HACKING WIFI- PARTE 1- INTRODUCCION Y BECO FRAMES

Las redes Wi-Fi son muy peligrosas. Son redes que no puedes ver fsicamente, es decir, no puedes poner protecciones
fsicas como s podras hacer con una red cableada. Adems las redes Wi-Fi atraviesa las paredes con lo que deja de estar
a tu alcance y ser complicado localizar a un atacante si no puedes verle fsicamente. Gracias a los dispositivos mviles
podemos conectarnos a muchas redes diferentes all donde vayamos. Los ataques pasivos como capturar el trfico de la
red es prcticamente indetectable y se pueden hacer desde muy lejos.
Os recomiendo la tarjeta Alfa Networks AWUS036h. En Kali ya trae sus drivers instalados, es capaz de capturar trafico e
inyectar paquetes.
Vamos a ver el arte del capturar paquetes wireless. El concepto es muy similar al de capturar en una red cableada, la
diferencia ser que aqu deberemos de poner nuestra interfaz de red en modo monitor (igual que cuando capturamos en
red cableada poniamos la interfaz en modo promiscuo) para poder aceptar todo el trafico, y no solo los paquetes en los que
seamos nosotros el destinatario.
Esto lo haremos con la herramienta Airmon-NG de la suite Aircrack-NG. Si utilizamos una interfaz de red externa como la
que he recomendado, a lo mejor hay que levantarla a mano. Primero listaremos todas las interfaces, caidas y levantadas:
# ifconfig -a
Y despues veremos las interfaces levantadas:
# ifconfig
Si aparece la primera vez, y no en la segunda, est caida y tendremos que levantarla de la siguiente forma:
# ifconfig wlan0 up
Ahora tenemos que crear una interfaz en modo monitor encima de nuestra inferfaz wifi que vayamos a utilizar, en nuestro
caso wlan0. Para saber si tenemos alguna en modo monitor escribimos:
# airmon-ng
Para crearla:
# airmon-ng start wlan0
Podemos comprobar que se ha creado con
# iwconfig
Donde vers que el modo es Monitor.
Ahora abriremos Wireshark y capturaremos con la interfaz mon0 que es la que se nos ha creado. Podemos ver los
paquetes del protocolo 802.11.

Capturar paquetes Wi-Fi (802.11) es ms complicado de lo que parece. El Wi-Fi se puede transmitir en 3 frecuencias
distitnas:
- 2.4GHz (802.11b/g/n)
- 3.6GHz (802.11y)
- 4.9/5.0GHz (802.11a/h/j/n)
Cada una de estas frecuencias se divide en canales (cada canal es una frecuencia especifica dentro del rango
correspondiente). Cada pais tiene una lista de canales permitidos, quien puede usar esos canales y la maxima potencia
con la que puedes transmitir en ese canal. En esta foto podeis algunos de los canales que se usan en Espaa. Hay paises
en los que es legal y otros en los que est prohibido utilizar determinados canales.

Las tarjetas de red vienen preconfiguradas con estas normas, pero hay tarjetas de red que se pueden cambiar }:).
Recordar que una tarjeta de red solo puede capturar en una banda (2.4 , 3.6 5) y un canal a la vez. En la prctica que
vamos a hacer se va a ver los diferentes canales y como cambiarnos de unos a otros.
Primero vamos a cambiar de canal nuestra tarjeta de red:
# iwconfig wlan0 channel 1
Nos hemos cambiado al canal 1, y si vemos la configuracin de la interfaz de red con iwconfig podemos ver como ha
cambiado el valor de la frecuencia en la que estamos y ahora aparece 2.412 que como podemos ver en la tabla anterior
corresponda al canal 1.
Ahora vamos a empezar utilizar la herramienta Airodump-NG para capturar la red e ir saltando por todos los canales. Por
defecto la herramienta trabaja en los canales de la frecuencia 2.4Ghz aunque podemos configurarla para capturar por otras
frecuencias y otros canales.
Ahora vamos a ver todos los puntos de acceso que hay emitiendo (parte de arriba), y todos los dispositivos que hay con el
wireless activado (parte de abajo).
# airodump-ng mon0

Los paquetes de tipo 802.11 se dividen en 3 tipos de paquetes:

- Management
- Control
- Data

Cada uno de estos tipos tiene a su vez subtipos. Tienes ms informacin en aqui. Vamos a centrarnos solo en los paquetes
relacionados con la seguridad y el hacking.
Cada punto de acceso es configurado con un SSID, para poder ser reconocido por los dispositivos clientes que se quieran
conectar a l. El punto de acceso emite Beacons Frames para anunciar su presencia y que todo el mundo sepa que est
ahi.
Ahora vamos a capturar estos Beacons Frames. Como siempre pondremos la tarjeta en modo monitor:
# airmon-ng start wlan0
Despus arrancaremos Wireshark y pondremos a capturar en la interfaz mon0. Podemos ver mucho trafico. En la columna
Info podemos ver como algunos de esos paquetes son Beacon Frames. Seleccionamos uno de ellos y nos vamos a la
ventana del medio de Wireshark, donde nos desgrana el paquete dividiendolo en capas y campos. Seleccionamos la
pestaa IEEE 802.11 Beacon Frame. Y podemos ver como el subtipo de paquete es 8, y si vamos a la tabla anterior
podemos ver que el tipo 8 (1000 en binario) corresponde a un paquete de tipo Beacon.

Nos damos cuenta de que toda la informacin de este paquete va en texto plano, es decir, no va cifrado. Esto permitir a
un atacante crearse paquetes de este tipo, Beacons Frames. Con lo cual cualquiera podr inyectar este tipo de paquetes.
Con esto conseguiramos que a todos los dispositivos que haya por la zona les aparezca un nuevo punto de acceso.
Pues vamos a realizar la prueba. Esto lo haremos con la herramienta MDK3 de Kali. Utilizaremos la opcin de Beacon
Flood Mode para inyectar paquetes del tipo Beacon Frames en todos los canales provocando confusin en los dispositivos
cliente de la zona.

Hemos simulado que existe una red llamada Pwneado!

Que conclusiones podemos sacar de esta pequea prueba de concepto?

- En primer lugar que podemos hacer Spoofing de los paquetes.
- Que las cabeceras de los paquetes de Management y Control van en texto plano y no tienen ningn tipo de cifrado o
proteccin.
Si quisisemos hacer algo similar en una red cableada el atacante debera de estar dentro de esa red, pero la diferencia es
que aqu el atacante no tiene que estar dentro de ninguna red.
Ms adelante vamos a ver como sacar beneficio de esto, forzando a un cliente que se conecte a ti y no al punto de acceso
legitimo.
Autor: Roberto Lopez (@leurian)

HACKING WIFI- PARTE 2- CONEXIN CLIENTE-AP EN RED

ABIERTA Y CABECERAS WLAN

Vamos a ver el proceso conexin entre un cliente y un punto de acceso que no tiene contrasea. Lo primero
que haremos ser crear una red Wi-Fi sin contrasea, es decir, todo el trfico que haya en la red ir sin cifrar
y podremos verlo para analizar el intercambio de paquetes entre el cliente y el punto de acceso. Esto lo
explicar en los prximos post que sern ya todos prcticos, este ser el ltimo terico. Recomiendo ir
leyendo los artculos anteriores para poder comprender mejor los contenidos, puesto que habr cosas que me
salte por haberlas explicado en el anterior articulo por no repetirme.
Para que esta prueba funcione correctamente tendremos que configurar nuestra tarjeta de red en el mismo
canal que el punto de acceso al que se conectar un cliente para capturar ese proceso de conexin. Para ver
en que canal est el punto de acceso utilizaremos Airodump-NG (para que funcione habr que poner nuestra
tarjeta en modo monitor, mon0). En este caso haremos la prueba con la red WLAN_27E7. A continuacin
tendremos que poner nuestra interfaz mon0 (modo monitor) en el mismo canal. Tambin habr que cambiar
de canal la interfaz de red sobre la que se ha creado la interfaz en modo monitor, es decir, la wlan0.
# airodump-ng mon0

Con la herramienta iwconfig, invocndola sin argumentos podemos ver en que frecuencia est trabajando
nuestra tarjeta, y si miramos en la tabla que relaciona frecuencias con canales podremos ver a que canal
corresponde. De esta manera podremos comprobar que hemos hecho el cambio de canal correctamente.
Una vez hecho esto nos vamos a Wireshark y seleccionamos la interfaz mon0 para capturar. Ahora
utilizaremos un filtro de visualizacin para que solo nos muestre los paquetes que nos interesen y poder
hacer el anlisis sin tanto paquete que nos moleste. Primero mostraremos los paquetes que contengan la
direccin MAC del punto de acceso. La MAC del AP la podemos obtener de la herramienta Airodump-NG que

acabamos de utilizar. Pondremos un segundo filtro que indique que los paquetes tengan tambin la direccin
MAC del cliente. De esta forma podremos ver de una forma clara el intercambio de paquetes que ocurre entre
cliente y AP, ya que solo se mostrar por pantalla el trfico entre estos dos.
Filtro: (wlan.addr == <mac_AP>) && (wlan.addr == <mac_Cliente>)
Ahora conectaremos un dispositivo a esa red y veremos que ocurre.

No aparece en la imagen, pero el primer paquete que enva el cliente es un Probe Request al Broadcast
indicando a sus dispositivos de alrededor de su presencia para que a su vez, estos dispositivos de alrededor
enven Probe Responses indicando de su existencia para que el cliente pueda elegir a que AP quiere
conectarse. El cliente tambin podra enviar un probe request preguntando si hay en la zona un ESSID en
especfico, pero esto ya depende de la implementacin de cada sistema operativo en particular, ya que como
veremos ms adelante esto no es una prctica muy segura y los SO modernos estn dejando de hacerlo. De
todos modos veremos la forma de explotar esto ya que todava hay muchos dispositivos que s que lo hacen.
Lo siguiente en lo que nos tenemos que fijar es en el paquete Authentication, que ser un paquete de
tipo request con el objetivo de solicitar autenticarse al AP. Como es abierta la red, el punto de acceso
responder un paquete de tipo response dando el visto bueno. Una vez este proceso se ha realizado con
xito, se proceder a la asociacin, para que puedan intercambiar trfico. El cliente mandar un paquete
tipo request de asociacin, y el AP contestar con un response de asociacin.
Resumen (STA es el cliente y AP STA es el AP):

Ahora vamos a ver por encima las cabeceras de los paquetes WLAN.
Seleccionamos en el Wireshark un paquete, el Beacon Frame por ejemplo. Miramos en la ventana de en
medio y vamos a ir analizando las cabeceras. La primera cabecera llamada Frame nos dar informacin
sobre cuando se ha capturado ese paquete.

La segunda llamada Radiotap, nos da la potencia de la seal y la frecuencia en la que estaba el paquete
entre otras cosas.

Pero estas dos cabeceras no son propias del protocolo WLAN. La siguiente cabecera IEEE 802.11 nos dar la
informacin de las direcciones MAC y el tipo de paquete.

Y la siguiente pestaa ya ser el contenido del paquete, IEEE 802.11 wireless.

Autor: Roberto Lopez (@leurian)

HACKING WIFI- PARTE 3-OPERANDO CON POTENCIAS Y

FRECUENCIAS FUERA DE LA REGULACION
Para ver la serie completa pulsa aqui. Habr conceptos que se den por obvios ya que estn explicados en artculos
anteriores.
Las frecuencias en las que puede operar tu tarjeta de red WiFi estn reguladas por tu pas. Tambin est regulada la
potencia con la que puedes transmitir. El ordenador viene configurado con las restricciones para que no puedas cambiar la
configuracin de tu tarjeta de red a una configuracin que no est permitida en tu pas. Ms adelante lo veremos con un
ejemplo y nos saltaremos la regulacin del pas de una forma muy simple.
Primero necesitar ver las especificaciones tcnicas del producto, en este caso, mi tarjeta de red, para ver en que rango de
frecuencias puede operar, y de esta forma saber en que canales puedo operar como podemos ver en esta tabla.

Para mi tarjeta de red, he visto que puedo operar en las siguientes frecuencias:

La potencia puede aparecer de 2 modos, con la unidad de medida Watts, o en dBm. Lo normal es utilizarlo en la forma
dBm as que puedes transformarlo con esta tabla. Lo ms usual (en tarjetas de red para usuarios) es que la tarjeta tenga
una potencia maxima de 30 dBm.

Una vez tenemos claros los conceptos vamos a ponernos manos a la obra. Lo primero ser mirar en que frecuencia y con
que potencia est trabajando actualmente mi tarjeta de red.

En wlan1 podemos ver la potencia en el campo Tx-Power. Para esta interfaz no se muestra ninguna frecuencia porque
todava no est asociada a ningn punto de acceso, esto no quiere decir que no est configurada con una frecuencia
especfica, s que lo est, pero no se nos muestra. Para la interfaz wlan0 s que podemos ver que est en la frecuencia
2.452 GHz, y que est configurada con una potencia de 15 dBm.

Ahora har unas pruebas cambiandome de un canal a otro y finalmente intentar cambiarme a un canal que no est
permitido en mi pas, o que mi tarjeta no soporte esa frecuencia (en este caso no podremos hacer nada!).

La potencia se puede cambiar. Para cambiarla, y aumentarla, ser de la siguiente forma (no podrs aumentar a ms
potencia de la que ponga en las especificaciones tecnicas del producto!):
# iwconfig wlan1 txpower 30

Y me da error.
Cada pas tiene unas leyes que regulan las frecuencias en las que pueden trabajar las personas, y la potencia con la que
pueden hacerlo. Como hemos dicho antes el ordenador viene configurado con las restricciones para que no puedas
cambiar la configuracin de tu tarjeta de red a una configuracin que no est permitida en la regulacin de tu pas.. Esta
restriccin es una simple variable en el sistema operativo que indica el pas en el que ests, con la consecuencia de que
solo te dejar configurar la frecuencia y potencia de tu tarjeta de red para las regulaciones de ese pas.
Entonces lo que haremos ser cambiarnos el pais }:)
Para ver cual es la configuracin que tienes actualmente:
# iw reg get

El par de valores de la primera columna indican los rangos de las frecuencias en los que es posible emitir, es decir, se
podr emitir desde la frecuencia 2.402 Ghz hasta 2.472 Ghz, y as igual con el resto de rangos. Los siguientes pares de
valores son los que indican la potencia, es decir, hay que mirar el segundo valor (el 20) y este representa la potencia
mxima con la que puedes emitir segn la regulacin del pas actual en el que ests, en este caso 20. Esto quiere decir
que si nos ponemos una potencia superior a 20 como hemos intentado antes se producir un error.
Para hacer los cambios en las configuraciones es mejor que bajemos la interfaz..
# ifconfig wlan1 down

Vamos a cambiarnos y ponernos las regulaciones de EEUU:

# iw reg set US

Y podemos ver como al estar monitorizando los mensajes del kernel se ha cambiado la configuracin a EEUU. Y ahora
podemos ver que nuestra potencia mxima ser de 27 Dbm, aparece en la columna de ms a la derecha de todas.
Ahora si que podremos cambiar la potencia a 27 Dbm (siempre y cuando nos lo permite la tarjeta).
# iwconfig wlan1 txpower 27
Para poder volver a usar la intefaz habr que levantarla:
# ifconfig wlan1 up
El objetivo ser encontrar el pas en donde haya unos limites de potencia ms grandes y los rangos de frecuencia sean
ms grandes. BO y BZ, que son Bolivia y Belize los pais con ms potencia y ms rango de frecuenica =).
Enlace a las regulaciones de cada pais:
https://kernel.googlesource.com/pub/scm/linux/kernel/git/linville/wireless-regdb/
+/af726449e73286e1375e7a72336045d9d0ce84f8/db.txt

Autor: Roberto Lopez (@leurian)

HACKING WIFI- PARTE 4- ATAQUES HOTSPOT, OBLIGANDO

A LA VICTIMA CONECTARSE A MI
Vamos a crear un Soft AP. Es un AP creado a partir de un software en nuestra tarjeta de red, ya sea la propia del
ordenador, o la que hemos conectado por USB con capacidad de inyectar trafico (si no es capaz de inyectar la tarjeta, no
seremos capaces de desautenticar a la vctima del AP legitimo). Habr pasos que de por obvios porque ya se han tocado
en partes anteriores de la serie.
Lo que haremos ser desconectar a la victima de la red abierta a la que est conectada para que se conecte a la nuestra
que tendr el mismo nombre, y de esta forma no notar nada. Para hacer esto primero mandaremos paquetes de DeAutenticacin al AP legtimo para que la victima se desconecte, y despus crearemos un AP abierto con el mismo nombre
para que el dispositivo de la vctima se conecte a nosotros.
Una vez est conectado a nosotros podemos redirigir su trfico al AP legitimo y asi estar de MITM capturando todas sus
comunicaciones, o directamente dejarlo salir a internet.
Comencemos con la parte prctica:
# airmon-ng start wlan1
# airodump-ng mon0
Y me pondr el ESSID del AP abierto. El AP lo vamos a crear con la herramienta Airbase-ng. Hay que hacerlo en la
interfaz en modo monitor.
# airbase-ng -a AA:AA:AA:AA:AA:AA -e <nombre_AP_falso> mon0

Podemos ver el mensaje que dice que ha creado una interfaz at0 (que sera la equivalente a la interfaz de cable que tiene
un AP, es decir, un AP tiene la interfaz Wi-Fi por donde emite y se conectan los clientes; y tiene otra interfaz de cable por
donde el AP se conecta a internet). Pero esta interfaz at0 no est levnatada, si quisisemos capturar el trfico que pasa por
aqu, es decir el de la vctima tendramos que activarla nosotros mismos:
# ifconfig at0 up
Ahora forzaremos al cliente que est conectado AP legtimo, que se desconecte de este generando unos paquetes que se
llaman de Desautenticacin que sirven para desautenticar a la vctima.
# aireplay-ng deauth 0 -a <mac_AP> mon0

Para esto debes de estar en el mismo canal que el AP! Entonces lo que haremos ser poner nuestra
interfaz wlan0 y mon0 en el mismo canal que el AP legitimo, para poder hacer el ataque de de-autenticacin.
# iwconfig wlan0 channel 11
# iwconfig mon0 channel 11

Y podemos ver como nos aparece que se ha conectado alguien a nuestro Soft AP.

No tenemos servidor DHCP configurado en nuestro Soft AP, entonces la vctima no puede recibir una direcin IP, por lo que
al cabo del tiempo se autoconfigura con una IP del tipo 169.X.Y.Z puesto que nadie le ha dado una IP. En mi caso particular
la victima es el Iphone con el ultimo IOS y no aparecera el simbolito de que estamos conectados a una red Wifi puesto que
no tenemos aun conexin a internet, pero si nos vamos a la configuracin de la red podemos ver como efectivamente
tenemos una direccin IP de ese tipo.
Lo que haremos ser ponernos en nuestro ordenador una IP de este rango a la interfaz at0:
# ifconfig at0 169.254.174.226 netmask 255.255.255.0 up
Y si le hacemos un ping a la victima, veremos que nos responde =) Es decir, podramos hacer hacerle Information
Gathering, un Analisis de Vulnerabilidades, etc.
Ms adelante veremos como darle conexin a internet a la vctima par estar de MITM.
Con este miso mtodo se podran realizar ataques a clientes que no estn conectados a ninguna red. Cuando estos
pregunten por una red abierta con los paquetes probe request (con una red en especifica), tan solo tendramos que crear
esta misma red, de esta forma el dispositivo se conectara a ti.

En la foto podemos ver como determinados dispositivos estn preguntando por determinados APs, que si fuesen abiertos
podriamos crearlos y ya tendramos al dispositivo conectado a nosotros sin que la vctima se diese cuenta! Por seguridad
las ultimas versiones de los sistemas operativos ya no utilizan los probes request con un AP en especifico para evitar este
ataque, hacen el probe request al broadcast y son los AP los que contestan los probe responses indicando de su
presencia.
La primera vez que te conectas a un punto de acceso, se te aade el ESSID a tu lista de redes WiFi. Y siempre que el
cliente se encuentre con este punto de acceso se conectar automticamente a l sin preguntar nada al usuario, a no ser
que lo configures para que te pregunte cada vez que hay una posibilidad de conectarte (RECOMENDADO!).
Gracias a esto se va generando una tabla de puntos de acceso y contraseas. El cliente automticamente mandar
paquetes probe request para ver si encuentra redes Wi-Fi de su lista.
Las redes que tiene almacenadas el cliente pueden ser de 3 tipos:
- Sin autenticacin
- Wep
- Wpa/Wpa2
Cada uno de ellos tendr una forma distinta de hacer que el cliente se conecte a ti. Por ahora hemos visto el caso en el
que la red sea abierta.
El problema es que el cliente no autentica que el AP es el que dice ser, es decir, que no comprueba si el AP es el legitimo o
es un atacante. Entonces cualquier puede poner un AP con el nombre por el que el cliente est preguntando.
Autor: Roberto Lopez (@leurian)

HACKING WIFI- PARTE 5- COMO EVITAR EL FILTRADO MAC

DE UN AP
HACKING WIFI- PARTE 6- MITM (FAKE AP)
HACKING WIFI- PARTE 7- CRACKING WEP EN MENOS DE 5
MINUTOS

En un post anterior vimos como obener la contrasea de una red Wifi WEP con el metodo de Autenticacin Falsa, pero es
menos comn encontrar routers o puntos de acceso con esta vulnerabilidad. Esta vez lo vamos a hacer con el mtodo de
Desautenticacin, ms adelante vereis la diferencia.
Para hacer este proceso necesitamos una tarjeta de red Wifi que sea capaz de inyectar paquetes, puesto que la mayora
de tarjetas que vienen en los porttiles no son capaces de realizarlo, es muy comn utilizar un adaptador USB Wifi que sea
capaz. En mi caso he utilizado uno que venden en Media Markt que se llama DWA-123 de la marca Dlinkgo (una marca de
DLINK). El enlace es de un Media Markt de otro pais ya que en Espaa ya est descatalogado y solo venden los que les
quedan en stock. En el de Collado Villalba hace un mes que lo compr y quedaban todava 7 u 8.
Lo primero que tenemos que hacer es poner el adaptador USB Wifi en modo monitor para poder snifar todo lo que pase por
el aire. Lo haremos de la siguiente manera.

Despues el airodump-ng nos mostrar todas las redes que estn a nuestro alcance.

Para realizar el ataque por desautenticacin necesitamos que haya al menos un cliente conectado al punto de acceso para
poder desautenticarle con la tcnica de DoS a un AP para que al volver a conectarse enve un paquete ARP que ms
adelante explicar para que nos har falta. Por el otro metodo que os he comentado antes podemos obtener el paquete
ARP en el momento que hacemos la autenticacin falsa. Vemos en la foto como el punto de acceso acabado en F5 es
WEP y tiene un cliente conectado como hemos dicho que nos hace falta. Aparece en la columna STATION y es el cliente
con la MAC terminada en 43.
Ahora lo que tenemos que hacer es capturar nicamente el trafico del punto de acceso que nos interesa (el que tiene la
MAC acabada en F5) e ir guardando todo lo que capturemos en un fichero que se llamar pocHighSec. Podemos ver que
el punto de acceso utiliza el canal 1.

Para conseguir un paquete ARP tenemos que realizar el ataque de desautenticacin del cliente con su punto de acceso
para que cuando se vuelva a conectar enve un paquete ARP y sea capturado por nosotros y quede registrado en nuestro
fichero pocHighSec. Necesitamos un paquete ARP puesto que es el tipo de paquete que utilizada la herramienta para
clonarlo e inyectarlo en la red del punto de acceso al que estamos atacando de forma masiva para as poder generar
mucho trfico en poco tiempo. A nosotros lo que nos interesar ser capturar el paquete de respuesta (ARP replay) en
donde va variando el campo IV, a partir del cual descrifraremos la contrasea. Esto funciona de la siguiente manera
(sacado del post de Flu-Project sobre funcionamiento WEP):
Por el uso de la clave esttica se puede realizar ataques de observacin y gracias a la estadstica conseguir sacar el
patrn de la clave, y de este modo conseguir la clave esttica.
El IV se envia siempre en claro, por lo que son captados por cualquiera, adems de los 24 bits de los que estn
compuestos que es un valor demasiado corto. Recolectando un nmero alto de IVs se puede, mediante ataque estadstico
descifrar la clave. La autenticacin se realiza del AP al cliente, pero no del cliente al AP, por lo que el cliente no sabe
realmente si se conecta al AP que dice ser. Por esta razn existen los Rogue AP, o MITM a travs de un AP.
Ahora dejamos la herramienta aireplay-ng a la espera de capturar el paquete ARP y en cuanto lo tenga proceder a
inyectar una copia de estos paquetes a gran velocidad.

Ahora ser el momento de desautenticar al cliente para obtener nuestro esperado paquete ARP.

Debido a la vulnerabilidad del protocolo WEP cuando tenemos una gran cantidad de paquetes capturados de una red es
posible obtener la contrasea de la red. Podemos ver en la penultima foto como nuestra herramienta ya tiene su paquete
ARP y es capaz de clonarlo e inyectar el mismo paquete con gran velocidad para ir capturando tramas de esa red. Si os
fijais en la ultima linea pone (got 164044 ARP requests and 86688 ACKs), sent 105696 packets. Quiere decir que hemos
inyectado 105696 paquetes.
Mientras podemos ver como los paquetes capturados en nuestro fichero pocHighSec aumentan a una enorme velocidad,
mirando los #Data.

Una vez hemos llegado hasta aqu utilizaremos el aircrack-ng para que descifre la contrasea una vez tenga el numero de
IVs suficientes. Ir haciendo el crackeo cada vez que tenga un numero de IVs multiplo de 5000.

Pues como podemos ver en la imagen la clave se ha descrifrado correctamente y es lo que viene a continuacin de
ASCII:.
Espero que os haya gustado, un saludo,
Autor: Roberto Lopez (@leurian)

HACKING WIFI- PARTE 8- ATACANDO AL CLIENTE,

CRACKING WEP SIN AP: ATAQUE HIRTE
HACKING WIFI- PARTE 9
HACKING WIFI- PARTE 10- OBTEN LA CLAVE DE
CUALQUIER WLAN_XX (WEP) EN 2S
Vamos a ver como obtener cualquier contrasea de redes wifi de Telefonica que sean wep de la forma WLAN_XX (siendo
XX cualquier valor hexadecimal). Esto lo podemos hacer por que se ha descubierto la forma en la que se generaban las
contraseas y era muy simple.
El algoritmo de generacin de las contraseas era el siguiente. De los 13 caracteres que tenia la contrasea el primero es
la inicial del nombre de la marca del router. Los 6 siguientes son la primera mitad de la mac del fabricante del router. Los
siguientes 4 eran los unicos aleatorios (con lo que hacer fuerza bruta de 4 posiciones te puede dar la risa) y los ultimos 2
caracteres de la contrasea con el XX del nombre del ESSID WLAN_XX.
As que sabiendo como se generan las contraseas ya podemos ponernos manos a la obra. Primero pondremos nuestra
tarjeta de red wifi en modo monitor para poder monitorizar el trafico de cualquier red wifi que haya por el aire. A
continuacin con el framework aircrack-ng utilizaremos la herramienta airodump-ng para visualizar toda la actividad de
redes que hay por el aire.

Aqui tendremos que buscar una victima que tenga una wifi con el ESSID de la forma WLAN_XX y el cifrado sea WEP. En
este caso elegiremos la red WLAN_3B como victima para nuestra prueba de concepto. Ahora tendremos que realizar una
captura de trafico y guardarla en un fichero pero filtrando para que nos capture solo de la red que nos interesa.
Indicaremos sobre que canal se tiene que poner la herramienta a capturar (-c), el nombre del ESSID que queremos
capturar y el nombre del fichero donde guardar la captura. Utilizaremos la herramienta airodump-ng con la sintaxis de la
imagen (el resultado de la instruccin es lo que hay arriba aun que la instruccin la muestro despus de obtener el
resultado para que la vieseis en la foto como he obtenido la captura filtrada)

Lo siguiente que tengo que hacer es utilizar una herramienta que se llama Wlandecrypter que lo que hace es que me
genera un diccionario con todas las posibles claves para esa red, y como hemos visto antes, sabiendo el algoritmo de
claves que utilizaba Telefonica, ser muy pequeo el diccionario. Tendremos que indicarle a la herramienta la mac del
punto de acceso del que queremos obtener el diccionario, es decir, el BSSID de la red.

Una vez ya tenemos el diccionario lo que tenemos que hacer es pasarselo a la herramienta aircrack-ng (la que se encarga
de hacer fuerza bruta de nuestro diccionario sobre la captura que hemos ido guardando). Adems de pasarle el diccionario,
tambin le tenemos que pasar como digo, la captura que hemos cogido de la red para realizar la fuerza bruta sobre esta y
de esta forma obtener la contrasea. La sintaxis con la que he invocado aircrack-ng aparece en la foto a continuacin del
resultado que produce la invocacin del aircrack pero yo lo pongo a continuacin para que veais como he obtenido ese
resultado.

Pues como veis ya hemos descifrado la clave y es lo que viene a continuacin de ASCII: y podemos ver como
efectivamente el primer caracer es la Z de los router Zyxel de Telefonica, los siguientes 6 es la primera parte de la direccion
MAC del router y los ultimos 2 es el 3B de la WLAN_3B.
Espero que os haya gustado!
Autor: Roberto Lopez (@leurian)

HACKING WIFI- PARTE 11

HACKING WIFI- PARTE 12
HACKING WIFI- PARTE 13
HACKING WIFI- PARTE 14- CRACKING WPA/WPA2 SIN
DICCIONARIO

La idea de WPS no es la de aadir ms seguridad a las redes WPA o WPA2, sino facilitar a los usuarios la configuracin de
la red, sin necesidad de utilizar complicadas claves o tediosos procesos.
El sistema de PIN de esta tecnologa WPS puede ser reventado en poco tiempo, debido a un error en el diseo del
sistema WPS, por el que el router avisa de que estamos fallando, tras solo comprobar los cuatro primeros dgitos de
ese nmero de identificacin personal de ocho bits.
Mediante un ataque por fuerza bruta, nos llevara entre dos y diez horas descifrar los 8 nmeros del PIN del WPS del
router, pues con ese error la seguridad pasa de 100.000.000 de posibilidades a solo 11.000, debido a que solo hay que
acertar con dos grupos de nmeros por separado: uno de cuatro y otro de tres, pues el ltimo es solo un checksum.
Esto lo haremos con la herramienta reaver. Como siempre lanzaremos airodump-ng mon0 despues de haber puesto la
tarjeta de red en modo monitor airmon-ng start wlan0

Despues con el wirehsark monitorizando en la interfaz mon0 tendremos que ver si el punto de acceso tiene habilitado el
WPS, abrimos el paquete y tiene que aparecer el campo del WPS tal y como aparece en la siguiente imagen.

Cuando ya sabemos que la red tiene habilitado WPS lanzamos la herramienta con la direccin MAC del punto de acceso a
atacar.

Tardar unas horas as que no seas impaciente :p

El campo que pone WPA PSK: es la contrasea.

Autor: Roberto Lopez (@leurian)

HACKING WIFI- PARTE 15

HACKING WIFI- PARTE 16
HACKING WIFI- PARTE 17- COMO DESCUBRIR UN SSID
OCULTO
Una buena medida de seguridad para nuestro punto de acceso es ocultar nuestro SSID, es decir, que cuando hagamos un
escaneo de las redes Wifi no aparezca el nombre de nuestro AP, pero eso no evita que no est presente.
Como siempre pondremos nuestra tarjeta de red en modo monitor para as poder snifar todo el trafico que pase por la red y
podremos ver con el wireshark como aparecen los nombres de los SSID de los distintos AP que hay.

Podemos ver en la imagen anterior como podemos ver la MAC y el fabricante del AP, y a la derecha en el campo INFO
podemos ver el nombre del SSID. Pues para ocultar nuestro SSID nos iremos a la configuracin del router o punto de
acceso (AP) y activaremos la casilla que pone Ocultar punto de acceso.

Para poder descrubir los SSID ocultos vamos a utiliar al tcnica de esperar a que un cliente se conecte al AP. Esto va a
generar un paquete de solicitud que se llama PROBE REQUEST, y los paquetes de respuesta del AP se llaman PROBE
RESPONSE los cuales contendrn el SSID de la red.
Podriamos esperar que un cliente se conectase por l mismo a la red, o utiliar el ataque de de-autenticacin visto
en este post anterior, que consiste en desautenticar a la gente que hay en la red forzandoles a que su dispositivo se vuelva
a conectar a la red de forma automatica. Esto lo haremos con la herramienta aireplay-ng de la suite Aircrack-ng.

Una vez ya hemos conseguido que se generen los paquetes que nos interesan ya podemos ir al wireshark a buscarlos.
Utilizaremos un filtro de la MAC del AP, y podemos ver como los SSID son ocultos hasta que aparecen los paquetes de
PROBE RESPONSE en donde aparece nuestro SSID oculto que estabamos buscando.

Espero que os haya gustado, un saludo,

Autor: Roberto Lopez (@leurian)