Café con Leche…. y dos porras WEP. Hirte+Caffe-Latte=airbase

Foro sobre todo tipo de tecnologías Wireless: Wi-Fi, Bluetooth, IrDA

Moderador: Moderadores

Café con Leche…. y dos porras WEP. Hirte+Caffe-Latte=airbase

Notapor Vic_Thor » Lun Jun 15, 2009 9:20 pm

No…. No me volví tarumba (no mas que lo de costumbre) tampoco es un título muy descriptivo que se diga, o si??

En este post vamos a escenificar un ataque diferente, como “casi” todo lo que me gusta al ponerme a escribir por estas tierras Wadalbertianas.

Y es que el título del post puede que sí sea descriptivo… se trata del ataque Caffe-Latte, no muy conocido pero muy efectivo, con pocos minutos y con pocos paquetes tendremos la clave Wep de una red inalámbrica. (Pocos son unos 50.000 paquetes y de 5 a 10 minutos dependiendo de la velocidad de inyección de la tarjeta)

Ciertamente es un ataque de inyección como otros, pero con algún aderezo, como el del despliegue de puntos de acceso ilícitos o falsos (fake AP), al estilo de Karma pero más sencillo.

Al igual que en este otro post (no os lo perdáis que es pecado :D ) http://www.wadalbertia.org/phpBB2/viewtopic.php?t=5548

Se trata de un ataque del tipo MiTM (Hombre en medio) y para llevarlo a cabo con éxito, bastará con que el atacante utilice un punto de acceso falso.

Dispondremos de dos modos de realizar estos ataques:
    Ataque Hirte: Muy efectivo pero tanto nuestra tarjeta “inyectora” como el punto de acceso víctima deben soportar fragmentación

    Ataque Café con Leche: Que su nombre debe venir de lo que se tarda en obtener la clave WEP :D, y está indicado para los casos en que no se pueda o el punto de acceso no sea vulnerable frente ataques por fragmentación.
Ambas técnicas se basan en lo mismo, encontrar la manera de engañar al cliente habilitado con la WEP para hacerle pensar que está registrado en una red que ya conoce.

Más información en: http://www.infoworld.com/d/security-cen ... fi-pcs-318

Antes de comenzar vamos a “sorprendernos” con algunas opciones de la suite de aircrack, desconocidas por mucha gente.

Más o menos todos ya conocemos (al menos sabemos de la existencia) de los modos 0-1-2-3-4 y 5 de aireplay:
    Ataque -0: Deautenticación
    Ataque -1: Falsa autenticación
    Ataque -2: Selección interactiva del paquete a enviar
    Ataque -3: Reinyección de una petición ARP (ARP-request)
    Ataque -4: Ataque chopchop
    Ataque -5: Ataque de Fragmentación
Pues bueno, existen otros, como son el -9, -7 y -6

Imagen

También vamos a aprender a usar otras herramientas que se incluyen en la suite aircrack-ng, muy útiles y que no se les presta la atención debida… estas van a ser:
    • airserv-ng
    • airbase-ng
Pruebas de inyección con aireplay-ng y airserv-ng

Emnpecemois por el modo -9 de aireplay, se trata de un test de inyección y viene a ser muy útil cuando queremos “probar” si será factible la inyección de frames en una red inalámbrica.

Ponemos airodump-ng a escuchar… por ejemplo por el canal 6, así:

Código: Seleccionar todo
./airodump-ng -w prueba -c 6 eth1


(eth1 es el nombre de mi tarjeta inalámbrica…)

Imagen

Probamos:

Código: Seleccionar todo
./aireplay-ng -9 eth1


Imagen

También podríamos haber indicado el essid o el punto de acceso, algo así:

Código: Seleccionar todo
./aireplay-ng -9 -a  AQUÍ_LA_MAC -e AQUÍ_EL_ESSID eth1


Si disponemos de dos tarjetas inalámbricas podemos probar:

Código: Seleccionar todo
./aireplay-ng -9 -i wlan1 wlan0

    • wlan1 actuará como punto de acceso
    • wlan0 es la tarjeta que inyectará los paquetes.
Como ya os dije, hay algunas utilidades interesantes y no muy conocidas, una de ellas es airserv-ng que nos puede ser útil por si queremos realizar un ataque desde otra máquina

Os pego una breve descripción traducida de la web de aircrack

Airserv-ng es un servidor para tarjetas wireless que permite múltiples aplicaciones y usar programas wireless independientemente de la tarjeta y del driver, a través de una conexión de red TCP cliente-servidor.

Todos los sistemas operativos y drivers de las tarjetas wireless están incorporados dentro del servidor. Esto elimina la necesidad de que cada aplicación wireless contenga los datos de la tarjeta y del driver. Tambien soporta múltiples sistemas operativos.

Cuando se inicia el servidor, escucha en una IP y en un número de puerto TCP específicos por las conexiones de los clientes. La aplicación wireless entonces se comunica con el servidor a través de la dirección IP y el número de puerto. Cuando usemos la suite aircrack-ng, especificaremos ”<dirección IP del servidor> dos puntos <número de puerto>” en lugar del nombre de la interface. Un ejemplo puede ser 127.0.0.1:666. Esto permite interesantes posibilidades:

• Eliminado la complejidad de los nombres de las tarjetas wireless y sus drivers, los desarrolladores de software se podrán concentrar en las funcionalidades de los programas. Esto permitirá que estén disponibles un mayor número de aplicaciones.

• También se reducen de forma importante los esfuerzos de mantenimiento.

• Sensores remotos serán de esta forma fáciles de implementar. Solo una tarjeta wireless y airserv-ng se requieren para ejecutar en un sensor remoto. Esto significa que se pueden crear pequeños sistemas empotrados de forma fácil.

• Puedes mezclar y compartir varios sistemas operativos. El servidor y cada una de las aplicaciones pueden potencialmente ejecutarse en diferentes sistemas operativos.

• Algunas tarjetas wireless no permiten ejecutar múltiples aplicaciones al mismo tiempo. Este contratiempo se elimina ahora con este nuevo sistema cliente-servidor.

• Usando una red TCP, el cliente y el servidor pueden encontrarse en diferentes partes del mundo. Con que solo dispongas de una conexión de red, funcionará.


A probar… en una shell lanzamos el servidor, así:

Código: Seleccionar todo
./airserv-ng -p 9999 -d eth1 -c1


(escuchará por el Puerto 9999 de TCP y usa el canal 1)

Imagen

Y ahora desde otra máquina podremos conectarnos para hacer la prueba de inyección:

Código: Seleccionar todo
./aireplay-ng -9 172.28.0.101:9999


Si no disponemos de otra maquina con aircrack instalado podemos probar desde otra shell en nuestro mismo sistema (esto no tiene mucho sentido pero se trata de probar…)

Código: Seleccionar todo
./aireplay-ng -9 127.0.0.1:9999


O bien, desde otra máquina:

Imagen

También podríamos remotamente o desde Internet hacer algo así:

Código: Seleccionar todo
Aireplay-ng -0 5 -a 00:11:22:33:44:55 80.33.45.108:9999


Siempre y cuando tengamos abierto el puerto 9999 y mapeado a la máquina 172.28.0.101

Ataques. Caffe-Latte y Hirte attack con airbase-ng

Para llevar a cabo estos ataques necesitamos saber usar otra herramienta de aircrack, que es: airbase-ng

Airbase-ng es una utilidad muy versátil con la que podemos convertir nuestro pc y/o nuestra tarjeta inalámbrica en un punto de acceso lícito.

Pero airbase también puede atacar a los clientes conectados a un Punto de Acceso.

Las funciones más importantes que se pueden realizar son:

    • Implementa el ataque a un cliente “Caffe Latte WEP”.
    • Implementa el ataque “Hirte WEP client attack”.
    • Captura del handshake WPA/WP2.
    • Puede actuar como un Punto de Acceso “ad-hoc”
    • Puede actuar como un Punto de Acceso normal
    • Puede filtrar por SSID o dirección MAC del cliente
    • Puede manipular y reenviar paquetes
    • Puede encriptar los paquetes enviados y desendriptar los recibidos
Vamos, una joya….

Airbase utiliza una interface TAP (como la del post anterior de buddy y easside) por lo que antes de usarla escribimos:

Código: Seleccionar todo
modprobe tun


y una vez que lancemos airbase podemos usar esa interface mediante:

Código: Seleccionar todo
ifconfig at0 up


Podemos desplegar un punto de acceso sencillamente escribiendo:

Código: Seleccionar todo
./airbase-ng -c 11 -e APVictor


Y entonces los clientes se podrían conectar al punto de acceso APVictor usando el canal 11 y sin seguridad… si además implementamos un servidor dhcp, enrutamiento, etc.. pues eso… se comporta como una red insegura.

También podemos usar cifrado:

Código: Seleccionar todo
./airbase-ng -c11 -e APVictor -w F110ECE0DC


Y los clientes que se quieran conectar deberás usar la clave especificada en la opción -w

Pero bueno, esto no es lo que nos interesa… lo que queremos es otra cosa.

Usaremos airbase para desplegar un punto de acceso falso con la esperanza que se conecten los clientes y poder así conseguir la clave WEP de la red.

Imagina que en tu casa/oficina/colegio existe una red que se llama PEPILLO y que tras lanzar al airodump conseguimos averiguar el canal que está usando, el bssid del punto de acceso y la mac de algún cliente asociado… esto no es nada nuevo, es lo de siempre.

Ahora viene la pregunta de rigor!!!

¿Qué pasaría si además de ese existe otro punto de acceso con el mismo essid, con el mismo bssid y emitiendo por el mismo canal?

Si estamos lo suficientemente cerca del cliente víctima y(o diponemos de una buen antena y/o amplificador... será nuestro.

Estas técnicas se basan en la proximidad entre cliente-atacante y no entre el atacante-punto de acceso.

LLegó la hora… llevemos a cabo estas técnicas de las que hemos hablado… primero a fijar el objetivo:

Nuestra víctima será AticoB

Imagen

Ahora afinamos mas airodump…

Código: Seleccionar todo
./airodump-ng -w captura_AticoB -c10 -d 00:18:E7:35:47:9A


Imagen

E otra shell vamos a lanzar el ataque Hirte con airbase-ng, así:

Código: Seleccionar todo
./airbase-ng -c 10 -e AticoB -W 1 -N -a 00:18:E7:35:47:9A


Donde:
    -c es el canal por el que emite el punto de acceso legítimo
    -e es el essid
    -W 1 obligará al cliente a conectarse con clave WEP (la suya claro :D )
    -N es el tipo de ataque (N para Hirte L para Caffe-Latte)
    -a es la MAC del punto de acceso
Bien… pero qué hace airbase???

Pues despliega un punto de acceso (falso en este caso) y usará la interface TAP junto con la interface física para completar el ataque.

¿y el cliente “víctima”? ¿Sucede algo? Pues no… sencillamente “pasará” por nuestro fake AP y del nuestro al “verdadero”, es decir, actuamos como intermediarios, el cliente no pierde conectividad y podemos inyectarle paquetes ;)

La interface TAP (at0) se usará para enviar los paquetes, mientras que la interface física los capturará…

Una vez lanzado el comando anterior se procede automáticamente al ataque especificado (Hirte o Caffe-Latte) sin mas intervención.

En la ventana de airodump se iran mostrando los datos capturados (no te preocupes si parece que no avanza o si parece “atascado”… es posible que pasados unos segundos aumenten bruscamente, por ejemplo de 1200 a 7000 es normal en este tipo de ataque, es como si los fuese guardando airbase)

Si el/los clientes ya están conectados puede ser necesario (no es obligatorio) enviarles una desautenticación para que inicie mas rápidamente el ataque…

En fin, voy a empezar de nuevo y te pongo las capturas de pantalla todas juntas:

1.- Lanzamos airodump para fijar el objetivo

Imagen

2.- Lanzamos airbase en otra shell

Imagen

3.- Vemos que ocurre en la shell de airodump

Imagen

Observa que he resaltado en rojo el tiempo que lleva!!! 3 minutos y mas de 43000 paquetes de datos…

4.- En otra shell lanzamos aircrack con la opción -P 2 esto acelerará el crack de forma notable y con apenas 40-50 mil paquetes la tendremos.

Imagen

Ya lo ves, en menos de 3 minutos (tardé mas en copiar y pegar las pantallas que en crackear la clave WEP ;)

La técnica de Caffe-Latte es similar, igualita en su desarrollo, lo que difiere es cómo inyecta.

En fin, os dejo “tarea” hay otra herramienta en la suite de aircrack MUY, MUY, MUY util… es airtun-ng, a ver si os animáis y le sacamos partido.


Saludos!
Vic_Thor
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 855
Registrado: Vie Ene 28, 2005 11:56 pm

Notapor Sor_Zitroën » Lun Jun 15, 2009 9:42 pm

Ya hay más para estudiar; das más guerra que un perro suelto :)

En serio, gracias!
[Padre] ¿Crees en el fracaso?
[Hijo] Sí
[Padre] Entonces lo experimentarás
Avatar de Usuario
Sor_Zitroën
-<|:·þ
-<|:·þ
 
Mensajes: 2064
Registrado: Vie Nov 25, 2005 2:01 am

Notapor Vic_Thor » Lun Jun 15, 2009 10:06 pm

jajaja, está bueno eso del perro suelto... de nada.

Lo de airtun-ng es para ver si a alguien se le ilumina "la bombilla" y se aventura a usarlo para enviar icmp-redirects a un cliente cualquiera de una red inalámbrica.

La idea es esta:

+ Estamos ante una red WPA o WEP y no conocemos la contrseña

+ Lo qué SÍ podemos es obtener un PRGA (podemos usar weasside para WEP o tkiptun para WPA)

+ Con el prga podemos inyectar tráfico en la red aunque no podemos desencriptar los que recibamos porque no tenemos la clave completa

+ Gracias a airtun-ng podemos usar otras herramientas sin depender de aireplay para ello, por ejemplo Lorcon ;)

+ Si le cambiamos la puerta de enlace mediante icmp-redirect el tráfico que salga hacia internet podría pasar por nuestro equipo sin conocer la clave WEP o WPA.

Esto es lo que quiero... y me funcionó "a medias".

Si alguien se anima, abrimos un post para ello... yo cuento mis avances y osotros los vuestros ;)

Eso si que es una tarea :evil:
Vic_Thor
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 855
Registrado: Vie Ene 28, 2005 11:56 pm

Notapor NeTTinG » Mar Jun 16, 2009 3:26 am

Hola:

¡¡Muy interesante Vic_Thor!! Me he quedado helado... :shock: :shock:

Un saludo.

PD: Gracias de nuevo por compartir todas estas cosas con nosotros, Vic_Thor... creo que esto también se merece un Post-it ;)
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6272
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.

Notapor Popolous » Mar Jun 16, 2009 10:24 am

NeTTinG escribió:
PD: Gracias de nuevo por compartir todas estas cosas con nosotros, Vic_Thor... creo que esto también se merece un Post-it ;)


Ya está hecho, claro que se lo merece ;). De nuevo gracias Vic por compartir estas cosas con el resto de la gente.

¡Saludos!
A. Einstein, cabello y violín,
hacemos nuestra última reverencia;
aunque sólo comprendido por dos personas,
él mismo y, a veces, Dios.

Jack C. Rosseter

"Sin direccionamiento Físico, no hay direccionamiento Lógico"

Vikingo dixit
Popolous
Wadalbertita
Wadalbertita
 
Mensajes: 1946
Registrado: Mié Ene 26, 2005 10:40 pm
Ubicación: E=mc^2

Notapor vlan7 » Mar Jun 16, 2009 6:28 pm

Yo si me animo tio.

Pero dejame primero digerir esto, que me he ido casi directamente a los ultimos mensajes.

Como dijo alguien en algun otro post, que peligro tienes jejeje

Suerte,
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor NewLog » Mié Jun 17, 2009 1:03 am

Otro en tu linea. Has tenido un buen fin de semana, no?

De este no tengo dudas. Es bastante claro, hasta para un newbie como yo :badgrin:

Puedo haceros una pregunta en general? Tiene que ver con el tema, pero no directamente con esta técnica:

El tráfico de una red inalámbrica se puede esnifar? Se que sí, pero ahora os pongo el escenario. Tenemos una red sin ningún tipo de encriptación, sin embargo, para conectarte a dicha red te has de loguear y además (juraría) dispone de conexión SSL (vale, sí que está encriptado). Utiliza las aplicaciones de BlueSocket.

Se que, por ejemplo, con Caín puedes esnifar paquetes protegidos por SSL y leerlos sin mayor problema (La técnica se llamaba arp poisoning? No, diría que no. Simplemente era crear un certificado falso y que la víctima lo aceptara). En fin, se puede hacer algo parecido con las herramientas wireless y desde Unix?

Se que no tiene mucho que ver... quizá debería haber abierto otro hilo.

P.D.: Me quedo con el otro! El del viernes. Este texto es muy bueno, pero ese fué genial!

P.P.D.: En cuanto a lo que propones, Vic_thor, aun no os puedo ayudar... Exámenes... Y como ya he dicho, ya debería estar en el sobre! :badgrin:
Avatar de Usuario
NewLog
<|:-D
<|:-D
 
Mensajes: 1130
Registrado: Sab Ene 14, 2006 1:03 am

Notapor AnimAlf » Mié Jun 17, 2009 7:40 am

vlan7 escribió:Pero dejame primero digerir esto

Voy a pegarme unos tortazos, para comprobar que realmente estoy despierto y remojarme un poco la cara ...

Por mi parte si no lo puedo digerir ... todo esto se desparrama por ahí ... je, je, menuda mezcla de olores ... y si despues meten este trasto en la hoguera con los tronk@s ... no se pero ...

ESTO HUELE BIEN

Forever Thansk

One Forever Newbie
En busca del TuXeR perdido
Avatar de Usuario
AnimAlf
<|:-)
<|:-)
 
Mensajes: 628
Registrado: Mar Ago 08, 2006 4:54 am
Ubicación: tgn

Notapor termithe » Mié Jun 17, 2009 6:28 pm

Increible , mágnifico aporte ..saludos.
Avatar de Usuario
termithe
:-D
:-D
 
Mensajes: 110
Registrado: Sab Sep 03, 2005 9:17 pm

Notapor vlan7 » Mié Jun 17, 2009 8:36 pm

NewLog escribió:Se que, por ejemplo, con Caín puedes esnifar paquetes protegidos por SSL y leerlos sin mayor problema (La técnica se llamaba arp poisoning? No, diría que no. Simplemente era crear un certificado falso y que la víctima lo aceptara). En fin, se puede hacer algo parecido con las herramientas wireless y desde Unix?


ettercap puede con su SSL dissector, y sslstrip se que tambien, pero esta ultima herramienta no la he probado, pero mira, pinta bien:

With SSLStrip we have the ability to strip SSL from a sessions. Using this tool we have the capability to capture in clear text user IDs and passwords.

Desde los tipicos ataques a WEP nunca pense que la seguridad wifi fuera tan interesante...

Saludos!
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor NewLog » Mié Jun 17, 2009 10:56 pm

Qué nervioso me ha puesto ese video... Madre mia... No lo he podido acabar jejeje

Voy a ver si encuentro información sobre el SSLStrip escrita!

Muchas gracias por la info, esto abre un nuevo horizonte en mi mente :badgrin:
Avatar de Usuario
NewLog
<|:-D
<|:-D
 
Mensajes: 1130
Registrado: Sab Ene 14, 2006 1:03 am

Notapor *dudux » Jue Jun 18, 2009 12:23 am

que interesante parece.............
me acuerdo hace años con el chopchop y luego con el ataque de fragmentacion en el ke solo se empezo con mi primer chipset rt2570 o rt2500..........la verdad ke son ataques muy bonitos...........

el hirte caffe & latte ya pense q no aportarian nada nuevo........


os dejo unos tutos que ize hace tiempo......

Ataque chochop (con ipw2200) y sin clientes conectados por *dudux
http://mirror-wifislax.lost-away.org/vi ... opipw2.htm

Ataque de Fragmentación con WifiSlax por *dudux
http://mirror-wifislax.lost-away.org/vi ... tacion.htm


aqui todos los videos
http://www.wifislax.com/manuales/videos.php
*dudux
:-)
:-)
 
Mensajes: 10
Registrado: Jue Jun 18, 2009 12:11 am

Notapor AnimAlf » Jue Jun 18, 2009 4:42 am

Netiqueta pls hola first

Bienvenido a estos LareS ... no puedo evitarlo me gustan l@s creadores.

*dudux escribió:Ataque chochop (con ipw2200) y sin clientes conectados por *dudux
http://mirror-wifislax.lost-away.org/vi ... opipw2.htm


La presentación, parece un grafity X'D aunque, no de los de pared ... si no de los de AnonymouS .... pero sin mala intención X'D :-D :-) :-|

^·_·^ Suerte del pause en el primero que si no .... este menda que lo ha seguido ... como que se pierde ... no soy muy listo para estas lecturas rápidas.. (sí para no leer ;-) pero no es plan)

Grácias, por dejar que circule la información

SaludOS
En busca del TuXeR perdido
Avatar de Usuario
AnimAlf
<|:-)
<|:-)
 
Mensajes: 628
Registrado: Mar Ago 08, 2006 4:54 am
Ubicación: tgn

Notapor vlan7 » Jue Jun 18, 2009 9:24 pm

A mi me ha gustado este:

http://milw0rm.com/author/1068

es el primero de toda la lista que pusiste, puntero a dudux, imagino que se pronuncia asi tu nick.

<EDIT>
Me he estado fijando en que cifrado usaban tus vecinos Vic_Thor y veo que la gente empieza a usar WPA. Van mitad y mitad los que usan WEP con los que usan WPA-PSK.
</EDIT>

Suerte,
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor *dudux » Jue Jun 18, 2009 9:47 pm

vlan7 escribió:A mi me ha gustado este:

http://milw0rm.com/author/1068

es el primero de toda la lista que pusiste, puntero a dudux, imagino que se pronuncia asi tu nick.

<EDIT>
Me he estado fijando en que cifrado usaban tus vecinos Vic_Thor y veo que la gente empieza a usar WPA. Van mitad y mitad los que usan WEP con los que usan WPA-PSK.
</EDIT>

Suerte,



con ke me llames dudu me conformo...........la * y la x son adorno
*dudux
:-)
:-)
 
Mensajes: 10
Registrado: Jue Jun 18, 2009 12:11 am

Siguiente

Volver a Zona Inalámbrica

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado