RESUMEN IPW2200+WIFISLAX 3.

1 by NeOdEaTh

INFORMACIÓN IPW2200: Podemos hacer ataques 1(autentificacion falsa), 2(seleccion

interactiva del paquete a enviar), 3(reinyeccion de una ARP) y 4(chopchop). El de
fragmentación(A5) al parecer no funciona.

PASOS:

1º) DRIVER: Recarga driver ipw2200 y comprobar en el shell que sale. En que ethx
aparece nuestra ipw2200 y si está activo rtap0 por defecto.

2º) ESCANEO DE REDES: Verificar las redes a nuestro alcance e ir apuntando BSSID,
canal y ESSID de los puntos de acceso. Para ello, escribir en el shell:

airodump-ng rtap0

Una vez visto esto, pausamos con CONTROL+C o cerramos ventana.

3º) CAPTURA: Iniciar airodump-ng de nuevo para capturar paquetes de una red
específica e ir guardándolos en un archivo. Utilizaremos rtap0 para capturar ya que si
utilizamos ethx ahora, luego no podremos inyectar con ethx. Para ello escribimos en un
nuevo shell:

airodump-ng -c canal -b bssid -w captura rtap0

ej: airodump-ng -c 11 -b 01:12:42:23:25:5F -w captura rtap0

4º) ATAQUE: Es necesario que nuestra interface ethx esté en modo managed, que por
defecto lo está. Esto podemos verlo haciendo un "iwconfig ethx" en un shell, si está en
modo monitor habria que poner "iwconfig ethx mode managed". Necesitamos que haya
algún cliente conectado y permanezca asociado para conseguir un paquete válido y luego
poder reinyectarlo. Si el cliente se desconecta nos saldrá un mensaje (Got auth/deauth
package is client connected?). Los clientes los veremos como STATION. Lo ideal ahora
es que nos cambiemos la mac por seguridad. Para saber nuestra mac poner en un shell
ifconfig ethx. Para cambiarla vamos a un shell y ponemos (macchanger
--mac=XX:XX:XX:XX:XX:XX ethx). Solo se puede cambiar a macs que empiecen por
00.
Abrimos otra shell y los comandos serían estos:

Opciones de ataque:

1)SIN CLIENTES: el cliente somos nosotros

1.1) ataque 1+ataque 3: En este caso en el ataque 3 el cliente somos nosotros.

1.2) ataque 1+ataque 4 (chop chop): En este caso lo que cambia es la parte del ataque 4,
que es un poco mas engorrosa. En este caso el cliente también somos nosotros.
2)CON CLIENTES(ataque 3) : El cliente es el que esté conectado.

---ATAQUES-------------------

ATAQUE 1: Asociación falsa a la red

Primero nos autentificamos falsamente en esa red(ataque 1)(da igual la key que
pongamos):

iwconfig ethx essid "essid" key 1111111111111 channel "canal"

Nota: El ataque 1 se hace así para esta tarjeta ya que si fuera otra seria: aireplay-ng -1 30
-e (nombre de ESSID) -a (MAC del AP a atacar) -h (nuestra MAC falsa) (interfaz). Lo
malo de hacerlo con otro comando para esta tarjeta es que no vemos en la ventana si nos
hemos asociado bien o no, simplemente puede que nos veamos en la ventana del
airodump donde estamos capturando como STATION y también podemos comprobar
nuestra asociación al AP haciendo un iwconfig.

ATAQUE 3: Inyección

aireplay-ng -3 -x 1024 -g 1000000 -b bssid -h cliente -i rtap0 ethx

ej: aireplay-ng -3 -x 1024 -g 1000000 -b 00:13:4D:AC:22:44 -h 01:23:4F:AC:52:89 -i
rtap0 eth1

Si va bien todo veremos como envia paquetes y la columna #Data del airodump va
subiendo rápidamente.

Nota: Si no funcionan los ataques, bajad el rate de la tarjeta a 1 Mb por segundo:

iwconfig rtap0 rate 1M. Hay veces que no se podra. También intentar el ataque 3 y
despues el 1. Este ataque depende de muchos factores y hay veces que no se podrá, el
chopchop puede ser interesante.

ATAQUE 4: Chop chop

aireplay-ng -4 -a -b bssid -h cliente -i rtap0 ethx

Cuando pregunte ¿use this packet ? le decimos Y. Cuando termine copiamos el nombre
del archivo “replay_dec…..xor” para usarlo en el siguiente comando y forjar el ARP que
reinyectaremos después.

Ahora ponemos:

arpforge-ng “replay_dec…..xor” 1 “mac del AP” "cliente(nuestra mac)"

192.168.1.20 192.168.1.21 ficheroarp.cap
De esta forma usamos el fichero xor anterior para hacer el ARP que se reinyectara para
aumentar los paquetes.
“1” es el valor de FROMDS

Finalmente hacemos un ataque 2:

aireplay-ng -2 –r ficheroarp.cap ethx

Cuando pregunte ¿use this packet ? le decimos Y

Bueno, ahora ya vemos como empieza a inyectar paquetes y esperamos hasta que
tengamos los suficientes.

5º) DESENCRIPTAR CLAVE: Si todo ha ido bien deberemos tener un montón de

paquetes en #Data. Lo suyo es 250.000 para una clave 128bits, y el doble para una mas
grande....vamos, cuantos mas, mejor. Ponemos en un nuevo shell:

Tenemos 3 opciones:
a) aircrack-ptw captura.cap Este es el más rápido.

Si no funciona, probad con los siguientes:

b) aircrack-ng captura.cap el ng es mas rápido que el último
el otro sería:

c) aircrack captura.cap

si no sabemos como se llama el archivo vamos al konqueror y vemos en /root como se

llama el archivo. Según los paquetes que tengamos, tardará mas o menos hasta que nos
muestre la key.

------------------

Aquí teneis una correción bajo mi experiencia.

Pruebas:

1) Con un cliente conectado: he conseguido el ataque 1 y el 3 perfectamente. Es decir, me

he autentificado en la red, he aparecido junto con el cliente y he inyectado con mi cliente
falso. Los paquetes se cogen rápidamente.

2) Con un cliente conectado falsamente(es decir otro ordenador conectado con key
inventada): He intentado simular el ataque 1 con otro ordenador. El resultado....no
inyecta paquetes. Supongo que será por lo que puse arriba, que necesitamos al menos un
paquete válido para reinyectar, y este, no lo conseguimos nunca. He podido notar que al
poner el comando de aireplay para inyectar, me dice que la mac que le puse para el
cliente no corresponde con la mia...claro. Intenta cambiarmela a la que le puse yo como
cliente pero haciendo un ifconfig se ve que no lo ha hecho. También puede ser este el
fallo... Así que me autentifico falsamente en la red y hago una inyección con mi mac. Me
veo asociado al AP junto con el otro cliente falseado(ordenador2) y los paquetes #Data
suben muy lentamente hasta que...chof! Empieza a reinyectar!!!!, Suben a toda ostia los
paquetes.

3) Sin cliente conectado: Hago los ataques 1 y 3 estando solamente yo y me veo

autentificado al AP con un iwconfig aunque no me veo en la captura del airodump hasta
pasar un poco. Aun habiendo falseado mi mac aparezco con mi mac original no sé por
qué, pero al cabo de un rato ya aparece mi mac falseada. Después desaparezco de
STATION pero sigo asociado al parecer haciendo un iwconfig. Los paquetes han subido
a 42 en 8 minutos. A los 9 minutos empieza la inyección a una velocidad aplastante,

mucho más rápido que las otras veces. :D En

pocos minutos tengo mas de 300000 paquetes. Con el ataque 1 y 4 también lo consigo, en
menos tiempo que el 1+3.

Nota: Bueno, aquí está mi experiencia. Las pruebas las he hecho en mi casa, bastante
lejos del AP(D-link) con mi portatil ACER y la famosa ipw2200. La key era WEP
128bits. Intentaré hacer otras pruebas con APs de otras marcas y mas lejos. Con el
airoscript ipw2200 del wifislax 3.1, sin clientes conectados, el ataque 1+3, que es el
primero de la lista, no funciona. ¿Por qué? Pues porque nosotros tenemos una mac y el
airoscript intenta reinyectar con la mac 11:22:33:44:55:66, que es una mac que no nos
podemos poner nunca. Así que al inyectar paquetes, el aireplay no para de preguntarnos
si está asociada la mac al AP. El airoscript general no funciona porque utiliza comandos
generales que no valen para nuestra tarjeta. Me refiero al comando de autentificación
falsa por ejemplo.