 Autor
|
Tema: [iWep] Aplicacion iPhone/iPodTouch para WLAN_XX (BETA 0.2) [PUBLICADO] (Leído 124,185 veces)
|
ChimoC
Por la libertad y contra el terrorismo
Moderador
 Conectado
Mensajes: 4.607
Paz, dignidad y justicia
|
Buenas: Pero probar o intentar asociarte con todas las combinaciones posibles... es una locura  Nada... nos ponemos dos cervecitas y unos pinchos... y a ver qué sacamos en claro Un saludo ChimoC
|
|
|
|
|
En línea
|
|
|
|
|
pianista
|
Vamos a ver, la idea no es nueva, es exactamente lo que hace el wlaninject de Nil0pointer...
El problema que tienes, es meterle un aircrack al iphone, o ir acotando con timeouts o cosas, las conexiones, porque si cambias muy deprisa, no vas a saber con que clave has generado el arp...
Mi idea en base a lo que propones, sería ir bastante rapidito hasta que encuentres un arp, y luego una vez acotada la zona, ir pasando cada vez mas lento, hasta que te asegures...
De todas maneras, no me acuerdo, pero cuantas contraseñas genera el wlandecrypter?
Saludos
|
|
|
|
|
En línea
|
|
|
|
|
Wazowski
|
Pero probar o intentar asociarte con todas las combinaciones posibles... es una locura Es lo que tiene la "fuerza bruta"  Mi idea en base a lo que propones, sería ir bastante rapidito hasta que encuentres un arp, y luego una vez acotada la zona, ir pasando cada vez mas lento, hasta que te asegures...
De todas maneras, no me acuerdo, pero cuantas contraseñas genera el wlandecrypter?
Saludos
Esa idea la tengo en mente, el problema esta en que a medida que vayas asociandote a la red, con cada clave nueva, te desasocias de la clave anterior. Y a lo mejor no te enteras de nada. Pero todavía no estoy en ese punto. Las claves a probar son 4096. Y en algunos AP´s el doble porque pueden tener dos formatos de clave distintas. Gracias por las ideas.
|
|
|
|
|
En línea
|
|
|
|
|
pianista
|
Umm no hay ninguna manera de ir escuchando sin tener tu claves?
lo digo, porque no estoy muy familiarizado con tan bajo nivel de programacion, pero no puedes estar escuchando mientras cambias las claves?
Es que me extraña...
Saludos
|
|
|
|
|
En línea
|
|
|
|
|
|
|
pianista
|
Lei por ahi algo de BSD, no me extrañaria que siendo apple, a lo mejor llevará algun estndar el Iphone tambien de BSD...
Ahora librerias, veo que son bastante chungas de encontrar...
El sdk de iphone no trae nada de na?
Saludos
|
|
|
|
|
En línea
|
|
|
|
|
Wazowski
|
Por cultura general. Esas funciones son de un proyecto bastante antiguo. Ya han sacado la mayoría de las funciones utilies. Mira aquí por ejemplo: http://hostap.epitest.fi/wpa_supplicant/devel/MobileApple80211_8h-source.htmlY como ya se ha dicho antes, para el iPhone no existe un driver que ponga el dispositivo wifi en modo monitor. Porque los señores de apple no lo necesitan. Por lo tanto, ¿para que lo van a programar?
|
|
|
|
|
En línea
|
|
|
|
|
pianista
|
Vamos a ver, ya se que para el iphone no hay modo monitor, pero yo empezaria primero por hacerme un programita que se asociara a una red, y te dijera que esta OK, o si esta no OK...
Para eso no necesitas modo monitor
Saludos
|
|
|
|
|
En línea
|
|
|
|
|
Wazowski
|
Vale, a lo mejor es que no me he explicado bien. La asociación a red ya está implemetada y la puedes hacer desde el SDK del iphone. Asociarsse a la red no es problema.
Le pediré al programador que me de datos del estado en el se encuentra la aplicación, para actualizarlo en el primer post.
Espero tener la info. entre hoy y mañana. Por lo que me ha dicho, creo que va a hacer una primera versión para un único tipo de AP. Creo que es el 00:02:CF
Un saludo.
|
|
|
|
|
En línea
|
|
|
|
*dudux
Ex-Staff
 Desconectado
Mensajes: 2.383
.....traficando con sueños.....
|
Vale, a lo mejor es que no me he explicado bien. La asociación a red ya está implemetada y la puedes hacer desde el SDK del iphone. Asociarsse a la red no es problema.
Le pediré al programador que me de datos del estado en el se encuentra la aplicación, para actualizarlo en el primer post.
Espero tener la info. entre hoy y mañana. Por lo que me ha dicho, creo que va a hacer una primera versión para un único tipo de AP. Creo que es el 00:02:CF
Un saludo.
El tema es lanzar un bucle for desde 0 hasta 4096 posibilidades con un intentode conexion ,ip y pingueo antes de salir del bucle escribir la clave si devuelve ping en un txt...............
|
|
|
|
|
En línea
|
|
|
|
*dudux
Ex-Staff
Desconectado
Mensajes: 2.383
.....traficando con sueños.....
|
|
|
|
|
|
En línea
|
|
|
|
*dudux
Ex-Staff
Desconectado
Mensajes: 2.383
.....traficando con sueños.....
|
y kismac para iphone?
|
|
|
|
|
En línea
|
|
|
|
Cosmass
Desconectado
Mensajes: 32
|
Por si sirve de algo, esto es el post que mencionas, sacado de la cache de google... pero es de abril 2008. En la versión 2.0 de WLAN Buster vamos a procurar que ya esté disponible el ataque ADB, aunque de momento es sólo una teoría.
El escenario dónde este ataque funcionaría es el siguiente:
- Un punto de acceso WLAN_XX está en el radio de alcance
- WLAN Buster en el modo de funcionamiento normal detecta balizas del punto de acceso con buena señal
- WLAN Buster no puede capturar ningún paquete que contenga datos y por lo tanto se pueda intentar descifrar con la password compuesta de la MAC interna, porque no hay tráfico wifi entre el AP y un cliente autenticado.
Bien, en este punto el problema es conseguir un paquete del AP con datos.
Lo primero que debemos hacer es realizar una falsa autenticación con el AP, para lo cual inyectamos las correspondientes peticiones de autenticación y asociación y esperamos a recibir la trama con la confirmación de asociación. Hasta aquí fácil y hasta ahora conseguido, pero por el hecho de estar asociados al punto de acceso no tiene porque llegarnos ningún paquete de datos. De hecho, normalmente no llega.
Hay que forzar al punto de acceso para que nos devuelva un paquete que contenga datos cifrados correctamente con el IV y la clave WEP, pero para solicitarle algo debemos hacerlo con la información cifrada correctamente también, para lo cual nos hace falta la clave WEP. Y vuelta al principio.... ¡o no!.
Si analizamos el algoritmo de asignación de claves WEP de Telefónica podremos darnos cuenta de lo siguiente:
- de los trece caracteres que componen la clave WEP de 104 bits, conocemos de antemano gracias al BSSID, como ya se ha explicado en más de una ocasión, 9 de ellos, y nos faltan cuatro posiciones (la 8ª, 9ª, 10ª y 11ª)
- esas cuatro posiciones suponen 2^32 = 65.536 posibilidades
En el siguiente esquema vemos reflejado este concepto:
Image
y podemos darnos cuenta de que en un paquete de baliza tenemos toda la información para generar la clave WEP correspondiente si es que no ha sido cambiada, excepto las posiciones de las que hablabamos previamente. En el caso mostrado en el gráfico serían las ocupadas por los dígitos [A4][32] y que habría que ocupar con valores que deconocemos y son las 65.536 posibilidades. Como aclaración diremos que los deconocemos ya que en el gráfico ilustramos la correspondencia existente con un paquete de datos, mientras que el paquete del que disponemos nosotros en el caso que nos ocupa es una baliza.
Sin embargo, se da una circunstancia adicional, y es que la 8ª y 9ª posiciones, por lo que he podido comprobar siempre forman un octeto hexadecimal de valor igual o igual menos 1 o igual más uno que su correspondiente octeto en el BSSID, en este caso [A3]. Es decir que si esto se cumple, las posibilidades se reducen a 768 correspondientes a los 256 valores del octeto correspondiente a las posiciones 10ª y 11ª multiplicado por las tres posibilidades del octeto procedente con valores igual, +1 y -1.
Y aquí es donde se crea el Diccionario de Bolsillo con sólo 768 claves WEP.
Habiendo reducido el número de posibilidades a tan sólo 768 tenemos opción de utilizar la falsa asociación (ya conseguida) al punto de acceso para enviarle paquetes de datos con una petición que deba responder, cada uno de ellos encrioptado con una clave WEP del diccionario.
Si la teoría funciona, siendo pesimistas pongamos que somos capaces de enviar 50 paquetes por segundo. Estaríamos hablando de que enviamos todo el diccionario en 16 segundos, y nuevamente si la teoría funciona, cuando el punto de acceso reciba la petición cifrada con la clave WEP que le corresponde nos enviará la ansiada contestación en un paquete de datos cifrado igualmente con esa clave y un distinto IV.
Posibles fallos en la teoría:
- Que el punto de acceso nos desautentique por enviar demasiados paquetes con clave WEP errónea. Tengo mis dudas de que lo haga, pero....
- Que el punto de acceso no valide los paquetes por no aportar un número de secuencia en el paquete válido.
El tiempo dirá. Se ha comprobado el ataque con un paquete UDP de tipo BootPC cifrado con n contraseñas. Los paquetes se han enviado a un ratio de aprox. 50 paquetes por segundo.
Ha funcionado. El punto de acceso ha respondido con un BootPS dejando expuesta su MAC interna y por lo tanto su clave.
El siguiente paso es trabajar con paquetes de tipo ARP para los APs que no dispongan de DHCP habilitado.
La teoría del ADB ha funcionado. El concepto no es nuevo, mandar peticiones con todas las calves posibles y esprar la contestacion al unico paquete que este correctamente cifrado. Un saludo |
|
|
|
|
En línea
|
|
|
|
*dudux
Ex-Staff
Desconectado
Mensajes: 2.383
.....traficando con sueños.....
|
El concepto no es nuevo, mandar peticiones con todas las calves posibles y esprar la contestacion al unico paquete que este correctamente cifrado. no es nuevo no........es justamente lo que hace wlaninject.........fuerza bruta sabiendo 9 caracteres de 14
|
|
|
|
|
En línea
|
|
|
|
|
Wazowski
|
Se ha comprobado el ataque con un paquete UDP de tipo BootPC cifrado con n contraseñas. Los paquetes se han enviado a un ratio de aprox. 50 paquetes por segundo.
Ha funcionado. El punto de acceso ha respondido con un BootPS dejando expuesta su MAC interna y por lo tanto su clave.
El siguiente paso es trabajar con paquetes de tipo ARP para los APs que no dispongan de DHCP habilitado.
La teoría del ADB ha funcionado. Si, efectivamente, este es el post al que me refería. La duda que tengo es que son los paquetes BootPC and BootPS. Por otro lado, la aplicación casi está acabada para empezar a implementar tipos de "ataque". Una vez que sea estable se posteará en el primer post. Mientras se irá buscando información sobre BootPC y BootPS, que entiendo que se referirá a los paquetes BootP que está definidos para UDP. Un saludo.
|
|
|
|
|
En línea
|
|
|
|
|
 |
