Guia completa de Aircrack-ng (by SH4V)

en: Enero 28, 2012, 05:09:55 pm

Aqui os dejo una guia creada por SH4V que explica el funcionamiento de las herramientas de la suite Aircrack-ng : ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------El objetivo de esta gua es ir describiendo cada una de las utilidades de Aircrack-ng. Utilizaremos Wifislax en su versin 3.1, que lo podis descargar de aqu. Para los que no lo sepis, Aircrack-ng es una suite de herramientas utilizada para la auditora de redes inalambricas. Esta suite esta compuesta por: -Airodump: programa utilizado para la captura de paquetes 802.11. -Aireplay: programa utilizado para la inyeccin de paquetes 802.11. -Aircrack: programa utilizado para crackear claves WEP y WPA-PSK. -Airdecap: programa utilizado para desencriptar archivos de capturas WEP/WPA.

[AIRODUMP-NG]~
Como ya hemos dicho antes, el airodump es el programa utilizado para la captura de paquetes 802.11. Gracias a ello podremos ver todos los puntos de acceso, clientes e informacin de los mismos dentro de nuestra cobertura, claro est interfaz. Para ello abrimos shell: . Lo primero de todo es saber nuestra

Y tecleamos lo siguiente en la lnea de comandos:

Cdigo: [Seleccionar] iwconfig

Ah veremos que nombre es asignado a nuestra interfaz. En mi caso, eth1. Una vez sabemos el nombre de nuestra interfaz, lo que haremos es cambiar a modo monitor nuestra tarjeta. Para ello escribimos en la lnea de comandos esto:
Cdigo: [Seleccionar] airmon-ng start vuestrainterfaz

Hasta ahora deberamos ver algo as:

El comando airmon-ng sirve para activar o desactivar el modo monitor de nuestra tarjeta. Las opciones que nos permite este comando son 2:
Cdigo: [Seleccionar] airmon-ng start interfaz Esto activara el modo monitor. Cdigo: [Seleccionar] airmon-ng stop interfaz

Esto descactivara el modo monitor. A continuacin, procedemos a escribir en la shell el siguiente comando "airodump-ng", os saldr algo parecido a esto:
Cdigo: [Seleccionar] wifislax ~ # airodump-ng

Airodump-ng 0.9.1 r511 - (C) 2006,2007 Thomas d'Otreppe Original work: Christophe Devine http://www.aircrack-ng.org

usage: airodump-ng <options> <interface>[,<interface>,...]

Options: --ivs --gpsd --write -w --beacons --update : Save only captured IVs : Use GPSd <prefix> : Dump file prefix : same as --write : Record all beacons in dump file <secs> : Display update delay in seconds

Filter options: --encrypt <suite> : Filter APs by cypher suite

--netmask <netmask> : Filter APs by mask --bssid -a <bssid> : Filter APs by BSSID : Filter unassociated clients

By default, airodump-ng hop on 2.4Ghz channels. You can make it capture on other/specific channel(s) by using:

--channel <channels>: Capture on specific channels --band <abg> --cswitch : Band on which airodump-ng should hop

<method> : Set channel switching method 0 1 2 : FIFO (default) : Round Robin : Hop on last : same as --cswitch : Displays this usage screen

-s --help

No interface specified.

Os pongo una imagen para que lo veis ms claro ;-):

Lo que nos estn indicando, son las opciones del comando airodump-ng. stas son las siguientes: --ivs: Solo capturaremos ivs (o vectores de inicializacin). --gpsd: Esta opcin es para usar un dispositivo GPS. --write <nombredelarchivoquequeremosguardar.cap/ivs> : Con esto crearemos un archivo a guardar que tendr extensin *.cap o *.ivs. Tambin se puede poner --w. --beacons: Airodump-ng esta configurado por defecto para no guardar los beacons. Con esta opcin los guardamos (no lo recomiendo, ya que los beacons son unas seales que mandan los routers, para indicar que estn activos y que contienen informacin como el BSSID y el ESSID. As que no nos hace falta guardarlos podemos poner --c. -a: Esta opcin hace una captura en la frecuencia de 5Ghz especifica del canal a (recordad, 802.11 a/b/g). --abg: Con esto capturamos tanto en frecuencias de 2,4Ghz como en 5 Ghz. Para introducir bien los comandos, sobra decir que los pondremos en el orden en el que los acabo ). --channel: Hace la captura en el canal que especifiquemos (por ejemplo: --channel 5). Tambin

de escribir (de arriba a abajo) omitiendo de la lista aquellos que no queramos poner. Nosotros lo que haremos ser poner lo siguiente:
Cdigo: [Seleccionar] airodump-ng interfaz

Vemoslo en la imagen:

Ahora os estaris preguntando que son cada uno de los campos que nos salen. Pues bien, para esto me remito a la pgina oficial de aircrack y os los copio tal cual estn: BSSID-->Direccin MAC del punto de acceso. PWR---->Nivel de seal reportado por la tarjeta. Su significado depende del controlador, pero conforme te acercas al punto de acceso o a la estacin la seal aumenta. Si PWR == -1, el controlador no soporta reportar el nivel de seal. Beacons----> Nmero de paquetes-anuncio enviados por el AP. Cada punto de acceso enva unos diez beacons por segundo al ritmo (rate) mnimo (1M), por lo que normalmente pueden ser recogidos desde muy lejos.

# Data-->Nmero de paquetes de datos capturados (si es WEP, slo cuenta IVs), incluyendo paquetes de datos de difusin general. CH------->Nmero de canal (obtenido de los paquetes beacon). Nota: algunas veces se capturan paquetes de datos de otros canales aunque no se est alternando entre canales debido a las interferencias de radiofrecuencia. MB------->Velocidad mxima soportada por el AP. Si MB = 11, entonces se trata de 802.11b, si MB = 22 entonces es 802.11b+ y velocidades mayores son 802.11g. ENC----->Algoritmo de encriptacin en uso. OPN = sin encriptacin, "WEP?" = WEP o mayor (no hay suficiente datos para distinguir entre WEP y WPA), WEP (sin la interrogacin) indica WEP esttica o dinmica, y WPA si TKIP o CCMP estn presentes. ESSID--->Conocida como "SSID", puede estar vaca si el ocultamiento de SSID est activo. En este caso airodump tratar de recuperar el SSID de las respuestas a escaneos y las peticiones de asociacin. STATION->Direccin MAC de cada estacin asociada. En la captura de ms arriban no se han detectado clientes .

[AIREPLAY-NG]~
El aireplay es el programa que va a inyectar paquetes 802.11. Aireplay-ng implementa 6 ataques diferentes: -Ataque 0: Ataque de deautenticacin. -Ataque 1: Ataque de autenticacin falsa. -Ataque 2: Reenvo interactivo de paquetes. -Ataque 3: Reinyeccin de peticin ARP -Ataque 4: Ataque "chopchop" de Korek. -Ataque 5: Ataque de framentacin. ATAQUE 0: DEAUTENTICACIN El ataque 0 de deautenticacin, tiene como objetivo, deautenticar al cliente conectado al AP. La sintaxis de este ataque es la siguiente: aireplay-ng -0 N -a XX:XX:XX:XX:XX:XX -c YY:YY:YY:YY:YY:YY interfaz

Paso a explicar lo que hemos puesto:

-0: Indica que vamos a hacer el ataque "0" o de deautenticacin de cliente. N: Es un nmero. Con l indicaremos cuantos paquetes de deautenticacin enviaremos. -a XX:XX:XX:XX:XX:XX: "-a" indica el AP y XX:XX:XX:XX:XX:XX es el BSSID o la direccin MAC del AP. -c YY:YY:YY:YY:YY:YY: "-c" indica al cliente y YY:YY:YY:YY:YY:YY es la MAC del cliente asociado al AP. interfaz: es la interfaz de nuestra tarjeta. Para saberla recordad el captulo anterior (iwconfig). Ataque DoS (Denegacin de Servicio): Muchos de vosotros ya sabis lo que es un ataque de Denegacin de Servicio, si no lo sabes entra aqu DENEGACIN DE SERVICIO que te lo explica muy bien. De lo que estoy seguro, es de que muchos de vosotros ni siquiera sabais que se podan hacer ataques DoS a clientes asociados a puntos de acceso (AP). Pongamos un BSSID (00:89:4F:D2:15:A3), un cliente asociado con MAC (00:14:D8:7F:B1:96) y una tarjeta con chipset Zydas. El ataque sera as:
Cdigo: [Seleccionar] aireplay-ng -0 0 -a 00:89:4F:D2:15:A3 -c 00:14:D8:7F:B1:96 eth1

Lo que estaramos haciendo es crear un bucle infinito de paquetes de deautenticacin, con lo que impediramos el cliente conectarse al AP. Tambin podemos hacer un DoS generalizado, de tal forma que solo ataquemos al AP. Con esto impediramos la conexin a todos los clientes que quisieran asociarse al AP. Esto se hara mediante el siguiente comando:
Cdigo: [Seleccionar] aireplay-ng -0 0 -a 00:89:4F:D2:15:A3 eth1

Como vis, slo hemos puesto la MAC del router. Esto impedira conectarse a cualquiera. Esto es una captura de pantalla del ataque ^^:

Captura del Handshake (Saludo) WPA: Lo primero de todo, definimos Handshake. Cada vez que un cliente se conecta a una red con cifrado WPA, enva un paquete-saludo, o Handshake al AP al que se va a conectar. Este paquetesaludo contiene la contrasea encriptada. Para capturarlo, tratariamos de desconectar al cliente y estar al acecho para capturar ese Handshake. Mas tarde, intentaramos crackear ese Handshake para obtener la contrasea. Vemoslo en el siguiente ejemplo:
Cdigo: [Seleccionar]

airodump-ng --write chipichape --channel 6

eth1

aireplay-ng -0 20 -a 00:89:4F:D2:15:A3 -c 00:14:D8:7F:B1:96 eth1 aircrack-ng -w /ruta/al/diccionario chipichape-01.cap

Paso a continuacin a describir cada comando: airodump-ng --write chipichape --channel 6 eth1------>Este comando pondra el airodump-ng a la escucha en el canal 6 y escribira en un archivo llamado chipichape-01.cap los resultados de los paquetes obtenidos. aireplay-ng -0 20 -a 00:89:4F:D2:15:A3 -c 00:14:D8:7F:B1:96 eth1----->Este comando enviara 20 paquetes de deauntenticacin. Si tras hacer esto no hemos conseguido deautenticar al cliente, ponemos ms. aircrack-ng -w /ruta/al/diccionario chipichape-01.cap (este comando crackeara, o al menos lo intentara con ayuda de un diccionario, el archivo chop-01.cap con la clave encriptada WPA y con la ayuda de un diccionario. No os hagis ilusiones, porque no es tan fcil crackear las redes WPA. Si no tenis diccionarios os pongo unos links donde podris encontrar: http://www.cotse.com/tools/wordlists1.htm http://www.cotse.com/tools/wordlists2.htm http://ftp.se.kde.org/pub/security/tools/net/Openwall/wordlists/ A continuacin una demostracin con imgenes del proceso. En ellas podemos ver como nos pide un diccionario para poder crackear la clave 1.- Ejecutamos el comando airodump-ng: .

Nos saldr esta imagen:

2.- Ejecutamos el comando aireplay-ng:

3.- Crackeamos con aircrack-ng:

Como podis ver no me ha dejado crackearla porque no he especificado la ruta de ningn diccionario. Generacin de peticiones ARP:

Muchas veces, al realizar el ataque3 (lo veremos ms adelante

) vemos que las peticiones ARP

no arrancan, es decir, se quedan a 0. Lo que tenemos que hacer entonces es generar peticiones ARP. Para ello, primero ejecutaremos el ataque 3, como lo habramos hecho de forma normal.
Cdigo: [Seleccionar] aireplay-ng -3 -b 00:89:4F:D2:15:A3 -h 00:14:D8:7F:B1:96 eth1

Se nos abrira una ventana como esta:

Entonces lo que tendramos que hacer es provocar esa peticin ARP. Para ello haramos un DoS en una consola a parte y esperaramos a que se generase la primera peticin ARP. Una vez se hubiese generado la primera, iramos a la consola que est realizando el ataque DoS y pulsaramos Ctrl+C para pararlo. Ahora iramos a la consola que est realizando el ataque 3 y veramos como las peticiones ARP estn subiendo a toda leche ^^. La mayora de la gente no hace este ataque as, si no que se dedica a poner un valor nmerico en el ataque de deautenticacin, generando un as un nmero de paquetes de deautenticacin directamente proporcional al estipulado. El contra de esta tcnica es que muchas veces con unos pocos paquetes de deautenticacin no conseguimos nada, lo que tenemos que hacer es enviar unos cuantos hasta que veamos que obtenemos la primera peticin ARP.

ATAQUE 1: AUTENTICACIN FALSA A muchos de vosotros os habr pasado, o si no os ha pasado os aseguro que os pasar, que queris crackear una red inalmbrica y no hay clientes conectados. El hecho de que haya un cliente conectado a la red objetivo facilita mucho, pero que mucho la tarea. Desgracidamente, no siempre es as y para ello tenemos que hacer uso de tretas y de nuestro ingenio (bueno, aqu el ingenio lo pone el programa ) para poder iniciar el ataque sin clientes asociados.

Aireplay-ng implementa un tipo de ataque llamado "Autenticacin falsa" que como estaris suponiendo, nos viene de perlas en casos como este ^^. Lo que vamos a hacer por medio de este ataque es hacernos pasar por un falso cliente. Para ello, es recomendable que fakeemos nuestra MAC. Esto se puede hacer de varios modos. Modo 1: Por medio del "macchanger" (interfaz): Men--Wifislax--HerramientasWireless--macchanger

Modo 2: Por medio del "macchanger" (consola):

Cdigo: [Seleccionar] macchanger -m 00:11:22:33:44:55 interfaz

Modo 3: Por medio de "ifconfig" (consola):

Cdigo: [Seleccionar] ifconfig interfaz down ifconfig interfaz hw ether 00:11:22:33:44:55 ifconfig interfaz up

Una vez hemos cambiado fakeado nuestra mac, procedemos a autenticarnos como falso cliente. La sintaxis del comando ser la siguiente:
Cdigo: [Seleccionar] aireplay-ng -1 N -e "ESSID" -a XX:XX:XX:XX:XX:XX -h FF:FF:FF:FF:FF:FF interfaz

Paso a explicar la sintaxis: -1= Con esto indicamos que vamos a hacer el ataque 1 o "Autenticacin falsa". N= Es un nmero. Con l indicamos el intervalo de tiempo con el que queremos asociarnos a nuestro AP. Por ejemplo, si queremos asociarnos cada 10 segundos, mandar un paquete de asociacin falsa cada 10 segundos. -e= "ESSID": Aqu estamos indicando el nombre del AP al que queremos asociarnos como falsos clientes, eso s, las comillas NO se ponen!!! -a XX:XX:XX:XX:XX:XX= Aqu indicaremos el BSSID, es decir, la MAC del AP. -h FF:FF:FF:FF:FF:FF= Aqu indicamos al MAC fakeada por nosotros mismos. En nuestro caso "00:11:22:33:44:55". interfaz= Vuestra interfaz Vemoslo con un ejemplo:

ASPECTOS A TENER EN CUENTA: 1.-Este ataque no siempre es eficaz. Existen routers con los que no funciona. De hecho hay routers que requieren autenticacin cada X periodo de tiempo... el problema est en saber qu periodo de tiempo es el que tienen configurado. Por normal general, son 30 segundos.

2.- Para que este ataque funcione hay que tener activo el airodump-ng. Por qu? Pues porque como os dije, el airodump-ng es el encargado de la captura de paquetes y para que este ataque se inicie necesitaremos un Beacon. Qu es un Beacon? es un paquete saludo que enva el AP para decirnos: "Eh! que estoy aqu!" recordis? ;-) 3.- Tenemos que configurar la tarjeta para el mismo canal del AP. Cmo? Pues no s si lo recordaris... con el airmon-ng!
Cdigo: [Seleccionar] airmon-ng start interfaz canal

4.- Este ataque por si slo no consigue nada. Tenemos que combinarlo con el ataque 3 o con el ataque 4, que los veremos en seguida. CAUSAS DE UN POSIBLE FRACASO: 1.- El router tiene filtrado de MACs. 2.- Ests demasiado cerca o demasiado lejos del AP. 3.- Tu controlador no est correctamente parcheado e instalado (con las live-cd's como Wifislax, Wifiway o Backtrack no os pasar ya que traen los drivers instalados y parcheados). 4.- La tarjeta no est configurada en el mismo canal que el AP. 5.- Hemos introducido mal el BSSID o/y el ESSID. ATAQUE 2: REENVO INTERACTIVO DE PAQUETES Antes de empezar deciros que en este captulo, usaremos BackTrack 3. Os preguntaris, Por qu? Pues por dos razones: 1.- No est de ms conocer otras live-cd's. No os preocupis, el procedimiento es el mismo. 2.- Me he comprado tarjeta nueva y de momento no puedo usar el wifislax con ella usaremos BackTrack 3. Ahora al grano , este ataque puede resultarnos muy til. Consiste en ponernos a la escucha, , as que

escoger un paquete y una vez elegido, inyectarlo. Esto lo podremos hacer, o bien con el paquete que hayamos capturado al estar a la escucha, o seleccionando uno que hayamos conseguido previamente, que estar en formato *.cap. Paso a explicar la sintaxis de este ataque:
Cdigo: [Seleccionar]

aireplay-ng -2 <opciones de filtro> <opciones de envo> -r <nombre del archivo a enviar> interfaz

-2= Indica que estamos realizando el ataque 2 "Reenvo interactivo de paquetes". <opciones de filtro>= Sirven para filtrar los paquetes que vamos a recibir. <opciones de envo>= Sirven para configurar nuestra inyeccin. -r<nombre de archivo>= Esto es opcional. Se utiliza slo cuando queremos especificar un archivo *.cap para leer los paquetes e inyectarlos. interfaz: Tu interfaz wireless (eth1, ath0...). 1.- Usndolo para radiodifundir los paquetes del AP y generar nuevos IV's (Vectores de Inicializacin) Uno de los modos de usar este ataque es haciendo una difusin de los paquetes del AP y as generar nuevos vectores de inicializacin. Vale, tranquilos, imagino que muchos de vosotros no habris entendido nada de lo que he dicho. No os preocupis, yo os lo explico ^^. Cuando hablamos de hacer una difusin, hablamos de hacer un broadcast (difusin en ingls). Cmo, que estis en las mismas? pues no os preocupis! Un broadcast, es un modo de transmision de informacin en el que intervienen un nodo emisor y un nodo receptor. El nodo emisor enva informacin a una multitud de nodos receptores de manera simultnea sin necesidad de reproducir la misma transmisin nodo por nodo. Las redes de rea local, se basan en el uso de un medio de transmisin compartido y por eso mismo, se puede difundir cualquier trama de datos a todas las estaciones que estn en el mismo segmento de red. Sin embargo, para hacer esto posible, necesitaramos una direccin MAC especial, una que englobara a todas las MAC's. Esta mac es la FF:FF:FF:FF:FF:FF. Todos los nodos receptores y emisores procesan las tramas con dicha direccin as que no os preocupis este ataque:
Cdigo: [Seleccionar] aireplay-ng -2 -p 0841 -b XX:XX:XX:XX:XX:XX -c FF:FF:FF:FF:FF:FF YY:YY:YY:YY:YY:YY interfaz -h

. De hecho los routers, de vez en cuando, envan

paquetes a la direccin FF:FF:FF:FF:FF:FF (por ejemplo, los beacons ;-)). Veamos un ejemplo de

Paso a explicar el comando: -2= Estamos indicando que vamos a realizar el ataque 2 (reenvo interactivo de paquetes). -p 0841= Con esto estamos fijando el "Frame Control" en el paquete. De esta manera, parecer que est siendo enviado desde un cliente. -b XX:XX:XX:XX:XX:XX= Esta MAC deber corresponder con el BSSID, es decir, la MAC del AP. -c FF:FF:FF:FF:FF:FF= Esto lo hemos explicado antes. Es la MAC especial ;-). Con ella estamos

especificando como MAC de destino cualquiera. Gracias a ello, el AP responder con otro paquete y generar un nuevo vector de inicializacin (IV). -h YY:YY:YY:YY:YY:YY= Esta ser la MAC de nuestra tarjeta, es decir, la direccin fsica desde la cual provienen los paquetes que vamos a reenviar. Recomiendo fakearla. interfaz= Tu interfaz wifi. Vamos a ver un ejemplo:

Hay que tener en cuenta, que cuanto mayor sea el paquete que vamos a reenviar, mas lenta ser la inyeccin. Si queremos, tenemos la opcin de establecer un filtro para el tamao del paquete. Esto nos abre el camino al siguiente ataque.

2.- Reenvo de peticiones ARP con encriptacin WEP. En este ataque, usaremos un filtro para indicar el tamao del paquete que queremos inyectar. Como lo que queremos es inyectar peticiones ARP, en el filtro tendremos que determinar un tamao mnimo y un tamao mximo equivalente al de una peticin ARP. Las peticiones ARP suelen tener un tamao de 68 bytes cuando es un cliente wireless y 86 bytes cuando es un cliente cableado. Nosotros por tanto usaremos un filtro en el que los paquetes no bajen de 68 bytes pero no superen los 86 bytes.
Cdigo: [Seleccionar] aireplay-ng -2 -p 0841 -m 68 -n 86 -b XX:XX:XX:XX:XX:XX YY:YY:YY:YY:YY:YY interfaz -c FF:FF:FF:FF:FF:FF -h

Procedo a explicar lo que hemos puesto: -2= Con esto indicamos que vamos a hacer el ataque 2 (reenvo interactivo de paquetes). -p 0841= Con esto estamos fijando el "Frame Control" en el paquete. De esta manera, parecer que est siendo enviado desde un cliente. -m 68= Indicamos la longitud mnima del paquete. -n 86= Indicamos la longitud mxima del paquete -c FF:FF:FF:FF:FF:FF fija la direccin MAC de destino como cualquiera (broadcast). Esto se requiere para que el AP conteste al paquete y as generar el nuevo IV. -b XX:XX:XX:XX:XX:XX= Esta MAC deber corresponder con el BSSID, es decir, la MAC del AP. -h YY:YY:YY:YY:YY:YY= Esta ser la MAC de nuestra tarjeta, es decir, la direccin fsica desde la cual provienen los paquetes que vamos a reenviar. Recomiendo fakearla. interfaz= Tu interfaz wifi. Vemoslo en el siguiente ejemplo:

Nota: Si quisieramos enviar un paquete *.cap prviamente guardado, lo haramos de la siguiente manera:

Cdigo: [Seleccionar] aireplay-ng -2 -p 0841 -b XX:XX:XX:XX:XX:XX -c YY:YY:YY:YY:YY:YY -r nombrearchivo.cap interfaz

Vemoslo en la siguiente imagen:

Si os fijis, el paquete que hemos seleccionado para enviar es el mismo que hemos capturado en el primer ejemplo ^^.

ATAQUE 3: REINYECCIN DE PETICIONES ARP

Este ataque es un clsico y sin lugar a dudas, es el modo ms efectivo de generar nuevos vectores de inicializacin (IV's). El ataque de reenvo de peticiones ARP, o ARP request, funciona ponindo aireplay-ng a la escucha de un paquete ARP y envindolo de nuevo al AP. Esto va a tener como consecuencia que el punto de acceso tenga que volver a enviar un paquete ARP pero esta vez, con un vector de inicializacin nuevo ;-). Muchos diris: Y eso de que nos sirve? Pues ya que estoy, voy a aprovechar para hablar un poco sobre los IV's (vectores de inicializacin). Las claves con cifrado WEP utilizan un algoritmo de encriptacin llamado RC4 de 64 bits (bueno, eso inicialmente, ahora podemos encontar de 128 y de 256). La forma en la que est compuestos estos 64 bits es la siguiente: 1.- 24 bits correspondientes a un vector de inicializacin (IV) 2.- 40 bits correspondientes a la contrasea. El vector de inicializacin se genera de forma dinmica y vara para cada trama. Lo que se pretende con los vectores de inicializacin es cifrar los paquetes con claves diferentes para que una tercera persona con malas intenciones (nosotros? no, solo testeamos nuestra red wifi ) no acabe deduciendo la clave. Con un solo paquete, las posibilidades de hallar la clave, si mal no recuerdo, son de 1/17.000.000. Eso supone aos y que el pc se te estrope si te pasas de tiempo con el aircrack. Por esta misma razn,cuantos ms IV's distintos, ms posibilidades tendremos de desencriptar la clave! Os pongo un link en el que se habla bastante ms sobre el CIFRADO WEP. En cuanto al protocolo ARP, o Adress Resolution Protocol, debis saber que es un protocolo que tiene como funcin localizar direcciones MAC y hacer que stas correspondan con una direccin IP. Las peticiones ARP,se enviarn a la direccin FF:FF:FF:FF:FF:FF, recordis? mejor el ARP. Vamos a proceder ahora a explicar la sintaxis de este ataque:
Cdigo: [Seleccionar] aireplay-ng -3 -b XX:XX:XX:XX:XX:XX -h YY:YY:YY:YY:YY:YY interfaz

esperando

una respuesta con la direccin MAC que corresponda. Bueno en este enlace os explicaN mucho

De aqu: -3= Estamos diciendo a aireplay que vamos a comenzar el ataque 3 (reenvo de peticiones ARP). -b XX:XX:XX:XX:XX:XX= Esto es la direccin MAC del AP o BSSID. -h YY:YY:YY:YY:YY:YY= Esto es la direccin MAC del cliente asociado al AP. Aqu podramos poner un cliente real o un cliente falso (recordad el ataque -1 ;-)).

interfaz= Es el nombre de tu interfaz wifi. Con este ataque, del mismo modo que en el ataque -2 (reenvo de paquetes interactivo) podemos seleccionar una ARP anteriormente guardada. Lo haramos de la siguiente manera:
Cdigo: [Seleccionar] aireplay-ng -2 -r nombredearchivo.cap -a XX:XX:XX:XX:XX:XX -h 00:11:22:33:44:55 interfaz

Traduciendo: -2= significa que estamos haciendo el ataque -2 (reenvo interactivo de paquetes) -a= BSSID -h= Nuestra MAC (fakeada a poder ser interfaz= Tu interfaz wifi. Como ya he dicho antes, este ataque puede ser usado de 3 maneras: 1.- Con cliente asociado: Lo que haremos aqu ser, utilizar un cliente que est conectado al AP y captar una peticin ARP para despus reenviarla. Sin duda, de los tres, es el ms efectivo. Esto lo haramos as:
Cdigo: [Seleccionar] aireplay-ng -3 -b XX:XX:XX:XX:XX:XX -h YY:YY:YY:YY:YY:YY interfaz

-r nombredelarchivo.cap= Con esto indicamos el nombre del paquete ARP a enviar.

As el sistema responder con:

Cdigo: [Seleccionar] Saving ARP requests in archivo.cap You should also start airodump-ng to capture replies. Read 42 packets (got 0 ARP requests), sent 0 packets...

No olvidis que si no os captura ninguna ARP, podis tirar de un ataque DoS para as desautenticar al cliente asociado y que vuelva a haber una peticin ARP ;-).

2.- Con cliente falso asociado: Aqu vamos a conjugar dos ataques, el -3 para capturar la peticin ARP y el -1 para crear un cliente falso (no olvidis fakear la MAC). El ataque sera el siguiente: Por un lado escribiramos en una consola el siguiente comando:
Cdigo: [Seleccionar] aireplay-ng -3 -b XX:XX:XX:XX:XX:XX -h YY:YY:YY:YY:YY:YY interfaz

Donde YY:YY:YY:YY:YY:YY sera nuestra MAC fakeada (00:11:22:33:44:55). Por otro lado escribiramos:
Cdigo: [Seleccionar] aireplay-ng -1 N -e ESSID -a XX:XX:XX:XX:XX:XX -h YY:YY:YY:YY:YY:YY interfaz

Donde YY:YY:YY:YY:YY:YY tambin sera nuestra MAC fakeada. Veramos algo as:

3.- Utilizando una peticin ARP previamente guardada:

Aqu usaremos el ataque -2:

Cdigo: [Seleccionar] aireplay-ng -2 -r nombredearchivo.cap -a XX:XX:XX:XX:XX:XX -h 00:11:22:33:44:55 interfaz

Veamos la siguiente imagen:

Esto ya lo explicamos anteriormente as que no vuelvo a sacar el tema jeje

ATAQUE 4: CHOPCHOP DE KOREK (PASO A PASO) El ataque chopchop de Korek es capaz de desencriptar un solo paquete de datos WEP, ya sea de clave esttica o dinmica, revelando el texto plano. No hay muchos tutoriales en la red que expliquen este ataque y los que hay no lo explican muy bien. Por esa razn he decidido dedicar su tiempo a realizar esta gua de como y cuando utilizar un ataque chopchop, explicndolo todo pasito a pasito;-) eso s, no os preocupis si os perdis un poco en este tema ya que es algo ms complejo que los anteriores. Bueno vamos a empezar con un ejemplo prctico para comprenderlo mejor. Lo primero que tenemos que hacer es poner en modo monitor nuestra tarjeta y fakearla. Yo lo voy a hacer con una chipset atheros por lo que el procedimiento ser el siguiente:
Cdigo: [Seleccionar] airmon-ng stop ath0 macchanger -m 00:11:22:33:44:55 wifi0 airmon-ng start wifi0

Iniciamos airodump-ng (primero sin opcioens de filtro y luego as):

Cdigo: [Seleccionar] airodump-ng --channel N --w pruebaIH interfaz

Digo que lo iniciemos primero sin opciones de filtro, para poder as ver en que canal est nuestro AP y una vez sabido escribir en un archivo llamado infiernohacker-01.cap los paquetes obtenidos.

En una situacin normal, nosotros podramos tener dos posibilidades: 1.- Que tuvieramos un cliente conectado al AP. 2.- Que NO tuvieramos ningn cliente conectado al AP. En este caso tendramos que hacer un ataque -1 (autenticacin falsa) para poder sacar la clave. Bien pues en mi caso si que haba un cliente asociado pero tambin explicar lo que habra que hacer si no hubiese ninguno. Seguimos con lo nuestro, una vez iniciado el airodump-ng, realizamos el ataque -3 para estar a la escucha de peticiones ARP. Nos autenticaremos posteriormente de forma falsa en caso de que no haya clientes con el ataque -1 (en caso de haberlos no hace falta hacerlo y sustituiremos en el comando la direccin fakeada por la del cliente asociado). Antes de hacer este ataque, tendremos que haber fakeado nuestra MAC! Como nosotros ya la hemos fakeado, haremos el ataque -3 y nos pondremos a la escucha de peticiones ARP:
Cdigo: [Seleccionar]

aireplay-ng -3 -b XX:XX:XX:XX:XX:XX -h 00:11:22:33:44:55 interfaz

Una vez iniciado el aireplay-ng -3, procedemos a autenticarnos con el ataque -1 (autenticacin falsa) en el susodicho caso de que no tuvieramos clientes conectados.

Cdigo: [Seleccionar] aireplay-ng -1 30 -e BSSID -a XX:XX:XX:XX:XX:XX -h 00:11:22:33:44:55 interfaz

Ya vimos anteriormente lo que significaba cada una de las partes de este comando. En un ataque exitoso, capturaramos un paquete con una peticin ARP y la reinyectaramos con el ataque -3. Sin embargo esto no siempre es as. Recordis que os dije que cuando tenemos un cliente asociado y no obtenemos una ARP request, lo que tenemos que hacer es atacar con un DoS al cliente para forzar la peticin ARP? Pues esto no es aplicable a una asociacin falsa, por lo tanto este es un momento idneo para poner en prctica el ataque chopchop. Yo en este ejemplo, no he hecho una autenticacin falsa debido a que tena un cliente conectado ya que de esta forma es ms fcil capturar paquetes. Recordad que estos paquetes se estarn guardando en el archivo infiernohacker-01.cap. Ahora lo que tenemos que hacer es realizar el ataque -4 para desencriptar el paquete y poder generar nuestra propia peticin ARP que reinyectaremos ms adelante . Para ello utilizaremos el siguiente cdigo:

Cdigo: [Seleccionar] aireplay-ng -4 -h 00:11:22:33:44:55 -r archivoguardado.cap interfaz

Paso a explicar el comando: -4= Significa que vamos a realizar el ataque 4 (Chopchop de Korek). -h 00:11:22:33:44:55= Estemos indicando cual es la direccin fsica del cliente conectado. Ya sabis, si no haba cliente asociado usis la vuestra (fakeada) y si lo haba pues la del cliente. Esto se debe a que los AP's no aceptan paquetes de datos que provengan de MAC's "desconocidas". -r archivoguardo.cap= Aqu estamos indicando que vamos a mandarle uno de los paquetes que hayamos capturado y guardado en el archivo *.cap. En nuestro caso pruebaIH-01.cap interfaz= Tu interfaz wifi. Esto lanzar el ataque:

Al cabo de un rato, habr desencriptado el paquete y nos mostrar lo siguiente:

Si os fijis, una vez ha terminado el proceso, nos guarda en un archivo *.cap (el texto plano) y en un archivo *.xor (el keystream). Bueno pues ahora lo que vamos a hacer es usar el packetforge-ng que sirve para crear paquetes. Sin embargo, necesitamos saber para ello la direccin privada del

cliente conectado y para ello vamos a hacer uso del tcpdump. Para los que no sepis lo que es, tcpdump, es una herramienta que esta presente en todas las distros GNU/linux y tambin en Mac OS y que sirve para analizar el trfico que circula por la red haciendo uso de la librera libpcap para capturar los paquetes. En Windows existe WinDump que utiliza la librera Winpcap. El comando a ejecutar sera el siguiente:
Cdigo: [Seleccionar] tcpdump -s 0 -n -e -r archivochop.cap

Esto nos dar la direccin IP del cliente conectado, justo lo que necesitbamos para elaborar nuestra propia peticin ARP ;-). Usaremos entonces el packetforge-ng para "forjar" nuestra propia ARP request:
Cdigo: [Seleccionar] packetforge-ng -0 -a XX:XX:XX:XX:XX:XX -h YY:YY:YY:YY:YY:YY -k IPdestino -l IPorigen arp.cap -y archivochop.xor -w arptuneada.cap

De aqu: archivo.xor= Es uno de los dos archivos que nos dar el ataque -4 (el otro es el archivochop.cap ) y que contendr el Keystream. -0= Indicamosque vamos a forjar un paquete ARP.

-a XX:XX:XX:XX:XX:XX= BSSID -h YY:YY:YY:YY:YY:YY= MAC del cliente asociado. -k IPdestino= Es la IP del router. -l IPorigen= Es la IP del cliente conectado (previamente sacada con el tcpdump). -y archivochop.xor= Este es el paquete que hemos obtenido con el ataque chopchop. -w arptuneada= Aqu vamos a poner un nombre a nuestro nuevo paquete. Yo le he llamado arptuneada pero si queris vosotros podis llamarle Rosa .

Bien, YA TENEMOS NUESTRA PROPIA PETICIN ARP!!. Lo que tenemos que hacer ahora es enviar el paquete a nuestro AP. Cmo? Venga haz memoria! con el ataque 2 (reenvo de paquetes interactivo).
Cdigo: [Seleccionar]

aireplay-ng -2 -r arptuneada.cap interfaz

ATAQUE 5: FRAGMENTACIN El ataque de Fragmentacin consiste en capturar un PRGA, para despus mediante el paquetforge-ng, "forjar" paquetes que enviaremos a nuestra victima. Lo primero de todo, Qu es el PRGA? Son las siglas de Pseudo Random Generation Algorithm y se utiliza en las redes wifi para

aumentar la seguridad. El PRGA es una parte de un paquete que est formada por texto plano y texto cifrado. El procedimiento de este ataque es bastante parecido al Chopchop de Korek as que lo explicar ms por encima, indicandoos por supuesto los pasos en comn con el ataque visto anteriormente. Para empezar, deciros que este ataque slo funciona con cifrado WEP y por lo que he leido en varios papers en ingls, los routers que se resisten a los ataques Chopchop de Korek son ms vulnerables ante los ataques de Fragmentacin. Lo primero que haremos ser poner nuestra tarjeta en modo monitor:
Cdigo: [Seleccionar] airmon-ng start interfaz

No creo que haga falta explicar este comando de nuevo. Despus, iniciamos airodump-ng para capturar paquetes:
Cdigo: [Seleccionar]

airodump-ng --channel --w prueba ath0

Bien, llegados a este punto, necesitamos un cliente conectado. Ya sabis, si tenis alguien conectado, genial, si no, hacis una autenticacin falsa (-1) y ya est. Una vez nos hemos autenticado de forma falsa o no lo hemos hecho porque ya tenamos un cliente conectado, procedemos a hacer el ataque de Fragmentacin:
Cdigo: [Seleccionar] aireplay-ng -5 -b XX:XX:XX:XX:XX:XX -h YY:YY:YY:YY:YY:YY interfaz

Explico el comando: -5= Especificamos a aireplay-ng que vamos a realizar el ataque 5. -b XX:XX:XX:XX:XX:XX= Es el BSSID del AP. -h YY:YY:YY:YY:YY:YY= Es la direccin MAC del cliente conectado. interfaz= Tu interfaz wifi. El ataque empezar a leer paquetes y seleccionar uno que ser fragmentado y mandado al AP. Si el AP responde, el ataque habr sido exitoso y se irn obteniendo bits hasta obtener los 1500 bits de un PRGA. Una vez obtenidos los 1500 bits, el programa nos informar de que ya tenemos nuestro xor y podremos empezar a forjar nuestros paquetes con el packetforge-ng. Este ataque

no tiene xito siempre, de hecho no he conseguido que me saliera en toda la tarde pero an as, os pongo una captura de pantalla (propia) y el mensaje que nos tendra que salir al conseguir los 1500 bits del keystream.

Cdigo: [Seleccionar] Saving chosen packet in replay_src-0124-161120.cap Data packet found! Sending fragmented packet Got RELAYED packet!! Thats our ARP packet! Trying to get 384 bytes of a keystream Got RELAYED packet!! Thats our ARP packet! Trying to get 1500 bytes of a keystream Got RELAYED packet!! Thats our ARP packet! Saving keystream in fragment-0124-161129.xor Now you can build a packet with packetforge-ng out of that 1500 bytes keystream

Una vez hemos conseguido nuestro xor, con el paquetforge-ng realizamos una peticin ARP y la reinyectamos con el ataque -2 tal y como hizimos con el ataque Chopchop.

[AIRCRACK-NG]~
Aircrack-ng es el programa que nos va a crackear la clave de nuestra red una vez hayamos conseguido los suficientes IV's (vectores de inicializacin). Aircrack-ng puede sacarnos, no solo la clave en cifrado WEP si no tambin en cifrado WPA o WPA2-PSK. Para estas dos ltimas necesitaremos un diccionario. Os muestro una captura del programa para describiros sus partes:

1.- Keybyte: Es el nmero de cada uno de los bytes de la clave WEB. 2.- Depth: Profundidad de la busqueda de nuestra clave. 3.- Byte: Carcter que aircrack est probando. 4.- Vote: Probabilidades de que sea correcto el byte. 5.- Key Found: Clave encontrada en hexadecimal y en ASCII.

A continuacin os hago Copy/Paste literal de la pgina oficial de aircrack, donde lo explican ms y mejor sobre esta herramienta. Espero que no os moleste que no sea de mi cosecha pero es que estando tan bien como en la pgina no merece la pena escribirlo. Cuando se usan tcnicas estadsticas para crackear claves WEP, cada byte de la clave es tratado de forma individual. Usando matemticas estadsticas, la posibilidad de que encuentres un byte determinado de la clave crece algo ms de un 15% cuando se captura el vector de inicializacin (IV) correcto para ese byte de la clave. Esencialmente, ciertos IVs revelan algn byte de la clave WEP. Esto es bsicamente en que consisten las tcnicas estadsticas. Usando una serie de pruebas estadsticas llamadas FMS y ataques Korek, se van acumulando posibilidades o votos (votes) para cada byte de la clave WEP. Cada ataque tiene un nmero diferente de votos asociado con l, por lo que la probabilidad de cada ataque varia matemticamente. Cuantos ms votos tengamos de un byte o valor particular, mayor probabilidad hay de que sea el correcto. Para cada byte de la clave, la pantalla nos muestra el caracter ms probable y el nmero de votos que ha acumulado. Sobra decir, que la clave que tenga el mayor nmero de votos es la que ms probabilidades tiene de ser la correcta, pero no est garantizado. Aircrack-ng probar continuamente de la ms probable a la menos probable para encontrar la clave. Usando un ejemplo entenderemos esto de forma ms clara. En la anterior captura de pantalla, puedes ver, que para el primer caracter o byte 0, 0xAE ha obtenido unos cuantos votos, 50 exactamente. Entonces, matemticamente, es ms probable que la clave comience por AE que por 11 (el segundo valor en la misma linea) que es el siguiente con ms posibilidades. Esta es la razn por la cual cuantos ms paquetes tengas, ms fcil ser para aircrack-ng determinar la clave WEP. La aproximacin estadstica puede por si sola darnos la clave WEP de la red. Pero la idea es que tambien podemos complementarlo con la fuerza bruta para realizar el trabajo. Aircrack-ng usa la fuerza bruta para determinar cuantas claves se han de probar para intentar encontrar la clave WEP. Aqu es donde entra en juego el fudge factor. Basicamente el fudge factor le dice a aircrack ng hasta donde probar claves. Es como si quisiesemos encontrar un baln dicindole a alguien que el baln se puede encontrar entre 0 y 10 metros alrededor. Pero si le decimos que el baln se encuentra entre 0 y 100 metros alrededor. En este escenario de 100 metros le llevar mucho ms tiempo realizar la bsqueda pero tendr ms posibilidades de encontrarlo.

Por ejemplo, si le decimos a aircrack-ng que use un fudge factor de 2, dividir los votos del byte ms probable, y probar todas las posibilidades con un nmero de votos de al menos la mitad de los que tiene el caracter ms posible. Cuanto mayor sea el fudge factor, ms posibilidades probar aircrack-ng aplicando fuerza bruta. Recuerda, que cuanto mayor sea el fudge factor, el nmero de claves a probar crecer tremendamente y mayor ser el tiempo que se est ejecutando aircrack-ng. En cambio, cuantos ms paquetes de datos tengas, minimizars la necesidad de aplicar fuerza bruta a muchas claves, lo que hace que no trabaje tanto tiempo la CPU y se reduce mucho el tiempo necesario para encontrar la clave. Al final, es todo muy simple matemticas y fuerza bruta! Las tcnicas mencionadas hasta ahora no funcionan para claves WPA/WPA2 pre-shared. La nica forma de crackear estas claves pre-compartidas (pre-shared) es a travs de un ataque de diccionario. Esta capacidad est tambien incluida en aircrack-ng. Con claves pre-compartidas, el cliente y el punto de acceso establecen las claves que se van a usar en sus comunicaciones al comienzo cuando el cliente se asocia por primera vez con el punto de acceso. Hay cuatro paquetes handshake entre el cliente y el punto de acceso. airodump -ng puede capturar estos cuatro paquetes handshake. Y usando un diccionario con una lista de palabras, aircrack-ng duplica los cuatro paquetes handshake para mirar si hay alguna palabra en el diccionario que coincida con el resultado de los cuatro paquetes handshake. Si lo consigues, habrs identificado de forma satisfactoria la clave pre-compartida. Hay que resaltar que este programa hace un uso muy intensivo del procesador del ordenador, y que en la prctica claves WPA pre-compartidas muy largas o inusuales no podrn ser encontradas . Un buen diccionario te dar mejores resultados. Otra posibilidad es usar un pograma como john the ripper para generar contraseas que podrn ser utilizadas por aircrack -ng. Explicacin de la profundidad (depth) y del Fudge Factor La mejor explicacin es un ejemplo. Nos fijaremos en un byte en concreto. Todos los bytes son tratados de la misma manera. Tu tienes los votos (votes) como en la captura de pantalla anterior. Para el primer byte ves lo siguiente: AE(50) 11(20) 71(20) 10(12) 84(12) Los AE, 11, 71, 10 y 84 son los valores posibles de la clave para el primer caracter (byte 0). Los nmeros que estn entre parntesis son los votos que cada posible valor ha acumulado hasta

ahora. Ahora si decides usar un fudge factor de 3. Aircrack-ng realizar la siguiente operacin a partir del byte que tiene ms probabilidades o votos: AE(50): 50 / 3 = 16.666666 Aircrack-ng probar (fuerza bruta) todas las claves posibles que tengan un nmero de votos superior a 16.6666, resultando que AE, 11, 71 sern utilizados, por lo que tenemos un nmero total de 3 valores a probar para ese byte o caracter (depth): 0 / 3 AE(50) 11(20) 71(20) 10(12) 84(12) Cuando aircrack-ng est probando claves con AE, muestra 0 / 3, cuando acabe de probar todas las claves con ese byte, pasar al siguiente con ms votos (11 en este ejemplo) y mostrar: 1 / 3 11(20) 71(20) 10(12) 84(12) USO:
Cdigo: [Seleccionar] aircrack-ng [opciones] <archivo(s) de captura>

Puedes especificar mltiples archivos de captura (incluso mezclando formatos .cap y .ivs). Tambin se puede ejecutar airodump-ng y aircrack-ng al mismo tiempo: aircrack-ng se actualizar de forma automtica cuando estn disponibles nuevos IVs. Aqu est la explicacin para todas y cada una de las opciones disponibles:

EJEMPLOS DE USO: El caso ms simple es crackear una clave WEP. Si quieres probar esto por ti mismo, aqu tienes un archivo de prueba. La clave de este archivo de prueba coincide con la de la pantalla anterior de este tutorial, pero no coincide con la del siguiente ejemplo. aircrack-ng 128bit.ivs Donde: 128bit.ivs es el nombre del archivo que contiene los ivs. El programa responde:
Cdigo: [Seleccionar] Opening 128bit.ivs Read 684002 packets.

BSSID

ESSID

Encryption

00:14:6C:04:57:9B

WEP (684002 IVs)

Choosing first network as target.

Si hay mltiplies redes en el archivo, entonces tendrs la opcin de seleccionar la que quieras. Por defecto, aircrack-ng supone que la encriptacin es de 128 bit. El proceso de crackeo comienza, y una vez obtenida la clave, vers algo como esto:
Cdigo: [Seleccionar] Aircrack-ng 0.7 r130

[00:00:10] Tested 77 keys (got 684002 IVs)

KB 0 2C( 1 7A( 2 14( 3 05( 4 8A( 5 71( 6 0E( 7 63( 8 B1( 9 02( 10 52( 11 E2(

depth 0/ 1

byte(vote) AE( 199) 29( 0) 08( 66( 0) 33) 4C( 23) 00( 19) 9F( 19) C7( 18) 64( 9) 27) 2D( 13) 7C( 12) FE( 12) FF( 6) 39( 5)

3) 00( 0/ 3

41) F1( 9)

9) 7B( 0/ 2

9) F6( 5C(

89) 52( 10)

60) E3(

22) 10(

20) F3(

18) 8B(

15) 8E(

15)

13) D2( 0/ 1

11) 47(

FD( 375) 81( 17) 35( 17)

40) 1D(

26) 99(

26) D2(

23) 33(

20) 2C(

19)

17) 0B( 0/ 2

24( 130) 87( 110) 7B( 15) E1( 15) 46) 40(

32) 4F(

25) D7(

20) F4(

18) 17(

15)

15) CE( 0/ 1

E3( 222) 4F( 25) 65( 23)

45) 7F(

28) DB(

27) E0(

27) 5B(

25)

25) 8A( 0/ 1

92( 208) 63( 18) D9( 18)

58) 54(

51) 64(

35) 51(

26) 53(

25) 75(

20)

18) 7D( 0/ 1

A9( 220) B8( 19) 1A( 17)

51) 4B(

41) 1B(

39) 3B(

23) 9B(

23) FA(

23)

22) 2D( 0/ 1

14(1106) C1( 118) 04( 15) 97( 15) 95) E4(

41) 13(

30) 43(

28) 99(

25) 79(

20)

17) 86( 0/ 1

39( 540) 08( 31) 6C( 30)

87) E2(

79) E5(

59) 0A(

44) CC(

35)

32) C7( 0/ 1

D4( 372) 9E( 38) 54( 36)

68) A0(

64) 9F(

55) DB(

51) 38(

40) 9D(

40)

39) A1( 0/ 1

27( 334) BC( 33) BF( 33)

58) F1(

44) BE(

42) 79(

39) 3B(

37) E1(

34)

34) 31(

KEY FOUND! [ AE:66:5C:FD:24:E3:92:A9:14:39:D4:27:4B ]

Esta clave puede ser usada para conectarse a la red. Ahora para crackear claves WPA/WPA2:
Cdigo: [Seleccionar] aircrack-ng -w password.lst *.cap

Donde: -w password.lst es el nombre del diccionario con la lista de palabras. Recuerda que tienes que especificar la ruta completa si el archivo no se encuentra en el directorio actual. *.cap es el nombre de los archivos que contienen los ivs. Date cuenta que en este caso usamos el comodn * para incluir mltiples archivos. El programa responde:
Cdigo: [Seleccionar] Opening wpa2.eapol.cap Opening wpa.cap Read 18 packets.

BSSID

ESSID

Encryption

1 2

00:14:6C:7E:40:80 00:0D:93:EB:B0:8C

Harkonen test

WPA (1 handshake) WPA (1 handshake)

Index number of target network ?

Date cuenta que en este caso como hay dos redes necesitamos seleccionar la que queremos atacar. Escogeremos la nmero 2. El programa entonces responde:

Cdigo: [Seleccionar] Aircrack-ng 0.7 r130

[00:00:03] 230 keys tested (73.41 k/s)

KEY FOUND! [ biscotte ]

Master Key

: CD D7 9A 5A CF B0 70 C7 E9 D1 02 3B 87 02 85 D6 39 E4 30 B3 2F 31 AA 37 AC 82 5A 55 B5 55 24 EE

Transcient Key : 33 55 0B FC 4F 24 84 F4 9A 38 B3 D0 89 83 D2 49 73 F9 DE 89 67 A6 6D 2B 8E 46 2C 07 47 6A CE 08 AD FB 65 D6 13 A9 9F 2C 65 E4 A6 08 F2 5A 67 97 D9 6F 76 5B 8C D3 DF 13 2F BC DA 6A 6E D9 62 CD

EAPOL HMAC

: 52 27 B8 3F 73 7C 45 A0 05 97 69 5C 30 78 60 BD

APROXIMACIN GENERAL PARA CRACKEAR CLAVES WEP: La forma ms simple es escribir aircrack-ng archivo.cap. Tenemos que decir que hay algunas tcnicas para aumentar las posibilidades de encontrar la clave WEP rpidamente. Pero no existe la magia. A continuacin se describen algunos mtodos para obtener la clave ms rpido. La mejor de todas las tcnicas es capturar tantos paquetes como sea posible; cuantos ms mejor. Esto es lo ms sencillo y lo ms importante. El nmero de vectores de inicializacin (IVs) que se necesitan para obtener una clave WEP varia dependiendo de la longitud de la clave y del punto de acceso de que se trate. Habitualmente se necesitan 250,000 o ms IVs para claves de 64 bit y 1.5 millones o ms para claves de 128 bit. Y por supuesto que muchos ms para claves ms largas. Pero si tenemos suerte, hay veces que la clave WEP se puede obtener con 50,000 IVs o menos. Aunque esto no ocurre con frecuencia. Y al revs, habr veces en las que se necesitarn varios millones de IVs para crackear la clave WEP. El nmero de IVs necesarios es muy dificil de predecir porque la mayora de los puntos de acceso actuales funcionan muy bien y no generan IVs dbiles que revelen parte de la clave WEP. Generlmente, no intentes crackear la clave WEP hasta que tengas 200,000 o ms IVs. Si lo ejecutas con pocos IVs, aircrack probar muchas claves durante mucho tiempo y no aplicar las tcnicas estadsticas de forma adecuada. Puedes empezar probando con claves de 64 bit aircrack-ng -n 64 archivo.cap. Si se est usando una clave WEP de 64 bit, normalmente ser crackeada en menos de 5 minutos (y con frecuencia en menos de 60 segundos) con pocos IVs. Es sorprendente que haya tantos APs que usan claves de 64 bit. Si no encuentras la clave de 64 bit en 5 minutos, reinicia aircrack con el modo genrico: aircrack -ng archivo.cap. Y cada vez que tengas 100,000 IVs ms, reintenta aircrack -ng -n 64 archivo.cap y djalo 5 minutos.

Cuando llegues a 600,000 IVs, cambia y empieza a probar claves de 128 bit. Sera extrao (pero no imposible) que fuese una clave de 64 bit y no se diese crackeado con 600,000 IVs. Por lo tanto ahora prueba aircrack-ng archivo.cap. Cuando llegues a 2 millones de IVs, prueba a cambiar el fudge factor a -f 4. Y djalo entre 30 minutos y una hora. Reintenta aumentando el fudge factor sumando 4 de cada vez. Otra buena ocasin para aumentar el fudge factor es cuando aircrack-ng se para porque ha probado todas las claves. Y mientras tanto, no te olvides de seguir capturando paquetes de datos. Recuerda la regla de oro, cuantos ms IVs mucho mejor. Tambin lee la siguiente seccin sobre como determinar las mejores opciones a usar. Esto te puede ayudar tambien a acelerar el proceso de obtencin de la clave WEP. Por ejemplo, si la clave es numrica, podremos crackear la clave WEP con muchsimos menos IVs si usamos la opcin -t. Entonces, si averiguas algo acerca de la naturaleza de la clave WEP, es sencillo probar algunas variaciones para tener xito. COMO DETERMINAR LAS MEJORES OPCIONES A USAR: Mientras aircrack-ng se est ejecutando, frecuentemente solo puedes ver el comienzo de la clave en la primera columna. Aunque no conoces la clave WEP, esta informacin puede darte pistas sobre cual es la clave. si un caracter o byte de la clave tiene un nmero muy grande de votos, hay un 99.5% de posibilidades de que sea correcto. Vamos a ver que se puede hacer con estas pistas. Si los bytes son por ejemplo: 75:47:99:22:50 entonces es obvio que la clave est formada solo por nmeros, como los 5 primeros bytes. Por lo tanto obtendremos la clave mucho antes y con menos IVs usando la opcin -t para probar nicamente este tipo de claves. Mira Wikipedia Binary Coded Decimal para ver una descripcin de los caracteres que busca la opcin -t. Si los bytes son 37:30:31:33:36 estos son todos valores numricos si los convertimos a Ascii (70136). En este caso, es una buena idea usar la opcin -h. El link del FAQ Converting hex characters to ascii te da informacin para relacionar los caracters hexadecimales con los Ascii. De todas formas sabremos muy fcilmente que se trata de caracteres numricos porque veremos que empiezan todos los bytes por 3. Y si los primeros bytes son algo como esto 74:6F:70:73:65, deberias de introducir esos valores en

tu editor hexadecimal favorito o en alguno de los links proporcionados anteriormente, y vers, que puede ser el comienzo de alguna palabra, por lo que parece que est usando una clave ASCII; en esta situacin activa la opcin -c para probar nicamente con claves ASCII. OTRAS PISTAS: Para procesar varios archivos al mimso tiempo, se puede usar un cmodn como el * o especificar cada archivo uno por uno. Ejemplos: 1.- aircrack-ng -w password.lst wpa.cap wpa2.eapol.cap 2.- aircrack-ng *.ivs 3.- aircrack-ng archi*.ivs Determinar una clave WPA/WPA2 depende absolutamente de que la palabra se encuentre en el diccionario que usemos. Por lo que es muy importante usar un buen diccionario. Puedes buscar en Internet algn diccionario. Hay varios disponibles. Como has visto, si hay varias redes en tus archivos necesitars elegir la que quieres crackear. En lugar de hacerlo manualmente, puedes especificar la red que quieras en la linea de comandos indicando su essid o su bssid. Esto se hace con las opciones -e o -b. Otra alternativa es usar John the Ripper para crear un diccionario especfico. Si sabes que la palabra clave es el nombre de una calle adems de 3 digitos. Puedes crear una regla en JTR y ejecutar un comando como este:
Cdigo: [Seleccionar] john --stdout --wordlist=specialrules.lst --rules | aircrack-ng -e test -a 2 -w /root/capture/wpa.cap

Fuente: http://www.aircrack-ng.org/doku.php?id=aircrack-ng.es

[AIRDECAP-NG]~
Aqu tambin voy a pecar de hacer Copy/Paste de la pgina oficial ya que no hay mucho que decir acerca de este programa y despus de varias semanas trabajando en esta gua he de decir que me encuentro un poco cansado.

Con airdecap-ng puedes desencriptar archivos capturados que tengan encriptacin WEP/WPA/WPA2. Tambien puede ser usado para ver la cabecera de una captura wireless sin encriptacin. USO:
Cdigo: [Seleccionar] airdecap-ng [opciones] <archivo cap>

EJEMPLOS DE USO:

El siguiente comando elimina las cabeceras wireless de una captura de una red sin encriptacin:
Cdigo: [Seleccionar] airdecap-ng -b 00:09:5B:10:BC:5A red-abierta.cap

El siguiente comando desencripta un archivo con encriptacin WEP usando la clave hexadecimal:
Cdigo: [Seleccionar] airdecap-ng -w 11A3E229084349BC25D97E2939 wep.cap

El siguiente comando desencripta un archivo con encriptacin WPA/WPA2 usando la palabra o passphrase:
Cdigo: [Seleccionar] airdecap-ng -e 'the ssid' -p passphrase tkip.cap

RECOMENDACIONES DE USO: Para ESSIDs que contengan espacios, escribe el ESSID entre comillas: 'este contiene espacios'.

Fuente: http://www.aircrack-ng.org/doku.php?id=airdecap-ng.es