ATAQUE 2: REENVIO INTERACTTIVO DE PAQUETES (Backtrack+Aircrack+RTL 8187L)

zero · 26-feb-2010, 01:01

Este ataque nos permite escoger el paquete a reenviar (inyectar). Este ataque puede obtener paquetes para inyectar de 2 formas. La primera es capturando paquetes con la tarjeta wireless. La segunda es utilizando un archivo cap. El formato estandard cap o Pcap (Packet CAPture, está asociado con la librería libpcap http://www.tcpdump.org),es reconocido por la mayoría de los programas de captura y análisis de tráfico. Esto permite leer paquetes capturados en sesiones anteriores,o que han sido obtenidos con otros ataques. Un uso común puede ser leer un archivo creado con packetforge-ng.
En este manual lo que haremos será radiodifundir (broadcast) los paquetes del AP y generar nuevos vectores de inicialización (IVs).
Para ello utilizaré Backtrack 3 y una Tarjeta wireless USB con chipset RTL 8187L,comenzamos:
Vamos a suponer que los datos de la red son:

BSSID:00:14:6C:7E:40:80 (MAC del AP)
ESSID:InseguridadyRedes (nombre de la red)
STATION:00:0F:B5:88:AC:82 (MAC del cliente asociado)
CANAL:6

Estos datos no son reales excepto el ESSID,los pongo para que sea mas fácil de entender el manual.Bien después de arrancar nuestro ordenador con Backtrack abrimos una shell y comprobamos que ha reconocido nuestra tarjeta wireless,para ello tecleamos iwconfig:

Vemos que nuestra interfaz es wlan0,ahora vamos a lanzar airodump-ng para ver las redes al alcance,en la shell tecleamos:

Código:

airodump-ng wlan0

Para escanear no es necesario tener la tarjeta en modo monitor,eso vendrá ahora despues,vemos que está ahí nuestra red InseguridadyRedes,bien paramos de escanear con Ctrl c y dejamos esa ventana ahí para luego copiar de ella los datos que necesitamos tales como BSSID,MAC del cliente,etc...

zero · 26-feb-2010, 01:07

Ahora abrimos una shell y tecleamos:

Código:

iwconfig wlan0 channel 6 mode monitor

Con esta linea de comandos hemos puesto la tarjeta en modo monitor y la hemos colocado a la escucha solo en el canal 6 para que no tengamos interferencias de otras redes,el rate no lo vamos a tocar puesto que estamos bien cerca del AP.
Ahora vamos a empezar a capturar tráfico de la red en cuestión,abrimos una Shell y tecleamos.

Código:

airodump-ng -c 6 --bssid 00:14:6C:7E:40:80 -w captura wlan0

Donde:
-c es el canal del AP
--bssid es la MAC del AP
-w es el fichero de salida de nuestras capturas
wlan0 nuestra interfaz wireless

Bien ya estamos capturando datos de esta red,esta ventana no la cerréis hasta terminar todo puesto que es la que está capturando paquetes.Bien ahora vamos a lanzar el ataque en esta ocasión como tenemos un cliente asociado al AP (STATION)vamos a utilizar su MAC en la opción -h.Si no lo hubiera primero tendréis que hacer una Falsa Autenticación (El ataque de falsa autenticación permite realizar los dos tipos de autenticación WEP (abierta u “Open System” y compartida o “Shared Key”) y asociarse con el punto de acceso (AP). Esto es muy útil cuando
necesitamos una dirección MAC asociada para usarla con alguno de los ataques de aireplay-ng y no hay ningún cliente asociado. Se debe tener en cuenta que el ataque de falsa autenticación NO genera ningún paquete ARP.)
Para lanzar el ataque abrimos una shell y tecleamos:

Código:

aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF -b 00:14:6C:7E:40:80 -h 00:0F:B5:88:AC:82 wlan0

Donde:

-2 significa ataque de inyección interactivo
-p 0841 fija el “Frame Control” en el paquete para que parezca que está siendo enviado desde un cliente wireless.
-c FF:FF:FF:FF:FF:FF fija como dirección MAC de destino cualquiera (broadcast). Esto es necesario para que el AP responda con otro paquete y así generar un nuevo IV.
-b 00:14:6C:7E:40:80 es la dirección MAC del punto de acceso (BSSID). Este es un filtro para seleccionar un único AP.
-h 00:0F:B5:88:AC:82 es la dirección MAC del cliente asociado
wlan0 es el nombre de la interface wireless.

Cita:

NOTA IMPORTANTE:A veces funciona simplemente utilizando la MAC del cliente directamente,pero es muy aconsejable que la MAC de la opción -h coincida con la nuestra para que funcione el ataque,yo en este manual no la cambié y todo fué bien pero si quereís cambiarla,después de escanear y antes de empezar a capturar tráfico,abrís una shell y tecleaís:

Código:

ifconfig wlan0 down
macchanger -m  00:0F:B5:88:AC:82 wlan0
ifconfig wlan0 up

Y ya habéis cambiado la MAC de vuestra tarjeta por la del cliente asociado

Nos pregunta si queremos usar ese paquete le decimos y y comenzará la inyección

Ahora esperamos un poquito a tener IVS suficientes para lanzar aircrack-ng,entonces abrimos una shell y tecleamos:

Código:

aircrack-ng -z captura*.cap

Donde:
-z fuerza el ataque PTW
* abre todos los ficheros llamados captura

Como veis en la columna data tenemos casi 20.000 paquetes,a veces hay que esperar a tener muchos mas paquetes ,tened paciencia.Y aquí tenemos la clave [AF:AF:AF:AF:AF],está en hexadecimal,para conectarnos a la red solo deberiamos ponerla así AFAFAFAFAF.
Esto ha sido todo,cualquier duda coméntenla por aquí.
Saludos

Segarra · 10-mar-2010, 10:34

Hola, una pregunta, cuando no hay manera de "asociar" la tarjeta Wifi con el Punto de Acceso, usando el comando:
aireplay-ng -1 0 -a BSSID Wlanx

Se puede hacer algo?

Gracias

zero · 10-mar-2010, 14:24

Cita:

Iniciado por Segarra

Hola, una pregunta, cuando no hay manera de "asociar" la tarjeta Wifi con el Punto de Acceso, usando el comando:
aireplay-ng -1 0 -a BSSID Wlanx

Se puede hacer algo?

Gracias

Es mas correcto usar algunos filtros más que no has especificado,sería algo así:

Código:

aireplay-ng -1 0 -e (ESSID) -a (BSSID) -h (tu MAC) wlan0

Algunas veces nos desasociamos del AP de forma periódica. Algunos puntos de acceso requieren que nos reasociaciemos cada 30 segundos, o sino considera que el falso cliente se ha desconectado. En este caso, es necesario fijar el periodo de re-asociación:

Código:

aireplay-ng -1 30 -e (ESSID) -a (BSSID) -h (tu MAc) wlan0

otra variación útil para algunos puntos de acceso:

Código:

aireplay-ng -1 6000 -o 1 -q 10 -e (ESSID) -a (BSSID) -h (tu MAC) wlan0

Donde:

6000 Reautentifica cada 6000 segundos. El largo periodo también provoca que se envien paquetes de “sigo aquí” o “keep alive”.

-o 1 Enviar solo un tipo de paquetes de cada vez. Por defecto está fijado en múltiples y esto confunde a algunos APs.

-q 10 Enviar paquetes de “sigo aquí” cada 10 segundos.

Otra cosa en la opción -h utiliza una MAC que sea creible,que la mayoria de routers ya no las aceptan tipo 00:11:22:... o 11:22:33:44....
Una dirección MAC es algo similar a: 00:09:5B:EC:EE:F2. La primera mitad (00:09:5B) de la dirección MAC se refiere al fabricante. La segunda mitad (EC:EE:F2) es única para cada aparato. Algunos puntos de acceso ignorarán direcciones MAC inválidas. Por lo tanto asegúrate de usar una dirección de un fabricante wireless válido cuando decidas cambiar la MAC. En otro caso los paquetes serán ignorados.

También asegúrate de que:

Estás físicamente cerca del punto de acceso.

Asegúrate que usas una dirección MAC de un fabricante real

El driver de la tarjeta wireless está correctamente instalado y parcheado.

La tarjeta está configurada en el mismo canal que el AP.

El BSSID y el ESSID (opciones -a / -e) son correctos.

Si es una Prism2, cerciórate de que has actualizado el firmware.

es:fake_authentication [Aircrack-ng]

Segarra · 10-mar-2010, 14:42

Muchas gracias, seguire probando con esas opciones.
Aunque no consigo que el campo DATA "crezca" de una manera rapida, a no ser que genere de forma "tradicional" datos, usando la wifi.
Osea, si no fuerzo la wifi, haciendo pasar datos con una coexion "real", la columna Data sube de vez en cuando...

La MAC si no pongo nada, pilla por defecto la real... que ventaja tiene poner una falsa?

Si no consigo que se "asocie" entiendo, que no se envian datos, por lo tanto la columna DATA no crece, por lo tanto no se pueden "interceptar" datos para analizarlos, por lo tanto no se puede averiguar la WEP no?
Ando muy desencaminado?

zero · 10-mar-2010, 14:58

Cita:

Iniciado por Segarra

Muchas gracias, seguire probando con esas opciones.
Aunque no consigo que el campo DATA "crezca" de una manera rapida, a no ser que genere de forma "tradicional" datos, usando la wifi.
Osea, si no fuerzo la wifi, haciendo pasar datos con una coexion "real", la columna Data sube de vez en cuando...

La MAC si no pongo nada, pilla por defecto la real... que ventaja tiene poner una falsa?

Échale un vistazo a esto:

Estoy inyectando pero los IVs no aumentan

Con respecto a lo de la MAC,la falsa pues se pone cuando no quieres que se sepa la tuya real...y lo dejo ahí

Segarra · 10-mar-2010, 15:56

Cita:

Iniciado por zero

Échale un vistazo a esto:

Estoy inyectando pero los IVs no aumentan

Con respecto a lo de la MAC,la falsa pues se pone cuando no quieres que se sepa la tuya real...y lo dejo ahí

Mirare el enlace a ver

Lo de la MAC, era lo que me imaginaba... muchas gracias por la ayuda.