Aircrack en BackTrack-5 con un Compaq mini

21 03 2012

A primeros de septiembre del año pasado ya os posteé una noticia sobre mis tejemanejes cuando logré instalar ubuntu y los compat-wireless necesarios para poder usar el aircrack-ng y familia.
http://grutazone.blogspot.com.es/2011/09/wardriving-usando-compaq-mini-con-un.html

En aquel entonces también os hablé de la suite wepcrack que aunába todas las herramientas necesarias para un ataque más o menos completo.

Ya sabemos que Ubuntu no nos dió ningún problema, por defecto al menos ya tenemos ese entorno. De hecho, añadir que para Ubuntu ahora han sacado una utility para instalar una partición de Ubuntu sin necesidad de descargar isos ni nada parecido. Desde utilidad. Se llama WUBI y os animo a probarla.

También completar el trabajo anterior sobre Ubuntu, informando de otra suite de gran riqueza gráfica para el aircrack-ng, aircrackGUI-M4 y funciona 100% sobre Ubuntu instalado. Mucho más completa que el anterior wepcrack.
😉

Bien, ahora daremos otro paso más.

He logrado instalar una distro diferente de ubuntu (de hecho he logrado configurar cualquier distro de linux) sobre el netbook más capado del mercado… es decir, el compaq mini. El secreto para poder lograrlo ha sido abandoner las herramientas más famosas por defecto (unetbooting, etc… ) y tirar con Universal USB Instaler V.1.8.8.8 (web oficial http://www.pendriveapps.com/).
Ha sido el único programa que me ha dejado configurar un USB de arranque que haya funcionado después en el netbook indicado.
 

Y bueno, ya que estábamos, he probado con la mejor distro para auditoría que existe, la BackTrack. Actualmente ya andan por la release 5.2 por lo que he aprovechado para tirar de su versión de 32 bits con Gnome para probarla. 🙂

También he aprovechado para probar con un pincho diferente del Realtek anterior. He probado con un TP-Link, modelo TL-WN722N, con su antenita y todo (aprox 150 Mbps, supuestamente).

  

Bien, ahora el reto estaba en probar las armas de ataque en otro entorno más dedicado para estas labores. Por ejemplo, el Backtrack-5 ya comentado.

 Una vez instalado desde el USB sobre una particioncilla de unos 30-40 Gb, entramos como en cualquier BackTrack, … login: root, Password: toor, … y abrimos el escritorio con “startx”.

Una vez dentro, vamos a probar a romper una simple WEP.

Para ello usamos la suite Girix, dentro de exploitation tools.

Lo primero en configuración revisamos si tenemos las interfaces deseadas, esto es, en mi caso, para la TP-link, busco un chipset de Atheros y como es de imaginar, si no tengo más usbs conectadas, le tocará el wlan1 (el wlan0 corresponde a la tarjeta wifi del propio netbook).
La marcamos y pulsamos sobre Enable Monitor.
Una vez marcado, pulsaremos sobre un Scan de networks a ver que sale. 🙂 

Bien, salen un monton (al final resulta que también es un buen USB este TP-link de 15 leuros), … marcamos una de encoding WEP y nos vamos a la pestaña de WEP.

Pulsamos sobre start sniffing & logging y vemos.

Podemos observar que hay movimiento de datos y que además hay varios dispositivos en la red, lo que nos permite imaginar que se está usando y tiene clientes activos. En este caso podremos hacer uso de un par de ataques predefinidos muy buenos.
Lo primero será autentificarnos en la red (falsamente) para que nos permita injectar solicitudes de datos y paquetes basura en la red. Esto generará más tráfico y nos permitirá recibir muchos más paquetes de control con claves incorporadas (IVs) y así poder usarlos en la batería de cracking del aircrack.

Bien, este es el aspecto del escritorio una vez lanzados los dos ataques (airplays). Una vez superemos los 10000 paquetes de datos podemos lanzar el aircrack para que vaya emparejando IVs y vaya calculando la clave. Lo que precisa son muchos IVs y para ello, no hay más que meter y meter mucho tráfico de datos en la red. 
En menos de 10 minutos (con algo más de 10000 IVs) hemos logrado encontrar la clave !!  🙂
 La suite también te permite salvaguardar las redes y sus claves, para así archivar el resultado. 🙂
Otra cosa son los ficheros temporales generados. Es recomendable que al comienzo de cada sesión, en la pestaña de configuración pulsar sobre un clean de datos de sesión anteriores, para así limpiar los archivos temporales.
Bien, con esto hemos probado a romper una WEP con clientes activos. Comentaros que la herramienta permite ataques sobre redes sin clientes activos (donde nos tendremos que generar un paquete de control ficticio y replicarlo nmil veces 🙂 ), .. y también nos permite romper WPAs, etc… 
Para concluir, aprovecho para añadir solo dos cosas más: 
(1) os recomiendo también que os instruyáis en el uso de las herramientas en línea de comandos (abandonando las suites dedicadas) para que podáis optar a toda la potencia del aircrack-ng (creo recordar que en el post de septiembre comenté por encima las herramientas y sus opciones más comunes). http://grutazone.blogspot.com.es/2011/09/wardriving-usando-compaq-mini-con-un.html
(2) para pruebas de auditoría de este tipo es más recomendable usar una distro más dedicada para estos temas como es WIFIWAY en vez de BACKTRACK, ya que esta última es mucho más completa en opciones para HACking y puede que muchos de vosotros no tengáis la intención de usarlas, etc…
En otra ocasión probaremos con el WifiWay. 🙂
David Almodovar, como verás he logrado reproducir la labor del laptop de esta tarde pero sobre mi netbook del compaq mini, y esta vez he roto la WEP en menos de 8 minutos. No entiendo que problema teníamos esta tarde pero te animo a que lances unas pruebas en tu hogar y me reportes una media de tiempos con el Girix (o que cualquiera de las anteriores wepcrack, aircrackGUI-M4, etc…). 

Xao.!!!

Anuncios




Aircrack-ng en Ubuntu ‘fixed channel mon0: -1’

17 03 2012
Polski: Ubuntu Ekran Startowy
Image via Wikipedia

Tras instalar Ubuntu 11.10 en el netbook, instalé la suite de Aircrak, y al hacer uso del airodump-ng (lanzando órdenes de autentificación, etc…) me sale el mensajito de que me aparece ‘fixed channel mon0: -1’… y otros parecidos de canal negativo.

El problema estaba en las compat-wireless, unas librerias que hay que actualizar y parchear.
Al intentar compilarlas me salieron también errores al momento de compilar los drivers, esto debido a la version del núcleo de mi versión de ubuntu.

Finalmente, la solución que me dió buenos resultados fué la siguiente:

sudo apt-get install linux-headers-$(uname -r)

Después, van a http://wireless.kernel.org/en/users/Download/stable/ y bajan el paquete correspondiente a la versión de su núcleo y lo guardan en la raíz de su carpeta personal. luego, ejecutan

tar -jxf compat-wireless-2.
cd compat-wireless-2
wget http://patches.aircrack-ng.org/channel-negative-one-maxim.patch
sudo apt-get install patch
patch ./net/wireless/chan.c channel-negative-one-maxim.patch
make
sudo make install
sudo make unload
sudo reboot





PSARC y el límite de los 4Gb en FAT32

16 11 2011

Mira por donde, he vuelto a pillar algo de tiempo libre, un poco, y me he propuesto jugar a algun juego de PS3 para tener la mente en otras cosas. Me acordé de que hace poco jugué al Uncharted y que me había gustado tanto que me he propuesto jugar toda la saga.

Mi sorpresa fué cuando me encuentro que de repente no puedo copiar el Uncharted 2 al disco externo que manejo con todos los juegos de PS3, por estar formateado a FAT32 y el juego disponer de un archivo de más de 4 Gb !!

Me propuse investigar algunas opciones que hay en el mercado (libre por supuesto) y mi sorpresa fué que hay un buen batiburrillo de herramientas para “cortar y pegar”. Pues bien, ninguna me llegó a funcionar 100%.

Con todas, el proceso y el resultado eran siempre los mismos, primero descargas el juego (eso ya lo tenía hecho ;)), después seleccionas el archivo “gordo” que te anula la copia, lo trozeas. Después copias los trozos finales al disco externo. Lo cargas con Multiman o OpenManager, y le das a copiar al disco interno (operación que conlleva una “union” de los archivos troceados) y finalmente… nada… siempre veía la pantalla de inicio con la misteriosa daga dando vueltas en la parte de abajo… snif, snif… 

Spli&Concat, OpenSplit, MacHacha, etc…
Con cada intento, mis ganas de romper el problema crecían… ya me conocéis… 🙂

Comenzaba a vislumbrar tener que formatear el disco a NTFS y olvidarme de los más de 200Gb que tengo de juegos ahora mismo… :/

Al final, no hay nada como conocer un poco en que consisten estos archivos *.PSARC tan “gordos”.

Resulta que son un mix de SONY, exclusivos de PS3 para agrupar el directorio de recursos comprimido, es decir, un agrupado y comprimido de la libreria de recursos de uso para el juego.
Una vez descomprimido tenemos, un empaquetado de las escenas, videos, imagenes, sonidos, etc…

Pues bien, la solución fue esa.
Desempaquetar/Descomprimir el pak22.psarc en su arbol de carpetas y contenidos que tiene.
Una vez descomprimido ya si pude mover al disco externo y ejecutarlo directamente desde allí, sin tener que pasarlo al interno de la PS3. Fantástico.

Os dejo un trozo del comentario del proceso explicado en logic-sunrise:
(traducido de logic-sunrise)

Un miembro de psx-scene, ha revelado un método para poder iniciar juegos con archivos de más de 4gb en tu disco duro externo formateado en FAT32. De hecho, algunos juegos de PS3 (como Uncharted II), poseen uno o más archivos con tamaños superiores a 4gb, imposible, hasta ahora, de manejar con particiones FAT32.Para poder correr estos juegos era necesario instalar el juego en el HDD interno vía FTP o Comgenie filemanager.
El autor explica que por medio de éste nuevo método, ha sido capaz de instalr Uncharted II en el disco duro externo.

Instalación:
1) Bajar PSARC.zip y descomprimirlo.
2) Buscar los archivos superiores a 4gb del juego a utilizar, por ejemlo, en Uncharted 2 podemos encontrar PS3_GAME \ USRDIR \ build \ main \ pak22.psarc (5,596,444,529 byte)
3) Copiar el archivo de más de 4gb (pak22.psarc en el caso de Uncharted2) a la carpeta PsARC (que contiene zlib.net.dll y PSARC.exe, los cuales los encontrarmos en el archivo adjunto).
4) Arrastrar el archivo y depositar pak22.psarc sobre PSARC.exe (presente en el zip adjuntado).
5) Copiar la carpeta que contiene los archivos pak22 extraidos a \ PS3_GAME \ USRDIR \ build \ main \.
6) Borrar el antiguo pak22.psarc
7) Copiar el juego en la carpeta GAMEZ de tu HDD externo y ejecutar el juego desde BackupManager.

Descarga archivo: http://www.logic-sunrise.com/news-14395 … fat32.html

– Puede que no funcione en windows de 64bits.
– Si no te funciona arrastrando el archivo, prueba a correr PSARC.exe desde CMD. Leer el TXT con las opciones desde linea de comandos.

En fin, que tras pelearme mucho con la ejecución de juegos PS3 con archivos supertochos (>4Gb) al final he conseguido superar la daga misteriosa. Lo confirmo…. Funciona !!!!!
🙂

NOTA: esta noche es mi tercera noche jugando y muy probablemente acabe, por lo que pronostico que para este finde tendré que instalar el 3. jeje

Un Saludo.





jailbreak tethered iOS 5

20 10 2011

12809 trnsFeatured Guía jailbreak iOS 5 final en iPhone, iPad y iPod touch con RedSn0w

Acaba de llegar oficialmente iOS 5 al mercado y tal y como ya sabíamos, la posibilidad de jailbreak estaba en el aire gracias a redsn0w como pudimos comprobar con las versiones de desarrollador. En esta ocasión sólo se dispone de la posibilidad de jailbreak tethered, es decir, requerimos un ordenador para poder arrancar nuestro dispositivo en modo jailbreak.

La versión untethered está de camino y según 1onic y Chronic Dev Team, llegará de manera inminente, pero mientras tanto, podrás disfrutar de jailbreak en tu iPhone 4, iPhone 3GS, iPod touch 3G y 4G, iPad  de manera sencilla siguiendo nuestra guía paso a paso:

Guía jailbreak iOS 5 final en iPhone, iPad y iPod touch con RedSn0w





PSP 6.39 hacked CFW PRO-B9

5 10 2011

Como no podía ser de otra forma, si tengo la PS3 hackeada… como es posible que todavía no hubiera liberado mi PSP ¿? ….
Manos a la obra.

Primero os enumeraré los pasos a seguir:

– poseer una PSP con el firmware 6.39 (si tenéis firmware inferior, actualizad primero). Revisarlo en el menu de información del sistema.

– descargarnos el CFW PRO-b9 para 6.39 (después incluyo un video explicativo con enlaces, etc….)

– enchufar en modo USB la PSP al PC y crearnos una carpeta en el raiz llamada ISO

– descomprimir el contenido del CFW sobre el raiz de la PSP. (si os pide confirmación de sobrescritura decid SI).

– copiar algun juego (ISOo CSO) en la carpeta que habéis creado. (yo me copié el FIFA 12)  🙂

– quitar el dispositivo del usb y revisar la carpeta de juegos del memory-stick.

– ejecutad el PRO-update.

 
– Al menu que salga dadle a “X” y finalmente, cuando acabe, otra vez a “X” para salir al sistema principal.

– ahora revisad el firmware y comprobad que está ya “customizado” !!!!    ha de poner 6.39 PRO-B9  enhorabuena 😉

– ya podéis ejecutar juegos ISO/CSO descargados en la carpeta que creásteis al principio. Yo me echaré algunos partiditos…

– Tras un hard-reset del aparato o un cambio de bateria, etc…  puede verse inicializado el firmware, de vuelta al 6.39. En estos casos bastará con que ejecutéis el PRO fast-recovery, que hace lo mismo que el UPDATE pero más rápido, sin menus ni esperas.

Con este custom firmware podréis jugar a multitud de juegos (tambien de PSone y tambien en modo Homebrow)… además dispondréis de un menu de opciones alternativo para hacer cheats, configuraciones, etc… (dándole al SELECT durante la navegación por el XMB principal).

Lo dicho, os paso un video-tutorial muy bien currado sobre este tema:

Ale, a disfrutar!!
😉





Android Hacking Wifi

2 10 2011

PulWifi

Acaba de caer en mis manos una aplicación reciente llamada PulWifi.
Es una aplicación gratuita para Android que muestra las contraseñas por defecto de algunos puntos de acceso wifi.
Algo parecido a la aplicación iWep del iphone, pero esta aplicacion está en el Android-Market, sin bloqueo de distribución.
Disponible en Español e Inglés, soporta las siguientes redes: WLAN_XXXX, JAZZTEL_XXXX, WLANXXXXXX, YACOMXXXXXX, WIFIXXXXXX, algunas WLAN_XX y algunos routers Huawei.

En las imagenes de arriba son ejemplos del uso del PulWifi en el Xperia X8 de mi mujer (ahora ya está en el mercado el X10).

Router Passwords

Otra aplicación que incluye una base de datos que contiene las credenciales por defecto para cientos de dispositivos de red. 
Esta es la herramienta ideal para alguien que necesita para manejar múltiples dispositivos de red.
Sólo tienes que escribir la marca / modelo del dispositivo para filtrar los títulos.

AnTi: Android Network Toolkit

El israelí Itzhak Avraham alias Zuk y su empresa de seguridad Zimperium han dado a conocer en la Defcon una aplicación para Android capaz de hackear los equipos de su entorno de forma muy sencilla “simplemente pulsando unos pocos botones”.

Se trata de Anti o Android Network Toolkit y tienen previsto ofrecerla gratuitamente en el Market de Android en los próximos días, con una actualización de tan sólo 10$ para empresas.

Anti es una aplicación diseñada para pruebas de intrusión a través de smartphones, viene con una herramienta de escaneo wi-fi para encontrar redes abiertas y equipos, así como un traceroute que puede revelar las direcciones IP de los servidores remotos.

Cuando un objetivo se identifica, la aplicación ofrece un sencillo menú con comandos como “man-in-the-middle” para la captura de tráfico, “connect” y “espiar” como lo haría un troyano, o incluso “atacar” capaz de ejecutar exploits recogidos en plataformas como Metasploit o ExploitDB.

La gente puede usarlo de forma peligrosa” dice Avraham encogiéndose de hombros. “Realmente espero que no. Pero sé que podría ser un riesgo a cambio de ayudar a las personas a aumentar su seguridad, y esa es nuestra meta.”





Fuentes: http://www.appbrain.com, http://hackplayers.blogspot.com,





Wardriving usando Compaq mini con un pincho-wifi

7 09 2011

Al fin lo he conseguido.

He logrado configurar el netbook HP Compaq mini 701ES de mi cuñada para que monitoree e injecte paquetes en redes wifi con el fin de poder hacer uso de internet, ese gran bien que debería ser de todos. Yo me pago mi internet, así que espero que esta redacción solo sirva para instruir no para que la sigáis… al menos no sin la supervisión de alguno de vuestros padres.;)

Este netbook (como muchos otros) trae una WLAN 802.11b/g y para ella los driver que tiran son de Broadcom. El problema viene cuando se intenta utilizar para injectar paquetes. No puedes.

Decidí pillarme un pincho wifi, por 12 leuros, un D-link DWA-125, … un modelo decentillo y estuve probando y tampoco, nada.

Lo estuve probando en windows, mac, y por supuesto, decidí que debía ser linux.
Intentando con multitud de distros especializadas en auditoria de seguridad (sifislax, wifiway, backtrack, ubuntu, etc…), configurando mil opciones, bajando drivers y probando diversos fuentes, etc… y nada de nada.

http://www.ubuntu.com/

Terminé pensando que los fabricantes publican los drivers para las placas pero sin todas las puertas abiertas, es decir, no te lo van a poner tan fácil para el pirateo.. no?
De modo que me puse a compilar fuentes para sacarle brillo a los drivers “capados”.Incluso llegué a probar con Debian a fuego… y casi… me lié con las opciones y tenía sueño… 🙂

En fin, maldije a HP y a broadcom, y de paso a China, que es de donde venía todo. 🙂

Tras unos meses ya casi lo había olvidado todo (Fati, perdona por la espera) cuando escuche que ya había salido la 11.04 beta de Ubuntu (Natty) y me dije, porqué no… voy a probar. De hecho, recuerdo que la dificultad de estos drivers, tanto los de Broadcom como los de RT del D-link no podían haber pasado por alto en las revisiones de esta distro… digo yo.

Instalé una partición pequeñita para linux y adelante. Bueno, pues bingo!!!.
La D-link DWA-125 a la primera!! me deja ponerla en modo monitor y cuando me puse a lanzar paquetes, … voila!! injectando que es gerundio!!! … me puse como loco a probar todas las herramientas del aircrack-ng. Todas funcionan a la perfección!!

En una de las versiones que probé anteriormente con Debian, logré injectar y monitorizar con la broadcom interna pero se me quedaba colgado el netbook… supongo que los driver b43 / bcm … no podían hacer mucho con la tarjeta, sin embargo el pincho ha ido como la seda. 
Por lo tanto he deducido finalmente que la solución para los netbooks con tarjetas parecidas, en las que los fabricantes han decidido ponerlo dificil… es, efectivamente no usar dichas tarjetas para la injección y pillarse un pincho por 12 leuros e instalar Natty. PUNTO. a disfrutar!!!
🙂

Para mi trabajar a nivel de comandos es fácil pero para terceros no tiene porque ser así, de modo que he descargado una versión GUI de la suite aircrack-ng y de maravilla.

Os dejo algunos pantallazos y al final un resumen de la utilidad.
Por cierto, tardé 5 minutos en romper una WEP…  😉

En línea de comando vía terminal, al estilo “hacker”, …

Usando GUI, al estilo “usuario”, …

El siguiente resumen de comandos está extraido de 

http://www.seguridadwireless.net/hwagm/manual-aircrack-ng-castellano.html





aircrack-ng
aircrack-ng [opciones]

Los archivo(s) de captura pueden estar en formato cap o ivs.
-a
amode
Fuerza el tipo de ataque (1 = WEP estática, 2 = WPA-PSK).

-e
essid
Si se especifica, se usarán todos los IVs de las redes con el mismo ESSID. Esta opción es necesaria en el caso de que el ESSID no esté abiertamente difundido en una recuperación de claves WPA-PSK (ESSID oculto).

-b
bssid
Selecciona la red elegida basándose en la dirección MAC.

-p
nbcpu
En sistemas SMP , especifica con esta opción el número de CPUs.

-q
Activa el modo silencioso (no muestra el estado hasta que la clave  es o no encontrada).

-c
(recuperación WEP) Limita la búsqueda a caracteres alfanuméricos sólamente (0x20 – 0x7F).

-t
(recuperación WEP) Limita la búsqueda a los caracteres hexa decimales codificados en binario.

-h
(recuperación WEP) Limita la búsqueda a los caracteres numericos (0×30-0×39)
 Estas contraseñas son usadas por defecto en la mayoría de las Fritz!BOXes (routers configurados por defecto).

-d
start
(recuperación WEP) Especifica el comienzo de la clave WEP (en hex), usado para depuración.

-m
maddr
(recuperación WEP) Dirección MAC para la que filtrar los paquetes de datos WEP.
Alternativamente, especifica -m ff:ff:ff:ff:ff:ff para usar todos y cada uno de los IVs, indiferentemente de la red que sea.

-n
nbits
(recuperación WEP) Especifica la longitud de la clave: 64 para WEP de 40-bit , 128 para WEP de 104-bit , etc. El valor predeterminado es 128.

-i
index
(recuperación WEP) Conserva sólo los IVs que tienen este índice de clave (1 a 4).
 El comportamiento predeterminado es ignorar el índice de la clave.

-f
fudge
(recuperación WEP) De forma predeterminada, este parámetro está establecido en 2 para WEP de 104-bit y en 5 para WEP de 40-bit.
Especifica un valor más alto para elevar el nivel de fuerza bruta: la recuperación de claves llevará más tiempo, pero con una mayor posibilidad de éxito.

-k
korek
(recuperación WEP) Hay 17 ataques de tipo estadístico de korek. A veces un  ataque crea un enorme falso positivo que evita que se obtenga la clave, incluso con grandes cantidades de IVs. Prueba -k 1, -k 2, … -k 17 para ir desactivando cada uno de los ataques de forma selectiva.

-x ó -x0
(recuperación WEP) No aplicar fuerza bruta sobre los dos últimos keybytes.

-x1
(recuperación WEP) Aplicar fuerza bruta sobre el último keybyte.

-x2
(recuperación WEP) Aplicar fuerza bruta sobre los dos últimos keybytes.

-X
No aplicar fuerza bruta multiproceso (En sistemas SMP).

-y
(recuperación WEP) Éste es un ataque de fuerza bruta experimental único que  debería ser usado cuando el método normal de ataque falle con más de un millón de IVs.

-s
(recuperación WEP) Mostrar la clave en formato ASCII.

-z
(recuperación WEP) Opción de ataque PTW (Solo funciona bajo archivos .cap)

-w
words
(recuperación WPA) Ruta hacia la lista de palabras o “-” sin comillas para
 utilizar complementos de tipo (fuerza bruta).

 

ivstools

Esta es una utilidad muy buena ya que sirve para:

1º)unir archivos ivs en uno solo usamos el siguiente comando:

ivstools –merge captura1.ivs captura2.ivs captura3.ivs archivofinal.ivs

siendo captura(s) los archivos que queremos unir y archivofinal el que nos generara como unión de los anteriores

2º)Para convertir un archivo con extensión cap en ivs:

ivstools –captura.cap archivofinal.ivs

 
makeivs

Es una utilidad que nos permite crear un archivo con extensión ivs con la clave que nosotros le añadamos (es solo para hacer pruebas no sirve para nada mas)

makeivs.exe  captura.ivs  866578388f517be0b4818a0db1

siendo captura el archivo inventado y 866578388f517be0b4818a0db1la clave inventada

Airmon-ng

Sirve para poner nuestra tarjeta en modo monitor antes de empezar a capturar trafico debemos poner nuestra tarjeta en modo monitor usando este script para ello tecleamos:

airmon-ng [canal]

start: para activar el modo monitor.
stop: para parar el modo monitor.
dispositivo: nuestra tarjeta (ath0, eth0, raw0…..)

Airodump-ng
Descripción

Se usa para capturar datos trasmitidos a través del protocolo 802.11 y en particular para la captura y recolección de IVs (vectores iniciales) de los paquetes WEP con la intención de usar aircrack-ng. Si existe un receptor GPS conectado al ordenador airodump-ng muestra las coordenadas del AP.

Uso

Antes de usarlo debes haber iniciado el script airmon-ng para que se muestren los dispositivos wireless que posees y para activar el modo monitor. Puedes, pero no se recomienda que ejecutes Kismet y airodump al mismo tiempo.

airodump-ng [opcione(s)]

OPCIONES:

   –ivs: Captura solo ivs
   –gpsd: Para usar un dispositivo Gps
   –write    :crea un archivo del nombre que le hallamos puestos y con la extensión(.cap ó .ivs) y empieza a capturar.
   -w: es lo mismo que poner write
   –beacons: Guarda los beacons, por defecto no los guarda.
Por defecto airodump captura todos los canales que se encuentren dentro de la frecuencia 2,4 GHz.

   –channel :Captura el canal especificado
   -c: Lo mismo que escribir channel
   -a: Captura en la frecuencia de 5Ghz especifica del canal a
   -abg: Captura tanto en frecuencias de 2,4Ghz como en 5 Ghz

Para configurar correctamente los comandos debemos seguir el orden en el que están escritos en este texto y omitir el comando que no deseemos modificar:

Ejemplos:

airodump-ng –ivs -w prueba -c 11 -abg ath0

capturaría solo ivs creando un archivo llamado prueba en el canal 11 tanto en a/b/g

airodump-ng -w prueba -c 11 -abg ath0

capturaría creando un archivo cap llamado prueba en el canal 11 tanto en a/b/g

*Airodump oscila entre WEP y WPA.
Esto ocurre cuando tu controlador no desecha los paquetes corruptos (los que tienen CRC inválido). Si es un  ipw2100 (Centrino b), simplemente no tiene arreglo; ve y compra una tarjeta mejor. Si es una Prism2, prueba a actualizar el firmware.

*¿ Cuál es el significado de los campos mostrados por airodump-ng ?

airodump-ng mostrará una lista con los puntos de acceso detectados, y también una lista de clientes conectados o estaciones (“stations”).

 

Aireplay-ng

Se pueden realizar 5 ataques diferentes:

Ataque 0: Desautentificación
Ataque 1: Autentificación falsa
Ataque 2: Selección interactiva del paquete a enviar
Ataque 3: Reinyección de petición ARP
Ataque 4: El “chopchop” de KoreK (predicción de CRC)

Ataque 0: Desautentificación

Este ataque se puede utilizar para varios propósitos:

*Capturar el WPA Handshake

Para ello debemos poner el siguiente comando:

aireplay-ng -0 5 -a 00:13:10:30:24:9C -c 00:09:5B:EB:C5:2B ath0

0 significa desautentificación de cliente sirve para que se vuelva a asociar, vaciando de esta forma el cache ARP y por lo tanto volviendo a enviar su handshake.

-a 00:13:10:30:24:9C Seria el AP

-c 00:09:5B:EB:C5:2B Seria una Station asociada a esa AP. Si omitimos esta ultima parte el ataque se realiza sobre todos las Station conectadas a ese AP.

ath0 Es nuestra tarjeta según los diversos modelos de tarjeta (chip) varia wlan0, eth0, ra0….

*Reinyección ARP

aireplay-ng -0 10 -a 00:13:10:30:24:9C ath0
aireplay-ng -3 -b 00:13:10:30:24:9C -h 00:09:5B:EB:C5:2B ath0

como podemos observar el primer comando es una desautentificación seguida de una reinyección de los paquetes obtenidos se supone que al haber vaciado la cache del cliente y volverse a conectar vuelve a enviar la contraseña   
-b 00:13:10:30:24:9C Seria el AP
-h 00:09:5B:EB:C5:2B Seria el cliente

*Denegación del servicio a clientes conectados

Se basa en el envió continuo de paquetes de desautentificación con la consiguiente imposibilidad del(os) cliente(s) de conectarse.

aireplay-ng -0 0 -a 00:13:10:30:24:9C ath0

0 hace que envié paquetes continuamente a cualquier Station conectado a ese AP si solo queremos uno en particular enviaríamos con el comando:

aireplay-ng -0 0 -a 00:13:10:30:24:9C -c 00:09:5B:EB:C5:2B ath0

Ataque 1: Autentificación falsa
Este ataque es solamente  exitoso cuando necesitamos un cliente asociado al AP para realizar los ataques 2, 3, 4 (-h opción)  y no lo tenemos. Por lo tanto consiste en crear nosotros mismos un cliente que se asociara a ese AP .Hay que recordar llegando a este punto que siempre será mejor un cliente verdadero ya que el falso no genera trafico ARP.

Se recomienda que antes de realizar este ataque cambiemos nuestra dirección MAC de la tarjeta para que envié correctamente ACKs (peticiones).

ifconfig ath0 down
ifconfig ath0 hw ether 00:11:22:33:44:55
ifconfig ath0 up

Una vez realizado esto lanzamos el ataque de la siguiente forma:

aireplay-ng -1 0 -e ‘the ssid’ -a 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0
12:14:06  Sending Authentication Request
12:14:06  Authentication successful
12:14:06  Sending Association Request
12:14:07  Association successful 🙂

‘the ssid’ sin las comillas es el nombre del AP 00:11:22:33:44:55 Cliente falso

Con los CVS 2005-08-14 madwifi parcheados, es posible inyectar paquetes estando en modo Infraestructura (la clave WEP en sí misma no importa, en tanto que el AP acepte autenticación abierta). Por lo que, en lugar de usar el ataque 1, puedes sólo asociarte e inyectar / monitorizar a través de la interfaz athXraw:

ifconfig ath0 down hw ether 00:11:22:33:44:55
iwconfig ath0 mode Managed essid ‘the ssid’ key AAAAAAAAAA
ifconfig ath0 up
sysctl -w dev.ath0.rawdev=1
ifconfig ath0raw up
airodump-ng ath0raw out 6

Entonces puedes ejecutar el ataque 3 o el 4 (abajo, aireplay reemplazará automáticamente ath0 por ath0raw):

aireplay-ng -3 -h 00:11:22:33:44:55 -b 00:13:10:30:24:9C ath0
aireplay-ng -4 -h 00:10:20:30:40:50 -f 1 ath0
Este ataque mencionado anteriormente hay muchas veces que falla y no es 100% seguro ya que ha sido probado por muchos de nosotros. El AP es cierto que escupe ivs pero hay veces que al intentar sacar la clave descubrimos que la clave es la introducida por nosotros por lo tanto no serviría de nada

Algunos puntos de acceso requieren de reautentificación cada 30 segundos, si no nuestro cliente falso será considerado desconectado. En este caso utiliza el retardo de re-asociación periódica:

aireplay-ng -1 30 -e ‘the ssid’ -a 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0

si en vez de 30 segundos queremos 20 pues escribimos 20 si fuesen 10 modificamos por 10 y asi sucesivamente

Si este ataque parece fallar (aireplay permanece enviando paquetes de petición de autenticación), puede que esté siendo usado un filtrado de direcciones MAC. Asegúrate también de que:

Estás lo suficientemente cerca del punto de acceso, pero ojo no demasiado porque también puede fallar.
El controlador está correctamente parcheado e instalado.
La tarjeta está configurada en el mismo canal que el AP.
El BSSID y el ESSID (opciones -a / -e) son correctos.
Si se trata de Prism2, asegúrate de que el firmware está actualizado.

Ataque 2: Selección interactiva del paquete a enviar

Este ataque te permite elegir un paquete dado para reenviarlo; a veces proporciona resultados más efectivos que el ataque 3 (reinyección automática de ARP).

Podrías usarlo, por ejemplo, para intentar el ataque “redifundir cualesquiera datos”, el cuál sólo funciona si el AP realmente reencripta los paquetes de datos WEP:

aireplay-ng -2 -b 00:13:10:30:24:9C -n 100 -p 0841 -h 00:09:5B:EB:C5:2B -c FF:FF:FF:FF:FF:FF ath0

También puedes usar el ataque 2 para reenviar manualmente paquetes de peticiones ARP encriptadas con WEP, cuyo tamaño es bien 68 o 86 bytes (dependiendo del sistema operativo):

aireplay-ng -2 -b 00:13:10:30:24:9C -d FF:FF:FF:FF:FF:FF -m 68 -n 68 -p 0841 -h 00:09:5B:EB:C5:2B ath0
aireplay-ng -2 -b 00:13:10:30:24:9C -d FF:FF:FF:FF:FF:FF -m 86 -n 86 -p 0841 -h 00:09:5B:EB:C5:2B ath0

Otra buena idea es capturar una cierta cantidad de trafico y echarle un ojo con ethereal. Si creemos al examinar el trafico que hay dos paquetes que parecen una petición y una respuesta (Un cliente envía un paquete y poco después el destinatario responde a este) entonces es una buena idea intentar reinyectar el paquete petición para obtener paquetes respuestas

Ataque 3: Reinyección de petición ARP

El clásico ataque de reinyección de petición ARP es el mas efectivo para generar nuevos IVs, y funciona de forma muy eficaz. Necesitas o bien la dirección MAC de un cliente asociado (00:09:5B:EB:C5:2B), o bien la de un cliente falso del ataque 1 (00:11:22:33:44:55). Puede que tengas que esperar un par de minutos, o incluso más, hasta que aparezca una petición ARP; este ataque fallará si no hay tráfico.

Por favor, fíjate en que también puedes reutilizar una petición ARP de una captura anterior usando el interruptor -r .

aireplay-ng -3 -b 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0
Saving ARP requests in replay_arp-0627-121526.cap
You must also start airodump to capture replies.
Read 2493 packets (got 1 ARP requests), sent 1305 packets…

El “chopchop” de KoreK (predicción de CRC)

Este ataque, cuando es exitoso, puede desencriptar un paquete de datos WEP sin conocer la clave. Incluso puede funcionar con WEP dinámica. Este ataque no recupera la clave WEP en sí misma, sino que revela meramente el texto plano. De cualquier modo, la mayoría de los puntos de acceso no son en absoluto vulnerables. Algunos pueden en principio parecer vulnerables pero en realidad tiran los paquetes menores de 60 bytes. Si el AP tira paquetes menores de 42 bytes aireplay trata de adivinar el resto de la información que le falta, tan pronto como el encabezado se predecible. Si un paquete IP es capturado automáticamente busca el checksum del encabezado
después de haber adivinado las partes que le faltaban. Este ataque requiere como mínimo un paquete WEP (encriptado).

1. Primero, desencriptemos un paquete:

aireplay-ng -4 ath0

Si esto falla, es debido a que hay veces que el AP tira la información porque no sabe de que dirección MAC proviene. En estos casos debemos usar la dirección MAC de un cliente que este conectado y que tenga permiso (filtrado MAC activado).

aireplay-ng -4 -h 00:09:5B:EB:C5:2B ath0

2. Echemos un vistazo a la dirección IP:

tcpdump -s 0 -n -e -r replay_dec-0627-022301.cap
reading from file replay_dec-0627-022301.cap, link-type […]
IP 192.168.1.2 > 192.168.1.255: icmp 64: echo request seq 1

3. Ahora, forjemos una petición ARP.

La IP inicial no importa (192.168.1.100), pero la Ip de destino (192.168.1.2) debe responder a peticiones ARP. La dirección MAC inicial debe corresponder a una estación asociada.

arpforge-ng replay_dec-0627-022301.xor 1 00:13:10:30:24:9C 00:09:5B:EB:C5:2B 192.168.1.100 192.168.1.2 arp.cap

4. Y reenviemos nuestra petición ARP forjada:

aireplay-ng -2 -r arp.cap ath0

 

Airdecap-ng

Sirve para desencriptar los paquetes capturados una vez obtenida la clave ya sea WEP o WPA

airdecap-ng [opciones]

Ejemplos:

airdecap-ng -b 00:09:5B:10:BC:5A open-network.cap
airdecap-ng -w 11A3E229084349BC25D97E2939 wep.cap
airdecap-ng -e ‘the ssid’ -p passphrase  tkip.cap

Wzcook

Sirve para recuperar las claves WEP de la utilidad de XP Wireless Zero Configuration. Éste es un software experimental, por lo que puede que funcione y puede que no, dependiendo del nivel de service pack que tengas.

WZCOOK mostrará el PMK (Pairwise Master Key), un valor de 256-bit que es el resultado de codificar 8192 veces la contraseña junto con el ESSID y la longitud del ESSID. La contraseña en sí no se puede recuperar — de todos modos, basta con conocer el PMK para conectar con una red inalámbrica protegida mediante WPA con wpa_supplicant (ver el Windows README). Tu archivo de configuración wpa_supplicant.conf debería quedar así:

network={
   ssid=”my_essid”
   pmk=5c9597f3c8245907ea71a89d[…]9d39d08e

Si no usas WZC pero usas la utilidad USR, accede al registro:

HKey_Current_User/Software/ACXPROFILE/profilename/dot11WEPDefaultKey1