Salut tout le monde. En prévision du début des cours Nous avons préparé pour vous la traduction d’un article intéressant.
Le didacticiel d'aujourd'hui vous guidera à travers les bases pour démarrer avec le package. aircrack-ng. Bien entendu, il est impossible de fournir toutes les informations nécessaires et de couvrir tous les scénarios. Soyez donc prêt à faire vos devoirs et vos recherches par vous-même. Sur et Il existe de nombreux didacticiels supplémentaires et autres informations utiles.
Bien qu'il ne couvre pas toutes les étapes du début à la fin, le guide révèle plus en détail le travail avec aircrack-ng.
Mise en place du matériel, installation d'Aircrack-ng
La première étape pour garantir le bon fonctionnement aircrack-ng sur votre système Linux consiste à patcher et à installer le pilote approprié pour votre carte réseau. De nombreuses cartes fonctionnent avec plusieurs pilotes, dont certains fournissent les fonctionnalités nécessaires à leur utilisation. aircrack-ng, d'autres non.
Je pense qu'il va sans dire qu'il faut une carte réseau compatible avec le forfait aircrack-ng. C’est-à-dire un matériel entièrement compatible et capable de mettre en œuvre l’injection de paquets. En utilisant une carte réseau compatible, vous pouvez pirater un point d'accès sans fil en moins d'une heure.
Pour déterminer à quelle catégorie appartient votre carte, consultez la page . Lire , si vous ne savez pas comment gérer la table. Cependant, cela ne vous empêchera pas de lire le manuel, qui vous aidera à apprendre quelque chose de nouveau et à vous assurer de certaines propriétés de votre carte.
Tout d’abord, vous devez savoir quel chipset votre carte réseau utilise et de quel pilote vous aurez besoin. Vous devez le déterminer à l’aide des informations contenues dans le paragraphe ci-dessus. Au chapitre vous découvrirez de quels pilotes vous avez besoin.
Installation d'Aircrack-ng
La dernière version d'aircrack-ng peut être obtenue auprès de , ou vous pouvez utiliser une distribution de tests d'intrusion telle que Kali Linux ou Pentoo, qui dispose de la dernière version aircrack-ng.
Pour installer aircrack-ng, reportez-vous à .
Bases de la norme IEEE 802.11
Bon, maintenant que nous sommes tous prêts, il est temps de s'arrêter avant de commencer et d'apprendre une ou deux choses sur le fonctionnement des réseaux sans fil.
Il est important de comprendre la partie suivante afin que vous puissiez déterminer si quelque chose ne fonctionne pas comme prévu. Comprendre comment tout cela fonctionne vous aidera à trouver le problème, ou au moins à le décrire correctement afin que quelqu'un d'autre puisse vous aider. Tout cela est un peu mystérieux et vous voudrez peut-être sauter cette partie. Cependant, le piratage des réseaux sans fil nécessite un peu de connaissances, donc le piratage n'est guère plus que simplement taper une commande et laisser aircrack le faire à votre place.
Comment trouver un réseau sans fil
Cette partie est une brève introduction aux réseaux gérés qui fonctionnent avec des points d'accès (AP). Chaque point d'accès envoie environ 10 trames dites de balise par seconde. Ces packages contiennent les informations suivantes :
- Nom du réseau (ESSID) ;
- Si le cryptage est utilisé (et quel cryptage est utilisé, mais notez que cette information peut ne pas être vraie simplement parce que le point d'accès le signale) ;
- Quels taux de transfert de données sont pris en charge (en MBit) ;
- Sur quel canal le réseau est-il diffusé ?
Ce sont ces informations qui sont affichées dans un outil qui se connecte spécifiquement à ce réseau. Il apparaît lorsque vous autorisez la carte à analyser les réseaux à l'aide de iwlist <interface> scan
Chaque point d'accès possède une adresse MAC unique (48 bits, 6 paires hexadécimales). Cela ressemble à ceci : 00:01:23:4A:BC:DE. Chaque périphérique réseau possède une telle adresse et les périphériques réseau communiquent entre eux en les utilisant. C'est donc un nom plutôt unique. Les adresses MAC sont uniques et aucun appareil n'a la même adresse MAC.
Connexion au réseau
Il existe plusieurs options pour se connecter à un réseau sans fil. Dans la plupart des cas, l’authentification système ouvert est utilisée. (Facultatif : si vous souhaitez en savoir plus sur l'authentification, .)
Authentification du système ouvert :
- Demande l'authentification du point d'accès ;
- Le point d'accès répond : OK, vous êtes authentifié.
- Demande une association de point d'accès ;
- Le point d'accès répond : OK, vous êtes connecté.
C'est le cas le plus simple, mais des problèmes surviennent lorsque vous n'avez pas de droits d'accès car :
- Utilise WPA/WPA2 et vous avez besoin d'une authentification APOL. Le point d'accès refusera dans un deuxième temps.
- Le point d'accès dispose d'une liste de clients autorisés (adresses MAC) et ne permettra à personne d'autre de se connecter. C'est ce qu'on appelle le filtrage MAC.
- Le point d'accès utilise l'authentification par clé partagée, ce qui signifie que vous devez fournir la clé WEP correcte pour vous connecter. (Voir section pour en savoir plus)
Reniflage et piratage simples
Découverte du réseau
La première chose à faire est de trouver une cible potentielle. Le package aircrack-ng l'a pour ça , mais vous pouvez utiliser d'autres programmes comme, par exemple, .
Avant de rechercher des réseaux, vous devez basculer votre carte sur ce que l'on appelle le « mode de surveillance ». Le mode moniteur est un mode spécial qui permet à votre ordinateur d'écouter les paquets réseau. Ce mode permet également les injections. Nous parlerons des injections la prochaine fois.
Pour mettre la carte réseau en mode surveillance, utilisez :
airmon-ng start wlan0De cette façon, vous créerez une autre interface et y ajouterez "lun". Donc wlan0 volonté wlan0mon. Pour vérifier si la carte réseau est réellement en mode surveillance, exécutez iwconfig et voyez par vous-même.
Ensuite, courez pour rechercher des réseaux :
airodump-ng wlan0monsi airodump-ng vous ne pourrez pas vous connecter au périphérique WLAN, vous verrez quelque chose comme ceci :
saute de canal en canal et affiche tous les points d'accès à partir desquels il reçoit des balises. Les canaux 1 à 14 sont utilisés pour les normes 802.11 b et g (aux États-Unis, seuls les canaux 1 à 11 sont autorisés ; en Europe, les canaux 1 à 13 avec quelques exceptions ; au Japon, les canaux 1 à 14). Le 802.11a fonctionne dans la bande 5 GHz et sa disponibilité varie davantage d'un pays à l'autre que dans la bande 2,4 GHz. En général, les chaînes connues vont de 36 (32 dans certains pays) à 64 (68 dans certains pays) et de 96 à 165. Vous pouvez trouver des informations plus détaillées sur la disponibilité des chaînes sur Wikipédia. Sous Linux, il se charge d'autoriser/refuser la transmission sur des canaux spécifiques à votre pays ; cependant, il doit être configuré en conséquence.
La chaîne actuelle est affichée dans le coin supérieur gauche.
Après un certain temps, il y aura des points d'accès et (espérons-le) des clients qui leur seront associés.
Le bloc supérieur affiche les points d'accès détectés :
bssid
adresse mac du point d'accès
pwr
qualité du signal lorsque le canal est sélectionné
pwr
force du signal. certains conducteurs ne le signalent pas.
balises
le nombre de balises reçues. si vous ne disposez pas d'indicateur de force du signal, vous pouvez le mesurer en balises : plus il y a de balises, meilleur est le signal.
données
nombre de trames de données reçues
ch
canal sur lequel fonctionne le point d'accès
mb
vitesse ou mode point d’accès. 11 est du 802.11b pur, 54 est du 802.11g pur. les valeurs entre les deux sont un mélange.
enc
chiffrement : opn : pas de chiffrement, wep : chiffrement wep, wpa : wpa ou wpa2, wep ? : wep ou wpa (pas encore clair)
Essid
nom du réseau, parfois caché
Le bloc du bas affiche les clients détectés :
bssid
adresse mac avec laquelle le client est associé à ce point d'accès
station
adresse mac du client lui-même
pwr
force du signal. certains conducteurs ne le signalent pas.
paquets
nombre de trames de données reçues
sondes
noms de réseaux (essids) que ce client a déjà testés
Vous devez maintenant surveiller le réseau cible. Au moins un client doit y être connecté, car le piratage de réseaux sans clients est un sujet plus complexe (voir section ). Il doit utiliser le cryptage WEP et avoir un bon signal. Vous pourrez peut-être changer la position de l'antenne pour améliorer la réception du signal. Parfois, quelques centimètres peuvent être décisifs pour la force du signal.
Dans l'exemple ci-dessus, il existe un réseau 00:01:02:03:04:05. Il s’est avéré que c’était la seule cible possible, puisque c’est la seule connectée au client. Il dispose également d’un bon signal, ce qui en fait une cible idéale pour la pratique.
Renifler les vecteurs d'initialisation
En raison du saut de lien, vous ne capturerez pas tous les paquets du réseau cible. Par conséquent, nous souhaitons écouter uniquement sur un canal et écrire en plus toutes les données sur le disque, afin de pouvoir les utiliser ultérieurement pour le piratage :
airodump-ng -c 11 --bssid 00:01:02:03:04:05 -w dump wlan0mon Utilisation du paramètre -с vous sélectionnez le canal et le paramètre après -w est un préfixe pour les vidages réseau écrits sur le disque. Drapeau –bssid ainsi que l'adresse MAC du point d'accès, limite les paquets reçus à un seul point d'accès. Drapeau –bssid disponible uniquement dans les nouvelles versions airodump-ng.
Avant de cracker WEP, vous aurez besoin de 40 000 à 85 000 vecteurs d'initialisation (IV) différents. Chaque paquet de données contient un vecteur d'initialisation. Ils peuvent être réutilisés, le nombre de vecteurs est donc généralement légèrement inférieur au nombre de paquets capturés.
Vous devrez donc attendre pour capturer 40 85 à XNUMX XNUMX paquets de données (avec IV). Si le réseau n’est pas occupé, cela prendra beaucoup de temps. Vous pouvez accélérer ce processus en utilisant une attaque active (ou une attaque par rejeu). Nous en parlerons dans la partie suivante.
Le piratage
Si vous disposez déjà de suffisamment d'IV interceptées stockées dans un ou plusieurs fichiers, vous pouvez essayer de déchiffrer la clé WEP :
aircrack-ng -b 00:01:02:03:04:05 dump-01.cap Adresse MAC après le drapeau -b est le BSSID de la cible, et dump-01.cap est un fichier contenant des paquets interceptés. Vous pouvez utiliser plusieurs fichiers, ajoutez simplement tous les noms à la commande ou utilisez un caractère générique, par exemple dump*.cap.
Plus d'informations sur les paramètres , la production et l'utilisation que vous pouvez obtenir .
Le nombre de vecteurs d'initialisation requis pour déchiffrer une clé est illimité. Cela se produit parce que certains vecteurs sont plus faibles et perdent plus d’informations clés que d’autres. Habituellement, ces vecteurs d'initialisation sont mélangés à des vecteurs plus forts. Donc, si vous avez de la chance, vous pouvez casser une clé avec seulement 20 000 IV. Mais cela ne suffit souvent pas, aircrack-ng peut fonctionner pendant une longue période (une semaine ou plus si l'erreur est élevée) et vous indiquer ensuite que la clé ne peut pas être déchiffrée. Plus vous disposez de vecteurs d'initialisation, plus le piratage peut se produire rapidement et se produit généralement en quelques minutes, voire quelques secondes. L'expérience montre que 40 000 à 85 000 vecteurs suffisent pour le piratage.
Il existe des points d'accès plus avancés qui utilisent des algorithmes spéciaux pour filtrer les IV faibles. Par conséquent, vous ne pourrez pas obtenir plus de N vecteurs du point d'accès, ou vous aurez besoin de millions de vecteurs (par exemple, 5 à 7 millions) pour déchiffrer la clé. Tu peux que faire dans de tels cas.
Attaques actives
La plupart des appareils ne prennent pas en charge l'injection, du moins sans pilotes corrigés. Certains ne prennent en charge que certaines attaques. Parler à et regarde la colonne airplay. Parfois, ce tableau ne fournit pas d'informations à jour, donc si vous voyez le mot "NON" en face de votre chauffeur, ne vous énervez pas, mais regardez plutôt la page d'accueil du chauffeur, la liste de diffusion des chauffeurs sur . Si vous avez réussi à rejouer avec un pilote qui ne figurait pas dans la liste prise en charge, n'hésitez pas à suggérer des modifications sur la page du tableau de compatibilité et à ajouter un lien vers le guide de démarrage rapide. (Pour ce faire, vous devez demander un compte wiki sur IRC.)
Vous devez d’abord vous assurer que l’injection de paquets fonctionne réellement avec votre carte réseau et votre pilote. Le moyen le plus simple de vérifier est de mener une attaque par injection test. Assurez-vous de réussir ce test avant de continuer. Votre carte doit pouvoir injecter pour que vous puissiez effectuer les étapes suivantes.
Vous aurez besoin du BSSID (adresse MAC du point d'accès) et de l'ESSID (nom du réseau) d'un point d'accès qui ne filtre pas par adresses MAC (telles que la vôtre) et qui se trouve dans la plage disponible.
Essayez de vous connecter au point d'accès en utilisant :
aireplay-ng --fakeauth 0 -e "your network ESSID" -a 00:01:02:03:04:05 wlan0mon Signification après -а sera le BSSID de votre point d'accès.
L'injection a fonctionné si vous voyez quelque chose comme ceci :
12:14:06 Sending Authentication Request
12:14:06 Authentication successful
12:14:06 Sending Association Request
12:14:07 Association successful :-)Si non:
- Vérifiez à nouveau l'exactitude de l'ESSID et du BSSID ;
- Assurez-vous que le filtrage des adresses MAC est désactivé sur votre point d'accès ;
- Essayez la même chose sur un autre point d'accès ;
- Assurez-vous que votre pilote est correctement configuré et pris en charge ;
- Au lieu de "0", essayez "6000 -o 1 -q 10".
Relecture ARP
Maintenant que nous savons que l'injection de paquets fonctionne, nous pouvons faire quelque chose qui accélérera considérablement l'interception des IV : une attaque par injection .
idée centrale
En termes simples, ARP fonctionne en diffusant une requête vers une adresse IP et l'appareil doté de cette adresse IP renvoie une réponse. Puisque WEP ne protège pas contre la relecture, vous pouvez détecter un paquet et l'envoyer encore et encore tant qu'il est valide. Il vous suffit donc d'intercepter et de rejouer la requête ARP envoyée au point d'accès pour générer du trafic (et obtenir des IV).
Manière paresseuse
Ouvrez d'abord une fenêtre avec airodump-ng, qui détectera le trafic (voir ci-dessus). airplay-ng и airodump-ng peuvent travailler simultanément. Attendez que le client apparaisse sur le réseau cible et lancez l'attaque :
aireplay-ng --arpreplay -b 00:01:02:03:04:05 -h 00:04:05:06:07:08 wlan0mon-b pointe vers le BSSID cible, -h à l'adresse MAC du client connecté.
Vous devez maintenant attendre l’arrivée du paquet ARP. Habituellement, vous devez attendre quelques minutes (ou lire l'article plus loin).
Si vous avez de la chance, vous verrez quelque chose comme ceci :
Saving ARP requests in replay_arp-0627-121526.cap
You must also start airodump to capture replies.
Read 2493 packets (got 1 ARP requests), sent 1305 packets...Si vous devez arrêter de jouer, vous n'avez pas besoin d'attendre l'arrivée du prochain paquet ARP, vous pouvez simplement utiliser les paquets précédemment capturés en utilisant le paramètre -r <filename>
Lorsque vous utilisez l'injection ARP, vous pouvez utiliser la méthode PTW pour déchiffrer la clé WEP. Cela réduit considérablement le nombre de packages requis, et avec eux le temps de crack. Vous devez capturer le paquet complet avec airodump-ng, c'est-à-dire n'utilisez pas l'option “--ivs” lors de l'exécution d'une commande. Pour aircrack-ng utilisation “aircrack -z <file name>”
Si le nombre de paquets de données reçus airodump-ng cesse d’augmenter, vous devrez peut-être réduire la vitesse de lecture. Faites cela avec le paramètre -x <packets per second>
Manière agressive
La plupart des systèmes d'exploitation effacent le cache ARP lors de l'arrêt. S'ils doivent envoyer le paquet suivant après la reconnexion (ou simplement utiliser DHCP), ils envoient une requête ARP. Comme effet secondaire, vous pouvez renifler l'ESSID et éventuellement le flux de clés lors de la reconnexion. Ceci est pratique si l'ESSID de votre cible est masqué ou si elle utilise une authentification par clé partagée.
Laissez-le airodump-ng и airplay-ng travaillent. Ouvrez une autre fenêtre et exécutez :
il est -a – il s'agit du BSSID du point d'accès, -с Adresse MAC du client sélectionné.
Attendez quelques secondes et la relecture ARP fonctionnera.
La plupart des clients essaient de se reconnecter automatiquement. Mais le risque que quelqu'un reconnaisse cette attaque, ou du moins prête attention à ce qui se passe sur le WLAN, est plus élevé que pour d'autres attaques.
Plus d'outils et d'informations à leur sujet, vous .
Source: habr.com