manual de pentesting sobre ataque a encirptado wep con backtrack 5

EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING

Libro de Ethical Hacking para entrenamiento sobre ataques informticos.

Contacto: [email protected] Pgina 1

Libro de Et

Contacto: [email protected]

Edicin

Descubre como es el

LSCA, Carlos Alberto Castruita Rodrguez

Edicin impresa en PDF protegida contra impresin y sobre escritura.




Edicin patrocinada por WhiteHat Mxico

el Arte del Hacking de una visin de un White Hat.

Por

Carlos Alberto Castruita Rodrguez

Edicin Independiente 2015

impresa en PDF protegida contra impresin y sobre escritura.


al Hacking para entrenamiento sobre ataques informticos.

Pgina 2

Arte del Hacking de una visin de un White Hat.

Carlos Alberto Castruita Rodrguez

impresa en PDF protegida contra impresin y sobre escritura.




Descubre desde cero como es Arte del Hacking de una visin de un White Hat.

El libro de PENTESTING y de SEGURIDAD INFORMATICA est diseado para hacer pruebas de

vulnerabilidad de seguridad informtica, robo de informacin y espionaje de datos, narrado a un

nivel tcnico para gentes con conocimiento de nivel bsico a medio del rea de informtica o

soporte tcnico en sistemas.

Autor: Carlos Alberto Castruita Rodrguez

Director de WhiteHat - Mxico

Con 20 aos de experiencia en el rea sistemas.

Certificado Hellermann Tyton

Certificado 3com Networks

Ethical Hacker Certificado


Libro de Et


EL ENCRIPTADO WEP

Estoy casi convencido de

haya lidiado mnimamente con su router. No en vano, el trmino

siempre que debemos introducir la clave de nuestra Wi

Internet. Pues bien, a qu nos r

tratar de explicar aqu.

Con el ttulo de este artculo he dado la pista clave y es que

Equivalent Privacy, que en espaol sera Privacidad Equivalente a Cableado) es un sistema

de cifrado de informacin que permite encriptar los datos que viajan a travs de sistemas

inalmbricos, es decir, lo que pasa a travs de nuestra Wi

se pretende dar una cobertura o proteccin a los datos que circulan por nuestra

inalmbrica, los cuales estn en pleno aire y al alcance de todos, y as protegerlos como si

viajaran a travs de un cable de red.

Pero he aqu que la cosa al principio pareci ir bien per




EL ENCRIPTADO WEP

Diagrama de RC4

que las siglas WEP no sonarn a extrao para cualquiera que

haya lidiado mnimamente con su router. No en vano, el trmino

siempre que debemos introducir la clave de nuestra Wi-Fi para poder conectarnos a

Internet. Pues bien, a qu nos referimos exactamente con WEP? Pues eso es lo que

Con el ttulo de este artculo he dado la pista clave y es que WEP (acrnimo para

, que en espaol sera Privacidad Equivalente a Cableado) es un sistema

cifrado de informacin que permite encriptar los datos que viajan a travs de sistemas

inalmbricos, es decir, lo que pasa a travs de nuestra Wi-Fi. Mediante esta encriptacin

se pretende dar una cobertura o proteccin a los datos que circulan por nuestra


viajaran a travs de un cable de red.

Pero he aqu que la cosa al principio pareci ir bien pero se torci !! la razn? el



Pgina 4 1

no sonarn a extrao para cualquiera que

haya lidiado mnimamente con su router. No en vano, el trmino WEP aparece casi

Fi para poder conectarnos a

eferimos exactamente con WEP? Pues eso es lo que

(acrnimo para Wired

, que en espaol sera Privacidad Equivalente a Cableado) es un sistema

cifrado de informacin que permite encriptar los datos que viajan a travs de sistemas

Fi. Mediante esta encriptacin

se pretende dar una cobertura o proteccin a los datos que circulan por nuestra red


la razn? el RC4.




2

RC4 (River Cipher 4 o Rons Code 4 en honor a su creador Ron Rivest) es el algoritmo que

utiliza WEP para encriptar la informacin, el cual resulta ser muy rpido pero en

detrimento es simple, demasiado simple, tan simple que fue descartado como algoritmo

para altos niveles de seguridad.

Las redes encriptadas mediante WEP no son realmente seguras, pero a pesar de eso es la

tipo de cifrado muy popular hoy en da.

WEP fue uno de los primeros sistemas de cifrado para redes inalmbricas que salieron a la

luz de forma comercial, de hecho casi todos los routers de los ISP nos dan una clave para

encriptacin WEP por defecto.

Pero dejemos de hablar de los problemas del WEP y hablemos un poco de sus entraas. La

clave de la encriptacin WEP est en la famosa contrasea que nos otorga nuestro

ISP cuando contratamos sus servicios. Esa contrasea es vista por cualquier dispositivo

como una secuencia de bits (unos y ceros) que puede tener un tamao de 64 o 128,

dependiendo del nivel de seguridad. Con la secuencia de bits de la contrasea se

enmascara la informacin para que a ojos ajenos sea ilegible, pero que en cuanto aterriza

en un dispositivo que tambin dispone de dicha contrasea se descodifique y se trate con

normalidad.

De todo esto lo que realmente hay que entender es que el cifrado WEP es realmente

simple, tanto que hoy en da es relativamente sencillo el penetrar su seguridad.

Libro de Et


Descarga el BackTrack 5 R3

Deberemos generar un CD de BacTrack 5 R3.

Lo que necesitas:

Un CD de BackTrack 5 R3.

Un adaptador o tarjeta de red con capacidad de inyeccin de paquetes.

Una red WiFi cercana.

Lo primero de todo es arrancar tu ordenador usando

grfico.

Debes abrir una ventana de la terminal o consola (Ctrl+Alt+T).

Y escribir el siguiente comando:

>> ESCRIBIR: Sudo s

Estando ya como ROOT antes previamente escrito el password y estando ya con todos los

recursos del sistema a disposicin.




BackTrack 5 R3 en un CD.

CD de BacTrack 5 R3.

BackTrack 5 R3.


cercana.

Lo primero de todo es arrancar tu ordenador usando BackTrack, preferiblemente en modo

Debes abrir una ventana de la terminal o consola (Ctrl+Alt+T).

el siguiente comando: Sudo s

s { INTRO } ( para poder accesar como ROOT)


recursos del sistema a disposicin.



Pgina 6 1

3


BackTrack, preferiblemente en modo

( para poder accesar como ROOT)





2

4

Pasando de usuario que en este caso es castruita pasamos a ROOT sea administrador, as

teniendo todos los privilegios para poder trabajar.

Escribiremos el otro comando. Ifconfig

>> ESCRIBIR: Ifconfig { INTRO } ( con este comando podremos ver la configuracin

y estatus de la tarjeta de red.)

Escribiremos el otro comando.

Airmon-ng

>> ESCRIBIR: airmon-ng { INTRO } (el modo de monitoreo)




5

El comando anterior te dir cul es tu tarjeta inalmbrica, lo nombres ms comunes

son wlan0, ra0, eth0 eth1, cosas as por el estilo. Te dars cuenta de cul es nombre de

tu adaptador de red.

El siguiente paso es cambiar la MAC de tu ordenador. Para ello debes introducir los

siguientes comandos:

Si tu tarjeta de red se llama wlan0, entonces los comandos seran:

- airmon-ng

- ifconfig

- macchanger

>> ESCRIBIR: airmon-ng stop wlan0 { INTRO } (Deshabilitamos el modo

Monitoreo)

Deshabilitamos la interface Wlan0 para poder despus deshabilitar el dispositivo de red,

que es el dispositivo rt2800usb.




6

Escribiremos el otro comando. ifconfig

>> ESCRIBIR: ifconfig wlan0 down { INTRO }

Con esta instruccin desconectamos la interface wlan0 del driver

Prosiguiendo con siguiente comando macchanger

>> ESCRIBIR: macchanger --mac 00:00:00:00:00:00 wlan0 { INTRO }

Dondequiera que veas (tarjeta de red) debes reemplazarlo con el nombre de tu tarjeta de

red. Nosotros hemos usado la MAC 00:11:22:33:44:55, pero t puedes usar cualquiera

que se te ocurra.

Es importante ver que al poner el comando macccharger se concluya correctamente el

cambio de MAC ADRRESS. El mac de nuestra tarjeta de red usb que es fabricada por

EDIMAX, fue cambiada la mac por una de CIMSYS.

Porque el cambio de numero de serie de nuestra tarjeta de red o cambio de MAC. Para no

dejar rastro de nuestra identidad al momento del ataque al modem wifi. Nos aparece en

la imagen la sentencia NEW MAC: con nuestra mac falsa obteniendo una identidad

falsa del hardware que va a atacar.

Ahora que ya tenemos nuestra nueva mac adrress daremos de alta los servicios, para

empezar hacer el monitoreo.




Escribiremos el siguiente comando. ifconfig

>> ESCRIBIR: ifconfig wlan0 up { INTRO } (damos de alta el servicio de nuestra

tarjeta de red)

>> ESCRIBIR: iwconfig mon0 { INTRO } ( nos muestra la configuracin del monitor

o Mon0)

Ya que tenemos el servicio de la interface funcionando que es Wlan0 .

Nuestro siguiente comando es Airmon-ng, el cual ya una de las herramientas que

proporciona la suite de backtrack. Te recomiendo que tengas un cuaderno de apuntes y

copies los comandos para que puedas ir memorizando las lneas para cuando hagas

ataques en campo no te falle por falta de un comando o de error de escritura.




7 8

Bueno ya estamos con las herramientas de backtrack con la cual empezaremos con

airmon-ng.

>> ESCRIBIR: airmon-ng start wlan0 { INTRO } (script diseado para convertir tarjetas inalmbricas en el monitor)

Este script puede ser usado para activar el modo de monitor inalmbrico interfaces.

Tambin se puede utilizar para volver desde el modo de monitor para gestionados de

modo. Entrando en el comando airmon-ng sin parmetros mostrar el estado de

interfaces.

El siguiente comando te permitir ver cules son las redes WiFi que hay a tu alrededor.




9

Ya que ejecutamos el comando Airmon-ng , procederemos con el segundo comando que

es Airodump-ng.

Te muestro su sintaxis a continuacin.

airodump-ng [,,...]

Opciones:

--ivs : Graba nicamente los IVs capturados

--gpsd : Usa GPSd

--w : Nombre del archivo donde guardar las capturas

-write : Lo mismo que --w

--beacons : Guardar todas las balizas o beacons en el archivo

--netmask : Filtrar APs por mscara

--bssid : Filtrar APs por BSSID

Por defecto, airodump-ng va saltando alrededor de los canales 2.4Ghz.

Puedes capturar en un canal especfico usando:

--channel : Capturar en un canal especfico

--band : Banda en la que actuar airodump-ng




10

--cswitch : Saltar de canal con este mtodo:

0 : FIFO (opcin por defecto)

1 : Round Robin

2 : Saltar al ltimo

-s : Lo mismo que --cswitch

>> ESCRIBIR: airodump-ng mon0 { INTRO }

Airodump-ng se usa para capturar paquetes wireless 802.11 y es til para ir acumulando

vectores de inicializacin IVS con el fin de intentar usarlos con aircrack-ng y obtener la

clave WEP.

Va a salir una lista con todas las redes inalmbricas alrededor, donde dice el BSSID (MAC

del router que da la seal), PWR (Poder de seal), CHN (Canal en que se encuentra la red),

ENC (Es el tipo de encriptacin) y ESSID (Nombre de la red inalmbrica). Te mostrare abajo

la tabla de los campos que usa Airodump-ng.




9

11

11

Campo Descripcin

BSSID Direccin MAC del punto de acceso.

PWR Nivel de seal. Su significado depende del driver que usemos, pero cuanto

mayor sea el PWR ms cerca estaremos del AP o del cliente. Si el PWR es -1,

significa que el driver no soporta la deteccin del nivel de seal. Si el PWR es -1

para algunos clientes (stations) es porque los paquetes proceden del AP hacia

el cliente pero las transmisiones del cliente se encuentran fuera del rango de

cobertura de tu tarjeta. Lo que significa que solo escuchas la mitad de la

comunicacin. Si todos los clientes tienen PWR -1 significa que el driver no

tiene la cpacidad de detectar el nivel de seal.

RXQ Calidad de recepcin calculada a travs del porcentaje de paquetes

(management y paquetes de datos) recividos correctamente en los ltimos 10

segundos. Mira la nota para una explicacin ms detallada.

Beacons Nmero de paquetes anucio o beacons enviadas por el AP. Cada punto de

acceso envia alrededor de diez beacons por segundo cuando el rate o

velocidad es de 1M, (la ms baja) de tal forma que se pueden recibir desde

muy lejos.

# Data Nmero de paquetes de datos capturados (si tiene clave WEP, equivale

tambien al nmero de IVs), incluyendo paquetes de datos broadcast (dirigidos

a todos los clientes).

#/s Nmero de paquetes de datos capturados por segundo calculando la media de

los ltimos 10 segundos.

CH Nmero de canal (obtenido de los paquetes anuncio o beacons).

Nota: Algunas veces se capturan paquetes de otros canales, incluso si

airodump-ng no est saltando de canal en canal, debido a interferencias o

solapamientos en la seal.

MB Velocidad mxima soportada por el AP. Si MB = 11, es 802.11b, si MB = 22es

802.11b+ y velocidades mayores son 802.11g. El punto (despues del 54) indica

que esa red soporta un prembulo corto o short preamble.

ENC Algoritmo de encriptacin que se usa. OPN = no existe encriptacin

(abierta),WEP? = WEP u otra (no se han capturado suficientes paquetes de

datos para saber si es WEP o WPA/WPA2), WEP (sin el interrogante) indica

WEP esttica o dinmica, y WPA o WPA2 en el caso de que se use TKIP o

CCMP.

CIPHER Detector cipher. Puede ser CCMP, WRAP, TKIP, WEP, WEP40, o WEP104.




AUTH El protocolo de autenticacin usado. Puede ser MGT, PSK (clave

precompartida), o OPN (abierta).

ESSID Tambien llamado SSID, que puede estar en blanco si la ocultacin del SSID

est activada en el AP. En este caso, airodump-ng intentar averiguar el SSID

analizando paquetes probe responses y association requests (son paquetes

enviados desde un cliente al AP).

STATION Direccin MAC de cada cliente asociado.

Lost El nmero de paquetes perdidos en los ltimos 10 segundos.

Packets El nmero de paquetes de datos enviados por el cliente.

Probes Los ESSIDs a los cuales ha intentado conectarse el cliente.

Cuando veas la red que deseas hackear, pulsa Ctrl + C para detener el escaneo quedando

la lista final. Resalta la fila perteneciente a la red de inters, y tomar nota de dos cosas: su

BSSID y su canal (en la columna CH), como se ilustra a continuacin. Es evidente que la red

que desea crackear debe tener cifrado WEP (en la columna ENC), no debe tener WPA, ni

ninguna otra cosa.

Ahora vamos a ver lo que est pasando con la red que hayas elegido y capturar esa

informacin en un archivo.

Subraye la ESSID con la que vamos trabajar en este libro que es INFINITUM2ABB72.




14 13

Vemos que ya tenemos un wifi wep, cuyos datos son los siguientes:

ESSID: INFINITUM2ABB72

ENC: WEP

CHANEL: 1

BSSID: 00:24:17:81:B4:0D

PWR: -78

Nos indica PWR, que nuestro wifi que deseamos atacar esta un poco retirado, y que nos

puede tardar un poco mas de tiempo en obtener la cantidad de paquetes que

necesitamos acumular para obtener la contrasea.

>> ESCRIBIR: airodump-ng -c (canal) -w (nombre del archivo) --bssid

(bssid) mon0 { INTRO }

Entendemos ya con nuestros datos que la red que deseas hackear es INFINITUM2ABB72,

que su canal es 1, que deseamos ponerle al archivo de escritura de los datos como

hackingwifi y que el bssid es 00:24:17:81:B4:0D, entonces el comando sera:

airodump-ng -c 1 -w hackingwifi --bssid 00:24:17:81:B4:0D mon0




Ahora ya estas capturando datos!!!!, ahora fjate que hay una columna que dice DATA,

estos son los paquetes que llevas capturados, para poder descifrar la clave WEP como

mnimo debes capturar unos 20,000 paquetes. Yo recomiendo 30,000.

Notars que puede ir muy lento, esto significa que ninguna persona est utilizando la red

en el momento. Entonces no est generando trfico y te podra llevar demasiado tiempo

llegar a los 20,000 paquetes. Por suerte t mismo puedes inyectarle trfico a la red y para

eso es el comando siguiente.

Abre una nueva ventana de la consola y escribe el siguiente comando: Aireplay-ng.

SINTAXIS: aireplay-ng -1 0 -a (bssid) -h 00:11:22:33:44:55 -e (essid)

mon0

-a es el bssid de la red que estamos atacando.

-h es la mac falsa que le diste a tu tarjeta de red al principio.

-e es el nombre de la red que estamos atacando.

>> ESCRIBIR: aireplay-ng -1 0 -a 00:24:17:81:B4:0D -h 00:11:22:33:44:55

- e INFINITUM2ABB72 mon0 { INTRO }




15

Despus de introducir el comando deberan aparecer 4 lneas de cdigos y la final debe

decir que la conexin ha sido exitosa (Association successful), esto significa que

estas conectado en capa 2 del router de la red que ests atacando.

Si por alguna razn no te puedes conectar, entonces las causas pueden ser las siguientes:

La red que quieres atacar est muy lejos.

Tu tarjeta de red no puede hacer inyeccin de paquetes.

El router que quieres atacar tiene seguridad para evitar este tipo de ataques.

Ahora para inyectarle el trfico introduce el siguiente comando: Aireplay-ng

>> ESCRIBIR: aireplay-ng -3 -b 00:24:17:81:B4:0D -h 00:11:22:33:44:55

mon0 { INTRO }




Dnde:

-b es el bssid de la red que estamos atacando.

-h es la MAC falsa que le dimos a tu tarjeta de red inalmbrica.

Vers que se empezaran a inyectar paquetes, si vas a ver a la otra terminal donde ests

capturando los paquetes te dars cuenta que la columna de DATA ahora avanzar mucho

ms rpido.

Dependiendo de la potencia de la red que ests atacando este proceso podra tomar algn

tiempo. Es cuestin de que dejes el ordenador trabajar y vayas a dar una vuelta hasta que

data llegue a 30,000 paquetes.

Al llegar a los 30,000 paquetes o IVs pulsaremos CTRL+ C, para frenar la operacin.

A continuacin escribiremos el comando: Dir

>> ESCRIBIR: dir { INTRO }

Nos muestra el directorio una serie de archivos generados con el nombre de archivo

hackingwifi + 01, con extensiones .cap, .csv, kismet.csv, kismet.netxml.

Seleccionamos el archivo hackingwifi-01.cap para poder obtener la contrasea del wifi

atacado.




16 17

Ejecuta el siguiente comando para recuperar que los datos que hemos recogido:

SINTAXIS: aircrack-ng -b (bssid) (nombre de archivo-01.cap) O

aircrack-ng (nombre de archivo-01.cap)

>>ESCRIBIR: aircrack-ng -b hackingwifi-01.cap { INTRO }

Si no has recopilado suficientes datos, aircrack presentar un error y te dir que vuelvas a

intentarlo con ms datos. Si tienes xito, se ver as,

KEY FOUND [ 87:F2:71:32:E6 ]

manual de pentesting sobre ataque a encirptado wep con backtrack 5

Documents