RESUMEN IPW2200+WIFISLAX 3.1 by NeOdEaThINFORMACIÓN IPW2200: Podemos hacer ataques 1(autentificacion falsa), 2(seleccion interactiva del paquete a enviar), 3(reinyeccion de una ARP) y 4(chopchop). El de fragmentación(A5) al parecer no funciona.
PASOS:1º) DRIVER: Recarga driver ipw2200 y comprobar en el shell que sale. En que ethx aparece nuestra ipw2200 y si está activo rtap0 por defecto.
2º) ESCANEO DE REDES: Verificar las redes a nuestro alcance e ir apuntando BSSID, canal y ESSID de los puntos de acceso. Para ello, escribir en el shell:
airodump-ng rtap0Una vez visto esto, pausamos con CONTROL+C o cerramos ventana.
3º) CAPTURA: Iniciar airodump-ng de nuevo para capturar paquetes de una red específica e ir guardándolos en un archivo.
Utilizaremos rtap0 para capturar ya que si utilizamos ethx ahora, luego no podremos
inyectar con ethx. Para ello escribimos en un nuevo shell:
airodump-ng -c canal -b bssid -w captura rtap0ej: airodump-ng -c 11 -b 01:12:42:23:25:5F -w captura rtap04º) ATAQUE: Es necesario que nuestra interface ethx esté en modo managed, que por defecto lo está. Esto podemos verlo haciendo un "iwconfig ethx" en un shell, si está en modo monitor habria que poner "iwconfig ethx mode managed". Necesitamos que haya algún cliente conectado y permanezca asociado para conseguir un paquete válido y luego poder reinyectarlo. Si el cliente se desconecta nos saldrá un mensaje (Got auth/deauth package is client connected?). Los clientes los veremos como STATION. Lo ideal ahora es que nos cambiemos la mac por seguridad. Para saber nuestra mac poner en un shell ifconfig ethx. Para cambiarla vamos a un shell y ponemos (macchanger --mac=XX:XX:XX:XX:XX:XX ethx). Solo se puede cambiar a macs que empiecen por 00.
Abrimos otra shell y los comandos serían estos:
Opciones de ataque:
1)SIN CLIENTES: el cliente somos nosotros
1.1)
ataque 1+ataque 3: En este caso en el ataque 3 el cliente somos nosotros.
1.2)
ataque 1+ataque 4 (chop chop): En este caso lo que cambia es la parte del ataque 4, que es un poco mas engorrosa. En este caso el cliente también somos nosotros.
2)CON CLIENTES(ataque 3) : El cliente es el que esté conectado.
---ATAQUES-------------------
ATAQUE 1: Asociación falsa a la red Primero nos autentificamos falsamente en esa red(ataque 1)(da igual la key que pongamos):
iwconfig ethx essid "essid" key 1111111111111 channel "canal"Nota: El ataque 1 se hace así para esta tarjeta ya que si fuera otra seria: aireplay-ng -1 30 -e (nombre de ESSID) -a (MAC del AP a atacar) -h (nuestra MAC falsa) (interfaz). Lo malo de hacerlo con otro comando para esta tarjeta es que no vemos en la ventana si nos hemos asociado bien o no, simplemente puede que nos veamos en la ventana del airodump donde estamos capturando como STATION y también podemos comprobar nuestra asociación al AP haciendo un iwconfig.
ATAQUE 3: Inyecciónaireplay-ng -3 -x 1024 -g 1000000 -b bssid -h cliente -i rtap0 ethxej: aireplay-ng -3 -x 1024 -g 1000000 -b 00:13:4D:AC:22:44 -h 01:23:4F:AC:52:89 -i rtap0 eth1Si va bien todo veremos como envia paquetes y la columna #Data del airodump va subiendo rápidamente.
Nota: Si no funcionan los ataques, bajad el rate de la tarjeta a 1 Mb por segundo: iwconfig rtap0 rate 1M. Hay veces que no se podra. También intentar el ataque 3 y despues el 1. Este ataque depende de muchos factores y hay veces que no se podrá, el chopchop puede ser interesante.
ATAQUE 4: Chop chopaireplay-ng -4 -a -b bssid -h cliente -i rtap0 ethxCuando pregunte ¿use this packet ? le decimos Y. Cuando termine copiamos el nombre del archivo “replay_dec…..xor” para usarlo en el siguiente comando y forjar el ARP que reinyectaremos después.
Ahora ponemos:
arpforge-ng “replay_dec…..xor” 1 “mac del AP” "cliente(nuestra mac)" 192.168.1.20 192.168.1.21 ficheroarp.capDe esta forma usamos el fichero xor anterior para hacer el ARP que se reinyectara para aumentar los paquetes.
“1” es el valor de FROMDS
Finalmente hacemos un ataque 2:
aireplay-ng -2 –r ficheroarp.cap ethxCuando pregunte ¿use this packet ? le decimos Y
Bueno, ahora ya vemos como empieza a inyectar paquetes y esperamos hasta que tengamos los suficientes.
5º) DESENCRIPTAR CLAVE: Si todo ha ido bien deberemos tener un montón de paquetes en #Data. Lo suyo es 250.000 para una clave 128bits, y el doble para una mas grande....vamos, cuantos mas, mejor. Ponemos en un nuevo shell:
Tenemos 3 opciones:
a)
aircrack-ptw captura.cap Este es el más rápido.
Si no funciona, probad con los siguientes:
b)
aircrack-ng captura.cap el ng es mas rápido que el último
el otro sería:
c)
aircrack captura.capsi no sabemos como se llama el archivo vamos al konqueror y vemos en /root como se llama el archivo. Según los paquetes que tengamos, tardará mas o menos hasta que nos muestre la key.
------------------
Aquí teneis una correción bajo mi experiencia.
Pruebas:
1)
Con un cliente conectado: he conseguido el ataque 1 y el 3 perfectamente. Es decir, me he autentificado en la red, he aparecido junto con el cliente y he inyectado con mi cliente falso. Los paquetes se cogen rápidamente.
2)
Con un cliente conectado falsamente(es decir otro ordenador conectado con key inventada): He intentado simular el ataque 1 con otro ordenador. El resultado....no inyecta paquetes. Supongo que será por lo que puse arriba, que necesitamos al menos un paquete válido para reinyectar, y este, no lo conseguimos nunca. He podido notar que al poner el comando de aireplay para inyectar, me dice que la mac que le puse para el cliente no corresponde con la mia...claro. Intenta cambiarmela a la que le puse yo como cliente pero haciendo un ifconfig se ve que no lo ha hecho. También puede ser este el fallo... Así que me autentifico falsamente en la red y hago una inyección con mi mac. Me veo asociado al AP junto con el otro cliente falseado(ordenador2) y los paquetes #Data suben muy lentamente hasta que...chof! Empieza a reinyectar!!!!, Suben a toda ostia los paquetes.
3)
Sin cliente conectado: Hago los ataques 1 y 3 estando solamente yo y me veo autentificado al AP con un iwconfig aunque no me veo en la captura del airodump hasta pasar un poco. Aun habiendo falseado mi mac aparezco con mi mac original no sé por qué, pero al cabo de un rato ya aparece mi mac falseada. Después desaparezco de STATION pero sigo asociado al parecer haciendo un iwconfig. Los paquetes han subido a 42 en 8 minutos. A los 9 minutos empieza la inyección a una velocidad aplastante, mucho más rápido que las otras veces.
:D En pocos minutos tengo mas de 300000 paquetes. Con el ataque 1 y 4 también lo consigo, en menos tiempo que el 1+3.
Nota: Bueno, aquí está mi experiencia. Las pruebas las he hecho en mi casa, bastante lejos del AP(D-link) con mi portatil ACER y la famosa ipw2200. La key era WEP 128bits. Intentaré hacer otras pruebas con APs de otras marcas y mas lejos. Con el airoscript ipw2200 del wifislax 3.1, sin clientes conectados, el ataque 1+3, que es el primero de la lista, no funciona. ¿Por qué? Pues porque nosotros tenemos una mac y el airoscript intenta reinyectar con la mac 11:22:33:44:55:66, que es una mac que no nos podemos poner nunca. Así que al inyectar paquetes, el aireplay no para de preguntarnos si está asociada la mac al AP. El airoscript general no funciona porque utiliza comandos generales que no valen para nuestra tarjeta. Me refiero al comando de autentificación falsa por ejemplo.
--------------------------------------------------------
Bueno, espero que la gente tenga mas claros los comandos y si alguno puede perfeccionar o aportar sus experiencias mucho mejor.
ah!! a ver si alguien me dice cual es el comando para desasociarme de la red en la que estoy asociado.
Saludos
NeOdEaTh
Autor