Es - Airbase-Ng (Aircrack-Ng) PDF

16/8/2017 es:airbase-ng [Aircrack-ng]
Aircrack-ng
Airbase-ng
++++++ IMPORTANTE ++++++
Esta funcionalidad estar disponible en una versin futura. NO est disponible actualmente.

Descripcin
Esta documentacin y manuales se encuentran todava en desarrollo. Es necesario trabajar ms. Por favor, publica cualquier
comentario o sugerencia en este post de el Foro en ingls [http://forum.aircrack-ng.org/index.php?topic=3247.0].
Airbase-ng es una utilidad multi-propsito dirigida a atacar a los clientes conectados a un Punto de Acceso (AP). Como es tan
versatil y flexible, no es fcil realizar un resumen o sumario. De todos modos las funciones ms importantes que se pueden realizar
son:
Implementa el ataque a un cliente Caffe Latte WEP.

Implementa el ataque Hirte WEP client attack.
Habilita para capturar el handshake WPA/WP2.
Habilita para actuar como un Punto de Acceso ad-hoc
Habilita para actuar como un Punto de Acceso normal
Habilita para filtrar por SSID o direccin MAC del cliente
Habilita para manipular y reenviar paquetes
Habilita para encriptar los paquetes enviados y desendriptar los recibidos.
La idea principal de esta utilidad es que los clientes se podran asociar a un AP falso (fake AP), y no pueden preveer que estn
accediendo al Punto de Acceso real.
Una interface (atX) se crea cuando airbase-ng se ejecuta. Esta se puede usar para recibir paquetes desencriptados o enviar paquetes
encriptados.
Como los clientes reales probablemente enviaran probe requests, estos paquetes son importantes para hacer picar a un cliente haca
nuestro Punto de Acceso softAP. En este caso, el AP responder a cualquier paquete probe request con el correspondiente
probe response, el cual le dice al cliente que se encuentra autenticado al BSSID de airbase-ng. Hay que decir que esto podra
distorsionar el funcionamiento correcto de otros APs que se encuentren en el mismo canal.
PELIGRO: airbase-ng puede muy fcilmente corromper y distorsionar el funcionamiento de los Puntos de Acceso de los
alrededores. Por lo tanto, usa filtros para minimizar esta posibilidad. Actua siempre con responsabilidad y no impidas el
funcionamiento de las redes que se encuentran alrededor de la tuya.
Uso
uso: airbase-ng <opciones> <replay interface>
https://www.aircrack-ng.org/doku.php?id=es:airbase-ng 1/10
Opciones:
-a bssid : Fija la Direccin MAC del punto de acceso

-i iface : captura paquetes desde esta interface
-w WEP key : usa esta clave WEP para encriptar/desencriptar paquetes
-h MAC : direccin mac origen para el modo MITM
-f disallow : rechazar las direcciones MACs de los clientes especificados (por defecto: las acepta todas)
-W 0|1 : [no] fijar WEP flag en beacons 0|1 (por defecto: auto)
-q : silencio (no mostrar estadsticas)
-v : verbose (imprimir o mostrar mas mensajes) (opcin larga --verbose)
-M : M-I-T-M (hombre en el medio) entre el cliente y bssids
-A : Modo Ad-Hoc (permite a otros clientes conectarse) (opcin larga --ad-hoc)
-Y in|out|both : procesamiento de paquetes externos
-c channel : fija el nmero del canal en el que el AP se encuentra
-X : oculta ESSID (opcin larga --hidden)
-s : forzar shared key authentication
-S : fijar longitud shared key (por defecto: 128)
-L : Ataque Caffe-Latte (opcin larga --caffe-latte)
-N : Ataque Hirte (cfrag attack), crea un arp request para el cliente wep (opcin larga cfrag)
-x nbpps : nmero de paquetes por segundo (por defecto: 100)
-z type : fija el tipo de encriptacin WPA1. 1=WEP40 2=TKIP 3=WRAP 4=CCMP 5=WEP104
-Z type : lo mismo que -z, pero para WPA2
-V type : fake EAPOL 1=MD5 2=SHA1 3=auto
Opciones de filtro:
--bssid <MAC> : BSSID a filtrar/usar (opcin corta -b)

--bssids <file> : leer una lista de BSSIDs desde un archivo (opcin corta -B)
--client <MAC> : direccin MAC del cliente a aceptar (opcin corta -d)
--clients <file> : leer una lista de direcciones MACs desde un archivo (opcin corta -D)
--essid <ESSID> : especificar un ESSID (opcin corta -e)
--essids <file> : leer una lista de ESSIDs desde un archivo (opcin corta -E)
Ayuda:
--help: Muestra una pgina parecida a esta con todas las opciones (opcin corta -H)
-a BSSID Definicin
Si no se especifica explicitamente un BSSID usando la opcin -a <BSSID>, entonces se usa la direccin MAC actual de la interface
especificada.
-i iface
Si especificas una interface con esta opcin los paquetes son tambin capturados y procesados desde esta interface adems de la
replay interface.
-w WEP key
Si la encriptacin usada es WEP, entonces el parmetro -w <WEP key> sirve para fijar la clave. Esto es suficiente para permitir a
airbase-ng aadir todo el resto de parmetros por si mismo.
Si el softAP opera con encriptacin WEP, el cliente puede escoger usar el sitema de autenticacin abierta (open system
authentication) o compartida (shared key authentication). Ambos mtodos de autenticacin estn soportados por airbase-ng. Pero
para conseguir un keystream, el usuario puede probar a forzar al cliente a usar shared key authentication. -s fuerza una
autenticacin compartida (shared key auth.) y -S <len> fija la longitud del prembulo.
-h MAC
Esta es la direccin MAC origen para el ataque man-in-the-middle (hombre en el medio). Tambin hay que especificar la opcin -
M.
-f allow/disallow
Si no se incluye esta opcin, por defecto se usa -f allow. Lo que significa que los filtros MAC (-d y -D) definen que clientes se
aceptan.
Usando la opcin -f disallow puede causar que airbase ignore los clientes especificados por los filtros.
-W WEP Flag
Esto fija la WEP flag o bandera del paquete baliza o beacon. Recuerda que los clientes solo conectaran a los APs que tengan las
mismas opciones. Por ejemplo WEP a WEP, red abierta a red abierta.
La opcin auto permite a airbase-ng fijar automticamente la opcin (bandera o flag) a partir del resto de opciones especificadas.
Por ejemplo, si fijas una clave WEP con el parmetro -w, entonces la bandera (beacon flag) ser fijada a WEP.
Otro uso de auto es permitir conectarse a los clientes que pueden ajustar automticamente su tipo de conexin. Aunque, esto
funciona en raras ocasiones.
En la prctica, es mejor fijar el valor adecuado segn el tipo de red en la que estemos trabajando.
-M Ataque MITM
Esta opcin todava no est disponible. Es un ataque hombre en el medio (man-in-the-middle), es decir nos colocamos entre los
clientes especificados y los BSSIDs.
-A Modo Ad-Hoc
Esto provoca que airbase-ng actue como un cliente ad-hoc en lugar de un punto de acceso normal.
En el modo ad-hoc airbase-ng tambin enva balizas o beacons, pero no necesita ninguna autenticacin/asociacin. Puede activarse
usando -A. El soft AP ajustar automticamente todas las banderas y opciones necesarias para simular una tarjeta en modo ad-
hoc y generar una direccin MAC, que se usar como AD-HOC MAC en lugar de el BSSID. Esta puede ser fijada con la opcin -a
<BSSID>. La direccin MAC se usar como mac origen, que puede ser cambiada con -h <MAC origen>.
-Y Proceso Externo
La opcin -Y activa el modo de proceso externo. Esto crea una segunda interface atX, que se usa para
reenviar/modificar/capturar o inyectar paquetes tambin. Esta interface hay que levantarla con ifconfig y una utilidad externa es
necesaria para crear y utilizar esta interface.
La estructura del paquete es bastante simple: el encabezado ethernet (14 bytes) es ignorado y a continuacin el frame ieee80211 es
procesado por airbase-ng (para los paquetes entrantes) o antes de que los paquetes sean enviados (paquetes salientes). Este modo
intercepta todos los paquetes de datos y circulan a travs de una aplicacin externa, que decide que es lo que hay que hacer con ellos.
La direccin MAC e IP de la segunda interface tap no tienen importancia, como una tarjeta ethernet real los frames de esta interface
se lanzan a todas partes.
Hay 3 argumentos para -Y: in, out y both, que especifican la direccin de los frames que circulan a travs de la aplicacin
externa. Obviamente in redirecciona solo los frames entrantes (a travs del NIC wireless), mientras los frames salientes no se tocan.
out hace todo lo contrario, solo circulan paquetes salientes y both enva en todas las direcciones a travs de la segunda interface
tap.
Hay una pequeo y simple utilidad que sirve de ejemplo para reenviar todos los frames a travs de la segunda interface. La utilidad se
denomina replay.py y se encuentra en la carpeta ./test. Est escrita en python, pero el lenguaje de programacin no importa. Usa
pcapy para leer los frames y scapy posibilita alterar/mostrar y reinyectar los frames. La utilidad simplemente reenva todos los frames
y muestra un corto resumen de los paquetes recividos. La variable packet contiene el paquete ieee80211 completo, que puede
fcilmente ser diseccionado y modificado usando scapy.
Esto se puede comparar con los filtros de ettercap, pero es mucho ms poderoso, ya que como un lenguaje real de programacin
puede ser usado para construir paquetes complejos. La desventaja de usar python es, que tendremos un pequeo retardo de alrededor
de 100ms y la utilizacin de la cpu es mucho mayor en una red a alta velocidad, pero es perfecto para una demostracin con solo
unas pocas lineas de cdigo.
-s Forzar Autenticacin con clave compartida
Cuando lo especifiquemos, esto fuerza una autenticacin para todos los clientes con clave compartida (shared key).
El soft AP enviar una reinyeccin authentication method unsupported a cualquier sistema abierto (open system) si se especifica
la opcin -s.
-S Longitud prembulo clave compartida
-S <len> fija la longitud del prembulo, y puede ser cualquier nmero comprendido entre 16 a 1480. Por defecto se usa 128 bytes.
Es el nmero de bytes usados en el prembulo previo a la conexin. Como una etiqueta o tag puede contener un mximo de 255
bytes, cualquier valor superior a 255 crea varias etiquetas o tags hasta que se escriban todos los bytes especificados. Algunos
clientes ignoran valores diferentes a los de 128 bytes, por lo que esta opcin puede no funcionar siempre.
-L Ataque "Caffe Latte"
Airbase-ng tambien contiene el nuevo ataque caffe-latte, que est implementado tambin en aireplay-ng como ataque -6. Puede
ser usado con -L o caffe-latte. Este ataque funciona especificamente contra los clientes, mientras estn esperando por una
peticin arp dirigida a todos (broadcast arp request). Mira esta documentacin en ingls [http://wiki.wireshark.org/Gratuitous_ARP] para
ver una explicacin de lo que es gratuitous arp [http://wiki.wireshark.org/Gratuitous_ARP]. El cliente contestar a la peticin arp y
enviar unos pocos bits con su MAC y direccin IP, con el valor correcto del ICV (crc32). La razn por la que este ataque funciona
habitualmente en la prctica es, porqu al menos en windows se envan gratuitous arps despues de que una conexin se realiza y se
concede una direccin ip esttica, y si el dhcp falla windows asigna una IP del rango 169.254.X.X.
-x <pps> fija el nmero de paquetes por segundo a enviar con el ataque caffe-latte. Actualmente, este ataque no se para, y enva
continuamente peticiones arp. Airodump-ng es necesario para capturar las respuestas.
-N Ataque Hirte (Ataque de Fragmentacin)
Este ataque escucha y espera por una peticin ARP o paquete IP desde el cliente. Cuando se recibe uno, se extrae una pequea
cantidad de PRGA y se usa para crear un paquete de peticin arp (ARP request) dirigido al cliente. Esta peticin ARP se construye
actualmente a partir de mltiplies fragmentos cuando son recividos, y el cliente responder.
Este ataque funciona especialmente muy bien contra redes ad-hoc. Tambin se puede usar contra clientes de softAP y clientes de
AP normales.
Beacon Frames o Balizas
La baliza denominada en ingls beacon frame contiene el nombre del ESSID en caso de que se haya especificado uno. Si se fijan
varios, el ESSID estar oculto en la beacon frame con longitud de 1. Si no se fija el ESSID, la beacon frame contendr default
como ESSID, pero se aceptarn todos los ESSIDs en las peticiones de asociacin. Si el ESSID debera estar oculto en la baliza todo
el tiempo (para un ESSID no especificado), se puede usar la opcin -X.
Manejando las tramas de control
Las tramas de control (en ingls Control frames) (ack/rts/cts) nunca son enviadas por el cdigo, pero a veces las lee (el firmware
debera manejar esto). Los paqutes y tramas de datos se pueden enviar siempre, y no se necesita autenticarse antes de la asociacin o
incluso antes de enviar tramas de datos. Los paquetes de datos pueden enviarse en todas las direcciones. Los clientes reales
autenticados y asociados al softAP deberan enviar las respuestas correctas, pero airbase-ng no se preocupa de comprobar las
propiedades de los clientes y simplemente permite a todos los clientes conectarse (teniendo en cuenta los filtros de ESSIDs y
direcciones MACs especificados). Por lo tanto una autenticacion no puede fallar (excepto si se fuerza SKA), y tampoco puede fallar la
asociacin. El AP nunca enviar deautenticaciones o desasociaciones en modo de operacin normal.
Ha sido desarrolllado de tal forma que se maximiza la compatibilidad y las oportunidades de conseguir que un cliente se conecte.
Filtros
Hay capacidades de filtrado variadas.
Para limitar los ESSIDs soportados, puedes especificar -e <ESSID> para aadir un ESSID a la lista de ESSIDs permitidos, o usar
-E <ESSIDarchivo> para leer una lista de ESSIDs permitidos (el archivo tiene que contener un ESSID por linea).
Lo mismo se puede hacer para las direcciones MACs de los clientes (usar un filtrado de MAC). -d <MAC> aade una direccin
MAC a la lista, -D <MACarchivo> aade todas las MACs del archivo a la lista (recuerda que tiene que haber una MAC por linea).
La lista de MACs puede ser usada para permitir solo acceder a los clientes en esa lista y bloquear a todos los otros (opcin por
defecto), o bloquear a los especificados en la lista y permitir el acceso al resto. Esto se controla con la opcin -f allow o -f
disallow. allow crea una lista blanca (activado por defecto en caso de no usar -f), y disallow crea una lista negra (el
segundo caso relatado con anterioridad).
Interface Tap
Cada vez que se ejecuta airbase, se crea una hinterface tap (atX). Para usarla, ejecuta ifconfig atX up donde X es el nmero actual
de la interface.
Esta interface tiene usos variados:
Si se especifica una clave de encriptacin con -w, entonces los paquetes entrantes sern desencriptados.
Los paquetes enviados a esta interface sern transmitidos. Adems, sern encriptados si se usa la opcin -w.
Ejemplos de uso
A continuacin puedes ver unos ejemplos de uso. Solo necesitas una tarjeta wireless aunque en algunos ejemplos se usan dos tarjetas.
Simple
Usar airbase-ng <iface> es suficiente para un AP sin ningn tipo de encriptacin. Aceptar conexiones desde cualquier MAC para
cada ESSID, ya que la autentication y la asociacin es directa al BSSID.
Realmente no podrs hacer demasiado en esta situacin. Aunque, podrs ver una lista de clientes que se encuentran conectados
adems del mtodo de encriptacin y los SSIDs.
Ataque Hirte en modo Punto de Acceso (AP)
Este ataque obtiene la clave wep de un cliente. Depende de recibir al menos un paquete de peticin ARP o un paquete IP desde el
cliente despues de que se asocie con el falso AP.
Escribe:
airbase-ng -c 9 -e teddy -N -W 1 rausb0
Donde:
-c 9 especifica el canal
-e teddy filtra un SSID concreto
-N significa ataque Hirte
-W 1 fuerza a las beacons a especificar WEP
rausb0 es la interface wireless a usar
El sistema responder:
18:57:54 Created tap interface at0

18:57:55 Client 00:0F:B5:AB:CB:9D associated (WEP) to ESSID: "teddy"
En otra ventana o consola ejecutar:
airodump-ng -c 9 -d 00:06:62:F8:1E:2C -w cfrag wlan0
Donde:
-d 00:06:62:F8:1E:2C filtra los datos capturados a los del falso AP (esto es opcional)
-w especifica el nombre del archivo donde se guardarn los datos capturados
ath0 es la interface wireless para capturar datos
A continuacin se puede ver que ocurre cuando airbase-ng ha recibido un paquete de un cliente y se ha iniciado satisfactoriamente el
ataque:
CH 9 ][ Elapsed: 8 mins ][ 2008-03-20 19:06
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:06:62:F8:1E:2C 100 29 970 14398 33 9 54 WEP WEP teddy
BSSID STATION PWR Rate Lost Packets Probes
00:06:62:F8:1E:2C 00:0F:B5:AB:CB:9D 89 2-48 0 134362
Ahora puedes ejecutar aircrack-ng en otra ventana para obtener la clave wep.
Ataque "Hirte" en modo Ad-Hoc
Este ataque obtiene la clave wep de un cliente. Depende de recivir al menos una peticin ARP o un paquete IP desde el cliente
despues de que est asociado con el falso AP.
Escribe:
airbase-ng -c 9 -e teddy -N -W 1 -A rausb0
Donde:
-e teddy filtra ese SSID
-N especifica el ataque Hirte
-W 1 fuerza a las balizas o beacons a especificar la WEP
-A especifica el modo ad-hoc

El resto ser lo mismo que en el modo AP.
Ataque "Caffe Latte Hirte" en modo Punto de Acceso
Este ataque obtiene la clave WEP de un cliente. Depende de recibir al menos una peticin gratutitous ARP de un cliente despues
de asociarse con el falso AP.
Escribe:
airbase-ng -c 9 -e teddy -L -W 1 rausb0
Donde:
-c 9 especifica el nmero del canal

-N significa ataque Caffe Latte
El resto es lo mismo que en el ataque Hirte.
Captura de clave compartida (Shared Key)
Este es un ejemplo de una captura de PRGA de un cliente asociado con clave compartida.
Escribe:
airbase-ng -c 9 -e teddy -s -W 1 wlan0
Donde:
-c 9 especifica el nmero de canal

-s fuerza autenticacin con clave compartida
wlan0 es la interface wireless a usar

15:13:38 Got 140 bytes keystream: 00:0F:B5:88:AC:82
15:13:38 SKA from 00:0F:B5:88:AC:82
15:13:38 Client 00:0F:B5:88:AC:82 associated to ESSID: "teddy"
Las ltimas tres lineas solo aparecen cuando el cliente se asocia con el falso AP.
En otra ventana o consola ejecuta:
airodump-ng -c 9 wlan0
Donde:

wlan0 es la interface wireless a usar
A continuacin puedes ver el aspecto de una captura SKA satisfactoria. Date cuenta de este dato 140 bytes keystream:
00:C0:CA:19:F9:65 en la esquina superior-derecha:
CH 9 ][ Elapsed: 9 mins ][ 2008-03-12 15:13 ][ 140 bytes keystream: 00:C0:CA:19:F9:65
00:C0:CA:19:F9:65 87 92 5310 0 0 9 54 WEP WEP SKA teddy
00:C0:CA:19:F9:65 00:0F:B5:88:AC:82 83 0- 1 0 4096 teddy
Captura de un Handshake WPA
Este es un ejemplo de como capturar el handshake WPA.
Escribe:
airbase-ng -c 9 -e teddy -z 2 rausb0
Donde:

-z 2 significa TKIP
La opcin -z tendr que ser modificada dependiendo del tipo de encriptacin que creas que est usando el cliente. TKIP es lo tpico y
habitual para WPA.

10:22:13 Client 00:0F:B5:AB:CB:9D associated (WPA1;TKIP) to ESSID: "teddy"
La ltima linea solo aparece cuando el cliente se asocia.
En otra shell ejecuta:
airodump-ng -c 9 -d 00:C0:C6:94:F4:87 -w cfrag wlan0
-c 9 especifica el nmero del canal

-d 00:C0:C6:94:F4:87 filtra los datos capturados por el falso AP. Es la direccin MAC de la tarjeta ejecutando el falso AP.
Esto es opcional.
-w especifica el nombre del archivo donde se guardarn los datos capturados
wlan0 es la interface wireless para capturar los datos
Cuando el cliente se conecta, vers el WPA handshake: 00:C0:C6:94:F4:87 en la esquina superior-derecha de la pantalla:
CH 9 ][ Elapsed: 5 mins ][ 2008-03-21 10:26 ][ WPA handshake: 00:C0:C6:94:F4:87
00:C0:C6:94:F4:87 100 70 1602 14 0 9 54 WPA TKIP PSK teddy
00:C0:C6:94:F4:87 00:0F:B5:AB:CB:9D 86 2- 1 0 75
Ejecutando aircrack-ng cfrag-01.cap comprueba que lo capturado es un handshake WPA vlido:
Opening cfrag-01.cap
Read 114392 packets.
# BSSID ESSID Encryption
1 00:C0:C6:94:F4:87 teddy WPA (1 handshake)
Captura de un Handshake WPA2
Capturar un handshake en WPA2 es bsicamente idntico al ejemplo anterior a travs de WPA. La nica diferencia es especificar -Z 4
(CCMP cipher) en lugar de -z 2.
Escribe:
airbase-ng -c 9 -e teddy -Z 4 rausb0
softAP
SOLO USUARIOS EXPERTOS: Esta funcionalidad requiere conocimientos extremadamente avanzados sobre linux y redes. No
publiques preguntas en el foro acerca de esta seccin. Si no puedes hacer funcionar esto por ti mismo entonces no deberas ni
intentar usarlo!
Una nueva interface atX ser creada, la cual actua como la wired side al AP. Para usar el AP, esta nueva interface debe levantarse
con ifconfig y necesita una IP. La MAC asignada es automticamente fijada al BSSID [por defecto la direccin MAC de la interface
wireless]. Una vez que es asignada una IP y el cliente usa una IP esttica de la misma subred, tendremos funcionando una conexin
Ethernet entre el AP y el cliente. Algn daemon puede ser asignado a esa interface, por ejemplo un servidor dhcp o servidor dns.
Adems con ip_forwarding y una regla apropiada iptable para enmasacarar, el softAP acta como un router wireless. Cualquier
utilidad, que funcione en redes ethernet puede ser usada con esta interface.
Trucos de uso
Cmo funciona el ataque "Caffe Latte"?
Algunos links en ingls:
Cafe Latte attack [http://www.airtightnetworks.net/knowledgecenter/wep-caffelatte.html]
The Caffe Latte Attack: How It Worksand How to Block It [http://www.esecurityplanet.com/prevention/article.php/3716656]
Adems de lo que se dice en las anteriores descripciones, airbase-ng enva 100 paquetes 100 veces para intentar incrementar la
efectividad de este ataque.
Cmo funciona el ataque Hirte?
Este es un ataque a un cliente en el que se puede usar un paquete IP o un paquete ARP. A continuacin se describe el ataque de
forma detallada.
La idea principal es generar una peticin ARP para enviarsela al cliente y que este responda.
Este ataque necesita un paquete ARP o un paquete IP desde el cliente. A partir de esto, tendremos que generar una peticin ARP o
ARP request. La peticin ARP debe dirigirse a la IP (IP del cliente), colocandola en la posicin del byte 33 y la direccin MAC
deben ser todos ceros. Aunque en la prctica como direccin MAC podramos poner cualquier valor.
La direccin IP de origen se encuentra en el paquete recibido del cliente en una posicin conocida - posicin 23 para paquetes ARP o
21 para IP -. Paquete ARP se presupone si el tamao del mismo es de 68 o 86 bytes. Si no es as se presupone que se trata de un
paquete IP.
Para poder enviar una peticin ARP vlida de vuelta al cliente, necesitamos mover la IP de origen a la posicin 33. Por supuesto que
no podemos simplemente mover los bytes, ya que sera un paquete invlido. Por lo tanto, usamos el concepto de paquete
fragmentado para conseguir esto. La peticin ARP se enva al cliente en dos fragmentos. El primer fragmento se construye
seleccionando la longitud que nos queda al mover la direccin IP de origen a la posicin 33. El segundo fragmento es el paquete
original recivido desde el cliente.
En el caso de que se trate de un paquete IP, la tcnica usada es similar. Aunque es ms limitada la cantidad de PRGA disponible, por
lo que habr que construir tres fragmentos a partir del paquete original.
En todos los casos, se usa bit flipping para asegurarnos que el CRC es correcto. Adems, bit flipping se usa para cerciorarnos
que la direccin MAC de origen de un ARP en el paquete fragmentado no es de multiredifusin.
Problemas de uso
Limitaciones del Driver
Algunos drivers como el rtl8187 no capturan paquetes por si mismos. La implicacin de esto es que el softAP no se mostrar en
airodump-ng. Puedes solventar este problema usando dos tarjetas wireless, una para inyectar y la otra para capturar.
El driver madwifi-ng actualmente no soporta los ataques Caffe-Latte o Hirte. Este driver no sincroniza de forma correcta las
velocidades con el cliente y por lo tanto el cliente nunca recive los paquetes.
Mensaje de error "Broken SKA"
Recives el mensaje Broken SKA: <direccin MAC> (expected: ??, got ?? bytes) o similar. Usando la opcin -S con valores
diferentes a 128, algunos clientes fallan. Este mensaje indica que el nmero de bytes actualmente recibidos es diferente al nmero de
bytes solicitados. Prueba a no usar esta opcin o utiliza diferentes valores para el parmetro -S y mira si se elimina el error.
Ejemplos de Comandos
Como esta versin no se ha publicado oficialmente, la documentacin de aireplay-ng no refleja las nuevas funciones relacionadas con
airbase-ng. Por eso esta seccin contiene alguna informacin sobre esto.
-D es una nueva opcin que se ha aadido a aireplay-ng. Por defecto, aireplay-ng escucha las beacons o balizas de un AP
especificado y d fallo si no recibe ninguna beacon. La opcin -D desactva esta funcionalidad.
aireplay-ng -6 (Ataque "Cafe Latte")
Ejemplo: aireplay-ng -6 -h 00:0E:D2:8D:7D:0A -D rausb0
aireplay-ng -7 (Ataque Hirte)
Ejemplo: aireplay-ng -7 -h 00:0E:D2:8D:7D:0A -D rausb0
es/airbase-ng.txt ltima modificacin: 2009/08/14 17:10 por mister_x

Es - Airbase-Ng (Aircrack-Ng) PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Es - Airbase-Ng (Aircrack-Ng) PDF

Enviado por

Direitos autorais:

Formatos disponíveis

16/8/2017 es:airbase-ng [Aircrack-ng]

++++++ IMPORTANTE ++++++

Implementa el ataque a un cliente Caffe Latte WEP.

-a bssid : Fija la Direccin MAC del punto de acceso

--bssid <MAC> : BSSID a filtrar/usar (opcin corta -b)

-s Forzar Autenticacin con clave compartida

-S Longitud prembulo clave compartida

-L Ataque "Caffe Latte"

-N Ataque Hirte (Ataque de Fragmentacin)

Beacon Frames o Balizas

Manejando las tramas de control

Hay capacidades de filtrado variadas.

Esta interface tiene usos variados:

Ataque Hirte en modo Punto de Acceso (AP)

airbase-ng -c 9 -e teddy -N -W 1 rausb0

18:57:54 Created tap interface at0

En otra ventana o consola ejecutar:

airodump-ng -c 9 -d 00:06:62:F8:1E:2C -w cfrag wlan0

CH 9 ][ Elapsed: 8 mins ][ 2008-03-20 19:06

00:06:62:F8:1E:2C 100 29 970 14398 33 9 54 WEP WEP teddy

BSSID STATION PWR Rate Lost Packets Probes

00:06:62:F8:1E:2C 00:0F:B5:AB:CB:9D 89 2-48 0 134362

Ataque "Hirte" en modo Ad-Hoc

airbase-ng -c 9 -e teddy -N -W 1 -A rausb0

-A especifica el modo ad-hoc

El resto ser lo mismo que en el modo AP.

Ataque "Caffe Latte Hirte" en modo Punto de Acceso

airbase-ng -c 9 -e teddy -L -W 1 rausb0

-c 9 especifica el nmero del canal

El resto es lo mismo que en el ataque Hirte.

Captura de clave compartida (Shared Key)

airbase-ng -c 9 -e teddy -s -W 1 wlan0

-c 9 especifica el nmero de canal

15:08:31 Created tap interface at0

En otra ventana o consola ejecuta:

-c 9 especifica el nmero de canal

00:C0:CA:19:F9:65 87 92 5310 0 0 9 54 WEP WEP SKA teddy

BSSID STATION PWR Rate Lost Packets Probes

00:C0:CA:19:F9:65 00:0F:B5:88:AC:82 83 0- 1 0 4096 teddy

Captura de un Handshake WPA

Este es un ejemplo de como capturar el handshake WPA.

airbase-ng -c 9 -e teddy -z 2 rausb0

-c 9 especifica el nmero de canal

10:17:24 Created tap interface at0

La ltima linea solo aparece cuando el cliente se asocia.

En otra shell ejecuta:

airodump-ng -c 9 -d 00:C0:C6:94:F4:87 -w cfrag wlan0

-c 9 especifica el nmero del canal

CH 9 ][ Elapsed: 5 mins ][ 2008-03-21 10:26 ][ WPA handshake: 00:C0:C6:94:F4:87

00:C0:C6:94:F4:87 100 70 1602 14 0 9 54 WPA TKIP PSK teddy

BSSID STATION PWR Rate Lost Packets Probes

Ejecutando aircrack-ng cfrag-01.cap comprueba que lo capturado es un handshake WPA vlido:

1 00:C0:C6:94:F4:87 teddy WPA (1 handshake)

Captura de un Handshake WPA2

airbase-ng -c 9 -e teddy -Z 4 rausb0

Algunos links en ingls:

Cafe Latte attack [http://www.airtightnetworks.net/knowledgecenter/wep-caffelatte.html]

The Caffe Latte Attack: How It Worksand How to Block It [http://www.esecurityplanet.com/prevention/article.php/3716656]

Cmo funciona el ataque Hirte?

Mensaje de error "Broken SKA"

aireplay-ng -6 (Ataque "Cafe Latte")

Ejemplo: aireplay-ng -6 -h 00:0E:D2:8D:7D:0A -D rausb0

aireplay-ng -7 (Ataque Hirte)