. Como hemos dicho antes el ordenador viene configurado con las restricciones para que no puedas cambiar la configuración de tu tarjeta de red a una configuración que no esté permitida en la regulación de tu país.. Esta restricción es una simple variable en el sistema operativo que indica el país en el que estás, con la consecuencia de que solo te dejará configurar la frecuencia y potencia de tu tarjeta de red para las regulaciones de ese país.

Entonces lo que haremos será cambiarnos el pais }

Para ver cual es la configuración que tienes actualmente:

# iw reg get

hack

El par de valores de la primera columna indican los rangos de las frecuencias en los que es posible emitir, es decir, se podrá emitir desde la frecuencia 2.402 Ghz hasta 2.472 Ghz, y así igual con el resto de rangos. Los siguientes pares de valores son los que indican la potencia, es decir, hay que mirar el segundo valor (el 20) y este representa la potencia máxima con la que puedes emitir según la regulación del país actual en el que estás, en este caso 20. Esto quiere decir que si nos ponemos una potencia superior a 20 como hemos intentado antes se producirá un error.

Para hacer los cambios en las configuraciones es mejor que bajemos la interfaz..

# ifconfig wlan1 down

Vamos a cambiarnos y ponernos las regulaciones de EEUU:

# iw reg set US

Wifi

Y podemos ver como al estar monitorizando los mensajes del kernel se ha cambiado la configuración a EEUU. Y ahora podemos ver que nuestra potencia máxima será de 27 Dbm, aparece en la columna de más a la derecha de todas.

Ahora si que podremos cambiar la potencia a 27 Dbm (siempre y cuando nos lo permite la tarjeta).

# iwconfig wlan1 txpower 27

Para poder volver a usar la intefaz habrá que levantarla:

# ifconfig wlan1 up

El objetivo será encontrar el país en donde haya unos limites de potencia más grandes y los rangos de frecuencia sean más grandes. BO y BZ, que son Bolivia y Belize los pais con más potencia y más rango de frecuenica =).
Enlace a las regulaciones de cada pais:

https://kernel.googlesource.com/pub/scm/linux/kernel/git/linville/wireless-regdb/+/af726449e73286e1375e7a72336045d9d0ce84f8/db.txt

04) Ataques Hotspot, obligando a la victima a conectarse a mi.

Vamos a crear un Soft AP. Es un AP creado a partir de un software en nuestra tarjeta de red, ya sea la propia del ordenador, o la que hemos conectado por USB con capacidad de inyectar trafico (si no es capaz de inyectar la tarjeta, no seremos capaces de desautenticar a la víctima del AP legitimo). Habrá pasos que de por obvios porque ya se han tocado en partes anteriores de la serie.

Lo que haremos será desconectar a la victima de la red abierta a la que está conectada para que se conecte a la nuestra que tendrá el mismo nombre, y de esta forma no notará nada. Para hacer esto primero mandaremos paquetes de De-Autenticación al AP legítimo para que la victima se desconecte, y después crearemos un AP abierto con el mismo nombre para que el dispositivo de la víctima se conecte a nosotros.

Una vez está conectado a nosotros podemos redirigir su tráfico al AP legitimo y asi estar de MITM capturando todas sus comunicaciones, o directamente dejarlo salir a internet.

Comencemos con la parte práctica:

# airmon-ng start wlan1

# airodump-ng mon0

Y me pondré el ESSID del AP abierto. El AP lo vamos a crear con la herramienta Airbase-ng. Hay que hacerlo en la interfaz en modo monitor.

# airbase-ng -a AA:AA:AA:AA:AA:AA -e <nombre_AP_falso> mon0

hacking

Podemos ver el mensaje que dice que ha creado una interfaz at0 (que sería la equivalente a la interfaz de cable que tiene un AP, es decir, un AP tiene la interfaz Wi-Fi por donde emite y se conectan los clientes; y tiene otra interfaz de cable por donde el AP se conecta a internet). Pero esta interfaz at0 no está levnatada, si quisiésemos capturar el tráfico que pasa por aquí, es decir el de la víctima tendríamos que activarla nosotros mismos:

# ifconfig at0 up

Ahora forzaremos al cliente que está conectado AP legítimo, que se desconecte de este generando unos paquetes que se llaman de Desautenticación que sirven para desautenticar a la víctima.

# aireplay-ng –deauth 0 -a <mac_AP> mon0

¡Para esto debes de estar en el mismo canal que el AP! Entonces lo que haremos será poner nuestra interfaz wlan0 y mon0 en el mismo canal que el AP legitimo, para poder hacer el ataque de de-autenticación.

# iwconfig wlan0 channel 11

# iwconfig mon0 channel 11

ataques

Y podemos ver como nos aparece que se ha conectado alguien a nuestro Soft AP.

cracking

No tenemos servidor DHCP configurado en nuestro Soft AP, entonces la víctima no puede recibir una direción IP, por lo que al cabo del tiempo se autoconfigura con una IP del tipo 169.X.Y.Z puesto que nadie le ha dado una IP. En mi caso particular la victima es el Iphone con el ultimo IOS y no aparecería el simbolito de que estamos conectados a una red Wifi puesto que no tenemos aun conexión a internet, pero si nos vamos a la configuración de la red podemos ver como efectivamente tenemos una dirección IP de ese tipo.

Lo que haremos será ponernos en nuestro ordenador una IP de este rango a la interfaz at0:

# ifconfig at0 169.254.174.226 netmask 255.255.255.0 up

Y si le hacemos un ping a la victima, veremos que nos responde =) Es decir, podríamos hacer hacerle Information Gathering, un Analisis de Vulnerabilidades, etc.

Más adelante veremos como darle conexión a internet a la víctima par estar de MITM.

Con este miso método se podrían realizar ataques a clientes que no estén conectados a ninguna red. Cuando estos pregunten por una red abierta con los paquetes probe request (con una red en especifica), tan solo tendríamos que crear esta misma red, de esta forma el dispositivo se conectaría a ti.

gratuito

En la foto podemos ver como determinados dispositivos están preguntando por determinados APs, que si fuesen abiertos podriamos crearlos y ya tendríamos al dispositivo conectado a nosotros sin que la víctima se diese cuenta! Por seguridad las ultimas versiones de los sistemas operativos ya no utilizan los probes request con un AP en especifico para evitar este ataque, hacen el probe request al broadcast y son los AP los que contestan los probe responses indicando de su presencia.
La primera vez que te conectas a un punto de acceso, se te añade el ESSID a tu lista de redes WiFi. Y siempre que el cliente se encuentre con este punto de acceso se conectará automáticamente a él sin preguntar nada al usuario, a no ser que lo configures para que te pregunte cada vez que hay una posibilidad de conectarte (RECOMENDADO!).

Gracias a esto se va generando una tabla de puntos de acceso y contraseñas. El cliente automáticamente mandará paquetes probe request para ver si encuentra redes Wi-Fi de su lista.

Las redes que tiene almacenadas el cliente pueden ser de 3 tipos:

- Sin autenticación
- Wep
- Wpa/Wpa2

Cada uno de ellos tendrá una forma distinta de hacer que el cliente se conecte a ti. Por ahora hemos visto el caso en el que la red sea abierta.

El problema es que el cliente no autentica que el AP es el que dice ser, es decir, que no comprueba si el AP es el legitimo o es un atacante. Entonces cualquier puede poner un AP con el nombre por el que el cliente está preguntando.

05) Como evitar el filtrado MAC de un AP.

Una medida de seguridad para las redes Wi-Fi es filtrar los clientes que se pueden conectar a un AP por la dirección MAC. De esta forma solo podrían acceder a la red wireless los que estén autorizados. Para hacer esto solo tienes que ir a la configuración del router o AP, y ahi verás que hay dos formas para hacerlo. La primera permitiendo(allow) solo una serie de direcciones MAC el acceso a tu red. La segunda denegando(deny) la conexión a las direcciones MAC que le indiques, teniendo acceso el resto de direcciones. Es una medida de seguridad extra, que aunque te roben la clave del Wifi, no podrán acceder. Aunque veremos ahora que es facil de saltarse la medida.

gratis

Vamos a ver como conectarnos a un AP que tiene filtrado MAC de una forma muy sencilla. Lo primero será poner nuestra tarjeta de red wifi en modo monitor y después monitorizar el AP que nos interesa con la herramienta Airodump-ng utilizando la opcion “-c” para indicar el canal en el que queremos monitorizar, “–bssid” para que nos muestre solo la info del SSID que nos interesa. Veremos como la salida que devuelve la herramienta Airodump-ng está dividida en 2 partes. En la de arriba mostrará las estadisticas del BSSID que le hemos indicado y en la de abajo veremos la lista de los clientes que detectamos, y si están conectados a algún punto de acceso o no. De esta forma podremos saber cuales son las MAC que son permitidas por el AP. Es decir, si vemos que hay algún cliente conectado a nuestro AP, quiere decir que esa dirección MAC está en la lista de direcciones permitidas.

curos

# airodump-ng -c 9 -a –bssid 00:1A:2B:XX:XX:E3 mon0

hacking wifi

Podemos ver en la imagen de arriba como el AP con la MAC terminada en E3, tiene 2 clientes conectados cuyas direcciones MAC terminan en BF y A6. Ahora solo tendremos que suplantar nuestra MAC por una de estas 2 que sabemos que son aceptadas por el AP con la herramienta Macchanger.

Curso práctico y gratuito de hack, para principiantes y ava

Y ya estaremos en condiciones de conectarnos al AP que tiene filtrado por MAC.

06) MITM (Fake AP).

Hay varias forma de hacer un MITM en redes wireless. Por ahora vamos a centrarnos cuando la red es abierta, sin contraseña. Habría varias maneras de realizar a prueba. Una red abierta, y donde el atacante (nosotros) crearemos un AP con el mismo nombre que la red abierta existente. Como hemos visto anteriormente, desautenticaremos a la victima del AP abierto al que está conectado, con paquetes de Desautenticación, y de esta forma conseguiremos que se conecte a nuestro AP. Entonces todo el trafico que genera la víctima pasará por nosotros, puesto que tenemos el control sobre el AP. Otra forma podría ser que el atacante no tuviese conexión por cable, y estuviese conectado al mismo AP. Y se procedería de la misma forma, desautenticas a la victima del AP para que se conecte a ti. La tercera forma sería cuando el atacante se conecta a internet mediante GPRS, 3G o 4G. Y luego se realizaría el mismo procedimiento.

Para nuestra prueba lo haremos de una cuarta forma. Nosotros como atacantes nos conectaremos a un AP con acceso a intenet por la interfaz de nuestra tarjeta de red del portatil, y la víctima estará conectada a un AP abierto sin contraseña que creamos con la interfaz de la tarjeta de red externa conectada por USB. Esta prueba la haremos con Kali en una máquina virtual.

hack

Para ello tendremos que irnos a la configuración de la maquina virtual antes de encenderla, al apartado de USB, y allí añadir nuestra tarjeta de red externa que conectamos al PC por USB. Como veis en la foto siguiente, pinchar en el icono de agregar y seleccionar la tarjeta de red externa.

Wifi

Cuando encendamos la maquina si hacemos ifconfig podremos ver que tenemos 3 interfaces. l0 que es propia del sistema y no nos imoprta, eth0 que es la que utiliza la maquina virtual para conectarse por NAT al ordenador principal y tener acceso a internet, y por ultimo, tenemos la interfaz wlan0 que será la de la tarjeta de red externa que hemos agregado.

Crearé un AP con un ESSID que se que está guardado en la lista de redes Wi-Fi de la víctima para que se conecte a mi automáticamente para simplificar las cosas, puesto que ya hemos visto anteriormente la forma que hay de que la víctima se conecte a nosotros y no es lo que nos preocupe en este momento. El AP lo crearé sobre la interfaz mon0 (que la he creado sobre la interfaz wlan0, la intefaz de mi tarjeta de red externa).

# airbase-ng –essid USR5462 mon0

hacking

Hemos creado un AP con el ESSID “USR5462″ que sabemos que es el nombre de una red abierta donde ha estado conectado la victima. Ahora tendremos que redirigir el tráfico de la interfaz mon0 (la cual hemos usado para crear al AP al que se ha conectado la víctima) a la interfaz eth0 que es la que está conectada a internet. También habrá que realizar lo contrario, es decir, lo que venga por wlan0 con la víctima como destino, redirigirlo a mon0 que es donde está al AP para que le pueda llegar. Esto lo haremos con la herramienta Bridge Control de linux de una forma facil y sencilla (también se podría hacer con iptables que sería más complicado).

ataques

Podemos ver en la foto que se nos ha creado una interfaz llamada at0, que simula ser la interfaz de un punto de acceso real que se conectaría por cable ethernet a internet, para que el AP pueda tener conexión a internet. Tendremos que levantar esta interfaz:

# ifconfig at0 up

Ahora lo que haremos será conectar con un puente las dos interfaces, mon0 y eth0, como hemos dicho antes para que la victima pueda tener conexión a internet. Para esto utilizaremo una herramienta llamada brctl. Para utilizarla tendrás que instalarte primero las bridge-utils:

# apt-get install bridge-utils

Creamos el puente:

# brctl addbr mitm

El nombre del puente que conectará las dos interfaces es “mitm”.

Habrá que añadir las 2 interfaces que queires que comunique el puente, es decir, estás creando un tunel entre esas 2 interfaces para que todo lo que entre por una lo mande a la otra, y viceversa.

# brctl addif mitm eth0

# brctl addif mitm at0

Ahora pondremos una dirección IP de todo ceros a las dos interfaces que queremos unir:

# ifconfig eth0 0.0.0.0 up
# ifconfig at0 0.0.0.0 up

Despues tenemos que levantar la interfaz puente que acbamos de crear, la mitm:

# ifconfig mitm up

cracking

Ahora tendremos que asignarle una IP a la interfaz mitm que es la que nos conecta eth0 con at0 para que la víctima pueda tener conexión a internet. Esto lo haremos con la herramienta dhclient3 para pedirle una configuración de red al DHCP para nuestra interfaz mitm.

# dhclient mitm (si tarda un rato pulsa control+c y ya se habrá configurado).

Ahora ya estamos listos para que la víctima se conecte a nosotros! }

Activamos el Wi-Fi de la víctima que en este caso es mi teléfono, y como anteriormente había estado conectado en una Wi-Fi con el nombre USR5462, vemos como se conectará automáticamente a nuestro Fake AP.

gratuito

Podemos ver en la herramienta airbase-ng que teniamos abierta como nos indica de que un cliente se ha asociado al AP. Para comprobar que todo el tráfico de la victima está pasando por nosotros, haremos un poco de Sniffing y nos pondremos a capturar el tráfico con Wireshark. Capturaremos en la interfaz at0 puesto que todo el tráfico del cliente pasa por aquí, ya que como hemos explicado antes esta es la interfaz equivalente a la que va conectado el cable en en un AP legitimo para que pueda este tener internet.

gratis

Podemos ver que aparece en la foto el trafico de la ip 10.0.2.16 que es la víctima (mi teléfono móvil) y puedo ver como está haciendo peticiones a la pagina de www.as.com a la que me he conectado con el móvil.

Pues ya tenemos interceptadas las comunicaciones a internet y la víctima no se dará cuenta de nada.

07) Cracking WEP en menos de 5 minutos.

En un post anterior vimos como obener la contraseña de una red Wifi WEP con el metodo de “Autenticación Falsa”, pero es menos común encontrar routers o puntos de acceso con esta vulnerabilidad. Esta vez lo vamos a hacer con el método de “Desautenticación”, más adelante vereis la diferencia.

Para hacer este proceso necesitamos una tarjeta de red Wifi que sea capaz de inyectar paquetes, puesto que la mayoría de tarjetas que vienen en los portátiles no son capaces de realizarlo, es muy común utilizar un adaptador USB Wifi que sea capaz. En mi caso he utilizado uno que venden en Media Markt que se llama DWA-123 de la marca Dlinkgo (una marca de DLINK). El enlace es de un Media Markt de otro pais ya que en España ya está descatalogado y solo venden los que les quedan en stock. En el de Collado Villalba hace un mes que lo compré y quedaban todavía 7 u 8.

Lo primero que tenemos que hacer es poner el adaptador USB Wifi en modo monitor para poder snifar todo lo que pase por el aire. Lo haremos de la siguiente manera.

curos

Despues el airodump-ng nos mostrará todas las redes que están a nuestro alcance.

hacking wifi

Para realizar el ataque por desautenticación necesitamos que haya al menos un cliente conectado al punto de acceso para poder desautenticarle con la técnica de DoS a un AP para que al volver a conectarse envíe un paquete ARP que más adelante explicaré para que nos hará falta. Por el otro metodo que os he comentado antes podemos obtener el paquete ARP en el momento que hacemos la autenticación falsa. Vemos en la foto como el punto de acceso acabado en F5 es WEP y tiene un cliente conectado como hemos dicho que nos hace falta. Aparece en la columna STATION y es el cliente con la MAC terminada en 43.

Ahora lo que tenemos que hacer es capturar únicamente el trafico del punto de acceso que nos interesa (el que tiene la MAC acabada en F5) e ir guardando todo lo que capturemos en un fichero que se llamará “pocHighSec”. Podemos ver que el punto de acceso utiliza el canal 1.

Curso práctico y gratuito de hack, para principiantes y ava

Para conseguir un paquete ARP tenemos que realizar el ataque de desautenticación del cliente con su punto de acceso para que cuando se vuelva a conectar envíe un paquete ARP y sea capturado por nosotros y quede registrado en nuestro fichero “pocHighSec”. Necesitamos un paquete ARP puesto que es el tipo de paquete que utilizada la herramienta para clonarlo e inyectarlo en la red del punto de acceso al que estamos atacando de forma masiva para así poder generar mucho tráfico en poco tiempo. A nosotros lo que nos interesará será capturar el paquete de respuesta (ARP replay) en donde va variando el campo IV, a partir del cual descrifraremos la contraseña. Esto funciona de la siguiente manera (sacado del post de Flu-Project sobre funcionamiento WEP):

“Por el uso de la clave estática se puede realizar ataques de observación y gracias a la estadística conseguir sacar el patrón de la clave, y de este modo conseguir la clave estática.

El IV se envia siempre en claro, por lo que son captados por cualquiera, además de los 24 bits de los que están compuestos que es un valor demasiado corto. Recolectando un número alto de IVs se puede, mediante ataque estadístico descifrar la clave. La autenticación se realiza del AP al cliente, pero no del cliente al AP, por lo que el cliente no sabe realmente si se conecta al AP que dice ser. Por esta razón existen los Rogue AP, o MITM a través de un AP.”

Ahora dejamos la herramienta aireplay-ng a la espera de capturar el paquete ARP y en cuanto lo tenga procederá a inyectar una copia de estos paquetes a gran velocidad.

hack

Ahora será el momento de desautenticar al cliente para obtener nuestro esperado paquete ARP.

Wifi

Debido a la vulnerabilidad del protocolo WEP cuando tenemos una gran cantidad de paquetes capturados de una red es posible obtener la contraseña de la red. Podemos ver en la penultima foto como nuestra herramienta ya tiene su paquete ARP y es capaz de clonarlo e inyectar el mismo paquete con gran velocidad para ir capturando tramas de esa red. Si os fijais en la ultima linea pone “(got 164044 ARP requests and 86688 ACKs), sent 105696 packets”. Quiere decir que hemos inyectado 105696 paquetes.

Mientras podemos ver como los paquetes capturados en nuestro fichero “pocHighSec” aumentan a una enorme velocidad, mirando los #Data.

hacking

Una vez hemos llegado hasta aquí utilizaremos el aircrack-ng para que descifre la contraseña una vez tenga el numero de IVs suficientes. Irá haciendo el crackeo cada vez que tenga un numero de IVs multiplo de 5000.

ataques

Pues como podemos ver en la imagen la clave se ha descrifrado correctamente y es lo que viene a continuación de “ASCII:”.

08) Atacando al cliente, cracking WEP sin AP: Ataque Hirte.

Este ataque va a ser posible sin estar al alcance del AP en cuestión al que vamos a crackear su contraseña. Lo que haremos será crear un punto de acceso que esté en la lista de SSID de la víctima para que se conecte automaticamente sin darse cuenta, y luego generaremos tráfico legítimo para hacer el cracking WEP. Lo haremos de la siguiente manera. Sabemos que el primer campo de los datos cifrados de los paquetes siempre es igual, que es la cabecera LLC (8 bytes) y sabemos cuales son esos 8 bytes. De esta forma si hacemos un XOR de los primeros 8 bytes del paquete, con los 8 bytes LLC que ya conocemos, podremos obtener los primeros 8 bytes del RC4 Keystream.

cracking

Con esto lo que podemos hacer es un XOR con un pequeño paquete que creemos al fragmentar el paquete original, y esto nos creará un paquete perfectamente valido para la red WEP a la que pertenezcan los paquetes. Esto nos valdrá para fragmentar un paquete ARP en paquetes pequeños válidos sin saber la clave de la red. Y de esta forma realizar el ataque ARP-replay.

gratuito

Este ataque sirve para atacar al cliente. Cuando se conecte a nuestro AP, despues de enviar los paquetes correspondientes a DHCP, enviará los correspondientes a ARP request, y será ahi cuando nosotros respondamos con un ARP replay que hemos sido capaces de crear y que serán validos para el cliente. Demo Time! Utilizaremos la herramienta Airbase-NG que sirve para crear el punto de acceso para realizar el ataque. Elegiremos en que canal queremos poner el punto de acceso, el nombre, con -W diremos que sea del tipo WEP y la opción -N es la que corresopnde al tipo de ataque Hirte Attack. # airbase-ng -c 1 –essid WLAN_88 -W 1 mon0 -N

gratis

También tendremos que almacenar la captura con Airodump-ng para despues poder crackearla con Aircrack-ng. # airodump-ng –channel 1 -W hirte mon0

curos

Es posible que el cliente se desconecte, y se vuelva a conectar a la red puesto que no recibe configuración de red (esto dependerá de la implementación del SO). Podemos ver como los paquetes están subiendo de una forma muy rápida }. Cuando lleguemos a un numero suficiente podremos descifrar la clave WEP con aircrack-ng como siempre. # aircrack-ng hirte-01.cap

hacking wifi

Hay veces que no funciona a la primera la inyección masiva de paquetes y hay que volverlo a probar.

09) Descifrando trafico WEP sin tener la clave: Ataque ChopChop.

El objetivo de este ataque será descifrar paquetes WEP sin saber la contraseña de la red wireless. Lo haremos de la siguiente manera.

El ataque lo que hará será eliminar el ultimo byte del campo de datos cifrados. Este byte podrá tener valores que van desde 00 hasta FF. Lo que haremos será generar todas las posibles combinaciones (256) y se las mandará al AP y uno de ellos será correcto. De esta manera ya ha descifrado el ultimo byte del paquete.

Curso práctico y gratuito de hack, para principiantes y ava

El siguiente paso será hacer el mismo procedimiento con el penúltimo paquete. Y así habrá que hacer con cada uno de los bytes correspondiente a la parte cifrada del paquete.

La víctima que estará generando tráfico debe de estar ya autenticado y haremos la prueba con un paquete de los que esté transmitiendo. De esta forma podremos coger su MAC para utilizarla y engañar al AP para que piense que el trafico que generemos viene del cliente legitimo.

Demo time!

Aireplay-NG tiene la opción de –chopchop. Como siempre tendré que mirar con Airodump-ng en que canal está el AP que me interesa para poner las interfaces en ese canal. Para elegir si quieres descifrar el paquete que te muestre la herramienta tendrás que escribir “y” de yes en ingles. El paquete tendrá que tener como MAC origen la de la víctima, que es la que estamos suplantando nosotros. Esto podremos verlo en Airodump-ng en la parte de abajo donde aparece a que AP está conectado cada cliente, y podremos saber la MAC de la víctima que tenemos que suplantar.

# aireplay-ng –chopchop -e WLAN_88 -h 38:48:4C:6F:78:BF mon0

hack

Podemos ver que nos ha guardado el paquete en la captura con nombre replay_src-1122204237.cap y si la abrimos veremos que está cifrado y no podemos ver su contenido.

Wifi

Cuando termine la herramienta nos indicará que ha guardado el paquete descifrado en otra captura.

hacking

Y si abrimos la captura podemos ver que el paquete ya está descifrado.

ataques

10) Obten la clave de cualquier WLAN_XX (WEP) en 2 segundos.

Vamos a ver como obtener cualquier contraseña de redes wifi de Telefonica que sean wep de la forma WLAN_XX (siendo XX cualquier valor hexadecimal). Esto lo podemos hacer por que se ha descubierto la forma en la que se generaban las contraseñas y era muy simple.

El algoritmo de generación de las contraseñas era el siguiente. De los 13 caracteres que tenia la contraseña el primero es la inicial del nombre de la marca del router. Los 6 siguientes son la primera mitad de la mac del fabricante del router. Los siguientes 4 eran los unicos aleatorios (con lo que hacer fuerza bruta de 4 posiciones te puede dar la risa) y los ultimos 2 caracteres de la contraseña con el XX del nombre del ESSID WLAN_XX.

Así que sabiendo como se generan las contraseñas ya podemos ponernos manos a la obra. Primero pondremos nuestra tarjeta de red wifi en modo monitor para poder monitorizar el trafico de cualquier red wifi que haya por el aire. A continuación con el framework aircrack-ng utilizaremos la herramienta airodump-ng para visualizar toda la actividad de redes que hay por el aire.

cracking

gratuito

Aqui tendremos que buscar una victima que tenga una wifi con el ESSID de la forma WLAN_XX y el cifrado sea WEP. En este caso elegiremos la red WLAN_3B como victima para nuestra prueba de concepto. Ahora tendremos que realizar una captura de trafico y guardarla en un fichero pero filtrando para que nos capture solo de la red que nos interesa. Indicaremos sobre que canal se tiene que poner la herramienta a capturar (-c), el nombre del ESSID que queremos capturar y el nombre del fichero donde guardar la captura. Utilizaremos la herramienta airodump-ng con la sintaxis de la imagen (el resultado de la instrucción es lo que hay arriba aun que la instrucción la muestro después de obtener el resultado para que la vieseis en la foto como he obtenido la captura filtrada)

gratis

Lo siguiente que tengo que hacer es utilizar una herramienta que se llama Wlandecrypter que lo que hace es que me genera un diccionario con todas las posibles claves para esa red, y como hemos visto antes, sabiendo el algoritmo de claves que utilizaba Telefonica, será muy pequeño el diccionario. Tendremos que indicarle a la herramienta la mac del punto de acceso del que queremos obtener el diccionario, es decir, el BSSID de la red.

curos

Una vez ya tenemos el diccionario lo que tenemos que hacer es pasarselo a la herramienta aircrack-ng (la que se encarga de hacer fuerza bruta de nuestro diccionario sobre la captura que hemos ido guardando). Además de pasarle el diccionario, también le tenemos que pasar como digo, la captura que hemos cogido de la red para realizar la fuerza bruta sobre esta y de esta forma obtener la contraseña. La sintaxis con la que he invocado aircrack-ng aparece en la foto a continuación del resultado que produce la invocación del aircrack pero yo lo pongo a continuación para que veais como he obtenido ese resultado.

hacking wifi

Pues como veis ya hemos descifrado la clave y es lo que viene a continuación de “ASCII:” y podemos ver como efectivamente el primer caracer es la Z de los router Zyxel de Telefonica, los siguientes 6 es la primera parte de la direccion MAC del router y los ultimos 2 es el 3B de la WLAN_3B.

11) Entendiendo WPA/WPA2 Personal.

Después de que el protocolo WEP haya dejado mucho que desear, ya que se puede romper en menos de 5 minutos, decicieron diseñar un protocolo más seguro, el problema era que si hacían algo demasiado sólido se necesitaría un cambio de hardware por parte del cliente por lo que diseñaron algo intermedio primero, que será el WPA (WiFi Protected Acces).

La Wi-Fi Alliance propuso WPA, que usará TKIP (que está basado en WEP), que no se puede romper tan fácilmente la clave como en WEP. De esta forma no se necesitará que se cambie el hardware, solo actualizar el firmware.

La opción más sólida que propusieron más tarde fue WPA2 basada en AES, y utilizará CCMP. Para este si que se necesitarían cambios hardware. Ambos tienen edición personal y empresarial. La personal usa PSK, y la empresarial usa Radius.

Una pregunta que puede que os llevéis haciendo tiempo, es como sabe el cliente si el AP es WEP, WPA o WPA2. Se puede ver en los Beacon Frames que emite el AP, y en los probe response un campo llamado WPA Information Element en donde nos dice el tipo de cifrado y el tipo de autenticación.

Curso práctico y gratuito de hack, para principiantes y ava

Lo más normal es que se sigan estas correspondencias:

hack

Veremos ahora como es la conexión entre un cliente y un AP en WPA con PSK. Para verlo maś en detalle filtraremos las MAC del cliente y del AP:

Filtro Wirehsark: (wlan.addr == 00:1a:2b:89:fa:e3) && (wlan.addr == 38:48:4c:6f:78:bf)

Wifi

El cliente para conectarse automáticamente a una red WPA/WPA2 lo que hará será mirar en el paquete Probe Response la configuración de WPA para ver el tipo de cifrado y el tipo de autenticación, y si tiene guardada una red con el mismo ESSID y coinciden estas configuraciones, se conectará automaticamente a este. De esta forma podriamos montar un Fake AP a modo de honeypot para que el cliente se conecte a nosotros.

Una de las mayores diferencias y mejoras entre WEP y WPA es que WPA ya no utilizará claves estáticas para cifrar los paquetes, si no que usará claves dinámicas. La contraseña de la red WiFi será el Passpfrase, a partir de esta obendremos el PSK de 256 bit, ambas estarán también en el AP.

Una vez el cliente está conectado al AP, este enviará un paquete llamado ANonce con información acerca del método que se usará para cifrar entre otras cosas. Después el cliente generará para la conexión una clave PTK que será la clave dinámica de la que hablábamos. La clave PSK 256 bits también es llamada PMK. El cliente contesta con un paquete que contiene el Snounce y MIC. El que nos importa es MIC que se ha creado a partir del PTK, es decir, que el AP lo descifrará y podrá comprobar que tiene el mismo PTK que el cliente. El tercer paquete que se envia del AP al cliente es el key installation, indicando que se guarde la clave en el cliente. Por ultimo el cliente enviará un paquete ACK al AP y este guardará entonces la clave y así ambos tendrán la misma.

hacking

12) Cracking WPA/WPA2 con diccionario.

Para realizar un proceso de crackeo de la contraseña de una red wireless WPA o WPA2 será tendremos que interceptar el 4 Way Handshake (los 4 paquetes que hemos visto que hacen falta para que se conecte un cliente con un AP). De esta manera ya tendríamos la información necesaria para lanzar un ataque de fuerza bruta con un diccionario. Lo que haremos será realizar todo el proceso de conexión entre cliente y AP por cada posible Passphrase (contraseña de la red wireless) y por ultimo el AP comprobará el valor MIC que es el que verifica si nuestro passphrase era correcto.

ataques

Pues vamos a probarlo. Para ello capturaré el handshake con Airodump-NG y para conseguir el Handshake necesito que alguien se conecte a la red, es decir, que lo más facil será echar a alguien de la red con un paquete de De-Autenticación, de esta forma conseguiremos que se vuelva a conectar de forma automatica.

# airodump-ng -c 11 -w cracking mon0

# aireplay-ng –deauth 0 -a <mac_AP> mon0

cracking

El siguiente paso será crearnos un diccionario, o coger uno de internet.

gratuito

Y utilizaremos nuestro querido Aircrack-NG para realizar la prueba.

# aircrack-ng -w dicc.txt cracking-01.cap

Elegimos la red que queremos crackear y si la clave está incluida en el diccionario nos dirá cual es }

gratis

La clave que aparece con el nombre Master Key es la PMK de la que hemos hablado antes.

Otra herramienta para realizar lo mismo es Cowpatty:

curos

A la hora de crackear WPA2-PSK se usan los mismos principios que en el cracking de WPA-PSK. Hay que capturar el Handshake y seguir el mismo proceso. Es decir, si tienes un Passpfrase debil estarás en el mismo problema. Para ver si una red es es WPA o WPA2 podemos verlo en los Beacon Frames o Probe Responses. Es decir que con las mismas herramientas y mismos comandos podriamos crackear la captura WPA2 y descifrarla luego.

13) Acelerando proceso de cracking WPA/WPA2.

Mirando bien los pasos realizado para el cracking podemos darnos cuenta que donde más tiempo se va es en el paso de transformar el Passpfrase en la clave PMK como podeis ver en la imagen:

hacking wifi

Lo que haremos será acelerar el proceso indicandole el nombre del SSID y el diccionario para crear un diccionario de claves PMK pre-calculadas. De esta forma ahorraremos tiempo ahorrandonos el paso más cosotoso del proceso. Ahora quedaría de esta forma:

Curso práctico y gratuito de hack, para principiantes y ava

Hay una herramienta llamada Pyrit que sirve para crackear las contraseñas con hardware más potente, como puede ser por ejemplo la tarjeta grafica del ordenador. Ahora lo que haremos será pre-generar el diccionario con la herramienta genpmk con nuestro diccionario de Passpfrase y el nombre del SSID.

# genpmk -f dicc.txt -s WLAN_23A3 -d pmk-pre-calculadas

hack

Vamos a crackear ahora con el nuevo diccionario:
# pyrit -r prueba-01.cap -i pmk-pre-calculadas attack_cowpatty

Wifi

14) Cracking WPA/WPA2 sin diccionario.

La idea de WPS no es la de añadir más seguridad a las redes WPA o WPA2, sino facilitar a los usuarios la configuración de la red, sin necesidad de utilizar complicadas claves o tediosos procesos.

El sistema de PIN de esta tecnología WPS puede ser reventado en poco tiempo, debido a un error en el diseño del sistema WPS, por el que el router “avisa” de que estamos fallando, tras solo comprobar los cuatro primeros dígitos de ese número de identificación personal de ocho bits.

Mediante un ataque por fuerza bruta, nos llevaría entre dos y diez horas descifrar los 8 números del PIN del WPS del router, pues con ese error la seguridad pasa de 100.000.000 de posibilidades a solo 11.000, debido a que solo hay que “acertar” con dos grupos de números por separado: uno de cuatro y otro de tres, pues el último es solo un checksum.

Esto lo haremos con la herramienta reaver. Como siempre lanzaremos “airodump-ng mon0″ despues de haber puesto la tarjeta de red en modo monitor “airmon-ng start wlan0″

hacking

Despues con el wirehsark monitorizando en la interfaz mon0 tendremos que ver si el punto de acceso tiene habilitado el WPS, abrimos el paquete y tiene que aparecer el campo del WPS tal y como aparece en la siguiente imagen.

ataques

Cuando ya sabemos que la red tiene habilitado WPS lanzamos la herramienta con la dirección MAC del punto de acceso a atacar.

cracking

Tardará unas horas así que no seas impaciente :p

gratuito

El campo que pone “WPA PSK:” es la contraseña.

15) Atacando al cliente, cracking WPA/WPA2 sin AP.

Necesitaremos saber cual es la configuración de la red que tiene guardada la víctima en su dispositivo, que anteriormente sabemos que se ha conectad. De esta forma conectará la víctima sin darse cuenta. Muchas veces la víctima emitirá probe request de redes que está buscando a ver si puede conectarse a ellas, y tendremos que saber la configuración para poder crear el Rogue AP correspondiente.

Para dar solución a este problema, vamos a montar los 4 posibles puntos de acceso para un SSID determinado. Abierto, WEP, WPA-PSK y WPA2-PSK. Como podéis imaginaros no vamos a utilizar 4 adaptadores de red WiFi distintos, porque ir con 4 antenas por ahí podría resultar un poco sospecho… Lo que haremos será levantar 4 interfaces virtuales en modo monitor sobre la misma tarjeta de red, es decir, aparte de mon0 tendremos mon1, mon2, mon3 y mon4. mon0 la dejaremos para monitorizar, y las otras 4 nos servirán para montar los 4 tipos de puntos de acceso. Esto lo haremos lanzando el comando airmon-ng start wlan1 5 veces

# airmon-ng start wlan1 (Primera vez)
.
.
.
# airmon-ng start wlan1 (Quinta vez)

gratis

Tendremos que crear los 4 APs en el mismo canal. Tendré que poner en 5 ventanas distintas lo siguiente. El parametro -c es para indicar el canal, el -W para indicar que se cifrarán los datos, y el -z ó -Z para indicar WPA o WPA2. Para saber exactamente todas las opciones os recomiendo mirar el manual de uso de la herramienta.

# airodump-ng -c 1 -w cracking mon0

# airbase-ng –essid WLAN_23A3 -a aa:aa:aa:aa:aa:aa -c 1 mon1

# airbase-ng –essid WLAN_23A3 -a bb:bb:bb:bb:bb:bb -c 1 -W 1 mon2

# airbase-ng –essid WLAN_23A3 -a cc:cc:cc:cc:cc:cc -c 1 -W 1 -z 2 mon3

# airbase-ng –essid WLAN_23A3 -a dd:dd:dd:dd:dd:dd -c 1 -W 1 -Z 4 mon4

curos

Tambien tendremos que dejar corrierndo el airodump-ng capturando en el mismo canal para poder guardarnos el Handshake y de esta forma poder crackear la contraseña de la red. Una vez la víctima encienda el WiFi se conectará a unos de nuestros 4 puntos de acceso y ya sabremos cual es la configuración de la red. Además de obtener información sobre el AP legitimo, también hemos obtenido un Handshake a partir del cual podremos crackear la contraseña sin haber estado nunca por la zona del AP legitimo.

hacking wifi

Podemos ver en la terminal de abajo a la izquierda que es ese el AP al que se ha conectado al victima, y en la terminal de en medio podemos ver como ya tenemos capturado y guardado el Handshake de la víctima.

Con la captura que tenemos con el handshake realizamos el crackeo con un diccionario de posibles passphrase.

# cowpatty -f dicc.txt -r cracking-01.cap -s WLAN_23A3

Curso práctico y gratuito de hack, para principiantes y ava

16) Descifrando capturas WI-FI.

Una vez hemos realizado el cracking de la password, ya sea en WEP como en WPA, ahora podremos descifrar el trafico que hayamos capturado para poder analizarlo. Para descifrar paquetes WEP teniendo la clave con wireshar haremos los siguiente:. Edit -> Preferencias -> Protocolos -> IEEE 802.11 Aqui en boton editar de “Decryption Keys” y añades la clave WEP en formato hexadecimal.

hack

La otra opción es hacerlo con Airdecap-NG, que nos generará una otra captura ya descifrada.

# airdecap-ng -w 31:32:33:34:35:36:37:38:39:31:32:33:34 captura.pcap

Wifi

Ahora vamos a ver como descifrar las capturas WPA. Recordar que para que se pueda descifrar la captura tenemos que haber capturado un Handshake.

# airdecap-ng -e WLAN_32A3 -p qwertyuiop cracking-01.cap

hacking

Bueno, no se porque no me deja continuar el post, les dejo el link de la segunda parte aca abajo. Saludos.

http://www.taringa.net/posts/info/17596371/Curso-practico-y-gratuito-de-hack---WIFI---Parte-2.html