Blog

Hacking WiFi – Parte 7 – Cracking WEP en menos de 5 minutos

Para ver la serie completa pulsa aqui. Habrá conceptos que se den por obvios ya que están explicados en artículos anteriores.

En un post anterior vimos como obener la contraseña de una red Wifi WEP con el metodo de “Autenticación Falsa”, pero es menos común encontrar routers o puntos de acceso con esta vulnerabilidad. Esta vez lo vamos a hacer con el método de “Desautenticación”, más adelante vereis la diferencia.

Para hacer este proceso necesitamos una tarjeta de red Wifi que sea capaz de inyectar paquetes, puesto que la mayoría de tarjetas que vienen en los portátiles no son capaces de realizarlo, es muy común utilizar un adaptador USB Wifi que sea capaz. En mi caso he utilizado uno que venden en Media Markt que se llama DWA-123 de la marca Dlinkgo (una marca de DLINK). El enlace es de un Media Markt de otro pais ya que en España ya está descatalogado y solo venden los que les quedan en stock. En el de Collado Villalba hace un mes que lo compré y quedaban todavía 7 u 8.

Lo primero que tenemos que hacer es poner el adaptador USB Wifi en modo monitor para poder snifar todo lo que pase por el aire. Lo haremos de la siguiente manera.

wep1

Despues el airodump-ng nos mostrará todas las redes que están a nuestro alcance.

wep2

Para realizar el ataque por desautenticación necesitamos que haya al menos un cliente conectado al punto de acceso para poder desautenticarle con la técnica de DoS a un AP para que al volver a conectarse envíe un paquete ARP que más adelante explicaré para que nos hará falta. Por el otro metodo que os he comentado antes podemos obtener el paquete ARP en el momento que hacemos la autenticación falsa. Vemos en la foto como el punto de acceso acabado en F5 es WEP y tiene un cliente conectado como hemos dicho que nos hace falta. Aparece en la columna STATION y es el cliente con la MAC terminada en 43.

Ahora lo que tenemos que hacer es capturar únicamente el trafico del punto de acceso que nos interesa (el que tiene la MAC acabada en F5) e ir guardando todo lo que capturemos en un fichero que se llamará “pocHighSec”. Podemos ver que el punto de acceso utiliza el canal 1.

wep3

Para conseguir un paquete ARP tenemos que realizar el ataque de desautenticación del cliente con su punto de acceso para que cuando se vuelva a conectar envíe un paquete ARP y sea capturado por nosotros y quede registrado en nuestro fichero “pocHighSec”. Necesitamos un paquete ARP puesto que es el tipo de paquete que utilizada la herramienta para clonarlo e inyectarlo en la red del punto de acceso al que estamos atacando de forma masiva para así poder generar mucho tráfico en poco tiempo. A nosotros lo que nos interesará será capturar el paquete de respuesta (ARP replay) en donde va variando el campo IV, a partir del cual descrifraremos la contraseña. Esto funciona de la siguiente manera (sacado del post de Flu-Project sobre funcionamiento WEP):

“Por el uso de la clave estática se puede realizar ataques de observación y gracias a la estadística conseguir sacar el patrón de la clave, y de este modo conseguir la clave estática.

El IV se envia siempre en claro, por lo que son captados por cualquiera, además de los 24 bits de los que están compuestos que es un valor demasiado corto. Recolectando un número alto de IVs se puede, mediante ataque estadístico descifrar la clave. La autenticación se realiza del AP al cliente, pero no del cliente al AP, por lo que el cliente no sabe realmente si se conecta al AP que dice ser. Por esta razón existen los Rogue AP, o MITM a través de un AP.”

Ahora dejamos la herramienta aireplay-ng a la espera de capturar el paquete ARP y en cuanto lo tenga procederá a inyectar una copia de estos paquetes a gran velocidad.

wep6

Ahora será el momento de desautenticar al cliente para obtener nuestro esperado paquete ARP.

wep7

Debido a la vulnerabilidad del protocolo WEP cuando tenemos una gran cantidad de paquetes capturados de una red es posible obtener la contraseña de la red. Podemos ver en la penultima foto como nuestra herramienta ya tiene su paquete ARP y es capaz de clonarlo e inyectar el mismo paquete con gran velocidad para ir capturando tramas de esa red. Si os fijais en la ultima linea pone “(got 164044 ARP requests and 86688 ACKs), sent 105696 packets”. Quiere decir que hemos inyectado 105696 paquetes.

Mientras podemos ver como los paquetes capturados en nuestro fichero “pocHighSec” aumentan a una enorme velocidad, mirando los #Data.

wep5

Una vez hemos llegado hasta aquí utilizaremos el aircrack-ng para que descifre la contraseña una vez tenga el numero de IVs suficientes. Irá haciendo el crackeo cada vez que tenga un numero de IVs multiplo de 5000.

wep8

Pues como podemos ver en la imagen la clave se ha descrifrado correctamente y es lo que viene a continuación de “ASCII:”.

Espero que os haya gustado, un saludo,

Autor:  Roberto Lopez (@leurian)

Leave a Reply

*

    No Twitter Messages