Blog

Hacking WiFi – Parte 18 – Hacking autenticación WEP

Para ver la serie completa pulsa aqui. Habrá conceptos que se den por obvios ya que están explicados en artículos anteriores.

¿Como es el proceso de autenticación en una red WEP? El cliente manda un paquete de autenticación, el AP le responde una palabra de 128 bytes, para que el cliente la cifre a partir del algoritmo RC4 y su clave WEP, y este se lo envíe de vuelta al AP. El AP lo descifra, y si es la misma palabra que había enviado al cliente, quiere decir que se ha autenticado con éxito. Por último el AP envía un paquete diciendo que se ha autenticado con éxito.

tres1

Ejecutando Airodump-NG filtrando por la MAC podremos capturar la red WEP que nos interese. Vemos que en la columna AUTH no aparece nada hasta que no se conecte alguien:

# airodump-ng -c 9 –bssid <mac_AP> -w post mon0

tres3

Una vez se conecta alguien, este camop se rellena y además aparece en la parte de arriba de la herramienta el Handshake. Y si miramos en la carpeta donde estamos también se ha creado un archivo “.xor”.

tres4

Abrimos la captura con Wireshark que nos ha guardado el airodump-ng en el directorio en el que estemos (en mi caso tendrá algun nombre que comience por “post”) y pondremos un filtro para que solo se nos muestren los paquetes del cliente y los del AP.

(wlan.addr == <mac_Cliente>) && (wlan.addr == <mac_AP>)

Veremos que hay 4, es decir, los 4 pasos de la imagen anterior. Podemos ver que el primero tiene de numero de secuencia 1, el siguiente 2 y así hasta el cuarto. El primero es la solicitud del cliente al AP para conectarse.

tres6

El segundo podemos ver que contiene el la palabra de 128 bytes que envía el AP al cliente para que cifre.

tres7

En el tercero podemos ver que en su campo data tenemos la palabra cifrada.

tres8

Y el cuarto podemos ver que se ha realizado correctamente la autenticación.

tres9

Vamos a ver ahora para que nos va a servir toda esta información que hemos recogido:

tres2

Podemos ver en la foto que el reto que envía el AP al cliente en el segundo paquete es la X, la Z es la palabra cifrada que devuelve el cliente al AP y la Y es la keystream con la que se cifra la palabra. Y vemos que con una sola operación simple podemos obtener la keystream, haciendo un XOR de la X con la Y.

Cuando nos vayamos a autenticar en la red y se nos envíe la palabra para realizar el reto, podremos superarlo con exito y autenticarnos en la red ya que podemos obtener el keystream (Y=WEP Keystream). Para probar este ataque podemos ver en el directorio en el que estamos, que el airodump-ng nos ha generado un fichero “.xor” cuando ha capturado el handshake de la conexión que acabamos de analizar. Lo vamos a probar con la herramienta Aireplay-NG:

tres5

Podemos ver con el airodump-ng como nos hemos autenticado, ya que de la parte de abajo del programa, la MAC C4:85:08:35:1D:CB es la de nuestro portatil con el que hemos hecho la autenticación falsa.

La conclusion de esto es que la autenticación por clave compartida para WEP está rota, así que tener cuidado. Más adelante veremos como sacarle partido a esto.

  1. Codex
    Codex12-04-2014

    Gracias por esos tutos! estan muy bien explicados! 😀 espero con ansias la próxima entrega. Buena onda!

Leave a Reply

*

    No Twitter Messages