Pequeño tuto: wifiway 0.

6
En primer lugar abrimos la carpeta /sys/class/net/wifi0/device

Ahi modificamos el rate y lo ponemos a 2

En la misma carpeta modificamos el archivo que pone bssid y pondremos la mac del ap
tambien modificamos el archivo que pone channel por el canal correspondiente.

Una vez echo esto podremos inyectar tal y como lo hacemos con la demas tarjetas, pero esa
vez con una peculiardad y es que para capturar usaremos la rtap0 y para inyectar la interfaz
wifi0

La inyeccion seria de la siguiente forma:

Hacemos lo siguiente:

airodump-ng rtap0

Con esto comprobamos cual es el canal de ap a atacar y tambien el bssid luego abrimos otra
terminal y con el aireplay-ng hacemos de la siguiente forma:

aireplay-ng -1 0 -e Nombre_del_ap -a mac_del_ap -h mi_mac wifi0

Y en otra terminal distinta hacemos lo siguiente:

aireplay-ng -3 -b mac_del_ap -h mi_mac wifi0

Para finalizar en una terminal abrimos el airodump-ng de la siguinte forma:

airodump-ng rtap0

Con esto lo que nos queda es esperar a que el aireplay-ng coja el arp. Para finalizar lo que
tenemos que hacer es

aircrack-ptw archivo.cap

P.D. Recordar levantar la interfaz wifi0 con el comando

ifconfig wifi0 up
____________________________________

Mete el CD donde grabaste la ISO de Wifiway 1.0 a la unidad de CD de tu máquina y arranca

con el CD. No te voy a dar detalles de cómo hacer que la maquina arranque desde el CD, eso ya
deberías saberlo. Busca en Google si tienes dudas. Si ya has usado alguna distribución de Linux,
las preguntas que te hace el sistema al arrancar ya deberías saber responderlas.

Cuando termina de cargar, aparece un menú que dice “startx”, “autox”, “kde”, etc. Yo les
recomiendo que escriban “kde”. Lo recomiendo porque con ese gestor de ventanas hice las
imágenes que verán a continuación.

Cuando Wifiway ya terminó de cargar la interfaz KDE, veremos una pantalla parecida a la
siguiente
[paso01]

Den clic en el Menú K, luego seleccionan el menú Wifiway, luego se van a Suite Aircrack-ng y
seleccionan airmon-ng (start mode monitor). Les aparecerá la siguiente pantalla.

[paso02]

En la ventana Start Mode Monitor, verán un dropdownlist que dice Interface, seleccionen
wlan0 o ath0 y presionen el botón Aplicar. NOTA: Si no les aparece el elemento wlan0, significa
que no fue detectada tu tarjeta de red inalámbrica y no puede inyectar tráfico. Cuando des clic
en el botón Aplicar, aparecerá la pantalla en negro que se ve en la imagen [paso02] Si la
ventana en negro les dice (monitor mode enabled on mon0), significa que la tarjeta de red
inalámbrica fue correctamente configurada para inyectar tráfico falso y podemos continuar.
Cierren ambas ventanas.
Ahora que no hay ninguna ventana abierta, presiona otra vez en el Menú K, luego Wifiway,
luego Wireless, y busca un programa llamado airoscript new (spain). Dale clic

[paso02-5]

Te aparecerá una ventana de color negro con algún texto

[paso03] Este texto desaparecerá después de algunos segundos

Cuando ha desaparecido el texto en la ventana de color negro

[paso04] te pregunta por la resolución de tu pantalla. Presiona el número 2, para elegir

800×600, o 1 para elegir 640×480.

Ahora, en la siguiente pantalla

[paso05] te está preguntando en que tarjeta de red va a leer datos. Selecciona la que diga
mon0, en el ejemplo, mon0 le corresponde el numero 4. Presiona el 4 y da enter.

En esta pantalla

[paso06] te aparece un menú. Selecciona la opción 1. Vamos a elegir la red que queremos
atacar.
En la siguiente ventana

[paso07] Esta pantalla te está preguntando qué tipo de redes inalámbricas quieres escanear.
Hay varios tipos. Wep, wpa, wpa1, wpa2, o ninguna. La mayoría de las redes están en WEP. Por
ahora presiona el numero 1 porque queremos ver todas las redes detectadas.
En la siguiente ventana

[paso08] pide que le indiquemos el canal de la red inalámbrica. Elegimos 1.

En esta ventana de color azul

[paso09] vamos a dejar que se ejecute durante 1 minuto (máximo 2) para que detecte todas
las redes inalámbricas más cercanas, y le echamos el ojo a la red que queremos atacar. A la
derecha aparece el nombre de la red. Cuando haya pasado un minuto o dos, cerramos la
ventana azul y nos quedaremos con la ventana de color negro (donde está el menú).
Ahora en la ventana del menú

[paso10], elegimos el numero 2 porque vamos a seleccionar qué red queremos atacar.

En la siguiente ventana

[paso11] elegimos la red que queremos atacar. En este ejemplo, elegimos la red
INFINITUM4243, y le corresponde el número 1 (el numero se ve a la izquierda). Elige la red que
tu quieres atacar, escribiendo su número correspondiente y dale enter.

A la siguiente ventana

[paso12] le escribimos el número 2, y le damos enter.

Nuevamente nos aparece el menú

[paso13] Ahora ya vamos a empezar a atacar la red elegida (infinitum4243). Presionamos el

número 3 y le damos enter.

En esta pantalla

[paso14] le escribimos el número 1 y damos enter.

Ahora

[paso15] Aparecerán 3 ventanas, y la ventana del menú quedará un poco oculta. La ventana
con letras rojas, indica que la tarjeta de red inalámbrica está estableciendo comunicación con
el router atacado, haciéndole creer que hay un dispositivo de red inalámbrico con
autorización. La ventana con las letras verdes, está inyectando paquetes falsos al router para
simular tráfico. La ventana azul de arriba, únicamente está censando cuantos datos han sido
capturados. Si llega a pasar que una de las tres ventanas se cierra solita, es indicio de que
físicamente el router tenga una señal muy débil. En ese caso, debemos elegir otra red. En la
ventana de color azul, noten la columna que dice #Data. Esta columna es muy importante, ya
que es la cantidad de datos que hemos inyectado al router. Dejemos estas tres ventanas
abiertas durante uno o dos minutos (en algunos casos podría ser mas tiempo).
Constantemente verifiquemos el valor que aparece en la columna #Data, y esperemos que
alcance el valor de 20,000. Cuando la columna #Data pase los 20,000 datos, podemos cerrar
una por una la ventana de letras rojas, la de letras verdes y la ventana de color azul. Cuando las
tres ventanas estén cerradas volveremos a la ventana del menú.

En la ventana del menú

[paso16] elegimos la opción 4, porque ya tenemos suficientes datos para poder calcular la

clave de la red.

Ahora en esta pantalla

[paso17] elegimos la opción 1 y damos enter.

Se abre una ventana de color blanco

[paso18] A los pocos segundos esta ventana se cierra solita.

Cuando la ventana de color blanco se cierra, aparecerá esta otra ventana

[paso19] y dejemos que trabaje por algunos minutos.

A continuación, la ventana solita mostrará un mensaje como este

[paso20] y nos muestra la contraseña de la red inalámbrica que atacamos. En este ejemplo
vemos: KEY FOUND! [20:33:99:60:38] La clave de la red son los números 20:33:99:60:38 estos
números están en hexadecimal. Anotemos estos números, junto con los dos puntos y
cerremos Linux y pasémonos a Windows. Si quieres conectarte a la red que atacamos usando
Linux, ya sabes cómo hacerlo.

Ya estando en Windows, abre la ventana para conectarte a redes inalámbricas y selecciona la

red que atacamos (recuerda que era infinitum4243)

[paso21] Presiona sobre el botón Conectar

Ahora te va a pedir la contraseña de la red

[paso22] En el campo de texto escribe los números que anotaste 20:33:99:60:38, pero SIN LOS
DOS PUNTOS Y SIN ESPACIOS. Vas a escribir 2033996038 en ambos cuadros de texto y
presionas Conectar. Después de algunos segundos, ya estarás conectado a esa red.

Hemos terminado.

Wesside-ng nueva herramienta de la suite

aircrackng
Wesside-ng es la nueva herramienta de la suite aircrack para romper claves
inalámbricas con seguridad WEP la cual incluye muchas técnicas las cuales se ejecutan
de forma inteligente seleccionando la red automaticamente aplicando el ataque
específico a la red y automaticamente reinyectando paquetes y al final obtiene la clave
sin ninguna intervención del usuario.

Para romper la contraseña solo debemos ejecutar;

wesside-ng -i wlan0

y automaticamente nos dará la contraseña después de 1 minuto.

Routers Thomson WPA SpeedTouch
Autor: hrodgar (mas información)

Instalación del paquete stkeys para Wifiway

wget http://www.wifiway.org/stkeys/install.sh.gz
gzip -d install.sh.gz
chmod +x install.sh
./install.sh

Introducción

A la hora de comprobar la vulnerabilidad del WPA, a día de hoy continúa siendo

imposible de romper el cifrado. En cuanto a puntos débiles, el ataque contra la clave
PSK es la práctica habitual, donde se centran los programas como Aircrack y
coWPAtty.

Así pues, si el sistema goza de buena robustez en la actualidad, nos planteamos… hay
algún otro punto débil que afecte el sistema? Pues si, estudiar el proceso de generación
de los datos preconfigurados en los equipos subministrados por los fabricantes y/o ISPs.

Hay un dato relevante para este planteamiento: La mayoría de gente que dispone de una
red inalámbrica mantiene los parámetros preconfigurados en los equipos, tanto
WEP/WPA, ya sea por el desconocimiento de la materia, o simplemente por dejadez. Y
si no, para comprobarlo basta con hacer un escaneo de redes en el que observarás que
un alto porcentaje de las redes encontradas mantienen los parámetros de fábrica o
establecidos por el ISP en su ESSID, lo que da a pensar que con la contraseña pasa lo
mismo.

Con esto, pensaréis que los fabricantes y/o ISPs utilizan un proceso muy complejo para
la generación de estos parámetros, con el fin de evitar que toda la fortaleza del
protocolo de cifrado (al menos en el WPA) se vea mermada por culpa de este proceso.
Pues no es del todo así.

De todos es conocido la fragilidad de los algoritmos de generación de estos datos en

redes tipo como las Wlan-XX, Dlinkwireless, adsl-xxxx, …, que han llevado a la
generación de aplicaciones que utilizan la fuerza bruta y/o la aplicación inversa del
algoritmo facilitando el descubrimiento de la clave.

En este caso, nos propusimos aplicar esta prueba en las redes WEP/WPA
SpeedTouchXXXXXX de routers del fabricante Thomson.
El protagonista: Router Thomson.
Como veremos, en este caso la fragilidad en la implementación de los datos
preconfigurados afecta al router, con lo que puede verse afectado no uno solo, sino
otros ISPs e incluso de otros países.

Estas redes son generadas por routers Thomson modelos 580i i 585v6. A la vista del
proceso de instalación y configuración de estos routers, se aprecia que en el propio
software se encontraba el algoritmo para la generación de los datos preconfigurados. En
este caso, el único dato introducido durante el proceso que haga única una red, es el
número de serie del router. Esto ya da una pista importante.

Anteriormente, había leído algo sobre Kevin Devine, sobre un descubrimiento similar
que había hecho en el caso de las redes Eircom, en las que había descifrado el algoritmo
que utilizaba para la generación de la clave WEP con que vienen configuradas.

Por lo que me puse en contacto con el, le expuse el caso, y nos pusimos a investigar.
Mediante ingeniería inversa, Kevin pudo establecer un primer apunte de cómo eran
generados los parámetros basándose en el número de serie. A partir de ahí, era
necesario disponer de un router para las “practicas”, dado que si no el programa de
instalación se paraba.

Así que me puse a buscar un “donante”. Gracias a Pazienzia, dispusimos de uno. Luego
nos dimos cuenta que hubiera ido bien enviarle también la tarjeta wifi usb que
acompaña el router (ver texto completo de Kevin), pero no fue necesario dado que el
asunto tenía expectación y contó también con la colaboración de otra gente. A partir de
aquí, la cosa fue rodando y rodando…

El algoritmo al descubierto. Caso redes SpeedTouchXXXXXX.

Como he dicho, se pudo comprobar que la base del proceso es el número de serie. Así
que, vamos a analizar por ejemplo CP0615JT109 (53). De las observaciones realizadas
se llegó al siguiente planteamiento:

CP YY WW PP XXX (CC)

Donde, que significa cada cosa?...

YY es el año de fabricación.                    ( 2006 ) ?

WW es la semana del año.                      ( 15 ) una semana de Abril ?
PP es el código de producción/fabricación. ( JT ) ?
CC es el código de configuración.             ( 53 ) ? del estilo 00 - ZZ (0-9/A-Z)

Sobre el valor XXX, solo especular. Quizá representa el número de unidad?

Con esto, y tomando como ejemplo "CP0615JT109 (53)" el proceso es el siguiente:

 Se eliminan los valores CC y PP del número de serie

   "CP0615109"

 Convertimos los valores de XXX a hexadecimal.

   "CP0615313039"

 Procesamos mediante el algoritmo SHA-1

   742da831d2b657fa53d347301ec610e1ebf8a3d0

 Los últimos 3 bytes hexadecimales se convierten en una cadena ASCII de 6 bytes, los
añadimos a la palabra "SpeedTouch", con lo que tenemos el ESSID por defecto.

   "SpeedTouchF8A3D0"

 Los primeros 5 bytes hexadecimales se convierten en una cadena ASCII de 10 bytes, 

con lo que tenemos la clave WEP/WPA por defecto.

  "742DA831D2"

 Y esto es todo...

Recuperación.
El método desarrollado aquí utilizando la fuerza bruta es un poco simple...  pero
suficiente por el momento. Se utilizan los datos del ESSID para averiguar el hash
entero, mediante la aplicación del algoritmo sobre los posibles números de serie y por
comparación.

Teóricamente, con los 3 octetos del ESSID en el caso de estas redes, no se requieren
más de 2 intentos para tener acceso satisfactoriamente a la red.

En casos en que solo se utilizan 2 octetos en el ESSID se generan muchas más claves
potenciales, así como tentativas a realizar (siendo una media de 80).

Aún así, esto mejora notablemente las posibilidades a un atacante de acceder al router,
aún protegido con WPA - más si este puede capturar un handshake y utiliza el Aircrack,
Cain&Abel o incluso el coWPAtty en modo offline para descifrarlo.

En todo caso, hay que recordar que esta herramienta la podemos utilizar para que
podamos comprobar en nuestra red este punto débil, o con el permiso del propietario.

La herramienta: stkeys

Descarga del código fuente en español:

http://download.wifislax.com:8080/stkeys_ES_src.zip
m5d: 6472d51a88010754756154d93d7fb2be
(ver notas al final)

Para compilar el código en linux, usar gcc:

gcc -fomit-frame-pointer -O3 -funroll-all-loops stkeys.c sha1.c -ostkeys

  
Es posible que al compilar os lance unos errores  tipo “implicit declaration…”, que no
afectan al proceso. Destacar que en el código se ha utilizado la implementación del
algoritmo OpenSSL SHA-1, que es por lo que realiza el proceso muy rápido.
Al ejecutar el programa, os saldrá:

Caso práctico
  
Ejemplo de uso en un router Thomson modelo ST585v6 con ESSID
“SpeedTouchF8A3D0":

En este ejemplo, la clave correcta es la obtenida en la primera opción.

Créditos:
En primer lugar, a Kevin Devine, por el fantástico trabajo realizado para hallar el
algoritmo y desarrollar esta aplicación. En el siguiente enlace, podréis hallar (en inglés)
un “howto” del proceso técnico y otros datos. Incluye una animación en flash en la que
se comprueba la velocidad del proceso:

http://weiss.u40.hosting.digiweb.ie/stech/

También agradecer a Pazienzia (miembro del foro Elhacker.net) por prestarnos su

“olvidado” router para las pruebas, así como a Renzo y bonebag por el adaptador USB.

Y por último, a los foros y foreros de seguridadwireless y Elhacker.net, que sin la

aportación de los datos necesarios no hubiera sido posible contrastar dicha información,
así como a Hwagm por prestarme un hueco para alojar el programa; y por supuesto, a la
esencia de Pianista ;-)

Notas sobre el proyecto:

Este proyecto continúa vivo. A los que tengáis ganas de investigar el tema mas a fondo,
en el enlace indicado en los créditos encontraréis curiosidades como que se han hallado
más algoritmos, parece que relacionados con el sistema de encriptación WEP y
posiblemente antiguos.

Es por esto que aunque lo aquí desarrollado sirve para redes WEP o WPA, es posible
que para las WEP no sea 100% fiable.

De todas formas, para comprender un poco el alcance del proyecto, recomiendo visitar
el siguiente link:

http://www.gnucitizen.org/blog/default-key-algorithm-in-thomson-and-bt-home-hub-
routers/

Notas del programa: actualizado 17/04/08

No lleva control de versiones. Considérala la versión 0. Si hay futuras actualizaciones
se indicará en ellas.

Esta versión en español es idéntica a la inglesa, salvo en un punto: por defecto está
implementada para tener en cuenta el período 2005-2007 en cuanto a la fabricación del
router (mientras que la inglesa solo abarca hasta el 2006).

Aunque es poco probable que sea aplicable el año 2007, me he permitido el lujo de
ampliarlo; el tiempo de más empleado en un pc normal en procesar el código por
añadirlo creo que compensa el asegurar la obtención de la clave (estamos hablando de
tardar 5sg a tardar 8sg, y no implica obtener más falsos positivos).

Este parámetro es modificable. Basta antes de compilar de realizar el cambio en el

fichero stkeys.c

17/04/08.- Confirmado que hay modelos del 2004. Por lo tanto, recompilad el código,
modificando en el stkeys la línea donde se introduce el parametro de los años, y
recompilad:

        // generate values only for 2005/2007..change if you want.

        for(year = 5;year <= 7;year++) {

por...

        // generate values only for 2004/2007..change if you want.

        for(year = 4;year <= 7;year++) {

 Grabar la ISO de Wifiway y cambiar el arranque en la bios
PARA MODO LIVE CD
 
Antes de nada comprobar el md5 del archivo iso que nos garantice que se ha
descargado el archivo correcto (el original).

¿Que función tiene el md5? Pues practicamente lo que hace es una suma de los bytes
que tiene el archivo y al mas mínimo cambio de algún byte el md5 cambia y nos cantará
al comprobarlo que no es el original.

Para comprobar los md5 os dejo un enlace de hwagm donde explica como
comprobarlos y además donde descargar las aplicaciones.
(http://foro.seguridadwireless.net/index.php/topic,1069.0.html)
 
Descarga de Wifiway
En el siguiente link encontrareis los enlaces de descarga junto con sus correspondientes
md5
http://www.wifiway.org/sp/descarga.html

Proceso de quemado del CD

Comprobado el archivo de imagen vamos a quemarlo en cd

Empezaremos grabando la imagen (ISO) de wifiway en cd, abrimos el UltraIso y nos

vamos directamente a la pestaña grabar.

Nos aparecerá el panel de grabación en el cual deberemos picar en el botón de archivos

de imagen.
Una vez hecho esto, buscamos en el directorio donde tengamos guardado el archivo de
imagen (ISO), lo marcamos y le damos abrir para cargarlo.

Cuando ya hallamos cargado la imagen le damos a grabar y esperamos a que queme el

cd y listo ya tenemos el live cd listo para utilizarlo.
Ahora una vez grabada nuestro cd correctamente solo tendremos que cambiar las
opciones de la bios para que nos arranque desde la unidad de CD-ROM, para esto
haremos lo siguiente:
 
Como acceder a la Bios
Al reiniciar o encender el pc, en la parte inferior de la pantalla aparecera las teclas que
se deberán pulsar para entrar en la bios, dira algo asi como press ¨las teclas¨ for enter
setup, las mas frecuentes son pulsando F2, F8, F10, o la tecla SUPR, pero como cada pc
varia pues nos fijamos en lo dicho al principio.

Como cambiar opciones en la Bios

Una vez dentro de la bios debemos entrar mediante la tecla intro sobre la linea
correspondiente, que esto también varía segun la bios, dependiendo si son mas antiguas
o mas modernas, las normales serian: Advanced Bios Features, Advanced Setup o en
mas nuevas sobre la pestaña Boot.

una vez dentro nos aparecerá el orden en el que arrancan las unidades que basicamente
sería por defecto este:

1. First Boot Device: HDD-0 (el disco duro, primario-master)

2. Second Boot Device: FLOPY (corresponde a la disquetera)
3. Third Boot Device: CD-ROM (unidad de cd, esta claro)

pues habra que cambiar el orden para arrancar desde la unidad de cd, quedando de la
siguiente forma:

1. First Boot Device: CD-ROM (unidad de cd, esta claro)

2. Second Boot Device: HDD-0 (el disco duro, primario-master)
3. Third Boot Device: FLOPY (corresponde a la disquetera)

Para hacer esto también varía en cada bios por lo general o mas común sería con las
teclas + y -, O F5 y F6, situandonos sobre la linea que queremos subir de posición o
bajar. Una vez hecho esto para guardar los cambios y salir de la bios Pulsamos F10
aceptamos con ¨YES¨ y se reiniciará arrancando nuevamente ya en primer lugar desde
la unidad asignada, desde el CD-ROM.

Nota: Si no hay cd bootable en la unidad de cd arrancará normalmente desde  el disco

duro ¨HDD-0¨ que tenemos como segunda opción configurada en la bios, por lo que se
puede dejar esa configuración sin ningún problema.
Manual airpwn con wifiway
Chipsets soportados:wlan-ng hostap airjack prism54 madwifing madwifiold rtl8180
rt2570 rt2500 rt73 rt61 zd12d80211 ath5k iwlwifi
 
Cabe decir que esta aplicación, esta bien utilizarla por si sabes de alguien que algun día
se introduce en tu red, es decir, imaginate que ves a alguien en tu red que no debería
estar ahí, pues una opción es asustarlo para que no vuelva a intentarlo, este manual se ha
creado única y exclusivamente para ser utlizado ante este tipo de situaciones.

En primer lugar lo que tenemos que hacer es instalar el airpwn, pronto tendremos
disponible una descarga muy efectiva y que no es necesario hacer practicamente nada.
Aqui teneis el script de instalación de airpwn para wifiway
(http://www.wifiway.org/cosas/airpwn_install.sh)
 
No vamos a la carpeta airpwn-1.3 y luego nos vamos a airpwn/content/ entonces
editamos el archivo greet_html y lo dejamos de esta forma
 
HTTP/1.1 200 OK
Connection: close
Content-Type: text/html

<html><head><title>HELLO DEFCON!</title>
</head><body>
<blink><font size=+5 color=red>
<p>PROBANDO</p>

<p>La Red a la que intenta acceder no es suya por lo que no se le permite

utilizarla.</p>

<p>Hadrianweb</p>
</font>
</blink>
<p>
 
Una imagen seria:
Una vez editado esto abrimos la terminal y ejecutamos lo siguiente
iwpriv rausb0 rfmontx 1
Luego
iwconfig rausb0 mode monitor channel 11
Por ultimo ejecutamos lo siguiente
airpwn -c conf/greet_html -d rt73 -i rausb0 -v -v -v -k
XX:XX:XX:XX:XX:XX:XX:XX:XX:00:00:XX:XX -F
En donde XX:XX:XX:XX:XX... corresponden a la clave wifi que lleve;

Aqui una capturas de los comandos y de lo que le aparecera a todo aquel que estea en
nuestra red.

Y esto es lo que vera al intentar entrar en cualquier pagina, sea la que sea
http://www.ver-pelis.net/harry-potter-and-the-deathly-hallows-part-i/