Академический Документы
Профессиональный Документы
Культура Документы
http://foro.elhacker.net/wireless_en_linux/manual_wifislax_wifiway_av...
Buscador:
Buscar!
Autor
Desconectado
Mensajes: 1.458
INICIACIN EN WIRELESS CON WIFISLAX Y WIFIWAY 1.0 FINAL. INCLUYE WEP Y WPA.
1 de 62
2 de 62
En la parte que toca a Linux, KARR aport su grano de arena, aportando apuntes y
como no, algn que otro listado. Adems fue quien revis y di el ok al proyecto
final.
Esta gua en ningn caso est destinado a uso fraudulento o delictivo, el uso que
se haga de este aporte queda nica y exclusivamente ligado a la responsabilidad de
cada uno, quedando fuera de nuestras intenciones cualquier uso no debido, as como
de la pgina de elhacker.net. Los programas a los que se hace mencin o referencia
no estn destinados a tal uso, sino a la verificacin de la seguridad de nuestras
propias conexiones.
INDICE GENERAL.
El ndice est confeccionado de forma que vayamos de menos a ms, as pues, los
puntos quedan de esta manera:
1.- WIFISLAX 3.1 DUDAS Y ERRORES MAS COMUNES". Por Rockeropasiempre.
Resolucin de los errores que ms frecuentemente se presentan con el live Cd
Wifislax 3.1, con definiciones a un nivel usuario bsico/medio. En este apartado se
utilizan tarjetas Pci Atheros, Usb Ralink, y Usb Gold 800 Mw Realtek para los
aportes y explicaciones. En este apartado se maneja nicamente la cifrado WEP.
Nota: si no se ha leido el Manual bsico para Wifislax, y no sabemos nada al
respecto, poco o nada adelantaremos con este nuevo manual, ya que este es una
consecuccin del anteriormente citado.
2.- INTRODUCCION A LA SEGURIDAD WEP. Por Heavyloto.
En este apartado se maneja la seguridad WEP, diferentes tipos de ataque y su
funcionamiento. Tambin se maneja Wlandecripter. Para todo esto se utilizarn
tarjetas Realtek y Zydas, y la distro Wifiway 1.0 final.
3.- INTRODUCCIN A LA SEGURIDAD WPA. Por Zydas.
En ltimo lugar y quizs el ms relevante de todos por su dificultad, se tratar la
seguridad WPA en toda su extensin, obtencin de handsake, tipos de diccionarios,
manejo, y se usarn programas como Cowpatty, Johntheripper y la suite aircrack-ng.
Para ello se utilizara la tarjeta Alfa USB 500Mw, con chipset Realtek 8187L.
Podemos empezar.
1.- WIFISLAX 3.1 - DUDAS Y ERRORES MAS COMUNES Por Rockeropasiempre.
La siguiente seccin est confeccionada con el fin de mostrar respuestas a los
errores y preguntas ms frecuentes cuando nos iniciamos con Wifislax. Cuando
empezamos a auditar las primeras veces, suele pasar que nos encontramos con el
hecho de que simplemente no sabemos lo que estamos haciendo, ni tampoco sabemos
especificar ni detectar cual es el error que estamos cometiendo en el momento.
Basndome en mi propia experiencia dir que cuando alguien me dijo, que tena que
poner mi
15/07/2011 11:44 a.m.
3 de 62
4 de 62
5 de 62
6 de 62
7 de 62
8 de 62
Cdigo: lsusb Nota: LA PRIMERA LETRA ES UNA L MINSCULA NO SE ESCRIBE isusb Con
el comando lsusb, detectaremos explcitamente los dispositivos Wifi Usb conectados
al ordenador. En la foto vemos como ha detectado sin ningn problema el dispositivo
Ralink.
15/07/2011 11:44 a.m.
Cdigo: lspci
Nota: LA PRIMERA LETRA ES UNA L MINSCULA NO SE ESCRIBE ispci
Con el comando lspci, se procede a detectar todos los dispositivos Pci conectados
al PC. Evidentemente si nuestra tarjeta es Pci, y compatible con Wifislax, la
detectar de inmediato, y podis ver como ha detectado la Atheros como un
controlador Ethernet, que es en definitiva lo que es.
9 de 62
10 de 62
Siempre queda la forma artesanal, quitando el lateral del PC, y despus el tornillo
para desmontar la tarjeta e inspeccionar que pone. En los Usb quizs lo tengamos
ms complicado ya que no suele poner nada, pero indagando con el Everest seguro que
daremos con ello.
Y SI NO TENGO TARJETA, PERO ME LA VOY A COMPRAR?
En la actualidad existen diferentes modelos de tarjetas inalmbricas, modelos de
Wifi Usb, diferentes marcas, y como no diferentes chipset. Antes de comprar la
tarjeta deberemos asegurarnos que el chipset de la misma es compatible con la
auditora, para ello existen pginas de venta por internet que ya nos anticipan el
modelo de chipset que incorporan. As pues es conveniente fijarse primero en esto y
despus en la marca. Aqu dejo un link con la lista de tarjetas y chipsets
compatibles con el programa. Es de hace un tiempo, pero nos servir a buen seguro.
Este link viene de la mano del amigo Hwagm, y en el mismo, hay incluido al final de
la pgina dos enlaces mas, uno para tarjetas con chipset Atheros de la mano de
isabido, y otro ms para tarjetas con chipset Ralink, este ltimo, creado por el
amigo jmc66d.
http://hwagm.elhacker.net/htm/tarjetas.htm
15/07/2011 11:44 a.m.
12 de 62
13 de 62
Observad que en este caso, para la Ralink con driver RT2500 tenemos que forzarla
para utilizar el RT73 que es el funciona.
*Ahora veremos como poner en modo monitor un dispositivo Usb con chipset Realtek en
Wifislax 3.1 y poder usar airoscript con l. En este caso la tarjeta en si es la
siguiente:
GOLD USB 800mW con chipset Realtek.
Una vez estamos ya en Wifislax 3.1, abrimos shell y escribimos para que detecte
nuestra tarjeta:
Cdigo: iwconfig
Presionamos enter y de nuevo escribimos: Cdigo: iwconfig wlan0
Recordad que wlan0 = la interface de Realtek
Tras presionar enter escribimos:
Cdigo: iwconfig wlan0 essid pepe
No tiene por qu ser pepe, puede ser lo que vosotros queris, simplemente
requiere un nombre, no tiene mayor historia. Vemos la imagen de abajo para que
quede ms claro.
15/07/2011 11:44 a.m.
14 de 62
15 de 62
16 de 62
17 de 62
Ahora nos fijamos en la siguiente imagen, donde las peticiones ARP ya estn
disparadas, (nada que ver con la imagen anterior, fijaros bien) adems observamos
por curiosidad la flecha blanca que seala a las datas, que ya han sobrepasado las
250.000, y en la ventana de Aircracking que ya est buscando la key.
18 de 62
En la ltima foto vemos como ya ha soltado la key con poco ms de 540.000 datas,
iv's, (ventana derecha aircracking). Volvindonos a fijar ahora en la ventana:
"capturando datos del canal 2" , fijaros por curiosidad, la cantidad que lleva
capturada (flecha blanca). Pero lo que de verdad importa es empezar a capturar
peticiones ARP, que ahora andan por algo ms de los 8 millones.
19 de 62
20 de 62
21 de 62
22 de 62
23 de 62
24 de 62
25 de 62
26 de 62
27 de 62
Como se puede apreciar en este caso concreto, el primer intento fue con 14.141
paquetes y este err, el segundo con 16.067 tambin fall, el tercero ni siquiera
se molest, y el cuarto fue el definitivo. Para ir cerrando este tema, comentaros
que el proceso puede efectuarse con distintas frmulas como el comando aircrack-ptw
y tambin con aircrack-ng. Adems hay que comentar que existe una tercera opcin
que sera con el comando aircrack-ng -z, esta ltima opcin es bastante
interesante, ya que nos permite dejar nuestro pc capturando, y el solito volver a
intentarlo cada 5.000 datas. Esta opcin, la cual tiene una presentacin mas
"bonita" tiene por contra que en porttiles puede darnos problemas de
calentamiento. Realizar vuestras propias pruebas al respecto, sin olvidaros tambin
que aircrack puede lanzarse tambin desde airoscript sin necesidad de hacerlo
mediante Shell y comandos. Est explicado en el manual bsico para Wifislax, y
recordad que la cantidad de
15/07/2011 11:44 a.m.
28 de 62
Aqu nos dir, si nuestra tarjeta es reconocida por el sistema o no lo es. Bien
sabiendo ya la interface de nuestra tarjeta que puede ser, wlan0, wlan1, ath0, etc,
etc, dependiendo del chipset claro est. En este caso es wlan0, (puesto que es
Realtek), ejecutamos el airodump-ng, para abrir el escner de redes en la misma
Shell.
Cdigo: airodump-ng wlan0
29 de 62
30 de 62
Una vez abierto el escner de redes como veis en la foto, nos muestra todas las
redes a nuestro alcance. Seleccionamos nuestra red, de la cual debemos saber, bssid
(Mac del AP), ch (canal donde emite), essid (nombre del AP), vamos a crear un
archivo donde se guardaran nuestras capturas, paramos el escner, con Ctrl+c, y
escribimos en la misma Shell:
Cdigo: airodump-ng -c ch -bssid (Mac del AP) -w (nombre archivo) wlan0
Nota: de aqu en adelante tomaremos como referencia el bssid aa:bb:cc:dd:ee:ff de
una forma simblica, entendemos que cada uno pondr la que le corresponda en su
caso.
Por ejemplo el canal es, el 6 y la bssid es, aa:bb:cc:dd:ee:ff (se entiende que
habremos de poner los reales), el nombre del archivo lo inventamos, por ejemplo,
lan, quedara as
Cdigo: airodump-ng c 6 -bssid aa:bb:cc:dd:ee:ff w lan wlan0
15/07/2011 11:44 a.m.
31 de 62
Una vez hemos ejecutado esto nos quedara en pantalla nuestro AP, donde veremos si
hay cliente, que aparecer debajo de STATION. Si no lo hay, en otra Shell, sin
cerrar esta, ejecutamos el siguiente comando que pertenece al Ataque 1. Cdigo:
aireplay-ng -1 30 -o 1 -e (nombre bssid) -a aa:bb:cc:dd:ee:ff -h (Mac de nuestra ta
Bien, suponiendo que nuestro AP se llama PERICO, y la Mac de nuestra tarjeta es
00:11:22:33:44:55, quedara as: Cdigo: aireplay-ng -1 30 -o 1 -e PERICO -a
aa:bb:cc:dd:ee:ff -h 00:11:22:33:44:55 wlan0 En el caso de que se llame PERICO DE
LOS PALOTES, pondremos el nombre entre comillas, ya que cuando el essid lleva
espacios se hace de esta forma. Ejemplo: Cdigo: aireplay-ng -1 30 -o 1 -e PERICO
DE LOS PALOTES -a aa:bb:cc:dd:ee:ff -h 00:11:2
15/07/2011 11:44 a.m.
Ahora saldr la Mac de nuestra tarjeta debajo de STATION, (en algunas ocasiones).
Como ya sabemos, estamos haciendo una asociacin falsa a nuestro AP, que si hemos
tenido xito y estamos asociados, debajo de AUTH saldr OPN, y saldr la Mac de
nuestra tarjeta debajo de STATION, (esta Shell podemos pararla) en otra Shell
ejecutamos el Ataque 3.
Cdigo: aireplay-ng -3 -b aa:bb:cc:dd:ee:ff -h 00:11:22:33:44:55 wlan0
32 de 62
33 de 62
Y hay esta nuestra clave, (foto de arriba). En este caso, hemos necesitado 44.092
datas y hemos capturado 39.921 paquetes
Ahora bien, si resulta que ya tenemos un cliente (siguiente foto, donde apunta la
flecha) y su Mac es aa:bb:cc:dd:ee:ff, aplicamos directamente el Ataque 3.
34 de 62
Ataque 3
Cdigo: aireplay-ng -3 -b Mac vctima -h aa:bb:cc:dd:ee:ff interface
Asocindonos de esta manera con la Mac del cliente, en este caso aa:bb:cc:dd:ee:ff
35 de 62
36 de 62
37 de 62
Como estamos asociados con xito, utilizamos nuestra Mac o bssid, (la real, no la
simblica que en este caso es 00:11:22:33:44:55)
Cdigo: aireplay-ng -2 p 0841 c ff:ff:ff:ff:ff:ff b aa:bb:cc:dd:ee:ff -h
00:11:22:33:44:
Nota: En este ataque si que hay que poner tal cual ff:ff:ff:ff:ff:ff, ya que as lo
requiere el propio ataque.
38 de 62
Aqu estamos enviando paquetes, a la espera de que suba una data que nos facilite
la inyeccin, a veces es con la primera que sube pero otras no, por lo que
repetimos el ataque, hasta que nos funcione, aqu hemos tenido suerte y lo ha hecho
con la primera como veis en la siguiente imagen.
39 de 62
40 de 62
41 de 62
15/07/2011 11:44 a.m.
Cuando utilicemos este ataque, debemos tener en cuenta que vamos a necesitar
500.000, Ivs, datas, para obtener la clave, podemos atacar antes, a veces funciona
pero esa es la cantidad recomendable, aqu aircrack, lo utilizamos sin el ptw,
quedara as.
Cdigo: aircrack lan-01.cap
42 de 62
43 de 62
Como veis, nos ha dado la clave y su conversin a ASCII Para terminar vamos a ver
de una forma breve el famoso Chop Chop de Korek. ATAQUE 4 : El chopchop de KoreK
(prediccin de CRC) Podria explicar este ataque y liarlo como ya est mas que liado
por la red, pero hay un compaero, (manel) del foro hermano Seguridad Wireless, que
lo hace de una forma sencilla y comprensible, en la linea en que se basa este
tutorial. Con su permiso hemos aadido, su post en Seguridad Wireless
http://foro.seguridadwireless.net/manuales-de-wifislax-wifiway /chop-chop-con-
bosslanalfa-a1-a4-a2-sin-clientes/ Y esto es todo lo que puedo ofrecer, a base de
comandos en Shell, por supuesto hay varias formas de interpretar los comandos, aqu
hemos utilizado una de ellas, espero que este clarito, y os sirva de ayuda en la
seguridad de vuestras redes.
WLANDECRYPTER
15/07/2011 11:44 a.m.
44 de 62
*** Ahora vamos a generar un diccionario con las posibles claves, usando este
comando para Wlandecrypter.
15/07/2011 11:44 a.m.
Hemos generado un fichero, llamado diccionario que contiene las posibles claves, a
continuacin ejecutamos aircrack-ng aadiendo el diccionario creado y nuestro
archivo.
Cdigo: aircrack-ng w diccionario lan-01.cap
45 de 62
46 de 62
ya tenemos nuestra clave, con muy poquitos paquetes, en un plis plas, sencillo
verdad?, pues esta es la seguridad que tenemos en nuestra WLAN_XX, con cifrado WEP.
Wlandecrypter no es el nico programa para redes concretas, entre otros tenemos
Jazzteldecrypter, Decsagem, Netgear, y otros cuantos mas que se estn gestando para
aparecer en un futuro no muy lejano. Cuando lo veamos oportuno iremos
actualizndonos en todo este terreno. De momento aqu os he dejado parte de nuestro
trabajo, que como coment antes iremos extendiendo con el tiempo.
Ofertas en San Pablo Hoteles San Pablo con Descuentos Resrvelos en Despegar.com
Despegar.com.pe/San-
xian qinghua commercial industrial electric detonator-QHMB Delay-Instantaneous
www.xianqinghua.com
En lnea
Desconectado
Mensajes: 1.458
47 de 62
Tenemos una red con clave WPA llamada wpa_psk (imagen de arriba) que usaremos
como ejemplo para el ataque. Para ello volvemos a lanzar airodump pero con los
filtros para poder capturar solamente esa red.
Cdigo: airodump-ng -c <canal> --bssid <mac ap> -w <archivo.cap> <interface>
48 de 62
30 ventanas
49 de 62
50 de 62
51 de 62
Con este ataque mdk3 se suprime todo el trafico entre el AP y el cliente de forma
continua, hasta que anulemos el ataque con Ctrl+c, y por tanto haciendo que el
cliente legtimo se desconecte. Este ataque se debe estar ejecutando durante unos
segundos (entre 10 y 40) para asegurar DoS (denegacin de servicio). Una vez
lanzado mdk3 volvemos a comprobar con aircrack si hemos obtenido el handshake, si
no es as, tendremos que aumentar nuestro nivel de seal, para ello podemos usar
antenas de mayor ganancia, acercarnos al router, usar amplificadores, etc.
SI NO HAY HANDSHAKE NO HAY CLAVE WPA.
YA TENGO UN HANDSHAKE --- ATAQUE POR DICCIONARIO
1.- Usando aircrack-ng
Una vez tengamos un handshake capturado en un archivo cap., lo que haremos es
lanzar aircrack-ng con la opcin w para archivos cap. y ataque por diccionario,
al igual que se usa en Wlandecrypter, para ello lanzaremos el siguiente comando:
Cdigo: aircrack-ng w <diccionario.lst> < archivo-01.cap >
Despus de que termine aircrack-ng y comparar cada una de las palabras con el
handshake del achivo-01.cap, nos mostrar el siguiente mensaje, (si la clave ha
sido encontrada).
2.- Usando Cowpattyp.
Existe tambin Cowpatty plus (Cowtattyp) con ms opciones, pero nosotros nos
basaremos en Cowpatty.
Para aquellos que usan Windows aqu tienen Cowpatty para Windows.
Este programa puede trabajar de dos formas, una forma de trabajar es igual que
aircrack-ng, de forma que le damos como entradas el diccionario, el archivo cap. y
el essid.
Cdigo: cowpatty r <archivo-01.cap > f <diccionario plano> -s <essid>
Otra forma es creando un rainbow table con hash-1 y el diccionario. Este tipo de
ataque es mucho ms rpido que aircrack-ng, pero tiene el inconveniente de que
primero debemos crear un diccionario pre computado (rainbow table) y slo es vlido
para la misma essid, es decir que si tenemos una red con diferente nombre
15/07/2011 11:44 a.m.
52 de 62
Con este comando hemos creado un diccionario pre computado (rainbow) llamado hash-
1wpa , para despus utilizarlo con el Cowpatty, dependiendo del tamao del
diccionario puede durar horas. Este es el mismo procedimiento que utiliza el
programa wpa_passphrase (incluido en Wifiway) pero con diccionario plano y
almacenando el resultado en un rainbow table. Cuando termine genpmk-ng lanzaremos
el Cowpatty que es mucho ms rpido que aircrack-ng ya que parte del trabajo lo
hemos hecho con genpmk-ng.
Cdigo:
15/07/2011 11:44 a.m.
53 de 62
Una vez que haya terminado, si la clave est en rainbow table (diccionario pre
computado) tendremos la clave. Si nuestra clave no se encuentra en el diccionario,
entonces tendremos que probar con otros diccionarios, aqu tenis unos cuantos
links para que tengis vuestro PC ocupado.
http://www.megaupload.com/?d=Y24D0C72 http://www.megaupload.com/?d=SH49LXYW
http://www.megaupload.com/?d=85ZFE6M0 http://www.megaupload.com/?d=Y7H5CKHJ
PROBLEMAS CON DICCIONARIOS (RETORNO DE CARRO).
Ejemplo:
54 de 62
55 de 62
Para aquellos que usis Windows aqu tenis Johntheripper para Windows,
es posible que vuestro antivirus lo confunda con un virus al igual que ocurre con
cain.
No voy a ser muy exhaustivo con este ataque ya que es muy lento y muy poco efectivo
en claves WPA pero es un clsico del hack. Para lanzar John con diccionario usar
este comando:
Cdigo: john --stdout --wordlist=<diccionario> --rules | aircrack-ng e <essid> -a
2 -w <a
Para usar John como fuerza bruta y que tome todas las combinaciones, usar este
comando:
Cdigo: John -incremental=all | aircrack-ng.exe e <essid> -a 2 -w <archivo.cap>
YA TENGO UNA HANDSHAKE --- ATAQUE POR FUERZA BRUTA CON DISTRIBUTED PASSWORD
RECOVERY
Este programa est diseado especialmente para descubrir claves por fuerza bruta y
trabaja bajo Windows, no voy a poner el link de descarga ya que es un programa de
pago. Distributed password recovery puede trabajar con la CPU de nuestro PC o con
la GPU (procesador de la tarjeta grfica) de tarjetas Nvidia. Para poder trabajar
con la GPU es necesario tener los ltimos drivers actualizados, como yo no tengo
Nvidia slo explicar para trabajar con la CPU. Este programa parece ser el Tendn
de Aquiles de las WPA porque aunque trabaje por fuerza bruta es capar de utilizar
las GPU que son 140 veces ms rpidas que las CPU.
Lo primero que debemos hacer es ejecutar el programa Distributed Agent si no est
15/07/2011 11:44 a.m.
Una vez abierto el archivo cap. nos aparecer una ventana como la de abajo, en
donde el programa reconoce que el archivo cap. contiene una clave WPA, y nos
muestra el nombre de la red, la mac del AP y la mac del cliente.
56 de 62
57 de 62
58 de 62
59 de 62
incluido tkiptun-ng para Windows. Para los que usen Wifiway 1.0 final no hace falta
Esta ataque est desarrollado por los chicos de aircrack-ng y todava no est
totalmente desarrollado sobre todo la ltima parte, por lo que NO va ha encontrar
la clave WPA. Este programa tiene sus limitaciones con respecto a las tarjetas
soportadas.
-Tanto el cliente como el AP tienen que tener activado el QoS (calidad de servicio)
o en algunos AP se les llama WMM (Wifi multimedia).
-El cliente debe estar conectado al AP en todo el proceso que dura como mnimo 20
minutos (aunque pueden tardar varias horas).
Este programa tiene varias fases, La primera consiste en obtener el handshake con
la desautentificacin del cliente, una vez conseguido el handshake y un ARP vlido
se inyectan los paquetes. Yo no he conseguido terminar el proceso y tampoco s muy
amigos!
Esto es todo
By Zydas
Hasta aqu nuestros conocimientos y fuerza de voluntad. Nos ha llevado un largo
periodo de tiempo recopilar, estudiar, e intercambiar opiniones para llegar hasta
este punto. Esperamos que este manual sea de vuestro agrado y lo utilicis para
vuestras pruebas de una forma correcta. Una vez mas dar las gracias al foro de
Elhacker.net por la oportunidad de plasmar nuestras propias experiencias, y poder
compartir todas las de los usuarios entre si.
60 de 62
Rockeropasiempre Zydas
Heaviloto
felicitaciones
ello. Se trata de mantener el foro ordenado y hacer de esta gua algo util
para todos.
Saludos.
En lnea
ir
elotrolado
lawebdegoku
ZonaPhotoshop Yashira.org
Indejuegos
Seguridad Informtica
ADSL
eNYe Sec
InSecurity.Ro Soluciones Web
ISR
MundoDivx Videojuegos
Hispabyte indetectables.net
Seguridad Wireless
Underground Mxico
Truzone
Seguridad Colombia
Noticias Informatica
Biblioteca de Seguridad
61 de 62
62 de 62