Logo wlan www. Figura 2. Listado 3. En algunos ca- sos las dos MAC's se diferencian en una unidad, y entonces es la MAC del router la que tenemos que tomar y no la otra. De todos modos, probar dos claves no es mu- cho trabajo para una persona normal y corriente. No obstante, yo he automatizado la tarea en len- guaje C. Puedes echar un vistazo en el Listado 4. El asunto radica en que correctamente. La realidad es, que cuando hake.
Para capturar un paquete de este tipo nadagrama, modulo Y. Capturamos paquetes: usada para proteger el WPA. Para crear tal diccionario algunos se decidie- Como bien sabemos, WPA puede utilizar ron por hacer uso de la siguiente herramienta.
Directamente veo que se ha filtrado y otros 6 cualesquiera. Hay situaciones en que este mtodo no puede ser utilizado: No todo el hardware Wifi lo soporta. Cuando en la red se mezclan equipos de diferentes fabricantes. Pero este no es el caso, y la empresa Orange utiliza este mtodo para generar las claves por defecto para sus routers.
Lo que nos da la WEP en hexadecimal. Con esto es fcil crear un diccionario con todas las posibles contraseas para estas redes.
Las passphrases irn desde 'aaaa' hasta 'zzzz'. A cada una le aplicamos MD5 y guardamos el resultado en un fichero que har de dic-.
Es por este motivo que creemos que estamos viendo la misma direccin. Puede darse la situacin de que esto no sea as, y esto es lo que ha ocurrido. En algunos casos las dos MAC's se diferencian en una unidad, y entonces es la MAC del router la que tenemos que tomar y no la otra.
De todos modos, probar dos claves no es mucho trabajo para una persona normal y corriente. No obstante, yo he automatizado la tarea en lenguaje C. El programa toma como primer parmetro la direccin MAC del punto de acceso y como segundo el nombre del diccionario que deseas crear. Puedes echar un vistazo en el Listado 4. A parte de generar el diccionario me permito imprimir por pantalla la que posiblemente pueda ser la clave correcta sin tener que hacer uso del aircrack -ng.
En cierta ocasin encontr una red de este tipo, pero por desgracia no pude demostrar la veracidad de lo que aqu se va a contar. La cuestin, segn parece, es que a los de ONO no se le ha ocurrido mejor idea que tomar como contrasea por defecto para este tipo de redes, el numero que se encuentra despus de la P de su ESSID restndole 1.
Es decir: Si la red se llama P La clave sera Y entonces lleg nilp0inter y cre otro programa llamado jazzteldecrypter que vena a crear el diccionario con todas las claves posibles para esta clase de redes. En otro lugar se ha dicho que este ltimo nmero el que tomamos como clave , debe ser pasado como parmetro a un programa llamado: Thomson Aplicamos la llave maestra: Pass-Phrase Generator.
Pero, de todos modos, hay quien ha compro-- -- -- -- -- -- -- -- -- -- -- -- bado que este paso no es necesario y que la simple 00 A7 1F 3C 16 9F A7 1F 3C 16 00 9F resta produce la clave adecuada.
Resultado final:. Estas redes suelen encontrarse bastante a menuPero segn parece no era oro todo lo que do, y siguiendo con los colmos de las grandes reluca.
En los foros se vieron comentarios de ideas que tienen las empresas a la hora de prote- gente que afirmaba coincidir con esta solucin, ger a sus clientes, pues aqu tenemos otra ms, con la nica diferencia de que al ltimo par hexay de las gordas.
Esto meLas ultra-mega-secretas claves de aquellas rece una explicacin. La realidad es, que cuando wifi's que poseen este ESSID son una recom- realizamos una captura de paquetes, podemos. WPA no se puede romper de momento. Y aunque haya empezado con una afirmacin tan contundente, no desesperes.
El asunto radica en que no todas las redes protegidas con el algoritmo WPA utilizan contraseas realmente seguras ni, lo que es peor todava, aleatorias.
A partir de aqu perseguiremos una consigna: Si puedes encontrar un patrn, puedes encontrar una clave. Pero para poder testear claves contra este tipo de cifrado, s que hay algo que precisaremos obligatoriamente: El tan nombrado handshake. Este no es ni ms ni menos que el proceso de conexin de un cliente con el punto de acceso.
Para capturar un paquete de este tipo nada ms que debemos esperar con airodump -ng a que un cliente autorizado se asocie correctamente al router. Pero la gente a veces no tiene paciencia y entonces echan mano de aireplay -ng. Pues ejecutando un ataque de desautentificacin. Capturamos paquetes: arbitrario o denegacin de servicio en X programa, modulo Y. Pero no! Un ataque basado en la misma tcnica que volvi obsoleto al WEP ataque conocido como chopchop ha permitido que se pueda descifrar un paquete de tipo ARP en menos de 15 minutos, independientemente de la contrasea usada para proteger el WPA.
Las posibilidades a da de quetes de ese punto de acceso, cuando un cliente hoy son la de inyectar paquetes para provocar reconecte, arriba a la derecha veremos la frase: una denegacin de servicio o incluso redirigir el trfico que no es poco a decir verdad.
A partir de aqu se decidi que, como siempre, lo principal era crear un diccionario con todas las posibilidades. Como se puede deducir los que empiezan por la raz IX1V7 tardan una dcima parte en crearse que los que empiezan por IX1V aunque este ltimo abarca todas las posibilidades, siempre que lo que siga sean dgitos y no otros caracteres. Para crear tal diccionario algunos se decidieron por hacer uso de la siguiente herramienta. Podis descargarla desde la siguiente referencia [7].
El truco est en repetir el ataque 2 de forma inter- Todo fue como una especie de proyecto para mitente, para dar tiempo a reconectar al cliente. El objetivo era, como siempre, sacar TKIP el patrn que las generaba. Bueno, no me detendr a contaros toda la histoLuego empezaron a aparecer suposiciones: ria, dado que aqu [6] la comprenderis sin duda al detalle. De esto me enter por primera vez, Los unos dijeron que sus contraseas emtranquilo en mi trabajo, cuando suena la campapezaban por la cadena IX1V seguido de nilla de mi gestor de correo avisndome de que 7 dgitos cualesquiera.
Directamente veo que se ha filtrado y otros 6 cualesquiera. Quizs una nueva actualizacin de los Sea como fuere, ms adelante se descubri que productos de Bill, tal vez nuevos paquetes dis- los del segundo grupo haban adquirido el router, ponibles para SuSE, o una ejecucin de cdigo absolutamente todos ellos, durante el ao Como es habitual, este diccionario puede ser utilizado directamente con la opcin -w de aircrack; pero este proceso es muy lento, apenas prueba unos cientos de claves por segundo.
Pero entonces apareci el programa Cowpatty acompaado de la utilidad genpmk. Esta ltima se encarga de pasar el listado de claves posibles que generamos en el paso anterior a un formato que pueda entender su amigo Cowpatty con las primary master key ya precalculadas. Lo mejor de todo es que a medida que vas generando el nuevo diccionario precalculado, lo puedes ir testeando contra un archivo de capturas que al menos contenga un handshake. Probar tantas claves como las que hayan sido generadas hasta el momento, en caso de tenerlas todas, claro est, pues probar el diccionario entero.
A qu velocidad? Yo llegu a rondar las Ah es nada. Mi prueba personal, que cuando genpmk ya haba generado desde la clave IXV hasta la IXV lo prob contra el archivo de capturas y me dijo que ninguna de ellas coincida. Como el proceso de generacin del diccionario lleva unas cuantas horas aun sobre un Core 2 Duo Pero no haba que desesperar, estamos en el ao , es decir, que muchos de los routers que se encuentran hoy activos han sido adquiridos en el Siguiendo esta filosofa pens que quizs la raz de sus claves comenzaran por IX1V8.
Y no esper ms, cre el diccionario correspondiente para estas combinaciones de claves. Se aplica el algoritmo SHA-1 a lo que te- menos comentaron quienes tuvieron la genial namos: idea de hacer caso a esta gente. Si yo tengo f8a3d0 un punto de acceso de la marca LiveBox y s su contrasea por defecto, me hago un diccionario Resultados: enorme con cdigos aleatorios, entremedias introduzco mi clave correcta, y si lo pruebo Los 3 ltimos bytes 6 caracteres en AS- contra un archivo de capturas est claro que en CII se aaden a la palabra SpeedTouch algn momento le tocar el turno a la nuestra y para formar el ESSID correspondiente al aircrack -ng nos dir que hemos acertado de punto de acceso.
Siento la decepcin, pero hasta el momento, SpeedTouchF8A3D0 Los 5 primeros bytes 10 caracteres en AS- y a la espera de estudios ms profundos, estas reCII conforman la clave por defecto para des se encuentran cerradas a nuestros encantos. En este caso no existe un patrn concreto, pero si una norma; y es que la clave se genera a partir del numero de serie que posea el punto de acceso. Ahora nos explicamos. Imagnese usted que el nmero de serie de su punto de acceso es el siguiente: CPJT Pues de momento, y sintindolo mucho, no Para obtener la clave se sigue ahora este pasa nada.
El caso es que unos franceses colproceso: garon en Youtube [8] unos cuantos videos que mostraban como romper estas claves utilizando Se eliminan los campos 'CC' Y 'PP', nos un diccionario del mismo modo que se haba queda: hecho para las redes Tele2. CP Claro, la cuestin es que slo ellos posean Los 3 ltimos dgitos XXX se pasan a he- tal diccionario y lo vendan a saber qu precio xadecimal: en una pgina que aqu no mostrar por cues CP tiones ticas que era un timo vamos, o eso al.
Hasta aqu todo correcto. Si obtenemos un nmero de serie, podemos calcular su contrasea. Pero esta situacin es rara a menos que estemos analizando nuestra propia red o la de algn vecino que nos haya dado permiso.
El objetivo es crear todos los nmeros de serie posibles para un ao en concreto sin los campos 'CC' Y 'PP' y, despus de pasarlo por el algoritmo de cifrado SHA-1, se comparan los 3 ltimos bytes con la terminacin de la ESSID nombre de la red que deseamos romper. Caso de coincidir, significa que los primeros 5 bytes se corresponden con la clave por defecto para la red SpeedTouch. Por suerte, alguien ya ha hecho este trabajo por nosotros, y el resultado lo podemos encontrar aqu y el cdigo fuente para su estudio en este otro lugar.
En realidad es un ataque por fuerza bruta que en principio no dura demasiado tiempo muy poco en realidad y, segn su autor, se puede optimizar si utilizamos las funciones criptogrficas proporcionadas por OpenSSL para el uso de SHA Multitud de veces nos encontramos con redes cuyo ESSID aparece como oculto y nos impide realizar la conexin a esa red aun disponiendo de la clave adecuada a la misma.
Hoy por hoy esto no ser un impedimento para nosotros. El estandar Qu paquetes de control? Hay quien se encarga de deshabilitar esta caracterstica en sus puntos de acceso; pero tenemos ms salidas, ya que nadie puede impedir que leamos los paquetes de asociacin o reasociacin de los clientes contra la red. En estas tramas el nombre del AP tambin viaja sin cifrar. Una de dos: Podemos esperar pasivamente a que un cliente legtimo se conecte a la red.
O si somos un poco mas impacientes provocar una reasociacin con aireplay en un ataque de des-autenticacin. En realidad no tienes ms que poner tu sniffer preferido a escuchar aqu Wireshark puede ser tu mejor compaa y saber leer en el lugar adecuado. Una vez que te acostumbras a leer las cabeceras de todos los protcolos, tus ojos sabrn de forma exacta donde deben mirar.
Has descubierto la contrasea de una red protegida con el algoritmo WPA y te dispones a asociarte a la red; pero tu conexin no llega a establecerse e incluso desde tu MacBook recibes un mensaje ms especfico indicando que la red posee una lista de control de acceso por MAC en la que tu direccin no se encuentra. En resumen, no puedes entrar porque no estas autorizado.
Eso ya no es problema a estas alturas: Qu tal se te da hacerte pasar por otra persona? Esta es la ventaja que aprovecharemos para hacerle creer a nuestro Sistema Operativo que la MAC de nuestra tarjeta es la de un usuario que si este realmente autorizado.
Deberas tener la MAC de este cliente autorizado puesto que si has conseguido una contrasea WPA, habrs estado esperando por un paquete de autentificacin y por tanto hay un cliente activo. En caso contrario no tienes ms que arrancar el airodump -ng filtrando por el canal de la red que deseas y el parmetro --bssid. Cuando veas que un cliente mueve trfico en esa red, apunta su direccin MAC en un papel o en un archivo de texto.
Existe una funcin que se encarga de leer esta direccin, su nombre es NdisReadNetworkAddress. Para que tus cambios surjan efecto no tienes ms que reiniciar el PC o, ms fcil todava, deshabilitar y volver a habilitar tu adaptador de red interfaz. Y por lo dems no tiene ms ciencia, el resultado se guardar en un archivo decap y podremos abrirlo con nuestro analizador de trfico preferido, filtrando si as lo deseamos por el protocolo que ms nos interese.
Si tienes una tarjeta con chip atheros y la direccin que has apuntado en el papel es: B3: A9:CA:5F Utiliza un programa como Smac [9] que har todo el trabajo sucio por ti, o editas directamente el Registro de Windows. Bien, muchas veces no despejamos nuestra mente y no pensamos con suficiente claridad. Acabamos de entrar en una red, y lo primero que se nos ocurre es que para encontrar ms informacin interna quizs lo mejor sea utilizar un ataque Man in The Middle, pero esto, visto de forma fra, es ser corto de miras.
Por qu? Como siempre, la respuesta es fcil. El objetivo de un ataque MITM es obtener un trfico que en principio no iba dirigido a nosotros. No es esto lo que ocurre cuando con airodump -ng capturamos los paquetes que estn moviendo los clientes de esa misma red? La respuesta es afirmativa, claro est, y adems, tenemos una clave que puede descifrar esos paquetes para que nuestro amigo Wireshark no diga que lo que le mandamos abrir es una parafernalia sin sentido alguno.
SlideShare uses cookies to improve functionality and performance, and to provide you with relevant advertising. If you continue browsing the site, you agree to the use of cookies on this website. See our User Agreement and Privacy Policy. See our Privacy Policy and User Agreement for details. Create your free account to read unlimited documents. The SlideShare family just got bigger.
Home Explore Login Signup. Successfully reported this slideshow. We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime. Next SlideShares. You are reading a preview. Create your free account to continue reading.
Sign Up. Upcoming SlideShare. What to Upload to SlideShare. Embed Size px. Start on.
0コメント