WPA Cracking
Ciao a tutti,
oggi ho ricevuto una mail di brigante~ con linkati alcuni thread sul forum di Remote-Exploit.org iniziati da alcuni tra gli utenti più attivi nello scrivere tutorial e a spiegarci il funzionamento dei tools messi a disposizione da BT3. I thread non mi erano nuovi e considerato che il WPA si appresta a diventare lo standard di sicurezza delle reti WiFi ho pensato di scrivere questo piccolo how-to sul cracking di reti WPA/WPA2 PSK seguendo i thread di -=Xploitz=-, theprez98 e shamanvirtuel presenti su remote-exploit.org.
Affronteremo i diversi approcci al cracking WPA/WPA2 PSK in ordine, analizzando prima l’utilizzo della sola suite di tools Aircrack-ng, poi l’utilizzo di coWPAtty e infine un loro utilizzo combinato. La base comune di tutti questi tutorial è quella di possedere un handshake valido tra il client e l’AP.
Partiamo dalla catturta dell’handshake e alla sua verifica.
Come sempre settiamo l’interfaccia wireless che useremo in monitor mode sul canale dell’AP:
——————————–
airmon-ng start wifi0 11
——————————–
Dunque utilizziamo airodump-ng il lock mode sul canale dal quale trasmette l’AP e facendo modo che filtri solo suo traffico impostando un filtro MAC:
——————————–
airodump-ng –bssid 00:1c:10:90:86:7f –channel 11 -w handshake ath0
——————————–
A differenza del cracking del protocollo WEP, dove per effettuare con successo il cracking non era strettamente necessario individuare un client connesso via wirelss all’AP poichè anche il traffico generato da un client via cavo poteva essere utilizzato, nel cracking WPA dobbiamo per forza avere almeno un client connesso o comunque rimanere in ascolto con airodump-ng fino a che non se ne connette uno.
La necessità di avere un client connesso nasce dal fatto che il cracking WPA è sostanzialmente un brute-force su un pacchetto di autenticazione confrontando l’hash di questo con quello generato da noi, quindi gli unici pacchetti che dobbiamo ottenere sono quelli in fase di handshake tra AP e client senza preoccuparci del traffico in transito sull’AP.
Quando otterrete un handshake valido, Airodump-ng vi informerà della cattura facendo apparire nella sua finestra, in alto a destra, una scritta simile a questa “[ WPA handhsake: 00:1c:10:90:86:7f".
Se non si connette nessun client durante lo sniffing possiamo deautenticarne uno gia connesso cosi che si riconetta generando i 4 pacchetti che compongono l'handshake, usiamo Aireplay-ng per forzare la disconnessione del client vittima:
--------------------------------
aireplay-ng -0 10 -a 00:10:1c:90:86:7f -c 00:19:d2:3b:91:85 ath0
--------------------------------
Ottenuto l'handshake controlliamo che questo sia effettivamente valido con wireshark, quindi aprimo il file generato da airodump-ng con wireshark (Menu-->Backtrack-->Privilege Escalation-->Sniffers-->Wireshark) e controlliamo di aver catturato un handshake completo.
577 --> ancora è l'AP a iniziare la seconda fase dell'autenticazione, in questo caso il replay counter è settato a 2
578 --> il client a sua volta risponde, il replay counter è 2
Per il tutorial inseriremo in una wordlist, scaricata dal box del blog, la chiave WPA della nostra rete, cosi da eseguire il tutorial senza troppi problemi; teniamo presente che una wordlist per essere "funzionante" non ha solo bisogno di essere grande, ma anche "adatta" allo scenario; per questo tutorial userò una wordlist molto corta per velocizzarne l'esecuzione di prova.
-----------------
gunzip -d junk.gz
-----------------
e editiamola inserendo al suo interno la password della nostra rete in questo modo:
--------------------
cat >> junk << "end"
>-=m0r3l337k3y=-
>end
--------------------
Ora iniziamo con il primo metodo di cracking utilizzando esclusivamente Aircrack-ng con la wordlist creata:
aircrack-ng -w junk -b 00:1c:10:90:86:7f handshake*.cap
————————-
Adesso andremo ad utilizzare un’altro metodo di cracking che sfrutta Airolib-ng per creare un database con al suo interno le password precomputate con l’ESSID della vostra rete, in questo modo Aircrack-ng velocizzerà il lavoro di cracking.
Prima di tutto specifico che per proseguire dovete avere installato SQLite3, se state usando BT3 non avete problemi, è installato di default. Per chi non avesse SQLite3 installato, può installarlo tramite il modulo creato da balding_parrot scaricabile da qui. Installato SQLite3 è necessario installare la versione di Aircrack-ng in fase di sviluppo, qui sul wiki di Aircrack-ng ci sono delle istruzioni dettagliate.
————————-
————————-
Con questo comando andremo a creare un database chiamato “wpaTestDB“. Ora creiamo la lista di ESSID con cui fare il salt delle password, per semplicità e velocità creiamo un file con all’interno solo il nome della nostra rete:
————–
nano essid.txt
————–
un volta aperto il file con nano (se non esiste il file quest’ultimo verrà creato in automatico) inseriamo al suo interno il nome della nostra rete, nel mio caso “trinacria“.
Quindi salviamo premendo “F2” e rispondiamo con “y” seguito dal tasto enter per salvare.
Adesso inseriamo la lista di ESSID presenti nel file appena creato nel database con il comando:
——————————-
——————————-
e subito dopo le password:
——————————-
——————————-
Ora procediamo con una pulizia del database in modo che vengano eliminate tutte le chiavi non valide rendendolo cosi più veloce e leggero:
——————————
airolib-ng wpaTestDB clean all
——————————
Adesso creiamo le PMK computando password con essid, tutto questo è fatto in automatico da Airolib-ng con il comando:
————————–
airolib-ng wpaTestDB batch
————————–
il tempo impiegato dipende dalla quantità di password inserite e dal numero di essid (1 nel nostro caso) oltre che dal sistema in vostro possesso.
Se volessimo essere sicuri di essere riusciti a creare un database senza errori possiamo utilizzare l’opzione “verify“; in questo modo Airolib-ng effettua una verifica volta ad eliminare ogni PMK che riscontra non valida, il comando per eseguire la verifica:
——————————-
airolib-ng wpaTestDB verify all
——————————-
se voleste controllare solo un numero random di chiavi non specificate l’opzione “all“.
Non ci resta che recuperare la chiave WPA con Aircrack-ng usando il database crerato da Airolib-ng al posto della sola wordlist:
——————————–
——————————–
Non resta che provare con un’altro strumento a nostra disposizione, coWPAtty. In BT3 per lanciare coWPAtty 4.0, quello usato da theprez98 in questo post che si trova su Remote-Exploit.org, dovete andare nella cartella /pentest/wireless/cowpatty-4.0/ e lanciarlo da qua dentro con ./cowpatty.
Anche con coWPAtty possiamo utilizzare metodi diversi, incominciamo sviluppando l’hash della password in tempo reale durante il cracking:
./cowpatty -f junk -r handshake-01.cap -s “trinacria”
———————–
—————–
genpmk -f junk -d hashGenpmk -s “trinacria”
—————–
e quindi recuperare la password fornendo in input l’hash, l’hanshake e l’ESSID della rete:
——————
./cowpatty -d hashGenpmk -r handshake-01.cap -s “trinacria”
——————
——————–
——————–
come vedete specifichiamo il database su quale lavorare (wpaTestDB) l’ESSID da esportare (trinacria) e il nome del file che andremo a generare (airoexport). Adesso con coWPAtty possiamo recuperare la nostra chiave:
——————–
——————–
Verifichiamo lo stato del nostro database:
————————–
airolib-ng wpaTestDB stats
————————–
——————-
——————-
38 Commenti
Commenti RSS TrackBack Identifier URI
Lascia un commento
CIao ho da parecchio tempo aircrack-ng ma nn riesco ad installarlo su vista e quindi ovviamente nn mi parte, credo di avere la versione giusta,e quindi volevo indicazioni su come installarlo e magari sapere quale versione devo scaricare per il mio SO…grazie
Ho installato anche su ubuntu 7.04 ma prima di lanciare airdump-ng cerco di disabilitare la scheda di rete ma mi da: cannot open libiw.so.29……..cerco disperatamente aiuto
grazie
ciao,
mi dispiace dirti che nessuno che frequenta questo blog ha il vista , quindi , anche per minima completezza , io ti consiglio di andare su uno delle migliaia di forum esistenti su windows , venire quì per il funzionamento di aircrack-ng , (magari camuffandosi…), è un piacere per noi aiutarti , ma per il vista è critica.
ciao e spero che tu possa risolvere il tuo problemino.
ok,grazie ma come ti dicevo ho anche ubuntu 7.04 solo ke mi da quel problema descritto sopra….potresti aiutarmi?
ascolta…
forse non ci simo capiti…
questo è un blog sulla backtrack , non su ubuntu e non su vista , ci sono migliaia di forum e blog in rete , possibile che non riesci a trovare aiuto?
il problema che tu poni per noi è impossibile risolverlo , perché tu parli di una libreria , che in backtrack , non genera alcun problema visto che lp’ aicrack-ng è inserito di default in backtrack.
se ti serve una mano sul funzionamento , bene , altrimenti mi dispiace dirti che perdi tempo , sono delle cose che a noi sono estranee , e dovremo installarci ubuntu per vedere il tuo stesso errore e capire da cosa può dipendere capisci?
http://forum.ubuntu-it.org/
e chiedi aiuto nell’ area networking oppure sicurezza.
ciao.
Ciao
In BT2 apro 3 shell
Nella prima Airmon-ng start wifi0 (CH)
e dando iwconfig vedo che sta in Monitor Mode sia ATH0 che ATH1
Allora sempre con Airmon Stop fermo sia ath0 ath1 kis e wifi0.
Ripeto airmon-ng start wifi0 (CH) e tutto pare ok.
Qui se apro Kismet mi crea casino. ATH0 non parte più. Cosi lo evito.
seconda Shell
Airodump……… i Client sono 3
apro
Aireplay………. il client selezionato si sconnette e quando si riconnette non produce niente.
Gli altri 2 Client stessa cosa.
Cosa sto sbagliando?
Premetto che ho provato anche a utilizzare i comandi iwconfig ath0 rate…….
e iwpriv ath0 mode
ma mi bloccano airodump.
Ciao e Grazie
prova prima ad eseguire il test di aireplay-ng per vedere se riesci a comunicare con l’AP, forse sei troppo lontano dall’AP.
aireplay-ng -9 ath0
Grazie per la risposta
Test eseguito
Trying directed probe request….
00:03:6F:D9:55:FA -channel: 1 “FASTWEB”
PING (min/avg/max): 2,534ms/70,778ms/102,864ms
28/30 93%
Come procedo adesso
Ciao
strano,
a furia di deautenticare dovresti essere in grado di catturare qualcosa!
dove sei messo rispetto ai client?
tu —–> client —–> AP
o
client —–> tu —–> AP
??
Ancora grazie
client —–> tu —–> AP piu o meno 200 metri e nessun ostacolo.
Pare strano anche a me anche se inesperto WPA.
Sto provando di tutto ma il risultato rimane nullo.
mi scriveresti con prescisione i passaggio che compi per settare la scheda sulla banda e frequenza esatta e per deautenticare i client??
Ok ti elenco i passaggi
ifconfig e verifico interfaccia
airmon per stoppare ath0 e wifi0
airmon start wifi0 e il num del canale
iwconfig e verifico……. ath0 monitor mode ok - nientaltro di attivo
Fino a qui se avvio airodump parte ma se do
iwconfig ath0 rate 1M
iwpriv ath0 mode 3
tutto bloccato……….
Ti ringrazio tantissimo
prova a vedere con wireshark che pacchetti ti mancano per completare l’handshake
è stato fatto un ottimo tutorial su Aircrack-ng.org che mostra molto chiaramente l’analisi di due autentizazioni di un client a una rete WPA, una andata a buon fine e una fallita.
l’analisi dei pacchetti è stata fatta con wireshark ed è motlo dettagliata, lo trovate qua:
http://aircrack-ng.org/doku.php?id=wpa_capture
come posso vedere se ce’ un client collegato sia da xp che da backtrack?
grazie ciao
ciao PAOLO,
per controllare se ci sono client connessi puoi usare kismet o airodump-ng da backtrack
per windows XP non so aiutarti…
mi dici il nome di qlk scheda wifi pci buona……………
grazie
ciao,
i miei complimenti a tutti per la chiarezza e la “semplicità” con cui spiegate il tutto, finalmente anche per uno ai primi passi come me di linux inizia a diradarsi la nebbia che si estende per miglia di cluster intorno a questo stupendo OS.
Scusate,,ma qualcuno puo aiutarmi????ho trovato un handhsake valido,,ed ho provato un paio di dizionari,, ma niente,,,la chiave e’ una wpa,,,,esiste qualche altro attacco oltre al dizionario????
ciao a tutti vorrei chiedere come si fa a installare nella backtrack 2 il madwifi 9 per la scheda atheros ar 5004 G
perche con kismet vedo i clienti ma airodump non li vede.
io i madwifi li ho nel secondo hardissk ma non so come installarli
vi prego di aiutarmi
ciao a tutti un complimento per il forum e le spiegazioni che date.
Pero non ho capito questo punto mi potete aiutare grazie?
editiamola inserendo al suo interno la password della nostra rete in questo modo
ciao e benvenuto…
il fatto è che è scritto in italiano e non posso anche volendo scriverlo diversamente , nel senso che , anche se il tutorial non è il mio , in questo passaggio pinguinoninja ha inserito all’ interno della wordlist scaicata la password della sua rete , perché si tratta di un test e non vale la pena vista la natura della cosa capisci?
[quote]editiamola inserendo al suo interno la password della nostra rete in questo modo[/quote]
dopo questa frase sono dei comandi da shell , ma volendo puoi andare a modificare la wordlisrt direttamente da file *.txt e poi richiamarla per il tuo test.
ciao.
grazie per il chiarimento Brigante
ciao a tutti brigante mi sapresti dire quale drive devo installare su black track se una usb G122 C1 cip set rt73 perche non riesco a scaricare i pacchetti della wpa e non posso testare la mia wpa grazie
ciao,
a destra della colonna centrale del blog , c’é l’ immagine che ti porta direttamente sul wiki di remote-exploit , da lì cerchi g122 c1 e ti ppariranno tutte le notizie di cui hai bisogno.
http://backtrack.offensive-security.com/index.php/HCL:Wireless
ciao.
ciao brigante scussa se ti disturbo mi sapresti dire l ultima versione di black track 3 grazie perche io la versione live cd che ho scaricato l anno scorso .
basta farsi qualche guretto… …se vai nel wiki vedi benissimo che l’ attuale è la 3-beta , molto probabilmente tu hai la 2-final.
ciao.
P.S.:
è BackTrack e non blacktrack , e senza 3 se vuoi sapere la versione.
ciao.
ciao brigante scusa se ti rompo un po le scatole questo drive rt73_2.6.24.patch e all interno del BackTrack o si deve installare ? ed e diverso da quello originale usb d-link g122 c1 e si deve cambiare anche il firmware? grazie tanto.
script , scusami ma non posso ricordare tutti i drivers delle schede di rete presenti o no in BackTrack…
…se hai un problema simile ti consiglio di consultare il wiki… all’ apposita pagina per le schede di rete.
http://backtrack.offensive-security.com/index.php/HCL:Wireless
basta che cerchi la tua scheda e ti viene riportato tutto.
ciao.
ciao brigante sono riuscito a testare la mia rete tutto ok ma mi e nato un dubbio se esiste un programma in grado di trovare la chiave come aircrack a posto di provare tanti nomi lettere e simboli ecc provare a trovare singlola lettera o vocale ecc fin quando non dia la key ciao e grazzie.
ciao,
non è possibile , perche se “azzecchi” la prima lettera soltanto non puoi avere nessun riscontro da parte del risultato.
e non puoi averlo fino al raggiungimento di tutta la chiave , ma questo naturalmente è una caratteristica che è possibile si siluppi nel futuro , come del resto ce ne sono già molte in giro.
ciao.
CAIO brigante ma cosi diventa troppo difficile trovare la chiave della wpa si puo dire che se la trovi e solo fortuna comunque grazzie di tutto.
ps
mi potresti dare un nome di questa caratteistica che e possibile siluppi nel futuro?
ciao.
ciao,
non è una caratteristica particolare , ho solo detto che è una possibilità ma che non ho nessun riscontro tecnico , comunque appena ci saranno novità , di qualsiasi tipo te ne accorgerai di certo dai nuovi programmi e nuove release in backtrack.
non è una questione di fortuna , almeno non solo….
…affianco a questa tecnica del dizionario c’é la fondamentale teoria/tecnica del social enginereeng , che è una vera e propria tecnica , la maggiorparte delle persone non la usano a dovere per il semoplice fatto che una volta l’ attacco veniva realizzato verso un obbiettivo , come del resto dovrebbe essere , mentre oggi l’ attacco , purtroppo , viene generalizzato e condotto verso tutto , alla fine quindi dove l’ attacco è riuscito si individua l’ obbiettivo ec in questo caso il social non viene naturalmente tenuto in considerazione.
ciao.
ciao brigante mi spiegheresti cosa significa scompattare e come si fa grzie
(scompattiamo della chiavetta direttamente nella root.)
un altra domanda la la versione 2 final backtrack si puo installare nella usb ciao
scuasami ancora ci vuole un tipo di usb particolare o vanno bene qualsiasi?
se ce ne vuole una particolare mi diresti quale comprare grazie mille.
scompattare vuol dire estrarre da un archivio = “scompattare un archivio” , e nel caso che hai indicato = estrarre i file dall’ archivio direttamente nella /root del tuo sistema.
sia la bt2 che la bt3.beta vanno su liveCD - HDinstall - Live.usb
la chiavetta deve essere di almeno 1 GB per la bt3.beta e 750 MB per la bt2 , l’ unica cosa importante è che siano entrambe formattate in Fat32.
potrebbero essere utilizzati anche altri filesystem , ma il FAT32 va al meglio sia per bt2 che per bt3.beta.
ciao.
ciao brigante o un problema o il portatile che da usb non mi fa avviare BackTrack ho visto che dalla bios non ce modo di far partire la usb come primario le uniche periferiche che mi fa avviare sono cd-rom e flopy come posso fare per dare il boot magari dal flopy e poi fargli leggere da usb si puo fare vedi se mi puoi aiutare o magari si deve aggiornare la bios visto che le usb li vede ma non mi da la possibilita di farla partire come primaria oppure se sai qualche altro modo ciao e grazie.
Ho un pc aspire 1690, quando faccio i processi sopra indicati airodump non mi trova nessun hanhsake, quindi non riesco a craccare con aircrack-ng, cosa posso fare? Posso tentare un brute force attack? se si qual’è l’esatta sintassi?
Grazie 1000!!