Aircrack-ng

1.1

Potente programa para descifrar claves de redes WEP y WPA

Ampliar

Descargar
Gratis (4,33MB)

Me gusta

50 votos

Aircrack-ng es un paquete de herramientas destinadas al monitoreo y anlisis de redes inhalmbricas con el que podremos poner a prueba la seguridad del cifrado de conexiones WEP (Wired Equivalent Privacy) y WPA (Wi-Fi Protected Access). Una vez ejecutemos el programa, podremos capturar paquetes de informacin de una red concreta (o de las que sea capaz de detectar nuestra tarjeta) con una de las herramientas incluidas en Aircrack-ng: Airodump, un sniffer que se encargar de capturar los paquetes necesarios para llevar a cabo la operacin con xito. Cuando los paquetes capturados sean suficientes, slo tendremos que cargarlos con Aircrack para que ste

92% 21 3 0

descifre la clave y podamos acceder a la red a la que pertenezcan. Notas: Aircrack trabaja con WEP 802.11 y WAP-PSK. Para acceder a la consola de manejo deberemos ejecutar el archivo Aircrack-ng GUI.exe que se encuentra en la carpeta bin del directorio donde hayamos descomprimido Aircrack.

Hackear WEP. Descifrar Wep de redes inalmbricas Wireless

Julio 17, 2006 Durante unas semanas he estado trabajando entorno a la seguridad en wireless. Creo que no descubrir a lo mejor nada nuevo a mucha gente, pero quizs a los usuarios que nos visitan s. As que no est mal de vez en cuando dar un poco la voz de alarma, y por otro lado hacernos fuertes frente al enemigo. En este artculo queremos explicar sin entrar en detalles tcnicos, puesto que no pretende ser un manual de hacking, que para ello ya hay muchos colgados en la red, sino para que el usuario de red wireless tome conciencia de si debe sentirse seguro o no. Network Sniffing y los hackers del todo a 100 Todos los das cuando encendemos nuestro ordenador es probable que si hacemos click en ver las redes inalmbricas disponibles nos encontraremos con la grata sorpresa de que no estamos slos en el universo wireless, sino que muchas son las redes que pululan a nuestro alrededor. Los hay que con un poco de conocimiento y si son de la vieja escuela piensan que si no va por cable eso es complicado de interceptar, pero nada ms lejos de la realidad. Realizar sniff (husmear, oler, esnifar, lo que pasa a nuestro alrdedor), no es ms que oler lo que pasa cerca nuestro y por ende analizarlo. Para las redes wireless que no tienen habilitada ninguna seguridad, el tema es muy sencillo, basta con intentar asociarse al punto de acceso, para probablemente de forma automtica y dinmica obtener una IP de la red local, y poder utilizar el caudal de internet de ese usuario para nuestros propios fines. El tema es que cuando la red est protegida por WEP o incluso filtrado por MAC la cosa se hace ms complicada.

Pues aviso a navegantes, mentira tambin. Si yo os dijese que hackear o acceder a un router Wireless o Punto de Acceso wireless con proteccin WEP y filtrado MAC puede ser cosa de no ms de 5 minutos, es probable que a alguno le tiemblen las canillas, y est deseando llegar a casa para cambiar el sistema de encriptacin de su red. Slo puedo decir una cosa, HACERLO . Lo primero que hacemos es con una tarjeta wireless PCI o PCMCIA, y una antena a ser posible externa y con una ganacia de 5 o 6 dbi, para no tener problemas de cobertura de seal, con cualquier de los programas que hay pululando por la red, como la suite Aircrack-ng, o Kismet, se hace una deteccin de lo que existe a nuestro alrededor. Con esta informacin determinamos nuestra vctima. Posteriormente empezamos a snifar trfico de dicho punto de acceso hasta obtener una muestra de paquetes lo suficientemente grande como para que un programa como por ejemplo aircrack, se encargue de evaluar en cuestion de dcimas de segundo la clave WEP con la que se est encriptando la informacin. Ojo!!!! incluso no existiendo clientes de esa propia red que estn generando trfico, gracias a las tcnicas de Packet Injection, se puede simular trfico forzando al punto de acceso a responder y generando as el trfico que hace falta para obtener la clave WEP. En resumidas cuentas el WEP no es seguro. MAC Spoofing Con programas como macchanger para linux, es cuestin de 1 segundo cambiarse la MAC y ponerse otra. Con los programas de sniff que identificabamos anteriormente se puede determinar las direcciones MAC de los puntos de Acceso as como las direcciones MAC de los clientes de la red que se encuentran asociado a dichos puntos de acceso. Esas direcciones MAC estn permitidas en el AP para que puedan navegar. Tan slo es necesario cambiarnos la direccin MAC para ganar acceso y saltarse la proteccin. Los sistemas de cifrado cada vez ms avanzados y algo ms seguros, no van implementados en todos los hardwares porque en muchos casos depende del firmware de los dispositivos, pero lo que s que es cierto es que WPA lo soportan casi todos. Con WPA el sistema de acceso se torna un poco ms complejo, no slo pudiendo utilizar una frase considerablemente larga como clave, sino que adems se fuerza una reconfirmacin de la clave durante el tiempo de conexin para garantizar as la autenticidad del cliente, evitando asi que un cliente sin autenicar pueda estar en nuestra red como intruso. Probablemente tampoco es un mtodo definitivo pero el WPA para ser crackeado normalmente se apoya en la fuerza bruta para intentar determinar la

password a partir de diccionarios y dems, lo que nos permite utilizar una frase de cifrado que no sea una palabra del diccionario que evite as ser encontrada con cierta facilidad. Cmo contrarrestar los ataques? Bueno realmente la unica forma de contrarrestar el ataque es que nuestra red est lo suficientemente segura como para que el atacante desista y se plantee otra alternativa ms sencilla. Pero lo que s es cierto es que yo he montado un HoneyPot, con sorpresa supongo para algunos, que me ha permitido conocer un poco ms en detalle, las pretensiones de los atacantes. Un HoneyPot, o tarro de miel, en ingls, no es ms que un caramelo, puesto a disposicin de todo el mundo para que la tentacin sea tal que siempre haya alguien que se lo quiera comer. Pero en qu consiste a nivel tcnico. Bien yo lo que he hecho para que os hagais una idea es que con esa misma tarjeta wireless que he usado para scanear redes, esta vez la he colocado en modo Punto de Acceso. Y con ayuda del forwarding, y el masquerading de linux, he creado un router que reenvia el trfico a otro interfaz de la red, que a su vez tiene conexin a internet. He montado un servidor DHCP y el efecto es el siguiente. El usuario se conecta a la red desprotegida sin clave WEP, el servidor DHCP le enva una direccin IP y el intruso ve que puede navegar por internet. Aparentemente cree que se encuentra dentro de un router Wireless, como cualquier otro. Pero nada ms lejos de la realidad, el sistema es un PC linux, donde entre el interfaz wireless, y el interfaz ethernet que ofrece conexion a internet, hay un firewall, y un ethereal, interceptando toda la conexin a internet. Es decir que si el intruso tose, lo sabemos y si va al bao tambin lo sabemos. Ests prcticas de dudosa legalidad, tanto por parte los atacantes como por parte de los defensores estn a la orden del da,y de lo que se trata es de ser lo menos vulnerable posible y sobre todo hacer que los dems no tengan ganas de volverse a conectar a redes que no sean la suya, aunque no tengan cifrado, con el nico objetivo de chupar ancho de banda de otro. Como decimos no he querido entrar en ms detalles tcnicos, porque no creo que sea el sitio indicado para fomentar prcticas no muy legales, pero si en algn momento alguien quiere informacin adicional que utilice los comentarios al artculo para poder ser tratado. Usuarios que leyeron este artculo encontraron interesantes, cmo proteger una red wifi en el hogar y en la oficina, y cmo configurar la proteccin de la red wireless mediante WEP y WPA sin problemas.

Los usuarios que encontraron problemas utilizando estas tcnicas plantearon sus consultas en el Foro de Wireless y Tecnologa WiFi. Un saludo.

Descifrador de claves WiFi

Claves WiFi

Mar 112011 Puedes comprar los siguientes programas:

NET STUMBLER COMMWIEW AIROWIZARD CARD CHECK

O bajarte esta distribucin Linux: wifiway, clic en el link y en la pagina que se abre bajen el .iso, despus graben la imagen en un CD. Arrancamos el LiveCD y entramos en el modo startx. Ok, habiendo hecho esto aqu empieza el verdadero proceso. Vamos a la carpeta:

/sys/class/net/wifi0/device/ y abrimos archivo channel. Ponemos 1, guardamos y cerramos archivo. (Problemas con este paso? Ve a las notas) A continuacin abrimos una terminal y escribimos:

airodump-ng rtap0 vamos a ver como empiezan a aparecer redes. Presionamos Ctrl + C para detener el proceso. Tomamos nota del BSSID de la red que queremos crackear. A continuacin vamos a la carpeta en la que ya estbamos (device) y ahora abrimos el archivo: BSSID en este archivo copiamos el BSSID de la red que elegimos, lo guardamos y lo cerramos. (atencin: a algunas personas les causa problemas cerrar este archivo despues de guardarlo. Prueben dejndolo abierto o tambin cerrndolo pero verifiquen que la BSSID quedo guardada). Ahora empezamos a capturar paquetes con el siguiente comando:

airodump-ng -c CANAL DEL AP -w ARCHIVO GUARDA IVS rtap0 Donde: Canal del AP: es el numero que aparece debajo de CH en la primer lista de redes que vimos. Archivo guarda IVs: es el nombre de un archivo para que guarde todo lo capturado. Elijan el nombre. Despus de hacerlo vemos que empieza el proceso de captura de paquetes. Vamos de nuevo a la carpeta Device y ahora abrimos el archivo rate, lo ponemos con valor 2lo guardamos y lo cerramos. Abrimos otra terminal y ahora necesitamos saber nuestro numero MAC de la tarjeta inalmbrica. Lo hacemos por medio de:

ifconfig wifi0 up y luego

ifconfig Es un numero de 12 digitos que viene etiquetado como HRDAW (o algo asi) en el apartado wifi0. Lo que haremos ahora sera asociarnos al Access Point (red) victima utilizando el siguiente comando:

aireplay-ng -1 0 -a BSSID -h MAC WIFI0 -e ESSID wifi0 Donde: BSSID: es el numero que elegimos al principio, el MAC del Access Point victima (12 digitos). MAC WIFI0: es el numero MAC que acabamos de obtener de nuestra tarjeta inalmbrica. ESSID: Es el nombre del AP victima, aparece en la terminal donde estamos capturando paquetes, es la ultima columna hasta la derecha (Los usuarios de Infinitum en Mxico normalmente tienen: 2WIRE + un numero menor que 999 o tambin INFINITUM + un numero menor que 9999 ). Cuando la autentificacin y la asociacin sean exitosas abrimos otra terminal y ejecutamos el siguiente comando:

aireplay-ng -3 -b BSSID -h MAC WIFI0 wifi0 BSSID: Es lo mismo que en el anterior. MAC WIFI0: Lo mismo que en el anterior. Hecho esto los paquetes(#Data) en la terminal donde tenemos al airodump debern de empezar a subir para el Access Point elegido. Esperamos a que junte un mnimo de 30,000 #Data. Cuando este por encima de ese valor, ejecutamos:

aircrack-ptw ARCHIVO GUARDA IVS.cap Donde: ARCHIVO GUARDA IVS: Es el nombre que dimos al principio al archivo para que guardara IVs. OJO: debers de poner un numero que corresponde a las veces que has capturado paquetes en esta sesin. Por ejemplo, si el nombre que asignamos al archivo fue WEP y si es la primera vez que capturas paquetes en esta sesin, el nombre que usaras aqu sera: WEP-01.cap esto tambin lo puedes verificar en la carpeta root. En unos instantes te deber aparecer la clave, en el rengln que diga Found Key. Si no aparece espera a que junte mas paquetes y vuelve a ejecutar este ultimo comando. Puede llegar a requerir hasta 100,000 o mas. Keywords: descifrador de claves infinitum, descifrador de claves wifi, descifrador de claves wifi taringa, descifrador de claves wifi 2011, clave wifi 2011, descifrador de claves de wifi, descifrador de claves Fuente: http://wifiw.com/2596/descifrador-de-claves-wifi.html#ixzz1SQIff2EY

Seguridad Wireless

Manual en espaol suite aircrack-ng

aircrack-ng aircrack-ng [opciones] <archivo(s) de captura> Los archivo(s) de captura pueden estar en formato cap o ivs. -a amode Fuerza el tipo de ataque (1 = WEP esttica, 2 = WPA-PSK). -e essid Si se especifica, se usarn todos los IVs de las redes con el mismo ESSID. Esta opcin es necesaria en el caso de que el ESSID no est abiertamente difundido en una recuperacin de claves WPA-PSK (ESSID oculto). -b bssid Selecciona la red elegida basndose en la direccin MAC. -p nbcpu En sistemas SMP , especifica con esta opcin el nmero de CPUs. -q Activa el modo silencioso (no muestra el estado hasta que la clave es o no encontrada). -c (recuperacin WEP) Limita la bsqueda a caracteres alfanumricos slamente (0x20 0x7F). -t (recuperacin WEP) Limita la bsqueda a los caracteres hexa decimales codificados en binario. -h (recuperacin WEP) Limita la bsqueda a los caracteres numericos (030-039) Estas contraseas son usadas por defecto en la mayora de las Fritz!BOXes (routers configurados por defecto).

-d start (recuperacin WEP) Especifica el comienzo de la clave WEP (en hex), usado para depuracin. -m maddr (recuperacin WEP) Direccin MAC para la que filtrar los paquetes de datos WEP. Alternativamente, especifica -m ff:ff:ff:ff:ff:ff para usar todos y cada uno de los IVs, indiferentemente de la red que sea. -n nbits (recuperacin WEP) Especifica la longitud de la clave: 64 para WEP de 40-bit , 128 para WEP de 104-bit , etc. El valor predeterminado es 128. -i index (recuperacin WEP) Conserva slo los IVs que tienen este ndice de clave (1 a 4). El comportamiento predeterminado es ignorar el ndice de la clave. -f fudge (recuperacin WEP) De forma predeterminada, este parmetro est establecido en 2 para WEP de 104-bit y en 5 para WEP de 40-bit. Especifica un valor ms alto para elevar el nivel de fuerza bruta: la recuperacin de claves llevar ms tiempo, pero con una mayor posibilidad de xito. -k korek (recuperacin WEP) Hay 17 ataques de tipo estadstico de korek. A veces un ataque crea un enorme falso positivo que evita que se obtenga la clave, incluso con grandes cantidades de IVs. Prueba -k 1, -k 2, ... -k 17 para ir desactivando cada uno de los ataques de forma selectiva. -x -x0 (recuperacin WEP) No aplicar fuerza bruta sobre los dos ltimos keybytes.

-x1 (recuperacin WEP) Aplicar fuerza bruta sobre el ltimo keybyte. -x2 (recuperacin WEP) Aplicar fuerza bruta sobre los dos ltimos keybytes. -X No aplicar fuerza bruta multiproceso (En sistemas SMP). -y (recuperacin WEP) ste es un ataque de fuerza bruta experimental nico que debera ser usado cuando el mtodo normal de ataque falle con ms de un milln de IVs. -s (recuperacin WEP) Mostrar la clave en formato ASCII. -z (recuperacin WEP) Opcin de ataque PTW (Solo funciona bajo archivos .cap) -w words (recuperacin WPA) Ruta hacia la lista de palabras o - sin comillas para utilizar complementos de tipo (fuerza bruta).

ivstools Esta es una utilidad muy buena ya que sirve para: 1)unir archivos ivs en uno solo usamos el siguiente comando: ivstools --merge captura1.ivs captura2.ivs captura3.ivs archivofinal.ivs siendo captura(s) los archivos que queremos unir y archivofinal el que nos generara como unin de los anteriores

2)Para convertir un archivo con extensin cap en ivs: ivstools --captura.cap archivofinal.ivs makeivs Es una utilidad que nos permite crear un archivo con extensin ivs con la clave que nosotros le aadamos (es solo para hacer pruebas no sirve para nada mas) makeivs.exe captura.ivs 866578388f517be0b4818a0db1 siendo captura el archivo inventado y 866578388f517be0b4818a0db1la clave inventada Airmon-ng Sirve para poner nuestra tarjeta en modo monitor antes de empezar a capturar trafico debemos poner nuestra tarjeta en modo monitor usando este script para ello tecleamos: airmon-ng <start/stop> <dispositivo> [canal] start: para activar el modo monitor. stop: para parar el modo monitor. dispositivo: nuestra tarjeta (ath0, eth0, raw0.....) Airodump-ng Descripcin Se usa para capturar datos trasmitidos a travs del protocolo 802.11 y en particular para la captura y recoleccin de IVs (vectores iniciales) de los paquetes WEP con la intencin de usar aircrack-ng. Si existe un receptor GPS conectado al ordenador airodump-ng muestra las coordenadas del AP. Uso Antes de usarlo debes haber iniciado el script airmon-ng para que se muestren los dispositivos wireless que posees y para activar el modo monitor. Puedes, pero no se recomienda que ejecutes Kismet y airodump al mismo tiempo. airodump-ng [opcione(s)] <dispositivo> OPCIONES: --ivs: Captura solo ivs

--gpsd: Para usar un dispositivo Gps --write <nombre del archivo a guardar> :crea un archivo del nombre que le hallamos puestos y con la extensin(.cap .ivs) y empieza a capturar. -w: es lo mismo que poner write --beacons: Guarda los beacons, por defecto no los guarda. Por defecto airodump captura todos los canales que se encuentren dentro de la frecuencia 2,4 GHz. --channel :Captura el canal especificado -c: Lo mismo que escribir channel -a: Captura en la frecuencia de 5Ghz especifica del canal a -abg: Captura tanto en frecuencias de 2,4Ghz como en 5 Ghz Para configurar correctamente los comandos debemos seguir el orden en el que estn escritos en este texto y omitir el comando que no deseemos modificar: Ejemplos: airodump-ng --ivs -w prueba -c 11 -abg ath0 capturara solo ivs creando un archivo llamado prueba en el canal 11 tanto en a/b/g airodump-ng -w prueba -c 11 -abg ath0 capturara creando un archivo cap llamado prueba en el canal 11 tanto en a/b/g *Airodump oscila entre WEP y WPA. Esto ocurre cuando tu controlador no desecha los paquetes corruptos (los que tienen CRC invlido). Si es un ipw2100 (Centrino b), simplemente no tiene arreglo; ve y compra una tarjeta mejor. Si es una Prism2, prueba a actualizar el firmware. * Cul es el significado de los campos mostrados por airodump-ng ? airodump-ng mostrar una lista con los puntos de acceso detectados, y tambin una lista de clientes conectados o estaciones ("stations").

Aireplay-ng Se pueden realizar 5 ataques diferentes: Ataque 0: Desautentificacin Ataque 1: Autentificacin falsa Ataque 2: Seleccin interactiva del paquete a enviar Ataque 3: Reinyeccin de peticin ARP Ataque 4: El "chopchop" de KoreK (prediccin de CRC) Ataque 0: Desautentificacin Este ataque se puede utilizar para varios propsitos:

*Capturar el WPA Handshake Para ello debemos poner el siguiente comando: aireplay-ng -0 5 -a 00:13:10:30:24:9C -c 00:09:5B:EB:C5:2B ath0 0 significa desautentificacin de cliente sirve para que se vuelva a asociar, vaciando de esta forma el cache ARP y por lo tanto volviendo a enviar su handshake. -a 00:13:10:30:24:9C Seria el AP -c 00:09:5B:EB:C5:2B Seria una Station asociada a esa AP. Si omitimos esta ultima parte el ataque se realiza sobre todos las Station conectadas a ese AP. ath0 Es nuestra tarjeta segn los diversos modelos de tarjeta (chip) varia wlan0, eth0, ra0.... *Reinyeccin ARP aireplay-ng -0 10 -a 00:13:10:30:24:9C ath0 aireplay-ng -3 -b 00:13:10:30:24:9C -h 00:09:5B:EB:C5:2B ath0 como podemos observar el primer comando es una desautentificacin seguida de una reinyeccin de los paquetes obtenidos se supone que al haber vaciado la cache del cliente y volverse a conectar vuelve a enviar la contrasea -b 00:13:10:30:24:9C Seria el AP -h 00:09:5B:EB:C5:2B Seria el cliente

*Denegacin del servicio a clientes conectados Se basa en el envi continuo de paquetes de desautentificacin con la consiguiente imposibilidad del(os) cliente(s) de conectarse. aireplay-ng -0 0 -a 00:13:10:30:24:9C ath0 0 hace que envi paquetes continuamente a cualquier Station conectado a ese AP si solo queremos uno en particular enviaramos con el comando: aireplay-ng -0 0 -a 00:13:10:30:24:9C -c 00:09:5B:EB:C5:2B ath0 Ataque 1: Autentificacin falsa

Este ataque es solamente exitoso cuando necesitamos un cliente asociado al AP para realizar los ataques 2, 3, 4 (-h opcin) y no lo tenemos. Por lo tanto consiste en crear nosotros mismos un cliente que se asociara a ese AP .Hay que recordar llegando a este punto que siempre ser mejor un cliente verdadero ya que el falso no genera trafico ARP. Se recomienda que antes de realizar este ataque cambiemos nuestra direccin MAC de la tarjeta para que envi correctamente ACKs (peticiones). ifconfig ath0 down ifconfig ath0 hw ether 00:11:22:33:44:55 ifconfig ath0 up Una vez realizado esto lanzamos el ataque de la siguiente forma: aireplay-ng -1 0 -e 'the ssid' -a 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0 12:14:06 Sending Authentication Request 12:14:06 Authentication successful 12:14:06 Sending Association Request 12:14:07 Association successful :-) 'the ssid' sin las comillas es el nombre del AP 00:11:22:33:44:55 Cliente falso Con los CVS 2005-08-14 madwifi parcheados, es posible inyectar paquetes estando en modo Infraestructura (la clave WEP en s misma no importa, en tanto que el AP acepte autenticacin abierta). Por lo que, en lugar de usar el ataque 1, puedes slo asociarte e inyectar / monitorizar a travs de la interfaz athXraw: ifconfig ath0 down hw ether 00:11:22:33:44:55 iwconfig ath0 mode Managed essid 'the ssid' key AAAAAAAAAA ifconfig ath0 up sysctl -w dev.ath0.rawdev=1 ifconfig ath0raw up airodump-ng ath0raw out 6 Entonces puedes ejecutar el ataque 3 o el 4 (abajo, aireplay reemplazar automticamente ath0 por ath0raw): aireplay-ng -3 -h 00:11:22:33:44:55 -b 00:13:10:30:24:9C ath0 aireplay-ng -4 -h 00:10:20:30:40:50 -f 1 ath0

Este ataque mencionado anteriormente hay muchas veces que falla y no es 100% seguro ya que ha sido probado por muchos de nosotros. El AP es cierto que escupe ivs pero hay veces que al intentar sacar la clave descubrimos que la clave es la introducida por nosotros por lo tanto no servira de nada Algunos puntos de acceso requieren de reautentificacin cada 30 segundos, si no nuestro cliente falso ser considerado desconectado. En este caso utiliza el retardo de re-asociacin peridica: aireplay-ng -1 30 -e 'the ssid' -a 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0 si en vez de 30 segundos queremos 20 pues escribimos 20 si fuesen 10 modificamos por 10 y asi sucesivamente Si este ataque parece fallar (aireplay permanece enviando paquetes de peticin de autenticacin), puede que est siendo usado un filtrado de direcciones MAC. Asegrate tambin de que: Ests lo suficientemente cerca del punto de acceso, pero ojo no demasiado porque tambin puede fallar. El controlador est correctamente parcheado e instalado. La tarjeta est configurada en el mismo canal que el AP. El BSSID y el ESSID (opciones -a / -e) son correctos. Si se trata de Prism2, asegrate de que el firmware est actualizado. Ataque 2: Seleccin interactiva del paquete a enviar Este ataque te permite elegir un paquete dado para reenviarlo; a veces proporciona resultados ms efectivos que el ataque 3 (reinyeccin automtica de ARP). Podras usarlo, por ejemplo, para intentar el ataque "redifundir cualesquiera datos", el cul slo funciona si el AP realmente reencripta los paquetes de datos WEP: aireplay-ng -2 -b 00:13:10:30:24:9C -n 100 -p 0841 -h 00:09:5B:EB:C5:2B -c FF:FF:FF:FF:FF:FF ath0 Tambin puedes usar el ataque 2 para reenviar manualmente paquetes de peticiones ARP encriptadas con WEP, cuyo tamao es bien 68 o 86 bytes (dependiendo del sistema operativo): aireplay-ng -2 -b 00:13:10:30:24:9C -d FF:FF:FF:FF:FF:FF -m 68 -n 68 -p 0841 -h 00:09:5B:EB:C5:2B ath0 aireplay-ng -2 -b 00:13:10:30:24:9C -d FF:FF:FF:FF:FF:FF -m 86 -n 86 -p 0841 -h 00:09:5B:EB:C5:2B ath0 Otra buena idea es capturar una cierta cantidad de trafico y echarle un ojo con ethereal. Si creemos al examinar el trafico que hay dos paquetes que parecen una

peticin y una respuesta (Un cliente enva un paquete y poco despus el destinatario responde a este) entonces es una buena idea intentar reinyectar el paquete peticin para obtener paquetes respuestas Ataque 3: Reinyeccin de peticin ARP El clsico ataque de reinyeccin de peticin ARP es el mas efectivo para generar nuevos IVs, y funciona de forma muy eficaz. Necesitas o bien la direccin MAC de un cliente asociado (00:09:5B:EB:C5:2B), o bien la de un cliente falso del ataque 1 (00:11:22:33:44:55). Puede que tengas que esperar un par de minutos, o incluso ms, hasta que aparezca una peticin ARP; este ataque fallar si no hay trfico. Por favor, fjate en que tambin puedes reutilizar una peticin ARP de una captura anterior usando el interruptor -r . aireplay-ng -3 -b 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0 Saving ARP requests in replay_arp-0627-121526.cap You must also start airodump to capture replies. Read 2493 packets (got 1 ARP requests), sent 1305 packets... El "chopchop" de KoreK (prediccin de CRC) Este ataque, cuando es exitoso, puede desencriptar un paquete de datos WEP sin conocer la clave. Incluso puede funcionar con WEP dinmica. Este ataque no recupera la clave WEP en s misma, sino que revela meramente el texto plano. De cualquier modo, la mayora de los puntos de acceso no son en absoluto vulnerables. Algunos pueden en principio parecer vulnerables pero en realidad tiran los paquetes menores de 60 bytes. Si el AP tira paquetes menores de 42 bytes aireplay trata de adivinar el resto de la informacin que le falta, tan pronto como el encabezado se predecible. Si un paquete IP es capturado automticamente busca el checksum del encabezado despus de haber adivinado las partes que le faltaban. Este ataque requiere como mnimo un paquete WEP (encriptado). 1. Primero, desencriptemos un paquete: aireplay-ng -4 ath0 Si esto falla, es debido a que hay veces que el AP tira la informacin porque no sabe de que direccin MAC proviene. En estos casos debemos usar la direccin MAC de un cliente que este conectado y que tenga permiso (filtrado MAC activado). aireplay-ng -4 -h 00:09:5B:EB:C5:2B ath0

2. Echemos un vistazo a la direccin IP: tcpdump -s 0 -n -e -r replay_dec-0627-022301.cap reading from file replay_dec-0627-022301.cap, link-type [...] IP 192.168.1.2 > 192.168.1.255: icmp 64: echo request seq 1 3. Ahora, forjemos una peticin ARP. La IP inicial no importa (192.168.1.100), pero la Ip de destino (192.168.1.2) debe responder a peticiones ARP. La direccin MAC inicial debe corresponder a una estacin asociada. arpforge-ng replay_dec-0627-022301.xor 1 00:13:10:30:24:9C 00:09:5B:EB:C5:2B 192.168.1.100 192.168.1.2 arp.cap 4. Y reenviemos nuestra peticin ARP forjada: aireplay-ng -2 -r arp.cap ath0 Airdecap-ng Sirve para desencriptar los paquetes capturados una vez obtenida la clave ya sea WEP o WPA airdecap-ng [opciones] <archivo pcap>

Ejemplos: airdecap-ng -b 00:09:5B:10:BC:5A open-network.cap airdecap-ng -w 11A3E229084349BC25D97E2939 wep.cap airdecap-ng -e 'the ssid' -p passphrase tkip.cap Wzcook

Sirve para recuperar las claves WEP de la utilidad de XP Wireless Zero Configuration. ste es un software experimental, por lo que puede que funcione y puede que no, dependiendo del nivel de service pack que tengas. WZCOOK mostrar el PMK (Pairwise Master Key), un valor de 256-bit que es el resultado de codificar 8192 veces la contrasea junto con el ESSID y la longitud del ESSID. La contrasea en s no se puede recuperar -- de todos modos, basta con conocer el PMK para conectar con una red inalmbrica protegida mediante WPA con wpa_supplicant (ver el Windows README). Tu archivo de configuracin wpa_supplicant.conf debera quedar as: network={ ssid="my_essid" pmk=5c9597f3c8245907ea71a89d[...]9d39d08e Si no usas WZC pero usas la utilidad USR, accede al registro: HKey_Current_User/Software/ACXPROFILE/profilename/dot11WEPDefaultKey1

Cada versin y actualizacin incorpora una serie de mejoras y de diferencias de argumentos, para cualquier duda acceder a: Nueva Generacin Wireless