Lo básico, una introducción a WPA

Términos clave:

  • SSID: El «nombre» de la red que ves y con la que tratas de conectar.
  • ESSID: Un SSID que puede aplicarse a múltiples puntos de acceso, como la oficina de una empresa, formando una red mayor. Para Aircrack es, normalmente, la red que estás atacando.
  • BSSID: Una dirección MAC de punto de acceso (Hardware).
  • WPA2-PSK: Redes WiFi en las que conectas con una contraseña que es la misma para todo el mundo.
  • WPA2-EAP: Redes WiFi en las que te autenticas proporcionando un usuario y contraseña, que es enviado a un servidor RADIUS.
  • RADIUS: Un servidor de autenticación de clientes, no solo para WiFi.

El núcleo de una autenticación WPA2 es el saludo a 4 bandas (4 way handshake).

Muchas de las redes WiFi domésticas usan un WPA2 personal. Si tienes que identificarte con contraseña y noes WEP, es WPA2.

Si tienes que usar usuario y contraseña para identificarte, seguramente es WPA2-EAP y usar servidores RADIUS.

Antes se usaba el estándar WEP (Wired Equivalent Privacy). Este se mostró inseguiro y puede romperse capturando suficientes paquetes como para adivinar la clave usando métodos estadísticos.

El saludo a 4 bandas permite al cliente y la AP probar ambos que conocen la clave, sin decírsela al otro. WPA y WPA2 usan prácticamente el mismo método de autenticación, de manera que los ataques a ambos son los mismos.

Las claves para WPA se derivan del ESSID y la contraseña para la red. El ESSID actúa como sal, haciendo los ataques de diccionario más difíciles. Significa que, para una contraseña dad, la clave variará para cada punto de acceso. Esto significa que, a menos que precomputes el diccionario solo para ese punto de accesos / Dirección MAC, necesitarás intentar contraseñas hasta que encuentres la correcta.

¿Qué tipo de ataque a la encriptación puedes realizar a una WPA2 personal? (Hay que probar mucho hasta dar con lo correcto, así que…)

Brute force

¿Puede usarse este método para atacar saludos WPA2-EAP? (Yea/Nay)

Nay

¿Qué abreviación de 3 letras es el término técnico para “código WiFi / Contraseña / Frase de contraseña”? (Está en el nombre completo de WPA2 cuando solo tienes que identificarte con contraseña).

PSK

¿Cuál es la longitud mínima de una contraseña personal PSA2? (San Google).

8

Estás siendo vigilado. Captura de paquetes para atacar

Usando la suite Aircrack-ng podemos comenzar a atacar una red WiFi. Vamos a ir paso a paso, asumiendo que tienes un NIC con modo monitor habilitado.

NIC significa Network Interface Controller, o controlador de interface de red. Es decir, la tarjeta de red. El modo monitor es uno de los 8 modos en los que puede actuar esta tarjeta.

La suite Aircrack-ng consiste en:

  • aircrack-ng
  • airdecap-ng
  • airmon-ng
  • aireplay-ng
  • airodump-ng
  • airtun-ng
  • packetforge-ng
  • airbase-ng
  • airdecloak-ng
  • airolib-ng
  • airserv-ng
  • buddy-ng
  • ivstools
  • easside-ng
  • tkiptun-ng
  • wesside-ng

Para atacar redes WPA querremos usar:

  • aircrack-ng.
  • airodump-ng.
  • airmon-ng.

La suite viene ya con Kali, se puede instalar con el gestor de paquetes o bien desde su web.

Lo ideal para trabajar es crear un hotspot en un teléfono o tablet (compartir el acceso a internet del móvil creando un punto WiFi), elegir una contraseña débil (que esté en rockyou.txt) y seguir lo que vamos a ver en cada fase.

Se pueden generar 5 contraseñas aleatorias desde rockyou.txt usando este comando.

head /usr/share/wordlists/rockyou.txt -n 10000 | shuf -5 -

Necesitaremos un NIC con modo monitor para capturar el saludo a 4 bandas. Muchas tarjetas de red inalámbrica soportan este modo, pero no todas.

El modo inyección ayuda, ya que puedes usarlo para desautorizar a un cliente (deauth) de manera que le fuerzas a reconectar de nuevo y que ocurra el saludo inicial. Si no, tendrás que esperar a que un cliente se conecte de manera normal.

¿Cómo pones el interface wlan0 en modo monitor con las herramientas Aricrack? (comando completo).

El programa dentro de la suite es airmon-ng, que puede usarse para habilitar ese modo monitor.

Vemos el manual del programa con:

man airmon-ng

Ahí vemos la opción start (interface), con lo que el comando debería ser:

airmon-ng start wlan0

Nota: lo tendremos que ejecutar como administradores con sudo.

¿Cuál es el probable nuevo nombre de interfaz después de que habilites el modo monitor?

Para ver los dispositivos, tenemos el comando sin parámetros:

airmon-ng

Si lo ejecutamos, vemos que ha añadido mon al final del nombre. Así que, si partimos de que el NIC es wlan0, la respuesta es.

wlan0mon

¿Qué haces si otros procesos están usando el adaptador de red en ese momento?

Volvemos a mirar el manual de airmon-ng y vemos la opción check (kill) que trata de esto, así que con check vemos quiénes son esos procesos y con kill los podemos matar.

airmon-ng check kill

¿Qué herramienta de la suite aircrack-ng usamos para crear una captura?

De las tres que hemos nombrado como necesarias para atacar una WiFi, la que no hemos visto hasta ahora.

airodump-ng

¿Qué opción debemos usar para configurar el BSSID que monitorizar?

Vamos al manual de airodump-ng y buscamos entre las opciones hasta que la vemos. No tiene pérdida.

–bssid

¿Y para establecer el canal? (Nos pide la opción larga).

–channel

¿Y cómo capturamos paquetes a un archivo? (opción de escribir write)

-w

Aircrack-ng, vamos a crackear

Nos proporcionan unas capturas para practicar el cracking. A fin de romper la contraseña, podemos usar aircrack o crear un archivo hashcat a fin de usar aceleración GPU.

Información útil:

  • BSSID: 02:1A:11:FF:D9:BD
  • ESSID: ‘James Honor 8’

¿Qué opción usamos para especificar una BSSID que atacar? (Miramos la ayuda de aircrack-ng con –help)

-b

¿Cómo especificamos una lista de palabras?

-w

¿Cómo creamos un HCCAPX a fin de usar hashcat para romper la contraseña? Ojo a la X final, que indica que es crear un archivo para hashcat 3.6 o superior. En la ayuda también está la opción de Hashcat para versiones inferiores a 3.6.

-j

Usando la lista de palabras rockyou, rompemos la contraseña de la captura que nos suministran. ¿Cuál es?

Usamos lo aprendido para configurar la instrucción completa en aircrack-ng.

aircrack-ng -b "02:1A:11:FF:D9:BD" -e "James Honor 8" -w /usr/share/wordlists/rockyou.txt NinjaJc01-01.cap

greeneggsandham

¿Qué tipo de cracking será más rápido? ¿Con CPU o con GPU?

GPU