Aircrack-ng

Aircrack-ng

Descrição

O Aircrack-ng é um conjunto completo de ferramentas para avaliar a segurança

da rede WiFi.

Todas as ferramentas são linha de comando que permite scripts pesados. Muitas
GUIs aproveitaram esse recurso. Funciona principalmente Linux, mas também
Windows, Mac OS X, FreeBSD, OpenBSD, NetBSD, Solaris e até eComStation 2.

Centra-se em diferentes áreas de segurança WiFi:

Monitoramento: captura de pacotes e exportação de dados para arquivos de texto

para processamento adicional por ferramentas de terceiros.
Ataque: ataques de repetição, desautenticação, pontos de acesso falsos e outros
através de injeção de pacotes.
Teste: Verificação de cartões WiFi e capacidades de driver (captura e injeção).
Craqueamento: WEP e WPA PSK (WPA 1 e 2).

Ferramentas incluídas no pacote aircrack-ng

airbase-ng - Configurar pontos de acesso falsos

aircrack-ng - cracker de senha sem fio
airdecap-ng - arquivos de captura Decrypt WEP / WPA / WPA2
airdecloak-ng - Remove o cloaking do wap a partir de um arquivo
pcap
airdriver-ng - Fornece informações de status sobre os drivers
sem fio em seu sistema
aireplay-ng - Função primária é gerar tráfego para o uso
posterior no aircrack-ng
airmon-ng - Este script pode ser usado para ativar o modo
monitor em interfaces sem fio
airmon-zc - Este script pode ser usado para ativar o modo
monitor em interfaces sem fio
airodump-ng - Usado para captura de pacotes de quadros
802.11 brutos
airodump-ng-oui-update - Downloads e analisa lista IEEE OUI
airolib-ng - Projetado para armazenar e gerenciar listas
essenciais e de senhas
airserv-ng - Um servidor de placa sem fio
airtun-ng - Criador de interface de túnel virtual
besside-ng - Quebrar automaticamente a rede WEP e WPA
besside-ng-crawler - filtra quadros EAPOL de um diretório de arquivos
de captura
buddy-ng - uma ferramenta para trabalhar com easside-ng

tardocchi.wordpress.com
1
easside-ng - Uma ferramenta de magia automática que permite a
comunicação por meio de um ponto de acesso
criptografado por WEP
ivstools - Esta ferramenta manipula arquivos .ivs. Você pode
mesclar ou convertê-los
kstats - mostra os votos estatísticos do algoritmo FMS para um
ds ivs e uma chave WEP especificada
makeivs-ng - Gera vetores de inicialização
packetforge-ng - Cria pacotes criptografados que podem ser usados
subseqüentemente para injeção
tkiptun-ng - Esta ferramenta é capaz de injetar alguns quadros em
uma rede WPA TKIP com QoS
wesside-ng - Ferramenta de magia automática que incorpora várias
técnicas para obter uma chave WEP
wpaclean - Remove excesso de dados de um arquivo pcap

Como instalar o Aircrack-ng

Do repositório:

# sudo apt-get instalar aircrack-ng

Instalação a versão mais recente Aircrack-ng da fonte:

# sudo apt remove aircrack-ng

# sudo apt install autoconf automake libpcre3-dev libnl-3-dev libsqlite3-dev

libssl-dev ethtool build-essential g++ libnl-genl-3-dev libgcrypt20-dev libtool

# sudo apt install -y pkg-config

# git clone https://github.com/aircrack-ng/aircrack-ng.git
# cd aircrack-ng/

# autoreconf -i

# ./configure --with-experimental --with-ext-scripts

# make

# sudo make install

# sudo airodump-ng-oui-update

tardocchi.wordpress.com
2
Descrição

Aircrack-ng Descrição

Aircrack-ng é um programa de cracking de chaves 802.11 WEP e WPA / WPA2-

PSK.

O Aircrack-ng pode recuperar a chave WEP uma vez que pacotes criptografados
suficientes tenham sido capturados com o airodump-ng. Esta parte do pacote
aircrack-ng determina a chave WEP usando dois métodos fundamentais. O
primeiro método é através da abordagem PTW (Pyshkin, Tews, Weinmann). O
método de cracking padrão é o PTW. Isso é feito em duas fases. Na primeira fase,
aircrack-ng usa apenas pacotes ARP. Se a chave não for encontrada, ela usará
todos os pacotes na captura. Por favor, lembre-se que nem todos os pacotes
podem ser usados para o método PTW. Este tutorial: Pacotes suportados para a
página Ataque PTW fornece detalhes. Uma limitação importante é que o ataque
PTW atualmente pode apenas quebrar chaves WEP de 40 e 104 bits. A principal
vantagem da abordagem PTW é que pouquíssimos pacotes de dados são
necessários para quebrar a chave WEP. O segundo método é o método FMS /
KoreK. O método FMS / KoreK incorpora vários ataques estatísticos para
descobrir a chave WEP e usa-os em combinação com a força bruta.

Além disso, o programa oferece um método de dicionário para determinar a chave

WEP.

Para craqueamento de chaves pré-compartilhadas WPA / WPA2, apenas um

método de dicionário é usado. O suporte a SSE2 está incluído para acelerar
drasticamente o processamento das chaves WPA / WPA2. Um “handshake de
quatro vias” é necessário como entrada. Para handshakes WPA, um handshake
completo é composto de quatro pacotes. No entanto, aircrack-ng é capaz de
funcionar com sucesso com apenas 2 pacotes. Os pacotes EAPOL (2 e 3) ou
pacotes (3 e 4) são considerados um handshake completo.

Página inicial: http://aircrack-ng.org/

Autor: Thomas d'Otreppe

Licença: GPLv2

uso: aircrack-ng [opções] <arquivo (s) .cap / .ivs>

Opções comuns:

-a <amode> : força o modo de ataque (1 / WEP, 2 / WPA-PSK)

-e <essid> : seleção de alvo: identificador de rede
-b <bssid> : seleção de alvo: o MAC do ponto de acesso
-p <nbcpu> : # de CPU a usar (padrão: todas as CPUs)
-q : habilita o modo silencioso (sem saída de status)
-C <macs> : mescla os APs dados para um virtual
-l <arquivo> : chave de gravação para arquivo

tardocchi.wordpress.com
3
Opções de craqueamento WEP estático:

-c : pesquisa somente caracteres alfanuméricos

-t : pesquisa somente chr decimal codificado em binário
-h : pesquisa a tecla numérica para Fritz! BOX
-d <mask> : usa o mascaramento da chave (A1: XX: CF: YY)
-m <maddr> : endereço MAC para filtrar pacotes utilizáveis
-n <nbits> : comprimento da chave WEP: 64/128/152/256/512
-i <índice> : índice de chave WEP (1 a 4), padrão: qualquer
-f <fudge> : fator de fudge de bruteforce, padrão: 2
-k <korek> : desativa um método de ataque (1 a 17)
-x ou -x0 : desabilita bruteforce para os últimos keybytes
-x1 : última força-chave de byte-chave (padrão)
-x2 : habilitar os últimos 2 bytes-chave bruteforcing
-X : desativa o multithread da bruteforce
-y : modo experimental único de força bruta
-K : use apenas ataques antigos do KoreK (pré-PTW)
-s : mostra a chave em ASCII enquanto quebra
-M <num> : especifica o número máximo de IVs a serem usados
-D : WEP decloak, ignora streams quebrados
-P <num> : PTW debug: 1: desativa o Klein, 2: PTW
-1 : executar apenas 1 tentativa de quebrar a chave com o PTW

Opções de craqueamento WEP e WPA-PSK:

-w <words>: caminho para o (s) nome (s) do (s) nome (s) da lista de palavras

Opções WPA-PSK:

-E <arquivo> : cria o arquivo do projeto EWSA v3

-J <file> : cria o arquivo de captura do Hashcat
-S : Teste de velocidade de craqueamento WPA
-r <DB> : caminho para o banco de dados airolib-ng
(Não pode ser usado com -w)

Outras opções:

-u : Exibe o número de CPUs e suporte MMX / SSE

--help : exibe esta tela de uso

Exemplo de uso do aircrack-ng

Usando a lista de palavras fornecida (-w /usr/share/wordlists/nmap.lst), tente

quebrar senhas no arquivo de captura (capture-01.cap):

# aircrack-ng -w /usr/share/wordlists/nmap.lst capture-01.cap

Opening capture-01.cap

tardocchi.wordpress.com
4
Read 2 packets.

# BSSID ESSID Encryption

1 38:60:77:23:B1:CB 6EA10E No data - WEP or WPA

Escolhendo a primeira rede como destino.

Opening capture-01.cap

Descrição

Aircrack-ng é um programa de cracking de chaves 802.11 WEP e WPA / WPA2-

PSK.

O Aircrack-ng pode recuperar a chave WEP uma vez que pacotes criptografados
suficientes tenham sido capturados com o airodump-ng. Esta parte do pacote
aircrack-ng determina a chave WEP usando dois métodos fundamentais. O
primeiro método é através da abordagem PTW (Pyshkin, Tews, Weinmann). O
método de cracking padrão é o PTW. Isso é feito em duas fases. Na primeira fase,
aircrack-ng usa apenas pacotes ARP. Se a chave não for encontrada, ela usará
todos os pacotes na captura. Por favor, lembre-se que nem todos os pacotes
podem ser usados para o método PTW. Este tutorial: Pacotes suportados para a
página Ataque PTW fornece detalhes. Uma limitação importante é que o ataque
PTW atualmente pode apenas quebrar chaves WEP de 40 e 104 bits. A principal
vantagem da abordagem PTW é que pouquíssimos pacotes de dados são
necessários para quebrar a chave WEP. O segundo método é o método FMS /
KoreK. O método FMS / KoreK incorpora vários ataques estatísticos para
descobrir a chave WEP e usa-os em combinação com a força bruta.

Além disso, o programa oferece um método de dicionário para determinar a chave

WEP.

Para craqueamento de chaves pré-compartilhadas WPA / WPA2, apenas um

método de dicionário é usado. O suporte a SSE2 está incluído para acelerar
drasticamente o processamento das chaves WPA / WPA2. Um “handshake de
quatro vias” é necessário como entrada. Para handshakes WPA, um handshake
completo é composto de quatro pacotes. No entanto, aircrack-ng é capaz de
funcionar com sucesso com apenas 2 pacotes. Os pacotes EAPOL (2 e 3) ou
pacotes (3 e 4) são considerados um handshake completo.
Screenshot

LENDA
1 = Keybyte
2 = Profundidade da pesquisa de chaves atual
3 = Byte os IVs vazaram
4 = Votos indicando que está correto

Como funciona?

tardocchi.wordpress.com
5
O primeiro método é o método PTW (Pychkine, Tews, Weinmann). O método PTW
está totalmente descrito no documento encontrado neste site. Em 2005, Andreas
Klein apresentou outra análise da cifra de fluxo RC4. Klein mostrou que há mais
correlações entre o fluxo de chaves RC4 e a chave do que as encontradas por
Fluhrer, Mantin e Shamir e estas podem ser usadas adicionalmente para quebrar
o WEP. O método PTW amplia o ataque de Klein e o otimiza para uso contra o
WEP. Utiliza essencialmente técnicas aprimoradas de FMS descritas na seção
seguinte. Uma restrição particularmente importante é que ele só funciona com
pacotes de solicitação / resposta arp e não pode ser empregado contra outro
tráfego.

O segundo método é o método FMS / Korek, que incorpora várias técnicas. The
Techniques Papers, na página de links, lista muitos artigos que descrevem essas
técnicas com mais detalhes e a matemática por trás delas.

Neste método, várias técnicas são combinadas para quebrar a chave WEP:

Ataques FMS (Fluhrer, Mantin, Shamir) - técnicas estatísticas

Ataques Korek - técnicas estatísticas
Força bruta

Ao usar técnicas estatísticas para quebrar uma chave WEP, cada byte da chave é
essencialmente tratado individualmente. Usando matemática estatística, a
possibilidade de que um determinado byte na chave seja corretamente
adivinhada chega a até 15% quando o vetor de inicialização (IV) correto é
capturado para um determinado byte de chave. Essencialmente, certos IVs
“vazam” a chave WEP secreta para determinados bytes-chave. Esta é a base
fundamental das técnicas estatísticas.

Usando uma série de testes estatísticos chamados ataques FMS e Korek, os votos
são acumulados para chaves prováveis para cada byte chave da chave WEP
secreta. Diferentes ataques têm um número diferente de votos associados a eles,
pois a probabilidade de cada ataque produzir a resposta certa varia
matematicamente. Quanto mais votos um valor-chave em potencial específico
acumular, maior a probabilidade de estar correto. Para cada byte chave, a tela
mostra a provável chave secreta e o número de votos acumulados até o momento.
Desnecessário dizer que a chave secreta com o maior número de votos
provavelmente está correta, mas não é garantida. O Aircrack-ng
subseqüentemente testará a chave para confirmá-la.

Olhando para um exemplo, esperamos tornar isso mais claro. Na imagem acima,
você pode ver que, no byte-chave 0, o byte 0xAE coletou alguns votos, 50 neste
caso. Então, matematicamente, é mais provável que a chave comece com AE do
que com 11 (que é a segunda na mesma linha), que é quase a metade possível.
Isso explica porque quanto mais dados estão disponíveis, maiores são as chances
de que o aircrack-ng determine a chave WEP secreta.

No entanto, a abordagem estatística só pode levá-lo até agora. A ideia é entrar no

parque de bolinhas com estatísticas e depois usar a força bruta para terminar o

tardocchi.wordpress.com
6
trabalho. Aircrack-ng usa força bruta em chaves prováveis para determinar a
chave WEP secreta.

É aí que entra o fator fudge. Basicamente, o fator fudge diz ao aircrack-ng quão
amplamente a força bruta. É como jogar uma bola em um campo e dizer a alguém
que a bola está em algum lugar entre 0 e 10 metros (0 e 30 pés) de distância.
Versus dizendo que a bola está em algum lugar entre 0 e 100 metros (0 e 300
pés) de distância. O cenário de 100 metros levará muito mais tempo para
pesquisar o 10 metro, mas é mais provável que você encontre a bola com a
pesquisa mais ampla. É uma troca entre o período de tempo e a probabilidade de
encontrar a chave WEP secreta.

Por exemplo, se você disser ao aircrack-ng para usar um fator de correção 2, ele
recebe os votos do maior byte possível e verifica todas as outras possibilidades
que são pelo menos metade das possíveis como esta em uma base de força bruta.
Quanto maior o fator de fudge, mais possibilidades o aircrack-ng experimentará
em uma base de força bruta. Tenha em mente que, à medida que o fator de
correção aumenta, o número de chaves secretas para tentar aumenta
consideravelmente e, consequentemente, o tempo decorrido também aumenta.
Portanto, com mais dados disponíveis, a necessidade de força bruta, que é muito
intensa e demorada, pode ser minimizada.

No final, tudo é apenas matemática “simples” e força bruta!

Para quebrar chaves WEP, um método de dicionário também está incluído. Para
WEP, você pode usar o método estatístico descrito acima ou o método do
dicionário, não ambos ao mesmo tempo. Com o método de dicionário, você
primeiro cria um arquivo com chaves ascii ou hexadecimais. Um único arquivo
pode conter apenas um tipo, não uma mistura de ambos. Isso é então usado
como entrada para o aircrack-ng e o programa testa cada chave para determinar
se está correta.

As técnicas e a abordagem acima não funcionam para chaves pré-compartilhadas

WPA / WPA2. A única maneira de quebrar essas chaves pré-compartilhadas é
através de um ataque de dicionário. Esta capacidade também está incluída no
aircrack-ng.

Com as chaves pré-compartilhadas, o cliente e o ponto de acesso estabelecem o

material de chave a ser usado em sua comunicação no início, quando o cliente se
associa primeiro ao ponto de acesso. Ther

tardocchi.wordpress.com
7
Exemplos de uso
WEP

O caso mais simples é quebrar uma chave WEP. Se você quiser testar isso
sozinho, aqui está um arquivo de teste. A chave para o arquivo de teste
corresponde à imagem da tela acima, não corresponde ao exemplo a seguir.

aircrack-ng 128bit.ivs
Onde:

128bit.ivs é o nome do arquivo que contém o IVS.

O programa responde:

Se houver várias redes contidas no arquivo, você terá a opção de selecionar qual delas deseja. Por
padrão, o aircrack-ng assume criptografia de 128 bits.

O processo de cracking começa e uma vez quebrado, aqui está o que parece:

NOTA: A chave ASCII WEP é exibida somente quando 100% da chave hexagonal pode ser
convertida em ASCII.

Essa chave pode então ser usada para conectar-se à rede.

tardocchi.wordpress.com
8
Em seguida, analisamos o WEP com um dicionário. Para fazer isso, precisamos de arquivos de
dicionário com chaves ascii ou hexadecimais para tentar. Lembre-se, um único arquivo só pode ter
chaves ascii ou hexadecimais, não ambos.

As chaves WEP podem ser inseridas em hexadecimal ou ascii. A tabela a seguir descreve quantos
caracteres de cada tipo são necessários em seus arquivos.

Example 64 bit ascii key: “ABCDE”

Example 64 bit hexadecimal key: “12:34:56:78:90” (Note the “:” between each two
characters.)
Example 128 bit ascii key: “ABCDEABCDEABC”
Example 128 bit hexadecimal key: “12:34:56:78:90:12:34:56:78:90:12:34:56”

Para o dicionário WEP, decifre uma chave de 64 bits:

aircrack-ng -w h: hex.txt, ascii.txt -a 1 -n 64 -e teddy wep10-01.cap

Onde:

-w h: hex.txt, ascii.txt é a lista de arquivos a serem usados. Para arquivos

contendo valores hexadecimais, você deve colocar um “h:” na frente do nome do
arquivo.
-a 1 diz que é WEP
-n 64 diz que é 64 bits. Altere isso para o tamanho da chave que corresponde aos
seus arquivos de dicionário.
-e teddy é, opcionalmente, selecionar o ponto de acesso. Você também pode usar
a opção "-b" para selecionar com base no endereço MAC
wep10-01.cap é o nome do arquivo que contém os dados. Pode ser o pacote
completo ou um arquivo somente IVs. Deve conter um mínimo de quatro IVs.

tardocchi.wordpress.com
9
Aqui está uma amostra da saída:

Vamos ver um exemplo de ataque PTW. Lembre-se de que esse método requer
pacotes de solicitação / resposta arp como entrada. Deve ser o pacote completo e
não apenas os IVs, o que significa que a opção “- ivs” não pode ser usada ao
executar o airodump-ng. Além disso, funciona apenas para criptografia WEP de
64 e 128 bits.

Digite o seguinte comando:

Onde:

-z significa usar a metodologia PTW para quebrar a chave wep. Nota: na v1.x, este
é o modo de ataque padrão; use -K para reverter para o Korek.
ptw * .cap são os arquivos de captura a serem usados.
Os sistemas respondem:

então:
WPA
Agora, em cracking frases-senha WPA / WPA2. O Aircrack-ng pode quebrar
ambos os tipos.
aircrack-ng -w password.lst * .cap
Onde:
-w password.lst é o nome do arquivo de senha. Lembre-se de especificar o
caminho completo se o arquivo não estiver localizado no mesmo diretório.
* .cap é o nome do grupo de arquivos contendo os pacotes capturados.
Observe nesse caso que usamos o caractere curinga * para incluir vários
arquivos.
O programa responde:

tardocchi.wordpress.com
10
Observe, neste caso, que, como existem várias redes, precisamos selecionar qual delas atacar. Nós
selecionamos o número 2. O programa então responde:

Agora você tem a frase secreta e pode se conectar à rede.

SIMD

O Aircrack-ng é compilado com várias otimizações baseadas nos recursos da CPU

que chamamos de mecanismos de criptografia. Os recursos da CPU são diferentes
com base no tipo de CPU.

Em x86 (e 64 bits), normalmente SSE2, AVX e AVX2 estão disponíveis (o AVX512

pode ser compilado, mas só deve ser feito se a CPU atual o suportar). No ARM,
neon e ASIMD estão geralmente disponíveis e no PowerPC, ASIMD e altivec. Uma
otimização genérica está sempre disponível, não importa em qual arquitetura ela
seja compilada. Um conjunto limitado de otimizações pode estar disponível
dependendo do OS / CPU / compiladores disponíveis.
Ao executar o aircrack-ng, ele carregará a otimização mais rápida com base no
que sua CPU suporta. Para os mantenedores de pacotes, é muito útil, pois eles
não precisam ter como alvo o que suporta toda a CPU, que seria a mais lenta.

Para sobrescrever, a opção --simd pode ser usada. Tal como

tardocchi.wordpress.com
11
Para listar toda a otimização de SIMD disponível, use --simd-list. Tal como

exibirá “avx2 avx sse2 generic” no x86.

Sessão de cracking

O craqueamento pode, às vezes, levar muito tempo e às vezes é necessário

desligar o computador ou colocá-lo para dormir por um tempo. Para lidar com
esse tipo de situação, um novo conjunto de opções foi criado.

Ele irá criar e / ou atualizar um arquivo de sessão salvando o status atual do

cracking (a cada 10 minutos), bem como todas as opções usadas, listas de
palavras e arquivos de captura usados. Múltiplas listas de palavras podem ser
usadas e funciona com WEP e WPA.

Para restaurar a sessão, use --restore-session:

Ele continuará atualizando current.session a cada 10 minutos.

Limitações:

A lista de palavras deve ser arquivos. Por enquanto, eles não podem ser
bancos de dados stdin ou airolib-ng
A sessão deve ser restaurada a partir do mesmo diretório de quando usar pela
primeira vez --new-session
Nenhuma nova opção pode ser adicionada ao restaurar a sessão
Dicas de Uso
Abordagem geral para quebrar chaves WEP

Claramente, a abordagem mais simples é apenas digitar “aircrack-ng captured-

data.cap” e deixá-lo ir. Dito isto, existem algumas técnicas para melhorar suas
chances de encontrar a chave WEP rapidamente. Não há um único conjunto

tardocchi.wordpress.com
12
mágico de etapas. A seguir, descrevemos algumas abordagens que tendem a
produzir a chave mais rapidamente. A menos que você esteja confortável com a
experimentação, deixe-a bem sozinha e siga a abordagem simples.

Se você está capturando pacotes de solicitação / resposta arp, então a abordagem

mais rápida é usar “aircrack-ng -z <arquivos de captura de pacotes de dados>”.
Você pode, então, pular o saldo desta seção, pois ela encontrará a chave muito
rapidamente, supondo que você tenha coletado pacotes de solicitação / resposta
arp suficientes! NOTA: -z é o modo de ataque padrão no aircrack-ng v1.x; use -K
para reverter para o modo de ataque usado nas versões anteriores.

A técnica predominante é capturar o máximo de dados possível. Essa é a tarefa

mais importante. O número de vetores de inicialização (IVs) necessários para
determinar a chave WEP varia consideravelmente de acordo com o tamanho da
chave e o ponto de acesso. Normalmente, você precisa de 250.000 ou mais IVs
exclusivos para chaves de 64 bits e 1,5 milhão ou mais para chaves de 128 bits.
Claramente muito mais para comprimentos de bits de chave mais longos. Então
há sorte. Haverá momentos em que a chave WEP pode ser determinada com
apenas 50.000 IVs, embora isso seja raro. Por outro lado, haverá momentos em
que você precisará de vários milhões de IVs para quebrar a chave WEP. O número
de IVs é extremamente difícil de prever, uma vez que alguns pontos de acesso são
muito bons na eliminação de IVs que levam a chave WEP.

Geralmente, não tente quebrar a chave WEP até que você tenha 200.000 IVs ou
mais. Se você começar muito cedo, o aircrack tende a gastar muito tempo brute
forçando as chaves e não aplicando corretamente as técnicas estatísticas. Comece
experimentando as chaves de 64 bits “aircrack-ng -n 64 captured-data.cap”. Se
eles estiverem usando um WEP de 64 bits, ele geralmente pode ser quebrado em
menos de 5 minutos (geralmente menos de 60 segundos) com relativamente
poucos IVs. É surpreendente quantos APs usam apenas chaves de 64 bits. Se não
encontrar a chave de 64 bits em 5 minutos, reinicie o aircrack no modo genérico:
“aircrack-ng captured-data.cap”. Então, a cada 100.000 IVs, tente novamente o
“aircrack-ng -n 64 captured-data.cap” por 5 minutos.

Depois de atingir 600.000 IVs, mude para testar chaves de 128 bits. Neste ponto,
é improvável (mas não impossível) que seja uma chave de 64 bits e que 600.000
IVs não a tenham quebrado. Então, agora tente “aircrack-ng captured-data.cap”.

tardocchi.wordpress.com
13
Depois de atingir 2 milhões de IVs, tente alterar o fator de correção para "-f 4".
Corra por pelo menos 30 minutos a uma hora. Tente novamente, aumentando o
fator de correção adicionando 4 a cada vez. Outra hora para tentar aumentar o
fator de correção é quando o aircrack-ng pára porque tentou todas as chaves.

Enquanto isso, continue coletando dados. Lembre-se da regra de ouro, "quanto

mais IVs, melhor".

Também confira a próxima seção sobre como determinar quais opções usar, pois
elas podem acelerar significativamente a quebra da chave WEP. Por exemplo, se a
chave for toda numérica, pode levar apenas 50.000 IVs para quebrar uma chave
de 64 bits com o "-t" versus 200.000 IVs sem o "-t". Então, se você tem um palpite
sobre a natureza da chave WEP, vale a pena tentar algumas variações.
Como determinar quais opções usar

Enquanto o aircrack-ng está rodando, você vê apenas o começo da chave.

Embora a chave WEP secreta seja desconhecida neste momento, pode haver
pistas para acelerar as coisas. Se os bytes-chave tiverem um número
razoavelmente grande de votos, eles provavelmente estarão 99.5% corretos. Então
vamos ver o que você pode fazer com essas pistas.

Se os bytes (prováveis chaves secretas) são, por exemplo: 75: 47: 99: 22: 50,
então é bastante óbvio que a chave inteira pode consistir apenas em números,
como os primeiros 5 bytes. Por isso, pode melhorar a sua velocidade de cracking
para usar a opção -t apenas quando tentar essas teclas. Veja Wikipedia Binary
Coded Decimal para uma descrição de quais caracteres -t procura.

Se os bytes forem 37: 30: 31: 33: 36, que são todos valores numéricos quando
convertidos para o Ascii, é uma boa idéia usar a opção -h. A entrada da FAQ A
conversão de caracteres hexadecimais para ascii fornece links para determinar se
todos são numéricos.

E se os primeiros bytes são algo como 74: 6F: 70: 73: 65, e ao inseri-los em seu
hexeditor ou nos links fornecidos na sentença anterior, você vê que eles podem
formar o começo de alguma palavra, então parece É provável que uma tecla ASCII
seja usada, portanto, você ativa a opção -c para verificar somente as chaves ASCII
imprimíveis.

tardocchi.wordpress.com
14
Se você souber o início da chave WEP em hexadecimal, poderá entrar com o
parâmetro "-d". Vamos supor que você sabe que a chave WEP é "0123456789" em
hexadecimal, então você poderia usar "-d 01" ou "-d 0123", etc.

Outra opção a ser tentada ao se ter problemas para determinar a chave WEP é a
opção “-x2”, que faz com que os últimos dois bytes-chave sejam obrigados a usar
força bruta, em vez do padrão de um.
Como converter a chave HEX WEP para ASCII?

Veja a próxima entrada.

Como usar a chave

Se aircrack-ng determinar a chave, ela será apresentada em formato

hexadecimal. Geralmente parece com:

O comprimento varia de acordo com o comprimento da chave de bit WEP usado.

Veja a tabela acima, que indica o número de caracteres hexadecimais para os
vários comprimentos de bits da chave WEP.

Você pode usar esta chave sem o “:” no seu cliente favorito. Isso significa que você
insere “1122334455” no cliente e especifica que a chave está no formato
hexadecimal. Lembre-se que a maioria das chaves não pode ser convertida para o
formato ASCII. Se a chave HEX for de fato caracteres ASCII válidos, o ASCII
também será exibido.

Se você quiser experimentar um pouco com a conversão de HEX para ASCII, veja
esta entrada de FAQ.

Nós não fornecemos especificamente suporte ou os detalhes sobre como

configurar sua placa wireless para conectar ao AP. Para o linux, esta página tem
um excelente writeup. Além disso, pesquise na internet por essas informações
sobre os sistemas Linux e Windows. Além disso, consulte a documentação do
cliente sem fio do seu cartão. Se você estiver usando o linux, verifique as listas de
discussão e fóruns específicos da distribuição.

Além disso, o Aircrack-ng imprime uma mensagem indicando a probabilidade de

a chave estar correta. Será algo parecido com “Probabilidade: 100%”. Aircrack-ng
testa a chave contra alguns pacotes para confirmar se a chave está correta. Com
base nesses testes, imprime a probabilidade de uma chave correta.
tardocchi.wordpress.com
15
Lembre-se também que não apoiamos ou endossamos pessoas que acessam
redes que não pertencem a elas.
Como converter a chave sextavada de volta para a frase secreta?

As pessoas muitas vezes perguntam se a chave hexadecimal encontrada pelo

aircrack-ng pode ser convertida de volta para a “frase secreta” original. A resposta
simples é "NÃO".

Para entender por que isso acontece, vamos dar uma olhada em como essas
senhas são convertidas nas chaves hexadecimais usadas no WEP.

Alguns fornecedores têm um gerador de chaves wep que “traduz” uma senha em
uma chave WEP hexadecimal. Não há padrões para isso. Muitas vezes eles
apenas preenchem frases curtas com espaços em branco, zeros ou outros
caracteres. No entanto, normalmente as senhas são preenchidas com zeros até o
comprimento de 16 bytes, e depois o MD5SUM deste bytestream será a chave
WEP. Lembre-se, todos os fornecedores podem fazer isso de uma maneira um
pouco diferente e, portanto, podem não ser compatíveis.

Portanto, não há como saber quanto tempo durou a frase-senha original. Pode
ser tão curto quanto um caractere. Tudo depende de quem desenvolveu o
software.

Sabendo de tudo isso, se você ainda quiser tentar obter a frase-senha original, o
Latin SuD tem uma ferramenta que tenta inverter o processo. Clique aqui para a
ferramenta.

No entanto, essas senhas resultam em uma chave WEP que é tão facilmente
quebrada quanto todas as outras chaves WEP. O método de conversão exato
realmente não importa no final.

Tenha em mente que as senhas wep que se parecem com “texto simples” podem
ser ASCII ou PASSPHRASE. A maioria (todos) dos sistemas suporta ASCII e é o
padrão, mas algumas senhas de suporte e aquelas que o suportam requerem que
os usuários especifiquem se é ascii ou uma frase secreta. Frases secretas podem
ter qualquer tamanho arbitrário. ASCII são geralmente limitados a 5 ou 13
(wep40 e wep104).

Como uma nota lateral, o Windows WZC suporta apenas chaves hexadecimais ou
ascii de comprimento fixo, portanto, a chave inserida mais curta tem 5 caracteres
de comprimento. Veja a tabela acima nesta página sobre quantos caracteres são
necessários para comprimentos de chave específicos.
Arquivos de amostra para tentar

Há vários arquivos de amostra que você pode experimentar com o aircrack-ng

para ganhar experiência:

tardocchi.wordpress.com
16
 wpa.cap: Este é um arquivo de amostra com um handshake wpa. Ele está
localizado no diretório “test” dos arquivos de instalação. A frase secreta é
“biscotte”. Use o arquivo de senha (password.lst) que está no mesmo diretório.
wpa2.eapol.cap: Este é um arquivo de amostra com um handshake wpa2. Ele
está localizado no diretório “test” dos arquivos de instalação. A frase secreta é
“12345678”. Use o arquivo de senha (password.lst) que está no mesmo diretório.
test.ivs: Este é um arquivo de chave WEP de 128 bits. A tecla é “AE: 5B: 7F:
3A: 03: D0: AF: 9B: F6: 8D: A5: E2: C7”.
ptw.cap: Este é um arquivo de chave WEP de 64 bits adequado para o método
PTW. A chave é “1F: 1F: 1F: 1F: 1F”.

Formato do Dicionário

Os dicionários usados para bruteforcing WPA / WPA precisam conter uma frase-
senha por linha.

O formato de fim de linha do Linux e do Windows é um pouco diferente. Veja esta

entrada da Wikipedia para detalhes. Existem ferramentas de conversão
disponíveis no Linux e no Windows, que podem converter um formato em outro.
Além disso, os editores estão disponíveis em ambos os sistemas operacionais, que
podem editar os dois formatos corretamente. Cabe ao leitor usar um mecanismo
de busca na Internet para encontrar as ferramentas apropriadas.

No entanto, ambos os tipos devem funcionar com as versões linux ou Windows do

aircrack-ng. Assim, você realmente não precisa converter para frente e para trás.
Dicionário Chave Hexadecimal

Embora não faça parte do aircrack-ng, vale a pena mencionar que um trabalho
interessante é da SuD. É basicamente um dicionário hex já preparado e o
programa para executá-lo:

Ferramentas para dividir arquivos de captura

Há momentos em que você deseja dividir os arquivos de captura em partes

menores. Por exemplo, arquivos com um grande número de IVs podem, às vezes,
causar falha no ataque PTW. Nesse caso, vale a pena dividir o arquivo em partes
menores e tentar novamente o ataque PTW.

Então, aqui estão duas ferramentas para dividir arquivos de captura:

http://www.badpenguin.co.uk/files/pcap-util
http://www.badpenguin.co.uk/files/pcap-util2

Outra técnica é usar o Wireshark / tshark. Você pode marcar os pacotes e depois
os mesmos para um arquivo separado.
Como extrair o handshake WPA de arquivos de captura grandes

tardocchi.wordpress.com
17
Às vezes, você tem um arquivo de captura muito grande e gostaria de extrair os
pacotes de handshake WPA / WPA2 dele para um arquivo separado. Isso pode ser
feito com o “tshark”, que é uma versão de linha de comando do pacote Wireshark.
Instalar a versão linux do pacote Wireshark no seu sistema também deve instalar
o tshark.

O comando a seguir extrairá todos os pacotes de handshake e beacon do seu

arquivo de captura pcap e criará um arquivo separado apenas com esses pacotes:

Lembre-se de que você deve usar um arquivo pcap como entrada, não um arquivo IVs.
Outras dicas

Para especificar vários arquivos de captura por vez, você pode usar um caractere curinga como * ou
especificar cada arquivo individualmente.

Exemplos:

# aircrack-ng -w password.lst wpa.cap wpa2.eapol.cap

# aircrack-ng * .ivs
# aircrack-ng alguma coisa * .ivs

Para especificar vários dicionários ao mesmo tempo, insira-os separados por

vírgula sem espaços.

Exemplos:

# aircrack-ng -w password.lst, secondlist.txt wpa2.eapol.cap

# aircrack-ng -w firstlist.txt, secondlist.txt, thirdlist.txt wpa2.eapol.cap

Aircrack-ng vem com um pequeno dicionário chamado password.lst. O arquivo

password.lst está localizado no diretório “test” dos arquivos de origem. Esta
entrada FAQ tem uma lista de sites onde você pode encontrar extensas listas de
palavras (dicionários). Veja também este tópico no fórum.

A determinação da senha WPA / WPA2 depende totalmente da localização de uma

entrada de dicionário que corresponda à frase secreta. Então, um dicionário de
qualidade é muito importante. Você pode pesquisar na Internet por dicionários a
serem usados. Existem muitos disponíveis.

A página de tutoriais tem o seguinte tutorial Como quebrar o WPA / WPA2? que
percorre os passos em detalhes.

Como você viu, se houver várias redes em seus arquivos, você precisa selecionar
qual delas deseja decifrar. Em vez de fazer manualmente uma seleção, você pode
especificar qual rede deseja por essid ou bssid na linha de comando. Isso é feito
com os parâmetros -e ou -b.

tardocchi.wordpress.com
18
Outro truque é usar John the Ripper para criar senhas específicas para testes.
Digamos que você saiba que a frase secreta é o nome da rua mais 3 dígitos. Crie
um conjunto de regras customizadas no JTR e execute algo parecido com isto:

Lembre-se de que as senhas válidas têm 8 a 63 caracteres de comprimento. Aqui está um comando
útil para garantir que todas as senhas em um arquivo atendam a esse critério:

Solução de problemas de uso

Mensagem de erro "Por favor, especifique um dicionário (opção -w)"

Isso significa que você digitou incorretamente o nome do arquivo do dicionário ou

não está no diretório atual. Se o dicionário estiver localizado em outro diretório,
você deverá fornecer o caminho completo para o dicionário.
Mensagem de erro "fopen (dicionário) falhou: nenhum tal arquivo ou diretório"

Isso significa que você digitou incorretamente o nome do arquivo do dicionário ou

não está no diretório atual. Se o dicionário estiver localizado em outro diretório,
você deverá fornecer o caminho completo para o dicionário.
Votos negativos

Haverá momentos em que os bytes da chave terão valores negativos para votos.
Como parte da análise estatística, existem salvaguardas embutidas que subtraem
votos para falsos positivos. A ideia é fazer com que os resultados sejam mais
precisos. Quando você recebe muitos votos negativos, algo está errado.
Normalmente, isso significa que você está tentando decifrar uma chave dinâmica,
como WPA / WPA2 ou a chave WEP, alterada enquanto você estava capturando
os dados. Lembre-se, o WPA / WPA2 só pode ser quebrado por meio de uma
técnica de dicionário. Se a chave WEP foi alterada, você precisará começar a
coletar novos dados e começar tudo de novo.
"Uma mensagem ESSID é necessária. Tente a opção -e"

Você capturou com sucesso um handshake e quando você executa o aircrack-ng,

obtém resultados semelhantes:

tardocchi.wordpress.com
19
Solução: Você precisa especificar o essid real, caso contrário, a chave não pode
ser calculada, pois o essid é usado como salt ao gerar a chave mestra de pares
(PMK) fora da chave pré-compartilhada (PSK).

Então apenas use -e “<REAL_ESSID>” ao invés de -e “” e o aircrack-ng deve

encontrar a frase secreta.
O método PTW não funciona

Uma restrição particularmente importante é que ela só funciona contra pacotes

de solicitação / resposta arp. Não pode ser usado contra outros pacotes de dados.
Portanto, mesmo que o arquivo de captura de dados contenha um grande número
de pacotes de dados, se houver pacotes de solicitação / resposta de arp
insuficientes, ele não funcionará. Usando essa técnica, o WEP de 64 bits pode ser
quebrado com apenas 20.000 pacotes de dados e WEP de 128 bits com 40.000
pacotes de dados. Além disso, requer que o pacote completo seja capturado.
Significa que você não pode usar a opção “- ivs” ao executar o airodump-ng.
Também funciona apenas para criptografia WEP de 64 e 128 bits.
Mensagem de erro "read (file header) failed: Success"

Se você receber a mensagem de erro - "leitura (cabeçalho do arquivo) falhou:

Sucesso" ou similar ao executar o aircrack-ng, provavelmente há um arquivo de
entrada com zero (0) bytes. O arquivo de entrada pode ser um arquivo .cap ou .ivs
É mais provável que isso aconteça com a entrada curinga de muitos arquivos,
como:

Simplesmente apague os arquivos com zero bytes e execute o comando

novamente.
Falha na análise de handshake WPA / WPA2

Capturar handshakes WPA / WPA2 pode ser muito complicado. Um arquivo de

captura pode conter um subconjunto de pacotes de várias tentativas de
handshake e / ou handshakes de mais de um cliente. Atualmente, o aircrack-ng
pode falhar em analisar o handshake corretamente. Isso significa que o aircrack-
ng não conseguirá encontrar um handshake no arquivo de captura, mesmo que
exista um.

Se você tiver certeza de que seu arquivo de captura contém um handshake válido,
use o Wireshark ou um software equivalente e extraia manualmente o pacote de
beacon mais um conjunto de pacotes de handshake.

Há um problema no GitHub aberto para corrigir esse comportamento incorreto.

Referencias: https://www.aircrack-ng.org/doku.php?id=aircrack-ng

tardocchi.wordpress.com
20