1.0.

PREPARATIVOS

1.1.Detectando la interface
Vamos a comprobar si la detecta con el comando iwconfig

Sale la interface como wlan1 porque wlan0 es la interna del porttil, segn el chip que usis os saldr un nombre distinto. En este caso utilizar wlan1 para referirme a la interface en los siguientes pasos.

1.2. Entrando en modo monitor

Ahora vamos a poner la interface en modo monitor con el comando. sudo airmon-ng start wlan1 Si todo va bien os saldr algo as

1.3. Cambiando la MAC

Una cosa til es cambiarnos la mac de la tarjeta de red atacante. Instalamos macchanger (usuarios de wifiway no hace falta) sudo apt-get install macchanger Ejecutamos : macchanger --mac=00:11:22:33:44:55

Esto es interesante por tres cosas: Primero porque en el supuesto de que ataquemos routers que no son nuestros (no es el caso^^) no podran detectar que mac ataca. Con la mac a lo mejor se podra investigar donde hemos comprado el dispositivo wifi. Segundo porque si el ap tiene seguridad de filtrado por mac y conocemos o hemos visto conectado un cliente sabemos que esa mac tiene permiso en el filtrado por mac, as que nos la adjudicamos saltndonos as esa medida de seguridad. Tercero por la comodidad de luego cada vez que nos pida nuestra mac poner una mac falsa (00:11:22:33:44:55) sin tener que sabernos la autntica de memoria.

1.4. Escaneando la red

Ahora vamos a escanear la red para buscar un objetivo con el comando airodump-ng de la siguiente manera. sudo airodump-ng wlan1

Os saldr algo as donde:

- Bssid es la MAC de los puntos de acceso disponibles ( he borrado por privacidad de sus dueos) - Pwr La potencia de la seal - Data la cantidad de paquetes que tenemos tiles para luego desencriptar la clave - #/S es la velocidad a la que estamos inyectando - CH es el canal - MB es la velocidad de la conexin - ENC CIPHER y AUTH es el tipo de encriptacin - ESSID es el nombre de la conexin En la parte de abajo se encuentran los clientes wifi. Si pone not associated es que no estn asociados a ningn ap y si lo estuvieran aparecera la mac del ap. En este caso voy a atacar a "dd-wrt-DeMoN" que es mi propio router.

1.5. Filtrando un objetivo

Voy a filtrar el objetivo. Paramos con Control + C el otro airodump y ejecutamos sudo airodump-ng -c 7 --bssid MACOBJETIVO -w archivocapturas wlan1

As estamos guardando los Data en el archivo que especifiquemos con -w y solo guardamos datas del punto de acceso que nos interesa filtrando por canal con c y por mac con --bssid

El PWR es la seal, el RXQ es la calidad de la conexin (el porcentaje entre los paquetes que llegan y los que se pierden) y los Beacons son como balizas que manda el Ap de vez en cuando para decir: estoy aqu, que a efectos prcticos no nos sirven para recuperar claves. Lo ideal sera tener una buena seal (PWR) y calidad (RXQ), este es un buen momento para reorientar la antena intentando buscar los mejores valores posibles.

1.6.Asociando
Ahora vamos a asociarnos al AP (esto es muy importante porque si no lo hacemos no funcionaran bien el resto de ataques). Asociar significa que nos vamos a conectar y que nos acepte dicha conexin pero sin llegar a hacer la negociacin de la clave. Necesitamos asociarnos para poder inyectar trfico. La ventana del airodump-ng dejadla abierta todo el tiempo, abrimos otra consola donde ejecutamos: sudo aireplay-ng -1 6000 -0 1 -q 10 -e dd-wrt-DeMoN -a MACDELAVICTIMA -h 00:11:22:33:44:55 wlan1 Donde: -e Es el nombre de la red a la que vamos a asociarnos -a La mac del router a la que vamos a asociarnos -h Nuestra propia mac Existen varias maneras de lanzar airodump-ng, En este caso utilizamos esta forma porque nos dio buen resultado.

2.0. INYECTANDO TRFICO

Desde este momento dejaremos esas dos consolas abiertas y para seguir trabajando abriremos una tercera consola. Bien desde este punto pasaremos a la ofensiva y el objetivo es aumentar los DATA para poder desencriptarlos con aircrack. Para ello necesitamos inyectar trfico en la red y para inyectar trfico necesitamos un paquete ARP. El objetivo de todo lo sucesivo es encontrar un ARP para inyectar.

2.1. Mtodo 1: ataque 1 + 3

Una vez estamos inyectando esta prcticamente todo el trabajo hecho. Vemos como crecen a toda velocidad los data y en pocos minutos podremos pasar el aircrack-ng para sacar la contrasea Vamos a empezar con el ataque ms sencillo, el ataque 3 sirve simplemente para escuchar la red y ver si encontramos el ARP. Con ms o menos suerte puede estar poco o mucho tiempo hasta que capture uno, en el momento que lo tenga l solito empieza a inyectar a toda velocidad. Se lanza as: sudo aireplay-ng -3 -x 600 -b macvictima -h 00:11:22:33:44:55 wlan1

donde: -x 600 es la velocidad a la que queremos que inyecte -b mac del ap -h nuestra mac, en este caso 00:11:22:33:44:55 porque la cambiamos wlan1 es la interface de red Aqu podemos ver un ataque 1 + 3 que se llama a estar asociando con ataque 1 y atacando con el ataque 3 a la vez. Una vez ha encontrado un solo ARP inyecta y multiplica por miles los ARP. Tambin guarda los ARP por si queremos parar y volver a empezar en otro rato, en un archivo replay.cap.

Si estis probando con vuestro propio router y no tenis paciencia podis provocar el arp desde otro ordenador conectado al router, haciendo ping a una ip que no exista en la red. Si estis inyectando con xito con este ataque ya no hace falta que prosigis con los siguientes puntos hasta el 3.0, ya que el objetivo es inyectar y si lo habis conseguido de esta manera, que es la ms sencilla, no hay que probar ms cosas. Continuamos en el punto 3.0 Desencriptando la clave con aircrack-ng

2.2. Mtodo 2: ataque CHOP CHOP

Si no obtenemos ARP con el ataque 1 + 3 podemos probar otras cosas como son el ChopChop (ataque 4) o Ataque de Fragmentacin (ataque 5). Estos dos ataques tienen el objetivo de obtener un archivo XOR. Con el archivo XOR y el programa packetforge podremos reconstruir un ARP casero y luego inyectarlo para generar datas. . Bien, tenemos abiertas la consola de airodump y la de asociacin, abrimos una tercera y tecleamos lo siguiente. sudo aireplay-ng -4 wlan1 -h 00:11:22:33:44:55 Como ya habris deducido -h es nuestra mac y wlan1 la interface, este ataque solo necesita saber nuestra mac si estamos asociados y tenemos que estarlo para que funcione.

Escuchara la red hasta que encuentre un paquete til para el ataque cuando lo haga le diremos que lo use pulsando Y y dando a Intro. Con esto empezar a generar el XOR

Cuando termine nos dir el archivo donde guard el paquete XOR.

Una vez tengis el archivo XOR saltad al punto 2.4 packetforge

2.3. Mtodo 3: ataque de Fragmentacin

Ahora vamos a ver la otra manera de conseguir el XOR Si ya tenemos el XOR no hace falta hacer el ataque de fragmentacin, generalmente los routers que son vulnerables a chopchop no funcionan con fragmentacin y viceversa. Para lanzar el ataque de fragmentacin ponemos: sudo aireplay-ng -5 -b macvictima -h 00:11:22:33:44:55 wlan1 Nos dar como resultado:

Esto es como el chop chop, buscar paquetes que le sirvan, damos a Y y intro cuando

lo encuentre. Al finalizar nos mostrara el archivo XOR que ha creado.

Una vez tengis el archivo XOR saltad al punto 2.4 packetforge

2.4. PACKETKORGE
Bien aqu es cuando tenemos un XOR resultante de haber realizado con xito un ataque chopchop o fragmentacin. No importa cul de los dos, el proceso es el mismo, y ese xor lo vamos a convertir en ARP que nos servir para inyectar. El comando es un poco largo recomiendo tenerlo apuntado. sudo packetforge-ng -0 -a macvictima -h 00:11:22:33:44:55 -k 255.255.255.255 -l 255.255.255.255.255 -y fragment-0203-180343.xor -w arp-request Donde: -a Es la mac del AP que queremos sacar la clave -h Es nuestra mac -y Es el archivo xor resultante de fragmentacin o chopchop -w es el archivo ARP que generaremos Aqu vemos como ejecutar el packetforge al finalizar fragmentacin.

Una vez tenemos el ARP creado continuamos en el punto 2.5 Inyectando el ARP

2.5. Inyectando el ARP casero que acabamos de crear

Usaremos el ataque 2 que sirve para inyectar un ARP guardado en un archivo, puede servir tambin para inyectar un ARP guardado de una sesin anterior con el ataque 3. Se ejecuta as: sudo aireplay-ng -2 -r arp-casero wlan1 dnde : -r es el archivo del ARP

Daramos a Y, intro y empezara la inyeccin incrementando considerablemente los DATA.

Aqu vemos como inyecta.

Continuamos en el punto 3.0 Desencriptando la clave con aircrack-ng

3.0. Desencriptando la clave con Aircrack-ng

Llegados a este punto tenemos un archivo .cap guardado con la opcin -w de airodump, lleno de datas tiles (ivs) conseguidos mediante ataque 1 +3, o fragmentacin con packetforge e inyeccin, o chopchop con packetforge e inyeccin. Ejecutamos aircrack-ng sudo aircrack-ng -z capturas*.cap Dos consideraciones: El -z es si usis una versin vieja de aircrack para usar el potente ataque PTW, en las versiones nuevas lo usa por defecto. El asterisco es para que nos pille todos los archivos .cap que tengamos, ya que hay veces que generamos varios sin darnos cuenta (parando y lanzando varias veces) y de esta manera nos pillara todos.

Si habis usado filtrado solo aparecer un objetivo, pero si no lo habis hecho deberis elegir qu objetivo queris. En este caso si se ha usado y automticamente elige el 1 porque es el nico que hay.

Otra consideracin interesante es que se puede lanzar aircrack a la misma vez que sigue inyectando y aumentando el archivo de captura. Tambin podemos esperar a que llegue a los 40000 datas, paramos y lanzamos aircrack.

Aqu se ve como Aircrack nos dice la clave que est en formato hexadecimal. Podemos utilizar esta clave directamente sin saber su significado, para ello la introduciremos sin los dobles puntos que aparecen en ella (quitamos tantos: como aparezcan).