Blog

Hacking WiFi – Parte 8 – Atacando al cliente, cracking WEP sin AP: Ataque Hirte

Para ver la serie completa pulsa aqui. Habrá conceptos que se den por obvios ya que están explicados en artículos anteriores.

Este ataque va a ser posible sin estar al alcance del AP en cuestión al que vamos a crackear su contraseña. Lo que haremos será crear un punto de acceso que esté en la lista de SSID de la víctima para que se conecte automaticamente sin darse cuenta, y luego generaremos tráfico legítimo para hacer el cracking WEP. Lo haremos de la siguiente manera. Sabemos que el primer campo de los datos cifrados de los paquetes siempre es igual, que es la cabecera LLC (8 bytes) y sabemos cuales son esos 8 bytes. De esta forma si hacemos un XOR de los primeros 8 bytes del paquete, con los 8 bytes LLC que ya conocemos, podremos obtener los primeros 8 bytes del RC4 Keystream. hirte1 Con esto lo que podemos hacer es un XOR con un pequeño paquete que creemos al fragmentar el paquete original, y esto nos creará un paquete perfectamente valido para la red WEP a la que pertenezcan los paquetes. Esto nos valdrá para fragmentar un paquete ARP en paquetes pequeños válidos sin saber la clave de la red. Y de esta forma realizar el ataque ARP-replay. hirte6 Este ataque sirve para atacar al cliente. Cuando se conecte a nuestro AP, despues de enviar los paquetes correspondientes a DHCP, enviará los correspondientes a ARP request, y será ahi cuando nosotros respondamos con un ARP replay que hemos sido capaces de crear y que serán validos para el cliente. Demo Time! Utilizaremos la herramienta Airbase-NG que sirve para crear el punto de acceso para realizar el ataque. Elegiremos en que canal queremos poner el punto de acceso, el nombre, con -W diremos que sea del tipo WEP y la opción -N es la que corresopnde al tipo de ataque Hirte Attack. # airbase-ng -c 1 –essid WLAN_88 -W 1 mon0 -N hirte3 También tendremos que almacenar la captura con Airodump-ng para despues poder crackearla con Aircrack-ng. # airodump-ng –channel 1 -W hirte mon0 hirte4 Es posible que el cliente se desconecte, y se vuelva a conectar a la red puesto que no recibe configuración de red (esto dependerá de la implementación del SO). Podemos ver como los paquetes están subiendo de una forma muy rápida }:). Cuando lleguemos a un numero suficiente podremos descifrar la clave WEP con aircrack-ng como siempre. # aircrack-ng hirte-01.cap hirte5 Hay veces que no funciona a la primera la inyección masiva de paquetes y hay que volverlo a probar.

Autor.  Roberto Lopez (@leurian)

  1. Miguel
    Miguel03-07-2014

    En el primer párrafo dices:
    ” Lo que haremos será crear un punto de acceso que esté en la lista de SSID de la víctima para que se conecte automaticamente sin darse cuenta”

    ¿Cómo se puede saber qué SSID, además del actual al que está conectado, están en la lista del cliente?

    gracias.

    • Roberto Lopez
      Roberto Lopez03-07-2014

      Pues con los SO actuales que ya no mandan request de las redes PNL (tu lista de redes conocidas) sólo te queda saber por que redes ha estado conectado haciendo una investigación más “analógica” jeje.

Leave a Reply

*

    No Twitter Messages