Obteniendo clave WPA-PSK de un cliente WIFI victima

Foro sobre todo tipo de tecnologías Wireless: Wi-Fi, Bluetooth, IrDA

Moderador: Moderadores

Obteniendo clave WPA-PSK de un cliente WIFI victima

Notapor vlan7 » Mar Jun 16, 2009 8:36 pm

Nuestro compañero el vikingo me ha picado la curiosidad sobre ataques crazies en redes wifi, y sobre lo que no esta en el foro esto es lo que puedo ofrecer sobre lo que he aprendido de lo que me han enseñado otros:

Este ataque funciona si el cliente victima esta configurado para conectarse de forma automatica al AP.

Esto puede ser muy restrictivo, pero...

¿Y si tiramos el AP legitimo?

Bueno, a lo que iba, necesitaremos:

ESSID del AP legitimo
y
canal

Tools:

airbase-ng
y
aircrack-ng

Podemos usar para el ataque BT ahora que esta de moda.

Obtendremos la clave WPA-PSK.

Todos sabemos como obtener con kismet o airodump el ESSID del AP legitimo (aunque este deshabilitado el broadcasting de ESSID) y el numero de canal, asi que eso me lo saltare.

Y como no tengo capturas, voy a copiar los 2 comandos usados para el ataque. Si, solo dos.

Código: Seleccionar todo
airbase-ng -e essid_de_vlan7 -c 7 -z 2 -W 1 -F captura wlan0


Con este comando seremos para el cliente el AP legitimo, cuando en realidad claro esta somos el atacante.

¿Y si usamos airodump?

No, porque con airodump-ng que yo sepa ninguna tarjeta puede capturar los paquetes que esta mandando.

Explico los parametros.

-e essid_de_vlan7 es el nombre del ESSID de mi AP victima
-c 7 es el canal
-z 2 es el tipo de cifrado, TKIP
-F captura es el nombre de archivo de captura
-W 1 segun las fuentes significa no mandar un flag que identifica la conexion como WEP, lo cual era detectado por el cliente victima y se cortaba la conexion. Bueno realmente no se si se cortaba, es intuicion, pero el ataque no funcionaba porque no se extraia el saludo de 4 vias, 4-way handshake que dicen los guiris, con lo cual no podiamos saber la clave WPA.

wlan0 por ultimo es la interfaz wifi.

Esperamos a que el cliente se autoautentique y airbase-ng nos avisara.

Con lo cual pasaremos a usar la siguiente herramienta desde otra consola:

Código: Seleccionar todo
aircrack-ng -r dbpmk -e essid_d_vlan7 captura.cap


Con -r especificamos la bd que contiene las PMKs precalculadas.

Dejo el siguiente enlace sobre como obtenerla con airolib-ng para no alargar demasiado esto:

[url=http://www.aircrack-ng.org/doku.php?id=airolib-ng.es&DokuWiki=31ef3780e78adaf3977a955f8c875495]++++++ IMPORTANTE ++++++
++++++ IMPORTANTE ++++++
++++++ IMPORTANTE ++++++

Esta funcionalidad estará disponible en una futura versión. TODAVÍA no está disponible.

++++++ IMPORTANTE ++++++
++++++ IMPORTANTE ++++++
++++++ IMPORTANTE ++++++[/url]

lo cual quiere decir que habra que compilar, tal y como escribio en otros posts nuestro compañero el vikingo.

y con ello tendriamos la bonita pantalla que todos conocemos de

Código: Seleccionar todo
KEY FOUND! [la clave WPA-PSK]


Suerte,
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor Vic_Thor » Mar Jun 16, 2009 10:47 pm

Bien... esto es "animarse" ;) aunque no iba yo por el "crack" realmente.

Una aclaración sobre la opción -W 1

Un cliente inalámbrico (víctima o no víctima) se conecta a puntos de acceso con parámetros idénticos, es decir, un cliente WEP a un punto de acceso WEP, un cliente WPA a un punto de acceso WPA (además de otras opciones)

Esta opcón -W 1 lo que hace es "automatizarlo y ajustar" el punto de acceso falso, (1 es el modo auto) de tal forma que si llega un cliente WEP se pone en WEP.

-z 2 es para TKIP, podemos usar -z 4 para CCMP, -z 1 para WEP40 o -z 5 para WEP 104.

Sobre airolib+cowpatty+sqlite+toooodooooo eso, pues muy bien, el crack lo acelera se sobremanera (yo hace años probe cowpatty+genpmk o pmkgen no me acuerdo... y rapidito, rapidito), pero es que... muuuaaaaaa!!! se sigue necesiando un diccionario; si la clave wpa es dr0medario_sin_Joboba pues como que no :evil:

De todos modos es una pasada y muy bueno traer este asunto ;)

Y por si acaso, esto es un parche para aircrack y lanzar un ataque por fuerza bruta contra WPA (fuerza bruta no diccionario)

http://forum.aircrack-ng.org/index.php? ... 7.0;id=169

mas información acerca de ello en http://forum.aircrack-ng.org/index.php?topic=1507.0

Animo!!!

PD: Voy a probar una cosa que me ha venido al coco mientras leía tu post... (que me ha gustado el uso :D)
Vic_Thor
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 855
Registrado: Vie Ene 28, 2005 11:56 pm

Notapor AnimAlf » Mar Jun 16, 2009 11:00 pm

Esto sube de nivel, WEP\b\bPA :))

Grácias por la aportación @vlan7 y @Vic_Thor

No se si lo estoy viendo demasiado sencillo. No hay algo más. O estas nuevas herramientas són tan, tan ... espera que me cae algo de la boca :-)....

Conozco el metodo de deutentificación que consite en conseguir el handsnake tras el ataque 1 y luego la ayuda de Jonh

Aunque no hagos muchas pruebas, con ellas, más que nada por que en mi intento de intentar desautentificar, mi otra conexión, pues como que ni consigo la desautentificarlos :-( algunas cosas no están echas para uno ... seguiré probando.

En este proceso veo que esperamos a que se nos conecte.

¿Lo desautentifica sólo el @airbase-ng?

Voy a volver a leeros y reeleros ...

Y no ¿hace falta ni diccionario ni brute force? :)) a ver a ver, repito ... no sea que halla leído demasiado rápido.

Gracias de nuevo
PD: Fe de erratas ... ataque uno es el primero 0, ... deautentificación :roll:
Última edición por AnimAlf el Mié Jun 17, 2009 11:28 am, editado 1 vez en total
En busca del TuXeR perdido
Avatar de Usuario
AnimAlf
<|:-)
<|:-)
 
Mensajes: 628
Registrado: Mar Ago 08, 2006 4:54 am
Ubicación: tgn

Notapor NewLog » Mié Jun 17, 2009 1:20 am

Parece que sí que se necesita crackear.

En el comentario de Vic_Thor queda claro.

Gracias vlan7. A ver hasta dónde llegáis!

P.D.: Ahora sí que me voy a dormir!!!!
Avatar de Usuario
NewLog
<|:-D
<|:-D
 
Mensajes: 1130
Registrado: Sab Ene 14, 2006 1:03 am

Notapor vlan7 » Mié Jun 17, 2009 8:08 am

Si, se necesita diccionario, olvide comentarlo. Lo que pasa que vi este ataque en los foros de remote-exploit y quise compartirlo. Mis conocimientos sobre wifi son algo limitados, menos mal que tenemos al vikingo, que tio, parece que domine de todo, forense, wifi, redes, etc

Por cierto, hable de que se podia especificar la MAC del atacante, creo que era con la opcion -m.

Ah, y a ver con que cosa nos sorprendes Vic... :)

Saludos,
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor disturb » Mié Jun 17, 2009 9:53 am

Muchas gracias vlan7!
disturb
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 2253
Registrado: Mié Ene 26, 2005 5:30 pm
Ubicación: Málaga

Notapor NeTTinG » Mié Jun 17, 2009 10:46 am

Hola:

Parece que a los moderadores nos va a tocar organizar un poco las cosas en este subforo... Empiezan a aparecer temas muy interesantes que no deben perderse con otros hilos...

Le pongo un post-it!

Gracias, vlan7 ;)

Un saludo.
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6272
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.

Notapor Vic_Thor » Mié Jun 17, 2009 10:56 am

Hombre tampoco te pases... dominarlo todo, todo... como un exceso :oops:

El "problema" de cowpatty o de generar los pmk's es el tiempo y el esfuerzo.

Se necesitan una lista de essid (o al menos uno) y un archivo con contraseñas... para generar los pmk's se utilizan ambos datos.

Un diccionario de password de.. digamos 2 millones de contraseñas y un sólo essid puede tardar horas (y horas) en generarse (depende del equipo que se tenga) yo acabo de hacerlo con uno de 5.000 palabras nada mas y tardó como un cuarto de hora (el portátil es una caca...)

Eso sí, el crack pasa de 200 palabras x segundo a 21.000 palabras por segundo, es una diferencia muy notable...

También nos queda usar las Rainbow Tables para WPA ;) Buscad en google por wpa_psk-h1kari_renderman a la fecha os podéis descargar 33GB de pmk's generados para unos miles de essid mas comunes... claro que si el essid que buscáis no aparece en las tablas de wpa_psk-h1kari_renderman os tocará generarlo por vosotros mismos y a pasar unas horitas en ello.
Vic_Thor
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 855
Registrado: Vie Ene 28, 2005 11:56 pm

Notapor vlan7 » Mié Jun 17, 2009 8:27 pm

yaya vic_thor, lo decia como expresion lo de dominar de todo.

y bueno, yo es que no conozco mas ataques asi raros que no impliquen crackeo, quizas el de chop-chop, o el PTW (lo malo del PTW es que he leido que floodea en comparacion con el de fragmentacion), por lo demas, lo tipico.

Quizas pues me gustaria terminar con todo lo que me he ido encontrando sobre seguridad en wifi crazy que se puede resumir en los foros de remote-exploit.org y los foros de aircrack-ng, y unos muy buenos videos que hizo un chico que se ve que es el primero que entra y el primero que sale.

Os pongo un indice para que os hagais una idea:


Backtrack Series - 1: Cracking WEP Protection Using Deauthentication and ARP Packets Injection

Backtrack Series - 2: Cracking Clientless WEP Protected Network Using ARP Packet Replay

Backtrack Series - 3: Cracking Clientless WEP Protected Network Using Chop Chop Attack

Backtrack Series - 4: Cracking Clientless WEP Protected Network Using Fragmentation Attack

Backtrack Series - 5: Cracking WPA Protected Network Using ASCII Dictionary Attack

Backtrack Series - 6: Cracking WPA Protected Network Using Precomputed WPA Keys Database Attack

Backtrack Series - 7: Cracking AP-less WEP Protected Network Using Hirte Attack (Fragmentation Attack)

Backtrack Series - 8: Cracking AP-less WEP Protected Network Using Caffe Latte

Backtrack Series - 9: Cracking AP-less WPA Protected Network Using Rogue AP

Backtrack Series - 10: MITM Attack With Rogue AP Using Airolib-NG & Ettercap-NG ---> Discussion and attachments thread

Interesante eh. Y este es el post de ese tal fifothekid donde anuncia sus videos:

http://forums.remote-exploit.org/backtrack3-howtos/23228-backtrack-tutorial-series.html

Estos videos son recientes, recientes, de este mes todos creo. :badgrin: Y son serios, en comparacion con lo que se suele ver en youtube sobre seguridad, que es bastante mediocre.

Saludos!
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor *dudux » Jue Jun 18, 2009 9:44 pm

como generas la db con airolib-ng?

asi?
Código: Seleccionar todo
 airolib-ng testdb init
*dudux
:-)
:-)
 
Mensajes: 10
Registrado: Jue Jun 18, 2009 12:11 am

Notapor vlan7 » Jue Jun 18, 2009 10:33 pm

*dudux escribió:como generas la db con airolib-ng?

asi?
Código: Seleccionar todo
 airolib-ng testdb init


Si, empiezas asi.

Me ha costado encontrarlo. Mira este enlace de los foros de remote-exploit.org

http://forums.remote-exploit.org/tutorials-guides/7649-airolib-ng-cowpatty.html

Quizas es mas explicativo que el enlace que puse, quizas no porque el enlace que puse no pone nada apenas, pero me gusto el banner ese :D

Suerte!
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor Vic_Thor » Jue Jun 18, 2009 11:44 pm

Nops, en la nueva version no es así... es "asá" :D y necesitas:

1º) un archivo de texto con los essid (al menos con uno) en el ejemplo será redes.txt

2º) Un archivo de contraseñas, en el ejmplo será dict.txt

ahora:

Código: Seleccionar todo
airolib-ng base_de_datos --import essid redes.txt
airolib-ng base_de_datos --import passwd dict.txt


Luego a generar los pmk (esto te puede llevar muuucho tiempo, depende de lo grande del dict.txt y de la cantidad de essid en redes.txt)

Código: Seleccionar todo
airolib-ng base_de_datos --batch


Y si quieres, verificas...

Código: Seleccionar todo
airolib-ng base_de_datos --stats
airolib-ng base_de_datos --verify all


* La verificación supone EL MISMO RATO del proceso --batch, yo que tu, ni lo haría si es muy grande....

y luego aircrack como ya se ha dicho ;)

-EDIT--

Se ha cambiado el código que decía:

airolib-ng base_de_datos --import essid redes.txt
airolib-ng base_de_datos --import dict.txt


por el que figura ahora que es:

Código: Seleccionar todo
airolib-ng base_de_datos --import essid redes.txt
airolib-ng base_de_datos --import passwd dict.txt


Gracias Sor_Zitroën, por el aviso ;)

--- \ EDIT ---
Última edición por Vic_Thor el Lun Jun 22, 2009 6:57 pm, editado 2 veces en total
Vic_Thor
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 855
Registrado: Vie Ene 28, 2005 11:56 pm

Notapor vlan7 » Vie Jun 19, 2009 1:49 am

ok, ¿y con pmkgen o algo asi de cowpatty no seria mas rapido? ¿O por un estilo?

Suerte,
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor *dudux » Vie Jun 19, 2009 1:57 am

aunque existieran databases precomputadas,siempre debemos d crear la nuestra pq el essid seguramente no sea el mismo....

creo ke la unica manera d vulnerar WPA es con rogueAPs..........pero siempre ke toque usar cowpatty habra ke precomputar con genpmk y depende de los GBs hablams d dias y espacio.........
*dudux
:-)
:-)
 
Mensajes: 10
Registrado: Jue Jun 18, 2009 12:11 am

Notapor Vic_Thor » Vie Jun 19, 2009 9:43 am

A ver, por puntos...

Ya os comenté el asunto de las tablas wpa_psk-h1kari_renderman , si el essid que buscamos está alli (se puede consultar la lista de essid) hay muchas posibilidades de poder hacer crack de WPA en 10 minutos.

Al día de hoy, (anoche sin ir mas lejos) ya he conseguido inyectar tráfico en un red protegida por wpa sin conocer la contraseña, una bobada lo sé... pero de momento suficiente para seguir avanzando. Y con trráfico, me refiero a hacer un ping o arp response (y request, claro) directamente a un cliente inalámbrico, ya os pasaré los avances en breve.

Por otro lado, y volviendo al crack, he visto que aircrack incorpora cuda en alguna de sus versiones, también Live CD como BT4 lo traen precompilado... segun los benchmarks con un crack md5 con cuda, llegan hasta 600 millones de contraseñas por segundo, hasta si la placa base soporta lsi, puedes poner varias gráficas en paralelo y multiplicar esa cifra.

Yo no lo he probado, pero os aseguro que en esta mañana me pienso comprar una geforce 8800gtx que (además de no ser muy cara) dicen que alcanza hasta 274 millones de password x segundo.
Vic_Thor
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 855
Registrado: Vie Ene 28, 2005 11:56 pm

Siguiente

Volver a Zona Inalámbrica

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado

cron