1 es.

crackIng_wa |AIrcrack-ng|
27/11/11 16.38.56 htt.//www.aIrcrack-ng.org/doku.h?Id=es.crackIng_wa
Tutorial: Como crackar WPA/WPA2
Version: 1.05 My 16, 2007
By: drkAudx
Trduccin: 22 de Agosto de 2007
Introduccin
Este mnul trt sobre como obtener l clve WPA/WPA2 de un red en l que se us un sistem de
clve comprtid (pre-shred keys). Es recomendble leer y prender como funcion l encriptcin
WPA/WPA2. En el Wiki [http://ircrck-ng.org] puedes encontrr un seccin sobre WPA/WPA2.
WPA/WPA2 tiene soporte pr otros tipos de utenticcin, dems de clve comprtid. Pero con
ircrck-ng SOLO se puede intentr obtener clves pre-comprtids (pre-shred keys). Por lo tnto
segrte de que irodump-ng te dice que l utenticcin de l red es de tipo PSK, y en otro cso, ni
intentes verigurl.
Hy otr diferenci importnte entre crcker WPA/WPA2 y WEP. En ls clves WEP, se pueden usr
mtodos "estticos de inyeccin pr celerr el proceso, pero pr WPA/WPA2 solo se pueden
utilizr tcnics de fuerz brut. Esto se debe que l clve no es esttic, por lo que recogiendo IVs
como pr l encriptcin WEP, no conseguiremos obtener ms rpidmente l clve. Lo nico que se
necesit pr poder inicir un tque es el hndshke entre el cliente y el AP. El hndshke se gener
en el momento que el cliente se conect l red. Aunque no es exctmente cierto, pr los
propsitos de este tutoril, diremos que si es verdd: L clve pre-comprtid puede tener un tmo
de 8 63 crcteres, por lo que prece imposible crcker l clve.
L nic form de obtener l clve es utilizndo un diccionrio. De tl form, que si quieres tener un
red wireless segur en tu cs, debes usr un clve WPA/WPA2 de 63 crcteres, incluyendo en l
mism smbolos especiles.
El hecho de tener que usr fuerz brut es un inconveniente muy grnde. Porque se hce un uso
intensivo del procesdor del PC, y solo puede probr de 50 300 clves por segundo, dependiendo de
l CPU. El proceso puede llevr hors o ds si se utiliz un diccionrio grnde. Si ests pensndo en
generr tu propio diccionrio pr incluir en el mismo tods ls combinciones posibles, echle un
vistzo este clculdor de tiempo: brute force time clcultor [http://lstbit.com/pswclc.sp].
Quedrs sorprendido de l grn cntidd de tiempo que es necesri.
No hy ningun diferenci entre el crckeo de redes WPA o WPA2. El mtodo de utenticcin es
bsicmente el mismo. Por lo que ls tcnics usr son idntics.
Es recomendble que cd uno experimente con su propio punto de cceso wireless, pr
fmilirizrse con ests ides y tcnics. Si no tienes un punto de cceso propio, recuerd que tienes
que pedir permiso l propietrio del router con el que quiers prcticr este teque.
Antes de nd hy que drles ls grcis los Desrrolldores de l suite Aircrck-ng [http://
trc.ircrck-ng.org] por crer ests herrmients tn fntstics.
Por fvor, envime culquier sugerenci, positiv o negtiv. Bien sen problems o buens ides
sern bienvenids.
Puntos de prtid
Suponemos que:
2 es.crackIng_wa |AIrcrack-ng|
27/11/11 16.38.56 htt.//www.aIrcrack-ng.org/doku.h?Id=es.crackIng_wa
Ests usndo drivers prchedos pr inyeccin. Us el injection test Pr comprobr que tu
trjet puede inyectr.
Ests fsicmente suficientemente cerc pr envir y recibir pquetes del punto de cceso.
Recuerd que recibir pquetes del punto de cceso no signific que los pquetes que trnsmits
sen recibidos por el AP. L fuerz de l sel de ls trjets wireless generlmente es menor
que l fuerz de l sel de los AP. Por lo tnto, es necesrio estr cerc del AP, pr que los
pquetes que trnsmitimos sen recibidos por el AP. Debers confirmr que te puedes
comunicr con el AP siguiendo ests instrucciones.
Usmos l versin 0.9 de ircrck-ng. Si uss otr versin lgunos comndos puede que se
tengn que escribir de form diferente.
Asegurte de que cumples tods ls condiciones, sino no funcionr. En los siguientes ejemplos,
tendrs que cmbir "th0 por el nombre de l interfce de tu trjet wireless.
En los ejemplos, l opcin "guin doble bssid se muestr como - -bssid. Acurdte de borrr el
espcio entre los dos guiones cundo lo utilices en l vid rel. Esto tmbien se plic - -ivs, - -
rpreply, - -deuth, - -chnnel, - -rp nd - -fkeuth.
Equipo usdo
Pr seguir este mnul en tu cs, debes tener dos trjets wireless.
En este tutoril, continucin puedes ver ls que yo he usdo:
Direccin MAC del PC ejecutndo l suite ircrck-ng: 00:0F:B5:88:AC:82
Direccin MAC del cliente wireless usndo WPA2: 00:0F:B5:FD:FB:C2
BSSID (direccin MAC del punto de cceso): 00:14:6C:7E:40:80
ESSID (nombre de l red Wireless): teddy
Cnl del AP: 9
Interfce Wireless: th0
Tienes que obtener l informcin equivlente de l red sobre l que quieres trbjr. Y cmbir estos
vlores en los siguientes ejemplos.
Solucin
Contenidos
El objetivo es cpturr el hndshke WPA/WPA2 y usrlo con ircrck-ng pr obtener l clve pre-
comprtid.
Esto se puede hcer de form ctiv o psiv. "Activ signific que podemos celerr el proceso
deutenticndo un cliente wireless. "Psiv signific que podemos esperr que un cliente wireless
se utentifique en l red WPA/WPA2. L ventj de l form psiv es que no necesitmos inyectr y
por lo tnto podremos utilizrl desde Windows.
Aqu estn los psos que vmos seguir:
1. Colocr l interfce wireless en modo monitor y especificr el cnl del AP
2. Inicir irodump-ng en el cnl del AP con filtro de bssid pr cpturr el hndshke
3. Usr ireply-ng pr deutentificr un cliente conectdo
3 es.crackIng_wa |AIrcrack-ng|
27/11/11 16.38.56 htt.//www.aIrcrack-ng.org/doku.h?Id=es.crackIng_wa
4. Ejecutr ircrck-ng pr obtener l clve pre-comprtid usndo ese hndshke
Pso 1 - Colocr l interfce wireless en modo monitor y especificr el cnl
del AP
El propsito de este pso es colocr l trjet en el modo denomindo modo monitor. En este modo l
trjet wireless puede escuchr y cpturr culquier pquete en el ire. En cmbio, en el modo
norml l trjet solo "escuchr los pquetes que vn destindos l mism. Escuchndo todos los
pquetes, podremos ms delnte cpturr los 4 pquetes que formn el hndshke WPA/WPA2. Y
opcionlmente tmbien podremos deutenticr un cliente wireless.
Primero pr l interfce th0 escribiendo:
a1Jmoh-hg s1op a1h
El sistem nos responder:
Th1eJ1ace Ch1pse1 0J1veJ

w111 A1heJos madw111-hg
a1h A1heJos madw111-hg vAP {paJeh1. w111) {vAP des1Joyed)
Escribe "iwconfig pr comprobr que no hy ms interfces thX. Debers ver lgo como esto:
o ho w1Jeess ex1ehs1ohs.

e1h ho w1Jeess ex1ehs1ohs.

w111 ho w1Jeess ex1ehs1ohs.
Si qued lgun interfce thX, pr cd un de ells. Cundo termines, ejecut "iwconfig pr
verificr que y no qued ningun.
Ahor, escribe el siguiente comndo pr poner l trjet wireless en modo monitor en el cnl 9:
a1Jmoh-hg s1aJ1 w111 9
Not: En este comndo usmos "wifi0 en lugr de nuestr interfce "th0. Esto se debe que
estmos usndo los drivers mdwifi-ng y no mdwifi-old.
El sistem nos responder:
Th1eJ1ace Ch1pse1 0J1veJ

w111 A1heJos madw111-hg
a1h A1heJos madw111-hg vAP {paJeh1. w111) {moh11oJ mode ehabed)
Puedes observr que "th0 prece colocd en modo monitor.
Pr confirmr que l interfce est bien configurd, escribimos "iwconfig.
El sistem nos responder:
o ho w1Jeess ex1ehs1ohs.

w111 ho w1Jeess ex1ehs1ohs.

e1h ho w1Jeess ex1ehs1ohs.
4 es.crackIng_wa |AIrcrack-ng|
27/11/11 16.38.56 htt.//www.aIrcrack-ng.org/doku.h?Id=es.crackIng_wa

a1h TEEE 82.11g ESST0."" h1ckhame.""
hode.hoh11oJ FJequehcy.2.452 Chz Access Po1h1. .F.B5.88.AC.82
B11 Ra1e. kb/s Tx-PoweJ.18 dBm Sehs111v11y=/3
Re1Jy.o11 RTS 1hJ.o11 FJagmeh1 1hJ.o11
EhcJyp11oh key.o11
PoweJ hahagemeh1.o11
L1hk 0ua11y=/94 S1gha eve=-95 dBm ho1se eve=-95 dBm
Rx 1hva1d hw1d. Rx 1hva1d cJyp1. Rx 1hva1d 1Jag.
Tx excess1ve Je1J1es. Thva1d m1sc. h1ssed beacoh.
Podemos ver que th0 est en modo monitor, en l frecuenci 2.452GHz que corresponde l cnl 9 y
en "Access Point vemos l direccin MAC de nuestr trjet wireless. Es importnte comprobr tod
est informcin ntes de continur, y que sino no funcionr.
Pr ver l correspondenci entre frecuenci y cnl, mir: http://www.cisco.com/en/US/docs/
wireless/technology/chnnel/deployment/guide/Chnnel.html#wp134132 [http://www.cisco.com/en/US/
docs/wireless/technology/chnnel/deployment/guide/Chnnel.html#wp134132] . As obtendrs l frecuenci
pr cd cnl.
Pso 2 - Inicir irodump-ng pr cpturr el hndshke
El propsito de este pso es ejecutr irodump-ng pr cpturr los 4 pquetes del hndshke en el
momento que un cliente se utentific con el AP en el que estmos interesdos.
Escribe:
a1Jodump-hg -c 9 --bss1d .14.6C.7E.4.8 -w psk a1h
Donde:
-c 9 es el cnl de l red wireless
- -bssid 00:14:6C:7E:40:80 es l direccin MAC del AP. Esto elimin el trfico de otrs redes.
-w psk es el nombre del rchivo en el que gurdremos los IVs.
th0 es el nombre de nuestr interfce.
Importnte: NO uses l opcin - -ivs. Debes cpturr los pquetes enteros.
A continucin puedes ver un imgen en l que se v un cliente wireless conectdo l red:
Ch 9 ]| Eapsed. 4 s ]| 27-3-24 16.58


BSST0 PWR RX0 Beacohs #0a1a, #/s Ch hB EhC CTPhER AbTh ESST0


.14.6C.7E.4.8 39 1 51 116 14 9 54 WPA2 CChP PSK
1eddy


BSST0 STATT0h PWR Los1 Packe1s
PJobes


.14.6C.7E.4.8 .F.B5.F0.FB.C2 35 116
Y hor un imgen de l red sin clientes conectdos:
Ch 9 ]| Eapsed. 4 s ]| 27-3-24 17.51

5 es.crackIng_wa |AIrcrack-ng|
27/11/11 16.38.56 htt.//www.aIrcrack-ng.org/doku.h?Id=es.crackIng_wa

BSST0 PWR RX0 Beacohs #0a1a, #/s Ch hB EhC CTPhER AbTh ESST0


.14.6C.7E.4.8 39 1 51 9 54 WPA2 CChP PSK
1eddy


BSST0 STATT0h PWR Los1 Packe1s
PJobes
Pso 3 - Usr ireply-ng pr deutentificr un cliente conectdo
Este pso es opcionl. Solo es necesrio relizr este pso si opts por celerr ctivmente todo el
proceso. El requisito necesrio es que se encuentre socido ctulmente con el AP lgn cliente
wireless. Si no hy ningn cliente wireless socido l AP, lee el siguiente pso del mnul y ten
pcienci. No es necesrio decir, que si ms trde prece lgn cliente wireless, puedes volver trs
y seguir este prtdo del mnul.
Lo que se hce en este pso es envir un mensje l cliente wireless pr dessocirlo con el AP.
Entonces el cliente wireless se reutenticr con el AP. En l reutenticcion se generrn los 4
pquetes de utenticcion (hndshke) en los que estmos interesdos en cpturr. Despues los
usremos pr intentr obtener l clve precomprtid WPA/WPA2.
Prestndo tencin l slid del comndo irodump-ng del pso nterior, podemos determinr el
cliente que se encuentr conectdo ctulmente. Necesitmos su direccin MAC pr el siguiente
comndo. Abre otr consol y escribe:
a1Jepay-hg - 1 -a .14.6C.7E.4.8 -c .F.B5.F0.FB.C2 a1h
Donde:
-0 signific deutenticcin
1 es el nmero de deutenticciones envids (puedes envir infinits si lo deses)
- 00:14:6C:7E:40:80 es l direccin MAC del punto de cceso
-c 00:0F:B5:FD:FB:C2 es l direccin MAC del cliente que queremos deutenticr
th0 es el nombre de nuestr interfce
A continucin puedes ver l slid del comndo:
11.9.28 Sehd1hg 0eAu1h 1o s1a11oh -- SThAC. |.F.B5.34.3.3]
Con un poco de suerte esto cusr que el cliente se teng que reutentificr y cpturremos los 4
pquetes hndshke.
Problems de uso
Los pquetes de deutenticcin se envin directmente desde el PC los clientes. Por lo que
se debe estr fsicmente cerc de los clientes wireless.
Pso 4 - Ejecutr ircrck-ng pr obtener l clve pre-comprtid
El propsito de este pso es conseguir l clve WPA/WPA2 precomprtid. Pr hcer esto, se
necesit un diccionrio de posibles plbrs. Bsicmente, ircrck-ng comprueb cd un de ess
plbrs pr mirr si coincide con l clve.
6 es.crackIng_wa |AIrcrack-ng|
27/11/11 16.38.56 htt.//www.aIrcrack-ng.org/doku.h?Id=es.crackIng_wa
Hy un pequeo diccionrio que se incluye en l suite ircrck-ng - "pssword.lst. En el Wiki FAQ
puedes encontrr un lrg list de diferentes diccionrios. Se puede usr John the Ripper [http://
www.openwll.com/john/] (JTR) pr construir un diccionrio propio y despues usrlo con ircrck-ng.
Abre otr consol y escribe:
a1JcJack-hg -w passwoJd.s1 -b .14.6C.7E.4.8 psk*.cap
Donde:
-w pssword.lst es el nombre del rchivo del diccionrio. Recuerd que tienes que especificr
l rut complet del rchivo si no se encuentr en el mismo directorio.
*.cp es el nombre del grupo de rchivos que contienen los pquetes cpturdos. Dte cuent
que en este cso usmos el comodn * pr incluir vrios rchivos.
Est es l slid cundo no se encontr ningn hndshke:
0peh1hg psk-1.cap
0peh1hg psk-2.cap
0peh1hg psk-3.cap
0peh1hg psk-4.cap
Read 1827 packe1s.
ho va1d WPA hahdshakes 1ouhd.
Cundo ocurre esto tienes que volver l pso 3 (deutenticr l cliente wireless) o esperr ms
tiempo pr ver si se conect lgn cliente y se utentific l AP.
Est es l slid cundo se encuentr lgn hndshke:
0peh1hg psk-1.cap
0peh1hg psk-2.cap
0peh1hg psk-3.cap
0peh1hg psk-4.cap
Read 1827 packe1s.

# BSST0 ESST0 EhcJyp11oh
1 .14.6C.7E.4.8 1eddy WPA {1 hahdshake)

Choos1hg 11Js1 he1woJk as 1aJge1.
En este punto, ircrck-ng intentr encontrr l clve. Dependiendo de l velocidd de l CPU y del
tmo del diccionrio, este proceso puede llevr bstnte tiempo, incluso ds.
A continucin puedes ver que ocurre cundo verigu l clve precomprtid:
A1JcJack-hg .8


|..] 2 keys 1es1ed {37.2 k/s)


KEY F0bh0! | 12345678 ]


has1eJ Key . C0 69 0 11 8E AC AA C5 C5 EC BB 59 85 70 49 3E
B8 A6 13 C5 4A 72 82 38 E0 C3 7E 2C 59 5E AB F0

TJahsc1eh1 Key . 6 F8 BB F3 B1 55 AE EE 1F 66 AE 51 1F F8 12 98
CE 8A 90 A FC E0 A6 0E 7 84 BA 9 83 7E C0 4
FF 10 41 E1 65 17 93 E 64 32 BF 25 5 05 4A 5E
7 es.crackIng_wa |AIrcrack-ng|
27/11/11 16.38.56 htt.//www.aIrcrack-ng.org/doku.h?Id=es.crackIng_wa
2B 2 9 8C EA 32 15 A6 26 62 93 27 66 66 E 71

EAP0L hhAC . 4E 27 09 5B 91 53 57 88 9C 66 C8 B1 29 01 CB

es/crcking_wp.txt ltim modificcin: 2010/08/29 19:45 por mister_x
Excepto donde se indique lo contrrio, el contenido de est wiki se utoriz bjo l siguiente
licenci:CC Attribution-Noncommercil-Shre Alike 3.0 Unported [http://cretivecommons.org/licenses/by-
nc-s/3.0/]