AIRCRACK-NG

programmazione & dintorni
Rispondi
admin
Site Admin
Messaggi: 205
Iscritto il: dom mar 20, 2016 9:24 pm

AIRCRACK-NG

Messaggio da admin »

SNIFFING E CRACCAGGIO SEMPLICI

Individuare le reti

La prima cosa da fare é individuare un potenziale bersaglio. La suite aircrack-ng contiene airodump-ng a tal fine – ma possono essere utilizzati anche altri programmi come Kismet.

Prima di iniziare a cercare reti, vi occorre mettere la vostra scheda di rete wireless in quello che viene chiamato "monitor mode". Il Monitor Mode é una speciale modalità che consente al vostro PC di rilevare ogni pacchetto wireless presente nei paraggi. Questo Monitor Mode vi consente inoltre opzionalmente di iniettare pacchetti in una rete. L’iniezione sarà discussa più avanti in questo tutorial.

Per mettere la vostra scheda di rete wireless in Monitor Mode:

airmon-ng start rausb0

Per avere conferma che la vostra scheda wireless sia in Monitor Mode, eseguite "iwconfig". La pagina di airmon-ng sul Wiki ha informazioni generiche su come avviarla per altri driver.

Quindi, avviate airodump-ng per ricercare le reti:

airodump-ng rausb0

"rausb0" é il nome dell’interfaccia di rete (nic). Se state utilizzando un dispositivo di rete wireless diverso da un rt2570, dovrete utilizzare un diverso nome nic. Consultate la documentazione del driver nic.

Se airodump-ng può connettersi al dispositivo di rete wireless, vi apparirà una schermata come questa:


















airodump-ng salta da canale a canale e mostra tutti gli access point da cui può ricevere beacon. I canali da 1 a 14 sono utilizzati per l’802.11b e g (negli USA, é permesso loro di usare soltanto quelli da 1 ad 11; da 1 a 13 in Europa salvo alcuni casi speciali; da 1 a 14 in Giappone). I canali da 36 a 149 vengono utilizzati per l’802.11a. Il canale corrente viene mostrato nell’angolo in alto a sinistra.

Dopo un breve intervallo di tempo appariranno alcuni AP e (si spera) alcuni client associati.

Il blocco superiore dei dati mostra gli access point individuati:

BSSID – L’indirizzo MAC dell’Ap
PWR – La forza del segnale. Alcuni driver non la riportano
Beacons – Numero di beacon frames ricevuto. Se non avete la forza del segnale, potete stimarla dal numero di beacon: più sono I beacon, migliore é la qualità del segnale.
Data – Numero di frammenti di dati ricevuti
CH – Canale su cui opera l’AP
MB – Velocità (o modalità AP). 11 é proprio dell’802.11b, 54 dell’802.11g. I valori intermedi rappresentano un misto.
ENC – Cifratura: OPN: nessuna cifratura, WEP: cifratura WEP, WPA: cifratura WPA o WPA2, WEP?: WEP o WPA (non si sa ancora)
ESSID – Il nome della rete. A volte é nascosto.

Il blocco dati inferiore mostra I client rilevati:

BSSID – Il MAC dell’AP a cui é associato il client
STATION – Il MAC del client stesso
PWR – La forza del segnale. Alcuni driver non la riportano
Packets – Numero di frammenti di dati ricevuti
Probes – Nomi di rete (ESSID) che questo client ha rilevato

Ora dovreste cercare una rete bersaglio. Dovrebbe avere connesso un client, poiché craccare le reti senza un client é un topic avanzato (Consultare Come craccare una rete wireless WEP senza client con Aircrack-ng). Dovrebbe utilizzare la cifratura WEP ed avere un’alta forza del segnale. Forse potreste riposizionare la vostra antenna per ottenere un segnale migliore. Spesso pochi centimetri fanno una grande differenza riguardo alla forza del segnale.

Nell’esempio sopra, la rete 00:01:02:03:04:05 rappresenterebbe l’unico bersaglio possibile, poiché é l’unica ad avere un client associato. Ma possiede anche un’alta forza del segnale, così é davvero un buon bersaglio per fare pratica.

Sniffing degli IV

A causa del salto di canale, non catturerete tutti I pacchetti dalla vostra rete bersaglio. Configureremo Aircrack_NG in modo che tracci l’attività di rete di un solo canale e scriveremo inoltre su disco tutti I dati per essere in grado di utilizzarli per il craccaggio:
_________________________________________________________
airodump-ng -c 11 – -bssid 00:01:02:03:04:05 -w dump rausb0
_________________________________________________________

Con il parametro -c vi sintonizzate su un canale, ed il parametro dopo -w é il prefisso dei pacchetti di rete scritti su disco. L’opzione "- -bssid" combinata con l’indirizzo MAC dell’AP limita la cattura ad un unico AP. L’opzione "- -bssid" é disponibile solamente sulle nuove versioni di airodump-ng.

Potete aggiungere inoltre il parametro "- -ivs". Questo dice ad airodump-ng di catturare solo gli IV per risparmiare spazio.

Prima di poter craccare il WEP, di solito avrete bisogno di 250.000-500.000 Vettori d’Inizializzazione (IV) diversi. Ogni pacchetto di dati contiene un IV. Gli IV possono essere riutilizzati, così il numero di IV diversi é solitamente inferiore al numero di pacchetti di dati catturati.

Perciò avrete bisogno di aspettare di catturare da 250 a 500 mila pacchetti dati (IV). Se la rete non é occupata ciò richiederà parecchio tempo. Spesso potrete velocizzare di molto il processo utilizzando un attacco attivo (=replica di pacchetti). Consultate il capitolo successivo.

CRACCARE

Se avete abbastanza IV catturati in uno o più file, potete provare a craccare la chiave WEP:

___________________________________________
aircrack-ng -b 00:01:02:03:04:05 dump-01.cap
___________________________________________

Il MAC dopo l’opzione -b é il BSSID dell’obiettivo e "dump-01.cap" il file che contiene i pacchetti catturati. Potete utilizzare più file, basta aggiungere tutti i loro nomi o utilizzare un carattere jolly come "dump*.cap".

Per informazioni aggiuntive sui parametri di aircrack-ng, descrizione dell’output ed utilizzi, consultate il manuale.

Il numero di IV di cui avete bisogno per craccare una rete non é prefissato. Questo perché alcuni IV sono più deboli e dischiudono più informazioni sulla chiave rispetto agli altri. Solitamente questi deboli IV sono mischiati casualmente tra quelli più forti. Così, se siete fortunati, potete craccare una chiave con soli 100.000 IV. Ma spesso ciò non é abbastanza, ed aircrack-ng dovrà essere eseguito per molto tempo (fino ad una settimana od anche oltre con un alto fattore di fudge) e potrebbe inoltre dirvi che la chiave non possa essere craccata. Se avete più IV il craccaggio può essere svolto molto più velocemente, di solito in pochi minuti. L’esperienza indica che 250.000-500.000 IV sono di solito sufficienti per il craccaggio.

Ci sono alcuni sofisticati AP che utilizzano un algoritmo per escludere IV deboli. Il risultato é che non potrete ottenere più di "n" IV differenti dall’AP o che vi occorreranno milioni (tipo da 5 a 7) per craccare la chiave. Cercate nel Forum, ci sono alcuni thread su casi come questi e su come comportarsi.

ATTACCHI ATTIVI

Supporto all’iniezione

Molti dispositivi non supportano l’iniezione – almeno non senza driver patchati. Consultate la compatibility page, colonna aireplay. A volte questa tabella non è aggiornata, così se vedete un "NO" per il vostro driver non arrendetevi subito, ma consultate la homepage del driver, la mailing list del driver od il nostro Forum. Se riuscite a riprodurre un’iniezione con successo utilizzando un driver che non é elencato come supportato, non esitate ad aggiornare la tabella della compatibility page e ad aggiungere un link ad una breve guida.

Il primo passo consiste nell’assicurarsi che l’iniezione di pacchetti funzioni veramente con la vostra scheda ed I driver. Il modo piùfacile per testarlo é l’attacco di injection test. Assicuratevi di eseguire questo test prima di proseguire. La vostra scheda deve essere in grado di iniettare con successo prima di eseguire I passaggi successivi.

Vi occorre il BSSID (MAC dell’AP) e l’ESSID (nome della rete) di un AP che non opera il filtraggio dei MAC (es.il vostro) e dovete essere nel raggio dell’AP.

La prima cosa da fare é trovare il MAC del vostro stesso dispositivo di rete wireless. A volte c’é un’etichetta con il MAC sul dispositivo. Ma potete sempre trovarlo utilizzando il comando "ifconfig" (i 6 byte esadecimali dopo "HWaddr", di norma divisi da ":" oppure"-").

Quindi potete provare a connettervi al vostro AP utilizzando aireplay-ng:
_________________________________________________________________
aireplay-ng – -fakeauth 0 -e "il vostro ESSID di rete" -a 00:01:02:03:04:05 -h 00:11:22:33:44:55 rausb0
_________________________

Il valore dopo -a é il BSSID del vostro AP, il valore dopo -h é il MAC del vostro stesso dispositivo di rete wireless.

Se l’iniezione funziona dovreste vedere qualcosa come questo:
__________________________________________
12:14:06 Sending Authentication Request
12:14:06 Authentication successful
12:14:06 Sending Association Request
12:14:07 Association successful 🙂
__________________________________________

Altrimenti

1. ricontrollate l’ESSID, il BSSID ed il vostro stesso MAC
2. assicuratevi che il vostro AP abbia il filtraggio MAC disabilitato
3. testatelo contro un altro AP
4. assicuratevi che il vostro driver sia patchato e supportato
5. invece di "0", provate "6000 -0 1 -q 10"

ARP REPLAY

Ora che sappiamo come funziona l’iniezione di pacchetti, possiamo fare qualcosa per velocizzare enormemente la cattura degli IV:–>ARP-request reinjection

L’Idea

ARP opera (per dirla in modo semplice) diffondendo una richiesta di un IP, ed il dispositivo che ha qull’IP risponde. Dato che il WEP non protegge contro la reiterazione, potete sniffare un pacchetto e inoltrarlo ancora ed ancora mantenendolo valido. Così dovete solo catturare e replicare una richiesta ARP indirizzata all’AP per creare molto traffico (e sniffare gli IV).

Il metodo pigro

Per prima cosa aprite una fiestra con uno sniffing di airodump-ng per il traffico (vedi sopra). aireplay-ng ed airodump-ng possono essere eseguiti assieme. Aspettate che un client appaia sulla rete bersaglio. Poi iniziate l’attacco:
____________________________________________________________________
aireplay-ng – -arpreplay -b 00:01:02:03:04:05 -h 00:04:05:06:07:08 rausb0
____________________________________________________________________

-b specifica il BSSID dell’obiettivo, -h il MAC del client connesso.
Ora dovete aspettare che arrivi un pacchetto ARP. Di solito dovrete aspettare per alcuni minuti (o consultate il prossimo capitolo).
Se avete successo, vedrete qualcosa come questo:
__________________________________________________
Saving ARP requests in replay_arp-0627-121526.cap
You must also start airodump to capture replies.
Read 2493 packets (got 1 ARP requests), sent 1305 packets…
__________________________________________________

Se dovete smettere di replicare pacchetti, non dovete aspettare che arrivi il pacchetto ARP successivo, ma potete riutilizzare il/i pacchetto/i successivo/i con l’opzione -r <nome del file>.

Quando utilizzate la tecnica d’iniezione ARP, potete utilizzare il metodo PTW per craccare la chiave WEP. Ciò riduce drasticamente il numero di pacchetti di dati ed il tempo di cui avete bisogno. Dovete catturare l’intero pacchetto in airodump-ng, il che significa che non dovete usare l’opzione "- -ivs" quando lo avviate. Per aircrack-ng, utilizzate "aircrack-ng -z <nome del file>".

Se il numero di pacchetti di dati ricevuto da airodump-ng a volte smette di salire, forse dovreste ridurre il replay-rate. Potete farlo con l’opzione "-x <pacchetti al secondo>. Di solito inizio con 50 e li riduco finché I pacchetti non vengono nuovamente ricevuti con continuità . Un migliore posizionamento della vostra antenna di solito aiuta.

Il metodo aggressivo

Molti sistemi operativi cancellano la cache ARP al memento della disconnessione. Se vogliono inviare il pacchetto successivo dopo la riconnessione (o semplicemente usare il DHCP), devono inviare richieste ARP. Perciò l’idea é disconnettere un client e forzarlo a riconnettersi per catturare una richiesta [di] ARP. Un effetto collaterale é che potete sniffare anche l’ESSID durante la riconnessione. Ciò é utile quando l’ESSID del vostro bersaglio é nascosto.

Continuate ad eseguire I vostri airodumpng ed aireplay-ng. Aprite un’altra finestra e lanciate un attacco di deauthentication:
___________________________________________________________________
aireplay-ng – -deauth 5 -a 00:01:02:03:04:05 -c 00:04:05:06:07:08 rausb0
___________________________________________________________________

-a é il BSSID dell’AP, -c il MAC del client bersaglio.

Aspettate alcuni secondi ed il vostro arp replay dovrebbe iniziare a girare.
Molti client provano a riconnettersi automaticamente. Ma il rischio che qualcuno riconosca quest’attacco (o che se non altro venga attirata l’attenzione su ciò che accade sulla WLAN) é più alto che con altri attacchi.
Rispondi