BorderGame
[Relase] Guida AirCrack per BackTrack 5 (o Linux ) - Versione stampabile

+- BorderGame (https://www.bordergame.it)
+-- Forum: Console e Tecnologia (/Forum-Console-e-Tecnologia)
+--- Forum: Hacking (/Forum-Hacking)
+--- Discussione: [Relase] Guida AirCrack per BackTrack 5 (o Linux ) (/Thread-Relase-Guida-AirCrack-per-BackTrack-5-o-Linux)



[Relase] Guida AirCrack per BackTrack 5 (o Linux ) - iCloud - 12-04-2013 04:26 PM

INTRODUZIONE


Questa guida vi accompagna nel cracking delle reti WPA/WPA2, che utilizzano chiavi pre-condivise. Si raccomanda di svolgere delle letture sul tema per meglio capire cos’è il WPA/WPA2. La pagina dei links del wiki ha una sezione sul wpa/wpa2. Il miglior documento per descrivere la WPA è Wi-fi Security – WEP, WPA
and WPA2. Ecco il link al download diretto del PDF. L’Approfondimento sulla Cattura dei Pacchetti WPA/WPA2 completa questa guida.

l WPA/WPA2 supporta molti tipi di autenticazione oltre alle chiavi pre-condivise.aircrack-ng può SOLO craccare le chiavi pre-condivise. Così assicuratevi che airodump-ng mostri che la rete abbia un’autenticazione di tipo PSK, altrimenti non perdete tempo nel provare a craccarla.

C’è un’altra differenza importante tra il craccare il WPA/WPA2 ed il WEP. Questo è l’approccio utilizzato per craccare la chiave pre-condivisa WPA/WPA2. A differenza del WEP, dove si possono utilizzare metodi statistici per velocizzare il processo di cracking, si possono solo utilizzare attacchi prettamente brute force contro il WPA/WPA2. Non si può velocizzare l’attacco, non essendo la chiave statica come quando si raccolgono gli IV al momento del cracking di una crittazione WEP. La sola fonte che offre le informazioni per avviare un attacco è la stretta di mano ( "handshake" ) tra il client e l’AP. L’handshaking viene effettuato quando il client si connette alla rete. Sebbene non sia vero in termini assoluti, consideratelo come tale ai fini di questa guida. Dato che la chiave pre-condivisa può essere lunga da 8 a 13 caratteri, diventa effettivamente impossibile craccare la chiave pre-condivisa.

L’unico momento in cui potete craccare la chiave pre-caricata è se si tratta di una parola di dizionario o se sia di lunghezza relativamente breve. Specularmente, se volete avere una rete wireless domestica a prova di bomba, utilizzate il WPA/WPA2 ed una password composta di 63 caratteri randomici, simboli speciali inclusi.

L’impatto di dover utilizzare un approccio brute force è notevole. Siccome richiede una computazione altamente intensiva potete testare solo da 50 a 300 possibili chiavi al secondo, a seconda della CPU del computer. Può richiedere ore, se non giorni, per macinare un ampio dizionario. Se state pensado di generare la vostra lista personale di password per coprire tutte le permutazioni e le combinazioni di caratteri e simboli speciali, consultate questo calcolatore di tempo brute force. Vi sorprenderete di quanto tempo ci voglia.

Non vi sono differenze tra craccare una rete WPA od una WPA2. La metodologia di autenticazione tra loro è praticamente la stessa. Così le tecniche da utilizzare sono identiche.

E’ consigliato fare delle prove con il vostro access point wireless domestico per familiarizzare con queste idee e tecniche. Se non possedete un dato access point, badate a chiedere il permesso al proprietario prima di smanettarci.

Vorrei segnalare e ringraziare l’Aircrack-ng team per aver prodotto uno strumento così ben robusto.

Per favore, inviatemi ogni critica costruttiva, positiva o negativa. Ulteriori idee e consigli riguardo alla risoluzione
dei problemi sono in particolar modo ben accetti.


PRESUPPOSTI

Per cominciare, questa trattazione presume:
- Che stiate utilizzando driver patchati per l’iniezione. Utilizzate il test d’iniezione per confermare la capacità della vostra scheda di iniettare.
- Che siate fisicamente abbastanza vicini per inviare e ricevere i pacchetti dell’access point e del client wireless. Ricordatevi che il ricevere pacchetti da loro non significa che potreste essere in grado di trasmettergliene. La forza della scheda wireless è di solito minore della forza dell’AP. Così dovrete essere fisicamente abbastanza vicini per permettere ai pacchetti che trasmettete di raggiungere ed essere ricevuti sia dall’AP che dal client wireless. Dovreste confermare di poter comunicare con l’AP specifico seguendo queste istruzioni.
- Che stiate utilizzando la versione 0.9 di aircrack-ng. Se state utilizzando un’altra versione, alcune delle opzioni di comando potrebbero dover essere modificate.

Accertatevi che tutte le presupposizioni qui sopra siano rispettate, in caso contrario le istruzioni che seguono saranno vane. Negli esempi sottostanti, avrete bisogno di cambiare "ath0" nel nome dell’interfaccia specifico della vostra scheda wireless.

Negli esempi, l’opzione "trattino doppio, bssid" viene mostrata come "–bssid". Ricordatevi di rimuovere lo spazio tra i due trattini quando la utilizzate sul terminale. Ciò vale anche per "–ivs", "–arpreplay","–deauth","–channel","–arp" e "–fakeauth".


EQUIPAGGIAMENTO UTILIZZATO

Per seguire questo tutorial a casa, dovete avere due schede wireless.

Ecco ciò che è stato utilizzato in questo tutorial:

- l’indirizzo MAC del PC che esegue la suite aircrack: 00:0F:B5:88:AC:82
- l’indirizzo MAC del client wireless che utilizza il WPA2: 00:0F:B5:FD:FB:C2
- BSSID (indirizzo MAC dell’access point): 00:14:6C:7E:40:80
- ESSID (nome della rete wireless): teddy
- Canale dell’access point: 9
- Interfaccia wireless: ath0

Dovreste raccogliere le specifiche equivalenti per la rete su cui lavorerete. Quindi cambiate semplicemente i valori negli esempi qui sotto in quelli della vostra specifica rete.


PROCEDURA


Panorama della procedura

L’obiettivo è quello di catturare l’handshake di autenticazione WPA/WPA2, e quindi utilizzare aircrack-ng per craccare la chiave pre-condivisa.

Si può fare attivamente o passivamente."Attivamente" significa che accelererete il processo deautenticando un client wireless esistente. "Passivamente" significa che aspetterete semplicemente che un client wireless si autentichi sulla rete WPA/WPA2. Il vantaggio della modalità passiva è che non vi occorre un’effettiva capacità d’iniezione, perciò è possibile usare anche la versione di aircrack-ng per Windows.

Ecco i passaggi basilari che attraverseremo:

1. Avviare l’interfaccia wireless in monitor mode sullo specifico canale dell’AP
2. Avviare airodump-ng sul canale dell’AP con il filtro per il bssid per raccogliere l’handshake di autenticazione
3. Utilizzare aireplay-ng per deautenticare il client wireless
4. Eseguire aircrack-ng per craccare la chiave pre-condivisa utilizzando l’handshake di autenticazione.


PASSO 1 – AVVIATE L’INTERFACCIA WIRELESS IN MONITOR MODE

Lo scopo di questo passaggio è di mettere la vostra scheda in quello che viene chiamato monitor mode. Il monitor mode è la modalità in cui la vostra scheda può intercettare ogni pacchetto nell’etere. Normalmente, la vostra scheda "ascolta" solo i pacchetti inviati a voi. Intercettando ogni pacchetto, possiamo in seguito catturare l’handshake WPA/WPA2. Inoltre, ci permetterà opzionalmente di deautenticare un client wireless in un passaggio successivo.

Per prima cosa fermate ath0 digitando:
________________________________
airmon-ng stop ath0
________________________________

Il sistema risponde:
_________________________________________________________________
Interface Chipset Driver

wifi0 Atheros madwifi-ng
ath0 Atheros madwifi-ng VAP (parent: wifi0) (VAP destroyed)
_______________________________________________________________________________

Digitate "iwconfig" per assicurarvi che non ci siano altre interfacce athX. Dovrebbe apparire simile a questo:
_____________________________________________________
lo no wireless extensions.

eth0 no wireless extensions.

wifi0 no wireless extensions.
______________________________________________________

Se ci sono altre residue interfacce athX, fermate ciascuna di esse. Quando avete finito, eseguite "iwconfig" per assicurarvi che non ne sia rimasta nessuna. Ora, immettete il seguente comando per avviare la scheda wireless sul canale 9 in monitor mode:
_________________________________
airmon-ng start wifi0 9
_________________________________

Nota: in questo comando utilizziamo "wifi0" invece della nostra interfaccia wireless di "ath0". Questo perché utilizziamo i driver madwifi-ng.
Il sistema risponderà:
_____________________________________________________________
Interface Chipset Driver

wifi0 Atheros madwifi-ng
ath0 Atheros madwifi-ng VAP (parent: wifi0) (monitor mode enabled)
______________________________________________________________

Noterete che "ath0" viene qui sopra segnalato essere in monitor mode.
Per confermare l’appropriata configurazione dell’interfaccia, digitate "iwconfig".
Il sistema rispondrà:
______________________________________________________________
lo no wireless extensions.

wifi0 no wireless extensions.

eth0 no wireless extensions.

ath0 IEEE 802.11g ESSID:"" Nickname:""
Mode:Monitor Frequency:2.452 GHz Access Point: 00:0F:B5:88:AC:82
Bit Rate:0 kb/s Tx-Power:18 dBm Sensitivity=0/3
Retry:off RTS thr:off Fragment thr:off
Encryption key:off
Power Management:off
Link Quality=0/94 Signal level=-95 dBm Noise level=-95 dBm
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0
_______________________________________________________________

Nel responso qui sopra, potete notare che ath0 è in monitor mode, sulla frequenza 2.452GHz che è il canale 9 e l’Access Point mostra l’indirizzo MAC della vostra scheda wireless. Prestate attenzione al fatto che solo i driver madwifi-ng mostrano l’indirizzo MAC della vostra scheda wireless, gli altri non lo fanno. Quindi tutto va bene. E’ importante confermare tutte queste informazioni prima di procedere, altrimenti i passaggi successivi non funzioneranno correttamente.

Per rispecchiare la frequenza del canale, controllate http://www.rflinx.com/help/calculations/#2.4ghz_wifi_channels , quindi selezionate la targhetta "Wifi Channel Selection and Channel Overlap". Ciò vi darà la frequenza di ogni canale.

PASSO 2 – AVVIATE AIRODUMP-NG PER RACCOGLIERE L’HANDSHAKE DI AUTENTICAZIONE

Lo scopo di questo passaggio è di eseguire airodump-ng per catturare l’handshake bilaterale di autenticazione che ci interessa:

Inserite:
___________________________________________
airodump-ng -c 9 –bssid 00:14:6C:7E:40:80 -w psk ath0
___________________________________________

Dove:
- -c 9 è il canale della rete wireless
- –bssid 00:14:6C:7E:40:80 è l’indirizzo MAC dell’access point. Questo elimina il traffico estraneo.
- -w .psk è il prefisso del file che conterrà gli IV

- ath0 è il nome dell’interfaccia.

Importante: NON utilizzate l’opzione "–ivs".Dovete catturare i pacchetti completi.

Ecco come appare la situazione se un client wireless è connesso alla rete:
______________________________________________
CH 9 ][ Elapsed: 4 s ][ 2007-03-24 16:58

BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

00:14:6C:7E:40:80 39 100 51 116 14 9 54 WPA2 CCMP PSK teddy

BSSID STATION PWR Lost Packets Probes

00:14:6C:7E:40:80 00:0F:B5:FD:FB:C2 35 0 116
__________________________________

Nella schermata sopra, notate la scritta “WPA handshake:
00:14:6C:7E:40:80” nell'angolo in alto a destra.
Ciò vuol dire che airodump-ng ha catturato con successo l'handshake.


Eccola senza client wireless connessi:
__________________________________

CH 9 ][ Elapsed: 4 s ][ 2007-03-24 17:51

BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

00:14:6C:7E:40:80 39 100 51 0 0 9 54 WPA2 CCMP PSK teddy

BSSID STATION PWR Lost Packets Probes
__________________________________

CONSIGLI PER LA RISOLUZIONE DEI PROBLEMI

Consultate la sezione dei Consigli per la Risoluzione dei Problemi più
avanti per altri spunti.
Esistono due modi per capire se siete riusciti a catturare dei pacchetti
handshake. Osservate nella schermata
di airodump-ng “WPA handshake: 00:14:6C:7E:40:80” nell'angolo in alto a
destra. Ciò vuol dire che è stata catturata con successo un'handshake. Trovate qui sopra la schermata di esempio.

Per controllare se avete catturato dei pacchetti di handshake, utilizzate Wireshark ed applicate un filtro di "eapol". Ciò mostra solo i pacchetti eapol che vi interessano. Così potete vedere se catturate pacchetti eapol 0,1,2,3 o 4.

PASSO 3 - UTILIZZARE AIREPLAY-NG PER DEAUTENTICARE IL CLIENT WIRELESS

Questo passaggio è opzionale. Lo effettuerete solo se deciderete di velocizzare attivamente il processo. L'altro vincolo è che ci debba essere almeno un client wireless correntemente associato all'AP. Se non ce n'é nessuno, continuate con il passagio successivo e siate pazienti. Non c'è bisogno di dire che se un client wireless compare più avanti potete tornare sui vostri passi e continuare con questo passaggio.

Ciò che si fa in questo passaggio è di inviare un messaggio al client wireless dicendogli che non è più associato all'AP. Il client wireless vorrà sperabilmente riautenticarsi con l'AP. La riautenticazione è ciò che genera l'handshake che ci interessa raccogliere. Che è quella che utilizziamo per rompere la chiave WPA/WPA2 pre-condivisa.

Basandovi sull'output di airodump-ng del passaggio precedente, individuate un client attualmente associato. Vi occorre l'indirizzo MAC per quanto segue. Aprite un altro terminale ed inserite:
_________________________________
aireplay-ng -0 1 -a 00:14:6C:7E:40:80 -c 00:0F:B5:FD:FB:C2 ath0
_________________________________

Dove:

- 0 significa deautenticazione
- 1 è il numero di deauth che inviate (potete mandarne di multipli se desiderate);
- -a 00:14:6C:7E:40:80 è l'indirizzo MAC dell'access point
- -c 00:0F:B5:FD:FB:C2 è l'indirizzo MAC del client da deautenticare;
- ath0 è il nome dell'interfaccia

Ecco come appare l'output:
_______________________
11:09:28 Sending DeAuth to station -- STMAC: [00:0F:B5:34:30:30]
_______________________

Con un po’ di fortuna, questo costringe il client a riautenticarsi e porta all’handshake .

CONSIGLIO PER LA RISOLUZIONE DEI PROBLEMI

- I pacchetti di deautenticazione vengono inviati direttamente dal vostro PC ai client. Perciò dovete essere abbastanza vicini fisicamente ai client affinché le trasmissioni della vostra scheda wireless li raggiungano.


PASSO 4 – ESEGUITE AIRCRACK-NG PER CRACCARE LA CHIAVE PRE-CONDIVISA

Lo scopo di questo passaggio è di craccare effettivamente la chiave WPA/WPA2 pre-condivisa. Per farlo, vi occorre come input un dizionario di parole. Essenzialmente, aircrack-ng prende ogni parola e prova a vedere se sia in realtà la chiave precondivisa.

C’è un piccolo dizionario allegato ad aircrack-ng – "password.lst". Questo file si può trovare nella directory "test" del codice sorgente di aircrack-ng. La FAQ del Wiki ha un’ampia lista di fonti di dizionario. Potete utilizzare John The Ripper (JTR) per generare la vostra lista personale di termini e inserirli in aircrack-ng. L’utilizzo congiunto di JTR ed aircrack-ng va oltre lo scopo di questa guida.

Aprite un altro terminale ed inserite:
________________________________
aircrack-ng -w password.lst -b 00:14:6C:7E:40:80 psk*.cap
________________________________

Dove:

- -w password.lst è il nome del file di dizionario. Ricordatevi di specificare tutto il percorso se il file non si trova nella stessa directory.
- *.cap è il nome del gruppo di file che contiene i pacchetti catturati. Notate in questo caso l’utilizzo del jolly * per includere file multipli.

Ecco l’output tipico di quando non risultano handshake:
___________________________________
Opening psk-01.cap
Opening psk-02.cap
Opening psk-03.cap
Opening psk-04.cap
Read 1827 packets.

No valid WPA handshakes found.
___________________________________

Quando ciò accade, dovete ripetere il passaggio 3 (deautenticare il client wireless) od aspettare ancora se state utilizzando l’approccio passivo. In questo caso, dovete attendere finché un client wireless non si autentichi con l’AP.

Ecco l’output tipico di quando si trovano handshake:
___________________________________
Opening psk-01.cap
Opening psk-02.cap
Opening psk-03.cap
Opening psk-04.cap
Read 1827 packets.

# BSSID ESSID Encryption

1 00:14:6C:7E:40:80 teddy WPA (1 handshake)

Choosing first network as target.
___________________________________

A uesto punto aircrack-ng inizierà i tentativi di craccare la chiave pre-condivisa. A seconda della veelocità della vostra CPU e dalle dimensioni del dizionario, ciò potrebbe richiedere molto tempo, anche giorni.

Ecco come appare un tentativo riuscito di craccare la chiave pre-condivisa:
___________________________________
Aircrack-ng 0.8


[00:00:00] 2 keys tested (37.20 k/s)


KEY FOUND! [ 12345678 ]


Master Key : CD 69 0D 11 8E AC AA C5 C5 EC BB 59 85 7D 49 3E
B8 A6 13 C5 4A 72 82 38 ED C3 7E 2C 59 5E AB FD

Transcient Key : 06 F8 BB F3 B1 55 AE EE 1F 66 AE 51 1F F8 12 98
CE 8A 9D A0 FC ED A6 DE 70 84 BA 90 83 7E CD 40
FF 1D 41 E1 65 17 93 0E 64 32 BF 25 50 D5 4A 5E
2B 20 90 8C EA 32 15 A6 26 62 93 27 66 66 E0 71

EAPOL HMAC : 4E 27 D9 5B 00 91 53 57 88 9C 66 C8 B1 29 D1 CB
_____________________________




CONSIGLI PER LA RISOLUZIONE DEI PROBLEMI



- Non riesco a catturare l’Handshake!

A volte può essere macchinoso catturare l’handshake. Ecco
alcuni consigli preventivi per affrontare il problema:

- La vostra scheda di monitor deve trovarsi nella stessa modalità sia del
client che dell’Access Point. Così ad esempio, se la vostra scheda è in
modalità "B" ed il client/AP usano la modalità "G", non riuscirete a
catturare l’handshake. Ciò è particolarmente importante per nuovi AP e
client che potrebbero trovarsi in modalità "turbo" e/o in altri nuovi
standard. Alcuni driver vi permetteranno di specificare la modalità.
Inoltre, iwconfig ha l’opzione "modulation" che a volte può essere
utilizzata. Digitate "man iwconfig" per vedere le opzioni di "modulation".
A titolo informativo, 1, 2, 5.5 ed 11 Mbit sono ‘b’ mentre 6, 9, 12, 18,
24, 36, 48 e 54 Mbit sono ‘g’.

- A volte avrete anche bisogno di settare la scheda per il monitor mode
alla stessa velocità. Es. auto, 1MB, 2MB, 11MB, 54MB, ecc.

- Assicuratevi che la vostra scheda di cattura sia ristretta allo stesso
canale dell’AP. Potete farlo specificando "-c <canale dell’AP>" quando
avviate airodump-ng.

- Assicuratevi che non vi siano utilità di
connessione come networkmanager, wicd o rtutil attivi sul vostro sistema. Possono cambiare canali e/o
modalità senza che lo sappiate.

- Siate fisicamente abbastanza vicini sia all’access point che al client
wireless per riceverne i pacchetti. La potenza della scheda wireless è
solitamente minore della potenza dell’AP.

- Di contro, con la troppa vicinanza i pacchetti ricevuti possono venire danneggiati e scartati. Quindi non potete essere troppo vicini.

- Assicuratevi di utilizzare i driver specificati sul wiki. A seconda del
driver, alcune vecchie versioni non catturano tutti i pacchetti.

- Idealmente, connettete e disconnettete un client wireless normalmente per
generare l’handshake.

- Se utilizzate la tecnica di deautenticazione, inviate il minor numero
possibile di pacchetti per fare in modo che il client si riautentichi.
Normalmente è richiesto un singolo pacchetto di deautenticazione. Inviarne
un numero eccessivo può risultare nel fallimento di riconnessione del
client e quindi non generare l’handshake. Ancora, utilizzate
deautenticazioni dirette, non diffuse.

- Provate a bloccare la radio sulla stazione del client, quindi
riavviatela.

- Assicuratevi di non avere avviati altri programmi/processi che potrebbero
interferire come utilità di connessione, Kismet, ecc.

- Esaminate i dati catturati utilizzando l’ Approfondimento sulla Cattura dei Pacchetti WPA/WPA2 per vedere se riuscite ad identificare i problemi come pacchetti
AP mancanti, pacchetti client mancanti, ecc.

Sfortunatamente, a volte dovrete fare un po’ di prove per fare in modo che
la vostra scheda catturi l’handshake in modo appropriato. Il
punto è, se non ce la fate al primo colpo, pazientate e
sperimentate un po’. Si può fare! Wink

Un altro approccio è quello di utilizzare Wireshark per rivedere ed
analizzare la vostra cattura di pacchetti. Questo a volte può darvi
qualche indizio riguardo a cosa non funziona, e quindi degli spunti su come
porvi rimedio. L’Approfondimento sulla Cattura dei Pacchetti WPA/WPA2 completa questa
guida e vi mostra come appare una connessione WPA "normale". Ancora,
consultate la ->FAQ per informazioni dettagliate su come utilizzare
Wireshark.

In un mondo ideale, dovreste utilizzare strumentazione wireless dedicata
per catturare i pacchetti. Questo perché alcuni driver come l’RTL8187L non
catturano i pacchetti che la scheda stessa invia. Inoltre, usate le
versioni del driver specificate sul wiki. Questo perché alcune vecchie
versioni dei driver come l’RT73 non catturano i pacchetti del client.

Quando usate Wireshark, il filtro "eapol" mostrerà rapidamente solo i
pacchetti EAPOL. Basandovi su quali pacchetti EAPOL siano di fatto nella
cattura, determinate il vostro piano di correzione. Ad esempio, se vi
mancano i pacchetti del client, provate a determinare come e perché
raccogliere pacchetti client.

Per inoltrarvi nell’analisi dei pacchetti, dovete avviare airodump-ng senza
un filtro BSSID e specificare la cattura dell’intero pacchetto, non solo
gli IV. Non occorre dire che deve essere ristretta al canale dell’AP.
La ragione dell’eliminazione del filtro BSSID è quella di assicurarsi che
tutti i pacchetti che includono riconoscimenti vengano catturati. Con un
filtro BSSID, alcuni pacchetti vengono tralasciati dalla cattura.

Ogni pacchetto inviato dal client o dall’AP deve essere riconosciuto. Ciò
viene effettuato con un pacchetto di "riconoscimento" che possiede
l’indirizzo MAC di destinazione del device che ha inviato il pacchetto
originale. Se state provando a deautenticare un client, controllate se
ricevete il pacchetto "ack". Questo è la conferma che il client ha
ricevuto il pacchetto di deautenticazione. La mancata ricezione del
pacchetto "ack" sta probabilmente a significare che il client è fuori dal
raggio di trasmissione. Insuccesso.

Quando si arriva all’analisi dei pacchetti di cattura è impossibile
fornire istruzioni dettagliate. Abbiamo illustrato alcune tecniche ed
argomenti da tenere presente. Questo è un argomento che richiede impegno
nell’affinare le vostre capacità rispetto alla WPA/WPA2, oltre
all’utilizzo di Wireshark.

- Aircrack-ng dice "0 handshakes"

Consultate il consiglio di risoluzione dei problemi "Non riesco a catturare
l’Handshake!"

- Aircrack-ng dice "No valid WPA handshakes found"

Consultate il consiglio di risoluzione dei problemi "Non riesco a catturare l’Handshake!"