Escolar Documentos
Profissional Documentos
Cultura Documentos
Aircrack-ng
Airbase-ng
++++++ IMPORTANTE ++++++
++++++ IMPORTANTE ++++++
++++++ IMPORTANTE ++++++
Esta funcionalidad estar disponible en una versin futura. NO est disponible actualmente.
Descripcin
Esta documentacin y manuales se encuentran todava en desarrollo. Es necesario trabajar ms. Por favor, publica cualquier
comentario o sugerencia en este post de el Foro en ingls [http://forum.aircrack-ng.org/index.php?topic=3247.0].
Airbase-ng es una utilidad multi-propsito dirigida a atacar a los clientes conectados a un Punto de Acceso (AP). Como es tan
versatil y flexible, no es fcil realizar un resumen o sumario. De todos modos las funciones ms importantes que se pueden realizar
son:
La idea principal de esta utilidad es que los clientes se podran asociar a un AP falso (fake AP), y no pueden preveer que estn
accediendo al Punto de Acceso real.
Una interface (atX) se crea cuando airbase-ng se ejecuta. Esta se puede usar para recibir paquetes desencriptados o enviar paquetes
encriptados.
Como los clientes reales probablemente enviaran probe requests, estos paquetes son importantes para hacer picar a un cliente haca
nuestro Punto de Acceso softAP. En este caso, el AP responder a cualquier paquete probe request con el correspondiente
probe response, el cual le dice al cliente que se encuentra autenticado al BSSID de airbase-ng. Hay que decir que esto podra
distorsionar el funcionamiento correcto de otros APs que se encuentren en el mismo canal.
PELIGRO: airbase-ng puede muy fcilmente corromper y distorsionar el funcionamiento de los Puntos de Acceso de los
alrededores. Por lo tanto, usa filtros para minimizar esta posibilidad. Actua siempre con responsabilidad y no impidas el
funcionamiento de las redes que se encuentran alrededor de la tuya.
Uso
uso: airbase-ng <opciones> <replay interface>
https://www.aircrack-ng.org/doku.php?id=es:airbase-ng 1/10
16/8/2017 es:airbase-ng [Aircrack-ng]
Opciones:
Opciones de filtro:
Ayuda:
--help: Muestra una pgina parecida a esta con todas las opciones (opcin corta -H)
-a BSSID Definicin
Si no se especifica explicitamente un BSSID usando la opcin -a <BSSID>, entonces se usa la direccin MAC actual de la interface
especificada.
-i iface
Si especificas una interface con esta opcin los paquetes son tambin capturados y procesados desde esta interface adems de la
replay interface.
-w WEP key
Si la encriptacin usada es WEP, entonces el parmetro -w <WEP key> sirve para fijar la clave. Esto es suficiente para permitir a
airbase-ng aadir todo el resto de parmetros por si mismo.
Si el softAP opera con encriptacin WEP, el cliente puede escoger usar el sitema de autenticacin abierta (open system
authentication) o compartida (shared key authentication). Ambos mtodos de autenticacin estn soportados por airbase-ng. Pero
https://www.aircrack-ng.org/doku.php?id=es:airbase-ng 2/10
16/8/2017 es:airbase-ng [Aircrack-ng]
para conseguir un keystream, el usuario puede probar a forzar al cliente a usar shared key authentication. -s fuerza una
autenticacin compartida (shared key auth.) y -S <len> fija la longitud del prembulo.
-h MAC
Esta es la direccin MAC origen para el ataque man-in-the-middle (hombre en el medio). Tambin hay que especificar la opcin -
M.
-f allow/disallow
Si no se incluye esta opcin, por defecto se usa -f allow. Lo que significa que los filtros MAC (-d y -D) definen que clientes se
aceptan.
Usando la opcin -f disallow puede causar que airbase ignore los clientes especificados por los filtros.
-W WEP Flag
Esto fija la WEP flag o bandera del paquete baliza o beacon. Recuerda que los clientes solo conectaran a los APs que tengan las
mismas opciones. Por ejemplo WEP a WEP, red abierta a red abierta.
La opcin auto permite a airbase-ng fijar automticamente la opcin (bandera o flag) a partir del resto de opciones especificadas.
Por ejemplo, si fijas una clave WEP con el parmetro -w, entonces la bandera (beacon flag) ser fijada a WEP.
Otro uso de auto es permitir conectarse a los clientes que pueden ajustar automticamente su tipo de conexin. Aunque, esto
funciona en raras ocasiones.
En la prctica, es mejor fijar el valor adecuado segn el tipo de red en la que estemos trabajando.
-M Ataque MITM
Esta opcin todava no est disponible. Es un ataque hombre en el medio (man-in-the-middle), es decir nos colocamos entre los
clientes especificados y los BSSIDs.
-A Modo Ad-Hoc
Esto provoca que airbase-ng actue como un cliente ad-hoc en lugar de un punto de acceso normal.
En el modo ad-hoc airbase-ng tambin enva balizas o beacons, pero no necesita ninguna autenticacin/asociacin. Puede activarse
usando -A. El soft AP ajustar automticamente todas las banderas y opciones necesarias para simular una tarjeta en modo ad-
hoc y generar una direccin MAC, que se usar como AD-HOC MAC en lugar de el BSSID. Esta puede ser fijada con la opcin -a
<BSSID>. La direccin MAC se usar como mac origen, que puede ser cambiada con -h <MAC origen>.
-Y Proceso Externo
La opcin -Y activa el modo de proceso externo. Esto crea una segunda interface atX, que se usa para
reenviar/modificar/capturar o inyectar paquetes tambin. Esta interface hay que levantarla con ifconfig y una utilidad externa es
necesaria para crear y utilizar esta interface.
La estructura del paquete es bastante simple: el encabezado ethernet (14 bytes) es ignorado y a continuacin el frame ieee80211 es
procesado por airbase-ng (para los paquetes entrantes) o antes de que los paquetes sean enviados (paquetes salientes). Este modo
intercepta todos los paquetes de datos y circulan a travs de una aplicacin externa, que decide que es lo que hay que hacer con ellos.
La direccin MAC e IP de la segunda interface tap no tienen importancia, como una tarjeta ethernet real los frames de esta interface
se lanzan a todas partes.
Hay 3 argumentos para -Y: in, out y both, que especifican la direccin de los frames que circulan a travs de la aplicacin
externa. Obviamente in redirecciona solo los frames entrantes (a travs del NIC wireless), mientras los frames salientes no se tocan.
https://www.aircrack-ng.org/doku.php?id=es:airbase-ng 3/10
16/8/2017 es:airbase-ng [Aircrack-ng]
out hace todo lo contrario, solo circulan paquetes salientes y both enva en todas las direcciones a travs de la segunda interface
tap.
Hay una pequeo y simple utilidad que sirve de ejemplo para reenviar todos los frames a travs de la segunda interface. La utilidad se
denomina replay.py y se encuentra en la carpeta ./test. Est escrita en python, pero el lenguaje de programacin no importa. Usa
pcapy para leer los frames y scapy posibilita alterar/mostrar y reinyectar los frames. La utilidad simplemente reenva todos los frames
y muestra un corto resumen de los paquetes recividos. La variable packet contiene el paquete ieee80211 completo, que puede
fcilmente ser diseccionado y modificado usando scapy.
Esto se puede comparar con los filtros de ettercap, pero es mucho ms poderoso, ya que como un lenguaje real de programacin
puede ser usado para construir paquetes complejos. La desventaja de usar python es, que tendremos un pequeo retardo de alrededor
de 100ms y la utilizacin de la cpu es mucho mayor en una red a alta velocidad, pero es perfecto para una demostracin con solo
unas pocas lineas de cdigo.
Cuando lo especifiquemos, esto fuerza una autenticacin para todos los clientes con clave compartida (shared key).
El soft AP enviar una reinyeccin authentication method unsupported a cualquier sistema abierto (open system) si se especifica
la opcin -s.
-S <len> fija la longitud del prembulo, y puede ser cualquier nmero comprendido entre 16 a 1480. Por defecto se usa 128 bytes.
Es el nmero de bytes usados en el prembulo previo a la conexin. Como una etiqueta o tag puede contener un mximo de 255
bytes, cualquier valor superior a 255 crea varias etiquetas o tags hasta que se escriban todos los bytes especificados. Algunos
clientes ignoran valores diferentes a los de 128 bytes, por lo que esta opcin puede no funcionar siempre.
Airbase-ng tambien contiene el nuevo ataque caffe-latte, que est implementado tambin en aireplay-ng como ataque -6. Puede
ser usado con -L o caffe-latte. Este ataque funciona especificamente contra los clientes, mientras estn esperando por una
peticin arp dirigida a todos (broadcast arp request). Mira esta documentacin en ingls [http://wiki.wireshark.org/Gratuitous_ARP] para
ver una explicacin de lo que es gratuitous arp [http://wiki.wireshark.org/Gratuitous_ARP]. El cliente contestar a la peticin arp y
enviar unos pocos bits con su MAC y direccin IP, con el valor correcto del ICV (crc32). La razn por la que este ataque funciona
habitualmente en la prctica es, porqu al menos en windows se envan gratuitous arps despues de que una conexin se realiza y se
concede una direccin ip esttica, y si el dhcp falla windows asigna una IP del rango 169.254.X.X.
-x <pps> fija el nmero de paquetes por segundo a enviar con el ataque caffe-latte. Actualmente, este ataque no se para, y enva
continuamente peticiones arp. Airodump-ng es necesario para capturar las respuestas.
Este ataque escucha y espera por una peticin ARP o paquete IP desde el cliente. Cuando se recibe uno, se extrae una pequea
cantidad de PRGA y se usa para crear un paquete de peticin arp (ARP request) dirigido al cliente. Esta peticin ARP se construye
actualmente a partir de mltiplies fragmentos cuando son recividos, y el cliente responder.
Este ataque funciona especialmente muy bien contra redes ad-hoc. Tambin se puede usar contra clientes de softAP y clientes de
AP normales.
La baliza denominada en ingls beacon frame contiene el nombre del ESSID en caso de que se haya especificado uno. Si se fijan
varios, el ESSID estar oculto en la beacon frame con longitud de 1. Si no se fija el ESSID, la beacon frame contendr default
https://www.aircrack-ng.org/doku.php?id=es:airbase-ng 4/10
16/8/2017 es:airbase-ng [Aircrack-ng]
como ESSID, pero se aceptarn todos los ESSIDs en las peticiones de asociacin. Si el ESSID debera estar oculto en la baliza todo
el tiempo (para un ESSID no especificado), se puede usar la opcin -X.
Las tramas de control (en ingls Control frames) (ack/rts/cts) nunca son enviadas por el cdigo, pero a veces las lee (el firmware
debera manejar esto). Los paqutes y tramas de datos se pueden enviar siempre, y no se necesita autenticarse antes de la asociacin o
incluso antes de enviar tramas de datos. Los paquetes de datos pueden enviarse en todas las direcciones. Los clientes reales
autenticados y asociados al softAP deberan enviar las respuestas correctas, pero airbase-ng no se preocupa de comprobar las
propiedades de los clientes y simplemente permite a todos los clientes conectarse (teniendo en cuenta los filtros de ESSIDs y
direcciones MACs especificados). Por lo tanto una autenticacion no puede fallar (excepto si se fuerza SKA), y tampoco puede fallar la
asociacin. El AP nunca enviar deautenticaciones o desasociaciones en modo de operacin normal.
Ha sido desarrolllado de tal forma que se maximiza la compatibilidad y las oportunidades de conseguir que un cliente se conecte.
Filtros
Para limitar los ESSIDs soportados, puedes especificar -e <ESSID> para aadir un ESSID a la lista de ESSIDs permitidos, o usar
-E <ESSIDarchivo> para leer una lista de ESSIDs permitidos (el archivo tiene que contener un ESSID por linea).
Lo mismo se puede hacer para las direcciones MACs de los clientes (usar un filtrado de MAC). -d <MAC> aade una direccin
MAC a la lista, -D <MACarchivo> aade todas las MACs del archivo a la lista (recuerda que tiene que haber una MAC por linea).
La lista de MACs puede ser usada para permitir solo acceder a los clientes en esa lista y bloquear a todos los otros (opcin por
defecto), o bloquear a los especificados en la lista y permitir el acceso al resto. Esto se controla con la opcin -f allow o -f
disallow. allow crea una lista blanca (activado por defecto en caso de no usar -f), y disallow crea una lista negra (el
segundo caso relatado con anterioridad).
Interface Tap
Cada vez que se ejecuta airbase, se crea una hinterface tap (atX). Para usarla, ejecuta ifconfig atX up donde X es el nmero actual
de la interface.
Si se especifica una clave de encriptacin con -w, entonces los paquetes entrantes sern desencriptados.
Los paquetes enviados a esta interface sern transmitidos. Adems, sern encriptados si se usa la opcin -w.
Ejemplos de uso
A continuacin puedes ver unos ejemplos de uso. Solo necesitas una tarjeta wireless aunque en algunos ejemplos se usan dos tarjetas.
Simple
Usar airbase-ng <iface> es suficiente para un AP sin ningn tipo de encriptacin. Aceptar conexiones desde cualquier MAC para
cada ESSID, ya que la autentication y la asociacin es directa al BSSID.
Realmente no podrs hacer demasiado en esta situacin. Aunque, podrs ver una lista de clientes que se encuentran conectados
adems del mtodo de encriptacin y los SSIDs.
https://www.aircrack-ng.org/doku.php?id=es:airbase-ng 5/10
16/8/2017 es:airbase-ng [Aircrack-ng]
Este ataque obtiene la clave wep de un cliente. Depende de recibir al menos un paquete de peticin ARP o un paquete IP desde el
cliente despues de que se asocie con el falso AP.
Escribe:
Donde:
-c 9 especifica el canal
-e teddy filtra un SSID concreto
-N significa ataque Hirte
-W 1 fuerza a las beacons a especificar WEP
rausb0 es la interface wireless a usar
El sistema responder:
Donde:
-c 9 especifica el canal
-d 00:06:62:F8:1E:2C filtra los datos capturados a los del falso AP (esto es opcional)
-w especifica el nombre del archivo donde se guardarn los datos capturados
ath0 es la interface wireless para capturar datos
A continuacin se puede ver que ocurre cuando airbase-ng ha recibido un paquete de un cliente y se ha iniciado satisfactoriamente el
ataque:
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
Ahora puedes ejecutar aircrack-ng en otra ventana para obtener la clave wep.
Este ataque obtiene la clave wep de un cliente. Depende de recivir al menos una peticin ARP o un paquete IP desde el cliente
despues de que est asociado con el falso AP.
Escribe:
Donde:
-c 9 especifica el canal
-e teddy filtra ese SSID
-N especifica el ataque Hirte
-W 1 fuerza a las balizas o beacons a especificar la WEP
https://www.aircrack-ng.org/doku.php?id=es:airbase-ng 6/10
16/8/2017 es:airbase-ng [Aircrack-ng]
Este ataque obtiene la clave WEP de un cliente. Depende de recibir al menos una peticin gratutitous ARP de un cliente despues
de asociarse con el falso AP.
Escribe:
Donde:
Este es un ejemplo de una captura de PRGA de un cliente asociado con clave compartida.
Escribe:
Donde:
El sistema responder:
Las ltimas tres lineas solo aparecen cuando el cliente se asocia con el falso AP.
airodump-ng -c 9 wlan0
Donde:
A continuacin puedes ver el aspecto de una captura SKA satisfactoria. Date cuenta de este dato 140 bytes keystream:
00:C0:CA:19:F9:65 en la esquina superior-derecha:
https://www.aircrack-ng.org/doku.php?id=es:airbase-ng 7/10
16/8/2017 es:airbase-ng [Aircrack-ng]
CH 9 ][ Elapsed: 9 mins ][ 2008-03-12 15:13 ][ 140 bytes keystream: 00:C0:CA:19:F9:65
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
Escribe:
Donde:
La opcin -z tendr que ser modificada dependiendo del tipo de encriptacin que creas que est usando el cliente. TKIP es lo tpico y
habitual para WPA.
El sistema responder:
Cuando el cliente se conecta, vers el WPA handshake: 00:C0:C6:94:F4:87 en la esquina superior-derecha de la pantalla:
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:C0:C6:94:F4:87 00:0F:B5:AB:CB:9D 86 2- 1 0 75
Opening cfrag-01.cap
Read 114392 packets.
https://www.aircrack-ng.org/doku.php?id=es:airbase-ng 8/10
16/8/2017 es:airbase-ng [Aircrack-ng]
# BSSID ESSID Encryption
Capturar un handshake en WPA2 es bsicamente idntico al ejemplo anterior a travs de WPA. La nica diferencia es especificar -Z 4
(CCMP cipher) en lugar de -z 2.
Escribe:
softAP
SOLO USUARIOS EXPERTOS: Esta funcionalidad requiere conocimientos extremadamente avanzados sobre linux y redes. No
publiques preguntas en el foro acerca de esta seccin. Si no puedes hacer funcionar esto por ti mismo entonces no deberas ni
intentar usarlo!
Una nueva interface atX ser creada, la cual actua como la wired side al AP. Para usar el AP, esta nueva interface debe levantarse
con ifconfig y necesita una IP. La MAC asignada es automticamente fijada al BSSID [por defecto la direccin MAC de la interface
wireless]. Una vez que es asignada una IP y el cliente usa una IP esttica de la misma subred, tendremos funcionando una conexin
Ethernet entre el AP y el cliente. Algn daemon puede ser asignado a esa interface, por ejemplo un servidor dhcp o servidor dns.
Adems con ip_forwarding y una regla apropiada iptable para enmasacarar, el softAP acta como un router wireless. Cualquier
utilidad, que funcione en redes ethernet puede ser usada con esta interface.
Trucos de uso
Cmo funciona el ataque "Caffe Latte"?
Adems de lo que se dice en las anteriores descripciones, airbase-ng enva 100 paquetes 100 veces para intentar incrementar la
efectividad de este ataque.
Este es un ataque a un cliente en el que se puede usar un paquete IP o un paquete ARP. A continuacin se describe el ataque de
forma detallada.
La idea principal es generar una peticin ARP para enviarsela al cliente y que este responda.
Este ataque necesita un paquete ARP o un paquete IP desde el cliente. A partir de esto, tendremos que generar una peticin ARP o
ARP request. La peticin ARP debe dirigirse a la IP (IP del cliente), colocandola en la posicin del byte 33 y la direccin MAC
deben ser todos ceros. Aunque en la prctica como direccin MAC podramos poner cualquier valor.
La direccin IP de origen se encuentra en el paquete recibido del cliente en una posicin conocida - posicin 23 para paquetes ARP o
21 para IP -. Paquete ARP se presupone si el tamao del mismo es de 68 o 86 bytes. Si no es as se presupone que se trata de un
paquete IP.
Para poder enviar una peticin ARP vlida de vuelta al cliente, necesitamos mover la IP de origen a la posicin 33. Por supuesto que
no podemos simplemente mover los bytes, ya que sera un paquete invlido. Por lo tanto, usamos el concepto de paquete
fragmentado para conseguir esto. La peticin ARP se enva al cliente en dos fragmentos. El primer fragmento se construye
https://www.aircrack-ng.org/doku.php?id=es:airbase-ng 9/10
16/8/2017 es:airbase-ng [Aircrack-ng]
seleccionando la longitud que nos queda al mover la direccin IP de origen a la posicin 33. El segundo fragmento es el paquete
original recivido desde el cliente.
En el caso de que se trate de un paquete IP, la tcnica usada es similar. Aunque es ms limitada la cantidad de PRGA disponible, por
lo que habr que construir tres fragmentos a partir del paquete original.
En todos los casos, se usa bit flipping para asegurarnos que el CRC es correcto. Adems, bit flipping se usa para cerciorarnos
que la direccin MAC de origen de un ARP en el paquete fragmentado no es de multiredifusin.
Problemas de uso
Limitaciones del Driver
Algunos drivers como el rtl8187 no capturan paquetes por si mismos. La implicacin de esto es que el softAP no se mostrar en
airodump-ng. Puedes solventar este problema usando dos tarjetas wireless, una para inyectar y la otra para capturar.
El driver madwifi-ng actualmente no soporta los ataques Caffe-Latte o Hirte. Este driver no sincroniza de forma correcta las
velocidades con el cliente y por lo tanto el cliente nunca recive los paquetes.
Recives el mensaje Broken SKA: <direccin MAC> (expected: ??, got ?? bytes) o similar. Usando la opcin -S con valores
diferentes a 128, algunos clientes fallan. Este mensaje indica que el nmero de bytes actualmente recibidos es diferente al nmero de
bytes solicitados. Prueba a no usar esta opcin o utiliza diferentes valores para el parmetro -S y mira si se elimina el error.
Ejemplos de Comandos
Como esta versin no se ha publicado oficialmente, la documentacin de aireplay-ng no refleja las nuevas funciones relacionadas con
airbase-ng. Por eso esta seccin contiene alguna informacin sobre esto.
-D es una nueva opcin que se ha aadido a aireplay-ng. Por defecto, aireplay-ng escucha las beacons o balizas de un AP
especificado y d fallo si no recibe ninguna beacon. La opcin -D desactva esta funcionalidad.
https://www.aircrack-ng.org/doku.php?id=es:airbase-ng 10/10