Manual Wifislax, Wifiway Avanzado WEP y WPA Rockeropasiempre, Heavyloto y Zydas.

Iniciado por rockeropasiempre, 22 Julio 2009, 00:31 AM

0 Miembros y 1 Visitante están viendo este tema.

rockeropasiempre

INICIACIÓN EN WIRELESS CON WIFISLAX Y WIFIWAY 1.0 FINAL. INCLUYE WEP Y WPA.

                                                        

Este tutorial viene de la mano de Rockeropasiempre, Heavyloto y Zydas. Cada uno hemos aportado nuestra propia experiencia y conocimientos. No habría sido posible realizarlo sin los aportes de las distintas páginas que a menudo visitamos como el foro de Elhacker.net, y Seguridad Wireless entre otras.

                                                                         

En la parte que toca a Linux, KARR aportó su grano de arena, aportando apuntes y como no, algún que otro listado. Además fue quien revisó y dió el ok al proyecto final.

Esta guía en ningún caso está destinado a uso fraudulento o delictivo, el uso que se haga de este aporte queda única y exclusivamente ligado a la responsabilidad  de cada uno, quedando fuera de nuestras intenciones cualquier uso no debido, así como de la página de elhacker.net. Los programas a los que se hace mención o referencia no están destinados a tal uso, sino a la verificación de la seguridad de nuestras propias conexiones.

INDICE GENERAL.

El índice está confeccionado de forma que vayamos de menos a más, así pues, los puntos quedan de esta manera:

1.- WIFISLAX 3.1 "DUDAS Y ERRORES MAS COMUNES". Por Rockeropasiempre.


Resolución de los errores que más frecuentemente se presentan con el live Cd Wifislax 3.1, con definiciones a un nivel usuario básico/medio. En este apartado se utilizan tarjetas Pci Atheros, Usb Ralink, y Usb Gold 800 Mw Realtek para los aportes y explicaciones. En este apartado se maneja únicamente la cifrado WEP.
Nota: si no se ha leido el Manual básico para Wifislax, y no sabemos nada al respecto, poco o nada adelantaremos con este nuevo manual, ya que este es una consecucción del anteriormente citado.

2.- INTRODUCCION A LA SEGURIDAD WEP. Por Heavyloto.

En este apartado se maneja la seguridad WEP, diferentes tipos de ataque y su funcionamiento. También se maneja Wlandecripter. Para todo esto se utilizarán tarjetas Realtek y Zydas, y la distro Wifiway 1.0 final.

3.- INTRODUCCIÓN A LA SEGURIDAD WPA. Por Zydas.


En último lugar y quizás el más relevante de todos por su dificultad, se tratará la seguridad WPA en toda su extensión, obtención de handsake, tipos de diccionarios, manejo, y se usarán programas como  Cowpatty, Johntheripper y la suite aircrack-ng. Para ello se utilizara la tarjeta Alfa USB 500Mw, con chipset Realtek 8187L.

Podemos empezar.

1.- WIFISLAX 3.1 - DUDAS Y ERRORES MAS COMUNES Por Rockeropasiempre.

La siguiente sección está confeccionada con el fin de mostrar respuestas a los errores y preguntas más frecuentes cuando nos iniciamos con Wifislax. Cuando empezamos a auditar las primeras veces, suele pasar que nos encontramos con el hecho de que simplemente no sabemos lo que estamos haciendo, ni tampoco sabemos especificar ni detectar cual es el error que estamos cometiendo en el momento. Basándome en mi propia experiencia diré que cuando alguien me dijo, que tenía que poner mi BSSID, seguido de una letra con signo negativo, y además tenía que hacerlo todo en una Shell, me quedé como estaba, seguía sin tener ni idea de nada. A fuerza de leer, experimentar y escacharrar algún que otro aparato voy aprendiendo algo sobre el tema de la seguridad Wifi,  poco la verdad, pero mejor que hace un tiempo. Por eso este apartado no está pensado ni escrito para que simplemente se ejecute, sino para que nos sirva de referencia al principio y motivación posterior. Queda claro pues, que si se desea aprender en este interesante mundo Wifi, no bastará con leer esto,  sino que habrá que leer otros muchos tutoriales que hacen referencia a un uso más avanzado. Dicho lo dicho, pasemos pues al tema en cuestión.

Lo primero que debemos tener evidentemente, es un Live Cd de Wifislax 3.1  ya con ello en las manos, procederemos a arrancar. Para descargarlo podemos hacerlo desde aquí. Al entrar en la página nos encontraremos con la versión normal "segundo enlace", y en el tercer enlace tenemos la versión reducida. Yo personalmente prefiero la primera pero para gustos, los colores.
Una vez quemada la ISO en un Cd, podemos empezar con ello. La forma de arrancar el Cd queda está explicado en este
enlace. Así pues, una vez grabado el disco, pasemos a los problemas que mas suelen darse en los comienzos.


WIFISLAX NO ME ARRANCA.


Si al comenzar con el arranque, nos encontramos con este problema, la primera opción a revisar es el  propio arranque de la BIOS, y asegurarnos de que está seleccionada como primera opción de boteo el lector donde tenemos el disco. Es interesante  comprobar que el disco no esté arañado, rayado o defectuoso.


WIFISLAX YA ARRANCA, PERO SE ME BLOQUEA AL INICIO,  Ó SE ME QUEDA LA PANTALLA EN NEGRO.

Una vez hemos procedido a revisar todo lo anterior, y vemos que no conseguimos arrancar el programa, pasaríamos al tema de  los cheatcodes.

¿Qué son los cheatcodes?, ¿Dónde los escribo?


Los cheatcodes son comandos, cada uno de estos comandos realiza una función específica ,como por ejemplo deshabilitar la detección de hardware a la hora del arranque de Wifislax. Para ese caso en concreto se utiliza el cheatcode "nohotplug". Cuando el live Cd arranca, por defecto procede a detectar todo el hardware existente en el equipo, y en ocasiones ocurre que la detección de algún hardware en especial nos esté creando algún problema. Los principales problemas de arranque en Wifislax , suelen tener que ver con la detección de hardware y con la propia tarjeta gráfica. Esto no quiere decir que siempre sea así, porque alguna vez podría inclusive causar el problema un simple ratón Usb. No obstante podría sernos útil cualquier otro cheatcode para alguna función en particular, como que los cambios se guarden en la memoria o cargar módulos opcionales específicos.

¿Dónde los escribo?

Opción 1.

Para introducirlos deberemos hacerlo al inicio del arranque. Esto quiere decir que deberemos escribirlos cuando se nos muestra la pantalla de Wifislax esperando que pulsemos enter para continuar. Desde aquí podremos introducir tantos cheatcodes como nos sean necesarios de uno en uno y pulsando enter tras escribirlo.



Opción 2.

Tras pulsar enter en la opción 1 sin meter ningún cheatcode, veremos una pantalla con el título  Wifislax Text mode. En esta pantalla se nos da la opción de arrancar con un único cheatcode, el cual elegiremos mediante las flechas de dirección. Si no pulsamos ninguna opción, el programa arrancará normalmente, al igual que si directamente pulsamos enter sin tocar las flechas de dirección.



El uso específico de estos cheatcodes es el siguiente:

acpi=off Este cheatcode es útil cuando al iniciar nos encontramos con un pantallazo negro. La forma de usarlo es tan simple como seleccionarlo y pulsar enter, y "así para el resto de cheatcodes de esta lista."

noagp Evita la detección de nuestra tarjeta gráfica, y así evitar posibles errores que pueda causarnos en el arranque.

nopcmcia Impide el acceso a la detección del puerto PCMCIA, evitando que pueda reconocernos una tarjeta de ese tipo que nos esté causando algún problema.

nohotplug Este en concreto, lo que hace es inhabilitar la detección de casi todo el hardware de nuestro equipo. Quizás pueda ser el más utilizado, por el simple hecho de que algunos tipos de hardware den cierta guerra. Por eso este cheatcode procede a evitar la detección de los mismos, y ahorrarnos quebraderos de cabeza.

nobluetooth Incapacita los soportes para bluetooth en la live Cd.

A mí, personalmente, no me ha hecho falta usarlos a menudo, pero en el siguiente link encontrareis mucha más información detallada de la mano de HWAGM sobre los cheatcodes, ya que en caso de problemas con el arranque del live Cd, debemos pensar que no solo existen estos cinco que vemos en la imagen, sino que hay otros pocos más que podrían hacernos falta para algún problema en particular. En el supuesto de que así fuese, y nos hiciera falta usar alguno que no esté en la lista, deberemos introducirlos como se menciona en la opción 1.

http://www.wifislax.com/manuales/cheatcode.php

Para continuar sería necesario, familiarizarse con algunos de los términos más usados , ya que de aquí en adelante nos harán falta. He asociado a cada término un color para verlo mejor en la imagen.
Quede claro, que en la terminología wifi, a veces se utilizan términos que puedan parecer en un principio, un tanto agresivos, no obstante es obvio, que cuando nos referimos por ejemplo a la víctima, no significa que vayamos a agredir a nadie, ni que se tenga que aplicar en el sentido mas literal de la palabra. Son solo eso, términos para entendernos mejor.

Aquí va un pequeño listado.

AP = Access point, punto de acceso inalámbrico (router).
MAC = Numeración de cada tarjeta inalámbrica. Viene a ser el D.N.I de cada tarjeta.
Victima = Nuestra red a verificar para su seguridad.
Cliente = PC conectado con la víctima.
STATION = Mac del cliente asociado con la víctima. (Flecha azul en la imagen).
Shell = Ventana
BSSID = Mac de la víctima (Flecha blanca).
ESSID = Nombre de la red. (Flecha verde).
POWER = Potencia de la señal de la red en cuestión. (Flecha roja).
Datas, Iv's = Paquetes específicos con la información de la cifrado.
Beacons = Paquetes. Son simplemente eso, paquetes anuncio, que envía cada red.
Una imagen vale más que mil palabras, están  señalados en colores distintos algunos de los términos  más significativos.




Evidentemente no he señalado todos, pero los que quedan podemos intuirlos claramente. En la ventana superior izquierda podemos identificar los siguientes:
RXQ: Es el valor de la señal limpia, es decir sin ruido, la potencia real de la red.
#/s: Este valor es variable y nos da el porcentaje de las datas que se capturan por segundo. En base a ello podemos calcular aproximadamente cuanto tiempo nos llevará capturar un número determinado de Datas.
Ch: Canal en que emite el Ap.
Mb: Muestra el valor en Megabits de la tarjeta víctima.
Enc: cifrado de la red. Varía entre Open, Wpa, Wep y Wpa2.
CIPHER: Este campo pertenece al cifrado de la red, y comprende los siguientes valores; WEP para redes con cifrado WEP. Valor nulo para redes sin cifrado (OPEN). Y por último los valores CCMP y TKIP para redes con cifrado WPA
AUTH: Autentificación de la red. Existen dos tipos de autenticación Open y Shared. Por lo general el campo perteneciente a este valor suele estar vacio, a excepción de las redes WPA, las cuales mostrarán las siglas PSK tanto si la cifrado es en WPA o WPA2.
Y por último una de las más importantes, tal vez la reina de la casa;
ARP: Estas son las siglas de ADDRESS REQUEST PREDICTION, en castellano es la traducción de nuestra dirección Mac a una Ip para aumentar la velocidad de conexión.
Por supuesto son muchas más las palabras empleadas en la terminología Wifi, pero estás quizás son las que considero necesarias para comenzar con todo esto. A medida que se vaya subiendo el rango de aprendizaje, el nivel de terminología también subirá, pero de momento, no toca. Por tanto, con estas tenemos para empezar.

DISPOSITIVOS WIFI NECESARIOS PARA AUDITAR.

Evidentemente para auditar con Wifislax como su propio nombre indica, deberemos tener al menos un dispositivo Wifi instalado. Esto no es otra cosa que una tarjeta inalámbrica. Se presentan en varios formatos tales como:

- Pci, para ordenadores de sobremesa.
- Usb para estos últimos y también para portátiles.
- Tarjetas PCMCIA y Mini Pci, las dos explícitamente para portátil.
Lo primero a tener en cuenta y razón más que IMPORTANTE, es el chipset que nuestro dispositivo monta, en base a ello podremos auditar con Wifislax o no. Quiero decir con esto, que si el chipset que el dispositivo monta, no es compatible con Wifislax, nada podremos hacer con esa tarjeta. Por eso es más importante el chipset, que la propia marca del dispositivo en cuestión. Queda claro entonces que para auditar con el programa debemos tener en cuenta que no todos los dispositivos Wifi  nos sirven para tal fin. En el siguiente listado vemos los principales chipset para poder auditar con Wifislax, junto con su *interface*.


* ¿Qué es la interface?

La interface son las siglas con las que Wifislax interpreta cada chipset.

LISTADO DE INTERFACES.

Atheros = ath0 Este chipset se puede duplicar, es decir navega y captura. Creando las interfaces ath0 y ath1.
Ralink = ra0
Ralink dispositivo Usb. = rausb0
Prism = eth0
Broadcom = eth0
Zydas = eth0
Realtek = wlan0
Intel 3945, 5500 4965 = wlan0
Intel 2200 = eth1 y rtap0 (Crea dos interfaces también)
En algunos casos como veréis, algunos chipset utilizan la misma interface que otros. Por ello deberemos estar atentos en el caso de que tengamos más de un dispositivo Wifi instalado, y poder así identificar cada uno para su posterior utilización. En tal caso el programa asignará un número distinto a cada interface. Por ejemplo dos dispositivos Zydas los reconocería de esta forma: eth0, eth1,... Dos dispositivos Ralink serían  ra0, ra1. Un dispositivo Broadcom y otro Prism también los reconocería de igual manera, eth0, eth1. Uno con chipset Atheros y otro por ejemplo Usb Ralink, serían ath0 y rausb0. En el caso de que tengamos dos o más dispositivos cuyas siglas sean idénticas, los reconocería numerándolos sucesivamente, por ejemplo eth1, eth2, eth3, etc....

¿COMO SE EL CHIPSET DE MI TARJETA, SI YA ME LA HE COMPRADO?

Esto lo podremos averiguar en Windows a través del programa Everest por ejemplo.
Podéis bajarlo de aquí, es de evaluación, pero cada uno ya sabrá como obtener la versión total.
Debería bastar con ir a la parte izquierda de dicho programa y pinchar en red para abrir el desplegable y ver los dispositivos de red instalados en nuestro PC. Si no somos capaces de verlo, podemos averiguar si nuestra tarjeta es compatible con el mismo Wifislax. Para ello, una vez abierto el programa, abriremos una Shell y en ella probaremos con distintos comandos:

iwconfig
                     
Con este comando averiguaremos la interfaz del dispositivo e información al respecto de los mismos, como pueden ser la intensidad de la señal y el ruido de la misma. En la imagen podemos ver la interfaz de la tarjeta Atheros Pci (ath0), y la interfaz de un dispositivo Usb Ralink (rausb0). Fijaros que el driver de esta última es el RT2500. Lo digo porque luego tendremos que forzarla para usarla con el RT73.



lsusb

Nota:  "LA PRIMERA LETRA ES UNA L MINÚSCULA" NO SE ESCRIBE isusb

Con el comando lsusb, detectaremos explícitamente los dispositivos Wifi Usb conectados al ordenador. En la foto vemos como ha detectado sin ningún problema el dispositivo Ralink.



lspci

Nota:  "LA PRIMERA LETRA ES UNA L MINÚSCULA"
NO SE ESCRIBE ispci

Con el comando lspci, se procede a detectar todos los dispositivos Pci conectados al PC. Evidentemente si nuestra tarjeta es Pci, y compatible con Wifislax, la detectará de inmediato, y podéis ver como ha detectado la Atheros como un controlador Ethernet, que es en definitiva lo que es.



Siempre queda la forma artesanal, quitando el lateral del PC, y después el tornillo para desmontar la tarjeta e inspeccionar que pone. En los Usb quizás lo tengamos más complicado ya que no suele poner nada, pero indagando con el Everest seguro que daremos con ello.

¿Y SI NO TENGO TARJETA, PERO ME LA VOY A COMPRAR?

En la actualidad existen diferentes modelos de tarjetas inalámbricas, modelos de Wifi Usb, diferentes marcas, y como no diferentes chipset. Antes de comprar la tarjeta deberemos asegurarnos que el chipset de la misma es compatible con la auditoría, para ello existen páginas de venta por internet que ya nos anticipan el modelo de chipset que incorporan. Así pues es conveniente fijarse primero en esto y después en la marca. Aquí dejo un link con la lista de tarjetas y chipsets compatibles con el programa. Es de hace un tiempo, pero nos servirá a buen seguro. Este link viene de la mano del amigo Hwagm, y en el mismo, hay incluido al final de la página dos enlaces mas, uno para tarjetas con chipset Atheros de la mano de isabido, y otro más para tarjetas con chipset Ralink, este último, creado por el amigo jmc66d.

http://hwagm.elhacker.net/htm/tarjetas.htm

¿COMO PONGO MI TARJETA EN MODO MONITOR?

Estooooooo, uummm, pero que es modo monitor?

Respondiendo a la segunda pregunta, el modo monitor no es otra cosa que poner nuestro dispositivo en modo escucha, para poder ver que es lo que está pasando delante de nuestras narices pero que no vemos. Es como poner la oreja detrás de una puerta y no hacer ruido mientras nos enteramos de lo que pasa por nuestra  red.
A la primera pregunta, para poner la tarjeta en modo monitor lo haremos desde el mismo programa. Dependiendo del chipset de nuestra tarjeta lo haremos de un modo u otro. Me explico, en mi caso con Atheros, basta con ir a Menú, Wifislax, asistencia chipset, asistencia chipset Atheros, modo monitor. Aplicaremos sobre nuestra interface y listo, ya estamos en modo monitor. Con la Usb Ralink el proceso es similar, solo que en vez de Atheros elijo Ralink forzar Rt73 sobre Rt750 y listo, modo monitor voila. Con una tercera antena, este caso Zydas, el proceso lo hago mediante Shell, escribiendo en la misma Iwconfig para que me la detecte primero  y cuando me da la elección de interfaz, en caso de Zydas eth0, la selecciono y listo. Modo monitor activado.

El proceso puede hacerse también manualmente mediante ventana y comando correspondiente. Para ello, abrimos Shell y escribimos el siguiente comando:

Para Atheros

airmon-ng start wifi0

De esta forma al usar la interface wifi0, lo que hemos hecho es crear una interface ath1 (que es la interface de atheros), y es esta la que se activa en modo monitor.

En la foto vemos ambas formas de poner la tarjeta en modo monitor.



Para Ralink Usb

airmon-ng start rausb0



Observad que en este caso, para la Ralink con driver RT2500 tenemos que forzarla para utilizar el RT73 que es el funciona.

*Ahora veremos como poner en modo monitor un dispositivo Usb con chipset Realtek en Wifislax 3.1 y poder usar airoscript con él. En este caso la tarjeta en si es la siguiente:

GOLD USB 800mW con chipset Realtek.

Una vez estamos ya en Wifislax 3.1, abrimos shell y escribimos para que detecte nuestra tarjeta:

iwconfig

Presionamos enter y de nuevo escribimos:

iwconfig wlan0


Recordad que wlan0 = la interface de Realtek

Tras presionar enter escribimos:

iwconfig wlan0 essid pepe

No tiene por qué ser "pepe", puede ser lo que vosotros queráis, simplemente requiere un nombre, no tiene mayor historia. Vemos la imagen de abajo para que quede más claro.

Esta manera de poner el dispositivo con chipset Realtek, en modo monitor es solo en Wifislax 3.1, ya que en versiones a partir de Wifiway 1.0 ya está solucionado este problema, y no es necesario todo esto.



Tras presionar enter, lo único que deberemos tener en cuenta es el hecho de no cerrar esa ventana, de lo contrario tendremos que volver a repetir el proceso. Pues nada, ya simplemente nos queda abrir airoscript y manos a la obra.

Hay que comentar que para realizar el proceso inverso y deshabilitar el modo monitor, habría que realizar el proceso cambiando "start", por "stop". En una Shell escribir el siguiente comando;

Para Atheros

airmon-ng stop ath1

Recordad que ath1 fue la interface que nos creó anteriormente, en el caso de que tuviéramos mas atheros, habría que hacerlo con el número que tocara; ath1, ath2, ath3, etc...

Para hacerlo mediante el ratón, sería Menú-Wifislax-Asistencia chipset-asistencia chipset Atheros-modo managed.

Para la Ralink, en ventana escribir:

airmon-ng stop rausb0

Para la Realtek:

airmon-ng stop wlan0

Dicho esto, queda claro que  el proceso puede hacerse en ambas formas, mediante el uso del ratón y el uso de comandos.

PROBLEMAS CON BEACONS

Una de las preguntas más frecuente suele ser:  "Me suben los beacons pero no los datas"

¿Qué significa esto?. Esto no es otra cosa que simplemente estamos viendo pasar ante nuestras narices paquetes, pero estos no sirven , ya que solo son paquetes anuncio y por ende no contienen los datos de la clave. Obvia decir que si estamos capturando beacons y ningún data, estamos perdiendo el tiempo. La respuesta a la pregunta me suben los beacons pero no los datas es que sencillamente puede que el Ap no esté navegando, que no estemos asociados a él, o que simplemente esté ahí, sin hacer nada, encendido.  Pueden pasar miles de paquetes por nuestras narices, o mejor dicho por las narices de nuestra tarjeta. Pueden pasar muchos, muchísimos pero si no estamos asociados con la red en cuestión, eso es todo lo que vamos a ver. Solo veremos beacons. Para que el invento funcione, deberemos de asociarnos y capturar lo que verdaderamente nos interesa; datas. Fijaros en la siguiente foto.



Concretamente en la ventana Asociando con: (ESSID), se observa como nos hemos asociado con un cliente (Association sucessful:-), pero al no haber movimiento entre la red y el cliente conectado a esta, no podemos capturar. Lo que necesitamos entonces es generar el tráfico de alguna manera, y así comenzar a provocar las peticiones ARP.

¿SE PUEDE SOLUCIONAR?

Si, para generar tráfico con nuestra propia tarjeta deberemos echar mano del tuto que Heavyloto ya publicó en su día para tal fin, y nosotros vamos a usar ahora.

Una vez empezado todo el proceso y viendo que no suben las datas, debemos fijarnos si hay clientes conectados. En caso afirmativo debemos asociarnos con un cliente y para ello abriremos Shell y escribiremos en la misma:


aireplay-ng -3 –b (Mac víctima) –h (Mac cliente) (las siglas de nuestra interface)


Esto es un A3. Reinyección de petición ARP.

Una vez presionemos enter, veremos como en algunos casos, las datas comienzan a moverse, en ocasiones de una forma escandalosa, pero es lo que queremos no?. Falta aclarar que es posible que tardemos en capturar peticiones ARP, y este factor es mas que  IMPORTANTE, ya que necesitamos de ellas, y si no hay tráfico el ataque no resultará efectivo.
En el caso de que no haya ningún cliente, o aunque lo haya, no exista tráfico entre el AP y el cliente, deberemos generarlo nosotros mismos, utilizando para ello nuestra propia tarjeta. Para esto abrimos Shell, y escribiremos lo siguiente:

aireplay-ng -1 30 –o 1 –e (nombre del Ap) –a (Mac victima) –h (nuestra Mac) (nuestra interface)

Ahora hemos lanzado un A1. Ataque 1. Autentificación falsa

Esto hace que nosotros mismos nos asociemos como un cliente, y solo nos queda repetir el primer ataque, pues ahora ya hay cliente, nosotros mismos.

NO CONSIGO DATAS, Iv's

Haciendo uso de la ,  BIBLIA y apoyándome en  pruebas realizadas, los posibles motivos por los que no se consiguen datas pueden variar. Una de las principales causas suele ser el tema de la cobertura, si no tenemos una cobertura buena (POWER) o esta es insuficiente, difícilmente podremos capturar. Sería como intentar coger algo con la mano. Si lo que queremos coger, está diez centímetros más allá de nuestros dedos, podríamos hacer un esfuerzo y rozarlo, pero no sería tan sencillo como si tuviéramos una mano más grande. Esto se puede solucionar de dos formas, o bien poniendo una antena en condiciones, o acercándonos al AP.
Otra causa, una vez más, podría ser el tráfico de red. Si por algún motivo este se paralizara, la captura también lo hace. Otro motivo puede ser falla en la tarjeta que usamos, pero esto no debería ser problema si hemos optado por un buen chipset, aunque de todas formas nunca estamos exentos de que se nos averíe.


LOS DATAS SE ME PARAN A CIERTA CANTIDAD


La respuesta a esta pregunta es muy simple y tiene que ver con lo anterior. Es decir si hay tráfico de red entre el AP y un cliente entonces es cuando podemos capturar peticiones ARP y  datas, pero OJO, en el momento que dicho tráfico se para es cuando también se para la captura y por tanto las datas también se paran. Esto se soluciona de la misma forma que hemos hecho hasta ahora, es decir asociándonos con el cliente. Si el cliente desapareciese, entonces obviamente tendríamos que generarlo nosotros, para ello, una vez más, aplicaríamos el ataque citado anteriormente.

NO CONSIGO INYECTAR

Para inyectar necesitamos una vez más peticiones ARP. Para generar peticiones, deberemos seguir los pasos leídos antes, pues al asociarse con un cliente o siendo uno mismo, empezaremos a capturar peticiones. Si no hay peticiones ARP, es la pescadilla que se muerde la cola, porque no tenemos nada, y por tanto la inyección no funciona. Nos fijamos para verlo más claro en la imagen de abajo, en la última línea, vemos como hay 0 peticiones del ARP. La solución como se puede preveer pasa por repetir los pasos citados antes y volver a asociarse con un cliente o generarlo, si no lo hubiese.

Nota: Esto no es una ciencia exacta, y puede que tardemos 1 minuto, o 1 mes en capturar la primera petición ARP, por tanto el uso de Wifislax conlleva la práctica de la paciencia y la persistencia.





Ahora nos fijamos en la siguiente imagen, donde las peticiones ARP ya están disparadas, (nada que ver con la imagen anterior, fijaros bien) además observamos por curiosidad la flecha blanca que señala a las datas, que ya han sobrepasado las 250.000, y en la ventana de Aircracking que ya está buscando la key.




En la última foto vemos como ya ha soltado la key con poco más de 540.000 datas, iv's, (ventana derecha aircracking). Volviéndonos a fijar ahora en la ventana: "capturando datos del canal 2" , fijaros por curiosidad, la cantidad que lleva capturada (flecha blanca). Pero lo que de verdad importa es empezar a capturar peticiones ARP, que ahora andan por algo más de los 8 millones.



PROBLEMAS CON LA CANTIDAD DE DATAS PARA RESOLVER KEY

Este es otro de los fenómenos que a menudo mas se repite. Hay que tener en cuenta de primeras, que no siempre todos las datas contienen la información necesaria como para que aircrack nos dé la clave con una cantidad fija de los mismos. Esto siempre va a variar según la información contenida, y según el tipo de clave, por ejemplo una clave en  104 bits es posible que requiera 1.000.000 de Iv's o incluso más. Por otro lado si las datas que hemos capturados no contienen información variada y muchos son repetitivos o negativos, lo que ocurrirá es que necesitaremos capturar mas. Así que, que no nos pille de sorpresa esto, ni tampoco nos lleve a la desesperación, simplemente pasa. En la imagen de abajo se muestra la ventana de aircracking diciéndonos que algo ha fallado. La solución pasa por seguir capturando datas y continuar con el proceso tal cual, volviendo a abrir aircrack cuando lo estimemos oportuno.



¿ENTONCES CUANTOS DATAS HACEN FALTA PARA QUE AIRCRACK DE LA CLAVE?

Es más de lo mismo, pero voy a intentar mostrarlo con imágenes para que quede más claro. En esta captura vemos como he intentado lanzar aircracking con casi 600.000 datas (una cantidad considerable ¿no?), y el proceso ha fallado.




¡!! PERO SI YA TENGO 250000 ¡¡¡ ¿¿¿Y NO ME LA DA????


Y qué???, no importa. Personalmente para mi 250.000 es una cantidad media que me ha dado muy buenos resultados, pero esto no quiere decir que siempre tenga que ser así. Hubo ocasiones que soltó la key con 150.000, otras con 14.000, y otras, como se ve en las imágenes, han hecho falta más de 600.000.
La imagen de abajo es la consecución de la anterior. Ha sido necesario capturar 400.000 más para este fin.



Como se ve, todo es siempre cuestión de paciencia y persistencia.
¿Entonces, es imposible sacar la key con cantidades menores?
Pues no, no es imposible. Eso sí, hay que tener en cuenta que una clave en 104 bits, será fácil que nos haga falta capturar mas datas, que otra más corta. Hay métodos y formas para lanzar el aircrack. El kit de la cuestión está en aprender a manejar de una forma correcta este asunto. Esto se consigue con la lectura y el estudio de buenos manuales que ya andan por Elhacker.net hace tiempo. En ellos se explica de forma muy detallada el uso y manejo de esta cuestión. Como detalle apuntaré que el aircrack-ptw es bastante más eficaz y rápido que el aircrack-ng. No voy a extenderme mas sobre este asunto, tan solo veremos de una forma rápida como proceder. Vemos unas capturas.



Como se aprecia en la ventana de captura (izquierda superior), las datas ni siquiera llegan a 21.000 y el aircracking ha resuelto la key con tan solo 19.488 paquetes. El proceso es simple pero ha de ser ejecutado correctamente. Para ello explicaré el orden que se ha seguido.
Lo primero, a estas alturas ya debería ser obvio. Es decir, poner tarjeta en modo monitor, escaneo, etc., etc. Una vez capturando, procederemos a lanzar el aircrack, abriendo para ello una Shell, y escribiendo el comando

aircrack-ptw

Dejamos un espacio tras este comando, y posteriormente arrastraremos la captura del AP correspondiente. La captura deberemos buscarla siguiendo la ruta:
/root/swireless/airoscript



La arrastraremos desde esa ventana hasta la Shell donde tenemos el comando aircrack-ptw esperándonos.



Con esto conseguimos que aircrack empiece a trabajar desde ya, pero eso no quiere decir que tenga que resolverla con la cantidad que en ese momento tiene capturada, ver sino en la imagen siguiente como se han realizado varios intentos hasta que dió resultado.



Como se puede apreciar en este caso concreto, el primer intento fue con 14.141 paquetes y este erró, el segundo con 16.067 también falló, el tercero ni siquiera se molestó, y el cuarto fue el definitivo. Para ir cerrando este tema, comentaros que el proceso puede efectuarse con distintas fórmulas como el comando aircrack-ptw y también con aircrack-ng. Además hay que comentar que existe una tercera opción que sería con el comando aircrack-ng -z, esta última opción es bastante interesante, ya que nos permite dejar nuestro pc capturando, y el solito volverá a intentarlo cada 5.000 datas. Esta opción, la cual tiene una presentación mas "bonita" tiene por contra que en portátiles puede darnos problemas de calentamiento. Realizar vuestras propias pruebas al respecto, sin olvidaros también que aircrack puede lanzarse también desde airoscript sin necesidad de hacerlo mediante Shell y comandos. Está explicado en el manual básico para Wifislax, y recordad que la cantidad de datas es una ciencia casi inexacta que en ocasiones nos llevarán minutos, y otras se nos irán las horas, días o vete tú a saber cuánto.

Esta guía no representa un manual en sí, sino más bien es el apoyo que completa el manual básico para Wifislax. Por eso hago hincapié en que deben de leerse otros muchos tutoriales y manuales que son los que en definitiva nos llevan a este punto concreto en el que nos encontramos hoy. Por eso apunto algunos enlaces que nos serán de mucha ayuda y no son solo recomendables sino más bien obligatorios para poder llegar a entender las cosas de pleno.

La Biblia, manual por excelencia y obligatorio:

LA BIBLIA VERSION ORIGINAL AIRCRACK POR DEVINE

LA BIBLIA VERSION ACTUALIZADA POR MISTERX

Otros enlaces muy interesantes y prácticamente obligatorios también, son estos:

COMANDOS LINUX

DEFINICIONES

AIRCRACK-NG

ATAQUES WIFISLAX

GUIA NESTUMBLER Nestumbler es el programa por excelencia en detección de redes y entre otras cosas nos muestra la potencia de la señal, el ruido, mac del ap, essid, canales, etc. En definitiva es obligatorio cuando escaneamos desde Windows, ya que en base a ello, tendremos una mejor referencia a la hora de usar Wifislax. (No olvidemos que Wifislax corre bajo Linux). Podremos encontrarlo fácilmente en la red.

Mi especial agradecimiento al amigo KARR, por sus aportes, su tiempo y su paciencia.

Sin más preámbulos, vamos a pasar al siguiente punto de este tutorial.


2.- INTRODUCCION A LA SEGURIDAD WEP. Por Heavyloto.


DIFERENTES TIPOS DE ATAQUES POR COMANDOS EN WIFISLAX O WIFIWAY, EN ESTE CASO USAREMOS WIFIWAY 1.0 FINAL.


-  Ataque 0: Desauntentificación
-  Ataque 1: Autentificación falsa
-  Ataque 2: Selección interactiva del paquete a enviar
-  Ataque 3: Reinyección de petición ARP
-  Ataque 4: El "chopchop" de KoreK (predicción de CRC)


En  primer lugar decir, que este manual/tutorial, está creado para, comprobar la vulnerabilidad de nuestras redes, y no para fines maliciosos o delictivos, siendo de cada uno la responsabilidad del uso que se le dé.
Una vez ya hemos abierto el Cd live (Wifislax, Wifiway), abrimos una Shell o consola, en la cual comprobamos la interface de nuestra tarjeta, en este caso es una Alfa Usb 500mv, con chipset Realtek 8187L y ejecutamos el siguiente comando,

iwconfig



Aquí nos dirá, si nuestra tarjeta es reconocida por el sistema o no lo es. Bien sabiendo ya la interface de nuestra tarjeta que puede ser, wlan0, wlan1, ath0, etc, etc, dependiendo del chipset claro está. En este caso es wlan0, (puesto que es Realtek), ejecutamos el airodump-ng, para abrir el escáner de redes en la misma Shell.

airodump-ng wlan0



Una vez abierto el escáner de redes como veis en la foto, nos muestra todas las redes a nuestro alcance. Seleccionamos nuestra red, de la cual debemos saber, bssid (Mac del AP), ch (canal donde emite), essid (nombre del AP), vamos a crear un archivo donde se guardaran nuestras capturas, paramos el escáner, con Ctrl+c, y escribimos en la misma  Shell:

airodump-ng -c ch -–bssid (Mac del AP) -w (nombre archivo) wlan0

Nota: de aquí en adelante tomaremos como referencia el bssid aa:bb:cc:dd:ee:ff de una forma simbólica, entendemos que cada uno pondrá la que le corresponda en su caso.

Por ejemplo el canal es, el 6 y la bssid es, aa:bb:cc:dd:ee:ff (se entiende que habremos de poner los reales), el nombre del archivo lo inventamos, por ejemplo, lan, quedaría así;

airodump-ng –c 6 -–bssid aa:bb:cc:dd:ee:ff –w lan  wlan0



Una vez hemos ejecutado esto nos quedara en pantalla nuestro AP, donde veremos si hay cliente, que aparecerá debajo de STATION. Si no lo hay, en otra Shell, sin cerrar esta, ejecutamos el siguiente comando que pertenece al Ataque 1.

aireplay-ng -1 30 -o 1 -e (nombre bssid) -a aa:bb:cc:dd:ee:ff -h  (Mac de nuestra tarjeta) wlan0

Bien, suponiendo que nuestro AP se llama PERICO, y la Mac de nuestra tarjeta es 00:11:22:33:44:55, quedaría así:

aireplay-ng  -1 30 -o 1 -e PERICO -a aa:bb:cc:dd:ee:ff -h  00:11:22:33:44:55 wlan0

En el caso de que se llame PERICO DE LOS PALOTES, pondremos el nombre entre comillas, ya que cuando el essid lleva espacios se hace de esta forma. Ejemplo:

aireplay-ng  -1 30 -o 1 -e "PERICO DE LOS PALOTES" -a aa:bb:cc:dd:ee:ff  -h  00:11:22:33:44:55 wlan0




Ahora saldrá la Mac de nuestra tarjeta debajo de STATION, (en algunas ocasiones).

Como ya sabemos, estamos haciendo una asociación falsa  a nuestro AP, que si hemos tenido éxito y estamos asociados, debajo de AUTH saldrá OPN, y saldrá la Mac de nuestra tarjeta debajo de STATION, (esta Shell podemos pararla) en otra Shell ejecutamos el Ataque 3.

aireplay-ng -3 -b  aa:bb:cc:dd:ee:ff -h  00:11:22:33:44:55 wlan0



Si tenemos suerte y conseguimos inyectar, estarán subiendo las datas al mismo tiempo más o menos que las peticiones ARP, que a la vez, se estarán guardando en el archivo que creamos al principio. Una vez hayamos superado las 50.000  datas, (mas o menos, podemos hacerlo antes, pero es aconsejable a partir de ahí), ejecutamos aircrack, en otra Shell, de la siguiente manera.
Como nosotros lo habíamos llamado lan, lo haremos así:

Citaraircrack-ptw lan-01.cap



Y hay esta nuestra clave, (foto de arriba). En este caso, hemos necesitado 44.092 datas y hemos capturado 39.921 paquetes

Ahora bien, si resulta que ya tenemos un cliente (siguiente foto, donde apunta la flecha) y su Mac es aa:bb:cc:dd:ee:ff, aplicamos directamente el Ataque 3.



Ataque 3

aireplay-ng -3 -b  Mac víctima -h  aa:bb:cc:dd:ee:ff interface

Asociándonos de esta manera con la Mac del cliente, en este caso aa:bb:cc:dd:ee:ff



Donde, ocurrirá también lo mencionado anteriormente, y la misma operación, en alcanzar datas suficientes y capturar los paquetes necesarios, igual que antes, ejecutamos;

aircrack-ptw (nombre archivo)-01.cap



Que con un poquito de suerte nos dirá la clave, que ente caso, hemos necesitado, 44.351 datas y 34.173 paquetes. (Foto de arriba, ventana pequeña).

Ahora, vamos al momento en que nuestro AP a pesar de estar correctamente asociado, o tener cliente, no conseguimos inyectar, por que las datas no suben o suben muy despacio, y no hay manera de enganchar una para la inyección. Utilizaremos el Ataque 2, o bien después de un Ataque 1, o un Ataque 3, según correspondiera, si hubiera cliente o no, sería el siguiente comando.

aireplay-ng -2 –p 0841 –c ff:ff:ff:ff:ff:ff –b (bssid del Ap) –h (nuestra bssid o la del cliente) wlan0

(A estas alturas ya sabemos asociarnos, ¿verdad?)
 ; :laugh: ;)



Como estamos asociados con éxito, utilizamos  nuestra Mac o bssid, (la real, no la simbólica que en este caso es 00:11:22:33:44:55) :-\

aireplay-ng -2 –p 0841 –c ff:ff:ff:ff:ff:ff –b aa:bb:cc:dd:ee:ff -h  00:11:22:33:44:55 wlan0


Nota: En este ataque si que hay que poner tal cual ff:ff:ff:ff:ff:ff, ya que así lo requiere el propio ataque.



Aquí estamos enviando paquetes, a la espera de que suba una data que nos facilite la inyección, a veces es con la primera que sube pero otras no, por lo que repetimos el ataque, hasta que nos funcione, aquí hemos tenido suerte y lo ha hecho con la primera como veis en la siguiente imagen.



Ahora nos preguntará si queremos utilizar los paquetes, simplemente le decimos, yes.



A partir de ahora empezaremos a capturar, si tenemos suerte a una velocidad razonable, fijaros sino en las tres flechas que marco a continuación.



Cuando utilicemos este ataque, debemos tener en cuenta que vamos a necesitar 500.000, Iv's, datas, para obtener la clave, podemos atacar antes, a veces funciona pero esa es la cantidad recomendable, aquí aircrack, lo utilizamos sin el –ptw, quedaría así.

aircrack lan-01.cap



Como veis, nos ha dado la clave y su conversión a ASCII

Para terminar vamos a ver de una forma breve el famoso Chop Chop de Korek.

ATAQUE  4 : El "chopchop" de KoreK (predicción de CRC)


Podria explicar este ataque y liarlo como ya está mas que liado por la red, pero hay un compañero, (manel) del foro hermano Seguridad Wireless, que lo hace de una forma sencilla y comprensible, en la linea en que se basa este tutorial. Con su permiso hemos añadido, su post en Seguridad Wireless

http://foro.seguridadwireless.net/manuales-de-wifislax-wifiway/chop-chop-con-bosslanalfa-a1-a4-a2-sin-clientes/

Y esto es todo lo que puedo ofrecer, a base de comandos en Shell, por supuesto hay varias formas de interpretar los comandos, aquí hemos utilizado una de ellas, espero que este clarito, y os sirva de ayuda en la seguridad de vuestras redes.


                                                                                     WLANDECRYPTER


Ahora vamos a comprobar la vulnerabilidad de las redes WLAN_XX de telefónica. El Wlandecrypter es un pequeño generador de diccionarios para este tipo de redes, el cual se incluye en la distro Wifiway 1.0 final. El funcionamiento de Wlandecrypter es muy sencillo y básico. Lo único, que no poco, jeje, que hace este programa es generar un diccionario con las posibles claves WEP de las redes WLAN_XX. Mas abajo lo generaremos para verlo mas claro, lo marco con tres asteriscos para que sepamos en que momento lo estamos creando y no nos perdamos.

Yo voy hacer una demostración de su sencillez de uso, ya que con pocos paquetes, nos dará la clave en pocos segundos. En esta ocasión voy a usar esta tarjeta; GOLD USB Wireless 54Mbps 802.11g Chipset Zydas.

Bien, abrimos airodump-ng para visualizar las redes como ya sabemos, en esta tarjeta la interface también es wlan0, con lo cual escribimos:

airodump-ng wlan0

Aquí seleccionamos, nuestra WLAN_XX para capturar paquetes, de la siguiente manera y teniendo en cuenta que vamos a crear el archivo que llamaremos lan, y la bssid del AP es 00:11:22:33:44:55

airodump-ng –bssid 00:11:22:33:44:55 –w lan wlan0


Y quedará de la siguiente manera:



*** Ahora vamos a generar un diccionario con las posibles claves, usando este comando para Wlandecrypter.


wlandecrypter 00:11:22:33:44:55 WLAN_XX diccionario




Hemos generado un fichero, llamado diccionario que contiene las posibles claves, a continuación ejecutamos aircrack-ng añadiendo el diccionario creado y nuestro archivo.


aircrack-ng –w diccionario lan-01.cap




Ya tenemos nuestro diccionario trabajando. En pocos segundos con un poco de suerte...



...ya tenemos nuestra clave, con muy poquitos paquetes, en un plis plas, ¿sencillo verdad?, pues esta es la seguridad que tenemos en nuestra WLAN_XX, con cifrado WEP.

Wlandecrypter no es el único programa para redes concretas, entre otros tenemos; Jazzteldecrypter, Decsagem, Netgear, y otros cuantos mas que se están gestando para aparecer en un futuro no muy lejano. Cuando lo veamos oportuno iremos actualizóndonos en todo este terreno. De momento aquí os he dejado parte de nuestro trabajo, que como comenté antes iremos extendiendo con el tiempo.

Piensa, cree, sueña y atrévete
Wifislax Básico
Wifislax Avanzado

rockeropasiempre

#1
3.- INTRODUCCIÓN A LA SEGURIDAD WPA. Por Zydas.

ATAQUES   WPA  (by Zydas)

Para que la cosa no se complique a la hora de instalar programas en Linux nos basaremos en los programas que trae por defecto Wifiway 1.0 final, aunque algunos programas también se encuentran en Windows, iremos mostrando los enlaces.

1.- ¿Qué diferencia existe entre WEP Y WPA?

En ambos sistemas de cifrado los datos están cifrados para que los usuarios que no conozcan la clave no puedan descifrarlos y por lo tanto no puedan entrar en la red.
En la cifrado WEP, la clave se encuentra en cada uno de los paquetes que se transmiten entre el PC y el router, mientras que en la WPA la clave solo aparece en el momento de la conexión. En la WPA una vez se haya autentificado el usuario con el router , la clave ya no aparece en los datos transmitidos.
Para conseguir  una clave WEP es necesario obtener la mayor cantidad posible de datas porque así tenemos mayor probabilidad  de encontrar la clave, no ocurre lo mismo para las WPA.

2.- Capturar un handshake (Clave WPA cifrada).

La clave WPA cifrada se llama handshake, entonces, para poder obtener la clave, primero debemos capturar un handshake,  es decir el paquete o data que contiene la clave WPA en si, y se transmite  en el momento de conexión entre el usuario legítimo y el router. Solo este paquete contiene la clave.
Primero tenemos que escanear con airodump para encontrar la red con clave Wpa, para ello abrimos shell y lanzamos airodump-ng.

airodump-ng <interface>

* Ya nos quedó claro como abrir un shell, que es y como identificar la interface de nuestro dispositivo en la sección de Wifislax de Rockeropasiempre,.


* Nos tiene que aparecer alguna red con clave Wpa lógicamente para poder continuar.




Tenemos una red con clave WPA  llamada  "wpa_psk" (imagen de arriba) que usaremos como ejemplo para el ataque. Para ello volvemos a lanzar airodump pero con los filtros para poder capturar solamente esa red.

airodump-ng  -c  <canal>  --bssid <mac ap> -w <archivo.cap>  <interface>



Como hemos comentado antes, la clave WPA solo se transmite en el momento de la conexión y si tenemos que esperar a que  un cliente legítimo se conecte y transmita el handshake cuando nosotros estemos preparados para su captura nos podemos hacer viejos.  Así que nos las vamos a ingeniar para que el cliente legítimo se caiga de su red y de forma automática se vuelva a conectar, nosotros estaremos esperando ese preciado paquete que contiene el handshake.
Vamos ahora a capturar nuestro handshake, para ello lanzamos un A0  en el canal de nuestro cliente,  para ello lanzamos el ataque A0 30 veces. (Esto no quiere decir abrir 30 ventanas  :xD :xD)

aireplay-ng -0 30 –a <mac ap> -c <mac cliente> <interface>




*SI NO HAY CLIENTE CONECTADO NO HAY HANDSHAKE

Cuando haya terminado y sin parar el airodump-ng lanzamos aircrack-ng para ver si nuestra señal es suficientemente fuerte para hacer caer de la red a nuestro cliente legítimo y hemos capturado el handshake. Usaremos el siguiente código.

aircrack-ng achive-01.cap



Si no aparece el mensaje "WPA (1 handshake)" (imagen de arriba) es que hemos fracasado y debemos repetir el A0 o también aumentar nuestro nivel de señal para que  nuestra señal sea más fuerte que la del cliente y poder desconectarlo *(DoS).

*(DoS) Ataque DoS. Denegación de servicio.

Si nos falla el A0 para obtener el handshake, probaremos lanzando el programa mdk3 incluido también en wifiway 1.0. En este manual utilizaremos los parámetros por defecto, pero para aquellos que quieran realizar sus propias pruebas aquí os dejo las opciones.

mdk3 <interface> m  –t  <mac ap>

Estas son las opciones para wpa_tkip:


m        -Michael shutdown exploitation (TKIP)
           Cancels all traffic continuously
          -t <bssid>
           Set Mac address of target AP
          -w <seconds>
           Seconds between bursts (Default: 10)
          -n <ppb>
           Set packets per burst (Default: 70)
          -s <pps>
           Set speed (Default: 400)





Con este ataque mdk3 se  suprime todo el trafico entre el AP y el cliente de forma continua, hasta que anulemos el ataque  con Ctrl+c,  y por tanto haciendo que el cliente legítimo se desconecte. Este ataque se debe estar ejecutando durante unos segundos (entre 10 y 40)  para asegurar DoS (denegación de servicio).
Una vez lanzado mdk3 volvemos a comprobar con aircrack si hemos obtenido el handshake, si no es así, tendremos que aumentar nuestro nivel de señal, para ello podemos usar antenas de mayor ganancia, acercarnos al router, usar amplificadores, etc.

SI NO HAY HANDSHAKE NO HAY CLAVE WPA.  

YA TENGO UN HANDSHAKE  ---  ATAQUE POR DICCIONARIO


1.- Usando aircrack-ng

Una vez tengamos un handshake capturado en un archivo cap., lo que haremos es lanzar aircrack-ng con la opción "–w " para archivos cap.  y ataque por diccionario, al igual que se usa en Wlandecrypter, para ello lanzaremos el siguiente comando:

aircrack-ng  –w <diccionario.lst>  < archivo-01.cap >

Después de que termine  aircrack-ng  y comparar cada una de las palabras con el handshake del achivo-01.cap,  nos mostrará el siguiente mensaje, (si la clave ha sido encontrada).




2.- Usando Cowpattyp.


Existe también Cowpatty plus (Cowtattyp) con más opciones, pero nosotros nos basaremos en Cowpatty.
Para aquellos que usan Windows  aquí tienen Cowpatty para Windows.
Este programa puede trabajar de dos formas, una forma de trabajar es igual que aircrack-ng, de forma que le damos como entradas  el diccionario, el archivo cap. y el essid.

cowpatty –r  <archivo-01.cap >  –f  <diccionario plano> -s  <essid>

Otra forma es creando un rainbow table con hash-1 y el diccionario. Este tipo de ataque  es mucho más rápido que aircrack-ng, pero tiene el inconveniente de que primero  debemos crear un diccionario pre computado (rainbow table) y sólo es válido para la misma essid, es decir que si tenemos una red con diferente nombre (diferente essid) no podemos usar el mismo rainbow table, debemos crear otro con el nuevo essid, aunque el diccionario sea el mismo. Esto es debido  a que la clave WPA está "mezclada" con el nombre de la red (essid) y por lo tanto sólo es válido para ese nombre de red.

La ventaja de este sistema es, que existen redes con el mismo essid como por ejemplo TELE2, y por lo tanto nos valdría el mismo rainbow table y la obtención de la clave WPA se haría en unos pocos minutos (si ese diccionario es bueno y contiene la clave).

Links rainbow table para tele2;


http://www.megaupload.com/?d=JC9BDMZF
http://www.megaupload.com/?d=V91T1SMB  parte 1
http://www.megaupload.com/?d=VRNWO2DH parte 2

http://www.megaupload.com/?d=QVWHJZDB parte 3
http://www.megaupload.com/?d=3Z3FCIW6 parte 4
http://www.megaupload.com/?d=N7YF42E5 parte 5

Juntad  los archivos (5 últimos links) con cat y descomprimir con lzma

http://megaupload.com/?d=I7DIGKLT
http://megaupload.com/?d=R0VODZE0
http://www.megaupload.com/?d=UQCUYVJ6

Dejando las redes tele2  aparte,  para poder usar Cowpatty con rainbow table es necesario pre computar nuestro diccionario con el essid de la red, para ello utilizaremos la utilidad genpmk que incluye Cowpatty.  Vamos ahora  a generar nuestro rainbow table para nuestro diccionario plano y nuestro essid.

genmpk -f <diccionario plano> -d <diccionario pre computado>  -s <essid>

-f Archivo en texto plano (diccionario)

-d Archivo de salida, el archivo nuevo que se creará para usar con Cowpatty (rainbow table)

-s essid (nombre de la red)



Con este comando hemos creado un diccionario pre computado (rainbow) llamado hash-1wpa , para después utilizarlo con el Cowpatty,  dependiendo del tamaño del diccionario puede durar horas.  Este es el mismo procedimiento que utiliza el programa wpa_passphrase (incluido en Wifiway) pero con diccionario plano y almacenando el resultado en un rainbow table.
Cuando termine genpmk-ng lanzaremos el Cowpatty que es mucho más rápido que aircrack-ng ya que parte del trabajo lo hemos hecho con genpmk-ng.

cowpatty –r  <archive-01.cap > –d <rainbow table> -s  <essid>



Una vez que haya terminado, si la clave está en rainbow table (diccionario pre computado) tendremos la clave.
Si nuestra clave no se encuentra en el diccionario, entonces tendremos que probar con otros diccionarios, aquí tenéis unos cuantos links para que tengáis vuestro PC ocupado.

Links de diccionarios planos:


http://www.megaupload.com/?d=Y24D0C72

http://www.megaupload.com/?d=SH49LXYW
http://www.megaupload.com/?d=85ZFE6M0
http://www.megaupload.com/?d=Y7H5CKHJ

PROBLEMAS CON DICCIONARIOS (RETORNO DE CARRO).

Dependiendo el sistema operativo y programa que genere el diccionario de texto plano, nos puede dar problemas con el retorno de carro <cr>, es decir, que la clave se encuentre en el diccionario pero nuestro programa (aircrack-ng, cowpatty) no la encuentra. Ello es debido a que el retorno de carro lo incluye dentro de la palabra. Windows cuando termina  una línea añade retorno de carro (cr)  y fin de línea (lf), en Unix solamente se añade fin de línea. El programa dos2unix lo que hace es eliminar el retorno de carro en cada una de las palabras del diccionario.

Ejemplo:

Diccionario Windows------------------------Diccionario unix

12345678<cr><lf>                                       12345678<lf>
87654321<cr><lf>                                       87654321<lf>
Asdfghjk<cr><lf>                                        asdfghjk<lf>


Aquí tenéis unos conversores de texto plano de un sistema operativo a otro.

http://www.gammon.com.au/files/pennmush/unix2dos.zip - 19K - program to convert unix text files to DOS format
http://www.gammon.com.au/files/pennmush/dos2unix.zip - 19K - program to convert DOS text files to Unix format
http://www.gammon.com.au/files/pennmush/mac2unix.zip - 19K - program to convert Macintosh text files to Unix format
http://www.gammon.com.au/files/pennmush/unix2mac.zip - 19K - program to convert Unix text files to Macintosh format
http://www.gammon.com.au/files/pennmush/unix2dos.c - 7K - source code used to compile above 4 conversion programs


YA TENGO UNA HANDSHAKE --- ATAQUE POR FUERZA BRUTA JOHNTHERIPPER.

Este ataque consiste en generar un diccionario secuencial y almacenarlo o mandárselo directamente a aircrack-ng. Como normalmente las claves WPA admiten como mínimo 8 caracteres y como máximo 64,  es inútil usar diccionarios con palabras inferiores a 8 caracteres. Si tenemos la suerte de que  la clave sea de  8 caracteres, pues bien, son 324.293.000.000.000.000.000.000 combinaciones, por lo que podemos tardar sólo unos pocos años.
Por ejemplo cogiendo las letras de a-z sin contar ñ y cogiendo solo minúsculas serían 26 letras, mas 10 números en tota,l 36 caracteres y la clave WPA que elegimos  es de 15 caracteres.

abcdefghijklmnopqrstuvwxyz0123456789  ---> 36 caracteres


36 caracteres=221.073.919.720.733.357.899.776 palabras

Suponiendo que el programa, y nuestro ordenador sea capaz de analizar 200.000  palabras por segundo (cosa que dudo mucho),  pues tardaría  3.505.104.000 años (jóderrrrrrr).
Para el ataque por fuerza bruta usaremos el programa Johntheripper, como NO  lo tenemos en Wifiway tenemos  que instalado,  para ello lanzamos lo siguientes comandos:

wget http://www.openwall.com/john/f/john-1.7.0.2.tar.gz
tar -xzvf john-1.7.0.2.tar.gz
cd john-1.7.0.2/src
make clean generic
cd ..
cd run
cp john /usr/local/bin/


Si todo ha salido bien podremos lanzar John.



Para aquellos que usáis Windows aquí tenéis Johntheripper para Windows, es posible que vuestro antivirus lo confunda con un virus al igual que ocurre con cain.

No voy a ser muy exhaustivo con este ataque ya que es muy lento  y muy poco efectivo en claves WPA pero es un clásico del hack.
Para lanzar John con diccionario usar este comando:

john --stdout --wordlist=<diccionario> --rules | aircrack-ng –e <essid> -a 2 -w – <archive.cap>


Para usar John como  fuerza bruta  y que tome todas las combinaciones, usar este comando:

John  -incremental=all | aircrack-ng.exe –e <essid> -a 2 -w – <archivo.cap>

YA TENGO UNA HANDSHAKE --- ATAQUE POR FUERZA BRUTA CON DISTRIBUTED PASSWORD RECOVERY


Este programa está diseñado especialmente para descubrir claves por fuerza bruta y trabaja bajo Windows, no voy a poner el link de descarga ya que es un programa de pago. Distributed password recovery puede trabajar con la CPU de nuestro PC o con la GPU (procesador de la tarjeta gráfica) de tarjetas  Nvidia. Para poder trabajar con la GPU es necesario tener los últimos drivers actualizados, como yo no tengo Nvidia sólo explicaré para trabajar con la CPU.
Este programa parece ser el Tendón de Aquiles de las WPA porque aunque trabaje por fuerza bruta es capar de utilizar las GPU que son  140 veces más rápidas que las CPU.

Lo primero que debemos hacer es ejecutar el programa Distributed Agent si no está ejecutándose, y lo mantendremos minimizado  ya que éste  se encargará del control de la CPU, después lanzaremos Distributed password recovery  y abriremos nuestro archivo cap. con el handshake.



Una vez abierto el archivo cap. nos aparecerá una ventana como la de abajo, en donde el programa reconoce que el archivo cap.  contiene una clave WPA, y nos muestra el nombre de la red, la mac del AP y la mac del cliente.



Ahora tendremos que elegir la longitud de caracteres, y que caracteres vamos a utilizar para la fuerza bruta. Normalmente se elegirá el abecedario en minúsculas y los números del 0 al 9 con una longitud de la clave de 8 caracteres como mínimo y un máximo que puede ser desde 8 a 64, lo normal sería 9 o 10.



Cuando el proceso haya terminado, clicaremos en "result" para conocer la clave WPA, este proceso puede tardar desde horas hasta meses o incluso años, dependiendo de la velocidad de trabajo, longitud de la clave y cantidad de caracteres a usar.



ATAQUE CON TKIPTUN-NG

Para aquellos que usáis Windows aquí tenéis un link con la  suite arcircrack-ng, incluido tkiptun-ng para Windows. Para  los que usen Wifiway 1.0 final no hace falta instalarlo, ya está incluido en el cd.

Esta ataque está desarrollado por los chicos de aircrack-ng y todavía no está totalmente desarrollado  sobre todo la última parte, por lo que NO va ha encontrar la clave WPA. Este programa tiene sus limitaciones con respecto a las tarjetas  soportadas.

Las limitaciones son las siguientes:

-Funciona  con RT73 y RTL8187L (posiblemente con otros drivers también).

-No es compatible con los drivers madwifi-ng.

-No está totalmente terminado, sobre todo la última parte.

-Tanto el cliente como el AP tienen que tener activado el QoS (calidad de servicio) o en algunos AP se les llama WMM (Wifi multimedia).

-El cliente debe estar conectado al AP en todo el proceso que dura como mínimo 20 minutos (aunque pueden tardar varias horas).

-El AP debe  estar configurado en modo WPA_PSK.

Este programa tiene varias fases, La primera consiste en obtener el handshake con la desautentificación del cliente, una vez conseguido el handshake  y un ARP válido se  inyectan los paquetes. Yo no he conseguido terminar el proceso y tampoco sé muy bien como funciona.

Para lanzar tkiptun-ng.

tkiptun-ng –a <maca p> -h <mac cliente> -m 80 –n  100 <interface>




                                                                             ¡Esto es todo amigos!        
                                 
                                                                                           
                                                                                            By Zydas

Hasta aquí nuestros conocimientos y fuerza de voluntad. Nos ha llevado un largo periodo de tiempo recopilar, estudiar, e intercambiar opiniones para llegar hasta este punto. Esperamos que este manual sea de vuestro agrado y lo utilicéis para vuestras pruebas de una forma correcta.
Una vez mas dar las gracias al foro de Elhacker.net por la oportunidad de plasmar nuestras propias experiencias, y poder compartir todas las de los usuarios entre si.

                                                  

Rockeropasiempre
            Heaviloto                                                          Zydas


Nota: Si quereis decir lo que os ha parecido, críticas  >:(, mejoras, erratas, felicitaciones   :silbar:  ;-), sugerencias, o cualquier otra cosa, abrir post para ello. Se trata de mantener el foro ordenado y hacer de esta guía algo util para todos.

Saludos.

Piensa, cree, sueña y atrévete
Wifislax Básico
Wifislax Avanzado