Professional Documents
Culture Documents
6
En primer lugar abrimos la carpeta /sys/class/net/wifi0/device
En la misma carpeta modificamos el archivo que pone bssid y pondremos la mac del ap
tambien modificamos el archivo que pone channel por el canal correspondiente.
Una vez echo esto podremos inyectar tal y como lo hacemos con la demas tarjetas, pero esa
vez con una peculiardad y es que para capturar usaremos la rtap0 y para inyectar la interfaz
wifi0
airodump-ng rtap0
Con esto comprobamos cual es el canal de ap a atacar y tambien el bssid luego abrimos otra
terminal y con el aireplay-ng hacemos de la siguiente forma:
airodump-ng rtap0
Con esto lo que nos queda es esperar a que el aireplay-ng coja el arp. Para finalizar lo que
tenemos que hacer es
aircrack-ptw archivo.cap
ifconfig wifi0 up
____________________________________
Cuando termina de cargar, aparece un menú que dice “startx”, “autox”, “kde”, etc. Yo les
recomiendo que escriban “kde”. Lo recomiendo porque con ese gestor de ventanas hice las
imágenes que verán a continuación.
Cuando Wifiway ya terminó de cargar la interfaz KDE, veremos una pantalla parecida a la
siguiente
[paso01]
Den clic en el Menú K, luego seleccionan el menú Wifiway, luego se van a Suite Aircrack-ng y
seleccionan airmon-ng (start mode monitor). Les aparecerá la siguiente pantalla.
[paso02]
En la ventana Start Mode Monitor, verán un dropdownlist que dice Interface, seleccionen
wlan0 o ath0 y presionen el botón Aplicar. NOTA: Si no les aparece el elemento wlan0, significa
que no fue detectada tu tarjeta de red inalámbrica y no puede inyectar tráfico. Cuando des clic
en el botón Aplicar, aparecerá la pantalla en negro que se ve en la imagen [paso02] Si la
ventana en negro les dice (monitor mode enabled on mon0), significa que la tarjeta de red
inalámbrica fue correctamente configurada para inyectar tráfico falso y podemos continuar.
Cierren ambas ventanas.
Ahora que no hay ninguna ventana abierta, presiona otra vez en el Menú K, luego Wifiway,
luego Wireless, y busca un programa llamado airoscript new (spain). Dale clic
[paso02-5]
[paso05] te está preguntando en que tarjeta de red va a leer datos. Selecciona la que diga
mon0, en el ejemplo, mon0 le corresponde el numero 4. Presiona el 4 y da enter.
En esta pantalla
[paso06] te aparece un menú. Selecciona la opción 1. Vamos a elegir la red que queremos
atacar.
En la siguiente ventana
[paso07] Esta pantalla te está preguntando qué tipo de redes inalámbricas quieres escanear.
Hay varios tipos. Wep, wpa, wpa1, wpa2, o ninguna. La mayoría de las redes están en WEP. Por
ahora presiona el numero 1 porque queremos ver todas las redes detectadas.
En la siguiente ventana
[paso09] vamos a dejar que se ejecute durante 1 minuto (máximo 2) para que detecte todas
las redes inalámbricas más cercanas, y le echamos el ojo a la red que queremos atacar. A la
derecha aparece el nombre de la red. Cuando haya pasado un minuto o dos, cerramos la
ventana azul y nos quedaremos con la ventana de color negro (donde está el menú).
Ahora en la ventana del menú
[paso10], elegimos el numero 2 porque vamos a seleccionar qué red queremos atacar.
En la siguiente ventana
[paso11] elegimos la red que queremos atacar. En este ejemplo, elegimos la red
INFINITUM4243, y le corresponde el número 1 (el numero se ve a la izquierda). Elige la red que
tu quieres atacar, escribiendo su número correspondiente y dale enter.
A la siguiente ventana
En esta pantalla
Ahora
[paso15] Aparecerán 3 ventanas, y la ventana del menú quedará un poco oculta. La ventana
con letras rojas, indica que la tarjeta de red inalámbrica está estableciendo comunicación con
el router atacado, haciéndole creer que hay un dispositivo de red inalámbrico con
autorización. La ventana con las letras verdes, está inyectando paquetes falsos al router para
simular tráfico. La ventana azul de arriba, únicamente está censando cuantos datos han sido
capturados. Si llega a pasar que una de las tres ventanas se cierra solita, es indicio de que
físicamente el router tenga una señal muy débil. En ese caso, debemos elegir otra red. En la
ventana de color azul, noten la columna que dice #Data. Esta columna es muy importante, ya
que es la cantidad de datos que hemos inyectado al router. Dejemos estas tres ventanas
abiertas durante uno o dos minutos (en algunos casos podría ser mas tiempo).
Constantemente verifiquemos el valor que aparece en la columna #Data, y esperemos que
alcance el valor de 20,000. Cuando la columna #Data pase los 20,000 datos, podemos cerrar
una por una la ventana de letras rojas, la de letras verdes y la ventana de color azul. Cuando las
tres ventanas estén cerradas volveremos a la ventana del menú.
[paso16] elegimos la opción 4, porque ya tenemos suficientes datos para poder calcular la
clave de la red.
[paso20] y nos muestra la contraseña de la red inalámbrica que atacamos. En este ejemplo
vemos: KEY FOUND! [20:33:99:60:38] La clave de la red son los números 20:33:99:60:38 estos
números están en hexadecimal. Anotemos estos números, junto con los dos puntos y
cerremos Linux y pasémonos a Windows. Si quieres conectarte a la red que atacamos usando
Linux, ya sabes cómo hacerlo.
[paso22] En el campo de texto escribe los números que anotaste 20:33:99:60:38, pero SIN LOS
DOS PUNTOS Y SIN ESPACIOS. Vas a escribir 2033996038 en ambos cuadros de texto y
presionas Conectar. Después de algunos segundos, ya estarás conectado a esa red.
Hemos terminado.
wesside-ng -i wlan0
wget http://www.wifiway.org/stkeys/install.sh.gz
gzip -d install.sh.gz
chmod +x install.sh
./install.sh
Introducción
Así pues, si el sistema goza de buena robustez en la actualidad, nos planteamos… hay
algún otro punto débil que afecte el sistema? Pues si, estudiar el proceso de generación
de los datos preconfigurados en los equipos subministrados por los fabricantes y/o ISPs.
Hay un dato relevante para este planteamiento: La mayoría de gente que dispone de una
red inalámbrica mantiene los parámetros preconfigurados en los equipos, tanto
WEP/WPA, ya sea por el desconocimiento de la materia, o simplemente por dejadez. Y
si no, para comprobarlo basta con hacer un escaneo de redes en el que observarás que
un alto porcentaje de las redes encontradas mantienen los parámetros de fábrica o
establecidos por el ISP en su ESSID, lo que da a pensar que con la contraseña pasa lo
mismo.
Con esto, pensaréis que los fabricantes y/o ISPs utilizan un proceso muy complejo para
la generación de estos parámetros, con el fin de evitar que toda la fortaleza del
protocolo de cifrado (al menos en el WPA) se vea mermada por culpa de este proceso.
Pues no es del todo así.
En este caso, nos propusimos aplicar esta prueba en las redes WEP/WPA
SpeedTouchXXXXXX de routers del fabricante Thomson.
El protagonista: Router Thomson.
Como veremos, en este caso la fragilidad en la implementación de los datos
preconfigurados afecta al router, con lo que puede verse afectado no uno solo, sino
otros ISPs e incluso de otros países.
Estas redes son generadas por routers Thomson modelos 580i i 585v6. A la vista del
proceso de instalación y configuración de estos routers, se aprecia que en el propio
software se encontraba el algoritmo para la generación de los datos preconfigurados. En
este caso, el único dato introducido durante el proceso que haga única una red, es el
número de serie del router. Esto ya da una pista importante.
Anteriormente, había leído algo sobre Kevin Devine, sobre un descubrimiento similar
que había hecho en el caso de las redes Eircom, en las que había descifrado el algoritmo
que utilizaba para la generación de la clave WEP con que vienen configuradas.
Por lo que me puse en contacto con el, le expuse el caso, y nos pusimos a investigar.
Mediante ingeniería inversa, Kevin pudo establecer un primer apunte de cómo eran
generados los parámetros basándose en el número de serie. A partir de ahí, era
necesario disponer de un router para las “practicas”, dado que si no el programa de
instalación se paraba.
Así que me puse a buscar un “donante”. Gracias a Pazienzia, dispusimos de uno. Luego
nos dimos cuenta que hubiera ido bien enviarle también la tarjeta wifi usb que
acompaña el router (ver texto completo de Kevin), pero no fue necesario dado que el
asunto tenía expectación y contó también con la colaboración de otra gente. A partir de
aquí, la cosa fue rodando y rodando…
CP YY WW PP XXX (CC)
"CP0615109"
742da831d2b657fa53d347301ec610e1ebf8a3d0
Los últimos 3 bytes hexadecimales se convierten en una cadena ASCII de 6 bytes, los
añadimos a la palabra "SpeedTouch", con lo que tenemos el ESSID por defecto.
"SpeedTouchF8A3D0"
"742DA831D2"
Y esto es todo...
Recuperación.
El método desarrollado aquí utilizando la fuerza bruta es un poco simple... pero
suficiente por el momento. Se utilizan los datos del ESSID para averiguar el hash
entero, mediante la aplicación del algoritmo sobre los posibles números de serie y por
comparación.
Teóricamente, con los 3 octetos del ESSID en el caso de estas redes, no se requieren
más de 2 intentos para tener acceso satisfactoriamente a la red.
En casos en que solo se utilizan 2 octetos en el ESSID se generan muchas más claves
potenciales, así como tentativas a realizar (siendo una media de 80).
Aún así, esto mejora notablemente las posibilidades a un atacante de acceder al router,
aún protegido con WPA - más si este puede capturar un handshake y utiliza el Aircrack,
Cain&Abel o incluso el coWPAtty en modo offline para descifrarlo.
En todo caso, hay que recordar que esta herramienta la podemos utilizar para que
podamos comprobar en nuestra red este punto débil, o con el permiso del propietario.
La herramienta: stkeys
Caso práctico
Ejemplo de uso en un router Thomson modelo ST585v6 con ESSID
“SpeedTouchF8A3D0":
Créditos:
En primer lugar, a Kevin Devine, por el fantástico trabajo realizado para hallar el
algoritmo y desarrollar esta aplicación. En el siguiente enlace, podréis hallar (en inglés)
un “howto” del proceso técnico y otros datos. Incluye una animación en flash en la que
se comprueba la velocidad del proceso:
http://weiss.u40.hosting.digiweb.ie/stech/
Es por esto que aunque lo aquí desarrollado sirve para redes WEP o WPA, es posible
que para las WEP no sea 100% fiable.
De todas formas, para comprender un poco el alcance del proyecto, recomiendo visitar
el siguiente link:
http://www.gnucitizen.org/blog/default-key-algorithm-in-thomson-and-bt-home-hub-
routers/
Esta versión en español es idéntica a la inglesa, salvo en un punto: por defecto está
implementada para tener en cuenta el período 2005-2007 en cuanto a la fabricación del
router (mientras que la inglesa solo abarca hasta el 2006).
Aunque es poco probable que sea aplicable el año 2007, me he permitido el lujo de
ampliarlo; el tiempo de más empleado en un pc normal en procesar el código por
añadirlo creo que compensa el asegurar la obtención de la clave (estamos hablando de
tardar 5sg a tardar 8sg, y no implica obtener más falsos positivos).
17/04/08.- Confirmado que hay modelos del 2004. Por lo tanto, recompilad el código,
modificando en el stkeys la línea donde se introduce el parametro de los años, y
recompilad:
¿Que función tiene el md5? Pues practicamente lo que hace es una suma de los bytes
que tiene el archivo y al mas mínimo cambio de algún byte el md5 cambia y nos cantará
al comprobarlo que no es el original.
Para comprobar los md5 os dejo un enlace de hwagm donde explica como
comprobarlos y además donde descargar las aplicaciones.
(http://foro.seguridadwireless.net/index.php/topic,1069.0.html)
Descarga de Wifiway
En el siguiente link encontrareis los enlaces de descarga junto con sus correspondientes
md5
http://www.wifiway.org/sp/descarga.html
Una vez dentro de la bios debemos entrar mediante la tecla intro sobre la linea
correspondiente, que esto también varía segun la bios, dependiendo si son mas antiguas
o mas modernas, las normales serian: Advanced Bios Features, Advanced Setup o en
mas nuevas sobre la pestaña Boot.
una vez dentro nos aparecerá el orden en el que arrancan las unidades que basicamente
sería por defecto este:
pues habra que cambiar el orden para arrancar desde la unidad de cd, quedando de la
siguiente forma:
Para hacer esto también varía en cada bios por lo general o mas común sería con las
teclas + y -, O F5 y F6, situandonos sobre la linea que queremos subir de posición o
bajar. Una vez hecho esto para guardar los cambios y salir de la bios Pulsamos F10
aceptamos con ¨YES¨ y se reiniciará arrancando nuevamente ya en primer lugar desde
la unidad asignada, desde el CD-ROM.
En primer lugar lo que tenemos que hacer es instalar el airpwn, pronto tendremos
disponible una descarga muy efectiva y que no es necesario hacer practicamente nada.
Aqui teneis el script de instalación de airpwn para wifiway
(http://www.wifiway.org/cosas/airpwn_install.sh)
No vamos a la carpeta airpwn-1.3 y luego nos vamos a airpwn/content/ entonces
editamos el archivo greet_html y lo dejamos de esta forma
HTTP/1.1 200 OK
Connection: close
Content-Type: text/html
<html><head><title>HELLO DEFCON!</title>
</head><body>
<blink><font size=+5 color=red>
<p>PROBANDO</p>
<p>Hadrianweb</p>
</font>
</blink>
<p>
Una imagen seria:
Una vez editado esto abrimos la terminal y ejecutamos lo siguiente
iwpriv rausb0 rfmontx 1
Luego
iwconfig rausb0 mode monitor channel 11
Por ultimo ejecutamos lo siguiente
airpwn -c conf/greet_html -d rt73 -i rausb0 -v -v -v -k
XX:XX:XX:XX:XX:XX:XX:XX:XX:00:00:XX:XX -F
En donde XX:XX:XX:XX:XX... corresponden a la clave wifi que lleve;
Aqui una capturas de los comandos y de lo que le aparecera a todo aquel que estea en
nuestra red.
Y esto es lo que vera al intentar entrar en cualquier pagina, sea la que sea
http://www.ver-pelis.net/harry-potter-and-the-deathly-hallows-part-i/