ATAQUE CHOPCHOP DE KoreK. Ataque mediante predicción de CRC. Por o2T7f6j2
Esto es sólo una extensión de la documentación del aircrack
, sólo un ejemplo para demostrar que el ataque de KoreK es ciertamente muy efectivo con algunos Puntos de Acceso o redes inalámbricas en las que se cumplen algunas condiciones especiales.
Muchas veces podemos ver cómo capturando el tráfico de un punto de acceso con nuestra tarjeta en modo Monitor vemos que éste suelta un paquete encriptado de vez en cuando.
Normalmente se trata de lo que llamamos paquetes ARP, que siendo reinyectados mediante el ataque -3 de aireplay generarán una cantidad de respuestas suficiente y a una velocidad considerable. Pero ¿Por qué aireplay no reconoce estos paquetes como peticiones ARP que se pueden reinyectar? Pues sencillamente porque no lo son. Hay veces que en otros protocolos se difunden periódicamente paquetes y no tienen por qué ser necesariamente ARP.
Aquí es donde entra el ataque mediante predicción de CRC. Y donde toma sentido la línea de la documentación del aircrack "Redifusión de cualesquiera datos" (no sólo paquetes ARP).
En la documentación viene explicado muy claro, por eso digo que esto no es más que un ejemplo de uso.
Bueno, comencemos
Todas las MAC son inventadas, además de IMPOSIBLES. Incluídas las de las capturas, que están retocadas con GIMP.
Iniciamos la captura con airodump (por ejemplo)
airodump ra0 captura_chophop.cap
Ya tenemos la captura realizada con airodump. Donde nos aparecen 3 paquetes capturados catalogados como #data
Nos asociamos
aireplay -1 30 -e "ESSID\ INVENTADO\ \:\P" -a 00:03:09:GG:GG:GG -h 55:44:33:22:11:00 ra0
E intentamos reinyectar "nuestros ARP"
aireplay -3 -b 00:03:09:GG:GG:GG -h 55:44:33:22:11:00 -r captura_chophop.cap ra0
Pero efectivamente vemos que al tratar de reinyectar nuestras supuestas peticiones ARP con el ataque -3 aireplay nos dice que no, que no hay nada que reinyectar. Nunca suben los ARP requests a pesar de que sabemos que tenemos 3 preciados IVs en nuestra captura, la que hemos indicado a aireplay mediante la opción -r (captura_chophop.cap)
open(/dev/rtc) failed: No such file or directory
Saving ARP requests in replay_arp-0228-045015.cap
You must also start airodump to capture replies.
Read 19578322 packets (got 0 ARP requests), sent 0 packets...
Entonces probamos el ataque -4, como dice la documentación desencriptando primero un paquete (vemos que aquí ponemos com cliente la dirección MAC del AP, y es que es así como nos aparece en nuestras capturas, luego veremos por qué ocurre esto)
aireplay -4 -h 00:03:09:GG:GG:GG ra0
Y comienza a hacer su trabajo.
Una vez tenemos el resultado
Usamos tcpdump para ver la IP que nos interesa
tcpdump -s 0 -n -e -r replay_dec-0220-142036.cap
Que nos devuelve algo como esto
reading from file replay_dec-0220-142036.cap, link-type IEEE802_11 (802.11)
14:20:36.205095 DA:ff:ff:ff:ff:ff:ff BSSID:00:03:09:GG:GG:GG SA:00:03:09:GG:GG:GG LLC, dsap SNAP (0xaa), ssap SNAP (0xaa), cmd 0x03, IP 192.168.1.1.520 > 192.168.1.255.520: RIPv2, Response, length: 64
Aquí ya vemos por primera vez de qué tipo de paquetes se trababa
Exactamente lo vemos en "RIPv2, Response" (que no "ARP, Request"
)
Con esta información ahora sí que es posible forjar nuestra petición ARP
./arpforge replay_dec-0220-142036.xor 1 00:03:09:GG:GG:GG 00:03:09:GG:GG:GG 192.168.1.100 192.168.1.1.520 nuestra_nueva_peticion_ARP.cap
Como veis me invento la 192.168.1.100 (dejo la misma que en el ejemplo del doc en realidad), pero la dirección de destino debe corresponder a la obtenida con tcpdump (en este caso 192.168.1.520)
Y listo! Ya podemos ponernos a reinyectar nuestra nueva y reluciente petición ARP
aireplay -2 -r nuestra_nueva_peticion_ARP.cap ra0
NOTA IMPORTANTE : Puede haber algún fallo . No dudéis a la hora de avisarNo hace falta tener un servicio como el enrrutamiento dinámico con RIPv2, esto se puede probar con "cualesquiera datos"
El resultado:
y espero que os sirva.
.
Autor
En línea
