You are on page 1of 60

INICIACIÓN EN WIRELESS CON WIFISLAX Y WIFIWAY 1.0 FINAL.

INCLUYE WEP Y
WPA.

Este tutorial viene de la mano de Rockeropasiempre, Heavyloto y Zydas. Cada uno hemos aportado
nuestra propia experiencia y conocimientos. No habría sido posible realizarlo sin los aportes de las
distintas páginas que a menudo visitamos como el foro de Elhacker.net, y Seguridad Wireless entre
otras.

En la parte que toca a Linux, KARR aportó su grano de arena, aportando apuntes y como no, algún que
otro listado. Además fue quien revisó y dió el ok al proyecto final.

Esta guía en ningún caso está destinada a uso fraudulento o delictivo, el uso que se haga de este
aporte queda única y exclusivamente ligado a la responsabilidad de cada uno, quedando fuera de
nuestras intenciones cualquier uso no debido, así como de la página de elhacker.net. Los programas a
los que se hace mención o referencia no están destinados a tal uso, sino a la verificación de la
seguridad de nuestras propias conexiones.
INDICE GENERAL.

El índice está confeccionado de forma que vayamos de menos a más, así pues, los puntos quedan de
esta manera:

1.- WIFISLAX 3.1 “DUDAS Y ERRORES MAS COMUNES". Por Rockeropasiempre.

Resolución de los errores que más frecuentemente se presentan con el live Cd Wifislax 3.1, con
definiciones a un nivel usuario básico/medio. En este apartado se utilizan tarjetas Pci Atheros, Usb
Ralink, y Usb Gold 800 Mw Realtek para los aportes y explicaciones. En este apartado se maneja
únicamente la encriptación WEP.

Nota: si no se haz leído el Manual básico para Wifislax, y no sabemos nada al respecto, poco o nada
adelantaremos con este nuevo manual, ya que este es una consecución del anteriormente citado.

2.- INTRODUCCION A LA SEGURIDAD WEP. Por Heavyloto.

En este apartado se maneja la seguridad WEP, diferentes tipos de ataque y su funcionamiento. También
se maneja Wlandecripter. Para todo esto se utilizarán tarjetas Realtek y Zydas, y la distro Wifiway 1.0
final.

3.- INTRODUCCIÓN A LA SEGURIDAD WPA. Por Zydas.

En último lugar y quizás el más relevante de todos por su dificultad, se tratará la seguridad WPA en
toda su extensión, obtención de handsake, tipos de diccionarios, manejo, y se usarán programas
como Cowpatty, Johntheripper y la suite aircrack-ng. Para ello se utilizara la tarjeta Alfa USB 500Mw,
con chipset Realtek 8187L.

Podemos empezar:
1.- WIFISLAX 3.1 - DUDAS Y ERRORES MAS COMUNES Por Rockeropasiempre.

La siguiente sección está confeccionada con el fin de mostrar respuestas a los errores y preguntas más
frecuentes cuando nos iniciamos con Wifislax. Cuando empezamos a auditar las primeras veces, suele
pasar que nos encontramos con el hecho de que simplemente no sabemos lo que estamos haciendo, ni
tampoco sabemos especificar ni detectar cual es el error que estamos cometiendo en el momento.
Basándome en mi propia experiencia diré que cuando alguien me dijo, que tenía que poner mi BSSID,
seguido de una letra con signo negativo, y además tenía que hacerlo todo en una Shell, me quedé como
estaba, seguía sin tener ni idea de nada. A fuerza de leer, experimentar y escacharrar algún que otro
aparato voy aprendiendo algo sobre el tema de la seguridad Wifi, poco la verdad, pero mejor que hace
un tiempo. Por eso este apartado no está pensado ni escrito para que simplemente se ejecute, sino para
que nos sirva de referencia al principio y motivación posterior. Queda claro pues, que si se desea
aprender en este interesante mundo Wifi, no bastará con leer esto, sino que habrá que leer otros
muchos tutoriales que hacen referencia a un uso más avanzado. Dicho lo dicho, pasemos pues al tema
en cuestión.

Lo primero que debemos tener evidentemente, es un Live Cd de Wifislax 3.1 ya con ello en las manos,
procederemos a arrancar. Para descargarlo podemos hacerlo desde aquí. Al entrar en la página nos
encontraremos con la versión normal "segundo enlace", y en el tercer enlace tenemos la versión
reducida. Yo personalmente prefiero la primera pero para gustos, los colores.
Una vez quemada la ISO en un Cd, podemos empezar con ello. La forma de arrancar el Cd queda está
explicado en este enlace.

Así pues, una vez grabado el disco, pasemos a los problemas que mas suelen darse en los comienzos.

WIFISLAX NO ME ARRANCA.

Si al comenzar con el arranque, nos encontramos con este problema, la primera opción a revisar es
el propio arranque de la BIOS, y asegurarnos de que está seleccionada como primera opción de boteo
el lector donde tenemos el disco. Es interesante comprobar que el disco no esté arañado, rayado o
defectuoso.

WIFISLAX YA ARRANCA, PERO SE ME BLOQUEA AL INICIO, Ó SE ME QUEDA LA


PANTALLA EN NEGRO.

Una vez hemos procedido a revisar todo lo anterior, y vemos que no conseguimos arrancar el
programa, pasaríamos al tema de los cheatcodes.

¿Qué son los cheatcodes?, ¿Dónde los escribo?

Los cheatcodes son comandos, cada uno de estos comandos realiza una función específica ,como por
ejemplo deshabilitar la detección de hardware a la hora del arranque de Wifislax. Para ese caso en
concreto se utiliza el cheatcode “nohotplug”. Cuando el live Cd arranca, por defecto procede a detectar
todo el hardware existente en el equipo, y en ocasiones ocurre que la detección de algún hardware en
especial nos esté creando algún problema. Los principales problemas de arranque en Wifislax , suelen
tener que ver con la detección de hardware y con la propia tarjeta gráfica. Esto no quiere decir que
siempre sea así, porque alguna vez podría inclusive causar el problema un simple ratón Usb. No
obstante podría sernos útil cualquier otro cheatcode para alguna función en particular, como que los
cambios se guarden en la memoria o cargar módulos opcionales específicos.

¿Dónde los escribo?

Opción 1.

Para introducirlos deberemos hacerlo al inicio del arranque. Esto quiere decir que deberemos
escribirlos cuando se nos muestra la pantalla de Wifislax esperando que pulsemos enter para continuar.
Desde aquí podremos introducir tantos cheatcodes como nos sean necesarios de uno en uno y pulsando
enter tras escribirlo.

Opción 2.

Tras pulsar enter en la opción 1 sin meter ningún cheatcode, veremos una pantalla con el
título Wifislax Text mode. En esta pantalla se nos da la opción de arrancar con un único cheatcode, el
cual elegiremos mediante las flechas de dirección. Si no pulsamos ninguna opción, el programa
arrancará normalmente, al igual que si directamente pulsamos enter sin tocar las flechas de dirección.
El uso específico de estos cheatcodes es el siguiente:

[acpi=off] Este cheatcode es útil cuando al iniciar nos encontramos con un pantallazo negro. La forma
de usarlo es tan simple como seleccionarlo y pulsar enter, y “así para el resto de cheatcodes de esta
lista.”

[noagp] Evita la detección de nuestra tarjeta gráfica, y así evitar posibles errores que pueda causarnos
en el arranque.

[nopcmcia] Impide el acceso a la detección del puerto PCMCIA, evitando que pueda reconocernos una
tarjeta de ese tipo que nos esté causando algún problema.

[nohotplug] Este en concreto, lo que hace es inhabilitar la detección de casi todo el hardware de nuestro
equipo. Quizás pueda ser el más utilizado, por el simple hecho de que algunos tipos de hardware den
cierta guerra. Por eso este cheatcode procede a evitar la detección de los mismos, y ahorrarnos
quebraderos de cabeza.

[nobluetooth] Incapacita los soportes para bluetooth en la live Cd.

A mí, personalmente, no me ha hecho falta usarlos a menudo, pero en el siguiente link encontrareis
mucha más información detallada de la mano de HWAGM sobre los cheatcodes, ya que en caso de
problemas con el arranque del live Cd, debemos pensar que no solo existen estos cinco que vemos en la
imagen, sino que hay otros pocos más que podrían hacernos falta para algún problema en particular. En
el supuesto de que así fuese, y nos hiciera falta usar alguno que no esté en la lista, deberemos
introducirlos como se menciona en la opción 1.
http://www.wifislax.com/manuales/cheatcode.php

Para continuar sería necesario, familiarizarse con algunos de los términos más usados, ya que de aquí
en adelante nos harán falta. He asociado a cada término un color para verlo mejor en la imagen.

Quede claro, que en la terminología wifi, a veces se utilizan términos que puedan parecer en un
principio, un tanto agresivos, no obstante es obvio, que cuando nos referimos por ejemplo a la
víctima, no significa que vayamos a agredir a nadie, ni que se tenga que aplicar en el sentido más
literal de la palabra. Son solo eso, términos para entendernos mejor.

Aquí va un pequeño listado.

AP = Access Point, punto de acceso inalámbrico (router).

MAC = Numeración de cada tarjeta inalámbrica. Viene a ser el D.N.I de cada tarjeta.

Victima = Nuestra red a verificar para su seguridad.

Cliente = PC conectado con la víctima.

STATION = Mac del cliente asociado con la víctima. (Flecha azul en la imagen).

Shell = Ventana

BSSID = Mac de la víctima (Flecha blanca).

ESSID = Nombre de la red. (Flecha verde).

POWER = Potencia de la señal de la red en cuestión. (Flecha roja).

Datas, Iv’s = Paquetes específicos con la información de la encriptación.

Beacons = Paquetes. Son simplemente eso, paquetes anuncio, que envía cada red.

Una imagen vale más que mil palabras, están señalados en colores distintos algunos de los
términos más significativos.
Evidentemente no he señalado todos, pero los que quedan podemos intuirlos claramente. En la ventana
superior izquierda podemos identificar los siguientes:

RXQ: Es el valor de la señal limpia, es decir sin ruido, la potencia real de la red.

#/s: Este valor es variable y nos da el porcentaje de las datas que se capturan por segundo. En base a
ello podemos calcular aproximadamente cuanto tiempo nos llevará capturar un número determinado de
Datas.

Ch: Canal en que emite el Ap.

Mb: Muestra el valor en Megabits de la tarjeta víctima.

Enc: Encriptación de la red. Varía entre Open, Wpa, Wep y Wpa2.

CIPHER: Este campo pertenece al cifrado de la red, y comprende los siguientes valores; WEP para
redes con encriptación WEP. Valor nulo para redes sin encriptación (OPEN). Y por último los valores
CCMP y TKIP para redes con encriptación WPA

AUTH: Autentificación de la red. Existen dos tipos de autenticación Open y Shared. Por lo general el
campo perteneciente a este valor suele estar vacío, a excepción de las redes WPA, las cuales mostrarán
las siglas PSK tanto si la encriptación es en WPA o WPA2.

Y por último una de las más importantes, tal vez la reina de la casa;

ARP: Estas son las siglas de ADDRESS REQUEST PREDICTION, en castellano es la traducción de
nuestra dirección Mac a una IP para aumentar la velocidad de conexión.
Por supuesto son muchas más las palabras empleadas en la terminología Wifi, pero estás quizás son las
que considero necesarias para comenzar con todo esto. A medida que se vaya subiendo el rango de
aprendizaje, el nivel de terminología también subirá, pero de momento, no toca. Por tanto, con estas
tenemos para empezar.

DISPOSITIVOS WIFI NECESARIOS PARA AUDITAR.

Evidentemente para auditar con Wifislax como su propio nombre indica, deberemos tener al menos un
dispositivo Wifi instalado. Esto no es otra cosa que una tarjeta inalámbrica. Se presentan en varios
formatos tales como:

- Pci, para ordenadores de sobremesa.


- Usb para estos últimos y también para portátiles.
- Tarjetas PCMCIA y Mini Pci, las dos explícitamente para portátil.

Lo primero a tener en cuenta y razón más que IMPORTANTE, es el chipset que nuestro dispositivo
monta, en base a ello podremos auditar con Wifislax o no. Quiero decir con esto, que si el chipset que
el dispositivo monta, no es compatible con Wifislax, nada podremos hacer con esa tarjeta. Por eso es
más importante el chipset, que la propia marca del dispositivo en cuestión. Queda claro entonces que
para auditar con el programa debemos tener en cuenta que no todos los dispositivos Wifi nos sirven
para tal fin. En el siguiente listado vemos los principales chipset para poder auditar con Wifislax, junto
con su *interface*.

* ¿Qué es la interface?

La interface son las siglas con las que Wifislax interpreta cada chipset.

LISTADO DE INTERFACES.

1. Atheros = ath0 Este chipset se puede duplicar, es decir navega y captura. Creando las
interfaces ath0 y ath1.
2. Ralink = ra0
3. Ralink dispositivo Usb. = rausb0
4. Prism = eth0
5. Broadcom = eth0
6. Zydas = eth0
7. Realtek = wlan0
8. Intel 3945, 5500 4965 = wlan0
9. Intel 2200 = eth1 y rtap0 (Crea dos interfaces también)

En algunos casos como veréis, algunos chipset utilizan la misma interface que otros. Por ello
deberemos estar atentos en el caso de que tengamos más de un dispositivo Wifi instalado, y poder así
identificar cada uno para su posterior utilización. En tal caso el programa asignará un número distinto a
cada interface. Por ejemplo dos dispositivos Zydas los reconocería de esta forma: eth0, eth1,… Dos
dispositivos Ralink serían ra0, ra1. Un dispositivo Broadcom y otro Prism también los reconocería de
igual manera, eth0, eth1. Uno con chipset Atheros y otro por ejemplo Usb Ralink, serían ath0 y rausb0.
En el caso de que tengamos dos o más dispositivos cuyas siglas sean idénticas, los reconocería
numerándolos sucesivamente, por ejemplo eth1, eth2, eth3, etc.…

¿COMO SE EL CHIPSET DE MI TARJETA, SI YA ME LA HE COMPRADO?

Esto lo podremos averiguar en Windows a través del programa Everest por ejemplo.
Podéis bajarlo de aquí, es de evaluación, pero cada uno ya sabrá cómo obtener la versión total.
Debería bastar con ir a la parte izquierda de dicho programa y pinchar en red para abrir el desplegable y
ver los dispositivos de red instalados en nuestro PC.

Si no somos capaces de verlo, podemos averiguar si nuestra tarjeta es compatible con el mismo
Wifislax. Para ello, una vez abierto el programa, abriremos una Shell y en ella probaremos con
distintos comandos:

Código: iwconfig

Con este comando averiguaremos la interfaz del dispositivo e información al respecto de los mismos,
como pueden ser la intensidad de la señal y el ruido de la misma. En la imagen podemos ver la interfaz
de la tarjeta Atheros Pci (ath0), y la interfaz de un dispositivo Usb Ralink (rausb0). Fijaros que el
driver de esta última es el RT2500. Lo digo porque luego tendremos que forzarla para usarla con el
RT73.
Código: lsusb

Nota: “LA PRIMERA LETRA ES UNA L MINÚSCULA” NO SE ESCRIBE isusb

Con el comando lsusb, detectaremos explícitamente los dispositivos Wifi Usb conectados al ordenador.
En la foto vemos como ha detectado sin ningún problema el dispositivo Ralink.
Código: lspci

Nota: “LA PRIMERA LETRA ES UNA L MINÚSCULA” NO SE ESCRIBE ispci

Con el comando lspci, se procede a detectar todos los dispositivos Pci conectados al PC.
Evidentemente si nuestra tarjeta es Pci, y compatible con Wifislax, la detectará de inmediato, y podéis
ver cómo ha detectado la Atheros como un controlador Ethernet, que es en definitiva lo que es.

Siempre queda la forma artesanal, quitando el lateral del PC, y después el tornillo para desmontar la
tarjeta e inspeccionar que pone. En los Usb quizás lo tengamos más complicado ya que no suele poner
nada, pero indagando con el Everest seguro que daremos con ello.
¿Y SI NO TENGO TARJETA, PERO ME LA VOY A COMPRAR?

En la actualidad existen diferentes modelos de tarjetas inalámbricas, modelos de Wifi Usb, diferentes
marcas, y como no diferentes chipset. Antes de comprar la tarjeta deberemos asegurarnos que el chipset
de la misma es compatible con la auditoría, para ello existen páginas de venta por internet que ya nos
anticipan el modelo de chipset que incorporan. Así pues es conveniente fijarse primero en esto y
después en la marca. Aquí dejo un link con la lista de tarjetas y chipsets compatibles con el programa.

http://hwagm.elhacker.net/htm/tarjetas.htm

Es de hace un tiempo, pero nos servirá a buen seguro. Este link viene de la mano del amigo Hwagm, y
en el mismo, hay incluido al final de la página dos enlaces más, uno para tarjetas con chipset Atheros
de la mano de isabido, y otro más para tarjetas con chipset Ralink, este último, creado por el amigo
jmc66d.

¿COMO PONGO MI TARJETA EN MODO MONITOR?

Estooooooo, uummm, pero que es modo monitor?

Respondiendo a la segunda pregunta, el modo monitor no es otra cosa que poner nuestro dispositivo en
modo escucha, para poder ver que es lo que está pasando delante de nuestras narices pero que no
vemos. Es como poner la oreja detrás de una puerta y no hacer ruido mientras nos enteramos de lo que
pasa por nuestra red.

A la primera pregunta, para poner la tarjeta en modo monitor lo haremos desde el mismo programa.
Dependiendo del chipset de nuestra tarjeta lo haremos de un modo u otro. Me explico, en mi caso con
Atheros, basta con ir a Menú, Wifislax, asistencia chipset, asistencia chipset Atheros, modo
monitor. Aplicaremos sobre nuestra interface y listo, ya estamos en modo monitor. Con la Usb Ralink
el proceso es similar, solo que en vez de Atheros elijo Ralink forzar Rt73 sobre Rt750 y listo, modo
monitor voila. Con una tercera antena, este caso Zydas, el proceso lo hago mediante Shell, escribiendo
en la misma Iwconfig para que me la detecte primero y cuando me da la elección de interfaz, en caso
de Zydas eth0, la selecciono y listo. Modo monitor activado.

El proceso puede hacerse también manualmente mediante ventana y comando correspondiente. Para
ello, abrimos Shell y escribimos el siguiente comando:
Para Atheros…

Código: airmon-ng start wifi0

De esta forma al usar la interface wifi0, lo que hemos hecho es crear una interface ath1 (que es la
interface de atheros), y es esta la que se activa en modo monitor. En la foto vemos ambas formas de
poner la tarjeta en modo monitor.
Para Ralink Usb…

Código: airmon-ng start rausb0

Observad que en este caso, para la Ralink con driver RT2500 tenemos que forzarla para utilizar el
RT73 que es el funciona.
*Ahora veremos cómo poner en modo monitor un dispositivo Usb con chipset Realtek en Wifislax 3.1
y poder usar airoscript con él. En este caso la tarjeta en si es la siguiente:

GOLD USB 800mW con chipset Realtek.

Una vez estamos ya en Wifislax 3.1, abrimos shell y escribimos para que detecte nuestra tarjeta:

Código: iwconfig

Presionamos enter y de nuevo escribimos:

Código: iwconfig wlan0

Recordad que wlan0 = la interface de Realtek

Tras presionar enter escribimos:

Código: iwconfig wlan0 essid pepe

No tiene por qué ser “pepe”, puede ser lo que vosotros


queráis, simplemente requiere un nombre, no tiene mayor
historia. Vemos la imagen de abajo para que quede más
claro.

Esta manera de poner el dispositivo con chipset Realtek, en


modo monitor es solo en Wifislax 3.1, ya que en versiones a
partir de Wifiway 1.0 ya está solucionado este problema, y
no es necesario todo esto.
Tras presionar enter, lo único que deberemos tener en cuenta es el hecho de no cerrar esa ventana, de lo
contrario tendremos que volver a repetir el proceso. Pues nada, ya simplemente nos queda abrir
airoscript y manos a la obra.

Hay que comentar que para realizar el proceso inverso y deshabilitar el modo monitor, habría que
realizar el proceso cambiando “start”, por “stop”. En una Shell escribir el siguiente comando;
Para Atheros…

Código: airmon-ng stop ath1

Recordad que ath1 fue la interface que nos creó anteriormente, en el caso de que tuviéramos más
atheros, habría que hacerlo con el número que tocara; ath1, ath2, ath3, etc...

Para hacerlo mediante el ratón, sería Menú-Wifislax-Asistencia chipset-asistencia chipset Atheros-


modo managed.

Para la Ralink, en ventana escribir:

Código: airmon-ng stop rausb0

Para la Realtek…

Código: airmon-ng stop wlan0

Dicho esto, queda claro que el proceso puede hacerse en ambas formas, mediante el uso del ratón y el
uso de comandos.

PROBLEMAS CON BEACONS

Una de las preguntas más frecuente suele ser: “Me suben los beacons pero no los datas”

¿Qué significa esto? Esto no es otra cosa que simplemente estamos viendo pasar ante nuestras narices
paquetes, pero estos no sirven, ya que solo son paquetes anuncio y por ende no contienen los datos de
la clave. Obvio decir que si estamos capturando beacons y ningún data, estamos perdiendo el tiempo.

La respuesta a la pregunta me suben los beacons pero no los datas es que sencillamente puede que el
Ap no esté navegando, que no estemos asociados a él, o que simplemente esté ahí, sin hacer nada,
encendido.

Pueden pasar miles de paquetes por nuestras narices, o mejor dicho por las narices de nuestra tarjeta.
Pueden pasar muchos, muchísimos pero si no estamos asociados con la red en cuestión, eso es todo lo
que vamos a ver. Solo veremos beacons.

Para que el invento funcione, deberemos de asociarnos y capturar lo que verdaderamente nos interesa;
datas. Fijaros en la siguiente foto.
Concretamente en la ventana Asociando con: (ESSID), se observa cómo nos hemos asociado con un
cliente (Association sucessful:-), pero al no haber movimiento entre la red y el cliente conectado a
esta, no podemos capturar. Lo que necesitamos entonces es generar el tráfico de alguna manera, y así
comenzar a provocar las peticiones ARP.

¿SE PUEDE SOLUCIONAR?

Si, para generar tráfico con nuestra propia tarjeta deberemos echar mano del tuto que Heavyloto ya
publicó en su día para tal fin, y nosotros vamos a usar ahora.

Una vez empezado todo el proceso y viendo que no suben las datas, debemos fijarnos si hay clientes
conectados. En caso afirmativo debemos asociarnos con un cliente y para ello abriremos Shell y
escribiremos en la misma:

Código: aireplay-ng -3 –b (Mac víctima) –h (Mac cliente) (las siglas de nuestra interface)

Esto es un A3. Reinyección de petición ARP.


Una vez presionemos enter, veremos como en algunos casos, las datas comienzan a moverse, en
ocasiones de una forma escandalosa, pero es lo que queremos no? Falta aclarar que es posible que
tardemos en capturar peticiones ARP, y este factor es más que IMPORTANTE, ya que necesitamos de
ellas, y si no hay tráfico el ataque no resultará efectivo.

En el caso de que no haya ningún cliente, o aunque lo haya, no exista tráfico entre el AP y el cliente,
deberemos generarlo nosotros mismos, utilizando para ello nuestra propia tarjeta. Para esto abrimos
Shell, y escribiremos lo siguiente:

Código: aireplay-ng -1 30 –o 1 –e (nombre del Ap) –a (Mac victima) –h (nuestra Mac) (nuestra interface)

Ahora hemos lanzado un A1. Ataque 1. Autentificación falsa

Esto hace que nosotros mismos nos asociemos como un cliente, y solo nos queda repetir el primer
ataque, pues ahora ya hay cliente, nosotros mismos.

NO CONSIGO DATAS, Iv’s

Haciendo uso de la, BIBLIA y apoyándome en pruebas realizadas, los posibles motivos por los que
no se consiguen datas pueden variar. Una de las principales causas suele ser el tema de la cobertura, si
no tenemos una cobertura buena (POWER) o esta es insuficiente, difícilmente podremos capturar.

Sería como intentar coger algo con la mano. Si lo que queremos coger, está diez centímetros más allá
de nuestros dedos, podríamos hacer un esfuerzo y rozarlo, pero no sería tan sencillo como si tuviéramos
una mano más grande. Esto se puede solucionar de dos formas, o bien poniendo una antena en
condiciones, o acercándonos al AP.

Otra causa, una vez más, podría ser el tráfico de red. Si por algún motivo este se paralizara, la captura
también lo hace. Otro motivo puede ser falla en la tarjeta que usamos, pero esto no debería ser
problema si hemos optado por un buen chipset, aunque de todas formas nunca estamos exentos de que
se nos averíe.

LOS DATAS SE ME PARAN A CIERTA CANTIDAD

La respuesta a esta pregunta es muy simple y tiene que ver con lo anterior. Es decir si hay tráfico de red
entre el AP y un cliente entonces es cuando podemos capturar peticiones ARP y datas, pero OJO, en
el momento que dicho tráfico se para es cuando también se para la captura y por tanto las datas
también se paran. Esto se soluciona de la misma forma que hemos hecho hasta ahora, es decir
asociándonos con el cliente. Si el cliente desapareciese, entonces obviamente tendríamos que generarlo
nosotros, para ello, una vez más, aplicaríamos el ataque citado anteriormente.

NO CONSIGO INYECTAR

Para inyectar necesitamos una vez más peticiones ARP. Para generar peticiones, deberemos seguir los
pasos leídos antes, pues al asociarse con un cliente o siendo uno mismo, empezaremos a capturar
peticiones. Si no hay peticiones ARP, es la pescadilla que se muerde la cola, porque no tenemos nada,
y por tanto la inyección no funciona. Nos fijamos para verlo más claro en la imagen de abajo, en la
última línea, vemos como hay 0 peticiones del ARP. La solución como se puede preveer pasa por
repetir los pasos citados antes y volver a asociarse con un cliente o generarlo, si no lo hubiese.

Nota: Esto no es una ciencia exacta, y puede que tardemos 1 minuto, o 1 mes en capturar la primera
petición ARP, por tanto el uso de Wifislax conlleva la práctica de la paciencia y la persistencia.

Ahora nos fijamos en la siguiente imagen, donde las peticiones ARP ya están disparadas, (nada que ver
con la imagen anterior, fijaros bien) además observamos por curiosidad la flecha blanca que señala a
las datas, que ya han sobrepasado las 250.000, y en la ventana de Aircracking que ya está buscando la
key.
En la última foto vemos como ya ha soltado la key con poco más de 540.000 datas, iv's, (ventana
derecha aircracking). Volviéndonos a fijar ahora en la ventana: "capturando datos del canal 2" ,
fijaros por curiosidad, la cantidad que lleva capturada (flecha blanca). Pero lo que de verdad importa es
empezar a capturar peticiones ARP, que ahora andan por algo más de los 8 millones.
PROBLEMAS CON LA CANTIDAD DE DATAS PARA RESOLVER KEY

Este es otro de los fenómenos que a menudo más se repite. Hay que tener en cuenta de primeras, que no
siempre todos las datas contienen la información necesaria como para que aircrack nos dé la clave con
una cantidad fija de los mismos. Esto siempre va a variar según la información contenida, y según el
tipo de clave, por ejemplo una clave en 104 bits es posible que requiera 1.000.000 de Iv’s o incluso
más.

Por otro lado si las datas que hemos capturados no contienen información variada y muchos son
repetitivos o negativos, lo que ocurrirá es que necesitaremos capturar más. Así que, que no nos pille de
sorpresa esto, ni tampoco nos lleve a la desesperación, simplemente pasa. En la imagen de abajo se
muestra la ventana de aircracking diciéndonos que algo ha fallado. La solución pasa por seguir
capturando datas y continuar con el proceso tal cual, volviendo a abrir aircrack cuando lo estimemos
oportuno.
¿ENTONCES CUANTOS DATAS HACEN FALTA PARA QUE AIRCRACK DE LA CLAVE?

Es más de lo mismo, pero voy a intentar mostrarlo con imágenes para que quede más claro. En esta
captura vemos como he intentado lanzar aircracking con casi 600.000 datas (una cantidad considerable
¿no?), y el proceso ha fallado.
¡!! PERO SI YA TENGO 250000 ¡¡¡ ¿¿¿Y NO ME LA DA????

Y qué???, no importa. Personalmente para mi 250.000 es una cantidad media que me ha dado muy
buenos resultados, pero esto no quiere decir que siempre tenga que ser así. Hubo ocasiones que soltó la
key con 150.000, otras con 14.000, y otras, como se ve en las imágenes, han hecho falta más de
600.000.

La imagen de abajo es la consecución de la anterior. Ha sido necesario capturar 400.000 más para este
fin.

Como se ve, todo es siempre cuestión de paciencia y persistencia. ¿Entonces, es imposible sacar la key
con cantidades menores? Pues no, no es imposible. Eso sí, hay que tener en cuenta que una clave en
104 bits, será fácil que nos haga falta capturar más datas, que otra más corta. Hay métodos y formas
para lanzar el aircrack.

El kit de la cuestión está en aprender a manejar de una forma correcta este asunto. Esto se consigue con
la lectura y el estudio de buenos manuales que ya andan por Elhacker.net hace tiempo.
En ellos se explica de forma muy detallada el uso y manejo de esta cuestión. Como detalle apuntaré
que el aircrack-ptw es bastante más eficaz y rápido que el aircrack-ng. No voy a extenderme más sobre
este asunto, tan solo veremos de una forma rápida como proceder. Vemos unas capturas.

Como se aprecia en la ventana de captura (izquierda superior), las datas ni siquiera llegan a 21.000 y el
aircracking ha resuelto la key con tan solo 19.488 paquetes. El proceso es simple pero ha de ser
ejecutado correctamente. Para ello explicaré el orden que se ha seguido.

Lo primero, a estas alturas ya debería ser obvio. Es decir, poner tarjeta en modo monitor, escaneo, etc.,
etc. Una vez capturando, procederemos a lanzar el aircrack, abriendo para ello una Shell, y escribiendo
el comando:

Código: aircrack-ptw

Dejamos un espacio tras este comando, y posteriormente arrastraremos la captura del AP


correspondiente. La captura deberemos buscarla siguiendo la ruta: /root/swireless/airoscript
La arrastraremos desde esa ventana hasta la Shell donde tenemos el comando aircrack-ptw
esperándonos.

Con esto conseguimos que aircrack empiece a trabajar desde ya, pero eso no quiere decir que tenga que
resolverla con la cantidad que en ese momento tiene capturada, ver sino en la imagen siguiente como se
han realizado varios intentos hasta que dio resultado.
Como se puede apreciar en este caso concreto, el primer intento fue con 14.141 paquetes y este erró, el
segundo con 16.067 también falló, el tercero ni siquiera se molestó, y el cuarto fue el definitivo. Para ir
cerrando este tema, comentaros que el proceso puede efectuarse con distintas fórmulas como el
comando aircrack-ptw y también con aircrack-ng. Además hay que comentar que existe una tercera
opción que sería con el comando aircrack-ng -z, esta última opción es bastante interesante, ya que nos
permite dejar nuestro pc capturando, y el solito volverá a intentarlo cada 5.000 datas.

Esta opción, la cual tiene una presentación más "bonita" tiene por contra que en portátiles puede darnos
problemas de calentamiento. Realizar vuestras propias pruebas al respecto, sin olvidaros también que
aircrack puede lanzarse también desde airoscript sin necesidad de hacerlo mediante Shell y comandos.
Está explicado en el manual básico para Wifislax, y recordad que la cantidad de datas es una ciencia
casi inexacta que en ocasiones nos llevarán minutos, y otras se nos irán las horas, días o vete tú a saber
cuánto.
Esta guía no representa un manual en sí, sino más bien es el apoyo que completa el manual básico para
Wifislax. Por eso hago hincapié en que deben de leerse otros muchos tutoriales y manuales que son los
que en definitiva nos llevan a este punto concreto en el que nos encontramos hoy. Por eso apunto
algunos enlaces que nos serán de mucha ayuda y no son solo recomendables sino más bien obligatorios
para poder llegar a entender las cosas de pleno.

La Biblia, manual por excelencia y obligatorio:

LA BIBLIA VERSION ORIGINAL AIRCRACK POR DEVINE

LA BIBLIA VERSION ACTUALIZADA POR MISTERX

Otros enlaces muy interesantes y prácticamente obligatorios también, son estos:

COMANDOS LINUX

DEFINICIONES

AIRCRACK-NG

ATAQUES WIFISLAX

GUIA NESTUMBLER Nestumbler es el programa por excelencia en detección de redes y entre otras
cosas nos muestra la potencia de la señal, el ruido, MAC del AP, ESSID, CANALES, etc. En definitiva
es obligatorio cuando escaneamos desde Windows, ya que en base a ello, tendremos una mejor
referencia a la hora de usar Wifislax. (No olvidemos que Wifislax corre bajo Linux). Podremos
encontrarlo fácilmente en la red.

Sin más preámbulos, vamos a pasar al siguiente punto de este tutorial.


2.- INTRODUCCION A LA SEGURIDAD WEP. Por Heavyloto.

DIFERENTES TIPOS DE ATAQUES POR COMANDOS EN WIFISLAX O WIFIWAY, EN


ESTE CASO USAREMOS WIFIWAY 1.0 FINAL.

 Ataque 0: Des-autentificación.
 Ataque 1: Autentificación falsa.
 Ataque 2: Selección interactiva del paquete a enviar.
 Ataque 3: Reinyección de petición ARP.
 Ataque 4: El “chopchop” de KoreK (predicción de CRC).

En primer lugar decir, que este manual/tutorial, está creado para, comprobar la vulnerabilidad de
nuestras redes, y no para fines maliciosos o delictivos, siendo de cada uno la responsabilidad del uso
que se le dé.

Una vez ya hemos abierto el Cd live (Wifislax, Wifiway), abrimos una Shell o consola, en la cual
comprobamos la interface de nuestra tarjeta, en este caso es una Alfa Usb 500mv, con chipset Realtek
8187L y ejecutamos el siguiente comando:

Código: iwconfig

Aquí nos dirá, si nuestra tarjeta es reconocida por el sistema o no lo es. Bien sabiendo ya la interface de
nuestra tarjeta que puede ser, wlan0, wlan1, ath0, etc, etc, dependiendo del chipset claro está. En este
caso es wlan0, (puesto que es Realtek), ejecutamos el airodump-ng, para abrir el escáner de redes en
la misma Shell.
Código: airodump-ng wlan0

Una vez abierto el escáner de redes como veis en la foto, nos muestra todas las redes a nuestro alcance.
Seleccionamos nuestra red, de la cual debemos saber, bssid (Mac del AP), ch (canal donde emite),
essid (nombre del AP), vamos a crear un archivo donde se guardaran nuestras capturas, paramos el
escáner, con Ctrl+c, y escribimos en la misma Shell:

Código: airodump-ng -c ch -–bssid (Mac del AP) -w (nombre archivo) wlan0

Nota: de aquí en adelante tomaremos como referencia el bssid


aa:bb:cc:dd:ee:ff de una forma simbólica, entendemos que cada uno
pondrá la que le corresponda en su caso.
Por ejemplo el canal es, el 6 y la bssid es, aa:bb:cc:dd:ee:ff (se entiende que habremos de poner los
reales), el nombre del archivo lo inventamos, por ejemplo, lan, quedaría así:
Código: airodump-ng –c 6 -–bssid aa:bb:cc:dd:ee:ff –w lan wlan0

Una vez hemos ejecutado esto nos quedara en pantalla nuestro AP, donde veremos si hay cliente, que
aparecerá debajo de STATION. Si no lo hay, en otra Shell, sin cerrar esta, ejecutamos el siguiente
comando que pertenece al Ataque 1.

Código: aireplay-ng -1 30 -o 1 -e (nombre bssid) -a aa:bb:cc:dd:ee:ff -h (Mac de nuestra tarjeta) wlan0

Bien, suponiendo que nuestro AP se llama PERICO, y la Mac de nuestra tarjeta es 00:11:22:33:44:55,
quedaría así:

Código: aireplay-ng -1 30 -o 1 -e PERICO -a aa:bb:cc:dd:ee:ff -h 00:11:22:33:44:55 wlan0

En el caso de que se llame PERICO DE LOS PALOTES, pondremos el nombre entre comillas, ya
que cuando el essid lleva espacios se hace de esta forma. Ejemplo:
Código: aireplay-ng -1 30 -o 1 -e “PERICO DE LOS PALOTES” -a aa:bb:cc:dd:ee:ff -h 00:11:22:33:44:55 wlan0

Ahora saldrá el Mac de nuestra tarjeta debajo de STATION, (en algunas ocasiones).

Como ya sabemos, estamos haciendo una asociación falsa a nuestro AP, que si hemos tenido éxito y
estamos asociados, debajo de AUTH saldrá OPN, y saldrá la Mac de nuestra tarjeta debajo de
STATION, (esta Shell podemos pararla) en otra Shell ejecutamos el Ataque 3.
Código: aireplay-ng -3 -b aa:bb:cc:dd:ee:ff -h 00:11:22:33:44:55 wlan0

Si tenemos suerte y conseguimos inyectar, estarán subiendo las datas al mismo tiempo más o menos
que las peticiones ARP, que a la vez, se estarán guardando en el archivo que creamos al principio.

Una vez hayamos superado las 50.000 datas, (más o menos, podemos hacerlo antes, pero es
aconsejable a partir de ahí), ejecutamos aircrack, en otra Shell, de la siguiente manera.
Como nosotros lo habíamos llamado lan, lo haremos así:
Citar: aircrack-ptw lan-01.cap

Y hay esta nuestra clave, (foto de arriba). En este caso, hemos necesitado 44.092 datas y hemos
capturado 39.921 paquetes.

Ahora bien, si resulta que ya tenemos un cliente (siguiente foto, donde apunta la flecha) y su Mac es
aa:bb:cc:dd:ee:ff, aplicamos directamente el Ataque 3.
Ataque 3

Código: aireplay-ng -3 -b Mac víctima -h aa:bb:cc:dd:ee:ff interface

Asociándonos de esta manera con la Mac del cliente, en este caso aa:bb:cc:dd:ee:ff
Donde, ocurrirá también lo mencionado anteriormente, y la misma operación, en alcanzar datas
suficientes y capturar los paquetes necesarios, igual que antes, ejecutamos;

Código: aircrack-ptw (nombre archivo)-01.cap

Que con un poquito de suerte nos dirá la clave, que ente caso, hemos necesitado, 44.351 datas y 34.173
paquetes. (Foto de arriba, ventana pequeña).

Ahora, vamos al momento en que nuestro AP a pesar de estar correctamente asociado, o tener cliente,
no conseguimos inyectar, por que las datas no suben o suben muy despacio, y no hay manera de
enganchar una para la inyección. Utilizaremos el Ataque 2, o bien después de un Ataque 1, o un Ataque
3, según correspondiera, si hubiera cliente o no, sería el siguiente comando.

Código: aireplay-ng -2 –p 0841 –c ff:ff:ff:ff:ff:ff –b (bssid del Ap) –h (nuestra bssid o la del cliente) wlan0

(A estas alturas ya sabemos asociarnos, ¿verdad?) ;


Como estamos asociados con éxito, utilizamos nuestra Mac o bssid, (la real, no la simbólica que en
este caso es 00:11:22:33:44:55)
Código: aireplay-ng -2 –p 0841 –c ff:ff:ff:ff:ff:ff –b aa:bb:cc:dd:ee:ff -h 00:11:22:33:44:55 wlan0

Nota: En este ataque sí que hay que poner tal cual ff:ff:ff:ff:ff:ff, ya que así lo requiere el propio
ataque.

Aquí estamos enviando paquetes, a la espera de que suba una data que nos facilite la inyección, a veces
es con la primera que sube pero otras no, por lo que repetimos el ataque, hasta que nos funcione, aquí
hemos tenido suerte y lo ha hecho con la primera como veis en la siguiente imagen.

Ahora nos preguntará si queremos utilizar los paquetes, simplemente le decimos, yes.
A partir de ahora empezaremos a capturar, si tenemos suerte a una velocidad razonable, fijaros sino en
las tres flechas que marco a continuación.
Cuando utilicemos este ataque, debemos tener en cuenta que vamos a necesitar 500.000, Iv’s, datas,
para obtener la clave, podemos atacar antes, a veces funciona pero esa es la cantidad recomendable,
aquí aircrack, lo utilizamos sin el –ptw, quedaría así.

Código: aircrack lan-01.cap

Como veis, nos ha dado la clave y su conversión a ASCII

Para terminar vamos a ver de una forma breve el famoso Chop Chop de Korek.

ATAQUE 4 : El “chopchop” de KoreK (predicción de CRC)

Podría explicar este ataque y liarlo como ya está más que liado por la red, pero hay un compañero,
(manel) del foro hermano Seguridad Wireless, que lo hace de una forma sencilla y comprensible, en
la línea en que se basa este tutorial. Con su permiso hemos añadido, su post en Seguridad Wireless.

http://foro.seguridadwireless.net/manuales-de-wifislax-wifiway/chop-chop-con-bosslanalfa-a1-a4-
a2-sin-clientes/

Y esto es todo lo que puedo ofrecer, a base de comandos en Shell, por supuesto hay varias formas de
interpretar los comandos, aquí hemos utilizado una de ellas, espero que este clarito, y os sirva de ayuda
en la seguridad de vuestras redes.
WLANDECRYPTER

Ahora vamos a comprobar la vulnerabilidad de las redes WLAN_XX de telefónica. El Wlandecrypter


es un pequeño generador de diccionarios para este tipo de redes, el cual se incluye en la distro Wifiway
1.0 final. El funcionamiento de Wlandecrypter es muy sencillo y básico. Lo único, que no poco, jeje,
que hace este programa es generar un diccionario con las posibles claves WEP de las redes
WLAN_XX. Más abajo lo generaremos para verlo más claro, lo marco con tres asteriscos para que
sepamos en que momento lo estamos creando y no nos perdamos.

Yo voy hacer una demostración de su sencillez de uso, ya que con pocos paquetes, nos dará la clave en
pocos segundos. En esta ocasión voy a usar esta tarjeta; GOLD USB Wireless 54Mbps 802.11g
Chipset Zydas.

Bien, abrimos airodump-ng para visualizar las redes como ya sabemos, en esta tarjeta la interface
también es wlan0, con lo cual escribimos:

Código: airodump-ng wlan0

Aquí seleccionamos, nuestra WLAN_XX para capturar paquetes, de la siguiente manera y teniendo en
cuenta que vamos a crear el archivo que llamaremos lan, y la bssid del AP es 00:11:22:33:44:55

Código: airodump-ng –bssid 00:11:22:33:44:55 –w lan wlan0

Y quedará de la siguiente manera:


*** Ahora vamos a generar un diccionario con las posibles claves, usando este comando para
Wlandecrypter.

Código: wlandecrypter 00:11:22:33:44:55 WLAN_XX diccionario

Hemos generado un fichero, llamado diccionario que contiene las posibles claves, a continuación
ejecutamos aircrack-ng añadiendo el diccionario creado y nuestro archivo.
Código: aircrack-ng –w diccionario lan-01.cap

Ya tenemos nuestro diccionario trabajando. En pocos segundos con un poco de suerte…


…ya tenemos nuestra clave, con muy poquitos paquetes, en un plis plas, ¿sencillo verdad?, pues esta es
la seguridad que tenemos en nuestra WLAN_XX, con cifrado WEP.

Wlandecrypter no es el único programa para redes concretas, entre otros tenemos; Jazzteldecrypter,
Decsagem, Netgear, y otros cuantos más que se están gestando para aparecer en un futuro no muy
lejano. Cuando lo veamos oportuno iremos actualizándonos en todo este terreno. De momento aquí os
he dejado parte de nuestro trabajo, que como comenté antes iremos extendiendo con el tiempo.
3.- INTRODUCCION A LA SEGURIDAD WPA. Por Zydas

ATAQUES WPA (by Zydas)

Para que la cosa no se complique a la hora de instalar programas en Linux nos basaremos en los
programas que trae por defecto Wifiway 1.0 final, aunque algunos programas también se encuentran en
Windows, iremos mostrando los enlaces.

1.- ¿Qué diferencia existe entre WEP Y WPA?

En ambos sistemas de encriptación los datos están cifrados para que los usuarios que no conozcan la
clave no puedan descifrarlos y por lo tanto no puedan entrar en la red.

En la encriptación WEP, la clave se encuentra en cada uno de los paquetes que se transmiten entre
el PC y el router, mientras que en la WPA la clave solo aparece en el momento de la conexión. En la
WPA una vez se haya autentificado el usuario con el router, la clave ya no aparece en los datos
transmitidos.

Para conseguir una clave WEP es necesario obtener la mayor cantidad posible de datas porque así
tenemos mayor probabilidad de encontrar la clave, no ocurre lo mismo para las WPA.

2.- Capturar un handshake (Clave WPA encriptada).

La clave WPA encriptada se llama handshake, entonces, para poder obtener la clave, primero debemos
capturar un handshake, es decir el paquete o data que contiene la clave WPA en sí, y se transmite en el
momento de conexión entre el usuario legítimo y el router. Solo este paquete contiene la clave.
Primero tenemos que escanear con airodump para encontrar la red con clave Wpa, para ello abrimos
shell y lanzamos airodump-ng.
Código: airodump-ng <interface>

* Ya nos quedó claro como abrir un shell, que es y cómo identificar la interface de nuestro dispositivo
en la sección de Wifislax de Rockeropasiempre,..

* Nos tiene que aparecer alguna red con clave WPA lógicamente para poder continuar...

Tenemos una red con clave WPA llamada “wpa_psk” (imagen de arriba) que usaremos como ejemplo
para el ataque. Para ello volvemos a lanzar airodump pero con los filtros para poder capturar solamente
esa red.
Código: airodump-ng -c <canal> --bssid <mac ap> -w <archivo.cap> <interface>

Como hemos comentado antes, la clave WPA solo se transmite en el momento de la conexión y si
tenemos que esperar a que un cliente legítimo se conecte y transmita el handshake cuando nosotros
estemos preparados para su captura nos podemos hacer viejos. Así que nos las vamos a ingeniar para
que el cliente legítimo se caiga de su red y de forma automática se vuelva a conectar, nosotros
estaremos esperando ese preciado paquete que contiene el handshake.

Vamos ahora a capturar nuestro handshake, para ello lanzamos un A0 en el canal de nuestro

cliente, para ello lanzamos el ataque A0 30 veces. (Esto no quiere decir abrir 30 ventanas )

Código: aireplay-ng -0 30 –a <mac ap> -c <mac cliente> <interface>


*SI NO HAY CLIENTE CONECTADO NO HAY HANDSHAKE

Cuando haya terminado y sin parar el airodump-ng lanzamos aircrack-ng para ver si nuestra señal es
suficientemente fuerte para hacer caer de la red a nuestro cliente legítimo y hemos capturado el
handshake. Usaremos el siguiente código.

Código: aircrack-ng achive-01.cap

Si no aparece el mensaje ”WPA (1 handshake)” (imagen de arriba) es que hemos fracasado y


debemos repetir el A0 o también aumentar nuestro nivel de señal para que nuestra señal sea más fuerte
que la del cliente y poder desconectarlo *(DoS).

*(DoS) Ataque DoS. Denegación de servicio.

Si nos falla el A0 para obtener el handshake, probaremos lanzando el programa mdk3 incluido también
en wifiway 1.0. En este manual utilizaremos los parámetros por defecto, pero para aquellos que quieran
realizar sus propias pruebas aquí os dejo las opciones.
Código: mdk3 <interface> m –t <mac ap>

Estas son las opciones para wpa_tkip:

m -Michael shutdown exploitation (TKIP)

Cancels all traffic continuously

-t <bssid>

Set Mac address of target AP

-w <seconds>

Seconds between bursts (Default: 10)

-n <ppb>

Set packets per burst (Default: 70)

-s <pps>

Set speed (Default: 400)

Con este ataque mdk3 se suprime todo el tráfico entre el AP y el cliente de forma continua, hasta que
anulemos el ataque con Ctrl+c, y por tanto haciendo que el cliente legítimo se desconecte. Este ataque
se debe estar ejecutando durante unos segundos (entre 10 y 40) para asegurar DoS (denegación de
servicio).

Una vez lanzado mdk3 volvemos a comprobar con aircrack si hemos obtenido el handshake, si no es
así, tendremos que aumentar nuestro nivel de señal, para ello podemos usar antenas de mayor ganancia,
acercarnos al router, usar amplificadores, etc.
SI NO HAY HANDSHAKE NO HAY CLAVE WPA.

YA TENGO UN HANDSHAKE --- ATAQUE POR DICCIONARIO

1.- Usando aircrack-ng

Una vez tengamos un handshake capturado en un archivo cap., lo que haremos es lanzar aircrack-ng
con la opción “–w “para archivos cap. y ataque por diccionario, al igual que se usa en Wlandecrypter,
para ello lanzaremos el siguiente comando:

Código: aircrack-ng –w <diccionario.lst> < archivo-01.cap >

Después de que termine aircrack-ng y comparar cada una de las palabras con el handshake del achivo-
01.cap, nos mostrará el siguiente mensaje, (si la clave ha sido encontrada).
2.- Usando Cowpattyp.

Existe también Cowpatty plus (Cowtattyp) con más opciones, pero nosotros nos basaremos en
Cowpatty.

Para aquellos que usan Windows aquí tienen Cowpatty para Windows. Este programa puede trabajar
de dos formas, una forma de trabajar es igual que aircrack-ng, de forma que le damos como entradas el
diccionario, el archivo cap. y el essid.

Código: cowpatty –r <archivo-01.cap > –f <diccionario plano> -s <essid>

Otra forma es creando un rainbow table con hash-1 y el diccionario. Este tipo de ataque es mucho más
rápido que aircrack-ng, pero tiene el inconveniente de que primero debemos crear un diccionario pre
computado (rainbow table) y sólo es válido para la misma essid, es decir que si tenemos una red con
diferente nombre (diferente essid) no podemos usar el mismo rainbow table, debemos crear otro con el
nuevo essid, aunque el diccionario sea el mismo. Esto es debido a que la clave WPA está “mezclada”
con el nombre de la red (essid) y por lo tanto sólo es válido para ese nombre de red.

La ventaja de este sistema es, que existen redes con el mismo essid como por ejemplo TELE2, y por lo
tanto nos valdría el mismo rainbow table y la obtención de la clave WPA se haría en unos pocos
minutos (si ese diccionario es bueno y contiene la clave).

Links rainbow table para tele2;

http://www.megaupload.com/?d=JC9BDMZF

http://www.megaupload.com/?d=V91T1SMB parte 1

http://www.megaupload.com/?d=VRNWO2DH parte 2

http://www.megaupload.com/?d=QVWHJZDB parte 3

http://www.megaupload.com/?d=3Z3FCIW6 parte 4

http://www.megaupload.com/?d=N7YF42E5 parte 5

Juntad los archivos (5 últimos links) con cat y descomprimir con lzma

http://megaupload.com/?d=I7DIGKLT
http://megaupload.com/?d=R0VODZE0
http://www.megaupload.com/?d=UQCUYVJ6

Dejando las redes tele2 aparte, para poder usar Cowpatty con rainbow table es necesario pre
computar nuestro diccionario con el essid de la red, para ello utilizaremos la utilidad genpmk que
incluye Cowpatty. Vamos ahora a generar nuestro rainbow table para nuestro diccionario plano y
nuestro essid.
Código: genmpk -f <diccionario plano> -d <diccionario pre computado> -s <essid>

-f Archivo en texto plano (diccionario)

-d Archivo de salida, el archivo nuevo que se creará para usar con Cowpatty (rainbow table)

-s essid (nombre de la red)

Con este comando hemos creado un diccionario pre computado (rainbow) llamado hash-1wpa, para
después utilizarlo con el Cowpatty, dependiendo del tamaño del diccionario puede durar horas. Este es
el mismo procedimiento que utiliza el programa wpa_passphrase (incluido en Wifiway) pero con
diccionario plano y almacenando el resultado en un rainbow table.

Cuando termine genpmk-ng lanzaremos el Cowpatty que es mucho más rápido que aircrack-ng ya que
parte del trabajo lo hemos hecho con genpmk-ng.

Código: cowpatty –r <archive-01.cap > –d <rainbow table> -s <essid>

Una vez que haya terminado, si la clave está en rainbow table (diccionario pre computado) tendremos
la clave.

Si nuestra clave no se encuentra en el diccionario, entonces tendremos que probar con otros
diccionarios, aquí tenéis unos cuantos links para que tengáis vuestro PC ocupado.
Links de diccionarios planos:

http://www.megaupload.com/?d=Y24D0C72
http://www.megaupload.com/?d=SH49LXYW
http://www.megaupload.com/?d=85ZFE6M0
http://www.megaupload.com/?d=Y7H5CKHJ

PROBLEMAS CON DICCIONARIOS (RETORNO DE CARRO).

Dependiendo el sistema operativo y programa que genere el diccionario de texto plano, nos puede dar
problemas con el retorno de carro <cr>, es decir, que la clave se encuentre en el diccionario pero
nuestro programa (aircrack-ng, cowpatty) no la encuentra. Ello es debido a que el retorno de carro lo
incluye dentro de la palabra. Windows cuando termina una línea añade retorno de carro (cr) y fin de
línea (lf), en Unix solamente se añade fin de línea. El programa dos2unix lo que hace es eliminar el
retorno de carro en cada una de las palabras del diccionario.

Ejemplo:

Diccionario Windows--------------------------------------------------------------------------Diccionario unix

12345678<cr><lf> 12345678<lf>
87654321<cr><lf> 87654321<lf>
Asdfghjk<cr><lf> asdfghjk<lf>

Aquí tenéis unos conversores de texto plano de un sistema operativo a otro.

http://www.gammon.com.au/files/pennmush/unix2dos.zip - 19K - program to convert unix text


files to DOS format.

http://www.gammon.com.au/files/pennmush/dos2unix.zip - 19K - program to convert DOS text


files to Unix format.

http://www.gammon.com.au/files/pennmush/mac2unix.zip - 19K - program to convert Macintosh


text files to Unix format.

http://www.gammon.com.au/files/pennmush/unix2mac.zip - 19K - program to convert Unix text


files to Macintosh format.

http://www.gammon.com.au/files/pennmush/unix2dos.c - 7K - source code used to compile above


4 conversion programs.
YA TENGO UNA HANDSHAKE --- ATAQUE POR FUERZA BRUTA JOHNTHERIPPER.

Este ataque consiste en generar un diccionario secuencial y almacenarlo o mandárselo directamente a


aircrack-ng. Como normalmente las claves WPA admiten como mínimo 8 caracteres y como máximo
64, es inútil usar diccionarios con palabras inferiores a 8 caracteres. Si tenemos la suerte de que la
clave sea de 8 caracteres, pues bien, son 324.293.000.000.000.000.000.000 combinaciones, por lo que
podemos tardar sólo unos pocos años.

Por ejemplo cogiendo las letras de a-z sin contar ñ y cogiendo solo minúsculas serían 26 letras, más 10
números en total 36 caracteres y la clave WPA que elegimos es de 15 caracteres.

abcdefghijklmnopqrstuvwxyz0123456789 ---> 36 caracteres

36 caracteres=221.073.919.720.733.357.899.776 palabras

Suponiendo que el programa, y nuestro ordenador sea capaz de analizar 200.000 palabras por segundo
(cosa que dudo mucho), pues tardaría 3.505.104.000 años (jóderrrrrrr).

Para el ataque por fuerza bruta usaremos el programa Johntheripper, como NO lo tenemos en
Wifiway tenemos que instalado, para ello lanzamos lo siguientes comandos:

Código:

wget http://www.openwall.com/john/f/john-1.7.0.2.tar.gz

tar -xzvf john-1.7.0.2.tar.gz

cd john-1.7.0.2/src

make clean generic

cd ..

cd run

cp john /usr/local/bin/

Si todo ha salido bien podremos lanzar John.


Para aquellos que usáis Windows aquí tenéis Johntheripper para Windows, es posible que vuestro
antivirus lo confunda con un virus al igual que ocurre con cain.

No voy a ser muy exhaustivo con este ataque ya que es muy lento y muy poco efectivo en claves WPA
pero es un clásico del hack. Para lanzar John con diccionario usar este comando:

Código: john --stdout --wordlist=<diccionario> --rules | aircrack-ng –e <essid> -a 2 -w – <archive.cap>

Para usar John como fuerza bruta y que tome todas las combinaciones, usar este comando:

Código: John -incremental=all | aircrack-ng.exe –e <essid> -a 2 -w – <archivo.cap>


YA TENGO UNA HANDSHAKE --- ATAQUE POR FUERZA BRUTA CON DISTRIBUTED
PASSWORD RECOVERY

Este programa está diseñado especialmente para descubrir claves por fuerza bruta y trabaja bajo
Windows, no voy a poner el link de descarga ya que es un programa de pago. Distributed password
recovery puede trabajar con la CPU de nuestro PC o con la GPU (procesador de la tarjeta gráfica) de
tarjetas Nvidia. Para poder trabajar con la GPU es necesario tener los últimos drivers actualizados,
como yo no tengo Nvidia sólo explicaré para trabajar con la CPU.

Este programa parece ser el Tendón de Aquiles de las WPA porque aunque trabaje por fuerza bruta es
capar de utilizar las GPU que son 140 veces más rápidas que las CPU.

Lo primero que debemos hacer es ejecutar el programa Distributed Agent si no está ejecutándose, y lo
mantendremos minimizado ya que éste se encargará del control de la CPU, después lanzaremos
Distributed password recovery y abriremos nuestro archivo cap. con el handshake.

Una vez abierto el archivo cap. nos aparecerá una ventana como la de abajo, en donde el programa
reconoce que el archivo cap. contiene una clave WPA, y nos muestra el nombre de la red, la mac del
AP y la mac del cliente.
Ahora tendremos que elegir la longitud de caracteres, y que caracteres vamos a utilizar para la fuerza
bruta. Normalmente se elegirá el abecedario en minúsculas y los números del 0 al 9 con una longitud
de la clave de 8 caracteres como mínimo y un máximo que puede ser desde 8 a 64, lo normal sería 9 o
10.
Cuando el proceso haya terminado, clicaremos en “result” para conocer la clave WPA, este proceso
puede tardar desde horas hasta meses o incluso años, dependiendo de la velocidad de trabajo, longitud
de la clave y cantidad de caracteres a usar.
ATAQUE CON TKIPTUN-NG

Para aquellos que usáis Windows aquí tenéis un link con la suite arcircrack-ng, incluido tkiptun-ng
para Windows. Para los que usen Wifiway 1.0 final no hace falta instalarlo, ya está incluido en el cd.

Esta ataque está desarrollado por los chicos de aircrack-ng y todavía no está totalmente
desarrollado sobre todo la última parte, por lo que NO va ha encontrar la clave WPA. Este programa
tiene sus limitaciones con respecto a las tarjetas soportadas.

Las limitaciones son las siguientes:

-Funciona con RT73 y RTL8187L (posiblemente con otros drivers también).

-No es compatible con los drivers madwifi-ng.

-No está totalmente terminado, sobre todo la última parte.

-Tanto el cliente como el AP tienen que tener activado el QoS (calidad de servicio) o en algunos AP
se les llama WMM (Wifi multimedia).

-El cliente debe estar conectado al AP en todo el proceso que dura como mínimo 20 minutos (aunque
pueden tardar varias horas).

-El AP debe estar configurado en modo WPA_PSK.

Este programa tiene varias fases, La primera consiste en obtener el handshake con la desautentificación
del cliente, una vez conseguido el handshake y un ARP válido se inyectan los paquetes. Yo no he
conseguido terminar el proceso y tampoco sé muy bien cómo funciona.

Para lanzar tkiptun-ng.

Código: tkiptun-ng –a <maca p> -h <mac cliente> -m 80 –n 100 <interface>


¡Esto es todo amigos!

By Zydas

Hasta aquí nuestros conocimientos y fuerza de voluntad. Nos ha llevado un largo periodo de tiempo
recopilar, estudiar, e intercambiar opiniones para llegar hasta este punto. Esperamos que este manual
sea de vuestro agrado y lo utilicéis para vuestras pruebas de una forma correcta.

Una vez más dar las gracias al foro de Elhacker.net por la oportunidad de plasmar nuestras propias
experiencias, y poder compartir todas las de los usuarios entre sí.