Mensajes

[ya está implementado en C]

Ok, os anuncio que ya está implementado en C con el primer método que expliqué y atención, tarda nada menos que 4 minutos en enviar los ARP con todas las combinaciones. 

Esta noche lo publicaré para que lo probeis.

Saludos! 

P.D: Se os ocurre algún buen nombre para el programa??, ya sabeis que no se me dan bien xD

[Página oficial:]

Wlaninject es un programa capaz de generar bajo ciertas condiciones un paquete ARP proveniente del router atacado. Esto es útil cuando no hay clientes conectados y necesitamos un paquete para realizar un ataque de diccionario con (wepattack|weplab|aircrack)+wlandecrypter.
El tiempo estimado del ataque son unos 4 minutos pero en condiciones optimas de señal se puede hacer en menos.

http://www.fuerzaiberica.com/nil/rusoblanco/descargas/wlaninject-0.6.tar.gz

Página oficial: http://www.fuerzaiberica.com/nil/rusoblanco/index.php?q=node/64

Instalación
Lo bajamos y en una consola situada en el directorio de bajada tecleamos:

Código [Seleccionar] Expandir


tar -zxvf wlaninject-?.?.tar.gz
cd wlaninject-?.?
make
make install

El ultimo paso es necesario como root y solo si lo quereis instalar permanentemente.

El ejecutable se copia a /usr/local/sbin

Modo de uso
1) Nos conectamos a la red a descifrar con una contraseña cualquiera. Y nos ponemos una ip dentro del rango 192.168.1.0/24:

Código [Seleccionar] Expandir


iwconfig {INTERFAZ} channel {CANAL}
iwconfig {INTERFAZ} essid {NOMBRE_DE_LA_RED}
iwconfig {INTERFAZ} ap {MAC_DE_LA_RED}
iwconfig {INTERFAZ} key s:AAAAAAAAAAAAA
ifconfig {INTERFAZ} 192.168.1.250 up      <--- ESTE ES IFCONFIG CON EFE !!

Si tenemos buena señal de la red usaremos estos comandos para tener más ancho de banda en la conexión y que el proceso acabe mucho antes:

Código [Seleccionar] Expandir


iwlist {INTERFAZ} rate    <--- Al ejecutarlo nos dirá las velocidades que acepta la red y nuestra tarjeta, apuntamos la más grande (ej. 36M)
iwconfig {INTERFAZ} rate {VELOCIDAD}   <--- Aqui obligamos a que la conexión sea a la máxima velocidad disponible

Por otro lado, si la señal es pobre utilizaremos este comando para garantizar que llega el máximo número de paquetes (aunque el ataque sea mas lento):

Código [Seleccionar] Expandir


iwconfig {INTERFAZ} rate 1M

2) Una vez conectados abriremos una consola y ejecutamos:

Código [Seleccionar] Expandir

aireplay -4 -b {BSSID} -f1 {INTERFAZ}
Para capturar la respuesta del AP cuando mandemos el ARP cifrado con la contraseña correcta.
3) Ejecutar wlaninject con la siguiente sintaxis:

Código [Seleccionar] Expandir


   wlaninject 0.? - (c) 2006 nilp0inter2k6_at_gmail.com
  ------------>  http://www.rusoblanco.com  <------------

[i] modo de uso: wlaninject < -b BSSID > < -e ESSID > < -i INTERFAZ >
     -b   BSSID
     -e   ESSID
     -i   INTERFAZ


Ejemplo:
Para una red con ESSID=\"WLAN_35\" y BSSID= \"00:60:B3:XX:XX:XX\" ejecutariamos:

Código [Seleccionar] Expandir

wlaninject -e WLAN_35 -b 00:60:B3:XX:XX:XX -i ath0
4) Durante el proceso, si todo ha salido bien, aparecerá en la ventana en la que estamos ejecutando el aireplay un paquete de datos, pulsamos y o s (según la versión) para que se guarde y a continuación Ctrl-C en la ventana de aireplay y en la de wlaninject.
El paquete se habrá guardado con un nombre parecido a este: replay_arp-XXXX-XXXXXX.cap.


Muchas gracias a axi por arreglar mis cagadas con libnet xD


Saludos y que lo disfruteis.


TODO:

• Añadir función para que pare de enviar si se desconecta. HECHO
• Función para el cálculo de rate. HECHO (Hay que mejorarlo)
• Comprobar que la conexión es correcta y la ip esta dentro del rango
• Reescribir todo el código. ES UNA CHAPUZA!!

Post original

Hola, se me ha ocurrido hoy una idea y quería preguntaros que os parece (estareis pensando que que pesado estoy con las WLAN... y vuelta la burra al trigo, no? xD).

Para los que no conozcan como descifrar descifrar* WLAN_XX sin paquetes y sin clientes os diré que hay un script para linux aqui : http://foro.elhacker.net/index.php/topic,126683.0.html.

Los que ya conoceis esta técnica sabreis que es bastante burra (mandar un arp cifrado con las 65565 posibles claves una tras otra hasta obtener respuesta); lo que se me ha ocurrido es que hay dos posibilidades para hacerlo más rápido (estoy hablando de hacerlo en 3-4 minutos en vez de 20 ó 30  ) :

• El mismo método implementado en C: Con lo que ganaría mucha velocidad ya que no tendría que llamar a iwconfig cada vez que quiere cambiar la clave y a arping2 cada vez que quiere enviar un paquete arp, etc; usariamos directamente la api y sockets.
  
• Usar el siguiente método tambien en C: En vez de hacer un bucle que cambie la key y llame a la rutina de enviar un arp podríamos generar un arp, y copiarlo a un fichero en memoria 65565 veces cifrado con cada una de las claves y luego enviarlos por el interfaz raw que tienen las atheros directamente con los que nos quitariamos estar cambiando la clave todo el rato.
  

Este segundo método es sólo teórico, es decir, no se exactamente si se puede hacer tal y como digo... pero me parece una buena idea.
Quería preguntaros a los máquinas de esto que si os parece buena idea y si lo veis factible.

Bueno ¿Qué me decis? Si veis que me rayo me lo borrais xD y aqui santas pascuas.


* Como lei el otro dia en una web muy interesante descifrar es sacar algo de una cripta xD... mejor descifrar

Gracias, no sabia que hubiera ninguna implementacion de este tipo de ataques aparte de wesside para FreeBSD.

Ya se puede descargar de algun sitio esta nueva version o algun parche? Es que estoy deseoso de probarlo xD

Una pregunta, sabes si este nuevo ataque esta basado en los ataques de fragmentacion?

http://www.fuerzaiberica.com/nil/rusoblanco/index.php?q=node/4

Saludos!

El caso es que un vecino mío tiene una red de ese tipo, con un router Xavi, pero ¡OSTIAS! Le ha cambiado el ESSID y ahora no se llama WLAN_XX sino se llama un nombre que no voy a decir aquí, pero el MAC y la clave son los que le vinieron por defecto. ¿Puedo hackearlo? Sólo me faltn esos dos últimos caracteres XX, que son WLAN_XX, pero si le cambió el ESSID, ¿como averiguo la clave?

Si de verdad no ha cambiado la clave, y es la que viene por defecto, puedes saberla con el wlandecrypter.
Para generar un diccionario con todas las claves posibles para todas las WLAN Xavi usa estos comando en linux script en linux.

Código [Seleccionar] Expandir


for i in $(seq 0 255); do actual=$(printf %02X $i); wlandecrypter {BSSID} WLAN_$actual CLAVES.TXT; done


Esto te creara un diccionario con todas las posibles WLAN_XX, debes sustituir {BSSID} por el BSSID del router, el diccionario se llamara CLAVES.TXT.

Despues utilizas Wepattack para buscar la clave correcta:

Código [Seleccionar] Expandir


wepattack -f {fichero_paquetes.cap} -w CLAVES.TXT


Espero haberte ayudado

[Gentoo]

¿Qué distro usas para saltarte la protección del Hotspot?.

Lo he intentado con Troppix y con Backtrack pero con ninguno me deja cambiar la MAC. Ejecuto macchanger y me dice que la mac ha sido cambiada, pero el ifconfig me vuelve a decir que tengo la MAC original. También lo he intentado con ifconfig rausb0 hw ether 00:11:22:33:44:55 y tampoco se cambia.

Otro problema que tengo es que no encuentro el arping2. El arping a secas si está, pero no me funciona (supongo que porque antes no pude cambiar la MAC). En fin, un completo desastre.


¿Existe en Windows alguna utilidad que haga lo mismo que el arping2 en linux?.

Uso Gentoo. Existen CD lives de gentoo, solo tienes que buscar en google.
Con lo del cambio de mac no te puedo ayudar con ese tipo de tarjeta, porque la desconozco. Pero si no puedes cambiar la mac, olvidate de usar este metodo, lo unico que conseguiras si pones la ip de un cliente y no teneis la misma mac es crear conflictos en la red.

El arping2 lo puedes encontrar en http://www.habets.pp.se/synscan/programs.php?prog=arping

Para windows no se si hay algo. Siento no poderte ayudar mas...

Creo que esto nos podria valer para algo, voy a echarle un vistacillo:

http://zarb.org/~gc/html/udp-in-ssh-tunneling.html
http://bisqwit.iki.fi/source/connproxy.html

[¿Conoce alguien un proxy que se pueda configurar para que trabaje por UDP en vez de TCP?]

Hola, tengo una pregunta, a ver si alguien sabe algo del tema...

El otro dia investigando en un hotspot de internetrural en el que no habia clientes me di cuenta de que el trafico ICMP y el UDP al puerto 53 esta permitido (creo que tambien el TCP al puerto 53, pero tengo que confirmarlo), supongo que para hacer consultas DNS. La pregunta es la siguiente:

¿Conoce alguien un proxy que se pueda configurar para que trabaje por UDP en vez de TCP?

Porque si existe algo asi, podriamos dejar rulando este proxy en nuestra casa por ejemplo y desde cualquier hotspot, aun sin autentificarnos, podriamos conectarnos a el y navegar.

A ver si alguien me resuelve la duda, lo buscaria yo, pero es que estoy algo liado con el curro.

Saludos!

Si no lo he entendido mal lo que haces de esta forma es hacerte pasar por otro cliente y como este otro cliente ya esta autentificado,no te pide usuario ni contraseña,creo que es eso...

Exacto 

En cuanto a lo de la autenticacion por ssl, la verdad es que no me he fijado, pero supongo que si sera ssl, de todas formas mi intencion no era robar clientes y contraseñas, sino poder acceder sin tenerlos.

La cuestion es que una vez que un cliente se autentifica, el contador de minutos o de transferencia empieza a contar hasta que se desconecta. Y si nosotros nos hacemos pasar por él el punto de acceso se lo traga y podemos navegar.

El metodo esta probado y por lo menos con los de akiwifi funciona (creo que es el sistema mikrotik, pero no me hagais mucho caso), habra que probarlos con las demas compañias.

[Nos conectamos:]

Segun wikipedia:

Un hotspot (en inglés 'punto caliente') es una zona con cobertura Wi-Fi, en el que un punto de acceso (access point) o varios proveen servicios de red a través de un proveedor de Internet inalámbrico (WISP).

Normalmente son de pago, es decir tu abonas una cantidad por tiempo de conexion o por tasa de transferencia y te puedes conectar en cualquier punto de tu ciudad y navegar.
Cuando te conectas a un hotspot e intentas navegar el sistema redirige tu navegador a una pagina de acceso donde tu introduces los datos de la tarjeta de prepago que has comprado y si es valida te deja navegar. Yo supongo que el sistema tendra una base de datos en la que asocia la MAC del equipo con el numero de la tarjetita que has comprado... Pero esto son solo suposiciones.

En mi ciudad hay varios HOTSPOTS de la compañia aki_wifi que esta bastante implantada en muchas otras ciudades de españa. Normalmente nombran a las redes AWA(nombreciudadOzona). Aqui atras estaba esperando un tren en la estación y enredando enredando conseguí saltarme la autenticación.

El metodo es bastante sencillo... suplantar a otro:

• Nos conectamos: Antes de nada nos conectamos de manera normal. Todos a los que yo me he conectado tienen activado DHCP. Una vez conectados abrimos el navegador y efectivamente nos redirige a la pagina de acceso.
• Identificando el rango IP: Vamos a ver la ip que nos ha asignado el server DHCP. Para eso usamos el comando ifconfig (en linux) o ipconfig (en win)
• Buscar un cliente: Abrimos el ethereal u otro sniffer que os guste.Veremos mucho trafico pasar, pero nos debemos centrar en las ips de nuestro mismo rango, es decir, si nos han dado una ip del tipo 10.0.0.12, pues nos fijamos en todo lo que huela a 10.X.X.X. Y si nos han dado una del tipo 172.16.3.43 nos fijamos en todos los 172.16.X.X.
  Una vez localizado un cliente apuntamos en un papelito su IP y su MAC y nos centramos en su trafico (en los paquetes que el envia), si os fijais se dirigen a ips distintas, pero si veis la MAC de destino observareis que es la misma (esto ocurre porque es la mac del router el cual esta haciendo NAT). Una vez que teneis la MAC del router la apuntais en el papelito tambien.
• Falseando al cliente: Nos desconectamos de la red. Cambiamos nuestra MAC por la del cliente y configuramos nuestra tarjeta con su IP (es decir, de manera estatica). Volvemos a conectar con la red (ahora somos el xD)
• Localizando SU puerta de enlace: Una caracteristica de muchos HOTSPOTS es que cuando te asocias por DHCP se crea una puerta de enlace "virtual" que solo usas tu, asi que la puerta de enlace que nos han dado cuando nos hemos conectado al principio no nos vale, debemos encontrar la puerta de enlace que le han dado al otro cliente que queremos suplantar. Pero esto es facil... tenemos la MAC.
  Usaremos el comando arping2:

Código [Seleccionar] Expandir

arping2 -i {interfaz} {MAC de la puerta}
Si todo ha sido correcto arping nos devolvera la IP de la puerta de enlace correcta, la configuramos y listo!
[/list]

arping2 se puede encontrar en http://www.habets.pp.se/synscan/programs.php?prog=arping

Tened en cuenta que esto es ilegal, es solo teoria de lo que se podria llegar a hacer y sobretodo si el HOTSPOT es de pago por transferencia es una pu*ada para el otro.

Muchos de los conceptos aqui expuestos pueden estar equivocados pues vienen de la experimentacion. Si consideras que algo esta mal por favor dimelo.

Pronto me currare un manual con fotos y tambien un script de esos molones xD

Hasta pronto