Tutorial de hacking wireless en GNU/Linux para principiantes
| - Tutorial de hacking wireless en GNU/Linux para principiantes - |
Por Aironjack para el foro de elhacker.net
|
Tutorial
de hacking wireless en GNU/Linux para principiantes.
AUDITOR SECURITY COLLECTION 1.- Introducción: BADBYTE-K Un Live CD es un sistema operativo funcional que se ejecuta directamente desde un cd, sin tener que instalarlo en nuestro disco duro (HD). ..sR. aDiKtO.. ¿Cómo se consigue eso? pues detectando el hardware del PC cada vez que se arranca con el CD de la distribución y usando la memoria RAM para leer y guardar datos. Muchas permiten usar una parte del disco duro como partición de intercambio y guardar la configuración en un floppy o llavero USB. El Live CD que manejamos es conocido como Cd Auditor, y es una recopilación de herramientas específicas para la seguridad y auditoría inalámbrica: wifi, bluetooth... Además incluye herramientas necesarias para complementar una intrusión inalámbrica: spoofing, hijacking, escáneres de vulnerabilidades... Por supuesto es completamente gratuito y se acoge a la licencia GPL 2.0 El Auditor está basado en "Knoppix" la más conocida basada en Debian, combina una buena detección de hardware con un montón de aplicaciones. Está considerada como una de las mejores para el desarrollo de Live CDs. Pueden informarse de cómo hacer sus propios live CDs, cómo funcionan, las ventajas de knoppix... en: ¿Cómo hacer un Live-CD by BADBYTE-K? http://foro.elhacker.net/index.php/topic,20178.0.html Si queréis informaros sobre dónde conseguir LiveCDs, tipos, ventajas y muchas más cosas sobre GNU/Linux. - Preguntas frecuentes by ..sR. aDiKtO.. http://foro.elhacker.net/index.php/topic,4269.msg88421.html#msg88421 Nota: El sistema operativo en realidad funciona en la memoria virtual o RAM, así que una vez apaguemos nuestro ordenador todos los datos serán borrados. Intentaremos solucionar esto utilizando un dispositivo de memoria USB donde podamos almacenar resultados, sesiones, capturas... 2.- Descarga y grabación del CD: Vamos a descargarnos el Live-CD Auditor de la página oficial. Por supuesto nos descargamos la última versión la 150405-04 (en el momento en que escribo), no como yo, que me confundí y me bajé una antigua . http://new.remote-exploit.org/index.php/Auditor_mirrors Escogemos un enlace de descarga (ya sea vía ftp o http) y una carpeta de nuestro ordenador. Es recomendable utilizar algún tipo de gestor de descargas para evitar cortes en la conexión y tener que comenzar de nuevo. El tamaño del live CD es de unas 630mb, así que habrá que tener un poco de paciencia. En la página principal podéis leer sobre el Live CD, las herramientas que contiene, las críticas que ha recibido y demás publicaciones. http://new.remote-exploit.org/index.php/Auditor_main La relación de herramientas incluidas en el Live-CD, que ya analizaremos a su debido tiempo, se encuentra en: (conviene que investiguemos un poco por nuestra cuenta, que la curiosidad es la madre de la ciencia) http://new.remote-exploit.org/index.php/Auditor_tools Una vez que ya esté bajado a nuestro ordenador, vamos a grabarlo en un CD. Yo he utilizado un CD no regrabable, aunque si se utliza regrabable se pueden hacer modificaciones posteriores. El paso clave para que se ejecute después es grabarlo como un CD ISO o imagen ISO. Así que debéis informaros de cómo grabar este tipo de CD con el software que utilicéis habitualmente, no obstante suele verse la opción en el menú fácilmente. Cuando nuestro CD esté calentito, lo dejamos dentro del lector y apagamos el ordenador. Al encenderlo de nuevo, se arrancará ya desde la distribución de GNU/Linux, en las primeras pantallas se encargará de reconocer el hardware y si tenéis la tarjeta inalámbrica conectada (reconoce modelos que no son válidos para la auditoría inalámbrica, por lo que el reconocimiento de la tarjeta no implica que vaya a funcionar) no tendréis mayores problemas de configuración después. - Errores más comunes: Visto que el live CD da algún que otro problema a otros usuarios vamos a comentar una serie de requisitos para que Auditor se ejecute sin complicaciones.
En la FAQ principal del CD se explica: (Se debe tener siempre a mano, como referente para la configuración del AI en modo monitor, modo maestro... siempre que los tenga)
http://new.remote-exploit.org/index.php/FAQ_main Como siempre una de las recomendaciones para GNU/Linux es Prism 2/2.5 siempre y cuando nuestro objetivo sean redes 802.11b y Prism GT o Atheros para 801.11g. 3.- Aparejos: Si alguien lee esto y quiere comentar su modelo o otro que le parezca interesante, que se sienta libre para hacerlo donde desee. Este apartado lo publiqué en otro post pero creo que aquí lo verá más gente y complementa el manual, forma parte de un texto sobre las tarjeta útiles para la auditoría en el que trabajo. El otro día recordé que en la web de Tomhardware (la cual uso como referencia para el apartado Romper WEP, que leerán dentro de poco, del manual), el autor recomendaba la tarjeta que había utilizado.
Como saben en Europa las tarjetas están obligadas a emitir en los 100mw, pero podremos trucarla (el firmware) siguiendo el siguiente texto: http://www.ciudadwireless.com/webdoc/senaoregion/index.html Un precio aproximado serían 60 euros: (Aquí se habla de un rango de acción de hasta 1200 metros con 200mw sin obstáculos) http://www.ciudadwireless.com/product_info.php?products_id=114 Necesitaremos un pigtail que lleve un conector MMCX y uno N macho para conectarlo a la entrada N hembra de la antena. El precio será de unos 8 euros el metro. Interesa buscar un cable de pérdidas muy bajas. También podemos construirnos nuestro propio pigtail con un cable coaxial y algo de maña, hay manuales en google.  La antena depende ya de nuestras necesidades. Les comento la que utiliza Tomhardware porque me parece un modelo muy portátil para wardriving debido a las ventonsas acopladas. Es una Mobile Patch antenna con clabija N hembra.  Las características técnicas de este producto las pueden encontrar en: http://www.wlanparts.com/product/24MPV8 Un precio apróximado serían 28 euros. Este modelo de tarjeta tiene buena pinta, comprarla o no es decisión de cada uno, yo solo les comento lo que veo y pienso, por supuesto le funcionó al autor. No me vayan a cargar con el muerto. También mucho ojo a las revisiones y siempre tener el margén de poder devolver el producto. Los AIs se deben comprar en tiendas especializadas de informática, y encargar el modelo que les interese para que lo traigan, lo que aumenta el precio por envío. 4.- Primeros pasos: Ya véis que no es nada difícil esto de perderle el miedo a GNU/Linux. En estos momentos os aparecerá la pantalla principal del sistema operativo, se parece a Windows, y no tiene ningún icono o virguería ya que no las necesitamos. - Acercándonos a Linux: Como muchos de los que empiecen con este manual desconocen el Sistema Operativo que nos traemos entre mano, vamos a darle un pequeño repaso, para que vean que eso de Linux no es para tanto ¿o sí? Los comandos de shell de linux (lo que vendrían a ser los comandos de ms-dos) son diferentes que los de Windows, además hay que decir que en Linux existen varios tipos de shell, nosotros manejaremos la más sencilla bin/bash. En el siguiente enlace encontrarán una relación entre comando y función del comando. - Comandos Linux: http://foro.elhacker.net/index.php/topic,49887.0.html Yo intentaré darles explicaciones sobre los que vayamos utilizando y cómo nuestro fin no es más que el de la auditoría inalámbrica nos sobran más de la mitad. Pero siempre es una buena referencia a la hora de empezar a migrar a Linux. ¿Qué podemos hacer ahora? Recuerdan que GNU/Linux es idóneo para la auditoría inalámbrica. Pues dependiendo del chipset que tengamos podremos hacer diferentes tipos de ataques. Algunos de estos son: (Tranquilos que de todos hablaremos a su debido tiempo)
Antes de meternos en materia, voy a explicar un par de asuntos que tengo pendientes. -Instalación de Auditor: Sí habéis oído bien, ¿pero no había dicho que no hacía falta instalación alguna? Así es, sin embargo el CD incluye un script que nos permitirá instalar Auditor en nuestro Windows. ¿Para qué? Pues para poder grabar datos en las carpetas sin que se borren después (evitando así el problema de la memoria RAM). Imagínese que el chipset de su tarjeta entra en modo monitor pero el LiveCD no cuenta con los drivers necesarios. Necesitará descargarlos en una memoria fija. Esto mismo es lo que vamos a tratar de solucionar con una tarjeta de memoria USB, en el siguiente apartado. ¿Que cómo se hace? Es fundamental tener un espacio de nuestro disco duro particionado. Si tienen Windows XP lo más seguro es que el disco entero esté completamente formateado y ocupado por una sola partición (C:\). Entonces tenemos dos opciones: 1.- Formatear el disco duro y hacer dos o tres particiones: Una para Windows, otra para el Auditor y otra para que puedan interactuar ambos. 2.- Particionar espacio del disco duro ocupado (Redimensionar la partición): Siempre se recomienda usar Partition Magic (estamos con la versión 8 en estos momentos). Las versiones antiguas de este programa eran algo inestable y con riesgo de dañar datos en nuestro ordenador, este problema ya se ha corregido. Independientemente de que opción escoja debería dejar al menos unas 2GB para Auditor, y después hacerlo correr y en el menú de Auditor verá la opción "Auditor HD installer", a partir de aquí siga las intrucciones del instalador marcando la partición donde desea instalarlo. Mi recomendación, es no instalar Auditor en el disco duro, ya que existen mejores opciones, y si se va a particionar el disco duro ocupado o formatear sería mejor instalar una distribución GNU/Linux completa. Si el tema les interesa pueden leer más en el subforo de GNU/Linux a cargo de ..sR. aDiKtO.., Mordor y Soul Lost. Allí encontrarán documentación sobre las diferentes distros, su instalación, configuración... Sobre cómo usar Partition Magic hay ya muchos manuales, así que no me detendré a explicarlo. Aunque les dejo a continuación el videotutorial de Nerviozzo que será más que suficiente información si esto es lo que se proponen. - VideoTutorial particionar con Partition Magic 8.0 by Nerviozzo: http://foro.elhacker.net/index.php/topic,72142.0.html Espero que no me demande por derechos de autor 5.- Solucionando el problema de la memoria virtual: Hoy he estado haciendo pruebas durante unas horas y ya he logrado manejar sin problemas mi Flash Key (chip de memoria usb- flash drive- llavero USB, o ese aparatito tan útil para pasarle fotos al vecino). Esto nos permitirá:
- Nuestro teclado: Entramos en materia de cómo lograrlo. Antes que nos metamos en demás fregaos sobre romper WEP, inyectar tráfico... es fundamental que escojamos el teclando en español, para que reconozca nuestras Ñs y ponga los símbolos donde está mandado. Muy bien, abajo a la derecha en el menú principal de Auditor aparecerá una banderita, pinchamos botón derecho encima y después clickamos en config. Buscamos el español, clickamos ADD>> y a continuación OK.  Al salir de la interface de configuración pinchamos de nuevo en la banderita pero con el botón izquierdo, las veces que haga falta hasta llegar a la bandera española. - Montando el USB flash drive: Lo primero que vamos a hacer es conectar el USB flash drive antes de arrancar Auditor para que al iniciarse lo reconozca y nos permita luego montarlo. Por si no están muy en contacto con su lado Linux, les diré que este sistema operativo gestiona los periféricos como si fueran carpetas, en el fondo si lo piensan igual que en Windows. Ahora vamos a abrir una shell (Una ventana de comandos, es el nombre técnico). Como se muestra en la imagen:  En la versión antigua que me descargué por error, venía un detector de USB, en la última no lo he vuelto a ver, así que lo haremos a la vieja escuela. Una vez abierta la shell tecleamos los siguiente comandos:  En la imagen se muestra claramente los comandos que se deben escribir, este no es el momento de comentarlos, aunque sí que haré un apartado de familiarización con Linux, en el que comentaré comandos y enlaces con el subforo específico de GNU/Linux de elhacker. Por último vamos a comprobar que se ha montado correctamente y ya de paso les muestro cómo funciona el sistema de exploración de archivos (lo mismo que el Explorador de windows) de Auditor.  Si pinchan en la última carpeta usb, deberían ver sus archivos en la memoria USB, poder manipularlos... Como último detalle, cuando quieran grabar un archivo, por ejemplo una captura de imagen como las que yo he hecho, les aparecerá una pantalla de grabación. Funciona igual que en Windows, arriba tienen una barra con el directorio, escogen root, y luego van a la carpeta mnt y después usb. - ¡Oye, qué no tengo USB! Bueno yo lo comprendo, hasta ayer no me hice con un uno y tuve que vender un riñón en el mercado negro. La solución: Podemos usar otras memorias persistentes como un CD regrabable o un CD usando multisesión, o también un disquete (que prehistórico ¿no?), pero tendremos que darle un formato especial. ¿Cómo? Con los siguiente comandos (gracias a Firos por su ayuda) Código:
mkdir
/mnt/disquete
mount /media/floppy0 /mnt/disquete 6.- Rompiendo WEP: Sobre la auditoría inalámbrica hay muy buenos textos escritos en inglés, pero pocos en español. Esta técnica es la más básica dentro de la auditoría inalámbrica, y está descrita en numerosos manuales por toda la red. Sin embargo el propósito de este tutorial no es otro que acompañarles en el aprendizaje desde cero de todas las técnicas necesarias para un buen pirata inalámbrico. Citar
En
este caso utilizaré como texto de apoyo un magnífico manual escrito
por Tomhardware.
http://www.tomsnetworking.com/Sections-article120.php Comienzo desde la parte dos, la primera va sobre puesta a punto de hardware, detección de redes, ya la trataremos en su momento. Mi intención no es traducirles el texto al completo, puede que en un futuro. Sólo voy a darles las claves resumidas para el ataque. - Detectando la red y datos necesarios: Lo primero que hay que hacer es abrir kismet en el Auditor con nuestra tarjeta por supuesto introducida antes del arranque del sistema operativo para una correcta detección.  Después tecleamos s y después c para listar los APs según el canal y usar las flechas del teclado para movernos en el programa hasta la red de SSID que nos interese, dirección MAC y canal. Estos son datos que necesitaremos para después. Así que cogemos un papel (vieja escuela) y apuntamos: 
Como ya dije en otro texto sobre como superar DHCP, Kismet no tendrá ningún problema en detectar redes con el SSID oculto o cerrado, no ocurre igual con NetStumbler. Nos falta por último obtener la MAC de un cliente asociado a la red objetivo. Para ello pulsamos q (para salir de los detalles de la red al menú principal de kismet), escogemos de nuevo el AP y pulsamos: shift+C. Esto mostrará un listado de clientes de la red, apuntamos la MAC de uno (aparecen en el lado izquierdo de la pantalla)  Por si acaso apuntamos todas las MACs ya que nuestro cliente podría desconectarse para cuando empecemos el ataque. - Filtrando paquetes con Airodump: Por supuesto tenemos la tarjeta en modo monitor o RFMON. Abrimos una shell o ventana de comandos. 1.-Ponemos la tarjeta en modo monitor: Código:
iwconfig
wlan0 mode monitor
2.-La ponemos a funcionar en el canal del AP: Código:
iwconfig
wlan0 channel NÚMERODECANAL
3.-Vamos al directorio donde queremos que se guarden las capturas: (Podemos también guardarlo directamente en nuestra unidad USB de memoria, o copiarlo y moverlo después) Código:
cd
/ramdisk
4.-Abrimos el Airodump:  5.-Empezamos a capturar paquetes: Código:
airodump
wlan0 archivo
 De esta forma los paquetes se guardarán en el fichero archivo, con la extensión .cap en el directorio ramdisk. Si hay numerosas redes en los alrededores podemos capturar los paquetes de nuestra red objetivo especificando el BSSID del AP. Código:
airodump
wlan0 archivo BSSID
Ahora deberíamos ver como suben el número de IVs, nos interesa que suba lo más rápido posible. Para ello inyectaremos tráfico, pero esta técnica la describiré por separado, por ahora sólo veremos cómo romper el WEP sin florituras. Por supuesto cuanto más tráfico tenga la red, más IVs en menos tiempo. El tráfico de red se generá traspasando archivos, conectándose a internet...  El número de paquetes no tiene porque coincidir con el de IVs, y la cantidad no nos interesa, ya que muchos son beacon frames (marcos baliza) Necesitarás capturar de unos 50.000 a 200,000 IVs para romper una clave WEP de 65 bits y para una de 128 bists, entre 200.000 y 700,000 IVs. - Rompiendo la WEP con Aircrack: Con Airodump grabando IVs en un archivo de captura, podemos hacer correr Aircrack al mismo tiempo y encontrar la clave WEP. Para ello abrimos otra shell sin cerrar la anterior de Airodump. 1.- Nos dirigimos al directorio donde guardaremos los resultados: Código:
cd
/ramdisk
2.- Los flags del Aircrack son los siguientes: Código:
aircrack
-f FUDGEFACTOR -m BSSID -n TAMAÑODELAWEP -q 3 cap*.cap
Fudgefactor: Factor de desviación. Por defecto 2. Tamañodelawep: El tamaño de la clave WEP en bits: 64, 128, 256 ó 512bits. Como ejemplo pongo el siguiente screen:  Es conveniente saber que un valor bajo de fudgefactor tiene menos posibilidades de tener éxito pero será mucho más rápido y viceversa. Mientrás tanto Airodump (incansable como el conejo de Duracell) seguirá capturando paquetes y por tanto más IVs. Presionando la tecla de flecha superior y después intro en la shell de Aircrack se incluirá automáticamente los contenidos actualizados del fichero de captura de Airodump. Tarde o temprano obtendremos la clave:  - Anotaciones: La auditoría inalámbrica y romper el WEP no es una ciencia exacta, y en muchos casos conlleva un factor de azar y suerte. Así en ocasiones se puede romper una clave WEP con menos IVs de los comentados anteriormente, eso sí tardando mucho más tiempo en crackear el archivo.cap Del mismo modo conviene tener un ordenador lo más potente posible para acelerar el proceso. - Grabando capturas en la unidad USB Flash drive: Como he dicho antes, podemos copiar los resultados o archivos cap obtenidos a nuestra unidad USB de memoria persistente. Los comandos serían los siguientes: Si no hemos montado nuestra unidad USB recordar los comandos. Código:
mkdir
/mnt/usb
mount -t vfat /dev/uba1 /mnt/usb Para copiar el archivo a nuestra carpeta usb. Código:
cp
/ramdisk/cap*.cap /mnt/usb
Resulta opcional el desmontar la unidad USB, se haría de la siguiente forma: (El Live-CD se encargará cuando cerremos sesión de desmontarlo de forma segura con este mismo comando, así que no lo recomiendo ya que vamos a estar todo el tiempo abriendo y cerrando. Resulta útil para ahorro de batería en una sesión de wardriving con un portátil) Código:
umount
/mnt/usb
- Videotutorial cracking WEP: Aquí os dejo un videotutorial que posteó Nobalogic y que muestra paso a paso cómo romper WEP con inyección de tráfico cifrado para acelerar la ruptura. Utilizan los mismos programas que describo en el manual, con más profundidad técnica en la configuración. http://whoppix.hackingdefined.com/Whoppix-wepcrack.html 7.- Inyección de tráfico con una sola tarjeta: Antes de nada, explicaré cómo poner la tarjeta en modo monitor, ya que este punto como saben es fundamental para poder realizar una auditoría inalámbrica. Uno de los puntos fuertes de Auditor es que cuenta con una serie de scripts que facilitan a los principiantes la puesta a punto del hardware. ¿Cómo puedo escoger entre usar los controladores HostAP o wlan-ng con mi tarjeta Prism? Abrimos una ventana de comandos y escribimos:
Esta técnica con una sola tarjeta sólo fuciona en chipsets Prism y quizás en Atheros. Citar
Está
descrita en http://forum.remote-exploit.org/viewtopic.php?t=63
por re@lity (Administrador del foro). Me limitaré a traducirla.
--------------------------------------------------------------------------------------------------------------------------------- Así que, aquí tenéis un breve resumen de todo: Abrid una ventana de comandos (shell) y escribid: switch-to-wlanng Después, desconectamos y volvemos a insertar nuestra tarjeta inalámbrica. Encontes escribimos: monitor.wlan wlan0 XX (donde XX es el canal en el que queremos esnifar) Ahora estás usando los controladores wlanng y la tarjeta inalámbrica está en modo monitor. Teclea: airodump -i wlan0 your_filename_here Ahora, Airodump se pondrá en marcha y mostrará los paquetes que está recogiendo y también la cantidad de IVs. Esto será grabado a un archivo, con el nombre que le des. Ahora abrimos otra vetana de comandos y tecleamos: aireplay -i wlan0 Aireplay intentará extraer un paquete válido para reinyectarlo. Cuando lo tenga, te preguntará si quieres usarlo. Simplemente teclea y (de yes) Normalmente, te dirá que lo ha grabado dentro de un archivo, como por ejemplo "XXfilenameXX" Teclea: aireplay -r XXfilenameXX wlan0 Ahora Aireplay lo reinyectará, mostrando cuantas veces por segundo lo está reinyectando. En este momento, verás como la cantidad de IVs que Airodump está recogiendo aumenta a mayor velocidad. Si el paquete grabado en el archivo no es reinyectado con éxito, repite el paso: aireplay -i wlan0 de nuevo hasta que funcione. --------------------------------------------------------------------------------------------------------------------------------- La explicación es sufiente para llevar el ataque a la práctica, pero conviene explicar algunos apartados más detenidamente. - Explicación de Reinyectar tráfico: El atacante está utilizando el modo consola de ambos programas (el modo consola gasta menos batería y se suele utilizar en wardriving con un portátil). Airodump ya lo conocemos en su versión para Windows y aquí funciona del mismo modo, esnifando paquetes y extrayendo IVs para crackear el WEP. Cuanto mayor sea el volumen de tráfico inalámbrico que recopilemos, mayor será la probabilidad de conseguir la clave WEP correcta y se necesitará emplear menos tiempo. Nada impide reinyectar tráfico en la red protegida mediante WEP sin estar siquiera conectado a ella. Esto se debe a que WEP en su implementación original no protege la repetición de tráfico. Así pues la reinyección de tráfico cifrado tiene como propósito acelerar la ruptura de WEP. Lo primero será poner la tarjeta en modo monitor para capturar paquetes y retransmitir aquellos con una determinada comprobación. Los paquetes que se reinyectan son ARP request o ACK de TCP. Las respuestas que estos paquetes deben generar debilitan la criptografía de la red. En Linux otra herramienta además de Aireplay para la inyección de tráfico es WepWedgie. Ambas son herramientas que tienen muchas más posibilidades que la reinyección de tráfico y en este texto de hacking wireless en Linux las interaré explicar. - Generando el ARP request: Como ya se ha dicho, aireplay necesita un ARP request para comenzar a reinyectar tráfico cifrado. ¿de dónde lo saca? ¿Qué es? ARP viene de Address Resolution Protocol. Una definición sencilla extraída de Wikipedia sería: http://es.wikipedia.org/wiki/Portada Citar
Es
un protocolo de nivel de red responsable de encontrar la dirección hardware
(Ethernet MAC) que corresponde a una determinada dirección IP.
El paquete ocurre cuando una máquina desasociada de la red, vuelve a pedir acceso, por lo cual de haber máquinas móviles acabaríamos logrando dar con un paquete, pero ¿y si no las hay? Para generarlos tendremos que forzar a una máquina a salir de la red para que pida permiso de reentrada (generando un ARP request) para ello usaremos Void11 si usamos controladores HostAP o file2air si usamos Atheros. En esto consistirá el próximo apartado. ¿Cómo los reconoce Aireplay? Esta es una pregunta muy común. Este tipo de paquetes tienen una estructura fija simple que nos permite identificarlos fácilmente: su longitud es de 68 bits, y aireplay tiene un filtro para los paquetes con este peso, de no ser ARP al intentar reinyectarlo lo desechará. 5.- Conectando a Internet con Linux: Esta tarde voy a hacer unas pruebas con mi modem interno y con el modem ADSL USB de Telefónica que necesita unos drivers especiales para funcionar. Ya les dejaré información y screen relativos a los que consiga. Soul Lost va a escribir un texto sobre cómo configurar un modem en Auditor, aunque le llevará un tiempo. Por hoy es suficiente. Un saludo
|