En anteriores artículos hablamos sobre la teoría de la inyección de paquetes, de los posibles ataques y de los conceptos tanto básicos como avanzados para entender la inyección de paquetes en redes wifi. Ahora ha llegado la hora de pasar a la práctica con Commview for wifi.
Para empezar estableceremos unos convenios de unos alias que nos faciliten el nombrar las redes y la comprensión del artículo.
Mi punto de acceso lo he definido como “MIap” y la tarjeta cliente como “mi54g”. Ademas trabajaremos en el canal 1 y el nombre del AP es “Policía” (ESSID). Tambien he considerado que en todo momento el AP del router está configurado con un ESSID oculto.
El tipo de encriptación dependerá del tipo de ataque que estemos llevando a cabo. Por ejemplo si es pura inyección de tráfico será únicamente para encriptación WEP, si hablamos de desautentificación podrá ser aplicada en WEP y WPA y en último lugar si hablamos de desautentificación pero con el único objetivo de obtener el handshake estamos hablando de encriptación WPA.
Primer paso, creando los alias.
Para trabajar de forma más cómoda sin tener que recordar los valores hexadecimales de direcciones MAC, el programa nos permite asignar alias con el botón derecho del ratón. Mirar las siguientes capturas que explican el proceso.
Paso 1:
Paso 2:
Paso 3:
A continuación explicaremos cómo efectuar el ataque de desautentificación de clientes.
Cómo siempre ponemos la aplicación en modo de captura de datos, con el botón “Play”. Despues nos dirigimos al menú “Herramientas” y seleccionamos de la lista “Reasociación de nodo”, mostrando una ventana similar a la siguiente:
En la lista que aparece debajo de la etiqueta “Enviar una solicitud de desautorización desde esta AP:” seleccionamos (en nuestro caso) “Mlap” y en la ventana “Direcciones de Clientes” seleccionamos “mi54g”, por eso creamos antes estos alias, para que ahora nos sea más fácil identificarlos. A continuación establecemos el número e intervalo de los paquetes a enviar. Hay que aclarar que enviar un unió paquete debería ser suficiente.
El programa también nos permite enviar una desautentificación masiva a todos los clientes seleccionando “Enviar a todos los clientes”. Para finalizar pulsamos el botón “Enviar Ahora” y ya está todo listo. Realizando este ataque de desautentificación, ocurrirán una serie de cosas muy interesantes que comentaremos a continuación en el proceso de obtención del handshake sobre encriptación WPA-PSK.
Para empezar el proceso de obtención del handshake en un nodo WPA lo primero es configurar el programa para que ignore las balizas (beacons) y capture sólo los paquetes, esto lo hacemos tal y como se muestra en la siguiente imagen:
Sólo nos queda iniciar la captura de paquetes con el botón “Play” y ejecutar la desautentificación tal y como la hemos explicado anteriormente y nos habremos hecho con el handshake. Para guardar el handshake lo mejor es tener habilitado el modo de grabación automático y realizar varias veces la desautentificación, pero si estuviese desactivado solo hay que ir a la ventana “Paquetes” y guardar los datos de forma manual.
Por último vais al “Visor de Registro”, realizáis la conversión de datos a formato tcpdump como ya se explico en anteriores tutoriales y podréis obtener el famoso handshake para realizar ataques por fuerza bruta.
Y para finalizar explicaremos cómo obtener el ESSID oculto de un nodo. Esto se realiza otra vez empleando el ataque de desautentificación, pero seleccionando las opciones que se muestran en la siguiente imagen:
Ejecutamos el ataque de desautentificación y en la pestaña “paquetes” podemos observar el primer mensaje “MNGT/PROBE RESP” , hacemos click en el y se nos muestra en la ventana inferior el nombre del ESSID. Ver la siguiente imagen para comprenderlo mejor:
