04-08-2013, 22:43
Mål:At få fat i en WEP PSK fra et kørende AP, med klienter logget på.
Dette er testet fra en Kali boks, men kan udføres fra alle *nix med de rette værktøjer installeret.
Jeg går ud fra, vi har et funktionelt WLAN0 interface. Altså et Interface til et wireless kort.
Det første vi gør, er at lave et interface som kan køre i promiscuous mode. Det gøres med følgende kommando:
"airmon-ng start wlan0"
Så kan du med "iwconfig" kontrollere at du nu har fået et mon0 interface.
For at se hvilke APs der er tilgængelig, laver vi først et dump uden filtre.
"airodump-ng mon0"
Dette vil vise hvilke APs der er tilgængelige. Lad den køre i et minuts tid, så du får det hele med, inden du afbryder den med CTRL^C.
Lad os sige, vi ønsker at cracke et ap med et BSSID 00:0C:F6:21:79:5B, på channel 11, så se i dumpet, hvilken ID og channel dette kører.
Normalt vil man bruge ESSIDet, men det kan være skjult. Noter også hvilke klienter der er assoceret med dette AP. Det er dem der står under STATION.
Det skal vi nemlig bruge senere. Vi går i dette eksempel ud fra, vi har en klient med mac adressen "00:26:5E:E7:B7:9D" associeret med dette AP.
Så giver vi følgende kommando:
"airodump-ng -w file -c 11 -a --bssid 00:0C:F6:21:79:5B mon0"
Det er den samme som tidligere, bare med nogle ekstra parametre på. "-w file" fortæller at den skal dumpe det den samler op, i en fil som hedder "file-01-cap".
Airodump sætter selv "-01.cap" på. Køres den igen, vil den sætte "-02.cap" på filnavnet osv.
Argumentet "-c 11" gør at den kun vil samle data op fra channel 11. Du vil fra tid til anden, kunne se andre kanaler alligevel, men det er på grund af det overlap der er på de 11 kanaler.
"-a --bssid 00:0C:F6:21:79:5B" er mac adressen på det AP vi gerne vil cracke. Og "mon0" er selvfølgelig det interface vi lytter på.
obs: Airodump-ng laver en del forskellige filer, men det er kun .cap vi skal bruge.
Dette vil stå og køre i meget lang tid. Det der er interessant er den kollone som hedder "#data", da disse pakker indeholder IVs.
Det er dem vi gerne vil samle så mange af som muligt. Gerne nogle tusinde.
Hvis den eller de klienter, der er logget på dette AP, ikke rigtig danner noget traffik, kan vi hjælpe dem lidt på vej.
Vi prøver at lave et DeAuth attack, som beder associerede klienter om at authe igen. Så vil de nemlig danne traffik som indeholder IVs.
Dette har også den fordel, at et eventuelt skjult ESSID vil blive sendt over netværket, og samlet op af airodump-ng.
Lad Airodump-ng køre, åbn et nyt terminal vindue. og skriv følgende:
"aireplay-ng --deauth 0 -a 00:0C:F6:21:79:5B -c 00:26:5E:E7:B7:9D mon0"
Aireplay-ng kan sende en del forskellige pakker. I dette tilfælde bruger vi "--deauth 0" som beder klienterne om at identificere sig igen, mod det AP vi angrier, og derved danner noget brugbart traffik til os. "0" fortæller bare hvor mange deauths vi ønsker at sende. 0 er uendelig mange.
"-a 00:0C:F6:21:79:5B" angiver hvilket AP vi vil ramme og "-c 00:26:5E:E7:B7:9D" er en af de associerede klienter, vi fandt tidligere.
Og igen har vi "mon0" på, som er det interface vi bruger til at lytte og sende med.
Nu burde du kunne se #data colonnen samle datapakker op. Når du har samlet en 5-6.000 pakker, kan vi prøve at cracke det vi har.
OBS: Vi har på nuværende tidspunkt både airodump-ng og aireplay-ng kørende.
Åbn et 3. terminal vindue og skriv "ls". Så vi du kunne se at er er en "file-01.cap" fil. Det bliver stadig fyldt i denne fil, så længe airodump-ng kører, men derfor kan vi godt forsøge at cracke med de data vi allerede har samlet.
Nu vi ved, hvad filen hedder, kan vi starte med at cracke.
Skriv følgende kommando:
"aircrack-ng -a wep -b 00:0C:F6:21:79:5B file-01.cap"
Denne kommando vil forsøge at gætte den WEP key, der bliver brugt. Værktøjet kan også cracke WPA/WPA2, så vi angiver med "-a wep", at det er WEP vi er i gang med.
Så angiver vi APets ID med "-b 00:0C:F6:21:79:5B". Dette gør vi, fordi vi kunne have samlet data op til flere APs, end det ene vi arbejder på.
Og så angiver vi selvfølgelig filen, vi dumper data i.
Så er det bare at vente. Hvis aircrack-ng fejler, så kør den igen, når airodump-ng har samlet flere data. Den kører jo stadig.
Ja, det blev så en tekst guide. Jeg forsøgte at lave en video, men min VM taber mit trådløse USB kort, når det har kørt i noget tid.
Spørg hvis der er noget.
Tools:
airmon-ng -Air*tools Alle disse tools, er en "pakke", som indeholder alle nedenstående.
airodump-ng
Aireplay-ng
aircrack-ng
Mere:
Hvis man ønsker at forbinde med den nyanskaffede key, og APet kun tillader bestemte MAC adresser at logge på, kan vi snyde APet lidt.
Vi har allerede en MAC adresse fra den associerede klient, som jo må være gyldig.
Vi stopper vores wireless interface, skifter mac adressen, og starter interfacet igen.
"ifconfig wlan0 down
macchanger --mac 00:26:5E:E7:B7:9D wlan0
ifconfig wlan0 up"
Dette er testet fra en Kali boks, men kan udføres fra alle *nix med de rette værktøjer installeret.
Jeg går ud fra, vi har et funktionelt WLAN0 interface. Altså et Interface til et wireless kort.
Det første vi gør, er at lave et interface som kan køre i promiscuous mode. Det gøres med følgende kommando:
"airmon-ng start wlan0"
Så kan du med "iwconfig" kontrollere at du nu har fået et mon0 interface.
For at se hvilke APs der er tilgængelig, laver vi først et dump uden filtre.
"airodump-ng mon0"
Dette vil vise hvilke APs der er tilgængelige. Lad den køre i et minuts tid, så du får det hele med, inden du afbryder den med CTRL^C.
Lad os sige, vi ønsker at cracke et ap med et BSSID 00:0C:F6:21:79:5B, på channel 11, så se i dumpet, hvilken ID og channel dette kører.
Normalt vil man bruge ESSIDet, men det kan være skjult. Noter også hvilke klienter der er assoceret med dette AP. Det er dem der står under STATION.
Det skal vi nemlig bruge senere. Vi går i dette eksempel ud fra, vi har en klient med mac adressen "00:26:5E:E7:B7:9D" associeret med dette AP.
Så giver vi følgende kommando:
"airodump-ng -w file -c 11 -a --bssid 00:0C:F6:21:79:5B mon0"
Det er den samme som tidligere, bare med nogle ekstra parametre på. "-w file" fortæller at den skal dumpe det den samler op, i en fil som hedder "file-01-cap".
Airodump sætter selv "-01.cap" på. Køres den igen, vil den sætte "-02.cap" på filnavnet osv.
Argumentet "-c 11" gør at den kun vil samle data op fra channel 11. Du vil fra tid til anden, kunne se andre kanaler alligevel, men det er på grund af det overlap der er på de 11 kanaler.
"-a --bssid 00:0C:F6:21:79:5B" er mac adressen på det AP vi gerne vil cracke. Og "mon0" er selvfølgelig det interface vi lytter på.
obs: Airodump-ng laver en del forskellige filer, men det er kun .cap vi skal bruge.
Dette vil stå og køre i meget lang tid. Det der er interessant er den kollone som hedder "#data", da disse pakker indeholder IVs.
Det er dem vi gerne vil samle så mange af som muligt. Gerne nogle tusinde.
Hvis den eller de klienter, der er logget på dette AP, ikke rigtig danner noget traffik, kan vi hjælpe dem lidt på vej.
Vi prøver at lave et DeAuth attack, som beder associerede klienter om at authe igen. Så vil de nemlig danne traffik som indeholder IVs.
Dette har også den fordel, at et eventuelt skjult ESSID vil blive sendt over netværket, og samlet op af airodump-ng.
Lad Airodump-ng køre, åbn et nyt terminal vindue. og skriv følgende:
"aireplay-ng --deauth 0 -a 00:0C:F6:21:79:5B -c 00:26:5E:E7:B7:9D mon0"
Aireplay-ng kan sende en del forskellige pakker. I dette tilfælde bruger vi "--deauth 0" som beder klienterne om at identificere sig igen, mod det AP vi angrier, og derved danner noget brugbart traffik til os. "0" fortæller bare hvor mange deauths vi ønsker at sende. 0 er uendelig mange.
"-a 00:0C:F6:21:79:5B" angiver hvilket AP vi vil ramme og "-c 00:26:5E:E7:B7:9D" er en af de associerede klienter, vi fandt tidligere.
Og igen har vi "mon0" på, som er det interface vi bruger til at lytte og sende med.
Nu burde du kunne se #data colonnen samle datapakker op. Når du har samlet en 5-6.000 pakker, kan vi prøve at cracke det vi har.
OBS: Vi har på nuværende tidspunkt både airodump-ng og aireplay-ng kørende.
Åbn et 3. terminal vindue og skriv "ls". Så vi du kunne se at er er en "file-01.cap" fil. Det bliver stadig fyldt i denne fil, så længe airodump-ng kører, men derfor kan vi godt forsøge at cracke med de data vi allerede har samlet.
Nu vi ved, hvad filen hedder, kan vi starte med at cracke.
Skriv følgende kommando:
"aircrack-ng -a wep -b 00:0C:F6:21:79:5B file-01.cap"
Denne kommando vil forsøge at gætte den WEP key, der bliver brugt. Værktøjet kan også cracke WPA/WPA2, så vi angiver med "-a wep", at det er WEP vi er i gang med.
Så angiver vi APets ID med "-b 00:0C:F6:21:79:5B". Dette gør vi, fordi vi kunne have samlet data op til flere APs, end det ene vi arbejder på.
Og så angiver vi selvfølgelig filen, vi dumper data i.
Så er det bare at vente. Hvis aircrack-ng fejler, så kør den igen, når airodump-ng har samlet flere data. Den kører jo stadig.
Ja, det blev så en tekst guide. Jeg forsøgte at lave en video, men min VM taber mit trådløse USB kort, når det har kørt i noget tid.
Spørg hvis der er noget.
Tools:
airmon-ng -Air*tools Alle disse tools, er en "pakke", som indeholder alle nedenstående.
airodump-ng
Aireplay-ng
aircrack-ng
Mere:
Hvis man ønsker at forbinde med den nyanskaffede key, og APet kun tillader bestemte MAC adresser at logge på, kan vi snyde APet lidt.
Vi har allerede en MAC adresse fra den associerede klient, som jo må være gyldig.
Vi stopper vores wireless interface, skifter mac adressen, og starter interfacet igen.
"ifconfig wlan0 down
macchanger --mac 00:26:5E:E7:B7:9D wlan0
ifconfig wlan0 up"