Tabela de conteúdos
.
Tutorial: Como craquear WEP sem cliente wireless
Versão: 1.15 de 26 de Março de 2009
Por: darkAudax
Tradução: Rubem A. Figueredo–LPI000204850-Bahia–Brasil-rafig38@gmail.com
Introdução
Muitas vezes uma rede wireless não tem cliente conectado e não há requisições ARP vindo da lado cabeado. Este tutorial irá descrever como craquear chaves WEP quando não há clientes conectados e não há requisições ARP vindo do lado cabeado. Embora este tópico já tenha sido discutido muitas vezes no Forum, este tutorial tem a intenção de atender a este assunto com exemplos práticos.
Se as requisições ARP são sinais “broadcast” do lado cabeado, então o padrão de “fake autentication” (autenticação falsa) combinada com técnicas de repetição de requisições ARP podem ser usadas.
É recomendado que você faça experiências com sua própria rede wireless, usando seu ponto de acesso (AP), para se familiarizar com as ideias e técnicas. Se você não possuir um ponto de acesso particular, por favor, lembre-se de solicitar permissão do proprietário do AP para realizar seus testes.
Eu gostaria de agradecer ao time(grupo desenvolvedor) do Aircrack-ng pelos procedimentos e pela grande ferramenta que é o Aircrack-ng.
Por favor, nos envie comentários e criticas tanto positivas, quanto negativas para que possamos melhorar. Ideias de resolução de problemas e dicas são especialmente bem-vindas.
Convenções utilizadas
Primeiramente, esta solução assume:
- Que você está usando drivers corrigidos, para injeção. Use o teste de injeção para confirmar se sua placa de rede pode injetar pacotes;
- Que você está fisicamente e razoavelmente próximo para enviar e receber pacotes do ponto de acesso(AP) e para o cliente da rede wireless. Lembre-se que só porque você pode receber pacotes deles, não quer dizer que você poderá transmitir pacotes. O alcance da placa de rede wireless é tipicamente menor que a distancia de alcance do AP, este alcança uma distância bem maior. Logo você deverá está relativamente próximo para transmitir e receber pacotes entre o AP e o cliente wireless;
- Que existem pacotes de dadosw vindos do AP. Beacons e outros gerenciamento de pacotes são totalmente inúteis para nosso próposito neste tutorial. Uma maneira rápida de verificar é executando o airodump-ng e ver se existe alguns pacotes de dados identificados como pacotes do AP. Digo isto se houver dados capturados do AP de uma outra sessão, então estes dados poderão sr usados. Este é um tópico avançado e este tutorial não prover instruções detalhadas neste caso.
- Que o AP usa WEP “open authentication” (autenticação aberta). Não irá funcionar se a “Shared Key Authentication – SKA” ( Chave de Autenticação Compartilhada – CAC), estiver sendo usada. Com CAC, o único modo de obter sucesso com clinetes presentes é se você capturou dados “PRGA xor” com ataques de injeção de pacotes de conexão usando airodump-ng ou previamente atacando com aireplay-ng. Isto acontece por que você vai precisar do arquivo “PRGA xor” para fazer a autenticação falsa acontecer com sucesso.
- Que você usa o endereço MAC nativo de sua placa wirelesse em todos os passos e não troque este. Não troque nenhum outro endereço MAC, bem como o endereço MAC de origem dos pacotes. Senão, alguns comando não serão executados corretamente. Veja a seção Usando um outro endereço MAC de Origem, no final deste tutorial;
- Que você está usando a versão v0.9.1 ou maior do aircrack-ng. Se você usa uma versão diferente então algumas opções dos comandos podem ser diferentes.
Certifique-se de que todas as convenções acima são verdadeiras, senão as instruções seguintes não funcionarão. Nos exemplos abaixo você irá precisar trocar “ath0” pelo nome da interface que está especificada para sua placa de rede wireless.
Equipamento usado
Neste tutorial será usado:
- Endereço MAC da placa de rede onde estará rodando o conjunto de ferramentas do aircrack-ng: 00:09:5B:EC:EE:F2;
- Endereço MAC do AP(Access Point), também chamado BSSID: 00:14:6C:7E:40:80;
- Nome da rede wireless, também chamado ESSID: teddy;
- Canal do ponto de acesso: 9
- Interface wireless: ath0
Você deverá presumir que as informações equivalentes para a rede a qual você estará trabalhando estão ativas. Então somente troque o valor nos exemplos abaixo para uma rede específica.
Solução
Visão geral da solução
Aqui estão os passos básicos que faremos:
- Ajuste e certifique-se de que o endereço MAC de sua placa de rede wireless está correto, segundo as informações contidas acima, na seção Equipamentos Usados;
- Inicializar a interface wireless em modo monitor no canal especifico do AP;
- Usar o aireplay-ng para fazer uma autenticação falsa com o AP;
- Usar o aireplay-ng para realizar um ataque chopchop ou de fragmentação para obter os pacotes PRGA;
- Usar o packetforge-ng para criar um pacote arp usando os pacotes PRGA para obtidos no passo anterior;
- Iniciar o airodump-ng em um canal do AP com filtro para bssid para coletar os IV s unicos;
- Injetar pacotes arp criados no passo 5;
- Rodar o aircrack-ng para craquear a chave usando os IV s coletados.
Passo 1 – Certifique-se de que o endereço MAC de sua placa de rede wireless está correto
Para ser honesto, não iremos trocar o endereço MAC da placa de rede wireless.
Este é apenas um lembrete para usar o endereço MAC de sua placa de rede como o MAC de origem dos pacotes. I menciono isto explicitamente no passo 3 para lembrar de usar o seu endereço MAC atual de sua placa de rede wireless ( Passo 3 – Autenticação falsa), se você estiver reenviando dados de uma outra sessão. Detalhes e instruções podem ser encontradas no FAQ: Como trocar o endereço MAC de minha placa de rede Wireless?.
O proposito deste passo é colocar a sua placa de rede wireless no que chamamos de modo monitor. O modo monitor é o modo pelo qual a sua placa wireless pode escutar todos os pacotes que passam pelo ar. Normalmente sua placa wireless desejará somente “ouvir” pacotes endereçados para você. Escutando todos os pacotes, nós poderemos mais tarde capturar o modo “handshack”(como se fosse um “aperto de mãos”). Bem, isto nos permitirá opcionalmente desautenticar um cliente wireless (alguém conectado) em um passo mais tarde.
O procedimento exato para habilitar o modo monitor varia dependendo do driver que você está usando. Para determinar o driver (e o procedimento correto para seguir), execute o seguinte comando:
# airmon-ng
Em uma máquina com placas wireless Ralink, Atheros e uma Broadcom instalada, o sistema responde:
interface Chipset Driver
rausb0 Ralink RT73 rt73 wlan0 Broadcom b43 – [phy0] wifi0 Atheros madwifi-ng ath0 Atheros madwifi-ng VAP (parent: wifi0)
A presença da tag [phy0] no final do nome do driver é um indicador para o driver mac80211. Então a placa de rede wireless está usando o driver mac80211. Note que o driver mac80211 é suportado somente a partir da versão v1.0-rc1 e não funcionará com a versão v.0.9.1.
Ambas entradas das placas wireless Atheros mostram o driver denominado “madwifi-ng”. Siga os passos para montar a placa wireless Atheros com as informações contidas em madwifi-ng-specific (o qual deve ser um arquivo que vem junto com o driver).
Finalmente, a placa de rede wireless Ralink não mostra nenhum destes indicadores. Esta usa o driver ieee80211.
Veja as instruções genéricas para montá-la.
Passo 2 – Inicializar a interface wireless em modo monitor no canal especifico do AP
Entre com o comando abaixo para inicializar a placa de rede wireless no canal 9 em modo monitor:
# airmon-ng start wifi0 9
Obs.: Neste comando nós usamos wifi0 ao invés de nossa interface wireless ath0. Isto porque o driver madwifi-ng está usando wifi0. Para outros drivers, use o nome da interface atual.
O sistema irá responder:
Interface Chipset Driver
wifi0 Atheros madwifi-ng ath0 Atheros madwifi-ng VAP (parent:wifi0) (monitor mode enable)
Você pode notar acima que “ath0” está sendo mostrado que está no modo monitor.
Para confirmar de que a interface está apropriadamente ajustada, entre com o comando “iwconfig”.
O sistema responderá:
lo no wireless extensions. eth0 no wireless extensions. wifi0 no wireless extensions. ath0 IEEE 802.11g ESSID:"" Nickname:"" Mode:Monitor Frequency:2.452 GHz Access Point: 00:09:5B:EC:EE:F2 Bit Rate:0 kb/s Tx-Power:15 dBm Sensitivity=0/3 Retry:off RTS thr:off Fragment thr:off Encryption key:off Power Management:off Link Quality=0/94 Signal level=-98 dBm Noise level=-98 dBm Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0 Tx excessive retries:0 Invalid misc:0 Missed beacon:0
Na resposta acima você pode ver que “ath0” está no modo monitor, com frequência de 2.452GHz
que é o canal 9. O parâmetro “Access Point” mostra o endereço MAC da placa wireless. Somente o
driver “madwifi-ng” mostra o endereço MAC da placa de rede wireless como parâmetro do campo
AP, outros drivers não. Então, tudo está OK. É importante confirmar todas estas informações, as
quais são prioritárias para o procedimento, senão os passos seguintes não poderão funcionar (serem
executados) apropriadamente.
Para escolher a frequência do canal dê uma olhada na Tabela 1 no final deste tutorial.
Dicas de resolução de problemas:
- Se uma outra interface for levantada, diferente de ath0 ( ou diferente da interface que você estiver usando) então pare cada uma delas usando “airmon-ng stop athX” onde X é cada é a numeração para cada interface que você quer parar.
- Em drivers baseados no drivers mac80211 o sistema irá responder conforme abaixo:
Interface Chipset Driver
wlan0 Broadcom 43xx b43 – [phy0]
Para tal interface, use o nome da interface após “modo monitor habilitado em (aqui mon0)” para demais comando, ao invés de sua interface de rede atual.
Passo 3 - Usar o aireplay-ng para fazer uma autenticação falsa com o AP
Este é um passo muito importante.
Para fazer um AP aceitar pacotes, o endereço MAC de origem deverá já está associado. Se o endereço MAC de origem que você estiver injetando não está associado então o AP ignorará os pacotes e sairá com um pacote “DeAuthentication”. Nesta condição não haverá novos pacotes IV s criados por que o AP estará ignorando todos os pacote injetados.
A falta de associação com o AP é a simples e grande razão por que a injeção de pacotes falhou.
Para associar com o AP usando uma autenticação falsa, faça conforma abaixo, digitando na linha de comando de seu console:
# aireplay-ng -1 0 -e teddy -a 00:14:6C:7E:40:80 -h 00:09:5B:EC:EE:F2 ath0
Onde:
- 1 -1 quer dizer autenticação falsa;
- 2 0 quer dizer reassociação em segundos;
- 3 -e teddy é o nome da rede wireless;
- 4 -a 00:14:6C:7E:40:80 é o endereço MAC do AP;
- 5 -h 00:09:5B:EC:EE:F2 é o MAC de nossa placa de rede wireless;
- 6 ath0 é o nome de nossa interface de rede.
Uma associação bem sucedida se parecerá conforme abaixo:
18:18:20 Sending Authentication Request
18:18:20 Authentication successful
18:18:20 Sending Association Request
18:18:20 Association successful
Ou uma outra variação:
#aireplay-ng -1 6000 -o 1 -q 10 -e teddy -a 00:14:6C:7E:40:80 -h 00:09:5B:EC:EE:F2 ath0
Onde:
- 6000 - Reautentica a cada 6000 secondos. O longo periodo também mantem o pacote ativo para ser enviado;
- -o 1 - Envia somente um conjunto de pacotes de cada vez. O padrão são multiplos pacotes porém isto confunde alguns AP.
- -q 10 – Envia pacotes ativos a cada 10 secondos.
Uma associação bem sucedida se parecerá conforme abaixo:
18:22:32 Sending Authentication Request
18:22:32 Authentication successful
18:22:32 Sending Association Request
18:22:32 Association successful
18:22:42 Sending keep-alive packet
18:22:52 Sending keep-alive packet
# and so on.
Here is an example of what a failed authentication looks like:
8:28:02 Sending Authentication Request
18:28:02 Authentication successful
18:28:02 Sending Association Request
18:28:02 Association successful
18:28:02 Got a deauthentication packet!
18:28:05 Sending Authentication Request
18:28:05 Authentication successful
18:28:05 Sending Association Request
18:28:10 Sending Authentication Request
18:28:10 Authentication successful
18:28:10 Sending Association Request
Note a frase “Got a deauthentication packet” e a continua tentativa acima. No prociga para os proximos passos até você ter uma autenticação falsa corretamente sendo executada.
Dica de resolução de problemas:
AINDA EM EDIÇÃO !!
Tabela 1 Wireless Frequencies and Channels ________________________________________________________________________________________ Frequency Channel Number Frequency Channel Number 2.412 GHz 1 2.484 GHz 14 2.417 GHz 2 5.180 GHz 36 2.422 GHz 3 5.200 GHz 40 2.427 GHz 4 5.220 GHz 44 2.432 GHz 5 5.240 GHz 48 2.437 GHz 6 5.260 GHz 52 2.442 GHz 7 5.280 GHz 56 2.447 GHz 8 5.300 GHz 60 2.452 GHz 9 5.320 GHz 64 2.457 GHz 10 5.745 GHz 149 2.462 GHz 11 5.765 GHz 153 2.467 GHz 12 5.785 GHz 157 2.472 GHz 13 5.805 GHz 161 ________________________________________________________________________________________