Este ataque va a ser posible sin estar al alcance del AP en cuestión al que vamos a crackear su contraseña. Lo que haremos será crear un
punto de acceso que esté en la lista de SSID de la víctima para que se conecte automaticamente sin darse cuenta, y luego generaremos
tráfico legítimo para hacer el cracking WEP. Lo haremos de la siguiente manera. Sabemos que el primer campo de los datos cifrados de
los paquetes siempre es igual, que es la cabecera LLC (8 bytes) y sabemos cuales son esos 8 bytes. De esta forma si hacemos un XOR de
los primeros 8 bytes del paquete, con los 8 bytes LLC que ya conocemos, podremos obtener los primeros 8 bytes del RC4 Keystream.
Con esto lo que podemos hacer es un XOR con un pequeño paquete que creemos al fragmentar el paquete original, y esto nos creará un
paquete perfectamente valido para la red WEP a la que pertenezcan los paquetes. Esto nos valdrá para fragmentar un paquete ARP en
paquetes pequeños válidos sin saber la clave de la red. Y de esta forma realizar el ataque ARP-replay.
Este ataque sirve para atacar al cliente. Cuando se conecte a nuestro AP, despues de enviar los paquetes correspondientes a DHCP,
enviará los correspondientes a ARP request, y será ahi cuando nosotros respondamos con un ARP replay que hemos sido capaces de crear
y que serán validos para el cliente. Demo Time! Utilizaremos la herramienta Airbase-NG que sirve para crear el punto de acceso para
realizar el ataque. Elegiremos en que canal queremos poner el punto de acceso, el nombre, con -W diremos que sea del tipo WEP y la
opción -N es la que corresopnde al tipo de ataque Hirte Attack.
# airbase-ng -c 1 --essid WLAN_88 -W 1 mon0 -
N
También tendremos que almacenar la captura con Airodump-ng para despues poder crackearla con Aircrack-ng.
# airodump-ng --channel 1 -W hirte mon0
Es posible que el cliente se desconecte, y se vuelva a conectar a la red puesto que no recibe configuración de red (esto dependerá de la
implementación del SO). Podemos ver como los paquetes están subiendo de una forma muy rápida }:). Cuando lleguemos a un numero
suficiente podremos descifrar la clave WEP con aircrack-ng como siempre.# airodump-ng --channel 1 -W hirte mon0
# aircrack-ng hirte- 01.cap
Hay veces que no funciona a la primera la inyección masiva de paquetes y hay que volverlo a probar.
Roberto Lopez (@leurian)
Gracias por esta cadena de articulos tan interesantes sobre hacking wireless.
ResponderEliminarSolo un pequeño comentario, esta es la parte 8, pero no veo la parte 7...
¿te la has saltado? o ¿me la he saltado yo?
Si es asi, donde está.
Gracias y un saludo
¿Este episodio no es la parte 7 en vez de la 8? Es que voy recopilando los capítulos para leerlos todos seguidos y me falta dicha parte.
ResponderEliminarMuchas gracias por todo vuestro trabajo :), seguid asi!!
La parte 7 se corresponde a un articulo que ya tenía publicado en mi blog. Si quieres ver la serie completa tengo recopilados aquí todos los enlaces:
ResponderEliminarhttp://highsec.es/hacking-wifi-tutorial/