WLAN Hacking 2 – Testujeme Packet Injection

WPA crack prolomení Testujeme Packet injection – Poslední verze suity Aircrack-ng obsahuje Aireplay-ng s volbou -9 – ta otestuje dostupné sítě ve vašem okolí na některou ze zranitelností. V případě kladného výsledku máte jistotu, že vaše ovladače injektují. Ani neuspěch nemusí znamenat automaticky chybu, protože pro získání dat je nutná souhra několika faktorů. Mimo jiné kvalitní signál. V případě, že je signál špatný, nezískate žádne data a test nemůže skončit úspěšně, i když je ovladač a karta v pořádku. Packet injection zajišťuje aplikace z balíku aircrack-ng, jménem aireplay-ng.

Není to nic víc, než úspora času. Pro crack WEP klíče ale packet injection není potřeba. Pouze potrebný počet dat (IVs) získate rychleji. Pro orientaci balík Aircrack obsahuje tyto prográmky:

aircrack airodump airmon aireplay airdecap

Aircrack-ng obsahuje:

aircrack-ng airodump-ng airmon-ng aireplay-ng packetforge-ng airtun-ng airserv-ng

Předtím než začnete laborovat, doporučuji sprovoznit (ověřit) packet injection. Šetří to čas a později i stres. Existuji i další možnosti.

Pomocí aplikace Ethereal. Postup: Přepnou wifi kartu do monitor mode příkazem iwconfig nebo airmon. Nápovědu k aplikaci získate pomocí příkazu man nebo help (iwconfig –help).

iwconfig wlan0 mode monitor
nebo
airmon start wlan0

Program iwconfig je součástí Linux Wireless Tools, aplikace airmon jak bylo uvedeno balík aircrack nebo aircrack-ng).

aircrack-ng zápis pro aktivaci monitor mode je

airmon-ng start wlan0

Program Ethereal (nebo Wireshark) nakonfigurujte tak, aby zobrazoval trafic v realnem čase. pak stačí spustit zachytávaní dat na rozhraní které testujete (wlan0). Pomocí filtru zobrazit pouze deauth paketů. Jeho zápis je:

wlan.fc.type_subtype==12

Pakety pro zobrazení vygenerujete v konzole příkazem

aireplay -0 5 -a 01:02:03:04:05:06 wlan0

Aircrack-ng zápis:

aireplay-ng -0 5 -a 01:02:03:04:05:06 wlan0

Výsledek: V okne Etherealu se objevi 5 deauth paketu s mac signaturou 01:02:03:04:05:06. tato metoda nefunguje 100%. Zejména v případě, že rozhraní používá další aplikace nebo je proveden špatý zápis.

Deuath test. Otestovat packet injection lze i přímo v ostrém provozu, nebo u přípravy na penetrační test. ESSID skrytého Access Pointu je potřeba pro packet injection odhalit (tento parametr vyžaduje starrší verze aireplay). No a tu je další možnost jak ověřit ovladače. Kdyz nebude fungovat deauth klienta z AP, na nešifrované síti zřejmě máte smůlu. Relevance výsledku testu je založena na předpokladu, že všechno ostatní je v pořádku. Všechno znamená přesně: Signál (nekvalitní signál = výsledek testu kterému nelze věřit), MAC spoofing v případě nastavené MAC restriction na AP (pokud s váma nebude Access Point komunikovat výsledek testu = automaticky zápor).

Některé pojmy a vychytávky PWR

Hodnota vyjadřujíci sílu signálu není u všech wifi karet (ovladačů) stejná. Maximální hodnota se hodně liší. Zde je několik max PWR z aplikace Airodump-ng u různých wifi karet:

miniPCI CM9 madwifi-ng PWR 40
PCI Z-Com XI-626 hostap PWR 200
PCI Ralink rt24xx, 25xx 200

Monitor mode ovladač hostAP

Kartu lze přepnout do monitor mode různě a často se to plete. Zvykněte si na pouze jeden příkaz. Tady jsou tři různe zápisy (se stejným výsledkem): iwconfig wlan0 Mode monitor další je airmon start wlan0 nebo pri ng airmon-ng start wlan0.

Soubor:Airmon.png

Monitor mode madwifi

Novější ovladač madwifi-ng (ovladané pomocí wlanconfig) je dostupný u verze Ubuntu 6.10, 7.04, 7.10, v distribuci Backtrack a WiFiSlax. Ovládání wifi karty tedy záleží od verze ovladače. Novější ovladače používají tkz VAP. Pro ovladače madiwfi (madwifi-ng) existují tyto příkazy monitor mode příkazy

airmon start ath0
airmon-ng start ath0
iwconfig ath0 mode monitor
wlanconfig ath0 create wlandev wifi0 wlanmode monitor

Ideální je u madwifi-ng zrušit všechna rozhraní a pak vytvořit nové v monitor modu. Pozor -ng verze již pracuje s virtuálním rozhraním wlan0 a příkazem wlanconfig!

wlanconfig ath0 destroy
wlanconfig ath0 create wlandev wifi0 wlanmode monitor

Vtvořené rozhraní je vypsáno pod příkazem. Ve fóru AMP Security je popsána a vyřešena chyba kdy se po ukončení VAPu vytváří nové rozhraní s vyšším číslem (ath10, ath11, ath12..)

Poznámky k výkonu wifi karty

Nejduležitější ukazatel je sila signálu. Prilis mala, nebo prilis velka vzdalenost je problem. V prvním pripade (saturace) i když mate AP primo na stole nemusite detekovat zadny signal. Druhy pripad (slaby signal) jasna vec.
Zobrazena PWR je autenticka. Hodnota (u karty s chipem Prism) mensi nez 163 znamena beznadej :-) Optimum je PWR 167 az 195. Pouzitelnost linky je zavysla take na spodni hranici šumu. Hardware a ovladace v ramci chipu Atheros ukazuje intenzitu signalu jinak! PWR 20 až 40 je u karty Atheros v pohode. Zamereni nejvhodnejsiho smeru polohy pohybem anteny a sledovanim PWR zabere minimum casu. Zisteni polarizace je otazkou otoceni anteny o 90°
Nějaké to deci lze získat regulací výkonu. Standardně je na karte Z-Com hodnota 198. Změna je možná příkazem:

iwpriv wlan0 writemif 62 130

Po vypnuti karty se nastaveni resetuje. Upravenim provozni rychlosti lze korigovat packet lost

iwconfig wlan0 rate 1M

Citlivost karty lze upravit příkazem

iwconfig wlan0 sens 3 (1, 2, 3)

Nezapomeňte na pojednání o limitech od ČTU a pokud to není nutné neatakujte stabilní sítě tím, že je budete rušit nadměrně vyzářeným výkonem, zejména pokud používate anténu se širším vyzařovacím uhlem.

Začíname s airodump

Příkaz pro novější verzi aircrack-ng následuj vždy po příkladu u starší verze. Spustíme airodump. Ten do zastavení pomocí zkratky ctrl+c pouze skenuje dostupne site a ukládá data do logu.

airodump wlan0 data 3 1

Soubor:Airodump.png

a uvidíte zhruba to co na obrázku. Pro další krok (generování trafiku) jsou směrodajné tyto údaje:
1. Asociovaný klient na Access Pointu
2. Síla signálu.

Vysvětlivky – Jednotlivé části provedeného příkazu:

3 je číslo kanálu (volitelné)
data je soubor kde se ukladaji data (volitelné)
1 (za trojkou znamena ukladat pouze Inicializační vektor|IVs (volitelné)

Pozor.. Pokud budete ukladát kompletní trafik (bez volby –ivs) souboru data muze narust na 10ky az 100ky MB..

Airodump-ng

Novější verze airodump-ng zapisuje stejný příkaz mírně odlišně.

airodump-ng –ivs -w data –ch 3 wlan0

Pokud se vám povedlo úspěšně spustit program airodump, nechte ho běžet (případně mrkněte na další možnosti aplikace). Pokračovat budeme generováním trafiku.

Příklad pro použití airodump-ng

Díky nadefinování MAC adresy Access Pointu jako filtru se bude zobrazovat v konzole pouze jediný záznam. Tuto možnost lze použít v případě, že máte v dosahu mraky Access Pointů a klienti vám mizí mimo obrazovku.

airodump-ng –bssid 00:60:Bx:xx:xx:xx –ivs -w data –ch 3 wlan0

Nápověda pro aplikace

Kompletní nápovědu k aplikaci lze vyvolat příkazem

airodump-ng –help
nebo
man airodump-ng

Jméno aplikace je volitelné, –help a man funguje v systému Linux pro každou aplikaci.

Asociace na Access Point s airepla-ng

Airodump běží. Těď je potřeba vygenerovat trafik. Není to nutnost, pokud ale nechcete čekat 50 hodin na dostatečné množství Inicializačních vektorů (IVS) čtěte pozorně. Existují 2 možnosti. První kombinace útoků -2 a -3 vyžaduje minimálně jednoho asociovaného klienta na AP a asociaci vaši WiFi karty na AP. Druhá (-4 a -5) funguje i proti AP bez klientů.

Možnost první – Zaklepeme na vrátka (ještě jednou: pokud používate v aireplay prepínač -2 nebo -3 bez asociace na AP neuděláte zhola nic). V případě, ze je na AP nastavena Media Access Control|MAC restrikce asociovat se lze jenom s platnou MAC. Aireplay zápis:

aireplay -1 0 -e AP_jmeno -a 00:60:BX:xx:xx:xx -h 00:60:BY:xx:xx:xx wlan0

Aireplay-ng zapis:

aireplay-ng -1 0 -e AP_jmeno -a 00:60:BX:xx:xx:xx -h 00:60:BY:xx:xx:xx wlan0

Konsole zobrazí zhruba toto:

Soubor:Association.png

Asociace v pripade dostatecneho signalu, znalosti essid funguje na 99%.Kdyz Airodump nedetekuje zadne asociované klienty na AP znamena to: Spatny signal, spatna doba :-), ad-hoc sit, nebo se jedna o datove AP, na které se bezne nikdo nepripaji a slouzi pouze jako datova linka pouziva je napr. upc, repeater, bridge. Preskočte útok -1 -2 -3 a použijte rovnou útok -4 nebo -5.

Aireplay – ARP generujeme data

Na AP vidíte asociovaného klienta, vaše asociace proběhla v pořádku. Tady lze pokračovat. Spustime packet injection pomocí útoku aireplay -3 (ARP request reply). Za pomoci opakovani se znasobi trafic, pocet WEP paketu, potazmo pocet inicializacnich vektoru :-) Mohl jsem použít i volbu -2 mně ale více vyhovuje -3 proto ji uvádím i v tomto příkladu.

aireplay -3 -b 00:60:BX:xx:xx:xx -h 00:60:BY:xx:xx:xx -x 600 wlan0

Aireplay-ng zapis:

aireplay-ng -3 -b 00:60:BX:xx:xx:xx -h 00:60:BY:xx:xx:xx -x 600 wlan0

V okně konzole uvidíte zhruba toto:

Soubor:Arp.png

Vysvětlivky:
-x 600 je pocet paketu za vterinu (počet ARP requestu se u Aireplay zastavi na cisle 1024).
-3 je (přepínač) aireplay útok
-b je mac adresa access pointu
-h je mac klienta nebo zdroje na který útok směruje

V prvnim okně konsole (beží Airodump) lze kontrolovat progres Jak? Počet jednotek v sloupci data začne rychleji růst, nebo nezačne a pak víte, že vám to nefunguje).

Soubor:Aireplay.png

Doba, za jakou Airodump schromazdi dostatek paketu (pro 64bit sifru 80 az 300 000, pro 128bit sifrovani 300 000 az 1 000 000 IVS) záleží na:

1. Rychlosti sítě
2. Kvalitě signálu.

Trvat to může 10 minut, hodinu. nebo 3 hodky.

Tip: Idealni je asociovat na AP stejnou MAC adresu jakou ma klient ktery (pokud existuje) generuje trafik. Když k tomu přidáte Packet injection, máte 300 000 IVS behem 5 minut.
Aireplay jako i Airodump a Aircrack lze zastavit a znovu spustit.

Aireplay – Deauth, Packet injection, Hidden essid

Detekovane AP ma slusny signal, vidite i asociovane klienty ale AP nevysila ESSID.

Soubor:Aird.png

Použijeme Aireplay prepínač -0 (Deuath). Ten odpojí dle konfigurace příkazu jednoho nebo všechny klienty na AP.

Deauth to broadcast (všesměr)

aireplay -0 5 -a 00:60:BX:xx:xx:xx wlan0

Deauth s definovanou MAC klienta.

aireplay -0 5 -a 00:60:BX:xx:xx:xx -c 00:60:BY:xx:xx:xx wlan0

Aireplay-ng zapis:

aireplay-ng -0 5 -a 00:60:BX:xx:xx:xx -c 00:60:BY:xx:xx:xx wlan0

Konzole zobrazí:

Soubor:Deauth.png

Deauth odpoji klienta (-y) asociovaneho na AP a v první konzole (Airodump) se objeví jméno AP (ESSID). Jak to? Klient u asociace na AP ESSID vyšle a Airodump ho zachytí. Pokud útok funguje je to první prověrka Packet injection (je funkcni). Jako bonus máme jméno AP.

Soubor:Hiden.png

Vysvětlivky:
5 v příkazu znamená počet deauth paketu, ktere odešlete
-0 (nebo taky přepínač nula) je jeden z útoku (Deauth) Aireplay.

Muze se hodit: MDK Ska

KoreK chopchop

Na AP není žádny klient. V Aireplay-ng přepínač -2 a -3 nelze použít. Nevadí. Je jeden hodnej kluk. Provedl vlastní analýzu zranitelnosti a protokolu. O jeho bádaní je rozšířen záběr aplikace Aireplay, nově integruje útok (-4) kterému se dle autora říká KoreK chopchop. Jak to celé funguje?

Stačí dekódovat jeden paket (příklad s použitím platné MAC adresy asociovaného klienta na AP, jako zdroj lze použít i MAC AP)

aireplay -4 -h 00:06:B3:xx:xx:xx wlan0

Soubor:Korek.png

Odklepl jsem vhodny paket (orientace dle source, destination MAC + nejake data navyše neškodí). Výsledkem je plaintext v souboru .cap a keystream v souboru .xor

Soubor:Korek2.png

S tcpdump zjistime IP..

tcpdump -s 0 -n -e -r replay_dec-1111-220638.cap

a data vlozime do prikazu

arpforge replay_dec-1111-220638.xor 1 00:0E:2x.. 00:60:B3.. 10.10.17.1 10.10.17.215 arp.cap

Údajně správnost IP adresy nehraje žádnou roly. V nové verzi Aircrack-ng suite aplikace arpforge neni. Nahradou za ní je packetforge-ng. Zapis je cca:

packetforge-ng -0 -a 00:0E:2x.. -h 00:60:B3.. -k 10.. -l 10.. -y replay_dec-1..638.xor -w arp.cap

Po ulozeni dat spustime vygenerovaný soubor

aireplay -2 -r arp.cap wlan0

Odklepnout nabidku paketu..

Soubor:Korek3.png

Airodump zachycuje trafik

Soubor:Korek4.png

Cracking WEP

Ve tretim panelu nebo okne spustime Aircrack. V pripade, ze je v souboru out.ivs ulozeno vice dat, program je rozlisi dle MAC adresy, ocisluje je a zepta se, s kterou MAC ma pracovat.

aircrack -x out.ivs

Soubor:Aircrack.png

Aireplay vygeneruje cca 800 000 paketu, Aircrack se zastavi s hlaskou Attack failed. Possible reasons..
Nic není ztraceno.. Aireplay pokud generuje trafic, muzete nechat ještě chvili bezet. Dobrych paketu není nikdy dost Smile Pak experimentalni no hlavne funkcni..

aircrack -y out.ivs

Po kazdem spusteni Aireplay se vytvori soubor .cap kam se ukladaji pakety z traktovane MAC. Soubor vypada nejak takhle: replay_arp-1105-165417.cap když selze -y u out.ivs zkusime experimentalni bruteforce i u .cap z Aireplay.

aircrack -y replay_arp-1105-165417.cap

Prikazem aircrack –help ziskate prehled moznosti. Aircrack-ng nabizi o něco vice moznosti. S volbou -x se při cracku neprovadi bruteforce poslednich dvou keybytu. Na online crack 128bit sifry vystacite s 900MHz procesorem. V pripade, ze vlastnite slabsi procesor, mene vykonny PC nebo testujete 256 a vice bit sifru, pakety muzete jenom ukladat a crack provest offline, nebo pouzit crack bez grafickeho vystupu -q

aircrack -q -x -b 00:06:B3:XX:XX:XX out.ivs

Pouze alfa-numerické znaky

aircrack -c 00:06:B3:XX:XX:XX out.ivs

Soubor out.ivs je mozno spojit s jinym souborem .ivs, prenest ho na jine PC, nebo pod jiny operacni system.

Na obrazku vidite zaverecnou fazi.

Soubor:Aircrack1.png

Kam dál?