 Autor
|
Tema: WlanReaver 0.1 Ataque diccionario contra AP sin clientes y sin ARP's (Leído 15,930 veces)
|
|FluiD|
 Desconectado
Mensajes: 383
|
NUEVA VERSION 0.2 EN: http://foro.elhacker.net/wireless_en_linux/wlanreaver_02_nuevo_ataque_sin_clientes_ni_arps-t269374.0.html
Bueno despues de mucho pelearme y de muchas pruebas creo que tengo lista la criatura. Antes de nada decir que esta basado en el funcionamiento del wlandestroy/wlaninject de Nilp0inter, el fue el pionero en esto y no quiero quitarle meritos ni que me tachen de haber copiado. Tambien dar las gracias a shadowjuan por animarme a hacerlo. Necesitais tener instalado arping que ya viene en wifiway, pero si usais ubuntu este no es compatible con el network manager (gestion de conexion) que trae por defecto, ademas el network manager es una kk, podeis usar WICD en su lugar que esta mucho mejor. Tendrias que hacer: sudo apt-get install arping wicd El script esta hecho en perl, tiene 2 opciones, un inyector ARP, en el cual podemos elegir el numero de ARP's a inyectar, y el aireplay-ng se nos abre solito para esperar el ARP bueno, y un ataque de diccionario contra el AP. Realmente este ultimo es el mas interesante ya que no se necesita ninguna tarjeta en modo monitor, ni clientes, ni ARP's,lo hace todo directamente contra el AP, y he conseguido que compruebe realmente rapido, unas 30 pal/seg en el modo mas rapido, basicamente aqui la idea es pasarle diccionarios que ya conocemos su patron como las WLAN_XX (hay muchos mas) de Timofonica, y en un "ratete" tenemos la contraseña del cifrado WEP... Bueno el script, esta todo automatizado, te va preguntando todo lo que necesita para empezar el "ataque", puedes modificar el numero de paquetes a enviar al router para que este conteste, jugar con la espera entre peticiones, util para redes con latencias altas o con poca señal, tiene control de conexion, si se desconecta o hay algun corte en el "ataque" para y no continua hasta que no se haya reconectado, no esta atado a ninguna red/compañia como el wlaninject, ya que admite cualquier diccionario externo, bueno y alguna que otra cosilla mas... De momento solo admite WEP, depues del veranito, intentare añadirle WPA, para ver si es posible hacere "caer" las redes de TELE2 sin clientes para conseguir el handshake y con el diccionario que hay por ahi. Viene con un archivo de ayuda que me ha costado mogollon hacerlo para que sea entendible para todo el mundo (le he puesto hasta los acentos  ), asi que por favor leerlo que os sacara de muchas dudas. Bueno ya me decis algo, que he andado algo limitado de hardware para hacer las pruebas, y asi entre todos lo mejoramos... Espero respuesta de vuestras pruebas. http://www.megaupload.com/?d=0LVSS8BXhttp://www.4shared.com/file/117141203/d67e1d97/WlanReaver_01tar.htmlhttp://www.mediafire.com/?3t4ifenjrcxSaludos FluiD
|
|
|
|
« Última modificación: 20 Diciembre 2009, 20:40 por |FluiD| »
|
En línea
|
|
|
|
NetFree222
Desconectado
Mensajes: 565
|
Ya lo he puesto en el otro hilo pero muy muy buen trabajo,ya le hago un betatesting en profundidad  Un saludo!!
|
|
|
|
|
En línea
|
Hay un lugar en el que todo el mundo es feliz,en el que las guerras se luchan bailando,bailando LA DANZA MAS FELIZ
|
|
|
manel92
Desconectado
Mensajes: 77
|
hola, una pregunta al iniciar el script y decirle que queremos hacer el ataque por fuerza bruta pregunta por el diccionario, de donde lo sacamos? hay que hacerlo con wlandecrypter o como?
gracias un saludo, perdona la ignorancia jeje
|
|
|
|
|
En línea
|
|
|
|
ChimoC
Por la libertad y contra el terrorismo
Moderador
Desconectado
Mensajes: 4.607
Paz, dignidad y justicia
|
Buenas: Metido link en la chincheta de Manuales y Temas de Interés  Un saludo ChimoC |
|
|
|
|
En línea
|
|
|
|
manel92
Desconectado
Mensajes: 77
|
que alguien responda lo que he preguntado arriba de los diccionarios, gracias
venga un saludo
|
|
|
|
« Última modificación: 13 Julio 2009, 18:30 por trucoteco »
|
En línea
|
|
|
|
|FluiD|
Desconectado
Mensajes: 383
|
Si, los diccionarios tienen que ser externos, para las WLAN_XX los del wlandecrypter, funciona con todo tipo de redes/compañias que sepamos su patron de contraseñas. Gracias Chimo por esa chincheta... P.D /\/\Bull22 me da a mi que no te has leido la ayuda que va con el script  FluiD |
|
|
|
« Última modificación: 27 Julio 2009, 21:45 por fluid2 »
|
En línea
|
|
|
|
buckynet
Desconectado
Mensajes: 21
|
Muy guenas FluiD y a tod@s !! Lo primero felicitarte por ese peazo de pl, esta bastante bien.  He realizado pruebas con Wifislax 3.1 con una ipw3945 utilizando el wlan0, y al final ha funcionado correctamente la segunda opcion de ataque por diccionario. Aunque hay un par de cosas que mejorar. Lo primero es poner el modo correcto con el arping que tengo (el antiguo). # Para distribuciones que usen versiones antiguas
# de arping modificar $mod = i; por $mod = I;
$mod = I;
Dentro de sub op2 (Ataque de diccionario) existe la iwconfig con la key en "s:" (ASCII), es correcto para diccionarios tipo wlandecrypter, pero tambien recordarte que existen otros diccionarios con claves Hexadecimales (por si acaso, habria que ejecutar una linea iwconfig). $null = `iwconfig $adp key s:$clave`;
$null = `iwconfig $adp key $clave`;
Ahora vamos a por el problema principal dentro de sub op2. La comparacion de la salida del arping no es correcta con "index". if ($arping =~ /index/)
La salida del arping que obtengo son las siguientes en el caso de conectar correctamente con la key y no hacerlo correctamente. Correcto
arping: ARPING 192.168.1.1 from 192.168.1.125 wlan0
Unicast reply from 192.168.1.1 [00:1A:2B:xx:xx:xx] 1.427ms
Sent 1 probes (1 broadcast(s))
Received 1 response(s)
Incorrecto
arping: ARPING 192.168.1.1 from 192.168.1.125 wlan0
Sent 1 probes (1 broadcast(s))
Received 0 response(s)
He realizado varios cambios en esta comparacion. Primero hacerlo a traves del $ap, que ha funcionado bastante bien en alguna ocasiones. Segundo a traves del "response", que ha funcionado bastante bien en alguna ocasiones. Tercero a traves del "reply", que ha funcionado correctamente siempre. FluiD comprueba cual te gusta mas. if ($arping =~ /$ap/)
if ($arping =~ /1 response/)
if ($arping =~ /reply/)
Sobre el timeout del arping ($flood), he comprobar que a 0 tambien funciona correctamente (en algunos casos) y he cambiado la comparacion de sub flood para aceptar este valor. if (($flood <0) or ($flood > 1000000))
Por lo tanto ha funcionado correctamente para un Wifislax 3.1 con ipw3945, y no creo que haya problemas con Wifislax con un interface en modo managed.
Opcion: 2
Diccionario: pp.txt
Adaptador de red (ethX, wlanX, wifiX, rausbX...?: wlan0
Supuesta IP del AP (Normalmente 192.168.1.1)?: 192.168.1.1
IP del cliente falso a asociar (Dentro del rango)?: 192.168.1.125
Num. de peticiones ARP a enviar por KEY?: 1
SSID de red?: WLAN_xx
Canal AP?: 3
BSSID (MAC del AP)?: 00:1A:2B:xx:xx:xx
Estableciendo configuracion y asociando con el AP...
Interface Chipset Driver
wlan0 Unknown Unknown (MONITOR MODE NOT SUPPORTED)
wlan0 IEEE 802.11g ESSID:"WLAN_xx"
Mode:Managed Frequency:2.422 GHz Access Point: 00:1A:2B:xx:xx:xx
Retry min limit:7 RTS thr:off Fragment thr=2346 B
Encryption key:5A5A-5A5A-5A5A-5A5A-5A5A-5A5A-5A
Link Quality:0 Signal level:0 Noise level:0
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0
PARECE QUE ESTAS CORRECTAMENTE ASOCIADO, PULSA ENTER
==================================================
Valores orientativos en respuesta para el envio
de una peticion ARP:
--------------------------------------------------
[1000-5000] Muy rapido (30 ........pal/seg.)
[5000-10000] Rapido (30/25 .....pal/seg.)
[10000-50000] Moderado (25/15 .....pal/seg.)
[50000-100000] Normal (15/8 ......pal/seg.)
[100000-500000] Lento (8/2 .......pal/seg.)
[500000-1000000] Muy lento (2/1 .......pal/seg.)
--------------------------------------------------
A mayor velocidad menor probabilidad de acierto
==================================================
Tiempo de espera entre intentos:? 0
Probando KEY 1: xx
Probando KEY 2: yy
KEY encontrada!!! : --> yy <--
Proceso Terminado
Un saludo. PD: Como siempre, en algo, habre metido la pata. |
|
|
|
|
En línea
|
|
|
|
|FluiD|
Desconectado
Mensajes: 383
|
Ante todo muchas gracias por tu tiempo, es grato saber que mi tiempo le ha interesado ha alguien Bueno vamos por partes: # Para distribuciones que usen versiones antiguas
# de arping modificar $mod = i; por $mod = I;
$mod = I; Me di cuenta despues que para las versiones nuevas de arping tambien funciona con "-I", en la pagina man aparece como "-i" pero supongo que han mantenido el de versiones anteriores por compatibilidad. Con dejarlo en "-I" deberia funcionar para todas las distribuciones. Con lo cual esta variable como que nos sobra En $null = `iwconfig $adp key s:$clave`; no sabia que existian patrones conocidos que generaran en HEX, en la proxima version pondre la opcion de elegir el tipo de diccionario. Y parece que el problema principal como dices es en la expresion regular que evalua la salida de arping, en versiones antiguas muestra esa salida de forma diferente, bastaria con un OR que evaluara las dos posibles condiciones. Sobre la funcions $flood y el timeout del arping estuve haciendo pruebas, con diccionarios que tardaban unos minutos, y por debajo de 1000 (microseg) no mejora el tiempo, aqui la velocidad la marca el bucle o quizas la salida por pantalla de print, y por debajo de ese valor aumenta una barbaridad la posibilidad de pasar por alto la contraseña valida. Se puede probar a ver si es el print el que marca la velocidad, y si es asi se puede comentar el print (#) poner el valor del timeout a 0 y quizas aumente la velocidad notablemente, pero hay que tener en cuenta que no todo el mundo probara el script en un AP que esta en la misma habitacion  Bueno parece que sabes de perl, el mio como puedes ver es bastante de parbulitos, pero bueno con empeño salen cosillas apañaicas De nuevo muchas gracias, me has ahorrado las pruebas para hacerlo compatible con otras distribuciones, tengo pensado hacerle cosillas nuevas, pero ya va ser despues del veranito. Saludos FluiD |
|
|
|
|
En línea
|
|
|
|
thedoctor77
Desconectado
Mensajes: 2.706
Volver a ser un niño
|
Voy a probarlo ahora mismo, gracias . Tiene que ser muy bueno. PD: Dices que el gestor de red de ubuntu es wicd y no lo es jaja no te enfades. |
|
|
|
|
En línea
|
Una rosa es una rosa...
|
|
|
|FluiD|
Desconectado
Mensajes: 383
|
No no... El WICD es el que yo uso, el que viene con ubuntu es el network manager, pero antes era algo problematico (supongo que habra mejorado), y probe WICD y desde entoces es el que uso...
thedoctor77 si haces pruebas postealas "plis" que me interesa mucho para mejorarlo...
Saludos
FluiD
|
|
|
|
|
En línea
|
|
|
|
thedoctor77
Desconectado
Mensajes: 2.706
Volver a ser un niño
|
a sus ordenes jaja.
haber...
con el ataque 2 de tu programa tengo un problema.
te pongo lo que hago:
Opcion: 2
Diccionario: diccionario21
Adaptador de red (ethX, wlanX, wifiX, rausbX...?: wlan0 --> intel wifi link 5100
Supuesta IP del AP (Normalmente 192.168.1.1)?: 192.168.1.1
IP del cliente falso a asociar (Dentro del rango)?: 192.168.1.39
Num. de peticiones ARP a enviar por KEY?: 300
SSID de red?: WLAN_XX
Canal AP?: 9
BSSID (MAC del AP)?: 00:02:CF:XX:XX:XX
Estableciendo configuracion y asociando con el AP...
Interface Chipset Driver
wlan0 Unknown iwlagn - [phy1]
(monitor mode disabled)
wlan1 RTL8187 rtl8187 - [phy0]
me dice que estoy bien conectado. De tiempo de espera 30000. A continuacion dice
probando key1: xxxxxxxxxxxxx
y ahi se queda
¿que estoy haciendo mal?
Estoy en ubuntu
PD: Podrias poner que tu programa use el wlandecrypter de dudux y el jazzteldecrupter e incluso podrias incluir el generador de diccionario que hay en el foro.
un saludo!!
|
|
|
|
« Última modificación: 17 Julio 2009, 16:48 por thedoctor77 »
|
En línea
|
Una rosa es una rosa...
|
|
|
|FluiD|
Desconectado
Mensajes: 383
|
jejejejej lo que has hecho mal ha sido no leerte el "LEEME" que va con el script Le has dado 300 peticiones ARP por KEY, eso es que le has enviado 300 pings (arping) con una espera de 30000 (30 miliseg) entre pings, si mis calculos no me fallan te va a tardar 9 segundos en probar cada KEY, si no dejas frito el AP antes  Con 2 arpings ha esa velocidad seria mas que suficiente animal Lo de incluir los generadores es buena idea, igual para la siguiente version, los incluyo en un submenu, junto con el wavemon para controlar la calidad de la conexion... Gracias thedoctor77 Saludos FluiD |
|
|
|
« Última modificación: 17 Julio 2009, 17:53 por fluid2 »
|
En línea
|
|
|
|
thedoctor77
Desconectado
Mensajes: 2.706
Volver a ser un niño
|
ya lo intente poniendole incluso 1 y de milisegundos 1000 y nada, haber si alguien lo prueba en wifiway. de todas maneras yo voy a formatear el ordenador porque estoy teniendo algun problemilla, un saludo!!
|
|
|
|
|
En línea
|
Una rosa es una rosa...
|
|
|
|FluiD|
Desconectado
Mensajes: 383
|
Se me olvido decirte que tienes que tener instalado arping, supongo que lo habras tenido en cuenta pero por si acaso...
Con un apt-get lo tienes...
Saludos
FluiD
|
|
|
|
|
En línea
|
|
|
|
shadowjuan
Desconectado
Mensajes: 28
|
¡Buenas! Ya tenía yo ganas de ver esto  He estado bastante desconectado del tema pero a ver si la cosa cambia pronto. Tengo que preguntar: ¿Estamos realmente hablando de pasar de 18h con 1 clave por segundo, a 18/30(=3/5) de hora, que son 36 minutos? FluiD ha dividido por 30 el tiempo o.O Supongo, sin haber probado aún, que si intentamos que busque 18 claves por segundo, el tiempo se "redondee" a una hora, pero tenemos un buen equilibrio entre fiabilidad y velocidad. ¿En cuánto tiempo de espera entre intentos nos ponemos entonces?  Macho, enhorabuena por la criatura, nos ha salido superdotada... Como te dije, intentaré darle un testeo en cuanto se me presente una oportunidad. Sigue con ella, a ver si can raise it properly. Y felicidades por la chincheta XD |
|
|
|
|
En línea
|
|
|
|
|
 |
