Como Sacar claves wifi WEP los mejores metodos

Bueno este ambicioso post pretende transmitir todo lo necesario sobre desencriptar claves wifi con cifrado WEP de una forma didactica sencilla y amena.

¿Que necesitamos?

REQUERIMIENTOS DE HARDWARE
  • Un ordenador.
  • Una tarjeta wifi que pueda entrar en modo monitor.
  • Un router wifi con clave WEP para poder desencriptarla.

+

+


Un inciso importante es que no se crea alguien que cualquiera con cualquier tarjeta wifi podra sacar claves wifi porque no todas valen, mas bien unas pocas valen y de esas pocas las hay buenas y malas, como recomendacion personal la alfa usb 500mW o su homologa bosslan 500mW es muy buena. Tambien sirven todas las que tengan chip rt8187, Atheros, algunas integradas de los portatiles intel ipw, las ralink etc.


REQUERIMIENTOS DE SOFTWARE

Bien, mas cosas que necesitamos a nivel de software

LINUXXXXXX!!!

Esto hechara para atras a mucha gente que piensa que sacar una clave wifi es cojer un programin en windows xp que haces doble click y sale la clave por arte de magia.

Distribuciones Wifiway y Wifislax

Recomiendo si se es un usuario con poca experiencia en linux usar las distribuciones livecd wifiway o wifislax que podeis descargar gratuitamente aqui

Estas distribuciones no se instalan fisicamente en el disco duro del pc para los que preferis seguir con vuestro windows y usar linux solo para sacar claves, estas distribuciones live funcionan introduciendo el cd y configurando el arranque de la bios para el cd y se cargan en ram desde el cd sin machacarte la instalacion del disco duro. Cuando se terminan de usar se apaga el pc se saca el cd y queda todo como estaba. Lo bueno que tienen ademas de esto es que vienen con todas las herramientas y drivers instalados para todas las tarjetas de red que soportan monitor con lo cual no hay que instalar ni configurar nada podeis usarlas para seguir este tutorial.

Linux Ubuntu o Debian

Los que useis linux de verdad ubuntu o debian debereis instalar el paquete aircrack-ng con
sudo apt-get install aircrack-ng

Y lo mas importante es los drivers de la tarjeta wifi para que entre en modo monitor, como se me haria imposible explicar como se instalan para todas las tarjetas os dejo las instrucciones de los creadores de aircrack.

Si alguien tiene dudas de como se instalan para la Alfa 500 que es la mia que lo diga y hago otro post para ello.


REQUERIMIENTOS RECOMENDABLES

  • Tener una buena cobertura y una señal potente facilita enormemente las cosas.
  • Una buena antena ayuda a mejorar la cobertura.
  • El programa macchanger descargable con apt-get install macchanger para cambiar la mac.
  • Seguir esta guia ayuda mucho :=)
CONSIDERACIONES


El comando sudo sirve para obtener privilegios de adminsitrador, podeis usar sudo antes de cada comando o poner sudo su para entrar en modo administrador y trabajar desde ahi, los usuarios de wifislax y wifiway no hace falta que pongan sudo porque trabajan directamente desde modo adminsitrador # en este tutorial uso bastante sudo porque estoy acostumbrado a trabajar de esta forma en Ubuntu.

Otra consideracion es el lugar donde se guardan los archivos que generamos en el disco duro, se guardan en el directorio donde este situado la consola generalmente en /home/carpetadeusuario

MANOS A LA OBRA

Primero vamos a encender un ordenador con linux con aircrack-ng instalado, los drivers instalados y enchufamos nuestra tarjeta wifi.


1.0 PREPARATIVOS


1.1 Detectando la interface

Vamos a comprobar si nos la detecta con el comando
iwconfig


A mi me sale la interface como wlan1 porque wlan0 es la interna del portatil segun el chip que useis os saldra un nombre distinto yo en este tutorial usare wlan1 pero vosotros usareis el que os corresponda.


1.2 Entrando en modo monitor

Ahora vamos a ponerla en modo monitor con el comando.

sudo airmon-ng start wlan1


Si todo va bien os saldra algo asi.



1.3 Cambiando la MAC

Una cosa util es cambiarnos la mac de la tarjeta de red atacante

Instalamos macchanger (usuarios de wifislax wifiway no hace falta)
sudo apt-get install macchanger
Ejecutamos
macchanger --mac=00:11:22:33:44:55


Esto es interesante por tres cosas:
Primero porque en el supuesto de que ataquemos routers que no son nuestros ( no es el caso ^^) no podrian detectar que mac ataca, con la mac alomejor se podria investigar donde hemos comprado el dispositivo wifi. Segundo porque si el ap tiene seguridad de filtrado por mac y conocemos o hemos visto conectado un cliente sabemos que esa mac tiene permiso en el filtrado por mac asique nos la adjuticamos saltandonos asi esa medida de seguridad. Y tercero por la comodidad de luego cada vez que nos pida nuestra mac ponemos 00:11:22:33:44:55 sin tener que sabernos la autentica de memoria.


1.4 Escaneando la red

Ahora vamos a escanear la red para buscar un objetivo con el comando airodump-ng de la siguiente manera.

sudo airodump-ng wlan1


Os saldra algo asi donde:
Bssid es la MAC de los puntos de acceso disponibles ( he borrado por privacidad de sus dueños)
Pwr La potencia de la señal
Data la cantidad de paquetes que tenemos utiles para luego desencriptar la clave
#/S es la velocidad a la que estamos inyectando
CH es el canal
MB es la velocidad de la conexion
ENC CIPHER y AUTH es el tipo de encriptacion
ESSID es el nombre de la conexion

En la parte de abajo se encuentran los clientes wifi si pone not associed es que no estan asociadaos a ningun ap y si lo estubieran apareceria la mac del ap.

En este caso voy a atacar a "dd-wrt-DeMoN" que es mi propio router.


1.5 Filtrando un objetivo

Voy a filtrar el objetivo de la siguiente manera paramos con Control + C el otro airodump y ejecutamos

sudo airodump-ng -c 7 --bssid MACOBJETIVO -w archivocapturas wlan1



Asi estamos guardando los Data en el archivo que especifiquemos con -w y solo guardamos datas del punto de acceso que nos interesa filtrando por canal con -c y por mac con --bssid



El PWR es la señal el RXQ es la calidad de la conexion, el porcentaje entre los paquetes que llegan y los que se pierden y los Beacons son paquetes que a efectos practicos no nos sirven para sacar claves son como balizas que manda el Ap de vez en cuando para decir, estoy aqui.

Cuanto mejor sean el PWR y el RXQ mejor este es un buen momento para reorientar la antena intentando buscar los mejores valores posibles.


1.6 Asociando.

Ahora vamos a asociarnos al AP esto es muy importante porque si no lo hacemos no funcionaran bien el resto de ataques asociar es decirle que nos vamos a conectar con el que nos acepte pero sin llegar a hacer la negociacion de la clave, necesitamos que nos asocie para poder inyectarle trafico.

La ventana del airodump-ng dejadla abierta todo el tiempo abris otra consola y ejecutais

sudo aireplay-ng -1 6000 -0 1 -q 10 -e dd-wrt-DeMoN -a MACDELAVICTIMA -h 00:11:22:33:44:55 wlan1

Donde:
-e Es el nombre de la red que vamos a asociarnos
-a La mac del router que vamos a asociarnos
-h Nuestra propia mac

Existen varias maneras esa es la que mejor me funciona a mi.





2.0 INYECTANDO TRAFICO


Desde este momento dejaremos esas dos consolas abiertas y para seguir trabajando abriremos una tercera consola.

Bien desde este punto pasaremos a la ofensiva el objetivo es aumentar los DATA para poder desencriptarlos con aircrack para ello necesitamos inyectar trafico en la red y para inyectar trafico necesitamos un paquete ARP el objetivo de todo lo sucesivo es encontrar un ARP para inyectar.


2.1 - Metodo 1: ataque 1 + 3

Una vez estamos inyectando esta practicamente todo el trabajo hecho es ver como crecen a toda velocidad los data y en pocos minutos podremos pasar el aircrack-ng y recoger la contraseña

Vamos a empezar con el ataque mas sencillo, el ataque 3 que sirve para simplemente escuchar la red a ver si encontramos el ARP con mas o menos suerte puede estar poco o mucho tiempo hasta que capture uno, en el momento que lo tenga el solito empieza a inyectar a toda velocidad.

Se lanza asi:

sudo aireplay-ng -3 -x 600 -b macvictima -h 00:11:22:33:44:55 wlan1




donde
-x 600 es la velocidad a la que queremos que inyecte
-b mac del ap
-h nuestra mac en este caso 00:11:22:33:44:55 porque la cambiamos
wlan1 es la interface de red

Aqui podemos ver un ataque 1 + 3 que se llama a estar asociando con ataque 1 y atacando con el ataque 3 a la vez, una vez ha encontrado un solo ARP inyecta y multiplica por miles los ARP. Tambien guarda los ARP por si queremos parar y volver a empezar en otro rato, en un archivo replay.cap

Si estais probando con vuestro propio router y no teneis paciencia podeis provocar el arp desde otro ordenador conectado al router haciendo ping a una ip que no exista en la red.

Si estais inyectando con exito con este ataque ya no hace falta que prosigais con los siguientes puntos hasta el 3.0 ya que el objetivo es inyectar y si lo habeis conseguido de esta manera que es la mas sencilla no hay que probar mas cosas.

Continuamos en el punto 3.0 Desencriptando la clave con aircrack-ng


2.2 - Metodo 2: Ataque CHOP CHOP

Si no obtenemos ARP con el ataque 1 + 3 podemos probar otras cosas como son el ChopChop (ataque 4) o Ataque de Fragmentacion (ataque 5).

Estos dos ataques tienen el objetivo de obtener un archivo XOR, con el archivo XOR y el programa packetforge podremos reconstruir un ARP casero y luego inyectarlo para generar datas.

Bien, tenemos abiertas la consola de airodump y la de asociacion ,abrimos una tercera y tecleamos lo siguiente.

sudo aireplay-ng -4 wlan1 -h 00:11:22:33:44:55

Como ya habreis deducido -h es nuestra mac y wlan1 la interface, este ataque solo necesita saber nuestra mac si estamos asociados y tenemos que estarlo para que funcione.


Escuchara la red hasta que encuentre un paquete util para el ataque cuando lo haga le diremos que lo use pulsando Y y dando a Intro, y empezara a generar el XOR



Cuando termine nos dira en que archivo guardo el paquete XOR asi



Una vez tengais el archivo XOR saltad al punto 2.4 packetforge


2.3 - Metodo 3: Ataque de Fragmentacion

Ahora vamos a ver la otra manera de conseguir el XOR
Si ya tenemos el XOR no hace falta hacer el ataque de fragmentacion pero generalmente o funciona uno o funciona el otro los routers que son vulnerables a chopchop no funcionan con fragmentacion y viceversa.

Para lanzar el ataque de fragmentacion ponemos:

sudo aireplay-ng -5 -b macvictima -h 00:11:22:33:44:55 wlan1

y nos dara como resultado


Esto es como el chop chop buscara paquetes que le sirvan damos a Y y a intro cuando lo encuentre.
Al finalizar nos mostrara el archivo XOR que ha creado asi.

Una vez tengais el archivo XOR saltad al punto 2.4 packetforge


2.4 PACKETFORGE

Bien aqui es cuando tenemos un XOR resultante de haber realizado con exito un ataque chopchop o fragmentacion no importa cual de los dos el proceso es el mismo, y con ese xor lo vamos a convertir en ARP que nos servira para inyectar, el comando es un poco largo recomiendo tenerlo apuntado.

sudo packetforge-ng -0 -a macvictima -h 00:11:22:33:44:55 -k 255.255.255.255 -l 255.255.255.255.255 -y fragment-0203-180343.xor -w arp-request

Donde
-a Es la mac del AP que queremos sacar la clave
-h Es nuestra mac
-y Es el archivo xor resultante de fragmentacion o chopchop
-w es el archivo ARP que generaremos

Aqui vemos como ejecutar el packetforge al finalizar fragmentacion.



Una vez tenemos el ARP creado continuamos en el punto 2.5 Inyectando el ARP


2.5 Inyectando el ARP casero que acabamos de crear

Usaremos el ataque 2 que sirve para inyectar un ARP guardado en un archivo puede servir tambien para inyectar un ARP guardado de una sesion anterior con el ataque 3.
Se ejecuta asi:

sudo aireplay-ng -2 -r arp-casero wlan1

donde
-r es el archivo del ARP



Dariamos a Y intro y empezaria la inyeccion incrementando considerablemente los DATA.

Aqui vemos como inyecta.




Continuamos en el punto 3.0 Desencriptando la clave con aircrack-ng


3.0 Desencriptando la clave con Aircrack-ng


Llegados a este punto tenemos un archivo .cap guardado con la opcion -w de airodump lleno de datas utiles (ivs) conseguidos mediante ataque 1 +3 o fragmentacion con packetforge e inyeccion o chopchop con packetforge e inyeccion.

Ejecutamos aircrack-ng

sudo aircrack-ng -z capturas*.cap

Dos consideraciones:
El -z es si usais una version vieja de aircrack como yo en este caso sino no hace falta es para usar el potente ataque PTW pero en las versiones nuevas lo usa por defecto.

El asterisco despues del archivo de capturas es porque muchas veces lanzamos el airodump y lo paramos y lo volvemos a lanzar y cada vez que pasa eso genera un archivo nuevo con nombre capturas0001.cap capturas0002.cap etc y asi los cogemos a todos con el asterisco.


Si habeis usado filtrado solo aparecera un objetivo pero si no lo habeis hecho debereis elegir que objetivo quereis en este caso si se ha usado y automaticamente elige el 1 porque es el unico que hay.



Otra consideracion interesante es que podeis lanzar aircrack a la vez que teneis otros ataques inyectando incrementando el archivo de capturas a la vez que aircrack va desencriptando el mismo archivo o si lo preferis esperar a que alcanzeis 40000 datas o asi parar la inyeccion y proceder con aircrack.



Aqui se ve como aircrack nos dice la clave, esta clave esta en formato hexadecimal alomejor significa perro o casa, no lo sabemos pero no importa porque podemos usarla asi directamente desde windows o desde linux dais a conectar y cuando pida la clave poneis esta quitando los : que hay cada poco.


Espero que os sirva de utilidad un saludo hasta otra.


11 comentarios:

Anónimo dijo...

gracias por la guia
yo de momento estoy a ver si me decido qué tarjeta comprar
la Alfa muy bien para auditar pero si luego conecta mal en windows..., mal asunto

DeMoN dijo...

Eso es cierto, el problema que tiene la alfa en windows es que se flipa demasiado y encuentra muchisimas redes pero solo conecta bien las que tenga mucha cobertura porque la alfa usa un amplificador interno y le parece que tiene mucha señal pero tambien amplifica el ruido entonces una que en windows te sale con la alfa 2 rayas no conectara muy bien. Yo la alfa la uso solo para auditar y para conectar uso la interna del portatil una 4965agn que va muy bien o si es un pc de sobremesa te recomiendo una PCI Dlink Airplus Xtreme G es chip atheros y tambien sirve para auditar pero conecta muy bien. Saludos

jaska_cobhc dijo...

hola he seguido tu tutorial que por cierto esta muy bien explicado,pero cuando llego al 1.6 asociando me dice esto:Attack mode already specified.
"aireplay-ng --help" for help.
¿que debo hacer?
gracias de antemano

DeMoN dijo...

Hola jaska, yo creo que se trata de un error en la sintaxis del comando
sudo aireplay-ng -1 6000 -0 1 -q 10 -e dd-wrt-DeMoN -a MACDELAVICTIMA -h 00:11:22:33:44:55 wlan1

fijate si esta todo igual yo creo que dice que el modo de ataque ya esta especificado porque el modo es -1 del principio si pones mas veces -2 -3 o algo por ahi despues piensa que le pones dos modos distintos y no funciona yo creo que es algo de eso miralo tranquilamente y ya me contaras de todas maneras esa es una version rara que me gusta a mi porque funciona bien la version estandart de asociar es aireplay-ng -1 0 -e nombrered macdered -h macpropia interface
Saludos

Anónimo dijo...

joer chaval qeu buen tutorial ....

Esta de maravilla

se nota qeu controlas el tema !

Thx =)

no2 dijo...

Hola,
Te felicito por el manual, claro y bien explicado para gente como yo con conocimientos muy limitados.
Sin embargo tengo alguna duda: Supongamos que sacas la WEPKEY, la apuntas y quieres conectar desde windows para navegar, si la víctima tiene us/pw router no convencionales, DHCP desactivado y filtrado MAC, teóricamente no podrías navegar...? no?
Habría posibilidad de burlar el DHCP y el filtrado MAC?

Un saludo

DeMoN dijo...

Hola No2, Gracias, me alegro de que te sea de utilidad.

Te comento:
Desde linux el filtrado por mac si se puede saltar si ves a un cliente conectado con el airodump ya sabes que mac tiene permiso y la copias con macchanger. Ahora en Windows yo no lo he probado, en una pequeña consulta a Google me ha salido esto, alomejor te sirve.
http://polaxia.com/enmascarar-mac-address-t1462.0.html

Ya me contaras a ver si funciona.

Respecto al DHCP desactivado, el dhcp no es indispensable para navegar es una ayuda para asignarte una ip automaticamente pero tu mismo puedes asignarte una ip fija, eso si hay que saber en que rangos de ip esta la red, pero vamos que la mayoria son 192.168.0.x o 192.168.1.x asique puedes probar con ponerte la ip 192.168.1.50 mascara 255.255.255.0 gateway 192.168.1.1 y DNS 80.58.61.250 y 80.58.61.254

Si no funciona asi con la red 192.168.0.x es decir ponerte 192.168.0.50, gateway 192.168.0.1 lo demas todo igual.

Lo mas normal es que sean la 0 o la 1 pero tb puedes probar con la 2.

De todas maneras otra opcion es sniffar un poco de trafico o del mismo que usaste para sacar las claves el archivo de datas lo abres con wireshark y a ver si puedes ver direcciones IP que circulan por la red y asi sabes cuales son. Aunque este encriptado creo que las ip si se ven aunque hay una manera de pasar esos data encriptados a datas sin encriptar con algun programa de aircrack sabiendo la clave wep o incluso desde wireshark aunque nunca lo he hecho.

Un saludo

no2 dijo...

Muchas gracias por la rápida respuesta. Yo estoy bastante verde para todo esto, pero quería saber si podría proteger mejor mi router wifi con DHCP y Filtrado MAC. Ya veo que se puede entrar en todos lados :)

Un saludo y repito gracias

DeMoN dijo...

Hola, perdona por la tardanza que ultimamente no miraba mucho los comentarios viejos, DHCP no protege simplemente asigna ips y seria mas seguro tenerlo desactivado y poner las ips manuales y el filtrado mac si te ven conectado a la wifi con el airodump ven tu mac, el atacante se pone tu mac con macchanger que sabe que esta en la lista blanca del filtrado y hasta luego protección xD.

Lo mas seguro es usar WPA 2 PSK con cifrado AES, lo mas seguro seria usar un servidor RADIUS que de de alta a los usuarios con WPA Enterprise pero eso es demasiado paranoico para un usuario normal.

De todas formas te recomiento un articulo de un compañero blogger que me parecio muy bueno al respecto de lo que preguntas, te pongo la dirección.

http://www.forat.info/2009/04/16/como-anadir-mas-seguridad-a-tu-red-wireless/

Anónimo dijo...

hola a todos la verdad que este tutorial me a servido de mucho
pero cuando ya no inyecto data
y no tengo mas remedio que rrecurrir
al ataque chopchop
y cuando pongo este comando
sudo packetforge-ng -0 -a macvictima -h 00:11:22:33:44:55 -k 255.255.255.255 -l 255.255.255.255.255 -y fragment-????-?????.xor -w arp-request

me da, error opening fragment
y solo uso este ataque cuando no puedo inyectar data que suele ser en pocos casos ya que a la primera con este tutorial me a servido de mucho
a algien le a pasado esto?
gracias

Anónimo dijo...

aqui tengo la solucion a tu problema packetforge-ng -0 -a macvictima -h 00:11:22:33:44:55 -k 255.255.255.255 -l 255.255.255.255.255 -y fragment-????-?????.xor -w arp-request a mi me funciono cambiando lo de arriba por esto
packetforge-ng -0 -a macvictima -h 00:11:22:33:44:55 -k 255.255.255.255 -l 255.255.255.255.255 -y replay_dec-????-?????.xor -w arp-casero despues de que ejecutes eso usaras aireplay-ng -2 -r arp-casero wlan1 y por ultimo el aircrak-ng -z capturas*.cap para optener la contraseña. saludos