3.- INTRODUCCIÓN A LA SEGURIDAD WPA. Por Zydas.
ATAQUES WPA (by Zydas)
Para que la cosa no se complique a la hora de instalar programas en Linux nos basaremos en los programas que trae por defecto Wifiway 1.0 final, aunque algunos programas también se encuentran en Windows, iremos mostrando los enlaces.
1.- ¿Qué diferencia existe entre WEP Y WPA?
En ambos sistemas de cifrado los datos están cifrados para que los usuarios que no conozcan la clave no puedan descifrarlos y por lo tanto no puedan entrar en la red.
En la cifrado WEP, la clave se encuentra en cada uno de los paquetes que se transmiten entre el PC y el router, mientras que en la WPA la clave solo aparece en el momento de la conexión. En la WPA una vez se haya autentificado el usuario con el router , la clave ya no aparece en los datos transmitidos.
Para conseguir una clave WEP es necesario obtener la mayor cantidad posible de datas porque así tenemos mayor probabilidad de encontrar la clave, no ocurre lo mismo para las WPA.
2.- Capturar un handshake (Clave WPA cifrada).
La clave WPA cifrada se llama handshake, entonces, para poder obtener la clave, primero debemos capturar un handshake, es decir el paquete o data que contiene la clave WPA en si, y se transmite en el momento de conexión entre el usuario legítimo y el router. Solo este paquete contiene la clave.
Primero tenemos que escanear con airodump para encontrar la red con clave Wpa, para ello abrimos shell y lanzamos airodump-ng.
* Ya nos quedó claro como abrir un shell, que es y como identificar la interface de nuestro dispositivo en la sección de Wifislax de Rockeropasiempre,.
* Nos tiene que aparecer alguna red con clave Wpa lógicamente para poder continuar.
Tenemos una red con clave WPA llamada "wpa_psk" (imagen de arriba) que usaremos como ejemplo para el ataque. Para ello volvemos a lanzar airodump pero con los filtros para poder capturar solamente esa red.
Como hemos comentado antes, la clave WPA solo se transmite en el momento de la conexión y si tenemos que esperar a que un cliente legítimo se conecte y transmita el handshake cuando nosotros estemos preparados para su captura nos podemos hacer viejos. Así que nos las vamos a ingeniar para que el cliente legítimo se caiga de su red y de forma automática se vuelva a conectar, nosotros estaremos esperando ese preciado paquete que contiene el handshake.
Vamos ahora a capturar nuestro handshake, para ello lanzamos un A0 en el canal de nuestro cliente, para ello lanzamos el ataque A0 30 veces. (Esto no quiere decir abrir 30 ventanas
)
*SI NO HAY CLIENTE CONECTADO NO HAY HANDSHAKE
Cuando haya terminado y sin parar el airodump-ng lanzamos aircrack-ng para ver si nuestra señal es suficientemente fuerte para hacer caer de la red a nuestro cliente legítimo y hemos capturado el handshake. Usaremos el siguiente código.
Si no aparece el mensaje "WPA (1 handshake)" (imagen de arriba) es que hemos fracasado y debemos repetir el A0 o también aumentar nuestro nivel de señal para que nuestra señal sea más fuerte que la del cliente y poder desconectarlo *(DoS).
*(DoS) Ataque DoS. Denegación de servicio.
Si nos falla el A0 para obtener el handshake, probaremos lanzando el programa mdk3 incluido también en wifiway 1.0. En este manual utilizaremos los parámetros por defecto, pero para aquellos que quieran realizar sus propias pruebas aquí os dejo las opciones.
Estas son las opciones para wpa_tkip:
m -Michael shutdown exploitation (TKIP)
Cancels all traffic continuously
-t <bssid>
Set Mac address of target AP
-w <seconds>
Seconds between bursts (Default: 10)
-n <ppb>
Set packets per burst (Default: 70)
-s <pps>
Set speed (Default: 400)
Con este ataque mdk3 se suprime todo el trafico entre el AP y el cliente de forma continua, hasta que anulemos el ataque con Ctrl+c, y por tanto haciendo que el cliente legítimo se desconecte. Este ataque se debe estar ejecutando durante unos segundos (entre 10 y 40) para asegurar DoS (denegación de servicio).
Una vez lanzado mdk3 volvemos a comprobar con aircrack si hemos obtenido el handshake, si no es así, tendremos que aumentar nuestro nivel de señal, para ello podemos usar antenas de mayor ganancia, acercarnos al router, usar amplificadores, etc.
SI NO HAY HANDSHAKE NO HAY CLAVE WPA.
YA TENGO UN HANDSHAKE --- ATAQUE POR DICCIONARIO
1.- Usando aircrack-ng
Una vez tengamos un handshake capturado en un archivo cap., lo que haremos es lanzar aircrack-ng con la opción "–w " para archivos cap. y ataque por diccionario, al igual que se usa en Wlandecrypter, para ello lanzaremos el siguiente comando:
Después de que termine aircrack-ng y comparar cada una de las palabras con el handshake del achivo-01.cap, nos mostrará el siguiente mensaje, (si la clave ha sido encontrada).
2.- Usando Cowpattyp.
Existe también Cowpatty plus (Cowtattyp) con más opciones, pero nosotros nos basaremos en Cowpatty.
Para aquellos que usan Windows aquí tienen Cowpatty para Windows.
Este programa puede trabajar de dos formas, una forma de trabajar es igual que aircrack-ng, de forma que le damos como entradas el diccionario, el archivo cap. y el essid.
Otra forma es creando un rainbow table con hash-1 y el diccionario. Este tipo de ataque es mucho más rápido que aircrack-ng, pero tiene el inconveniente de que primero debemos crear un diccionario pre computado (rainbow table) y sólo es válido para la misma essid, es decir que si tenemos una red con diferente nombre (diferente essid) no podemos usar el mismo rainbow table, debemos crear otro con el nuevo essid, aunque el diccionario sea el mismo. Esto es debido a que la clave WPA está "mezclada" con el nombre de la red (essid) y por lo tanto sólo es válido para ese nombre de red.
La ventaja de este sistema es, que existen redes con el mismo essid como por ejemplo TELE2, y por lo tanto nos valdría el mismo rainbow table y la obtención de la clave WPA se haría en unos pocos minutos (si ese diccionario es bueno y contiene la clave).
Links rainbow table para tele2;
http://www.megaupload.com/?d=JC9BDMZF
http://www.megaupload.com/?d=V91T1SMB parte 1
http://www.megaupload.com/?d=VRNWO2DH parte 2
http://www.megaupload.com/?d=QVWHJZDB parte 3
http://www.megaupload.com/?d=3Z3FCIW6 parte 4
http://www.megaupload.com/?d=N7YF42E5 parte 5
Juntad los archivos (5 últimos links) con cat y descomprimir con lzma
http://megaupload.com/?d=I7DIGKLT
http://megaupload.com/?d=R0VODZE0
http://www.megaupload.com/?d=UQCUYVJ6
Dejando las redes tele2 aparte, para poder usar Cowpatty con rainbow table es necesario pre computar nuestro diccionario con el essid de la red, para ello utilizaremos la utilidad genpmk que incluye Cowpatty. Vamos ahora a generar nuestro rainbow table para nuestro diccionario plano y nuestro essid.
-f Archivo en texto plano (diccionario)
-d Archivo de salida, el archivo nuevo que se creará para usar con Cowpatty (rainbow table)
-s essid (nombre de la red)
Con este comando hemos creado un diccionario pre computado (rainbow) llamado hash-1wpa , para después utilizarlo con el Cowpatty, dependiendo del tamaño del diccionario puede durar horas. Este es el mismo procedimiento que utiliza el programa wpa_passphrase (incluido en Wifiway) pero con diccionario plano y almacenando el resultado en un rainbow table.
Cuando termine genpmk-ng lanzaremos el Cowpatty que es mucho más rápido que aircrack-ng ya que parte del trabajo lo hemos hecho con genpmk-ng.
Una vez que haya terminado, si la clave está en rainbow table (diccionario pre computado) tendremos la clave.
Si nuestra clave no se encuentra en el diccionario, entonces tendremos que probar con otros diccionarios, aquí tenéis unos cuantos links para que tengáis vuestro PC ocupado.
Links de diccionarios planos:
http://www.megaupload.com/?d=Y24D0C72
http://www.megaupload.com/?d=SH49LXYW
http://www.megaupload.com/?d=85ZFE6M0
http://www.megaupload.com/?d=Y7H5CKHJ
PROBLEMAS CON DICCIONARIOS (RETORNO DE CARRO).
Dependiendo el sistema operativo y programa que genere el diccionario de texto plano, nos puede dar problemas con el retorno de carro <cr>, es decir, que la clave se encuentre en el diccionario pero nuestro programa (aircrack-ng, cowpatty) no la encuentra. Ello es debido a que el retorno de carro lo incluye dentro de la palabra. Windows cuando termina una línea añade retorno de carro (cr) y fin de línea (lf), en Unix solamente se añade fin de línea. El programa dos2unix lo que hace es eliminar el retorno de carro en cada una de las palabras del diccionario.
Ejemplo:
Diccionario Windows------------------------Diccionario unix
12345678<cr><lf> 12345678<lf>
87654321<cr><lf> 87654321<lf>
Asdfghjk<cr><lf> asdfghjk<lf>
Aquí tenéis unos conversores de texto plano de un sistema operativo a otro.
http://www.gammon.com.au/files/pennmush/unix2dos.zip - 19K - program to convert unix text files to DOS format
http://www.gammon.com.au/files/pennmush/dos2unix.zip - 19K - program to convert DOS text files to Unix format
http://www.gammon.com.au/files/pennmush/mac2unix.zip - 19K - program to convert Macintosh text files to Unix format
http://www.gammon.com.au/files/pennmush/unix2mac.zip - 19K - program to convert Unix text files to Macintosh format
http://www.gammon.com.au/files/pennmush/unix2dos.c - 7K - source code used to compile above 4 conversion programs
YA TENGO UNA HANDSHAKE --- ATAQUE POR FUERZA BRUTA JOHNTHERIPPER.
Este ataque consiste en generar un diccionario secuencial y almacenarlo o mandárselo directamente a aircrack-ng. Como normalmente las claves WPA admiten como mínimo 8 caracteres y como máximo 64, es inútil usar diccionarios con palabras inferiores a 8 caracteres. Si tenemos la suerte de que la clave sea de 8 caracteres, pues bien, son 324.293.000.000.000.000.000.000 combinaciones, por lo que podemos tardar sólo unos pocos años.
Por ejemplo cogiendo las letras de a-z sin contar ñ y cogiendo solo minúsculas serían 26 letras, mas 10 números en tota,l 36 caracteres y la clave WPA que elegimos es de 15 caracteres.
abcdefghijklmnopqrstuvwxyz0123456789 ---> 36 caracteres
36 caracteres=221.073.919.720.733.357.899.776 palabras
Suponiendo que el programa, y nuestro ordenador sea capaz de analizar 200.000 palabras por segundo (cosa que dudo mucho), pues tardaría 3.505.104.000 años (jóderrrrrrr).
Para el ataque por fuerza bruta usaremos el programa Johntheripper, como NO lo tenemos en Wifiway tenemos que instalado, para ello lanzamos lo siguientes comandos:
Si todo ha salido bien podremos lanzar John.
Para aquellos que usáis Windows aquí tenéis Johntheripper para Windows, es posible que vuestro antivirus lo confunda con un virus al igual que ocurre con cain.
No voy a ser muy exhaustivo con este ataque ya que es muy lento y muy poco efectivo en claves WPA pero es un clásico del hack.
Para lanzar John con diccionario usar este comando:
Para usar John como fuerza bruta y que tome todas las combinaciones, usar este comando:
YA TENGO UNA HANDSHAKE --- ATAQUE POR FUERZA BRUTA CON DISTRIBUTED PASSWORD RECOVERY
Este programa está diseñado especialmente para descubrir claves por fuerza bruta y trabaja bajo Windows, no voy a poner el link de descarga ya que es un programa de pago. Distributed password recovery puede trabajar con la CPU de nuestro PC o con la GPU (procesador de la tarjeta gráfica) de tarjetas Nvidia. Para poder trabajar con la GPU es necesario tener los últimos drivers actualizados, como yo no tengo Nvidia sólo explicaré para trabajar con la CPU.
Este programa parece ser el Tendón de Aquiles de las WPA porque aunque trabaje por fuerza bruta es capar de utilizar las GPU que son 140 veces más rápidas que las CPU.
Lo primero que debemos hacer es ejecutar el programa Distributed Agent si no está ejecutándose, y lo mantendremos minimizado ya que éste se encargará del control de la CPU, después lanzaremos Distributed password recovery y abriremos nuestro archivo cap. con el handshake.
Una vez abierto el archivo cap. nos aparecerá una ventana como la de abajo, en donde el programa reconoce que el archivo cap. contiene una clave WPA, y nos muestra el nombre de la red, la mac del AP y la mac del cliente.
Ahora tendremos que elegir la longitud de caracteres, y que caracteres vamos a utilizar para la fuerza bruta. Normalmente se elegirá el abecedario en minúsculas y los números del 0 al 9 con una longitud de la clave de 8 caracteres como mínimo y un máximo que puede ser desde 8 a 64, lo normal sería 9 o 10.
Cuando el proceso haya terminado, clicaremos en "result" para conocer la clave WPA, este proceso puede tardar desde horas hasta meses o incluso años, dependiendo de la velocidad de trabajo, longitud de la clave y cantidad de caracteres a usar.
ATAQUE CON TKIPTUN-NG
Para aquellos que usáis Windows aquí tenéis un link con la suite arcircrack-ng, incluido tkiptun-ng para Windows. Para los que usen Wifiway 1.0 final no hace falta instalarlo, ya está incluido en el cd.
Esta ataque está desarrollado por los chicos de aircrack-ng y todavía no está totalmente desarrollado sobre todo la última parte, por lo que NO va ha encontrar la clave WPA. Este programa tiene sus limitaciones con respecto a las tarjetas soportadas.
Las limitaciones son las siguientes:
-Funciona con RT73 y RTL8187L (posiblemente con otros drivers también).
-No es compatible con los drivers madwifi-ng.
-No está totalmente terminado, sobre todo la última parte.
-Tanto el cliente como el AP tienen que tener activado el QoS (calidad de servicio) o en algunos AP se les llama WMM (Wifi multimedia).
-El cliente debe estar conectado al AP en todo el proceso que dura como mínimo 20 minutos (aunque pueden tardar varias horas).
-El AP debe estar configurado en modo WPA_PSK.
Este programa tiene varias fases, La primera consiste en obtener el handshake con la desautentificación del cliente, una vez conseguido el handshake y un ARP válido se inyectan los paquetes. Yo no he conseguido terminar el proceso y tampoco sé muy bien como funciona.
Para lanzar tkiptun-ng.
¡Esto es todo amigos!
By Zydas
Hasta aquí nuestros conocimientos y fuerza de voluntad. Nos ha llevado un largo periodo de tiempo recopilar, estudiar, e intercambiar opiniones para llegar hasta este punto. Esperamos que este manual sea de vuestro agrado y lo utilicéis para vuestras pruebas de una forma correcta.
Una vez mas dar las gracias al foro de Elhacker.net por la oportunidad de plasmar nuestras propias experiencias, y poder compartir todas las de los usuarios entre si.
Rockeropasiempre Heaviloto Zydas
Nota: Si quereis decir lo que os ha parecido, críticas
, mejoras, erratas, felicitaciones 
, sugerencias, o cualquier otra cosa, abrir post para ello. Se trata de mantener el foro ordenado y hacer de esta guía algo util para todos.
Saludos.
ATAQUES WPA (by Zydas)
Para que la cosa no se complique a la hora de instalar programas en Linux nos basaremos en los programas que trae por defecto Wifiway 1.0 final, aunque algunos programas también se encuentran en Windows, iremos mostrando los enlaces.
1.- ¿Qué diferencia existe entre WEP Y WPA?
En ambos sistemas de cifrado los datos están cifrados para que los usuarios que no conozcan la clave no puedan descifrarlos y por lo tanto no puedan entrar en la red.
En la cifrado WEP, la clave se encuentra en cada uno de los paquetes que se transmiten entre el PC y el router, mientras que en la WPA la clave solo aparece en el momento de la conexión. En la WPA una vez se haya autentificado el usuario con el router , la clave ya no aparece en los datos transmitidos.
Para conseguir una clave WEP es necesario obtener la mayor cantidad posible de datas porque así tenemos mayor probabilidad de encontrar la clave, no ocurre lo mismo para las WPA.
2.- Capturar un handshake (Clave WPA cifrada).
La clave WPA cifrada se llama handshake, entonces, para poder obtener la clave, primero debemos capturar un handshake, es decir el paquete o data que contiene la clave WPA en si, y se transmite en el momento de conexión entre el usuario legítimo y el router. Solo este paquete contiene la clave.
Primero tenemos que escanear con airodump para encontrar la red con clave Wpa, para ello abrimos shell y lanzamos airodump-ng.
Código [Seleccionar]
airodump-ng <interface>* Ya nos quedó claro como abrir un shell, que es y como identificar la interface de nuestro dispositivo en la sección de Wifislax de Rockeropasiempre,.
* Nos tiene que aparecer alguna red con clave Wpa lógicamente para poder continuar.
Tenemos una red con clave WPA llamada "wpa_psk" (imagen de arriba) que usaremos como ejemplo para el ataque. Para ello volvemos a lanzar airodump pero con los filtros para poder capturar solamente esa red.
Código [Seleccionar]
airodump-ng -c <canal> --bssid <mac ap> -w <archivo.cap> <interface>Como hemos comentado antes, la clave WPA solo se transmite en el momento de la conexión y si tenemos que esperar a que un cliente legítimo se conecte y transmita el handshake cuando nosotros estemos preparados para su captura nos podemos hacer viejos. Así que nos las vamos a ingeniar para que el cliente legítimo se caiga de su red y de forma automática se vuelva a conectar, nosotros estaremos esperando ese preciado paquete que contiene el handshake.
Vamos ahora a capturar nuestro handshake, para ello lanzamos un A0 en el canal de nuestro cliente, para ello lanzamos el ataque A0 30 veces. (Esto no quiere decir abrir 30 ventanas
)Código [Seleccionar]
aireplay-ng -0 30 –a <mac ap> -c <mac cliente> <interface>*SI NO HAY CLIENTE CONECTADO NO HAY HANDSHAKE
Cuando haya terminado y sin parar el airodump-ng lanzamos aircrack-ng para ver si nuestra señal es suficientemente fuerte para hacer caer de la red a nuestro cliente legítimo y hemos capturado el handshake. Usaremos el siguiente código.
Código [Seleccionar]
aircrack-ng achive-01.capSi no aparece el mensaje "WPA (1 handshake)" (imagen de arriba) es que hemos fracasado y debemos repetir el A0 o también aumentar nuestro nivel de señal para que nuestra señal sea más fuerte que la del cliente y poder desconectarlo *(DoS).
*(DoS) Ataque DoS. Denegación de servicio.
Si nos falla el A0 para obtener el handshake, probaremos lanzando el programa mdk3 incluido también en wifiway 1.0. En este manual utilizaremos los parámetros por defecto, pero para aquellos que quieran realizar sus propias pruebas aquí os dejo las opciones.
Código [Seleccionar]
mdk3 <interface> m –t <mac ap>Estas son las opciones para wpa_tkip:
m -Michael shutdown exploitation (TKIP)
Cancels all traffic continuously
-t <bssid>
Set Mac address of target AP
-w <seconds>
Seconds between bursts (Default: 10)
-n <ppb>
Set packets per burst (Default: 70)
-s <pps>
Set speed (Default: 400)
Con este ataque mdk3 se suprime todo el trafico entre el AP y el cliente de forma continua, hasta que anulemos el ataque con Ctrl+c, y por tanto haciendo que el cliente legítimo se desconecte. Este ataque se debe estar ejecutando durante unos segundos (entre 10 y 40) para asegurar DoS (denegación de servicio).
Una vez lanzado mdk3 volvemos a comprobar con aircrack si hemos obtenido el handshake, si no es así, tendremos que aumentar nuestro nivel de señal, para ello podemos usar antenas de mayor ganancia, acercarnos al router, usar amplificadores, etc.
SI NO HAY HANDSHAKE NO HAY CLAVE WPA.
YA TENGO UN HANDSHAKE --- ATAQUE POR DICCIONARIO
1.- Usando aircrack-ng
Una vez tengamos un handshake capturado en un archivo cap., lo que haremos es lanzar aircrack-ng con la opción "–w " para archivos cap. y ataque por diccionario, al igual que se usa en Wlandecrypter, para ello lanzaremos el siguiente comando:
Código [Seleccionar]
aircrack-ng –w <diccionario.lst> < archivo-01.cap >Después de que termine aircrack-ng y comparar cada una de las palabras con el handshake del achivo-01.cap, nos mostrará el siguiente mensaje, (si la clave ha sido encontrada).
2.- Usando Cowpattyp.
Existe también Cowpatty plus (Cowtattyp) con más opciones, pero nosotros nos basaremos en Cowpatty.
Para aquellos que usan Windows aquí tienen Cowpatty para Windows.
Este programa puede trabajar de dos formas, una forma de trabajar es igual que aircrack-ng, de forma que le damos como entradas el diccionario, el archivo cap. y el essid.
Código [Seleccionar]
cowpatty –r <archivo-01.cap > –f <diccionario plano> -s <essid>Otra forma es creando un rainbow table con hash-1 y el diccionario. Este tipo de ataque es mucho más rápido que aircrack-ng, pero tiene el inconveniente de que primero debemos crear un diccionario pre computado (rainbow table) y sólo es válido para la misma essid, es decir que si tenemos una red con diferente nombre (diferente essid) no podemos usar el mismo rainbow table, debemos crear otro con el nuevo essid, aunque el diccionario sea el mismo. Esto es debido a que la clave WPA está "mezclada" con el nombre de la red (essid) y por lo tanto sólo es válido para ese nombre de red.
La ventaja de este sistema es, que existen redes con el mismo essid como por ejemplo TELE2, y por lo tanto nos valdría el mismo rainbow table y la obtención de la clave WPA se haría en unos pocos minutos (si ese diccionario es bueno y contiene la clave).
Links rainbow table para tele2;
http://www.megaupload.com/?d=JC9BDMZF
http://www.megaupload.com/?d=V91T1SMB parte 1
http://www.megaupload.com/?d=VRNWO2DH parte 2
http://www.megaupload.com/?d=QVWHJZDB parte 3
http://www.megaupload.com/?d=3Z3FCIW6 parte 4
http://www.megaupload.com/?d=N7YF42E5 parte 5
Juntad los archivos (5 últimos links) con cat y descomprimir con lzma
http://megaupload.com/?d=I7DIGKLT
http://megaupload.com/?d=R0VODZE0
http://www.megaupload.com/?d=UQCUYVJ6
Dejando las redes tele2 aparte, para poder usar Cowpatty con rainbow table es necesario pre computar nuestro diccionario con el essid de la red, para ello utilizaremos la utilidad genpmk que incluye Cowpatty. Vamos ahora a generar nuestro rainbow table para nuestro diccionario plano y nuestro essid.
Código [Seleccionar]
genmpk -f <diccionario plano> -d <diccionario pre computado> -s <essid>-f Archivo en texto plano (diccionario)
-d Archivo de salida, el archivo nuevo que se creará para usar con Cowpatty (rainbow table)
-s essid (nombre de la red)
Con este comando hemos creado un diccionario pre computado (rainbow) llamado hash-1wpa , para después utilizarlo con el Cowpatty, dependiendo del tamaño del diccionario puede durar horas. Este es el mismo procedimiento que utiliza el programa wpa_passphrase (incluido en Wifiway) pero con diccionario plano y almacenando el resultado en un rainbow table.
Cuando termine genpmk-ng lanzaremos el Cowpatty que es mucho más rápido que aircrack-ng ya que parte del trabajo lo hemos hecho con genpmk-ng.
Código [Seleccionar]
cowpatty –r <archive-01.cap > –d <rainbow table> -s <essid>Una vez que haya terminado, si la clave está en rainbow table (diccionario pre computado) tendremos la clave.
Si nuestra clave no se encuentra en el diccionario, entonces tendremos que probar con otros diccionarios, aquí tenéis unos cuantos links para que tengáis vuestro PC ocupado.
Links de diccionarios planos:
http://www.megaupload.com/?d=Y24D0C72
http://www.megaupload.com/?d=SH49LXYW
http://www.megaupload.com/?d=85ZFE6M0
http://www.megaupload.com/?d=Y7H5CKHJ
PROBLEMAS CON DICCIONARIOS (RETORNO DE CARRO).
Dependiendo el sistema operativo y programa que genere el diccionario de texto plano, nos puede dar problemas con el retorno de carro <cr>, es decir, que la clave se encuentre en el diccionario pero nuestro programa (aircrack-ng, cowpatty) no la encuentra. Ello es debido a que el retorno de carro lo incluye dentro de la palabra. Windows cuando termina una línea añade retorno de carro (cr) y fin de línea (lf), en Unix solamente se añade fin de línea. El programa dos2unix lo que hace es eliminar el retorno de carro en cada una de las palabras del diccionario.
Ejemplo:
Diccionario Windows------------------------Diccionario unix
12345678<cr><lf> 12345678<lf>
87654321<cr><lf> 87654321<lf>
Asdfghjk<cr><lf> asdfghjk<lf>
Aquí tenéis unos conversores de texto plano de un sistema operativo a otro.
http://www.gammon.com.au/files/pennmush/unix2dos.zip - 19K - program to convert unix text files to DOS format
http://www.gammon.com.au/files/pennmush/dos2unix.zip - 19K - program to convert DOS text files to Unix format
http://www.gammon.com.au/files/pennmush/mac2unix.zip - 19K - program to convert Macintosh text files to Unix format
http://www.gammon.com.au/files/pennmush/unix2mac.zip - 19K - program to convert Unix text files to Macintosh format
http://www.gammon.com.au/files/pennmush/unix2dos.c - 7K - source code used to compile above 4 conversion programs
YA TENGO UNA HANDSHAKE --- ATAQUE POR FUERZA BRUTA JOHNTHERIPPER.
Este ataque consiste en generar un diccionario secuencial y almacenarlo o mandárselo directamente a aircrack-ng. Como normalmente las claves WPA admiten como mínimo 8 caracteres y como máximo 64, es inútil usar diccionarios con palabras inferiores a 8 caracteres. Si tenemos la suerte de que la clave sea de 8 caracteres, pues bien, son 324.293.000.000.000.000.000.000 combinaciones, por lo que podemos tardar sólo unos pocos años.
Por ejemplo cogiendo las letras de a-z sin contar ñ y cogiendo solo minúsculas serían 26 letras, mas 10 números en tota,l 36 caracteres y la clave WPA que elegimos es de 15 caracteres.
abcdefghijklmnopqrstuvwxyz0123456789 ---> 36 caracteres
36 caracteres=221.073.919.720.733.357.899.776 palabras
Suponiendo que el programa, y nuestro ordenador sea capaz de analizar 200.000 palabras por segundo (cosa que dudo mucho), pues tardaría 3.505.104.000 años (jóderrrrrrr).
Para el ataque por fuerza bruta usaremos el programa Johntheripper, como NO lo tenemos en Wifiway tenemos que instalado, para ello lanzamos lo siguientes comandos:
Código [Seleccionar]
wget http://www.openwall.com/john/f/john-1.7.0.2.tar.gz
tar -xzvf john-1.7.0.2.tar.gz
cd john-1.7.0.2/src
make clean generic
cd ..
cd run
cp john /usr/local/bin/Si todo ha salido bien podremos lanzar John.
Para aquellos que usáis Windows aquí tenéis Johntheripper para Windows, es posible que vuestro antivirus lo confunda con un virus al igual que ocurre con cain.
No voy a ser muy exhaustivo con este ataque ya que es muy lento y muy poco efectivo en claves WPA pero es un clásico del hack.
Para lanzar John con diccionario usar este comando:
Código [Seleccionar]
john --stdout --wordlist=<diccionario> --rules | aircrack-ng –e <essid> -a 2 -w – <archive.cap>
Para usar John como fuerza bruta y que tome todas las combinaciones, usar este comando:
Código [Seleccionar]
John -incremental=all | aircrack-ng.exe –e <essid> -a 2 -w – <archivo.cap>YA TENGO UNA HANDSHAKE --- ATAQUE POR FUERZA BRUTA CON DISTRIBUTED PASSWORD RECOVERY
Este programa está diseñado especialmente para descubrir claves por fuerza bruta y trabaja bajo Windows, no voy a poner el link de descarga ya que es un programa de pago. Distributed password recovery puede trabajar con la CPU de nuestro PC o con la GPU (procesador de la tarjeta gráfica) de tarjetas Nvidia. Para poder trabajar con la GPU es necesario tener los últimos drivers actualizados, como yo no tengo Nvidia sólo explicaré para trabajar con la CPU.
Este programa parece ser el Tendón de Aquiles de las WPA porque aunque trabaje por fuerza bruta es capar de utilizar las GPU que son 140 veces más rápidas que las CPU.
Lo primero que debemos hacer es ejecutar el programa Distributed Agent si no está ejecutándose, y lo mantendremos minimizado ya que éste se encargará del control de la CPU, después lanzaremos Distributed password recovery y abriremos nuestro archivo cap. con el handshake.
Una vez abierto el archivo cap. nos aparecerá una ventana como la de abajo, en donde el programa reconoce que el archivo cap. contiene una clave WPA, y nos muestra el nombre de la red, la mac del AP y la mac del cliente.
Ahora tendremos que elegir la longitud de caracteres, y que caracteres vamos a utilizar para la fuerza bruta. Normalmente se elegirá el abecedario en minúsculas y los números del 0 al 9 con una longitud de la clave de 8 caracteres como mínimo y un máximo que puede ser desde 8 a 64, lo normal sería 9 o 10.
Cuando el proceso haya terminado, clicaremos en "result" para conocer la clave WPA, este proceso puede tardar desde horas hasta meses o incluso años, dependiendo de la velocidad de trabajo, longitud de la clave y cantidad de caracteres a usar.
ATAQUE CON TKIPTUN-NG
Para aquellos que usáis Windows aquí tenéis un link con la suite arcircrack-ng, incluido tkiptun-ng para Windows. Para los que usen Wifiway 1.0 final no hace falta instalarlo, ya está incluido en el cd.
Esta ataque está desarrollado por los chicos de aircrack-ng y todavía no está totalmente desarrollado sobre todo la última parte, por lo que NO va ha encontrar la clave WPA. Este programa tiene sus limitaciones con respecto a las tarjetas soportadas.
Las limitaciones son las siguientes:
-Funciona con RT73 y RTL8187L (posiblemente con otros drivers también).
-No es compatible con los drivers madwifi-ng.
-No está totalmente terminado, sobre todo la última parte.
-Tanto el cliente como el AP tienen que tener activado el QoS (calidad de servicio) o en algunos AP se les llama WMM (Wifi multimedia).
-El cliente debe estar conectado al AP en todo el proceso que dura como mínimo 20 minutos (aunque pueden tardar varias horas).
-El AP debe estar configurado en modo WPA_PSK.
Este programa tiene varias fases, La primera consiste en obtener el handshake con la desautentificación del cliente, una vez conseguido el handshake y un ARP válido se inyectan los paquetes. Yo no he conseguido terminar el proceso y tampoco sé muy bien como funciona.
Para lanzar tkiptun-ng.
Código [Seleccionar]
tkiptun-ng –a <maca p> -h <mac cliente> -m 80 –n 100 <interface>¡Esto es todo amigos!
By Zydas
Hasta aquí nuestros conocimientos y fuerza de voluntad. Nos ha llevado un largo periodo de tiempo recopilar, estudiar, e intercambiar opiniones para llegar hasta este punto. Esperamos que este manual sea de vuestro agrado y lo utilicéis para vuestras pruebas de una forma correcta.
Una vez mas dar las gracias al foro de Elhacker.net por la oportunidad de plasmar nuestras propias experiencias, y poder compartir todas las de los usuarios entre si.
Rockeropasiempre Heaviloto Zydas
Nota: Si quereis decir lo que os ha parecido, críticas
, mejoras, erratas, felicitaciones , sugerencias, o cualquier otra cosa, abrir post para ello. Se trata de mantener el foro ordenado y hacer de esta guía algo util para todos.Saludos.
![:-\](https://forum.elhacker.net/Smileys/navidad/undecided.gif ":-\")
