Zerolynx Cybersecurity Blog

Hacking WiFi: Atacando al cliente, cracking WEP sin AP: Ataque Hirte (Parte 8)

Este ataque va a ser posible sin estar al alcance del AP en cuestión al que vamos a crackear su contraseña. Lo que haremos será crear un punto de acceso que esté en la lista de SSID de la víctima para que se conecte automaticamente sin darse cuenta, y luego generaremos tráfico legítimo para hacer el cracking WEP. Lo haremos de la siguiente manera. Sabemos que el primer campo de los datos cifrados de los paquetes siempre es igual, que es la cabecera LLC (8 bytes) y sabemos cuales son esos 8 bytes. De esta forma si hacemos un XOR de los primeros 8 bytes del paquete, con los 8 bytes LLC que ya conocemos, podremos obtener los primeros 8 bytes del RC4 Keystream.


Con esto lo que podemos hacer es un XOR con un pequeño paquete que creemos al fragmentar el paquete original, y esto nos creará un paquete perfectamente valido para la red WEP a la que pertenezcan los paquetes. Esto nos valdrá para fragmentar un paquete ARP en paquetes pequeños válidos sin saber la clave de la red. Y de esta forma realizar el ataque ARP-replay.


Este ataque sirve para atacar al cliente. Cuando se conecte a nuestro AP, despues de enviar los paquetes correspondientes a DHCP, enviará los correspondientes a ARP request, y será ahi cuando nosotros respondamos con un ARP replay que hemos sido capaces de crear y que serán validos para el cliente. Demo Time! Utilizaremos la herramienta Airbase-NG que sirve para crear el punto de acceso para realizar el ataque. Elegiremos en que canal queremos poner el punto de acceso, el nombre, con -W diremos que sea del tipo WEP y la opción -N es la que corresopnde al tipo de ataque Hirte Attack.

# airbase-ng -c 1 --essid WLAN_88 -W 1 mon0 - N


También tendremos que almacenar la captura con Airodump-ng para despues poder crackearla con Aircrack-ng.

# airodump-ng --channel 1 -W hirte mon0



Es posible que el cliente se desconecte, y se vuelva a conectar a la red puesto que no recibe configuración de red (esto dependerá de la implementación del SO). Podemos ver como los paquetes están subiendo de una forma muy rápida }:). Cuando lleguemos a un numero suficiente podremos descifrar la clave WEP con aircrack-ng como siempre.

# aircrack-ng hirte- 01.cap



Hay veces que no funciona a la primera la inyección masiva de paquetes y hay que volverlo a probar. 



Roberto Lopez (@leurian)