Jump to content

Witaj gościu! Zarejestruj się tutaj, aby móc w pełni korzystać z funkcji forum. Zachęcamy Cię również do pisania postów i uczestniczenia w forumowym życiu!

Jeżeli jesteś już użytkownikiem naszego forum, zaloguj się klikając tutaj.

____________________

Twoi Administratorzy :)

Sign in to follow this  
Kixnare

Hacking WiFi.

Recommended Posts

Do tego artykułu zabierałem się jak pies do jeża. Zdaję sobie sprawę z faktu, że tutoriali w sieci traktujących o łamaniu WPA/WPA2 jest bez liku. Jedne są wyśmienite, inne beznadziejne. Postanowiłem jednak dorzucić swoje trzy grosze do tego tematu. Postaram się, aby ten tutorial był przyjazny dla każdego przeciętnego Kowalskiego, który ma podstawową wiedzę z zakresu IT, a jednocześnie nie dość dojrzałą, żeby samemu poradzić sobie z tematem obchodzenia zabezpieczeń WiFi. Użytkownicy biegli w temacie raczej nie znajdą tu żadnych rewolucyjnych informacji, ponieważ do minimum postaram się ograniczyć niezbędną wiedzę potrzebną do pierwszego samodzielnego ataku na sieć bezprzewodową, z zabezpieczeniem WPA/WPA2. Dlaczego skupiam się właśnie na tym rodzaju zabezpieczenia? Ponieważ WEP jest coraz rzadziej spotykane i relatywnie prostsze do obejścia. 

Plan tutorialu:

1
2
3
4
5
6
1.Kilka zdań o funkcjonowaniu WiFi i WPA
2.Potrzebne narzędzia
3.Zbieranie informacji o celu ataku
4.Atak słownikowy oparty o aircrack-ng
5.Atak słownikowy i bruteforce oparty o Hashcat
6.Problemy?<br><br> 
 
1. Kilka zdań o funkcjonowaniu WiFi i WPA

Tytułem wstępu, garść informacji o samym funkcjonowaniu WPA/WPA2. Wspiera on różne metody autoryzacji, ale najpopularniejszą jest metoda pre-shared key (PSK). Ponieważ WEP uchodzi za niewystarczającą metodę szyfrowania, coraz rzadziej można ją spotkać. W przypadku WEP wystarczyło podsłuchać odpowiednią liczbę pakietów i bez problemu wchodziliśmy do tak „zabezpieczonej” sieci. Ba! Zbieranie informacji często dało się przyspieszyć, poprzez generowanie fałszywego ruchu. Potem zostawało już tylko łamanie klucza, do którego nie trzeba było wykorzystywać żadnego słownika.

Jednak w przypadku WPA wygląda to zgoła inaczej. Nieważne jest ile danych podsłuchamy. Interesuje nas tylko pełen handshake wymieniany pomiędzy Access Point’em (AP) a klientem ©, który ma miejsce podczas autoryzacji tego drugiego w sieci ( w dużym uproszczeniu). PSK może mieć długość od 8 do 63 znaków. Dowolnych znaków. Sprawia to, że sieć z odpowiednio dobranym hasłem, która dodatkowo jest odpowiednio zarządzana – jest nie do złamania na dzień dzisiejszy. Nawet przy wykorzystaniu chmury obliczeniowej.

Jak łamiemy WPA? Klasycznie – z wykorzystaniem słownika, lub siłowo odgadując hasła. Ta druga metoda ma wiele wariacji, jednak wszystkie sprowadzają się do tego samego – program szuka hasła, poprzez takie a nie inne generowanie haseł, następnie szyfruje je korzystając z podsłuchanych informacji i sprawdza, czy tak uzyskany hash zgadza się z tym przechwyconym. Czas jest czynnikiem krytycznym w łamaniu WPA. Korzystając z procesora (CPU) sprawdzimy mniej hash’y niż przy wykorzystaniu procesora graficznego (GPU). Dodatkowo jeżeli ktoś użył prostego hasła słownikowego, nasze szanse na powodzenie rosną, jeśli używamy pierwszego rodzaju ataku. Wystarczy wstrzelić się z naszym słownikiem w wyszukiwane hasło. Ludzie ze względu na łatwość zapamiętania generują proste hasła do swoich sieci- spotkałem się z imionami i prostymi kombinacjami. Po prostu nie wyobrażają sobie, że ktoś w swoim słowniku przewidział hasło „mojewifi” czy „12345678” i uznają je za bezpieczne. Nie wspominając już o hasłach domyślnych!

2.Potrzebne Narzędzia

Przed przystąpieniem do pracy musimy oczywiście zgromadzić potrzebne narzędzia! Do zbierania informacji potrzebujemy komputera z kartą bezprzewodową WiFi, oraz sniffer’a który będzie wyłapywał frunące przez eter pakiety. Do tego nie potrzeba demona szybkości. Mały laptop lub netbook wyposażony w kartę wifi z możliwością wstrzykiwania pakietów. Mobilność dodatnio wpływa na nasze operowanie – gdy sygnał który chcemy zmanipulować jest za słaby w miejscu A, zwyczajnie przechodzimy do miejsca B gdzie jest on lepszy. Łamanie hasła łatwiejsze będzie na komputerze stacjonarnym, ponieważ najczęściej są to maszyny szybsze.

Jest wiele możliwości sniff’owania pakietów. Jako ukłon w stronę purystów zaprezentuję zbieranie danych oparte o system przeznaczony do testów penetracyjnych BackTrack i oprogramowanie aircrack. Najnowsza wersja Backtracka ma numer 5R2, jednak większość zawartych tu informacji jest zgodna dla wszystkich jego wersji. Jeżeli czytasz ten tutorial to zapewne nie posiadasz na swoim komputerze zainstalowanego BackTracka. Musisz wiedzieć że masz trzy możliwości: - zainstalować go jako osobny system na swoim komputerze - wypalić go jako LiveCD na płytę - stworzyć boot’owalny pendrive działający na podobnej zasadzie jak LiveCD

Niniejszy artykuł opiera się o wersję zainstalowaną na zwykłym pendrive, ale działającą jak LiveCD, bez możliwości zapisywania zmian na stałe (czytaj: po resecie żadne zmiany w takim systemie nie będą zapisane). Dlaczego właśnie tak? Ponieważ wiele netbook’ów nie posiada czytnika CD, a wielu użytkowników ma problem w przypadku korzystania z nowych wersji BackTracka z instalcją na USB typu persistent (błędy I/O, powolne działanie, etc).

0zassanie.png

Zaczynamy! Ściągamy obraz płyty BackTrack 5 R2 z tej strony. Ja wybrałem wersję KDE 32 bitową, ze względu na to, że do zbierania pakietów wykorzystam relatywnie starą maszynę nie wspierającą x64. Teraz musimy stworzyć bootowalny USB. Jest wieeeele sposobów prawidłowego wykonania tego kroku. W tym przykładzie – aby maksymalnie uprościć działania, posłużyłem się do tego programem YUMI, który ściągniemy ze strony pendrivelinux.com

1
2
3
4
5
6
7
1. Podłącz swój nośnik USB do komputera (NIE mniejszy niż 2GB!)
2. Odpalamy YUMI I klikamy “I agree”
3. W Step 1 wybieramy literę naszego pendrive’a
4. W Step 2 jako dystrybucję wybieramy **BackTrack**
5. W Step 3 wskazujemy miejsce do którego ściągnęliśmy obraz płyty
6. Zaznaczamy opcję „Format” i klikamy „Create”
7. Po zakończeniu instalacji, możemy zresetować komputer i odpalić backtrack’a
 

1yumi.png

3.Zbieranie informacji

W celu odpalenia naszego Backtracka musimy w BIOS mieć włączoną obsługę USB i ewentualnie zmienić kolejność boot’owania tak, żeby pendrive był wybierany jako pierwszy. Yumi przywita nas sympatycznym menu z pingwinem, w którym, odszukujemy Backtracka i potwierdzamy wybór enterem. Następnie wybieramy „BackTrack Text – Default Text mode”. W pewnym momencie zobaczymy znak zachęty za root@root~#: Wystarczy wpisać startx żeby odpalić interfejs graficzny. Naszym oczom powinien ukazać się czysty pulpit podobny do tego z obrazka.

2backtrackopalenie.png

Odpalamy konsolę (terminal). Dla niezorientowanych: To ta mała czarna ikona w lewym dolnym rogu :P Wpisujemy

1
airmon-ng
 

3airmonng.png

Wyświetli nam się lista dostępnych urządzeń WiFi – Interface, Chipset i Driver . Musimy ustawić naszą kartę w tryb monitor mode. W tym celu najpierw musimy ją zatrzymać komendą

1
airmon-ng stop nasz_interface
 

W moim przypadku było to airmon-ng stop wlan0.

4airmonng.png

Teraz komenda

1
airmon-ng start wlan0 1
 

powinna ustawić nasz interface na nasłuchiwanie na na kanale 1. Tak jak w przykładzie dążymy do uzyskania informacji monitor mode enabled on mon0

 5airmonng.png

Jeżeli wszystko poszło zgodnie z planem, zacznijmy od sprawdzenia jakie sieci mamy dostępne w pobliżu poleceniem

1
airodump-ng mon0
 

Ja dostałem całkiem pokaźną listę. Patrząc na nią oceniłem, że parametry PWR i DATA rekomendują sieć o ESSID„cojapacze” jako potencjalny cel. PWR mówi o sygnale, natomiast DATA o ilości danych jakie zostały przechwycone. Oczywiście jest to sieć stworzona na potrzeby tego artykułu, tak więc miałem pełne prawo do testowania jej zabezpieczeń. Pamiętajmy, że próby obejścia zabezpieczenia sieci WiFi bez wiedzy i zgody jej właściciela, jest łamaniem prawa obowiązującego w Polsce!

 6airodump.png

Cel obrany, trzeba teraz z tego całego rozgardiaszu przefiltrować interesujące nas rzeczy. W przykładzie widzimy że BSSID naszej sieci to „cojapacze”, nadaje ona na kanele 11 i jest zabezpieczona WPA2. Tak więc ograniczam nasłuch do tego kanału i tego jednego BSSID poleceniem:

1
airodump-ng -c 11 -w naszdump --bssid 00:1A:92:7E:60:DA --encrypt WPA2 mon0
 

Efekt powinien być podobny do tego jak na obrazku. Opcja „-w naszdump” powoduje zapis wszystkich przechwyconych pakietów sieci „cojapacze” do pliku o nazwie „naszdump-01.cap”.

7airodump.png

Żeby przechwycić handshake, potrzebni są użytkownicy. U mnie było dwóch aktywnych użytkowników. Miałem do wyboru: czekać aż przyjdzie kolejny, lub któryś z aktualnych zresetuje swoje połączenie. Wybrałem trzecią opcję i rozłączyłem jednego z użytkowników wywołując w innym oknie terminala polecenie

1
aireplay-ng -0 1 –a tutaj_BSSID –c tutaj_station_mac mon0
 

Efektem było uzyskanie informacji o przechwyceniu handshake. Teraz mogłem już przerwać zbieranie pakietów – uzyskałem materiał do łamania.

8aireplay.png

Należało jeszcze sprawdzić czy handshake faktycznie został zapisany do naszego dump’a.

1
aircrack-ng –c naszdump-01.cap
 

Na screenie widać że operacja się powiodła.

9aircrack.png

4.Atak słownikowy w oparciu o Aircrack

Mamy handshake – co dalej? Jeżeli nie zależy nam na prędkości możemy wykorzystać kolejną komendę do ataku słownikowego

1
aircrack-ng naszdump-01.cap –w nazwa_słownia.txt
 

Ja miałem wcześniej przygotowany niewielki 30MB słowniczek w którym znajdowało się moje hasło. Jak widzimy na zrzucie ekranu hasło jest tylko 8 znakowe – „test1234”. Prędkość sprawdzania kluczy jest niewielka – jedynie 741 kluczy/sekundę. Prędkość ta zależy tylko od CPU. Ponieważ słownik był niewielki, a hasło na jego pierwszych stronicach – całość poszła sprawnie. Ale trudności pojawiają się wtedy, gdy mamy słownik o rozmiarach GB lub gdy wolimy metodę siłową znajdywania hasła.

10aircracklamanieslowni.png

5. Ataki w oparciu o Hashcat (HC)

Aircrack-ng obsługuje jedynie metodę słownikową dla łamania WPA. Dużo efektywniej jest wykorzystać do tego nowoczesny GPU. W moim przypadku skok jakościowy był znaczny – dla tego samego słownika prędkość wzrosła do 21049 c/s! Zanim jednak przejdziemy do omówienia działania Hashcat’a należy prze-konwertować nasz dump. Użytkownicy którzy tak jak ja posiadają w pełni zaktualizowanego Backtracka, zainstalowanego na swoich dyskach twardych mogą to zrobić za pomocą komendy

1
aircrack-ng naszdump-01.cap –J naszdumpHC
 

Otrzymują w ten sposób plik o rozszerzeniu *.hccap który jest obsługiwany przez HC.

11aircrackdohccap_1.png

Ci którzy używają LiveCD lub LiveUSB muszą wykorzystać do tego celu skrypt do pobrania stąd.

1
2
3
4
5
1. Ściągamy plik Script_it.sh i zapisujemy go na pulpicie
2. W tym samym miejscu tworzymy dwa foldery o nazwach „A” oraz „B”
3. Do „A” wrzucamy pliki *.cap które posiadają przechwycony przez nas handshake.
4. Zmieniamy atrybuty pliku skryptu poleceniem **chmod a+x Script_it.sh**
5. Odpalamy nasz skrypt **./Script**
 

12scriptit1.png

Gdy Script_it.sh zakończy pracę w folderze B znajdziemy 5 pod folderów:.

1
2
3
4
5
BadCaps - zawiera niepoprawne pakiety.
CleanCaps – Zawiera poprawne pakiety pozbawione zbędnych śmieci.
HCCaps – Tak jak wyżej z tym wyjątkiem, że pliki zamiast rozszerzenia *.cap mają rozszerzenie *.hccap których będziemy używać z
OriginalCaps – Zawiera całość pakietów z folderu A.
UniqueCaps – Zawiera pakiety przefiltrowane według nazwy.
 

Teraz możemy zabrać się za hascat’a. Co prawda Backtrack w najnowszej wersji ma zaimplementowane to narzędzie, jednak ja pokażę jak zainstalować i użyć go w systemie Windows. Ściągamy program z oficjalnej strony Wypakowujemy i instalujemy. W przykładzie korzystam z systemu 32bit tak więc korzystając z linii komend będę uruchamiał oclHashcat-plus32.exe

Do tego samego folderu co nasz program zgrywam słownik oraz plik z handshake. Odpalam atak słownikowy na WPA/WPA2 komendą

1
oclHashcat-plus32 –m 2500 naszdumpHC.hccap wpa2.txt
 

gdzie wp2.txt to nazwa słownika. Jak widzimy na zamieszczonym zrzucie ekranowy, prędkość dictionary attack jest dużo wyższa niż ta z aircrack’a.

13hashcatslownikowe.png

No dobrze, ale co zrobić jeśli nie mam słownika? Po pierwsze można poszperać w Internecie w poszukiwaniu takowych. Możemy też stworzyć własny! Albo porzucić atak słownikowy, na rzecz metody siłowej. Składnia będzie podobna:

1
oclHashcat-plus32 –m 2500 –a 3 naszdumpHC.hccap ?l?l?l?l?d?d?d?d
 

gdzie –a 3 wskazuje że atak będzie siłowy, a ?l?l?l?l?d?d?d?d definiuje poszukiwane hasło jako ciąg czterech małych liter (?l – zbiór małych liter od a do z bez znaków narodowych) i czterech liczb (?d – zbiór liczb o 0 do 9). Takie łamanie 8 literowego hasła na mojej karcie graficznej, zostało estymowane na nieco ponad dwa dni pracy. Ponieważ mam uszkodzoną kartę graficzną muszę pominąć zaprezentowanie wyników tego procesu.

14hashcatbrute.png

Hashcat jest bardzo dobrym narzędziem, łamiącym nie tylko WPA/WPA2. Jeżeli czujesz niedosyt po tym artykule – to bardzo dobrze! Zachęcam do czytania manuala i Wiki poświęcone hashcatowi! Dowiecie się z nich jak między innymi jak wykonywać ataki kombinowane, czy jak zmienić workload. Dla leniwych powstał nawet GUI obsługujący naszego kotka.

6. Najczęstsze problemy

Jeżeli masz jakieś problemy z przechwyceniem handsake podczas sniffowania:

  • upewnij się że karta sieciowa pracuje w trybie „monitor mode”!
upewnij się że twoja karta sieciowa działa w tym samym trybie co klient/access point, którego komunikację próbujesz przechwycić. Jeżeli AP pracuje w trybie G, karta sieciowa nie może pracować w trybie B. -upewnij się że nasłuchujesz na właściwym kanale(w przykładzie był to kanał 11 ustawiany poprzez
-c 11
)
upewnij się że w tle nie działa żaden program do zarządzania połączeniami sieciowymi
możliwe że znajdujesz się zbyt daleko od źródła sygnału żeby móc przechwycić handshake. Spróbuj podejść bliżej w celu poprawy sygnału odbieranego (spadek liczby przy parametrze PWR)
jak na ironie jeżeli jesteś zbyt blisko AP też możesz mieć problem z przechwyceniem nieuszkodzonego handshake (czytaj: odsuń laptopa od AP przynajmniej na 3 metry)
Wysyłasz pakiety deautoryzacyjne, ale nic to nie daje? Upewnij się że poprawnie wpisałeś BSSID i stadion MAC. Nadal nic? No to jesteś za daleko i klient zwyczajnie Cię nie słyszy. Albo nie pracujesz w monitor mode! !

Jeżeli korzystasz masz zainstalowany Backtrack na HDD, korzystasz z aircrack-ng i nie widzisz wśród jego opcji -J musisz zaktualizować swoje narzędzia. Zaczynamy od wywołania kolejno komend:

1
2
apt-get remove aircrack-ng
apt-get install air crack-ng
 

Teraz możemy zautomatyzować proces update poprzez ściągnięcie odpowiedniego skryptu z tej strony Zmianiamy mu atrybuty poleceniem chmod a+x backtrack5_update.py i następnie odpalamy ./backtrack5_update.py Teraz zostaje już wybór opcji nr3 a potem nr 1 i zatwierdzamy enterem.

15adpkt6update.png

Uważam że przytoczyłem wszystkie podstawowe informacje i wyjaśniłem pospolite problemy. Starałem się użyć prostego i przejrzystego języka. Jeśli mimo to czegoś nie rozumiesz - przeczytaj tutorial jeszcze raz. Odradzam wybiórcze skakanie po tekście! Życzę udanego łamania!

 

 

 

 

Źródło: hacking.pl       PORADNIK NIE JEST MÓJ. :)

  • Like 3

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

Prosimy o akceptacje Regulaminu Forum Guidelines