Recetas para crackear redes wireless con encriptación WEP.

Por grpeto.

[email protected].

 

 

                                                                     Receta (B)

 

necesitaremos:

Dos PCs (mejor dos portátiles).

Un par de tarjetas red wireless (mejor si es con el chipset Prism2, las senao son ideales.)

Un CD Live con Linux Auditor para cada pc. http://new.remote-exploit.org/index.php/Auditor_main

 

Procedimiento:

 

En el portátil uno, procedemos de la siguiente forma:

 

Encendemos el portátil y arrancamos desde el cdrom de Linux auditor con la tarjeta wireless conectada.

Lanzamos un terminal y ejecutamos iwconfig para asegurarnos que nuestra tarjeta wireless ha sido detectada.

 


Si tras ejecutar iwconfig te aparece el dispositivo wlan0, significa que tu tarjeta ha sido reconocida, esto está garantizado con

las tarjetas con el chipset Prim2/2.5/3.0,  AiroNet, Orinoco y desde la última versión de Auditor ( la de Julio 2005 a la hora de escribir

este texto), por fin se soportan las tarjetas Intel2100b y la Intel2200bg, esto es una muy buena noticia, ya que prácticamente todos

 los portátiles basados en tecnología Centrino, llevan esta tarjeta. Esto ha sido posible gracias a que la última versión del driver

para la Intel2200bg que ya soporta modo “monitor”.

La diferencia entre la 2100 y la 2200 es que la 2100 es sólo del tipo “b” (11mbs) y la 2200 soporta “b” y “g” (11 y 54mbs).

Para averiguar el chipset de una tarjeta wireless en concreto, un buen sitio para empezar a indagar es este :

http://www.linux-wlan.org/docs/wlan_adapters.html.gz

 

Lo siguiente es ejecutar el escaner de red kismet.

 


Una vez ejecutamos kismet, pulsamos la tecla “s” (de sort) para ordenar las redes detectadas y pulsamos la tecla “c”

para que ordene por el canal. Nos situamos sobre la red “victima” a crackear, perdón, quiero decir, la red la cual queremos

comprobar la robustez de su clave de encriptación wireless... y pulsamos la letra “ i “ (de information) y apuntamos los siguientes datos.

 


El SSID, el BSSID y el CHANNEL.

 

Resumiendo:

El SSID es el nombre de la red wireless. Aunque el punto de acceso no este haciendo difusión del nombre (broadcasting) kismet lo pilla.

El BSSID es la máscara del punto de acceso.

El CHANNEL es el canal por donde esta emitiendo el punto de acceso.

 

Seguidamente pulsamos la tecla ' q ' para volver atrás en kismet, y ahora pulsamos la letra ' C ' sobre la red wireless

con la que estamos trabajando. Al pulsar la letra ' C ' le estamos diciendo a kismet que nos muestre los clientes que

están conectados al punto de acceso.

 


 

Aquí se nos muestran todos los ordenadores que están encendidos y conectados a la red. En realidad, no sólo se

detallan los equipos con conexión inalámbrica, también se muestran los equipos conectados al switch via cable, por ello,

sólo nos interesan aquellas lineas que comienzan por “E” que significa que es un cliente wireless.

 

Ahora anotamos la MAC de un cliente wireless. Dato que utilizaremos mas adelante con el programita void11. Ya que esta

segunda receta se diferencia de la primera, en que vamos a generar tráfico artificialmente en la red para acelerar la captura

de paquetes Ivs, expulsando a dicho equipo de la red.

 

Efectivamente, la  estrategia a seguir es, mientras el portátil uno, está capturando paquetes con airodump, el portátil dos, está

expulsando a un cliente legal de la red del punto de acceso, y como los clientes de red inalámbricos intentan la reconexión una

vez perdida la señal, de este modo conseguimos generar artificialmente tráfico en la red, para que airodump capture paquetes Ivs

mucho mas rápidamente.

 

terminemos con el portátil uno. El siguiente paso es ejecutar la utilidad airodump, esta utilidad se encarga de “esnifar” la información

que se transmite entre los clientes de red y el punto de acceso y grabarla en unos ficheros que posteriomente examinaremos con

aircrack para sacar la clave.

 

Nos vamos a una terminal y ejecutamos los siguientes comandos:

 

                iwconfig wlan0 mode monitor

                iwconfig wlan0 channel “número channel que antes apuntamos”

                cd /ramdisk

                airodump wlan0 cap “BSSID que antes apuntamos”

 

con este último comando estamos diciendo que se “esnife” todo el tráfico que se genere hacia y desde el punto de acceso con la

mac especificada, y que dicha información se grabe en un fichero llamado cap.cap (la extensión la pone airodump) en el directorio /ramdisk.

 


Nos aseguraremos que el SSID que apuntamos anteriormente, corresponde con el mismo nombre que aparece debajo

de la columna ESSID del airodump.

Nos interesa que el número que aparece debajo de la columna IVs (vectores de inicialización) crezca y crezca, de hecho,

necesitaremos entre 50.000 y 200.000 IVs para crackear una clave wep con encriptación de 64bits y del orden de 200.000

a 700.000 IVs, si la clave tiene una encriptación de 128Bits.

 

Para que la captura de IVs se produzca mas rápidamente, dejamos el portátil uno, capturando paquetes y nos vamos al portátil

dos, y ejecutamos los siguientes comando en una terminal:

 

                switch-to-hostap

                cardctl eject

                cardctl insert

                iwconfig wlan0 channel “número channel que antes apuntamos”

                iwpriv wlan0 hostapd 1

                iwconfig wlan0 mode master

                void11_penetration -D -s “MAC del cliente wwireless” -B “ BSSID que antes apuntamos” wlan0

 


Este ataque de desautenticación provoca que el cliente legal de la red wireless, se conecte y se desconecte, facilitando la

captura de paquetes IVs en el portátil uno mediante airodump.

 

Nos vamos al portátil uno y observamos como avanza la capturas de paquetes IVs por parte de airodump.

Una vez alcancemos una cifra razonable de capturas de IVs,  interrumpimos la captura de paquetes pulsando CTRL+C. Y en el

directorio /ramdisk debe aparecer  un fichero llamado cap.cap

(No se puede olvidar también parar void11 en el portátil dos, una vez  que ya no queremos capturar mas IVs con airodump en el portátil uno)

 


el paquete cap.cap contiene la información “cruda” de los vectores de inicialización capturados.

 

Ahora es el momento de pasar dicho fichero por aircrack. Esta es la utilidad que se encarga de rastrear el fichero que hemos

creado con las capturas de paquetes IVs de airodump y hallar la clave.

La sintaxis del comando es la siguiente:

 

                cd /ramdisk

                aircrack  -f 2 -m “BSSID que antes apuntamos” -n 64 -q 3 <cap*.cap

 


 

Con el modificador -n indicamos la longitud de la clave WEP que estamos intentando crakear, normalmente será 64 o 128 bits,

pero esto no hay manera de saberlo con anterioridad, por lo que no nos queda mas remedio que primero intentarlo con -n 64 y

si no hay éxito, probar con -n 128. (tambien existe la posibilidad de claves de 256 o 512 bits, valores que también se pueden emplear

con -n, pero en la práctica no se suelen dar claves de tal magnitud.)

 

Si la clave es de 64bis obtendremos 5 parejas de números exadecimáles: “44:a0:44:c5:30” pero sin la separación por los dos puntos,

eso lo he puesto para mayor claridad, sería algo así: 44a044c530. Si la clave es de 128bits obtendremos 11 parejas de numeros exadecimales.

 

Nada te dará mas alegría que ver en pantalla, esa última linea roja  como la que aparece en la siguiente captura:

 


 

Esta es una receta estupenda y con un alto grado de éxito, numerosas redes wireless de mi ciudad han caído (siempre con fines

educativos y/o informativos) con este método. Utilizo un portátil para capturar paquetes IVs y posteriormente pasarlos por aircrack,

y void11 lo ejecuto desde una pequeña maravilla llamada Zaurus, que no es mas que una PDA con Linux.

 

Pero este mecanismo no es infalible, ¿Cual es su defecto?,. El defecto reside en que si el equipo que estamos desautenticando,

tiene un usuario trabajando con el, seguramente “sospechará” viendo como le sale una y otra vez el globito de WinXP comunicándole

que ahora esta conectado y que ahora no, ahora si, ahora no. El usuario dirá: esto no es normal... Probablemente opte por la solución

estandard de windows: reiniciará. Lo que nos entorpecerá el ataque, pero en cuanto vuelva a estar operativo el pc, void11 seguirá con

su trabajo. Lo malo es que el usuario piense que el pc se ha averiado y apage el ordenador. Entonces habría que volver a kismet y buscar

otra Mac de otro pc para proseguir nuestro trabajo.

 

Lo ideal sería que hubiese un método que permitiera recopilar paquetes IVs de forma transparente, sin provocar la expulsión de ningún

cliente legal de la red. Afortunadamente existe la forma de hacerlo: En la receta (C) contamos como hacerlo.

 

 

 

 

 

 

Este texto hubiese sido imposible de redactar, sin la información obtenida de las siguientes webs:

 

Tomsnetworking : http://www.tomsnetworking.com/

El foro de Linux Auditor : http://forum.remote-exploit.org/

Los documentos de aircrack : http://www.cr0.net:8040/code/network/aircrack/

 

Como se suele decir: Gracias por la info.

 

Hosted by www.Geocities.ws

1