Foro de elhacker.net

Saludos. Primera vez por aquí. Leí que era importante ser específico aquí, y es que quisiera también mencionar antecedentes de lo que intenté, así que de antemano una disculpa si el post se hace un poco largo. De requerirse podría reducirlo, si me dicen.

Tengo un módem Huawei HG530 el cual tiene cifrado WEP. Lo primero que intenté fue el método común para sacar WEP (el de los tutoriales aquí), con aireplay-ng -3, etc. No inyectaba paquetes, después leí que ese ataque (y en general todos al parecer) requiere que haya tráfico de datos.

Entonces volví a hacer la prueba habiendo previamente encendido mi PC de escritorio conectada por LAN a mi AP, y poniendo a cargar un largo video de Youtube para mantenerla ocupada. Igual, sin paquetes enviados. Entonces cancelé el ataque y usé el "aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF -b (MACAP) -h (MiMAC)  mon0". Al escoger un paquete sólo me funcionó uno con "Dest. MAC = FF:FF:FF:FF:FF:FF" para por fin generar IVs (y parece lógico, según leí los APs sólo responden paquetes con esta característica).

Otros paquetes hacían que la PC perdiera la conexión a internet mientras corría el ataque y al parecer me desasociaba, pues al correr "tcpdump -n -e -s0 -vvv -i mon0" me sacaba algo similar a "18:46:31.786889 0us RA:00:19:7e:c8:21:01 Acknowledgment".

Entonces comencé desde cero, aún con la PC generando tráfico, probando con Wifislax 3.1. Intenté los ataques chopchop y fragmentación según aquí: http://www.aircrack-ng.org/doku.php?id=how_to_crack_wep_with_no_clients, puesto que son para cuando no hay clientes wireless asociados. Resultados:

Chopchop:

Fragmentación:

El comando tcpdump para probar si aún estaba asociado marcaba los mismos mensajes "Acknowledgment".

Probé con mi sistema instalado (openSUSE 12.1 64-bit, kernel 3.1.9, driver b43, Aircrack svn2121). La única diferencia es que con fragmentación marcaba "not enough acks", aunque tal vez se deba a un bug en los drivers b43. También en openSUSE siempre debo usar el parámetro "--ignore-negative-one" cada que uso algún aireplay puesto que si no se estanca en el canal -1. Pero no creo que sea el problema, intenté con Wifiway 3.4 que no tiene ese detalle y obtuve los mismos resultados.

Noté también que si quería comenzar de nuevo desde cero después de un intento fallido generalmente mi AP ya no me deja asociar con el aireplay-ng -1. Debo esperarme o resetearlo.

En otros foros presumen que chopchop les resulta prácticamente infalible en general, seguido del ataque -2 -p 0841. ¿Alguien sabe qué podría estar haciendo mal, o si los Huawei son de plano muy seguros?
Por su ayuda, de antemano gracias.

Buenas:

¿Y para qué conectas el PC por LAN? Deberías conectar "algo" vía wifi

Los ataques sin cliente legítimo a veces van y otras veces no.... y muchas veces es paciencia (la madre de la ciencia)

Un saludo

ChimoC

¿Por qué por LAN? Pues para generar *algo* de datos. Chopchop y fragmentación, según leí, funcionarían cuando hay al menos algún tipo de tráfico, y se supone sirven para cuando no hay nadie wifi conectado...

Igual no lo entendi bien, pero con un ataque DoS ( opcion -0 ) desautentifica al usuario legítimo y este necesita reconectar, ni asi te caza ningún paquete???  :o aunque no sé si contra alguien que esta conectado por LAN funciona jejejej, nunca me paré a pensarlo... supongo que deberia estar conectado por wifi para que el ataque surta efecto, pero no estoy seguro del todo.
ChimoC recurro a tu gran sabiduria ¿Si me ataco con el portatil a mi pc sobremesa con el "aireplay-ng -0" serviria de algo o deberia estar conectado por wifi, o es totalmente inútil? (pc sobremesa por LAN)
Pido perdón por preguntar algo distinto al hilo, pero creo que tiene relación!!

De todas formas si el pc que tienes conectado por LAN esta descargando debería de haber trafico de datos, algo tendrías que cazar, no deberias tener necesidad ni siquiera de asociarte.... de todas formas si quieres ver si tu clave wep es vulnerable, que lo es, conecta por wifi a esa misma red y con el mismo ordenador que está conectado por wifi rastrea el trafico.... yo lo hice en un ciber para probar si salia la clave, aunque ya la tenia, (Que tiempos aquellos), y sin necesidad de autentificación tardó menos de 1 minuto en capturar 33.000 paquetes y fueron suficientes para el aircrack.

Aquí: http://www.aircrack-ng.org/doku.php?id=deauthentication, dice que el ataque -0 es inútil sin clientes wireless asociados.

Si conecto un dispositivo wireless a mi AP que genere tráfico -por ejemplo mi cel o alguien más se conecta-, hasta con el ataque -3 (método estándar para sacar WEP de los tutos) funciona. En mi primer post de aquí del tema expuse en los antecedentes la única manera en que pude sacar mi WEP sin clientes wireless, y comienzo a creer que fue un golpe de suerte porque de otras pruebas hechas creo que no vuelve a funcionar necesariamente, aunque no recuerdo... De por sí menciono que no me deja volver a asociar con el ataque -1 después de haber terminado una serie de pruebas. Debo esperar o resetear mi módem.

Por cierto, airodump al menos en mi caso no muestra los clientes LAN conectados al AP, sólo los wireless. Pero aún así no entiendo por qué no agarra los paquetes con el tráfico LAN... ¿Y de qué servirían entonces chopchop y fragmentación, además de ser otras técnicas disponibles, si no los puedo usar cuando no hay clientes wireless conectados?

Buenas:

Por eso te digo que no juegues con clientes LAN sino con Wireless..... ya que a los LAN no los vas a oler ni aunque usen colonia de ajo  :P

Los ataques de aireplay están hechos para tratar WIRELESS, ergo debemos trabajar con Wireless y NO con LAN

Un saludo

ChimoC

Entonces no me queda claro qué significa que chopchop y fragmentación puedan usarse cuando no hay clientes wireless. El tutorial lo especifica aquí:
http://www.aircrack-ng.org/doku.php?id=how_to_crack_wep_with_no_clients

Si un AP no tiene clientes wireless conectados, sólo quedan 2 posibilidades, ¿no? Que tenga clientes conectados por LAN o que nadie esté usando el AP. Esto es lo que mi lógica me diría...

Por cierto, en los foros de Aircrack en inglés son algo frívolos, o es que de plano esperan usuarios igual de dotados y son un poco intolerantes con no expertos... Claro que hay que leer primero, pero aún así si responden no dicen mucho...

Por lo que yo se el ataque chopchop genera un paquete de datos wep para luego ser renviado repetidamente con el aireplay-ng, yo personalmente, no se si es por pura suerte, pero a mi me funciona.... :silbar:, me identifico con el router y luego me lanzo el ataque -4 contra mi mac falseada, despues, tcpdump, packetforge-ng y por ultimo el ataque -2 de aireplay-ng, lo hice contra mi mismo y funcionó. ;-)



De todas formas, creo que por aquí hay un manual completo de aircrack-ng, no te pongo el link por me hago un lio siempre para encontrar los manuales en el foro  :rolleyes:

Si el tráfico LAN entonces no sirve de mucho y no hay clientes wireless, ¿hay alguna manera o maneras de "crear" tráfico? Supongo que sería después de asociarme con aireplay-ng -1, aunque por lo visto los paquetes "keep-alive" no generan tráfico exactamente...

Después de haber leído los tutoriales de aquí y de otros sitios no recuerdo bien si en algún lugar se mencionaba, así que me disculpo si mi pregunta es "ya respondida".

Claro!!!!!!!! mientras estan en ejecución airodump y aireplay con el ataque -3 y -1 se utiliza el ataque -4 (chopchop) despues utilizas el tcpdump para obtener la ip, despues el packetforge para crear el paquete WEP... y por último el ataque -2 del aireplay para hacer un reenvio interactivo de paquetes!!!

Aquí la guía: http://foro.elhacker.net/wireless_en_linux/guia_completa_aircrackng-t231434.0.html

Saludos.

Curiosamente llegué a esa misma posible solución en otras guías y foros. Y parece prometedora de no ser por un detalle: al parecer los Huawei HG530 en particular no reenvían/responden los paquetes que inyecto si soy el único cliente asociado (por ende no hay más clientes wireless). Tal vez por eso no funciona el ataque chopchop.

Parece que para funcionar hay que asociarle otra MAC o interfaz al AP Huawei, y es por eso que pregunté antes si es posible asociar 2 o más MACs a un AP con un solo adaptador wifi.

Hola ctcx, creo que ya te había visto en el otro foro ;D

Pero creo que no has intentado aún lo que yo llamo "La Doble Fakeauth". Claro que es posible asociar 2 macs, incluso más usando el mismo adaptador porque lo que haces es crear paquetes a tus necesidades para después inyectarlos, eso si tu adaptador no tiene problemas para inyectar. Hasta puedes hacer un script para saturar de clientes al AP y ver que pasa, hay un programa que lo hace solo que se me olvidó el nombre.

Al no existir clientes asociados dependes de los paquetes que esté enviando el AP, cualquier paquete en estas condiciones es valioso, para capturarlo solo necesitas un cliente asociado porque si no el hg530 no va a enviar nada por el aire. Para el chopchop si necesitas 2 clientes o mas para volver a ver tu paquete en el broadcast, esto es fundamental para que chopchop y fragmentación funcionen. Si eres lo suficientemente rápido puedes mandar las 2 fakeauth al inicio sin necesidad de keep-alives. Como te comenté, en estos módems si no envías algo con las macs que asociaste en 5 minutos te saca de la red.

Para lo de las IPs en el ARP que vas a armar simplemente usa la IP del módem y armas un Gratuitous ARP, investígale para que sirve esto :D

Sr. Adiaz!

Sí, soy el mismo, y dejé la duda completa en el otro foro...
Y es que sólo tengo un adaptador inalámbrico: la de la lap. Y nunca he intentado "la doble fakeauth", no sabía que se podía hacer eso, no viene como tal en la documentación de Aircrack. Por ende no sé cómo hacerla.

Si sólo lanzo así como así las 2 instrucciones del fakeauth, una en cada terminal, ¿de dónde saco la otra MAC para el segundo fakeauth? Si no especifico el -h me toma la MAC de mi tarjeta, si especifico una MAC distinta a ésta me marca el error de que la MAC correcta es otra y los paquetes serán ignorados. Al menos eso es lo que me ha pasado...

Puedes quitarme lo de Sr. :laugh:

No está en la documentación y no lo he visto aún como un tip porque es difícil documentar el comportamiento de todos los AP.

El mensaje que te sale es este?: http://www.aircrack-ng.org/doku.php?id=aireplay-ng#interface_mac_doesn_t_match_the_specified_mac (http://www.aircrack-ng.org/doku.php?id=aireplay-ng#interface_mac_doesn_t_match_the_specified_mac)

Es solo una advertencia, prueba hacerlo y si quieres verifica en wireshark lo que estas haciendo, ábrelo antes de usar aireplay, el primer icono de izquierda a derecha te sirve para seleccionar tu interfaz en modo monitor y donde dice Filter pones: wlan.addr == LAMACFALSA y le das Apply. Esto es porque vas a ver muchos paquetes y solo nos interesa ver los que tengan esa mac. Luego lanzas la 2a fakeauth, esa mac solo la vas a usar para esto, después te olvidas de ella.

Con esto ves los paquetes que estas enviando y si realmente te esta contestando el AP. Además te va a servir para que estudies la estructura de los paquetes, los ataques y el comportamiento del AP.

Probados los consejos de Ruben1980 en conjunto con el de Adiaz_mx, ¡y funcionó!
De hecho Adiaz_mx tenía la misma solución, pero usando además la doble fakeauth (que por fin intenté).
Probado tanto en openSUSE 12.1 64-bit como en Wifislax 4.0.

Lo que noté es que en Wifislax fue rapidísimo el proceso, y en openSUSE fue mucho más lento, aunque jaló al final.
La diferencia de openSUSE respecto a las otras distros, como ya he mencionado en el tema, es que al lanzar un ataque aireplay-ng se estanca en el "canal -1", y a menos que se use la opción "--ignore-negative-one" marca un error que no deja avanzar.

Solía pensar que con usar la opción arreglaría el problema, pero parece que sólo se lo salta, basado en los resultados que acabo de describir, y por otra prueba que describo a continuación.

Intenté también el truco Vietnam: después de estar capturando con airodump, preparar sin ejecutar un fakeauth estándar (aireplay-ng -1...) en una consola y un ataque A2 dirigido a uno mismo (aireplay-ng -2 -p 0841 -c MiMac -b MacAP -h MiMac) en otra, correr el fakeauth y al momento de que se asocie inmediatamente correr el A2, pues se trata de cachar los pocos #Datas que se generan al momento de la asociación y así hacer aumentar los mismos #Datas para la WEP.

Funcionó en Wifislax, con algunos paquetes de desautenticación, pero acabó funcionando. Pero en openSUSE no funciona en lo absoluto: al momento de correr A2 inmediatamente se desasocia. Con suerte vuelve a autenticar, pero luego luego vuelve a desconectar. Así claro que no aumentan los #Datas, o apenas y lo hacen. Lo único que se me ocurre es atribuir esto al "canal -1"...

Por cierto, los paquetes usados en el truco de Adiaz y el de Vietnam creo que tenían esta característica:


Y creo porque me fijé bien en el truco Vietnam, pero no recuerdo bien si era el mismo para el truco de Adiaz... No sé qué tanto influyan estas características de los paquetes capturados...

También calado otro truco: después de estar capturando con airodump, usar un doble fakeauth al estilo Adiaz_mx, asociando la MAC de la tarjeta inalámbrica y la otra inventada. Esperar a que airodump marque unos 10 #Datas (tardará un poquillo), y después usar un ataque interactivo usando el archivo de captura generado por airodump:
Con esto también suben los #Datas. En Wifislax suben rápidamente, en openSUSE suben pero más lento. De nuevo, quizá por el canal -1...

Si vuelve alguna vez por aquí, Adiaz_mx o alguien más, ¿saben por qué puede estar fallando el truco Vietnam en openSUSE, o si realmente afecta ese canal -1 en openSUSE?