La gente quiere compartir su Wi-Fi con nosotros de forma desinteresada y, como Fon no sirve de gran cosa (¿Cuánto tiempo hace que no veis una red de Fon?¿Habeis visto alguna vez una? 😀 ), suele dejarnos acceso libre a sus puntos de acceso. En caso contrario no se explica que aún hoy en día más de la mitad de los accesos inalámbricos esten configurados usando un sistema de cifrado, el WEP, que nos permite paso libre en apenas cuatro o cinco minutos. Un «amable» detalle para que no gastemos más en la factura de teléfono y poder recoger el correo o conectarnos a facebook para dar envidia durante las vacaciones.
La única parte complicada de todo lo que vamos a contar a continuación es disponer de una tarjeta de red con los drivers oportunos para nuestra tarea. La tarjeta (el hardware) no merece darle muchas vueltas. Si la que tenemos sirve, pues estupendo. Si no, tendremos que comprar una adecuada. Los drivers se pueden compilar para cualquier distribución de Linux, pero no merece la pena hacerlo: yo tengo instalado Backtrack en una pequeña partición de 15 Gbytes de mi portatil para estos menesteres y si a ti no te sobra siquiera ese espacio puedes usar una versión live de esta distribución en una memoria USB. Si estás curtido en este mundo y prefieres compilar los drivers tu mismo para tu distribución habitual, adelante. En este último caso disponer de la suite aircrack-ng no te será complicado. Para todo el proceso necesitaremos al menos tres terminales de forma simultanea pero es indistinto que lo hagamos mediante un entorno gráfico (startx
) o usando terminales virruales (Ctrl+Alt+Fn
).
Y empezamos con los preliminares. Hemos arrancado ya con nuestra backtrack y vamos a comprobar que nuestra tarjeta es compatible con los drivers de madwifi y, en caso afirmativo, a inicializarla. Para ello usamos el comando iwconfig para ver que tarjeta tiene extensiones inalámbricas e ifconfig para averiguar la MAC (Hwaddr) de la misma:
root@bt:~# iwconfig
lo no wireless extensions.eth0 no wireless extensions.
wlan0 IEEE 802.11bgn Mode:Managed Access Point: Not-Associated
Tx-Power=20 dBm
Retry long limit:7 RTS thr:off Fragment thr:off
Encryption key:off
Power Management:offroot@bt:~# ifconfig wlan0
wlan0 Link encap:Ethernet HWaddr 1c:4b:d6:a3:52:2a
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
En el volcado anterior vemos que la denominación de nuestra tarjeta es wlan0
y que su dirección MAC es la 1c:4b:d6:a3:52:2a
. Bien. Ahora incializaremos en modo monitor nuestra tarjeta:
root@bt:~# airmon-ng stop wlan0
Interface Chipset Driver
wlan0 Atheros ath9k - [phy0]
(monitor mode disabled)root@bt:~# airmon-ng start wlan0
Interface Chipset Driver
wlan0 Atheros ath9k - [phy0]
(monitor mode enabled on mon0)
Y ahora comprobaremos que es apta para nuestro trabajo. En la última línea del comando anterior la suite de aircrack nos ha devuelto el identificador correspondiente a nuestro adaptador inalámbrico en modo monitor que es el que usaremos a partir de ahora. El siguiente comando nos dirá si dicho dispositivo es capaz de inyectar paquetes en una red wifi y hará una prueba de dicha «habilidad» con tres de los dispositivos que sea capaz de detectar:
root@bt:~# aireplay-ng --test mon0
14:20:50 Trying broadcast probe requests...
14:20:50 Injection is working!
14:20:52 Found 3 APs14:20:52 Trying directed probe requests...
14:20:52 00:03:C9:8D:0C:04 - channel: 1 - 'La cueva de Moratalaz'
14:20:52 Ping (min/avg/max):
1.644ms/3.040ms/6.560ms Power: -28.13
14:20:52 30/30: 100%14:20:52 00:1F:5B:89:4B:BE - channel: 2 - 'Apple Network'
14:20:53 Ping (min/avg/max): 2.183ms/22.288ms/87.101ms Power: -75.30
14:20:53 30/30: 100%14:20:53 00:1F:E1:2A:79:74 - channel: 1 - 'Livebox-DBB0'
14:20:58 Ping (min/avg/max): 2.218ms/3.187ms/4.387ms Power: -90.40
14:20:58 5/30: 16%
Y hasta aquí los preliminares. Si la prueba anterior ha fallado no tenemos nada que hacer y tendríamos que revisar que falla de lo expuesto hasta el momento. Vamos ahora a elegir nuestro «objetivo». Para ello usaremos el siguiente comando;
root@bt:~# airodump-ng mon0
Como salida tendremos una pantalla con las redes detectadas por nuestro adaptador y diferentes medidas sobre la calidad de la señal que nos llega, actividad en la misma, cifrado, etc. Veamos un pantallazo (click para ampliarlo):
¿En que deberíamos de fijarnos a la hora de elegir objetivo? Por supuesto en el cifrado (WEP en la columna AUTH) y en la proximidad de la señal (identificada con un número en decibelios bajo la columna PWR). Además necesitaremos el BSSID del punto de acceso (su MAC), el canal en el que opera (columna CH) y el identificador de la red (columna ESSID). Pulsando Ctrl+C cuando tenemos datos suficientes la ejecución se aborta y podremos copiar estos datos con tranquilidad. La columna #Data es particularmente importante porque no podremos meternos en una red que no tiene actividad, así que es vano tratar de introducirnos en una con esta columna a cero. En este caso habrá que esperar a que el dueño la use. Explicaremos más adelante el motivo.
El siguiente paso es «capturar» los paquetes de identificación de la red elegida y guardarlos en un fichero. Si hemos elegido la red identificada como DJC de la captura anterior el comando sería el siguiente:
root@bt:~# airodump-ng -c 3 -w djc --bssid 00:13:f7:df:a4:0d mon0
Donde idicamos el canal (3), la raíz de los ficheros donde se guardarán las capturas (djc) y la MAC del objetivo (00:13:f7:df:a4:0d). La salida debería de ser algo así:
La columna más importante aquí es la etiquetada como #Data que nos muestra el número de paquetes IVs capturados. La captura de aquí arriba corresponde a una ejecución de siete minutos (excesiva para lo que necesitamos) pero al principio veremos de forma decepcionante como avanza de forma muy, muy lenta. Máxime considerando que necesitaremos entre 5.000 y 10.000 paquetes para acceder a la contraseña. Ahora veremos como hacerla correr…
Dejamos el anterior comando en ejecución y abrimos un nuevo terminal desde el que asociaremos nuestro adaptador inalámbrico al punto de acceso objetivo con la siguiente orden:
root@bt:~# aireplay-ng -1 0 -a 00:13:f7:df:a4:0d -h 1c:4b:d6:a3:52:2a -e DJC mon0
La primera MAC (00:13:f7:df:a4:0d) es la de nuestro objetivo y la segunda (1c:4b:d6:a3:52:2a) la del adaptador que estamos usando para conectarnos a ella. El identificador de la red objetivo sigue siendo DJC. En este punto podría ocurrir que no consiguieramos realizar la asociación. Esto es debido normalmente a que el punto de acceso está filtrando por MAC o a que estamos demasiado lejos del mismo. Lo primero tiene solución, pero ya lo veremos en otro artículo que este ya está quedando demasiado tocho. Una vez hecha la asociación pasamos a hacer crecer ese número de paquetes IVs que necesitamos para romper la contraseña. ¿Cómo? Pues aprovechando que los paquetes ARP se envían en modo broadcast y contienen un IV (vector de inicialización) que es lo que necesitamos. Pondremos a nuestro adaptador a escuchar y esperar este tipo de paquetes y a reinyectarlos en la red para acelerar el proceso de forma que en apenas un par de minutos tendremos varios miles de estos. El comando a continuación:
root@bt:~# aireplay-ng -3 -b 00:13:f7:df:a4:0d -h 1c:4b:d6:a3:52:2a mon0
La primera MAC sigue siendo la del punto de acceso y la segunda la de nuestro adaptador. El resultado de la ejecución de los dos últimos comandos aquí:
Si todo sale bien veremos como el número de paquetes IV capturados empieza a desbordarse. Si después de 500 ARP request no hemos conseguido este efecto cancela el comando y vuelve a ejecutar los dos últimos (el de asociación de la tarjeta y este). Después de tres o cuatro intentos, a lo sumo, conseguiremos el efecto deseado.
Vamos ahora con el paso final. Abrimos un tercer terminal y ejecutamos lo siguiente:
root@bt:~# aircrack-ng -b 00:13:f7:df:a4:0d djc-01.cap
Esto lanzará el ataque para descifrar la contraseña de la red identificada por la MAC 00:13:f7:df:a4:0d a partir de los paquetes capturados y almacenados en el fichero djc-01.cap (recuerda que la raiz djc la introdujimos nosotros). Si aircrack no tiene suficiente información para romper la clave quedará en espera de algunos centenares más y se relanzará de forma automática. Si no hay problemas enseguida nos responderá con algo así donde la clave que necesitamos es la que aparece al final y etiquetada como ASCII:
No os asusteis por la extensión del texto. He querido que sea fácilmente entendible y reproducible por casi cualquiera y por eso he metido más literatura de la cuenta, pero una vez que hayas practicado un par de veces podrás completar todo el proceso en apenas un par de minutos. Y démosle gracias a Telefónica por seguir instalando sus puntos de acceso usando WEP 😀
Les dejo un script para hacer el WEP crack más fácil y automático:
http://pastebin.com/ga8t9fz7
Hola tengo un problemin estoy usando una inspiron 6400 pero los paquetes data tardan mucho apenas llevo 5000. Y elapsed time 13horas q puedo hacer
Conseguí llegar al siguiente paso y ahora mi duda es todavía más absurda… ejecuto el BT4 desde un live cd con windows vista, así que al encender el portátil con el disco dentro ya se me ejecuta a pantalla completa… con lo que no sé abrir otra ventana como si abriera otro terminal…!!! Y si entro desde el terminal de windows no sé el comando para bootear el cd desde allí para más adelante tener múltiples ventanas…
también tengo mac pero el terminal de mac no lo he usado en la vida.
OK, yo sustituía el djc (el ESSID del ejemplo),por el nombre de la red probaré de nuevo siguiendo el ejemplo al pie de la letra (con lo bien explciado que está, ya me vale)
muchas gracias!
kissu: en ese punto no hay que poner el nombre de la red en ningún momento. Fíjate bien en el comando de ejemplo:
3 es el canal, djc el nombre del fichero donde se guardan las capturas, 00:13:f7:df:a4:0d la mac del objetivo y mon0 el identificador de tu interfaz inalámbrico desde donde realizarás la captura.
Todo va bien hasta el paso «??capturar? los paquetes de identificación de la red elegida y guardarlos en un fichero»
a pesar de poner el nombre de la red me dice «no interface specified». Qué hago mal?
gracias
Pues no lo se, Cris, pero si obtienes la cadena en hexadecimal, pásala tu a ASCII ¿no? Mira: http://asciicodes.blogspot.com/2010/12/ascii-table.html
Hola por que a mi al final no me sale el ASCII? pero me dice que si consiguio la clave?
Saludos ….
tengo una duda tengo una hp pavilion dv4 1414la
corro el bt3 desde un usb pero….. asta ahi me quedo
en yo creo que no detecta la targeta inalambrica por que no apare ha que sedeve esto !!
gracias !!!
buen tuto ,lo me salio todo pero , tuve que inyectar paquetes hasta los 300,000 para optener la clave ,
Muy currado esto, muchas gracias. Es difícil pero está muy bien explicado. Espero que me sirva de ayuda. Un saludo.
oLA !!
saludos buen aporte !!
yo e intentado pero creo ke mi targeta inalanbrica no la detecta el backtrack
mi poltatil es una pavilion dv4 1414la
y no puedo hace nada me podras ayudar
gracias !!
mi correo jefe-maestro_02 (ya sabes arroba hotmail punto com)
joder q way y q red bien va estoooooooooo
Yo tengo una duda…….¿Cual de todos los enlaces del Backtrack es el que tengo que descargar? Hay un monton de ellos.
y como saber la puerta de enlace de la red
a quien se esta vulnerando.:)
peliun_66@hotmail.com
Hola estube realizando todos los pasos del Tito pero en el paso final para crackear la clave me sale error «please specify a diccionary» (option -w) y otra Linea quitting aircrak-mg…
Si alguiene puede ayudar se lo agradecería mucho
Gracias
Censol@usa.com
a y se me olvido decir k yo me brinuqe la compativilidad de paquetes root@bt:~# aireplay-ng –test mon0
me salio error y ami si me funciono usando una usb rtl8187
Ami me Funciono perfecto jaja como que no entendi lo que ise pero ya lo estudiare con calma me salio ala primera Felicides buen tuto Gracias
yo lo hago con wislax pero no siempre encuentro la clave ay claves que le he intentado muchas veces y nada ¿ como le hago?