[Relase] Guida AirCrack per BackTrack 5 (o Linux ) - Versione stampabile +- BorderGame (https://www.bordergame.it) +-- Forum: Console e Tecnologia (/Forum-Console-e-Tecnologia) +--- Forum: Hacking (/Forum-Hacking) +--- Discussione: [Relase] Guida AirCrack per BackTrack 5 (o Linux ) (/Thread-Relase-Guida-AirCrack-per-BackTrack-5-o-Linux)

[Relase] Guida AirCrack per BackTrack 5 (o Linux ) - iCloud - 12-04-2013 04:26 PM INTRODUZIONE Questa guida vi accompagna nel cracking delle reti WPA/WPA2, che utilizzano chiavi pre-condivise. Si raccomanda di svolgere delle letture sul tema per meglio capire cos’è il WPA/WPA2. La pagina dei links del wiki ha una sezione sul wpa/wpa2. Il miglior documento per descrivere la WPA è Wi-fi Security – WEP, WPA and WPA2. Ecco il link al download diretto del PDF. L’Approfondimento sulla Cattura dei Pacchetti WPA/WPA2 completa questa guida. l WPA/WPA2 supporta molti tipi di autenticazione oltre alle chiavi pre-condivise.aircrack-ng può SOLO craccare le chiavi pre-condivise. Così assicuratevi che airodump-ng mostri che la rete abbia un’autenticazione di tipo PSK, altrimenti non perdete tempo nel provare a craccarla. C’è un’altra differenza importante tra il craccare il WPA/WPA2 ed il WEP. Questo è l’approccio utilizzato per craccare la chiave pre-condivisa WPA/WPA2. A differenza del WEP, dove si possono utilizzare metodi statistici per velocizzare il processo di cracking, si possono solo utilizzare attacchi prettamente brute force contro il WPA/WPA2. Non si può velocizzare l’attacco, non essendo la chiave statica come quando si raccolgono gli IV al momento del cracking di una crittazione WEP. La sola fonte che offre le informazioni per avviare un attacco è la stretta di mano ( "handshake" ) tra il client e l’AP. L’handshaking viene effettuato quando il client si connette alla rete. Sebbene non sia vero in termini assoluti, consideratelo come tale ai fini di questa guida. Dato che la chiave pre-condivisa può essere lunga da 8 a 13 caratteri, diventa effettivamente impossibile craccare la chiave pre-condivisa. L’unico momento in cui potete craccare la chiave pre-caricata è se si tratta di una parola di dizionario o se sia di lunghezza relativamente breve. Specularmente, se volete avere una rete wireless domestica a prova di bomba, utilizzate il WPA/WPA2 ed una password composta di 63 caratteri randomici, simboli speciali inclusi. L’impatto di dover utilizzare un approccio brute force è notevole. Siccome richiede una computazione altamente intensiva potete testare solo da 50 a 300 possibili chiavi al secondo, a seconda della CPU del computer. Può richiedere ore, se non giorni, per macinare un ampio dizionario. Se state pensado di generare la vostra lista personale di password per coprire tutte le permutazioni e le combinazioni di caratteri e simboli speciali, consultate questo calcolatore di tempo brute force. Vi sorprenderete di quanto tempo ci voglia. Non vi sono differenze tra craccare una rete WPA od una WPA2. La metodologia di autenticazione tra loro è praticamente la stessa. Così le tecniche da utilizzare sono identiche. E’ consigliato fare delle prove con il vostro access point wireless domestico per familiarizzare con queste idee e tecniche. Se non possedete un dato access point, badate a chiedere il permesso al proprietario prima di smanettarci. Vorrei segnalare e ringraziare l’Aircrack-ng team per aver prodotto uno strumento così ben robusto. Per favore, inviatemi ogni critica costruttiva, positiva o negativa. Ulteriori idee e consigli riguardo alla risoluzione dei problemi sono in particolar modo ben accetti. PRESUPPOSTI Per cominciare, questa trattazione presume: - Che stiate utilizzando driver patchati per l’iniezione. Utilizzate il test d’iniezione per confermare la capacità della vostra scheda di iniettare. - Che siate fisicamente abbastanza vicini per inviare e ricevere i pacchetti dell’access point e del client wireless. Ricordatevi che il ricevere pacchetti da loro non significa che potreste essere in grado di trasmettergliene. La forza della scheda wireless è di solito minore della forza dell’AP. Così dovrete essere fisicamente abbastanza vicini per permettere ai pacchetti che trasmettete di raggiungere ed essere ricevuti sia dall’AP che dal client wireless. Dovreste confermare di poter comunicare con l’AP specifico seguendo queste istruzioni. - Che stiate utilizzando la versione 0.9 di aircrack-ng. Se state utilizzando un’altra versione, alcune delle opzioni di comando potrebbero dover essere modificate. Accertatevi che tutte le presupposizioni qui sopra siano rispettate, in caso contrario le istruzioni che seguono saranno vane. Negli esempi sottostanti, avrete bisogno di cambiare "ath0" nel nome dell’interfaccia specifico della vostra scheda wireless. Negli esempi, l’opzione "trattino doppio, bssid" viene mostrata come "–bssid". Ricordatevi di rimuovere lo spazio tra i due trattini quando la utilizzate sul terminale. Ciò vale anche per "–ivs", "–arpreplay","–deauth","–channel","–arp" e "–fakeauth". EQUIPAGGIAMENTO UTILIZZATO Per seguire questo tutorial a casa, dovete avere due schede wireless. Ecco ciò che è stato utilizzato in questo tutorial: - l’indirizzo MAC del PC che esegue la suite aircrack: 00:0F:B5:88:AC:82 - l’indirizzo MAC del client wireless che utilizza il WPA2: 00:0F:B5:FD:FB:C2 - BSSID (indirizzo MAC dell’access point): 00:14:6C:7E:40:80 - ESSID (nome della rete wireless): teddy - Canale dell’access point: 9 - Interfaccia wireless: ath0 Dovreste raccogliere le specifiche equivalenti per la rete su cui lavorerete. Quindi cambiate semplicemente i valori negli esempi qui sotto in quelli della vostra specifica rete. PROCEDURA Panorama della procedura L’obiettivo è quello di catturare l’handshake di autenticazione WPA/WPA2, e quindi utilizzare aircrack-ng per craccare la chiave pre-condivisa. Si può fare attivamente o passivamente."Attivamente" significa che accelererete il processo deautenticando un client wireless esistente. "Passivamente" significa che aspetterete semplicemente che un client wireless si autentichi sulla rete WPA/WPA2. Il vantaggio della modalità passiva è che non vi occorre un’effettiva capacità d’iniezione, perciò è possibile usare anche la versione di aircrack-ng per Windows. Ecco i passaggi basilari che attraverseremo: 1. Avviare l’interfaccia wireless in monitor mode sullo specifico canale dell’AP 2. Avviare airodump-ng sul canale dell’AP con il filtro per il bssid per raccogliere l’handshake di autenticazione 3. Utilizzare aireplay-ng per deautenticare il client wireless 4. Eseguire aircrack-ng per craccare la chiave pre-condivisa utilizzando l’handshake di autenticazione. PASSO 1 – AVVIATE L’INTERFACCIA WIRELESS IN MONITOR MODE Lo scopo di questo passaggio è di mettere la vostra scheda in quello che viene chiamato monitor mode. Il monitor mode è la modalità in cui la vostra scheda può intercettare ogni pacchetto nell’etere. Normalmente, la vostra scheda "ascolta" solo i pacchetti inviati a voi. Intercettando ogni pacchetto, possiamo in seguito catturare l’handshake WPA/WPA2. Inoltre, ci permetterà opzionalmente di deautenticare un client wireless in un passaggio successivo. Per prima cosa fermate ath0 digitando: ________________________________ airmon-ng stop ath0 ________________________________ Il sistema risponde: _________________________________________________________________ Interface Chipset Driver wifi0 Atheros madwifi-ng ath0 Atheros madwifi-ng VAP (parent: wifi0) (VAP destroyed) _______________________________________________________________________________ Digitate "iwconfig" per assicurarvi che non ci siano altre interfacce athX. Dovrebbe apparire simile a questo: _____________________________________________________ lo no wireless extensions. eth0 no wireless extensions. wifi0 no wireless extensions. ______________________________________________________ Se ci sono altre residue interfacce athX, fermate ciascuna di esse. Quando avete finito, eseguite "iwconfig" per assicurarvi che non ne sia rimasta nessuna. Ora, immettete il seguente comando per avviare la scheda wireless sul canale 9 in monitor mode: _________________________________ airmon-ng start wifi0 9 _________________________________ Nota: in questo comando utilizziamo "wifi0" invece della nostra interfaccia wireless di "ath0". Questo perché utilizziamo i driver madwifi-ng. Il sistema risponderà: _____________________________________________________________ Interface Chipset Driver wifi0 Atheros madwifi-ng ath0 Atheros madwifi-ng VAP (parent: wifi0) (monitor mode enabled) ______________________________________________________________ Noterete che "ath0" viene qui sopra segnalato essere in monitor mode. Per confermare l’appropriata configurazione dell’interfaccia, digitate "iwconfig". Il sistema rispondrà: ______________________________________________________________ lo no wireless extensions. wifi0 no wireless extensions. eth0 no wireless extensions. ath0 IEEE 802.11g ESSID:"" Nickname:"" Mode:Monitor Frequency:2.452 GHz Access Point: 00:0F:B5:88:AC:82 Bit Rate:0 kb/s Tx-Power:18 dBm Sensitivity=0/3 Retry:off RTS thr:off Fragment thr:off Encryption key:off Power Management:off Link Quality=0/94 Signal level=-95 dBm Noise level=-95 dBm Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0 Tx excessive retries:0 Invalid misc:0 Missed beacon:0 _______________________________________________________________ Nel responso qui sopra, potete notare che ath0 è in monitor mode, sulla frequenza 2.452GHz che è il canale 9 e l’Access Point mostra l’indirizzo MAC della vostra scheda wireless. Prestate attenzione al fatto che solo i driver madwifi-ng mostrano l’indirizzo MAC della vostra scheda wireless, gli altri non lo fanno. Quindi tutto va bene. E’ importante confermare tutte queste informazioni prima di procedere, altrimenti i passaggi successivi non funzioneranno correttamente. Per rispecchiare la frequenza del canale, controllate http://www.rflinx.com/help/calculations/#2.4ghz_wifi_channels , quindi selezionate la targhetta "Wifi Channel Selection and Channel Overlap". Ciò vi darà la frequenza di ogni canale. PASSO 2 – AVVIATE AIRODUMP-NG PER RACCOGLIERE L’HANDSHAKE DI AUTENTICAZIONE Lo scopo di questo passaggio è di eseguire airodump-ng per catturare l’handshake bilaterale di autenticazione che ci interessa: Inserite: ___________________________________________ airodump-ng -c 9 –bssid 00:14:6C:7E:40:80 -w psk ath0 ___________________________________________ Dove: - -c 9 è il canale della rete wireless - –bssid 00:14:6C:7E:40:80 è l’indirizzo MAC dell’access point. Questo elimina il traffico estraneo. - -w .psk è il prefisso del file che conterrà gli IV - ath0 è il nome dell’interfaccia. Importante: NON utilizzate l’opzione "–ivs".Dovete catturare i pacchetti completi. Ecco come appare la situazione se un client wireless è connesso alla rete: ______________________________________________ CH 9 ][ Elapsed: 4 s ][ 2007-03-24 16:58 BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 00:14:6C:7E:40:80 39 100 51 116 14 9 54 WPA2 CCMP PSK teddy BSSID STATION PWR Lost Packets Probes 00:14:6C:7E:40:80 00:0F:B5:FD:FB:C2 35 0 116 __________________________________ Nella schermata sopra, notate la scritta “WPA handshake: 00:14:6C:7E:40:80” nell'angolo in alto a destra. Ciò vuol dire che airodump-ng ha catturato con successo l'handshake. Eccola senza client wireless connessi: __________________________________ CH 9 ][ Elapsed: 4 s ][ 2007-03-24 17:51 BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 00:14:6C:7E:40:80 39 100 51 0 0 9 54 WPA2 CCMP PSK teddy BSSID STATION PWR Lost Packets Probes __________________________________ CONSIGLI PER LA RISOLUZIONE DEI PROBLEMI Consultate la sezione dei Consigli per la Risoluzione dei Problemi più avanti per altri spunti. Esistono due modi per capire se siete riusciti a catturare dei pacchetti handshake. Osservate nella schermata di airodump-ng “WPA handshake: 00:14:6C:7E:40:80” nell'angolo in alto a destra. Ciò vuol dire che è stata catturata con successo un'handshake. Trovate qui sopra la schermata di esempio. Per controllare se avete catturato dei pacchetti di handshake, utilizzate Wireshark ed applicate un filtro di "eapol". Ciò mostra solo i pacchetti eapol che vi interessano. Così potete vedere se catturate pacchetti eapol 0,1,2,3 o 4. PASSO 3 - UTILIZZARE AIREPLAY-NG PER DEAUTENTICARE IL CLIENT WIRELESS Questo passaggio è opzionale. Lo effettuerete solo se deciderete di velocizzare attivamente il processo. L'altro vincolo è che ci debba essere almeno un client wireless correntemente associato all'AP. Se non ce n'é nessuno, continuate con il passagio successivo e siate pazienti. Non c'è bisogno di dire che se un client wireless compare più avanti potete tornare sui vostri passi e continuare con questo passaggio. Ciò che si fa in questo passaggio è di inviare un messaggio al client wireless dicendogli che non è più associato all'AP. Il client wireless vorrà sperabilmente riautenticarsi con l'AP. La riautenticazione è ciò che genera l'handshake che ci interessa raccogliere. Che è quella che utilizziamo per rompere la chiave WPA/WPA2 pre-condivisa. Basandovi sull'output di airodump-ng del passaggio precedente, individuate un client attualmente associato. Vi occorre l'indirizzo MAC per quanto segue. Aprite un altro terminale ed inserite: _________________________________ aireplay-ng -0 1 -a 00:14:6C:7E:40:80 -c 00:0F:B5:FD:FB:C2 ath0 _________________________________ Dove: - 0 significa deautenticazione - 1 è il numero di deauth che inviate (potete mandarne di multipli se desiderate); - -a 00:14:6C:7E:40:80 è l'indirizzo MAC dell'access point - -c 00:0F:B5:FD:FB:C2 è l'indirizzo MAC del client da deautenticare; - ath0 è il nome dell'interfaccia Ecco come appare l'output: _______________________ 11:09:28 Sending DeAuth to station -- STMAC: [00:0F:B5:34:30:30] _______________________ Con un po’ di fortuna, questo costringe il client a riautenticarsi e porta all’handshake . CONSIGLIO PER LA RISOLUZIONE DEI PROBLEMI - I pacchetti di deautenticazione vengono inviati direttamente dal vostro PC ai client. Perciò dovete essere abbastanza vicini fisicamente ai client affinché le trasmissioni della vostra scheda wireless li raggiungano. PASSO 4 – ESEGUITE AIRCRACK-NG PER CRACCARE LA CHIAVE PRE-CONDIVISA Lo scopo di questo passaggio è di craccare effettivamente la chiave WPA/WPA2 pre-condivisa. Per farlo, vi occorre come input un dizionario di parole. Essenzialmente, aircrack-ng prende ogni parola e prova a vedere se sia in realtà la chiave precondivisa. C’è un piccolo dizionario allegato ad aircrack-ng – "password.lst". Questo file si può trovare nella directory "test" del codice sorgente di aircrack-ng. La FAQ del Wiki ha un’ampia lista di fonti di dizionario. Potete utilizzare John The Ripper (JTR) per generare la vostra lista personale di termini e inserirli in aircrack-ng. L’utilizzo congiunto di JTR ed aircrack-ng va oltre lo scopo di questa guida. Aprite un altro terminale ed inserite: ________________________________ aircrack-ng -w password.lst -b 00:14:6C:7E:40:80 psk*.cap ________________________________ Dove: - -w password.lst è il nome del file di dizionario. Ricordatevi di specificare tutto il percorso se il file non si trova nella stessa directory. - *.cap è il nome del gruppo di file che contiene i pacchetti catturati. Notate in questo caso l’utilizzo del jolly * per includere file multipli. Ecco l’output tipico di quando non risultano handshake: ___________________________________ Opening psk-01.cap Opening psk-02.cap Opening psk-03.cap Opening psk-04.cap Read 1827 packets. No valid WPA handshakes found. ___________________________________ Quando ciò accade, dovete ripetere il passaggio 3 (deautenticare il client wireless) od aspettare ancora se state utilizzando l’approccio passivo. In questo caso, dovete attendere finché un client wireless non si autentichi con l’AP. Ecco l’output tipico di quando si trovano handshake: ___________________________________ Opening psk-01.cap Opening psk-02.cap Opening psk-03.cap Opening psk-04.cap Read 1827 packets. # BSSID ESSID Encryption 1 00:14:6C:7E:40:80 teddy WPA (1 handshake) Choosing first network as target. ___________________________________ A uesto punto aircrack-ng inizierà i tentativi di craccare la chiave pre-condivisa. A seconda della veelocità della vostra CPU e dalle dimensioni del dizionario, ciò potrebbe richiedere molto tempo, anche giorni. Ecco come appare un tentativo riuscito di craccare la chiave pre-condivisa: ___________________________________ Aircrack-ng 0.8 [00:00:00] 2 keys tested (37.20 k/s) KEY FOUND! [ 12345678 ] Master Key : CD 69 0D 11 8E AC AA C5 C5 EC BB 59 85 7D 49 3E B8 A6 13 C5 4A 72 82 38 ED C3 7E 2C 59 5E AB FD Transcient Key : 06 F8 BB F3 B1 55 AE EE 1F 66 AE 51 1F F8 12 98 CE 8A 9D A0 FC ED A6 DE 70 84 BA 90 83 7E CD 40 FF 1D 41 E1 65 17 93 0E 64 32 BF 25 50 D5 4A 5E 2B 20 90 8C EA 32 15 A6 26 62 93 27 66 66 E0 71 EAPOL HMAC : 4E 27 D9 5B 00 91 53 57 88 9C 66 C8 B1 29 D1 CB _____________________________ CONSIGLI PER LA RISOLUZIONE DEI PROBLEMI - Non riesco a catturare l’Handshake! A volte può essere macchinoso catturare l’handshake. Ecco alcuni consigli preventivi per affrontare il problema: - La vostra scheda di monitor deve trovarsi nella stessa modalità sia del client che dell’Access Point. Così ad esempio, se la vostra scheda è in modalità "B" ed il client/AP usano la modalità "G", non riuscirete a catturare l’handshake. Ciò è particolarmente importante per nuovi AP e client che potrebbero trovarsi in modalità "turbo" e/o in altri nuovi standard. Alcuni driver vi permetteranno di specificare la modalità. Inoltre, iwconfig ha l’opzione "modulation" che a volte può essere utilizzata. Digitate "man iwconfig" per vedere le opzioni di "modulation". A titolo informativo, 1, 2, 5.5 ed 11 Mbit sono ‘b’ mentre 6, 9, 12, 18, 24, 36, 48 e 54 Mbit sono ‘g’. - A volte avrete anche bisogno di settare la scheda per il monitor mode alla stessa velocità. Es. auto, 1MB, 2MB, 11MB, 54MB, ecc. - Assicuratevi che la vostra scheda di cattura sia ristretta allo stesso canale dell’AP. Potete farlo specificando "-c <canale dell’AP>" quando avviate airodump-ng. - Assicuratevi che non vi siano utilità di connessione come networkmanager, wicd o rtutil attivi sul vostro sistema. Possono cambiare canali e/o modalità senza che lo sappiate. - Siate fisicamente abbastanza vicini sia all’access point che al client wireless per riceverne i pacchetti. La potenza della scheda wireless è solitamente minore della potenza dell’AP. - Di contro, con la troppa vicinanza i pacchetti ricevuti possono venire danneggiati e scartati. Quindi non potete essere troppo vicini. - Assicuratevi di utilizzare i driver specificati sul wiki. A seconda del driver, alcune vecchie versioni non catturano tutti i pacchetti. - Idealmente, connettete e disconnettete un client wireless normalmente per generare l’handshake. - Se utilizzate la tecnica di deautenticazione, inviate il minor numero possibile di pacchetti per fare in modo che il client si riautentichi. Normalmente è richiesto un singolo pacchetto di deautenticazione. Inviarne un numero eccessivo può risultare nel fallimento di riconnessione del client e quindi non generare l’handshake. Ancora, utilizzate deautenticazioni dirette, non diffuse. - Provate a bloccare la radio sulla stazione del client, quindi riavviatela. - Assicuratevi di non avere avviati altri programmi/processi che potrebbero interferire come utilità di connessione, Kismet, ecc. - Esaminate i dati catturati utilizzando l’ Approfondimento sulla Cattura dei Pacchetti WPA/WPA2 per vedere se riuscite ad identificare i problemi come pacchetti AP mancanti, pacchetti client mancanti, ecc. Sfortunatamente, a volte dovrete fare un po’ di prove per fare in modo che la vostra scheda catturi l’handshake in modo appropriato. Il punto è, se non ce la fate al primo colpo, pazientate e sperimentate un po’. Si può fare! Un altro approccio è quello di utilizzare Wireshark per rivedere ed analizzare la vostra cattura di pacchetti. Questo a volte può darvi qualche indizio riguardo a cosa non funziona, e quindi degli spunti su come porvi rimedio. L’Approfondimento sulla Cattura dei Pacchetti WPA/WPA2 completa questa guida e vi mostra come appare una connessione WPA "normale". Ancora, consultate la ->FAQ per informazioni dettagliate su come utilizzare Wireshark. In un mondo ideale, dovreste utilizzare strumentazione wireless dedicata per catturare i pacchetti. Questo perché alcuni driver come l’RTL8187L non catturano i pacchetti che la scheda stessa invia. Inoltre, usate le versioni del driver specificate sul wiki. Questo perché alcune vecchie versioni dei driver come l’RT73 non catturano i pacchetti del client. Quando usate Wireshark, il filtro "eapol" mostrerà rapidamente solo i pacchetti EAPOL. Basandovi su quali pacchetti EAPOL siano di fatto nella cattura, determinate il vostro piano di correzione. Ad esempio, se vi mancano i pacchetti del client, provate a determinare come e perché raccogliere pacchetti client. Per inoltrarvi nell’analisi dei pacchetti, dovete avviare airodump-ng senza un filtro BSSID e specificare la cattura dell’intero pacchetto, non solo gli IV. Non occorre dire che deve essere ristretta al canale dell’AP. La ragione dell’eliminazione del filtro BSSID è quella di assicurarsi che tutti i pacchetti che includono riconoscimenti vengano catturati. Con un filtro BSSID, alcuni pacchetti vengono tralasciati dalla cattura. Ogni pacchetto inviato dal client o dall’AP deve essere riconosciuto. Ciò viene effettuato con un pacchetto di "riconoscimento" che possiede l’indirizzo MAC di destinazione del device che ha inviato il pacchetto originale. Se state provando a deautenticare un client, controllate se ricevete il pacchetto "ack". Questo è la conferma che il client ha ricevuto il pacchetto di deautenticazione. La mancata ricezione del pacchetto "ack" sta probabilmente a significare che il client è fuori dal raggio di trasmissione. Insuccesso. Quando si arriva all’analisi dei pacchetti di cattura è impossibile fornire istruzioni dettagliate. Abbiamo illustrato alcune tecniche ed argomenti da tenere presente. Questo è un argomento che richiede impegno nell’affinare le vostre capacità rispetto alla WPA/WPA2, oltre all’utilizzo di Wireshark. - Aircrack-ng dice "0 handshakes" Consultate il consiglio di risoluzione dei problemi "Non riesco a catturare l’Handshake!" - Aircrack-ng dice "No valid WPA handshakes found" Consultate il consiglio di risoluzione dei problemi "Non riesco a catturare l’Handshake!"