1 oct 2012

airdecap-ng: MITM en el aire y sin dejar huella

airdecap-ng es una de esas herramientas que no son TOP de la suite air o como se conocen en algunos lares la suite air*. Esta herramienta permite descifrar el tráfico cifrado que se encuentra en un archivo CAP. El archivo CAP ha sido previamente creado a través del tráfico que ha sido capturado mediante airodump-ng. Hay que recordar que airodump-ng nos permite "volcar" o capturar todo lo que va por el aire, es decir, podemos capturar todos los paquetes que viajan por el aire, estén o no cifrados. ¿Cómo que depende o no de si están cifrados? Si, debemos tener en cuenta que toda trama que viaja por el aire puede ir o en plano, con cifrado WEP o cifrado WPA/WPA-PSK/2. Las tramas en plano significa que la red no tiene ningún tipo de cifrado, por lo que si nos ponemos con airodumpg-ng a capturar lo que pasa por el aire podremos visualizar el tráfico HTTP, FTP, MSNMS, POP3 y otros tráficos que no disponen cifrado. De este modo, se pueden capturar credenciales sin necesidad de realizar, por ejemplo ARP Spoofing, o capturar cookies para realizar hijacking... ¿Cómo que sin hacer ARP Spoofing? Sí, porque nosotros estamos en el medio, es decir, el cliente o víctima envía la trama al AP (punto de acceso), pero el medio es el aire por lo que esas ondas serán capturadas... Es altamente recomendable utilizar algún tipo de cifrado, para que esta situación no se dé, aunque como hemos visto en el artículo sobre funcionamiento WEP no es un protocolo que nos dé mucha seguridad.

El escenario que presentamos en este artículo es variado, realmente airdecap-ng se puede utilizar para varias cosas, pero dos de los usos que más me llaman la atención son lo siguientes:

  • Saltarnos protección DHCP de un punto de acceso o router. (ByPass)
  • Man In The Middle sin dejar huella en la red, gracias al medio en el que nos encontramos.
ByPass DHCP OR MITM en el aire

El escenario es el siguiente: se dispone de la clave de la red WiFi pero cuando el atacante se conecta se encuentra con que el DHCP de la red no da direcciones IP, o quizá algo más desconcertante la dirección IP, puerta de enlace y DNS que nos proporcionan no nos dan acceso a Internet y nos encontramos como una red sin ningún tipo de recursos ni salida, ¿Qué ocurre?! El dueño de la red está poniendo a prueba si conocemos este tipo de protección, que por sí solo no aporta una capa de seguridad pero que si se junta con otras medidas dan un plus de seguridad a la red WiFi.

Como se ha mencionado anteriormente se dispone de la clave de la red WiFi por lo que, si hay un usuario asociado a la red (esto lo veríamos con airodump-ng) podemos realizar la captura mediante el uso de airodump-ng. La instrucción sería airodump-ng -w <fichero CAP> mon0, siendo mon0 la interfaz wireless en modo monitor. Con esta instrucción todas las tramas que van por el aire se están almacenando en un fichero CAP, el cual será pasado posteriormente a airdecap-ng.

Airdecap-ng tiene una sintaxis muy sencilla y diferenciada para redes WEP y WPA. A continuación se especifica la sintaxis para un caso y para el otro:

  • Redes WEP => airdecap-ng -w CLAVEHEXADECIMALSINPUNTOS <archivo.CAP>, el parámetro w indica la clave de la red WEP, la cual debe indicarse en formato hexadecimal. Para obtener el equivalente a ASCII en hexadecimal se puede utilizar la herramienta xxd, por ejemplo, echo -n <clave ASCII> | xxd -p. El resultado es la clave en formato hexadecimal, ahora ya se le puede pasar a airdecap-ng la clave y el fichero CAP.
  • Redes WPA => airdecap-ng -e <nombre de la RED o SSID> -p <CLAVE RED WPA o PASSPHRASE> <fichero CAP>. Se necesita el handshake de la red WPA en el fichero CAP, recordemos que el handshake se puede conseguir en la autenticación de un cliente con un punto de acceso, si se encuentra un equipo víctima asociado se le puede desasociar para conseguir el handshake.

Una vez se obtiene el CAP descifrado, podemos investigar en que rangos se está moviendo el dueño de la red y poder colocar a mano la dirección IP. En las siguientes imágenes se puede visualizar el proceso de airdecap-ng y su funcionamiento. NOTA: Las imágenes han sido cogidas del blog La Leyenda de Tux, el cual me ha gustado por su contenido, y sobretodo su nombre, podría ser cualquier videojuego de Nintendo :D

¿Y la parte de MITM? Esto es sencillo. Si ya tenemos la clave de la red, sobretodo si es WEP que son sencillas de sacar, podemos capturar el tráfico con airodump-ng, incluso fijando el canal y filtrando a un bssid concreto con la instrucción airodump-ng -c <canal> --bssid <bssid AP> -w <fichero CAP> mon0. Podemos dejar X tiempo airodump-ng, e incluso ir descifrando el CAP con airdecap-ng a la vez, e ir viendo todos los paquetes de la/s víctimas. Realmente se visualiza el tráfico, sin necesidad de asociarse a un punto de acceso, es decir, no queda registrado en ningún lado que nosotros tenemos la clave, y nuestra MAC tampoco queda registrada en el punto de acceso, ni la víctima sentirá la ralentización, mínima eso sí, que puede provocar el ARP Spoofing.

En definitiva, airdecap-ng es muy interesante y puede ayudar a realizar técnicas no muy conocidas que pueden ayudar a ocultar nuestra identidad a través del aire.

5 comentarios:

  1. Muy interesante Pablo, sobre todo el no dejar huella.

    ResponderEliminar
  2. Muy interesante...Es muy parecido a lo que puedes hacer con kismet, solo que en el kismet.conf puedes darle varios aps y wep al mismo tiempo sabes si con este en una sola linea se puede?saludos...

    ResponderEliminar
  3. zerial si se puede, pero tienes que hacerlo de manera manual. Es decir, una captura recoge todas las redes, por lo que se puede utilizar airdecap anidado con && por ejemplo, o en distintas sesiones... incluso crear un script por ejemplo, para automatizar.Gracias por el feedback!Un abrazo señoreS! :D

    ResponderEliminar
  4. [...] airdecap-ng es una de esas herramientas que no tienen la fama de aircrack, aunque su funcionalidad distinta y a la vez, parecida. En este artículo se habla de la posibilidad de realizar un bypass al DHCP o, en otro caso, como realizar MITM en el aire sin dejar huella. [...]

    ResponderEliminar
  5. Una duda seguramente estoy haciendo algo mal ... ya que al lanzar el airdecap-ng -e prueba -p key cap-01.cap no me esta descifrando lo que estoy capturando .... Al momento de estar escribiendo esto me he dado cuenta que me ha faltado el handshake xD // Mi red es una WPA-Enterprise asi que no se si siga siendo valido el ejemlo ??

    ResponderEliminar