INICIACIÓN EN WIRELESS CON WIFISLAX Y WIFIWAY 1.0 FINAL. INCLUYE WEP Y WPA.
Este tutorial viene de la mano de
Rockeropasiempre, Heavyloto y Zydas. Cada uno hemos aportado nuestra propia experiencia y conocimientos. No habría sido posible realizarlo sin los aportes de las distintas páginas que a menudo visitamos como el foro de
Elhacker.net, y
Seguridad Wireless entre otras.
En la parte que toca a Linux,
KARR aportó su grano de arena, aportando apuntes y como no, algún que otro listado. Además fue quien revisó y dió el ok al proyecto final.
Esta guía en ningún caso está destinado a uso fraudulento o delictivo, el uso que se haga de este aporte queda única y exclusivamente ligado a la responsabilidad de cada uno, quedando fuera de nuestras intenciones cualquier uso no debido, así como de la página de elhacker.net. Los programas a los que se hace mención o referencia no están destinados a tal uso, sino a la verificación de la seguridad de nuestras propias conexiones.
INDICE GENERAL.El índice está confeccionado de forma que vayamos de menos a más, así pues, los puntos quedan de esta manera:
1.- WIFISLAX 3.1 “DUDAS Y ERRORES MAS COMUNES". Por Rockeropasiempre.Resolución de los errores que más frecuentemente se presentan con el live Cd Wifislax 3.1, con definiciones a un nivel usuario básico/medio. En este apartado se utilizan tarjetas Pci Atheros, Usb Ralink, y Usb Gold 800 Mw Realtek para los aportes y explicaciones. En este apartado se maneja únicamente la cifrado WEP.
Nota: si no se ha leido el Manual básico para Wifislax, y no sabemos nada al respecto, poco o nada adelantaremos con este nuevo manual, ya que este es una consecucción del anteriormente citado.2.- INTRODUCCION A LA SEGURIDAD WEP. Por Heavyloto.En este apartado se maneja la seguridad WEP, diferentes tipos de ataque y su funcionamiento. También se maneja Wlandecripter. Para todo esto se utilizarán tarjetas Realtek y Zydas, y la distro Wifiway 1.0 final.
3.- INTRODUCCIÓN A LA SEGURIDAD WPA. Por Zydas.En último lugar y quizás el más relevante de todos por su dificultad, se tratará la seguridad WPA en toda su extensión, obtención de handsake, tipos de diccionarios, manejo, y se usarán programas como Cowpatty, Johntheripper y la suite aircrack-ng. Para ello se utilizara la tarjeta Alfa USB 500Mw, con chipset Realtek 8187L.
Podemos empezar.
1.- WIFISLAX 3.1 - DUDAS Y ERRORES MAS COMUNES Por Rockeropasiempre.La siguiente sección está confeccionada con el fin de mostrar respuestas a los errores y preguntas más frecuentes cuando nos iniciamos con Wifislax. Cuando empezamos a auditar las primeras veces, suele pasar que nos encontramos con el hecho de que simplemente no sabemos lo que estamos haciendo, ni tampoco sabemos especificar ni detectar cual es el error que estamos cometiendo en el momento. Basándome en mi propia experiencia diré que cuando alguien me dijo, que tenía que poner mi BSSID, seguido de una letra con signo negativo, y además tenía que hacerlo todo en una Shell, me quedé como estaba, seguía sin tener ni idea de nada. A fuerza de leer, experimentar y escacharrar algún que otro aparato voy aprendiendo algo sobre el tema de la seguridad Wifi, poco la verdad, pero mejor que hace un tiempo. Por eso este apartado no está pensado ni escrito para que simplemente se ejecute, sino para que nos sirva de referencia al principio y motivación posterior. Queda claro pues, que si se desea aprender en este interesante mundo Wifi, no bastará con leer esto, sino que habrá que leer otros muchos tutoriales que hacen referencia a un uso más avanzado. Dicho lo dicho, pasemos pues al tema en cuestión.
Lo primero que debemos tener evidentemente, es un
Live Cd de Wifislax 3.1 ya con ello en las manos, procederemos a arrancar. Para descargarlo podemos hacerlo desde
aquí. Al entrar en la página nos encontraremos con la versión normal "segundo enlace", y en el tercer enlace tenemos la versión reducida. Yo personalmente prefiero la primera pero para gustos, los colores.
Una vez quemada la
ISO en un Cd, podemos empezar con ello. La forma de arrancar el Cd queda está explicado en este
enlace. Así pues, una vez grabado el disco, pasemos a los problemas que mas suelen darse en los comienzos.
WIFISLAX NO ME ARRANCA.Si al comenzar con el arranque, nos encontramos con este problema, la primera opción a revisar es el propio arranque de la BIOS, y asegurarnos de que está seleccionada como primera opción de boteo el lector donde tenemos el disco. Es interesante comprobar que el disco no esté arañado, rayado o defectuoso.
WIFISLAX YA ARRANCA, PERO SE ME BLOQUEA AL INICIO, Ó SE ME QUEDA LA PANTALLA EN NEGRO.Una vez hemos procedido a revisar todo lo anterior, y vemos que no conseguimos arrancar el programa, pasaríamos al tema de los cheatcodes.
¿Qué son los cheatcodes?, ¿Dónde los escribo?Los cheatcodes son comandos, cada uno de estos comandos realiza una función específica ,como por ejemplo deshabilitar la detección de hardware a la hora del arranque de Wifislax. Para ese caso en concreto se utiliza el cheatcode “nohotplug”. Cuando el live Cd arranca, por defecto procede a detectar todo el hardware existente en el equipo, y en ocasiones ocurre que la detección de algún hardware en especial nos esté creando algún problema. Los principales problemas de arranque en Wifislax , suelen tener que ver con la detección de hardware y con la propia tarjeta gráfica. Esto no quiere decir que siempre sea así, porque alguna vez podría inclusive causar el problema un simple ratón Usb. No obstante podría sernos útil cualquier otro cheatcode para alguna función en particular, como que los cambios se guarden en la memoria o cargar módulos opcionales específicos.
¿Dónde los escribo?Opción 1. Para introducirlos deberemos hacerlo al inicio del arranque. Esto quiere decir que deberemos escribirlos cuando se nos muestra la pantalla de Wifislax esperando que pulsemos enter para continuar. Desde aquí podremos introducir tantos cheatcodes como nos sean necesarios de uno en uno y pulsando enter tras escribirlo.
Opción 2.Tras pulsar enter en la opción 1 sin meter ningún cheatcode, veremos una pantalla con el título Wifislax Text mode. En esta pantalla se nos da la opción de arrancar con un único cheatcode, el cual elegiremos mediante las flechas de dirección. Si no pulsamos ninguna opción, el programa arrancará normalmente, al igual que si directamente pulsamos enter sin tocar las flechas de dirección.
El uso específico de estos cheatcodes es el siguiente:
acpi=off Este cheatcode es útil cuando al iniciar nos encontramos con un pantallazo negro. La forma de usarlo es tan simple como seleccionarlo y pulsar enter, y “así para el resto de cheatcodes de esta lista.”
noagp Evita la detección de nuestra tarjeta gráfica, y así evitar posibles errores que pueda causarnos en el arranque.
nopcmcia Impide el acceso a la detección del puerto PCMCIA, evitando que pueda reconocernos una tarjeta de ese tipo que nos esté causando algún problema.
nohotplug Este en concreto, lo que hace es inhabilitar la detección de casi todo el hardware de nuestro equipo. Quizás pueda ser el más utilizado, por el simple hecho de que algunos tipos de hardware den cierta guerra. Por eso este cheatcode procede a evitar la detección de los mismos, y ahorrarnos quebraderos de cabeza.
nobluetooth Incapacita los soportes para bluetooth en la live Cd.
A mí, personalmente, no me ha hecho falta usarlos a menudo, pero en el siguiente link encontrareis mucha más información detallada de la mano de HWAGM sobre los cheatcodes, ya que en caso de problemas con el arranque del live Cd, debemos pensar que no solo existen estos cinco que vemos en la imagen, sino que hay otros pocos más que podrían hacernos falta para algún problema en particular. En el supuesto de que así fuese, y nos hiciera falta usar alguno que no esté en la lista, deberemos introducirlos como se menciona en la opción 1.
http://www.wifislax.com/manuales/cheatcode.phpPara continuar sería necesario, familiarizarse con algunos de los términos más usados , ya que de aquí en adelante nos harán falta. He asociado a cada término un color para verlo mejor en la imagen.
Quede claro, que en la terminología wifi, a veces se utilizan términos que puedan parecer en un principio, un tanto agresivos, no obstante es obvio, que cuando nos referimos por ejemplo a la víctima, no significa que vayamos a agredir a nadie, ni que se tenga que aplicar en el sentido mas literal de la palabra. Son solo eso, términos para entendernos mejor. Aquí va un pequeño listado.
AP = Access point, punto de acceso inalámbrico (router).
MAC = Numeración de cada tarjeta inalámbrica. Viene a ser el D.N.I de cada tarjeta.
Victima = Nuestra red a verificar para su seguridad.
Cliente = PC conectado con la víctima.
STATION = Mac del cliente asociado con la víctima. (Flecha azul en la imagen).
Shell = Ventana
BSSID = Mac de la víctima (Flecha blanca).
ESSID = Nombre de la red. (Flecha verde).
POWER = Potencia de la señal de la red en cuestión. (Flecha roja).
Datas, Iv’s = Paquetes específicos con la información de la cifrado.
Beacons = Paquetes. Son simplemente eso, paquetes anuncio, que envía cada red.
Una imagen vale más que mil palabras, están señalados en colores distintos algunos de los términos más significativos.
Evidentemente no he señalado todos, pero los que quedan podemos intuirlos claramente. En la ventana superior izquierda podemos identificar los siguientes:
RXQ: Es el valor de la señal limpia, es decir sin ruido, la potencia real de la red.
#/s: Este valor es variable y nos da el porcentaje de las datas que se capturan por segundo. En base a ello podemos calcular aproximadamente cuanto tiempo nos llevará capturar un número determinado de Datas.
Ch: Canal en que emite el Ap.
Mb: Muestra el valor en Megabits de la tarjeta víctima.
Enc: cifrado de la red. Varía entre Open, Wpa, Wep y Wpa2.
CIPHER: Este campo pertenece al cifrado de la red, y comprende los siguientes valores; WEP para redes con cifrado WEP. Valor nulo para redes sin cifrado (OPEN). Y por último los valores CCMP y TKIP para redes con cifrado WPA
AUTH: Autentificación de la red. Existen dos tipos de autenticación Open y Shared. Por lo general el campo perteneciente a este valor suele estar vacio, a excepción de las redes WPA, las cuales mostrarán las siglas PSK tanto si la cifrado es en WPA o WPA2.
Y por último una de las más importantes, tal vez la reina de la casa;
ARP: Estas son las siglas de
ADDRESS REQUEST PREDICTION, en castellano es la traducción de nuestra dirección Mac a una Ip para aumentar la velocidad de conexión.
Por supuesto son muchas más las palabras empleadas en la terminología Wifi, pero estás quizás son las que considero necesarias para comenzar con todo esto. A medida que se vaya subiendo el rango de aprendizaje, el nivel de terminología también subirá, pero de momento, no toca. Por tanto, con estas tenemos para empezar.
DISPOSITIVOS WIFI NECESARIOS PARA AUDITAR.Evidentemente para auditar con Wifislax como su propio nombre indica, deberemos tener al menos un dispositivo Wifi instalado. Esto no es otra cosa que una tarjeta inalámbrica. Se presentan en varios formatos tales como:
-
Pci, para ordenadores de sobremesa.
-
Usb para estos últimos y también para portátiles.
- Tarjetas
PCMCIA y
Mini Pci, las dos explícitamente para portátil.
Lo primero a tener en cuenta y razón más que
IMPORTANTE, es el chipset que nuestro dispositivo monta, en base a ello podremos auditar con Wifislax o no. Quiero decir con esto, que si el chipset que el dispositivo monta, no es compatible con Wifislax, nada podremos hacer con esa tarjeta. Por eso es más importante el chipset, que la propia marca del dispositivo en cuestión. Queda claro entonces que para auditar con el programa debemos tener en cuenta que no todos los dispositivos Wifi nos sirven para tal fin. En el siguiente listado vemos los principales chipset para poder auditar con Wifislax, junto con su
*interface*.
* ¿Qué es la interface?La interface son las siglas con las que Wifislax interpreta cada chipset.
LISTADO DE INTERFACES. Atheros =
ath0 Este chipset se puede duplicar, es decir navega y captura. Creando las interfaces ath0 y ath1.
Ralink =
ra0Ralink dispositivo Usb. =
rausb0Prism = eth0Broadcom = eth0Zydas = eth0Realtek = wlan0Intel 3945, 5500 4965 = wlan0Intel 2200 =
eth1 y
rtap0 (Crea dos interfaces también)
En algunos casos como veréis, algunos chipset utilizan la misma interface que otros. Por ello deberemos estar atentos en el caso de que tengamos más de un dispositivo Wifi instalado, y poder así identificar cada uno para su posterior utilización. En tal caso el programa asignará un número distinto a cada interface. Por ejemplo dos dispositivos Zydas los reconocería de esta forma: eth0, eth1,… Dos dispositivos Ralink serían ra0, ra1. Un dispositivo Broadcom y otro Prism también los reconocería de igual manera, eth0, eth1. Uno con chipset Atheros y otro por ejemplo Usb Ralink, serían ath0 y rausb0. En el caso de que tengamos dos o más dispositivos cuyas siglas sean idénticas, los reconocería numerándolos sucesivamente, por ejemplo eth1, eth2, eth3, etc.…
¿COMO SE EL CHIPSET DE MI TARJETA, SI YA ME LA HE COMPRADO?Esto lo podremos averiguar en Windows a través del programa Everest por ejemplo.
Podéis bajarlo de
aquí, es de evaluación, pero cada uno ya sabrá como obtener la versión total.
Debería bastar con ir a la parte izquierda de dicho programa y pinchar en red para abrir el desplegable y ver los dispositivos de red instalados en nuestro PC. Si no somos capaces de verlo, podemos averiguar si nuestra tarjeta es compatible con el mismo Wifislax. Para ello, una vez abierto el programa, abriremos una Shell y en ella probaremos con distintos comandos:
Con este comando averiguaremos la interfaz del dispositivo e información al respecto de los mismos, como pueden ser la intensidad de la señal y el ruido de la misma. En la imagen podemos ver la interfaz de la tarjeta Atheros Pci (
ath0), y la interfaz de un dispositivo Usb Ralink (
rausb0). Fijaros que el driver de esta última es el
RT2500. Lo digo porque luego tendremos que forzarla para usarla con el
RT73.
Nota: “LA PRIMERA LETRA ES UNA L MINÚSCULA” NO SE ESCRIBE isusbCon el comando lsusb, detectaremos explícitamente los dispositivos Wifi Usb conectados al ordenador. En la foto vemos como ha detectado sin ningún problema el dispositivo Ralink.
Nota: “LA PRIMERA LETRA ES UNA L MINÚSCULA” NO SE ESCRIBE ispciCon el comando lspci, se procede a detectar todos los dispositivos Pci conectados al PC. Evidentemente si nuestra tarjeta es Pci, y compatible con Wifislax, la detectará de inmediato, y podéis ver como ha detectado la Atheros como un controlador Ethernet, que es en definitiva lo que es.
Siempre queda la forma artesanal, quitando el lateral del PC, y después el tornillo para desmontar la tarjeta e inspeccionar que pone. En los Usb quizás lo tengamos más complicado ya que no suele poner nada, pero indagando con el Everest seguro que daremos con ello.
¿Y SI NO TENGO TARJETA, PERO ME LA VOY A COMPRAR? En la actualidad existen diferentes modelos de tarjetas inalámbricas, modelos de Wifi Usb, diferentes marcas, y como no diferentes chipset. Antes de comprar la tarjeta deberemos asegurarnos que el chipset de la misma es compatible con la auditoría, para ello existen páginas de venta por internet que ya nos anticipan el modelo de chipset que incorporan. Así pues es conveniente fijarse primero en esto y después en la marca. Aquí dejo un link con la lista de tarjetas y chipsets compatibles con el programa. Es de hace un tiempo, pero nos servirá a buen seguro. Este link viene de la mano del amigo Hwagm, y en el mismo, hay incluido al final de la página dos enlaces mas, uno para tarjetas con chipset Atheros de la mano de isabido, y otro más para tarjetas con chipset Ralink, este último, creado por el amigo jmc66d.
http://hwagm.elhacker.net/htm/tarjetas.htm¿COMO PONGO MI TARJETA EN MODO MONITOR?Estooooooo, uummm, pero que es modo monitor?Respondiendo a la segunda pregunta, el modo monitor no es otra cosa que poner nuestro dispositivo en modo escucha, para poder ver que es lo que está pasando delante de nuestras narices pero que no vemos. Es como poner la oreja detrás de una puerta y no hacer ruido mientras nos enteramos de lo que pasa por nuestra red.
A la primera pregunta, para poner la tarjeta en modo monitor lo haremos desde el mismo programa. Dependiendo del chipset de nuestra tarjeta lo haremos de un modo u otro. Me explico, en mi caso con Atheros, basta con ir a
Menú, Wifislax, asistencia chipset, asistencia chipset Atheros, modo monitor. Aplicaremos sobre nuestra interface y listo, ya estamos en modo monitor. Con la Usb Ralink el proceso es similar, solo que en vez de Atheros elijo
Ralink forzar Rt73 sobre Rt750 y listo, modo monitor voila. Con una tercera antena, este caso Zydas, el proceso lo hago mediante
Shell, escribiendo en la misma
Iwconfig para que me la detecte primero y cuando me da la elección de
interfaz, en caso de Zydas eth0, la selecciono y listo. Modo monitor activado.
El proceso puede hacerse también manualmente mediante ventana y comando correspondiente. Para ello, abrimos Shell y escribimos el siguiente comando:
Para Atheros
De esta forma al usar la interface wifi0, lo que hemos hecho es crear una interface
ath1 (
que es la interface de atheros), y es esta la que se activa en modo monitor.
En la foto vemos ambas formas de poner la tarjeta en modo monitor.
Para Ralink Usb
Observad que en este caso, para la Ralink con driver
RT2500 tenemos que forzarla para utilizar el
RT73 que es el funciona.
*Ahora veremos como poner en modo monitor un dispositivo Usb con chipset Realtek en Wifislax 3.1 y poder usar airoscript con él. En este caso la tarjeta en si es la siguiente:
GOLD USB 800mW con chipset Realtek.
Una vez estamos ya en Wifislax 3.1, abrimos shell y escribimos para que detecte nuestra tarjeta:
Presionamos enter y de nuevo escribimos:
Recordad que wlan0 = la interface de Realtek
Tras presionar enter escribimos:
iwconfig wlan0 essid pepe
Tras presionar enter, lo único que deberemos tener en cuenta es el hecho de no cerrar esa ventana, de lo contrario tendremos que volver a repetir el proceso. Pues nada, ya simplemente nos queda abrir airoscript y manos a la obra.
Hay que comentar que para realizar el proceso inverso y deshabilitar el modo monitor, habría que realizar el proceso cambiando “
start”, por “
stop”. En una Shell escribir el siguiente comando;
Para Atheros
Recordad que ath1 fue la interface que nos creó anteriormente, en el caso de que tuviéramos mas atheros, habría que hacerlo con el número que tocara; ath1, ath2, ath3, etc...
Para hacerlo mediante el ratón, sería
Menú-Wifislax-Asistencia chipset-asistencia chipset Atheros-modo managed.
Para la Ralink, en ventana escribir:
Para la Realtek:
Dicho esto, queda claro que el proceso puede hacerse en ambas formas, mediante el uso del ratón y el uso de comandos.
PROBLEMAS CON BEACONSUna de las preguntas más frecuente suele ser: “
Me suben los beacons pero no los datas”
¿Qué significa esto?. Esto no es otra cosa que simplemente estamos viendo pasar ante nuestras narices paquetes, pero estos no sirven , ya que solo son paquetes anuncio y por ende no contienen los datos de la clave. Obvia decir que si estamos capturando
beacons y ningún
data, estamos perdiendo el tiempo. La respuesta a la pregunta me suben los
beacons pero no los
datas es que sencillamente puede que el
Ap no esté navegando, que no estemos asociados a él, o que simplemente esté ahí, sin hacer nada, encendido. Pueden pasar miles de paquetes por nuestras narices, o mejor dicho por las narices de nuestra tarjeta. Pueden pasar muchos, muchísimos pero si no estamos asociados con la red en cuestión, eso es todo lo que vamos a ver. Solo veremos
beacons. Para que el invento funcione, deberemos de asociarnos y capturar lo que verdaderamente nos interesa;
datas. Fijaros en la siguiente foto.
Concretamente en la ventana Asociando con:
(ESSID), se observa como nos hemos asociado con un cliente
(Association sucessful:-), pero al no haber movimiento entre la red y el cliente conectado a esta, no podemos capturar. Lo que necesitamos entonces es generar el tráfico de alguna manera, y así comenzar a provocar las peticiones
ARP.¿SE PUEDE SOLUCIONAR?Si, para generar tráfico con nuestra propia tarjeta deberemos echar mano del tuto que Heavyloto ya publicó en su día para tal fin, y nosotros vamos a usar ahora.
Una vez empezado todo el proceso y viendo que no suben las datas, debemos fijarnos si hay
clientes conectados. En caso afirmativo debemos asociarnos con un
cliente y para ello abriremos
Shell y escribiremos en la misma:
aireplay-ng -3 –b (Mac víctima) –h (Mac cliente) (las siglas de nuestra interface)
Una vez presionemos enter, veremos como en algunos casos, las datas comienzan a moverse, en ocasiones de una forma escandalosa, pero es lo que queremos no?. Falta aclarar que es posible que tardemos en capturar peticiones
ARP, y este factor es mas que
IMPORTANTE, ya que necesitamos de ellas, y si no hay tráfico el ataque no resultará efectivo.
En el caso de que no haya ningún
cliente, o aunque lo haya, no exista tráfico entre el
AP y el
cliente, deberemos generarlo nosotros mismos, utilizando para ello nuestra propia tarjeta. Para esto abrimos
Shell, y escribiremos lo siguiente:
aireplay-ng -1 30 –o 1 –e (nombre del Ap) –a (Mac victima) –h (nuestra Mac) (nuestra interface)
Esto hace que nosotros mismos nos asociemos como un
cliente, y solo nos queda repetir el primer ataque, pues ahora ya hay cliente, nosotros mismos.
NO CONSIGO DATAS, Iv’sHaciendo uso de la ,
BIBLIA y apoyándome en pruebas realizadas, los posibles motivos por los que no se consiguen datas pueden variar. Una de las principales causas suele ser el tema de la cobertura, si no tenemos una cobertura buena
(POWER) o esta es insuficiente, difícilmente podremos capturar. Sería como intentar coger algo con la mano. Si lo que queremos coger, está diez centímetros más allá de nuestros dedos, podríamos hacer un esfuerzo y rozarlo, pero no sería tan sencillo como si tuviéramos una mano más grande. Esto se puede solucionar de dos formas, o bien poniendo una antena en condiciones, o acercándonos al
AP.
Otra causa, una vez más, podría ser el tráfico de red. Si por algún motivo este se paralizara, la captura también lo hace. Otro motivo puede ser falla en la tarjeta que usamos, pero esto no debería ser problema si hemos optado por un buen chipset, aunque de todas formas nunca estamos exentos de que se nos averíe.
LOS DATAS SE ME PARAN A CIERTA CANTIDADLa respuesta a esta pregunta es muy simple y tiene que ver con lo anterior. Es decir si hay tráfico de red entre el
AP y un
cliente entonces es cuando podemos capturar peticiones
ARP y
datas, pero OJO, en el momento que dicho tráfico se para es cuando también se para la captura y por tanto las
datas también se paran. Esto se soluciona de la misma forma que hemos hecho hasta ahora, es decir asociándonos con el
cliente. Si el
cliente desapareciese, entonces obviamente tendríamos que generarlo nosotros, para ello, una vez más, aplicaríamos el ataque citado anteriormente.
NO CONSIGO INYECTARPara inyectar necesitamos una vez más peticiones
ARP. Para generar peticiones, deberemos seguir los pasos leídos antes, pues al asociarse con un
cliente o siendo uno mismo, empezaremos a capturar peticiones. Si no hay peticiones
ARP, es la pescadilla que se muerde la cola, porque no tenemos nada, y por tanto la inyección no funciona. Nos fijamos para verlo más claro en la imagen de abajo, en la última línea, vemos como hay 0 peticiones del
ARP. La solución como se puede preveer pasa por repetir los pasos citados antes y volver a asociarse con un
cliente o generarlo, si no lo hubiese.
Nota: Esto no es una ciencia exacta, y puede que tardemos 1 minuto, o 1 mes en capturar la primera petición
ARP, por tanto el uso de Wifislax conlleva la práctica de la paciencia y la persistencia.
Ahora nos fijamos en la siguiente imagen, donde las peticiones
ARP ya están disparadas, (nada que ver con la imagen anterior, fijaros bien) además observamos por curiosidad la flecha blanca que señala a las datas, que ya han sobrepasado las
250.000, y en la ventana de Aircracking que ya está buscando la key.
En la última foto vemos como ya ha soltado la key con poco más de 540.000
datas, iv's, (ventana derecha aircracking). Volviéndonos a fijar ahora en la ventana:
"capturando datos del canal 2" , fijaros por curiosidad, la cantidad que lleva capturada (flecha blanca). Pero lo que de verdad importa es empezar a capturar peticiones
ARP, que ahora andan por algo más de los 8 millones.
PROBLEMAS CON LA CANTIDAD DE DATAS PARA RESOLVER KEYEste es otro de los fenómenos que a menudo mas se repite. Hay que tener en cuenta de primeras, que no siempre todos las
datas contienen la información necesaria como para que aircrack nos dé la clave con una cantidad fija de los mismos. Esto siempre va a variar según la información contenida, y según el tipo de clave, por ejemplo una clave en 104 bits es posible que requiera 1.000.000 de
Iv’s o incluso más. Por otro lado si las
datas que hemos capturados no contienen información variada y muchos son repetitivos o negativos, lo que ocurrirá es que necesitaremos capturar mas. Así que, que no nos pille de sorpresa esto, ni tampoco nos lleve a la desesperación, simplemente pasa. En la imagen de abajo se muestra la ventana de aircracking diciéndonos que algo ha fallado. La solución pasa por seguir capturando datas y continuar con el proceso tal cual, volviendo a abrir aircrack cuando lo estimemos oportuno.
¿ENTONCES CUANTOS DATAS HACEN FALTA PARA QUE AIRCRACK DE LA CLAVE?Es más de lo mismo, pero voy a intentar mostrarlo con imágenes para que quede más claro. En esta captura vemos como he intentado lanzar aircracking con casi 600.000
datas (una cantidad considerable ¿no?), y el proceso ha fallado.
¡!! PERO SI YA TENGO 250000 ¡¡¡ ¿¿¿Y NO ME LA DA????Y qué???, no importa. Personalmente para mi 250.000 es una cantidad media que me ha dado muy buenos resultados, pero esto no quiere decir que siempre tenga que ser así. Hubo ocasiones que soltó la key con 150.000, otras con 14.000, y otras, como se ve en las imágenes, han hecho falta más de 600.000.
La imagen de abajo es la consecución de la anterior. Ha sido necesario capturar 400.000 más para este fin.
Como se ve, todo es siempre cuestión de paciencia y persistencia.
¿Entonces, es imposible sacar la key con cantidades menores?
Pues no, no es imposible. Eso sí, hay que tener en cuenta que una clave en 104 bits, será fácil que nos haga falta capturar mas
datas, que otra más corta. Hay métodos y formas para lanzar el aircrack. El kit de la cuestión está en aprender a manejar de una forma correcta este asunto. Esto se consigue con la lectura y el estudio de buenos manuales que ya andan por
Elhacker.net hace tiempo. En ellos se explica de forma muy detallada el uso y manejo de esta cuestión. Como detalle apuntaré que el aircrack-ptw es bastante más eficaz y rápido que el aircrack-ng. No voy a extenderme mas sobre este asunto, tan solo veremos de una forma rápida como proceder. Vemos unas capturas.
Como se aprecia en la ventana de captura (izquierda superior), las
datas ni siquiera llegan a 21.000 y el aircracking ha resuelto la key con tan solo 19.488 paquetes. El proceso es simple pero ha de ser ejecutado correctamente. Para ello explicaré el orden que se ha seguido.
Lo primero, a estas alturas ya debería ser obvio. Es decir, poner tarjeta en modo monitor, escaneo, etc., etc. Una vez capturando, procederemos a lanzar el aircrack, abriendo para ello una
Shell, y escribiendo el comando
Dejamos un espacio tras este comando, y posteriormente arrastraremos la captura del
AP correspondiente. La captura deberemos buscarla siguiendo la ruta:
/root/swireless/airoscript
La arrastraremos desde esa ventana hasta la
Shell donde tenemos el comando
aircrack-ptw esperándonos.
Con esto conseguimos que aircrack empiece a trabajar desde ya, pero eso no quiere decir que tenga que resolverla con la cantidad que en ese momento tiene capturada, ver sino en la imagen siguiente como se han realizado varios intentos hasta que dió resultado.
Como se puede apreciar en este caso concreto, el primer intento fue con 14.141 paquetes y este erró, el segundo con 16.067 también falló, el tercero ni siquiera se molestó, y el cuarto fue el definitivo. Para ir cerrando este tema, comentaros que el proceso puede efectuarse con distintas fórmulas como el comando
aircrack-ptw y también con
aircrack-ng. Además hay que comentar que existe una tercera opción que sería con el comando
aircrack-ng -z, esta última opción es bastante interesante, ya que nos permite dejar nuestro pc capturando, y el solito volverá a intentarlo cada 5.000 datas. Esta opción, la cual tiene una presentación mas "bonita" tiene por contra que en portátiles puede darnos problemas de calentamiento. Realizar vuestras propias pruebas al respecto, sin olvidaros también que aircrack puede lanzarse también desde airoscript sin necesidad de hacerlo mediante Shell y comandos. Está explicado en el
manual básico para Wifislax, y recordad que la cantidad de
datas es una ciencia casi inexacta que en ocasiones nos llevarán minutos, y otras se nos irán las horas, días o vete tú a saber cuánto.
Esta guía no representa un manual en sí, sino más bien es el apoyo que completa el manual básico para Wifislax. Por eso hago hincapié en que deben de leerse otros muchos tutoriales y manuales que son los que en definitiva nos llevan a este punto concreto en el que nos encontramos hoy. Por eso apunto algunos enlaces que nos serán de mucha ayuda y no son solo recomendables sino más bien obligatorios para poder llegar a entender las cosas de pleno.
La Biblia, manual por excelencia y obligatorio:
LA BIBLIA VERSION ORIGINAL AIRCRACK POR DEVINELA BIBLIA VERSION ACTUALIZADA POR MISTERXOtros enlaces muy interesantes y prácticamente obligatorios también, son estos:
COMANDOS LINUXDEFINICIONESAIRCRACK-NGATAQUES WIFISLAXGUIA NESTUMBLER Nestumbler es el programa por excelencia en detección de redes y entre otras cosas nos muestra la potencia de la señal, el ruido, mac del ap, essid, canales, etc. En definitiva es obligatorio cuando escaneamos desde Windows, ya que en base a ello, tendremos una mejor referencia a la hora de usar Wifislax. (No olvidemos que Wifislax corre bajo Linux). Podremos encontrarlo fácilmente en la red.
Sin más preámbulos, vamos a pasar al siguiente punto de este tutorial.
2.- INTRODUCCION A LA SEGURIDAD WEP. Por Heavyloto.
DIFERENTES TIPOS DE ATAQUES POR COMANDOS EN WIFISLAX O WIFIWAY, EN ESTE CASO USAREMOS WIFIWAY 1.0 FINAL.
- Ataque 0: Desauntentificación
- Ataque 1: Autentificación falsa
- Ataque 2: Selección interactiva del paquete a enviar
- Ataque 3: Reinyección de petición ARP
- Ataque 4: El “chopchop” de KoreK (predicción de CRC)En primer lugar decir, que este manual/tutorial, está creado para, comprobar la vulnerabilidad de nuestras redes, y no para fines maliciosos o delictivos, siendo de cada uno la responsabilidad del uso que se le dé.
Una vez ya hemos abierto el Cd live (
Wifislax,
Wifiway), abrimos una Shell o consola, en la cual comprobamos la interface de nuestra tarjeta, en este caso es una Alfa Usb 500mv, con chipset Realtek 8187L y ejecutamos el siguiente comando,
Aquí nos dirá, si nuestra tarjeta es reconocida por el sistema o no lo es. Bien sabiendo ya la interface de nuestra tarjeta que puede ser, wlan0, wlan1, ath0, etc, etc, dependiendo del chipset claro está. En este caso es wlan0, (
puesto que es Realtek), ejecutamos el airodump-ng, para abrir el escáner de redes en la misma Shell.
Una vez abierto el escáner de redes como veis en la foto, nos muestra todas las redes a nuestro alcance. Seleccionamos nuestra red, de la cual debemos saber,
bssid (Mac del AP), ch (canal donde emite), essid (nombre del AP), vamos a crear un archivo donde se guardaran nuestras capturas, paramos el escáner, con Ctrl+c, y escribimos en la misma Shell:
airodump-ng -c ch -–bssid (Mac del AP) -w (nombre archivo) wlan0
Por ejemplo el canal es, el 6 y la bssid es, aa:bb:cc:dd:ee:ff
(se entiende que habremos de poner los reales), el nombre del archivo lo inventamos, por ejemplo,
lan, quedaría así;
airodump-ng –c 6 -–bssid aa:bb:cc:dd:ee:ff –w lan wlan0
Una vez hemos ejecutado esto nos quedara en pantalla nuestro
AP, donde veremos si hay cliente, que aparecerá debajo de STATION. Si no lo hay, en otra Shell, sin cerrar esta, ejecutamos el siguiente comando que pertenece al Ataque 1.
aireplay-ng -1 30 -o 1 -e (nombre bssid) -a aa:bb:cc:dd:ee:ff -h (Mac de nuestra tarjeta) wlan0
Bien, suponiendo que nuestro AP se llama PERICO, y la Mac de nuestra tarjeta es 00:11:22:33:44:55, quedaría así:
aireplay-ng -1 30 -o 1 -e PERICO -a aa:bb:cc:dd:ee:ff -h 00:11:22:33:44:55 wlan0
En el caso de que se llame PERICO DE LOS PALOTES,
pondremos el nombre entre comillas, ya que cuando el essid lleva espacios se hace de esta forma. Ejemplo:
aireplay-ng -1 30 -o 1 -e “PERICO DE LOS PALOTES” -a aa:bb:cc:dd:ee:ff -h 00:11:22:33:44:55 wlan0
Ahora saldrá la Mac de nuestra tarjeta debajo de STATION, (
en algunas ocasiones).
Como ya sabemos, estamos haciendo una
asociación falsa a nuestro
AP, que si hemos tenido éxito y estamos asociados, debajo de
AUTH saldrá
OPN, y saldrá la Mac de nuestra tarjeta debajo de
STATION, (esta Shell podemos pararla) en otra Shell ejecutamos el Ataque 3.
aireplay-ng -3 -b aa:bb:cc:dd:ee:ff -h 00:11:22:33:44:55 wlan0
Si tenemos suerte y conseguimos inyectar, estarán subiendo las datas al mismo tiempo más o menos que las peticiones ARP, que a la vez, se estarán guardando en el archivo que creamos al principio. Una vez hayamos superado las 50.000 datas,
(mas o menos, podemos hacerlo antes, pero es aconsejable a partir de ahí), ejecutamos aircrack, en otra Shell, de la siguiente manera.
Como nosotros lo habíamos llamado
lan, lo haremos así:
aircrack-ptw lan-01.cap
Y hay esta nuestra clave, (foto de arriba). En este caso, hemos necesitado 44.092 datas y hemos capturado 39.921 paquetes
Ahora bien, si resulta que ya tenemos un cliente (siguiente foto, donde apunta la flecha) y su Mac es aa:bb:cc:dd:ee:ff, aplicamos directamente el Ataque 3.
Ataque 3aireplay-ng -3 -b Mac víctima -h aa:bb:cc:dd:ee:ff interface
Asociándonos de esta manera con la Mac del cliente, en este caso aa:bb:cc:dd:ee:ff
Donde, ocurrirá también lo mencionado anteriormente, y la misma operación, en alcanzar datas suficientes y capturar los paquetes necesarios, igual que antes, ejecutamos;
aircrack-ptw (nombre archivo)-01.cap
Que con un poquito de suerte nos dirá la clave, que ente caso, hemos necesitado, 44.351 datas y 34.173 paquetes. (Foto de arriba, ventana pequeña).
Ahora, vamos al momento en que nuestro AP a pesar de estar correctamente asociado, o tener cliente, no conseguimos inyectar, por que las datas no suben o suben muy despacio, y no hay manera de enganchar una para la inyección. Utilizaremos el Ataque 2, o bien después de un Ataque 1, o un Ataque 3, según correspondiera, si hubiera cliente o no, sería el siguiente comando.
aireplay-ng -2 –p 0841 –c ff:ff:ff:ff:ff:ff –b (bssid del Ap) –h (nuestra bssid o la del cliente) wlan0
(A estas alturas ya sabemos asociarnos, ¿verdad?) ;
Como estamos asociados con éxito, utilizamos nuestra Mac o bssid,
(la real, no la simbólica que en este caso es 00:11:22:33:44:55) 
aireplay-ng -2 –p 0841 –c ff:ff:ff:ff:ff:ff –b aa:bb:cc:dd:ee:ff -h 00:11:22:33:44:55 wlan0
Aquí estamos enviando paquetes, a la espera de que suba una data que nos facilite la inyección, a veces es con la primera que sube pero otras no, por lo que repetimos el ataque, hasta que nos funcione, aquí hemos tenido suerte y lo ha hecho con la primera como veis en la siguiente imagen.
Ahora nos preguntará si queremos utilizar los paquetes, simplemente le decimos,
yes.
A partir de ahora empezaremos a capturar, si tenemos suerte a una velocidad razonable, fijaros sino en las tres flechas que marco a continuación.
Cuando utilicemos este ataque, debemos tener en cuenta que vamos a necesitar 500.000, Iv’s, datas, para obtener la clave, podemos atacar antes, a veces funciona pero esa es la cantidad recomendable, aquí aircrack, lo utilizamos sin el
–ptw, quedaría así.
Como veis, nos ha dado la clave y su conversión a
ASCIIPara terminar vamos a ver de una forma breve el famoso
Chop Chop de Korek.
ATAQUE 4 : El “chopchop” de KoreK (predicción de CRC)Podria explicar este ataque y liarlo como ya está mas que liado por la red, pero hay un compañero, (
manel) del foro hermano
Seguridad Wireless, que lo hace de una forma sencilla y comprensible, en la linea en que se basa este tutorial. Con su permiso hemos añadido, su post en Seguridad Wireless
http://foro.seguridadwireless.net/manuales-de-wifislax-wifiway/chop-chop-con-bosslanalfa-a1-a4-a2-sin-clientes/Y esto es todo lo que puedo ofrecer, a base de comandos en Shell, por supuesto hay varias formas de interpretar los comandos, aquí hemos utilizado una de ellas, espero que este clarito, y os sirva de ayuda en la seguridad de vuestras redes.
WLANDECRYPTERAhora vamos a comprobar la vulnerabilidad de las redes WLAN_XX de telefónica. El Wlandecrypter es un pequeño generador de diccionarios para este tipo de redes, el cual se incluye en la distro Wifiway 1.0 final. El funcionamiento de Wlandecrypter es muy sencillo y básico. Lo único, que no poco, jeje, que hace este programa es generar un diccionario con las posibles claves WEP de las redes WLAN_XX. Mas abajo lo generaremos para verlo mas claro, lo marco con tres
asteriscos para que sepamos en que momento lo estamos creando y no nos perdamos.
Yo voy hacer una demostración de su sencillez de uso, ya que con pocos paquetes, nos dará la clave en pocos segundos. En esta ocasión voy a usar esta tarjeta;
GOLD USB Wireless 54Mbps 802.11g Chipset Zydas.Bien, abrimos airodump-ng para visualizar las redes como ya sabemos, en esta tarjeta la interface también es wlan0, con lo cual escribimos:
Aquí seleccionamos, nuestra WLAN_XX para capturar paquetes, de la siguiente manera y teniendo en cuenta que vamos a crear el archivo que llamaremos
lan, y la bssid del
AP es 00:11:22:33:44:55
airodump-ng –bssid 00:11:22:33:44:55 –w lan wlan0
Y quedará de la siguiente manera:
*** Ahora vamos a generar un diccionario con las posibles claves, usando este comando para Wlandecrypter.
wlandecrypter 00:11:22:33:44:55 WLAN_XX diccionario
Hemos generado un fichero, llamado diccionario que contiene las posibles claves, a continuación ejecutamos aircrack-ng añadiendo el diccionario creado y nuestro archivo.
aircrack-ng –w diccionario lan-01.cap
Ya tenemos nuestro diccionario trabajando. En pocos segundos con un poco de suerte…
…ya tenemos nuestra clave, con muy poquitos paquetes, en un plis plas, ¿sencillo verdad?, pues esta es la seguridad que tenemos en nuestra WLAN_XX, con cifrado WEP.
Wlandecrypter no es el único programa para redes concretas, entre otros tenemos; Jazzteldecrypter, Decsagem, Netgear, y otros cuantos mas que se están gestando para aparecer en un futuro no muy lejano. Cuando lo veamos oportuno iremos actualizóndonos en todo este terreno. De momento aquí os he dejado parte de nuestro trabajo, que como comenté antes iremos extendiendo con el tiempo.
Mostrar Temas
