Hola a todos. Antes del inicio del curso Preparé una traducción de un artículo interesante para usted.
La guía de hoy lo guiará a través de los conceptos básicos para comenzar con el paquete. Aircrack-ng. Por supuesto, no es posible proporcionar toda la información necesaria y cubrir todos los escenarios. Así que prepárate para hacer tu tarea e investigar por tu cuenta. En y Hay muchos tutoriales adicionales y otra información útil.
Aunque no cubre todos los pasos de principio a fin, la guía revela con más detalle el trabajo con Aircrack-ng.
Configuración de hardware, instalación de Aircrack-ng
El primer paso para garantizar el correcto funcionamiento. Aircrack-ng en su sistema Linux está parcheando e instalando el controlador apropiado para su tarjeta de red. Muchas tarjetas funcionan con varios controladores, algunas de ellas proporcionan la funcionalidad necesaria para usar Aircrack-ng, Otros no lo hacen.
Creo que es redundante decir que necesitas una tarjeta de red que sea compatible con el paquete. Aircrack-ng. Es decir, hardware que sea totalmente compatible y pueda implementar la inyección de paquetes. Con una tarjeta de red compatible, puedes hackear un punto de acceso inalámbrico en menos de una hora.
Para determinar a qué categoría pertenece su tarjeta, consulte la página . Leer si no sabes manejar la mesa. Sin embargo, esto no le impedirá leer la guía, que le ayudará a aprender algo nuevo y a asegurarse de determinadas propiedades de su tarjeta.
Primero, necesita saber qué chipset se utiliza en su tarjeta de red y qué controlador necesita para ello. Debe determinar esto utilizando la información del párrafo anterior. en el capitulo Descubrirá qué controladores necesita.
Instalación de aircrack-ng
La última versión de aircrack-ng se puede obtener en , o puede utilizar una distribución de prueba de penetración como Kali Linux o Pentoo, que tiene la última versión. Aircrack-ng.
Para instalar aircrack-ng consulte .
Conceptos básicos de IEEE 802.11
Bien, ahora que estamos listos, es hora de detenernos antes de comenzar y aprender un par de cosas sobre cómo funcionan las redes inalámbricas.
Es importante comprender la siguiente parte para poder determinar si algo no funciona como se esperaba. Comprender cómo funciona todo le ayudará a encontrar el problema, o al menos a describirlo correctamente para que alguien más pueda ayudarle. Aquí es donde las cosas se ponen un poco complicadas y es posible que desees saltarte esta parte. Sin embargo, hackear redes inalámbricas requiere un poco de conocimiento, por lo que hackear es un poco más que simplemente escribir un comando y dejar que aircrack haga todo por usted.
Cómo encontrar una red inalámbrica
Esta parte es una breve introducción a las redes administradas que funcionan con puntos de acceso (AP). Cada punto de acceso envía aproximadamente 10 tramas de baliza por segundo. Estos paquetes contienen la siguiente información:
- Nombre de la red (ESSID);
- Si se utiliza cifrado (y qué cifrado se utiliza, pero tenga en cuenta que esta información puede no ser cierta simplemente porque el punto de acceso lo informa);
- Qué velocidades de transferencia de datos se admiten (en MBit);
- ¿En qué canal está la red?
Es esta información la que se muestra en la herramienta que se conecta específicamente a esta red. Se muestra cuando permite que la tarjeta escanee redes usando iwlist <interface> scan
Cada punto de acceso tiene una dirección MAC única (48 bits, 6 pares de números hexadecimales). Se parece a esto: 00:01:23:4A:BC:DE. Cada dispositivo de red tiene dicha dirección y los dispositivos de red se comunican entre sí utilizándola. Entonces es como un nombre único. Las direcciones MAC son únicas y no hay dos dispositivos que tengan la misma dirección MAC.
Conectándose a la red
Hay varias opciones para conectarse a una red inalámbrica. En la mayoría de los casos, se utiliza la autenticación de sistema abierto. (Opcional: si desea obtener más información sobre la autenticación, .)
Autenticación del sistema abierto:
- Solicita autenticación del punto de acceso;
- El punto de acceso responde: OK, estás autenticado.
- Solicita una asociación de punto de acceso;
- El punto de acceso responde: OK, estás conectado.
Este es el caso más sencillo, pero los problemas surgen cuando no tienes permisos porque:
- Utiliza WPA/WPA2 y necesita autenticación APOL. El punto de acceso se negará en el segundo paso.
- El punto de acceso tiene una lista de clientes permitidos (direcciones MAC) y no permitirá que nadie más se conecte. Esto se llama filtrado MAC.
- El punto de acceso utiliza autenticación de clave compartida, lo que significa que debe proporcionar la clave WEP correcta para poder conectarse. (Mira la sección para saber más al respecto)
Simple olfateo y pirateo
Deteccion de redes
Lo primero que debe hacer es encontrar un objetivo potencial. El paquete aircrack-ng tiene , pero puedes utilizar otros programas como, por ejemplo, .
Antes de buscar redes, debe cambiar su tarjeta al llamado "modo de monitoreo". El modo monitor es un modo especial que le permite a su computadora escuchar paquetes de red. Este modo también permite inyecciones. Hablaremos de inyecciones la próxima vez.
Para poner la tarjeta de red en modo de monitoreo, use :
airmon-ng start wlan0Entonces crearás otra interfaz y le agregarás "mi". Entonces wlan0 voluntad wlan0mon. Para comprobar si la tarjeta de red está en modo monitor, ejecute iwconfig y compruébalo por ti mismo.
Entonces corre para buscar redes:
airodump-ng wlan0monsi airodump-ng no podrá conectarse al dispositivo WLAN, verá algo como esto:
salta de un canal a otro y muestra todos los puntos de acceso desde los que recibe balizas. Los canales del 1 al 14 se utilizan para los estándares 802.11 b y g (en EE. UU., solo se permiten del 1 al 11; en Europa, del 1 al 13 con algunas excepciones; en Japón, del 1 al 14). 802.11a opera en la banda de 5 GHz y su disponibilidad varía más entre países que en la banda de 2,4 GHz. En general, los canales conocidos comienzan desde el 36 (32 en algunos países) hasta el 64 (68 en algunos países) y desde el 96 hasta el 165. Puede encontrar más información sobre la disponibilidad de canales en Wikipedia. En Linux, permitir/denegar la transmisión a través de ciertos canales para su país está a cargo de ; sin embargo, debe configurarse en consecuencia.
El canal actual se muestra en la esquina superior izquierda.
Después de un tiempo habrá puntos de acceso y (con suerte) algunos clientes asociados a ellos.
El bloque superior muestra los puntos de acceso descubiertos:
bssid
dirección mac del punto de acceso
PWR
Calidad de la señal cuando se selecciona un canal.
PWR
Intensidad de señal. Algunos conductores no lo reportan.
balizas
el número de balizas recibidas. Si no tienes un indicador de intensidad de la señal, puedes medirla en balizas: cuantas más balizas, mejor será la señal.
datos
número de tramas de datos recibidas
ch
el canal en el que opera el punto de acceso
mb
velocidad o modo del punto de acceso. 11 es 802.11b puro, 54 es 802.11g puro. Los valores entre ambos son una mezcla.
enc
cifrado: opn: sin cifrado, wep: cifrado wep, wpa: wpa o wpa2, wep?: wep o wpa (aún no está claro)
esid
nombre de red, a veces oculto
El bloque inferior muestra los clientes descubiertos:
bssid
dirección mac con la que el cliente está asociado a este punto de acceso
estación
dirección mac del cliente
PWR
Intensidad de señal. Algunos conductores no lo reportan.
paquetes
número de tramas de datos recibidas
sondas
nombres de red (essids) que este cliente ya ha probado
Ahora necesita monitorear la red de destino. Debe tener al menos un cliente conectado, ya que descifrar redes sin clientes es un tema más avanzado (consulte la sección ). Debe utilizar cifrado WEP y tener buena señal. Es posible que desees cambiar la posición de la antena para mejorar la recepción de la señal. A veces, unos pocos centímetros pueden ser decisivos para la intensidad de la señal.
En el ejemplo anterior, hay una red 00:01:02:03:04:05. Resultó ser el único objetivo posible, ya que el cliente sólo está conectado a él. También tiene buena señal, por lo que es un buen objetivo para practicar.
Olfateando vectores de inicialización
Debido al salto de canal, no capturará todos los paquetes de la red de destino. Por lo tanto, queremos escuchar en un solo canal y además escribir todos los datos en el disco para luego poder usarlos para piratear:
airodump-ng -c 11 --bssid 00:01:02:03:04:05 -w dump wlan0mon Usando el parámetro -с selecciona un canal y el parámetro después -w es el prefijo para volcados de red escritos en el disco. Bandera –bssid junto con la dirección MAC del punto de acceso, limita los paquetes recibidos a un único punto de acceso. Bandera –bssid sólo disponible en nuevas versiones airodump-ng.
Antes de descifrar WEP, necesitará entre 40 y 000 vectores de inicialización (IV) diferentes. Cada paquete de datos contiene un vector de inicialización. Se pueden reutilizar, por lo que la cantidad de vectores suele ser ligeramente menor que la cantidad de paquetes capturados.
Por lo tanto, debe esperar para capturar paquetes de datos de 40k a 85k (con IV). Si la red no está ocupada, esto llevará mucho tiempo. Puedes acelerar este proceso utilizando un ataque activo (o un ataque de repetición). Hablaremos de ellos en la siguiente parte.
Hacking
Si ya tiene suficientes vectores de inicialización interceptados, que están almacenados en uno o más archivos, puede intentar descifrar la clave WEP:
aircrack-ng -b 00:01:02:03:04:05 dump-01.cap Dirección MAC después de la bandera -b es el BSSID del objetivo, y dump-01.cap es el archivo que contiene los paquetes capturados. Puede usar varios archivos, simplemente agregue todos los nombres al comando o use un carácter comodín, por ejemplo dump*.cap.
Más información sobre parámetros , salida y uso que puedes obtener de .
No hay límite para la cantidad de vectores de inicialización necesarios para descifrar una clave. Esto se debe a que algunos vectores son más débiles y pierden más información clave que otros. Por lo general, estos vectores de inicialización se mezclan con otros más fuertes. Entonces, si tienes suerte, es posible que puedas descifrar una clave con solo 20 IV. Sin embargo, esto muchas veces no es suficiente Aircrack-ng puede ejecutarse durante mucho tiempo (una semana o más en caso de un error alto) y luego indicarle que la clave no se puede descifrar. Cuantos más vectores de inicialización tenga, más rápido podrá ocurrir un hack y generalmente lo hace en unos minutos o incluso segundos. La experiencia demuestra que para hackear son suficientes entre 40 y 000 vectores.
Hay puntos de acceso más avanzados que utilizan algoritmos especiales para filtrar vectores de inicialización débiles. Como resultado, no podrá obtener más de N vectores desde el punto de acceso, o necesitará millones de vectores (por ejemplo, 5-7 millones) para descifrar la clave. Puede qué hacer en tales casos.
Ataques activos
La mayoría de los dispositivos no admiten la inyección, al menos no sin controladores parcheados. Algunos sólo apoyan ciertos ataques. Hablar con y mira la columna salida en antena. A veces esta tabla no proporciona información actualizada, por lo que si ve la palabra "NO" frente a su conductor, no se enoje, mejor mire la página de inicio del conductor, en la lista de correo de conductores en . Si ha reproducido exitosamente con un controlador que no está en la lista compatible, no dude en sugerir cambios en la página Matriz de compatibilidad y agregar un enlace a la guía de inicio rápido. (Para esto, debe solicitar una cuenta wiki en IRC).
Primero debe asegurarse de que la inyección de paquetes realmente funcione con su tarjeta de red y su controlador. La forma más sencilla de comprobarlo es realizar un ataque de inyección de prueba. Asegúrese de pasar esta prueba antes de continuar. Su tarjeta debe poder inyectarse para que pueda completar los siguientes pasos.
Necesitará el BSSID (dirección MAC del punto de acceso) y el ESSID (nombre de red) de un punto de acceso que no filtre direcciones MAC (como la suya) y que esté en el rango disponible.
Intente conectarse al punto de acceso usando :
aireplay-ng --fakeauth 0 -e "your network ESSID" -a 00:01:02:03:04:05 wlan0mon Valor después -а será el BSSID de su punto de acceso.
La inyección funcionó si ves algo como esto:
12:14:06 Sending Authentication Request
12:14:06 Authentication successful
12:14:06 Sending Association Request
12:14:07 Association successful :-)Si no:
- Vuelva a verificar la exactitud del ESSID y BSSID;
- Asegúrese de que el filtrado de direcciones MAC esté desactivado en su punto de acceso;
- Intente lo mismo en otro punto de acceso;
- Asegúrese de que su controlador esté configurado y admitido correctamente;
- En lugar de "0", pruebe con "6000 -o 1 -q 10".
repetición ARP
Ahora que sabemos que la inyección de paquetes funciona, podemos hacer algo que acelerará enormemente la interceptación de IV: un ataque de inyección. .
idea central
En términos simples, ARP funciona transmitiendo una solicitud a una dirección IP y el dispositivo en esa dirección IP envía una respuesta. Debido a que WEP no protege contra la reproducción, puede detectar un paquete y enviarlo una y otra vez siempre que sea válido. Por lo tanto, sólo necesita interceptar y reproducir la solicitud ARP enviada al punto de acceso para crear tráfico (y obtener vectores de inicialización).
manera perezosa
Primero abre una ventana con airodump-ng, que rastrea el tráfico (ver arriba). Aireplay-ng и airodump-ng puede funcionar simultáneamente. Espere a que el cliente aparezca en la red objetivo e inicie el ataque:
aireplay-ng --arpreplay -b 00:01:02:03:04:05 -h 00:04:05:06:07:08 wlan0mon-b apunta al BSSID de destino, -h a la dirección MAC del cliente conectado.
Ahora debes esperar a que se reciba el paquete ARP. Por lo general, debe esperar unos minutos (o leer más el artículo).
Si tienes suerte, verás algo como esto:
Saving ARP requests in replay_arp-0627-121526.cap
You must also start airodump to capture replies.
Read 2493 packets (got 1 ARP requests), sent 1305 packets...Si necesitas detener la reproducción, no tienes que esperar al siguiente paquete ARP, simplemente puedes usar los paquetes capturados previamente con el parámetro -r <filename>
Cuando utilice la inyección ARP, puede utilizar el método PTW para descifrar la clave WEP. Reduce significativamente la cantidad de paquetes necesarios y, con ellos, el tiempo de descifrado. Necesitas capturar el paquete completo con airodump-ng, es decir, no utilices la opción “--ivs” al ejecutar el comando. Para Aircrack-ng uso “aircrack -z <file name>”
Si el número de paquetes de datos recibidos airodump-ng deja de aumentar, es posible que deba reducir la velocidad de reproducción. Haz esto con el parámetro -x <packets per second>
Manera agresiva
La mayoría de los sistemas operativos vacían la caché ARP cuando se desconectan. Si necesitan enviar el siguiente paquete después de volver a conectarse (o simplemente usar DHCP), envían una solicitud ARP. Como efecto secundario, puede detectar el ESSID y posiblemente el flujo de claves durante la reconexión. Esto es útil si el ESSID de su objetivo está oculto o si utiliza autenticación de clave compartida.
Dejarlo airodump-ng и airplay-ng trabajar. Abre otra ventana y ejecuta :
es -a es el BSSID del punto de acceso, -с La dirección MAC del cliente seleccionado.
Espere unos segundos y la reproducción ARP funcionará.
La mayoría de los clientes intentan volver a conectarse automáticamente. Pero el riesgo de que alguien reconozca este ataque, o al menos preste atención a lo que sucede en la WLAN, es mayor que en otros ataques.
Más herramientas e información sobre ellas, usted .
Fuente: habr.com