Hacking wireless by Alberto García

Hacking Wireless Seguridad de los cifrados WEP, WPA y WPA2 Producido, dirigido e interpretado por Alberto García

Punto de partida Tipos de cifrado de las redes wifi. Compatibilidad de dichos cifrados con los adaptadores wireless. Seguridad de cada uno de los cifrados.

Requisitos previos Adaptador wireless cuyo chipset entre en modo monitor (no confundir con modo promiscuo) Suite Aircrack-ng, Jazzteldecrypter, Wlandecrypter y Karmetasploit La mayoria de dichas herramientas se encuentran en BT4, Wifislax o Wifiway

Cifrado WEP Cifrado inseguro Todos los adaptadores lo soportan Aún muy utilizado por los usuarios

Restr. MAC y DHCP desact. No son medidas de seguridad eficaces La restricción de MAC: solo permite autenticarse a un usuario con una MAC concreta DHCP desactivado: hay que introducir los datos de IP, gateway, DNS… manualmente

Bypass restr. MAC Tan sencillo como utilizar la de un usuario autenticado y cambiarnos la nuestra con macchanger:

Bypass DHCP desactivado Capturamos el tráfico que pasa por el AP con Wireshark para ver alguna IP local de un cliente autenticado. Cambiamos nuestra IP a la autenticada NOTA: dos usuarios pueden tener la misma MAC pero no la misma IP

Cifrado WPA Cifrado seguro La mayoría de los adaptadores la soportan aunque no algunos antiguos Cada vez más utilizado (aunque no bien utilizado)

Optimización del tiempo Muy importante ahorrar tiempo en el proceso de verificación de la seguridad del AP a auditar

Let´s go Ponemos nuestro adaptador en modo monitor:

Capturando paquetes Utilizamos airodump-ng para capturar paquetes

Filtrando y guardando Filtramos el AP a auditar con los comandos: --bssid: Bssid del AP -c :canal en el que emite el AP Guardamos los paquetes: -w

Wlandecrypter & Jazzteldecrypter Crea diccionarios con los passwords por defecto de los APs en función de su ESSID Y BSSID (fuerza bruta) Basta con capturar 4 datas para proceder al cracking

Aircrack-ng Crackeador de contraseñas. – w para cargar diccionario

Optimizacion del tiempo Muy importante ahorrar tiempo en el proceso de verificación de la seguridad del AP a auditar

Wep: a3+a0, ¡hay cliente! Comprobamos que hay clientes autenticados

. . . Inyectamos tráfico para aumentar los ivs/seg ya que necesitamos cerca de 100.000 y recordad… optimización del tiempo .

. . . Como tarda en inyectar y no queremos perder el tiempo, (si, siempre con el maldito tiempo) lanzamos un ataque de desautenticación para forzar a inyectar cuando el cliente se reconecte al AP. Podemos lanzarlo contra todos los clientes o solo contra alguno en concreto (-c)

Aplicamos aircrack a la captura Cuando tengamos cerca de 70000 podemos probar si tenemos la contraseña. ¿Aircrack-ng VS Aircrack-ptw?

WEP: A1 + a3 ¡no hay cliente! Si no hay clientes conectados al AP lo que haremos será una falsa autentificación y posterior inyección. Recomendable cambiarnos la MAC a una fácil de recordar: macchanger –m 00:11:22:33:44:55 wlan0 Si no conseguimos autentificarnos es bueno bajar el rate para tener mayor alcance: iwconfig wlan0 rate 1M

. . . Esperemos a que se produzca la inyección de paquetes y veremos como los datas empiezan a subir. Cuando tengamos los suficientes datas simplemente utilizamos el aircrack-ng/ptw para obtener la contraseña Este proceso puede durar desde minutos hasta horas .

¿“Hasta HORAS” ? ¿Horas? ¿Y qué pasa con eso de optimizar el tiempo? Ahí es donde intervienen los ataques chopchop y fragmentación

WEP: Fragmentacion Aireplay-ng -5 –b MAC_AP –h NUESTRA_MAC wlan0

After frag & chop Una vez que ya tenemos el archivo XOR resultante creamos con packetforge un archivo ARP que inyectaremos packetforge-ng -0 -a MAC_VICTIMA -h 00:11:22:33:44:55 -k 255.255.255.255 -l 255.255.255.255.255 -y XOR.xor -w arp

Inyectando arp “artesano” Ahora que ya tenemos el arp “artesano” lo inyectaremos con la opción -2 de aireplay-ng

WPA: Tkiptun-ng Tkiptun-ng es una utilidad experimental que intenta romper el cifrado WPA con encriptación TKIP (más usual) Se captura handshake pero no es necesario, solo se utiliza por razones de depuración Requisitos: Tanto AP como adaptador deben tener activado el QoS Bastante tiempo de reinyección (sobre 1 hora)

WPA & WPA2 Se debe romper por fuerza bruta. (diccionario) Su seguridad depende del usuario (contraseña robusta) No se deben capturar muchos datas sino solo uno: el handshake (ó apretón de manos) Se necesita que haya un cliente autentificado Hay avances en la forma de ejecutar el ataque por fuerza bruta

How to: wpa&wpa2 El handshake solo se produce cuando el cliente legítimo se conecta al AP. Por tano lo podemos obtener de dos formas: Esperando a que se autentique (esté o no ya autenticado) Forzándolo mediante un ataque de desautentificación Una vez conseguido procederemos al ataque por diccionario

Hacking WPA using GPU Para conseguir un mayor ratio de pass/segundo podemos utilizar la GPU de nustras targetas gráficas. Ejemplos: Pyrit, Elcomsoft…

Phising wireless Otra de las formas para poder conseguir la contraseña tanto WEP como WPA/2 es mediante el phising al AP. Crearíamos un AP falso del mismo nombre y características que el auditado con airbase-ng Realizar un ataque DoS contra el AP infinitas veces (aireplay-ng -0 0 –a MAC_AP wlan0) La víctima se conectaría a nuestro AP fake al no poder conectarse al suyo debido a los múltiples envíos de desautentificación a su AP Nos enviaría la contraseña en texto plano

Hacking wireless by Alberto García

Más contenido relacionado

La actualidad más candente (20)

Destacado (7)

Similar a Hacking wireless by Alberto García (20)

Hacking wireless by Alberto García