crack de clé wep automatique avec spoonwep 2
Spoonwep 2 permet d'automatiser la suite aircrack-ng (airmon-ng aireplay-ng et aircrack-ng) il gere la suite avec un gui, les attaques sont préréglés et redoutablement efficace.
On va voir comment l'utiliser (bien qu'il n'y ai pas grand chose à expliquer tellement c'est facile de cracker une clé wep).
spoonwep settings
1/ sélection de la carte wifi
2/normal (si c'est une atheros vu que c'est un peu différent vous avez une option spécifique)
3/unkown victim pour lancer une recherche, si vous la connaissez déja ca passe à l'étape suivante et vous devez rentrer le bssid et éventuellement l'adresse mac de la station.
4/next pour passer à l'étape suivante
victims discovery
1/chann hopping pour faire une recherche sur l'ensemble des cannaux wifi
2/fixed chann pour choisir votre chann
3/launch pour lancer la recherche de ssid
On sélectionne l'ap et le client si il y en a un et on valide avec "selection ok"
attack pannel
1/selection de l'attaque (arp replay, chopchop, fragmentation, -p 0841)
2/launch pour lancer l'attaque
*/deauth si vous avez sélectionné un client ca va envoyer 3 deauth pour déclencher une réaction de l'ap (arp par éxemple)
Et on boit un coca cola parceque la on a vachement travaillé, donc on glande en attendant qu'il crack la clé wep
Et bingo crack de clé wep presque sans rien faire réussi, à tester sur votre materiel ou avec l'accord du propriétaire...
installation:
lzm2dir spoonwep2.lzm /
(dans un shell)
download:
http://neovortex.kodings.googlepages.com/spoonwep2.lzm
miroir: spoonwep2.lzm
on dit merci qui:
merci au développeur shamanvirtuel
spoonwpa tuto download :) aircrack-ng gui pour backtrack
Présentation de spoonwpa
spoonwpa utilise le cli de la suite aircrack-ng, il est destiné à améliorer le confort de l'utilisateur pour tester la sécurité d'une clé wpa avec son gui top confort.
Le crack wpa en quelque clics et un bon dico.
(spoonwpa c'est comme de passer d'une chaise en bois à un canapé en alcantara de moldinavie)
bref:
explain --> settings on choisit la carte, le driver (pour l'atheros c'est différent vu qu'une nouvelle interface est crée, c'est géré il suffit de le préciser) quand on ne connait pas sa carte "airmon-ng" dans un shell.
mode unkown quand on ne connait pas la "victime"
fixed chann ---> selection du chann en manuel
chan hopping ---> ca scan tous les chann
Sélection de la victime:
Lancement de l'attaque:
Sélection de la wordlist, internal (la word list utilisé avec le pico qui était dispo dans bt3 beta) user, la votre, et airolib (bein la votre aussi mais précomputé)
Et la c'est le deauth qui débute jusqu'à récupération du handskake:
download spoonwpa:
http://shamanvirtuel.googlepages.com/SWPA.lzm
Crack de clé WPA sous Backtrack 2
A travers cet exercice, vous allez vous familiariser avec le live-cd Backtrack 2, et utiliser la suite aircrack-ng pour cracker une clé WPA.
1/ Introduction, découverte de Backtrack 2
Tout d'abord, choisissez votre version de Backtrack 2 ici. Nous proposons au téléchargement 2 versions modifiées de Backtrack 2 mises à jour. Une fois votre live cd téléchargé et gravé, bootez votre ordinateur sur Backtrack 2.
Arrivé à l'écran de login, le login est root et le password est toor. Entrez la commande startx pour lancer l'interface graphique (nous sommes actuellement en clavier qwerty, il faut taper stqrtx).
.Une fois le bureau chargé, cliquez 4 fois sur le petit drapeau américain situé en bas à droite de l'écran pour passer en clavier azerty français.
En cliquant sur la boule bleue en bas à gauche, vous lancez konqueror, l'interface qui vous permettra de naviguer dans vos dossiers.
Ouvrez un shell de commande en cliquant sur l'écran noir en bas à gauche. Par défaut, vous vous trouvez dans /root. Pour voir le contenu du dossier root, cliquez sur home folder dans konqueror.
Astuces concernant le shell:
-Pour vous rendre dans un dossier, tapez cd/chemin_du_dossier. Par exemple, si vous avez une partition fat32 reconnue comme hda3, tapez cd/mnt/hda3 pour vous rendre dans cette partition. Les fichiers de capture seront alors enregistrés sur votre partition fat32, ce qui permettra de les récupérer plus tard, notamment sous windows.
-Passez le pointeur de la souris sur le shell, et faites un clic droit, show menubar. Vous aurez accès à des options permettant d'ouvrir plusieurs shells cote à cote, modifier la taille des caractères etc...
2/ Passage en mode monitor
Maintenant, renseignez vous sur vos interfaces réseaux en tapant iwconfig.
Ici, l'interface wifi (caractérisée par le protocole 802.11b/g) est reconnue en tant que wlan0. Pour la basculer en mode monitor afin d'écouter les réseaux wifi, tapez la commande airmon-ng start suivie du nom de l'interface wifi. Dans ce cas: airmon-ng start wlan0
Le retour de console indiquant "monitor mode enabled" indique que votre carte wifi vient de passer en mode monitor, vous etes pret à passer à l'étape suivante: l'écoute des réseaux.
3/ Airodump-ng: l'écoute des réseaux
Airodump-ng permet d'écouter les réseaux wifi et éventuellement d'enregistrer les paquets dans un fichier de capture. Les commandes sont assez simples:
usage: airodump-ng
Un petit test: airodump-ng --encrypt wpa wlan0
Pour arretter airodump, faites ctrl + c dans le shell. Ici, airodump-ng a écouté tous les canaux, et a affiché les points d'accès utilisant le cryptage WPA, sans écrire de fichier de capture.
Liste des filtres airodump-ng:
-c permet de cibler un canal, ex: -c 1 ciblera le canal 1
--encrypt permet de cibler selon l'encryptage des réseaux, ex: --encrypt wpa ciblera uniquement les réseaux encryptés en WPA
-w spécifie le nom du fichier de capture qui sera créé ex: -w out
--bssid permet de cibler l'écoute sur un seul point d'accès ex: --bssid 00:AA:11:BB:22:CC:33
Dans cet exercice, nous allons cibler le point d'accès dont l'essid est Crack-wpa.fr, émettant sur le canal 11 et ayant comme adresse mac 00:17:33:8C:81:77
La commande sera airodump-ng -w out --encrypt wpa -c 11 --bssid 00:17:33:8C:81:77 wlan0
Résultat: airodump-ng va écouter sur le canal 11, le point d'accès dont l'adresse mac est 00:17:33:8C:81:77, et va écrire les paquets capturés dans un fichier nommé out-01.cap (airodump-ng ajoute -01.cap au nom du premier fichier de capture, si on stoppe et relance airodump avec le meme nom de fichier il en créera un second -02.cap, etc...).
Nous voyons qu'une station est connectée. Pour réussir un crack wpa, il est primordial qu'une station soit connectée, en effet le 4 way handshake (littéralement la poignée de mains) nécessaire au crack ne peut etre capturé QUE si une station est connectée au point d'accès.
4/ Aireplay-ng: l'attaque active
Une méthode de crack (méthode passive) consiste à cibler un point d'accès, et à écouter le réseau pendant des heures en attendant qu'un client se connecte. En effet, le 4 way handshake est un ensemble de paquets émis par le point d'accès et la station lorsque celle ci se connecte. Lors de la connexion, si votre réception est bonne (la qualité radio du signal est visible dans la colonne "rxq", si elle est supérieure à 50 elle est de bonne qualité), le handshake sera capturé.
Une autre méthode consiste à utiliser aireplay-ng et son attaque -0 (déauthentication) pour forcer la déconnexion du client et capturer le handshake lorsqu'il se reconnecte (le gestionnaire de réseau wifi de windows est reglé par défaut pour se reconnecter automatiquement à un point d'accès en cas de déconnexion, l'attaque -0 exploite cette faille).
Préparez votre attaque aireplay-ng. Cliquez dans session, new shell et ouvrez 2 nouveaux shells.
Dans le premier, préparez la commande aireplay-ng -0 0 -a bssid -c station interface
Dans le second, préparez la commande aireplay-ng -0 0 -a bssid interface
Le paramètre -0 signifie une attaque déauth, le 0 qui suit signifie que l'envoi des paquets de déauth sera infini, il faudra donc arretter l'attaque après quelques instants avec ctrl + c. Vous pouvez spécifier un délai, par exemple aireplay-ng -0 5 , et l'attaque s'arrettera après l'envoi de 5 paquets de déauth. Quand les commandes sont pretes, lancez les dans chaque shell, patientez quelques secondes et stoppez les.
Si l'attaque a réussi, vous devriez avoir une bonne surprise en revenant dans votre shell airodump-ng. L'apparition du WPA handshake en haut à droite de la fenetre indique la réussite de l'attaque. Selon la qualité de la réception, la capture du handshake peut etre immédiate, ou très fastidieuse. Il se peut que vous deviez renouveler les attaques à de nombreuses reprises avant d'obtenir le tant attendu handshake.
5/ Aircrack-ng: le bruteforce du handshake
Le handshake est maintenant dans le fichier de capture, vous pouvez stopper airodump. Vous devez maintenant vous armer d'un bon fichier dictionnaire (consulez notre section spéciale concernant les Packs Crack Wpa ICI), et le copier dans le dossier ou se trouve le fichier de capture. Comme on peut le voir, j'ai copié le fichier dictionnaire nommé 8.txt dans le dossier root. Le fichier out-01.cap est le fichier de capture contenant le handshake, et le fichier out-01.txt est un fichier créé par airodump-ng contenant des informations sur le fichier de capture.
Le crack peut commencer
Le crack se lance avec la commande suivante:
aircrack-ng -w nom-du-fichier-dictionnaire nom-du-fichier-de-capture
Dans cet exemple: aircrack-ng -w 8.txt out-01.cap
Le crack se lance, aircrack-ng va tester tous les mots de passe contenus dans le fichier dictionnaire. La vitesse du crack, indiquée en haut en keys/second dépend de la puissance de calcul de votre processeur.
Le crack peut etre long, il faut patienter et tester plusieurs fichiers dictionnaires jusqu'à ce que...
KEY FOUND!
Crack de clé WEP sous Backtrack 3 beta avec la suite Aircrack-ng
A travers cet exercice, nous allons voir comme il est aisé de cracker un réseau wifi encrypté en WEP avec la suite aircrack-ng.
1/ Introduction, explications préliminaires
Pour cet exemple, nous allons cracker une Livebox utilisant le WEP. La méthode de crack est la meme sur toutes les box en WEP. Pré-requis:
-Procurez vous un live cd de Backtrack 2 ou Backtrack 3 (distribution Linux live cd disponible au téléchargement sur le site de remote exploit). Si vous utilisez déja un système d'exploitation Linux, vous pouvez télécharger la suite aircrack-ng sur aircrack-ng.org.
-Lisez l'introduction du tutoriel Crack de clé WPA afin de vous familiariser avec l'environnement Linux
-Assurez vous que vous disposez d'une carte wifi compatible mode monitor et injection
Bootez votre ordinateur avec le live cd de Backtrack. Une fois sur le bureau, passez en clavier azerty français, et ouvrez un shell de commande. C'est parti...
2/ Airodump-ng, découverte des réseaux wifi
Commencez par passer votre carte wifi en mode monitor afin de pouvoir écouter les réseaux wifi environnants. La commande iwconfig vous renseigne sur les interfaces wifi. Dans notre exemple, nous utilisons une carte alfa 500 AWUS036H. La commande permettant de basculer la carte en mode monitor est:
airmon-ng start wlan0
Nous allons lancer airodump-ng, le programme qui permet de surveiller les réseaux wifi. Airodump-ng est assez simple d'utilisation. Usage: airodump-ng
-w permet de créer un fichier de capture dans lequel seront enregistrés tous les paquets. Exemple: airodump-ng -w out wlan0 (un fichier de capture nommé out sera créé, le premier fichier s'appellera out-01.cap, le 2ème out-02.cap etc...)
--encrypt permet de filtrer les réseaux en fonction du type d'encryption utilisé. Exemple: airodump-ng --encrypt wep wlan0 (seuls les réseaux en WEP seront affichés)
-c permet de cibler l'écoute sur un canal wifi particulier. Exemple: airodump-ng -c 1 wlan0 (airodump-ng n'écoutera que le canal 1)
--bssid permet de ne cibler qu'un seul point d'accès en fonction de son adresse mac. Exemple: airodump-ng --bssid 00:16:41:C9:E0:3F wlan0 (airodump-ng ne surveillera que le point d'accès dont l'adresse mac est 00:16:41:C9:E0:3F)
Nous allons commencer par surveiller les réseaux encryptés en wep, avec la commande
airodump-ng --encrypt wep wlan0
Le réseau dont l'essid (essid = nom du réseau wifi) est Livebox-a1b2 sera notre cible pour cet exemple. Sous airodump-ng, les points d'accès sont affichés en haut, et les stations (ordinateurs connectés) sont affichés en bas. On peut voir qu'un ordinateur est connecté au réseau Livebox-a1b2 dont l'adresse mac est 00:16:41:C9:E0:3F. Un réseau en WEP, une station connectée, les conditions sont réunies pour cracker le réseau. On stoppe airodump en faisant ctrl + c dans le shell, et on le relance en créant un fichier de capture et en ciblant le réseau Livebox-a1b2
airodump-ng -w out -c 10 --bssid 00:16:41:C9:E0:3F wlan0
Et voici le résultat:
On voit qu'airodump-ng surveille excusivement notre réseau cible. En bas, l'ordinateur connecté à la Livebox. La colonne "rxq" indique la qualité du signal radio (entre 0 et 100), ici avec un rxq à 100 le signal est excellent et le crack devait se dérouler dans les meilleures conditions. En naviguant sous konkeror dans le dossier depuis lequel nous avons lancé airodump-ng, nous pouvons voir les 2 fichiers créés: out-01.cap (le fichier de capture contenant les paquets) et out-01.txt (un fichier log contenant toutes les informations concernant les essids, adresses mac des points d'accès, stations etc... contenus dans le fichier de capture).
Ouvrons un nouveau shell de commande et passons à la suite.
3/ Aireplay-ng -1, l'association au point d'accès
Nous allons utiliser aireplay-ng pour vérifier si nous pouvons nous associer au point d'accès. Ici, les conditions sont optimales pour le crack: le signal est excellent et un client est connecté au point d'accès. Si le signal était moins bon, nous pourrions avoir des difficultés à nous associer au point d'accès. Il est judicieux de tenter une association avant de se lancer dans l'injection de paquet. Cela permet de voir si la connectivité est bonne, et cela peut aussi permettre de savoir si un point d'accès utilise le filtrage par adresse mac. Petite explication sur le filtrage mac:
Certaines box n'autorisent à s'associer que les clients figurant dans leur liste de clients autorisés. Pour résumer, si vous n'avez pas une adresse mac valide vous ne pourrez pas communiquer avec le point d'accès, ce qui rendra le crack et la connection impossible. Sachez que le filtrage mac est activé par défaut sur les Livebox, mais il est désactivé par défaut sur les routeurs Tecom (Club Internet). Connaitre les règlages par défaut des box permet bien souvent de savoir à l'avance si un filtrage mac est activé ou pas.
La commande pour s'associer au point d'accès est:
aireplay-ng
Les différentes attaques de aireplay-ng sont:
--deauth count : deauthenticate 1 or all stations (-0)
--fakeauth delay : fake authentication with AP (-1)
--interactive : interactive frame selection (-2)
--arpreplay : standard ARP-request replay (-3)
--chopchop : decrypt/chopchop WEP packet (-4)
--fragment : generates valid keystream (-5)
--caffe-latte : query a client for new IVs (-6)
--cfrag : fragments against a client (-7)
--test : tests injection and quality (-9)
Notre commande pour l'attaque -1 fakeauth (association & authentification) sera:
aireplay-ng -1 0 -e Livebox-a1b2 -a 00:16:41:C9:E0:3F -b 00:16:41:C9:E0:3F -h 00:12:F0:6F:ED:38 wlan0
Livebox-a1b2: essid (nom du réseau wifi)
00:16:41:C9:E0:3F: adresse mac du point d'accès
00:12:F0:6F:ED:38: adresse mac du client ("station" sous airodump-ng)
wlan0: notre interface wifi
On peut voir qu'avant d'envoyer les paquets d'association au point d'accès, aireplay-ng a remplacé l'adresse mac de notre carte wifi par celle spécifiée dans le paramètre -h (celle de la station) afin que nous puissions communiquer avec le point d'accès. L'association a été immédiate, le message "association successfull :-)" confirme le succès de l'opération.
4/ Aireplay-ng -3, l'attaque par rejeu d'arp (injection de paquets)
Nous allons maintenant lancer l'attaque aireplay-ng -3 (attaque par rejeu d'arp). Les anciennes versions de la suite aircrack-ng permettaient de cracker une clé WEP avec 1 millions d'Ivs, entre la capture, l'injection et le crack il fallait bien souvent pas loin d'une heure pour cracker le réseau. La version actuelle de la suite aircrack-ng utilise l'algorithme "PTW" qui permet de cracker un réseau WEP 128 bits avec à peine 45000 datas. Cependant, l'algoritme PTW n'utilise pas les Ivs, mais les arp pour le crack. C'est la raison pour laquelle l'attaque par rejeu d'arp est la solution la plus performante et la plus rapide pour cracker une clé WEP.
Notre commande pour l'attaque -3 standard ARP-request replay (rejeu d'arp) sera:
aireplay-ng -3 -e Livebox-a1b2 -a 00:16:41:C9:E0:3F -b 00:16:41:C9:E0:3F -h 00:12:F0:6F:ED:38 -x 600 -r out-01.cap wlan0
Livebox-a1b2: essid (nom du réseau wifi)
00:16:41:C9:E0:3F: adresse mac du point d'accès
00:12:F0:6F:ED:38: adresse mac du client ("station" sous airodump-ng)
600: nombre de paquets par secondes qui seront injectés (à règler en fonction de la qualité du signal wifi)
out-01.cap: notre fichier de capture airodump-ng
wlan0: notre interface wifi
Une fois l'attaque lancée, on peut voir en bas le nombre d'arp requests (requetes arp) contenus dans notre fichier de capture. A partir de 40000 arp, il est possible de cracker une clé WEP 128 bits.
Les requetes arp sont également sauvegardées dans un fichier appelé replay-arp-date-heure.cap. On peut voir qu'aireplay-ng vient de créer ce fichier:
Retournons dans notre shell airodump-ng pour découvrir ce qu'il se passe. On peut y voir les effets de notre attaque:
-La colonne "Data" augmente, ce qui signifie que le fichier de capture contient des Ivs.
-La colonne "#/s" indique 167, ce qui signifie que nous captons 167 datas/seconde
Quelques minutes de patience s'imposent, une fois que les datas et arp commencent à atteindre un nombre intéressant (10000 arp pour une clé WEP 64 bits, 40000 arp pour une clé WEP 128 bits) nous pouvons ouvrir un nouveau shell et lancer aircrack-ng pour cracker la clé WEP du réseau.
5/ Aircrack-ng, comment cracker une clé WEP en quelques minutes
Aircrack-ng est très simple d'utilisation. usage: aircrack-ng [options] <.cap / .ivs file(s)>
En tapant aircrack-ng dans le shell vous découvrirez les différentes options disponibles. Pour ce type de crack, la commande est basique:
aircrack-ng nom-du-fichier-de-capture
Dans notre exemple:
aircrack-ng out-01.cap
Aircrack-ng se lance et se met au travail:
Assez rapidement (on peut le voir sur le compteur, ici cela n'a pris que 3 minutes)...
KEY FOUND!
Ce tutoriel explique et démontre la vulnérabilité des réseaux wifi encryptés en WEP. On ne le répètera jamais assez, le WEP c'est périmé, passez au WPA!
Tutorial Aircrack-ng backtrack http://www.tuto-fr.com/tutoriaux/tutorial-crack-wep-aircrack.php
Le tutorial d'aircrack-ng
Aircrack-ng:
Pour tester la sécurité de votre réseau wifi, nous avons besoin de la suite aircrack-ng anciennement aircrack.
Par abus de language, on utilisera parfois la dénomination aircrack m�me pour aircrack-ng et ses composants.
Cette suite fonctionne sous windows et linux mais certaines fonctionnalités quasi indispensables sont impossibles sous Windows (l'injection de paquets par exemple) c'est pourquoi nous utiliserons une suite linux live (pas d'installation et aucunes connaissances requises): Backtrack, une distribution spécialisée dans les tests d'intrusion.
Il existe biensur d'autre distributions comme whax ou encore troppix (toutes ces distrib sont particulièrement adaptées au cracking wep mais une ubuntu ou autre fera très bien l'affaire)
Dans ces distributions, tout est déjà préinstallé : les drivers des cartes wifi et tous les logiciels nécessaires (aireplay, airodump, aircrack, wireshark, kismet ..).
Par contre, toutes les cartes wifi ne sont pas supportées, en gros cela dépend de leur chipset, voici une liste non exhaustive des cartes et de leurs possibilités:
Liste de cartes wifi compatibles mode monitor + aircrack-ng
Personnellement le tutorial a été réalisée avec une carte wifi usb alfa Awus036s.
Pour des raisons de confidentialité tous les noms des réseaux (ESSID) ont été masqué mis à part celui dont on s'occupe.
Les adresses mac (BSSID) ont-elles aussi été censurées partiellement, j'ai laissé affiché que la première partie des adresses mac qui correspond au constructeur du matériel. (liste des adresse mac qui donne le constructeur)
Je le répète, vous ne pouvez tenter de pénétrer un réseau que si celui-ci est le votre ou si vous avez l'accord de son propriétaire !!!
Voici également un tutorial pour installer aircrack sur un routeur type Wrt54g avec openwrt (puissant)
Prelude
La suite aircrack-ng comprend plusieurs programmes dont les 3 principaux sont
* airodump-ng, le logiciel de capture de paquets, c'est lui qui scan les réseaux et conserve les paquets qui serviront à décrypter la clef.
* aireplay-ng, un logiciel dont la principale fonction est l'envois de paquets dans le but de stimuler le reseau et capturer plus de paquets.
* aircrack-ng, le logiciel de crack de clef, c'est un logiciel qui à partir des informations capturées à l'aide d'airodump va nous donner la clef (si biensur on en a un nombre suffisant).
Pour de meilleure chances de réussite, il est recommandé d'avoir un ordinateur connecté en wifi sur le point d'acces cible et qu'il généère du traffic (téléchargements ...).
M�me s'il existe des methode d'injections de paquets sans stations, elles sont d'une part plus complexes mais possèdent aussi un plus faible pourcentage de réussite nous detaillerons donc plus precisement la methode avec station car plus fiable.
1:// Backtrack :
Bon on rentre un peu dans le vif du sujet maintenant :
Procurez vous backtrack (prenez la dernière version, actuellement backtrack 2 finale)
Backtrack est un live cd et non un logiciel: explications
Si vous utilisez d'autre live cd comme whax ou troppix, le fonctionnement est quasi identique mais il est tout de m�me conseillé de passer à backtrack qui dispose de plus de fonctionnalités et compatibilitées
Gravez la distrib sur une belle galette mettez la de coté 2 secondes. En parallèle, je vous conseille de créer une partition FAT32 de 2 ou 3 giga.
L'avantage du FAT32 c'est qu'il est lisible par windows et linux.
Cette partition va en fait servir à stocker les paquets capturés et les différents fichiers nécessaires pour le crack de la clé wep.
Cette partition n'est pas indispensable mais recommandée si vous ne disposez que de peu de RAM (128 ou moins) car la distrib backtrack est un live cd donc les fichiers de capture sont stockés dans la ram.
Le fait d'avoir une partition fat32 vous permet aussi d'arrêter le pc et de redémarrer sans perdre tous les paquets déjà capturés par airodump-ng !!! (il y a aussi les clef usb ;) )
Par contre votre partition ne portera pas le même nom sous linux que sous Windows, mettez donc un fichier particulier dedans pour pouvoir la reconnaître.
Apres avoir booté sur backtrack vous tombez sur un écran de login.
Le login est root, le mot de passe est toor et pour lancer le mode graphique tapez startx (il faut taper sqrtx car le clavier est anglais
Vous tombez ensuite sur cet écran : (clic pour agrandir)
La première chose à faire est de passer en clavier français c'est plus agréable :).
Pour ce faire : clic droit sur l'icône du drapeau américain en bas à droite puis sélectionnez français.
Ensuite ouvrez une console :
l'interface est KDE donc pour ouvrir c'est simple clic partout, suffit juste de s'y habituer ;)
Puis tapez "airmon-ng" pour détecter les interfaces wifi puis sélectionnez celle que vous voulez démarrer avec la commande "airmon-ng start « l'interface wifi » "
Ici on voit que la carte est correctement reconnue et que le mode monitor est directement activé. Le mode monitor permet de capter tous les paquets qui transitent même ceux qui ne vous sont pas adressés. (aussi appelé mode promiscuous)
Si vous avez une carte à chipset atheros la gestion est très légerement différente, en effet avec une unique carte, vous pouvez en créer plusieures dites virtuelles. Elles ont toute le m�me père noté wifi0
Lorsque vous passer votre carte en mode monitor, vous utilisez le père: airmon-ng start wlan0.
Il va ensuite vous créer une interface athX (X allant de 0 à 4) et vous afficher qu'il la passe en mode monitor. A partir de ce moment la vous utiliserez cette interface (athX) pour toutes les commandes suivantes.
Ici ath1:
Si vous avez une carte wifi à chipset ralink (comme dans ce tuto) il se peut que vous ayez à démarrer au préalable votre interface avec la commande:
ifconfig rausb0 up
C'est une zéro, pas un Ho majuscule.
Si vous utilisez déjà une autre distribution linux ou si vous souhaitez installez la dernière version de la suite aircrack pour bénéficier des nouvelles fonctionnalitées (dont aircrack-ptw) reportez vous à la partie 4BIS du tuto.
2:// Airodump :
Maintenant nous allons commencer à scanner les réseaux wifi avec airodump qui fait partie de la suite aircrack-ng :
On tape dans la console:
airodump-ng --write "NomFichierSortie" --channel "NumeroChannel" "Interface"
exemple:
airodump-ng --write tuto --channel 11 rausb0
Les paramètres sont:
• "--write tuto" --write indique que l'on souhaite enregistrer la capture, il est suivis du nom du fichier dans lequel on enregistre justement.
• "--channell XX" Indique sur quel channel on scan
Pour choisir de scanner tous les canaux ne precisez pas "--channel XX" et le scan se fera sur tous les channel, 1 par 1.
Voir la documentation airodump-ng pour plus de details
Si vous avez choisi de d'utiliser une partition FAT32, vous devez vous placer dans cette partition avec la console afin d'y enregistrer vos fichiers de capture et autres. (mini tuto navigation sous linux)
Une fois lancé airodump vous obtenez ceci:
Je suis en résidence étudiante donc y a pas mal de monde :D.
La colonne BSSID correspond à l'adresse mac des points d'accès (AP)
La colonne ESSID correspond au nom du réseau (monRezoWifi, Wanadoo-XXXX, WiFI-freebox.)
La colonne power donne une indication de la puissance de reception, cette information peut foirer (-1) cela n'influ en rien la puissance de reception réelle , une bonne indication est la vitesse de défilement des beacons
La première partie correspond aux points d'accès et la seconde partie aux stations (en gros les ordinateurs qui se connectent aux AP).
La colonne qui nous intéresse est la colonne des IVs, la colonne #data, c'est ces "bouts de fichiers" qui vont nous permettre de cracker notre clef wep aucun rapport avec la colonne beacons completement inutile pour le crack.
Ici l'AP cible "tuto-fr.com" est le seul dont le Essid n'est pas totalement masqué. Pour plus de performance dans la capture des paquets, on relance airodump en choisissant seulement le canal ou il se situe : le 2 et en mettant un filtre sur son bssid
airodump-ng --write capture_tuto -channel 2 --bssid 00:11:22:33:44:55 rausb0
Pour arrêter la capture et pouvoir entrer des commandes faites Ctrl+C.
Vous êtes également obligés de stopper la capture si vous souhaitez copier une adresse mac car l'écran se rafraichi.
Pour plus de détails sur airodump tapez uniquement « airodump-ng » dans la console et l'aide apparaîtra (idem pour aircrack et airplay et toutes les commandes linux) ou consultez la documentation airodump-ng.
Une fois que l'on a des stations dont une qui est connecté à l'AP qui nous intéresse on doit voir les #data augmenter s'il y a du traffic et airodump nous indique dans la colonne ENC le cryptage utilisé (WEP, WPA, OPN).
Certains point d'acces (livebox ...) possède un mode dit d'association, en clair un filtrage sur les adresses mac (collonne STATION). Il peut donc �tre necessaire de connaitre une adresse mac d'un ordinateur (station) déja accepté par le point d'accès car toutes les autres sont automatiquement rejetées.
Pour aireplay, le programme qui va envoyer des paquets, on a justement besoin de cette adresse mac, en fait on se fait passer pour l'ordinateur qui a le droit d'accès à l'AP en spoofant son adresse mac pour pouvoir par exemple injecter des paquets ensuite.
Maintenant que l'on sait que le cryptage est WEP, qu'une station est présente et qu'il y a du trafic (quelques data en peu de temps), on va lancer aireplay, un injecteur de paquets pour accélérer le trafic et surtout stimuler les IVs
Il faut savoir que pour cracker la clef wep d'un réseau wifi, il est préférable qu'il y ai un minimum de trafic. Par expérience la capture de IVs est beaucoup plus rapide, et de plus ils sont plus diversifiés car le crackage de la clef wep nécessite moins de IVs.
3:// Aireplay :
3.1:// Fake authentication
Pour lancer aireplay, ouvrez une nouvelle console, la première servira pour airodump-ng (laissez tourner airodump).
On va en premier lieu tester l'association avec le point d'acces avec une attaque "-1" dite de fake authentication.
La synthaxe est la suivante:
aireplay-ng -1 0 -e ESSID -a @_mac_AP -h @_mac_station interface
Les paramètres sont:
• "-1 0" -1 indique une fake authentication et 0 indique le temps a laisser entre 2 tentatives (ici nul).
• "-e ESSID" ici il faut remplacer ESSID par le nom du reseau colonne ESSID.
• "-a adresse-mac-de-l'AP" colonne BSSID.
• "-h adresse-mac-de-la-station" colonne STATION.
• "interface" a remplacer par le nom de votre interface (rausb0, ath1 ...)
Cette étape n'est pas indispensable, elle peut servir à tester si le point d'acces possède un filtrage d'addresse mac, mais le protocole n'est pas super fiable, il arrive que m�me avec une bonne adresse mac on obtienne une erreure ou pas de reponse.
Certain AP n'ont pas de filtrage d'adresse mac et vous pouvez en mettre une au hasard.
Il se peut que si vous ne captiez pas très bien le signal (si le power est bas) que l'authentification succesful et l'association ne soient pas instantanées :
Et là l'exemple est court mais vous pouvez facilement en avoir 40 lignes .
Voici un petit schéma qui vous montre les relations entre les paramètres d'aireplay et la capture de airodump :
3.2:// Injection de paquets :
L'injection de paquets est la clef pour réussir un crack wep rapidemment. En effet il est necessaire de capturer beaucoup de Ivs pour trouver la clef wep (conseillé 1 000 000 pour une 128 les plus courantes) donc si on ne veut pas y passer la semaine il faut mieu stimuler le reseaux.
On utilise aireplay là encore pour injecter des paquets. On modifie et on ajoute simplement quelques paramètres.
L'attaque la plus prolifique pour générer des Ivs est l'attaque "-3" dite de réinjection d'ARP.
La synthaxe est la suivante:
aireplay-ng -3 -e ESSID -b @_mac_AP -h @_mac_station interface
On peut ajouter le paramètre "-x XXX" ou XXX représente la vitesse d'injection. Par defaut 600 paquets/s.
Il est conseillé d'augmenter ou de diminuer cette valeure en fonction de la qualité et de la puissance du signal de l'AP.
Dans certains cas, si vous injecter trop vite, vous pouvez faire planter l'AP aussi !
Pour airodump, les IVs sont importants mais notez que pour aireplay lors d'une attaque par réinjection, les ARP le sont tout autant, se sont eux qui vont vous permettre d'augmenter la production de IVs.
Aireplay vous sauvegarde donc les arp capturés dans un fichier qu'il créé à chaque fois qu'il est lancé.
Ce fichier se trouve dans le répertoire à partir duquel vous avez lancé airplay.
On peut réutilisez les anciens ARP en ajoutant le paramètre "-r" suivi du nom de fichier cité précedemment ou le fichier de capture (celui de airodump).
Ce paramètre indique dans quel fichier lire pour voir s'il contient des ARP. Ce sont ces arp justement qui vont nous permettre d'influencer le trafic en les réinjectant.
N'oubliez pas de vous placer dans le même répertoire.
Pour vous éviter de tout taper, vu que la syntaxe est quasiment identique qu'avec le paramètre -1 appuyé sur la flèche haute pour retrouver ce que vous aviez entré précédemment.
Les arp sont obtenus en lisant le fichier indiqué et/ou en écoutant le réseau comme le fait airodump.
Dès que l'on a un arp, aireplay commence à envoyer des paquets et normalement si tout se passe bien, les IVs augmentent.
Et c'est la cas ils augmentent, regardez la colonne IVS/s qui indique le nombre de Ivs par seconde:
Si l'injection se déroule bien, les Ivs augmentent mais les ARP capturés dans aireplay également: (image issue d'un autre crack)
Si vous ne parvenez pas à capturer un ARP, une bonne manière d'un générer un est de déconnecter puis reconnecter la station ou à partir de la station de pinguer une adresse du reseau non atribuée.
On peut forcer une station à se déconnecter avec aireplay et une attaque de des-authentification (ne fonctionne pas toujours) lien
Comme je disais tout à l'heure il existe d'autres attaques pour générer des Ivs et qui ne necessitent pas forcement la presence d'une station.
Notamment les attaques chopchop et par fragmentation
4:// Aircrack :
Sachant qu'il faut environ 300 000 IVs pour cracker une clef wep 64bits
Et environ 1 000 000 pour une clef wep 128 ça va assez vite :D.
Il est donc conseillé de lancer une première fois aircrack des que l'on a 300k paquets si on suppose que la clef peut être de 64 bits.(beaucoup plus courant que l'on ne le croit ...)
Pour cela dans les paramètre de aircrack-ng, il suffit de rajouter -n 64, et aircrack va tenter de cracker la clef wep comme si c'était une clef 64 même s' il s'avère que c'est une 128.
Ouvrez une nouvelle console et lancez aircrack.
N'oubliez pas de vous placer dans le dossier contenant les fichiers de airodump si vous avez créé une partition FAT32.
La synthaxe est la suivante:
aircrack-ng -x fichier_capture
Le paramètre -x permet de ne pas bruteforcer les 2 derniers bits. (ça accélère le crack en principe)
Ensuite le dernier paramètre est le nom du fichier de capture de airodump.
Vous pouvez également utiliser la syntaxe « *.cap » et « *.ivs » pour ouvrir tous les fichiers .cap et .ivs.
Ce qui donnerais :
« aircrack-ng -x *.cap *.ivs »
Une fois lancé aircrack nous affiche tous les réseaux qu'il a rencontré, leur cryptage et le nombre de IVs correspondant. Il vous suffit d'entrer le numéro du réseau : ici 1 et de lancer aircrack.
Et là il commence à cracker la clef wep:
Pendant ce temps la capture avec airodump se poursuit et aircrack incrémente automatiquement les IVs et s'en sert pour cracker la clef wep.
La, il vous suffit de laisser tourner et la clef wep devrait apparaître d'elle même si le crack fonctionne.
En gros ça fonctionne statistiquement par rapport aux IVs et par un systeme de vote, plus un bit a de vote par rapport au autres bit du meme rang, plus il a de chances d'etre le bon.
Et après un petit temps d'attente:
Si jamais cela ne fonctionnait pas, augmentez le fudge factor de aircrack en rajoutant un paramètre « -f chiffre en 2 et 10 »
Exemple :
« aircrack-ng -x -0 *.cap *.IVs -f 4 »
Par défaut le fudge factor est à 2.
Aircrack utilise 17 type d'attaques statistiques crées par Korek.
Vous pouvez choisir de désactiver l'une d'entre elles les une apres les autres si jamais vous avez bcp de IVs mais que le crackage foire (je vous conseil plutot de repartir de 0 ;) )
Exemple :
« aircrack-ng -x -0 *.cap *.IVs -k 4 »
« aircrack-ng -x -0 *.cap *.IVs -k 12 » ...
On peut bien entendu combiner avec le fudge factor
Si jamais vous avez + de 3M de IVs que vous avez capturé alors qu'il y avait du trafic (bcp) et que l'attaque foire il peut y avoir plusieurs raisons :
-Le réseau a changé de clef mais bon ça vous devriez le savoir puisque vous en êtes le proprio
-Le fichier de capture est corrompu
-Z'avez trop pas de chance :s
...
4_BIS:// Aircrack-ptw et nouvelles version d'aircrack-ng :
La suite aircrack-ng est en constante évolution et des nouvelles versions sortent souvent, apportant leurs lot d'améliorations. Malheureusement, les versions de backtrack sont moin frequentes aussi backtrack n'inclu pas la dernière version d'aircrack-ng
Or depuis peu, un nouvel algorithme de crack a vu le jour et il est REDOUTABLE, on peut cracker des clef wep avec 40 000Ivs (au lieu de 1 000 000 !), il s'agit d'aircrack-ptw dont les fonctionnalités sont implentées dans les dernière version d'aircrack-ng
Pour installer justement la dernière version sur backtrack, il faut soit la télécharher à partir de backtrack, soit la placer sur une clef usb au préalable. Pour la télécharger, utilisez la synthaxe "wget URL".
Les clefs usb sont montées automatiquement sous backtrack qui vous ouvre une fen�tre vous demandant de parcourir votre clef. Copiez le fichier .tar.gz d'aircrack sur le bureau puis ouvrez une console.
On va maintenant l'installer. Pour ce faire, on dois d'abord se placer sur le bureau(cd Desktop/) puis décompresser l'archive (tar zxvf aircrack-ng-0.9.tar.gz) puis se placer dans le dossier decompressé (cd aircrack-ng-0.9/) et enfin, on compile et on instale ("make" puis "make install")
Et voilou, vous pouvez maintenant utiliser la dernière version d'aircrack-ng qui inclus aircrack-ptw
Pour utiliser l'algorithme d'aircrack-ptw avec aircrack-ng, il vous suffit d'ajouter le paramètre -z à la ligne de commande d'aircrack-ng
aircrack-ng -z *.cap
L'attaque ptw est particulièrement efficace si l'on a beaucoup d'ARP, donc notamment si on réalise une injection d'ARP avec aireplay-ng -3. Avec aircrack-ptw, on crack facilement son reseau en 5 minutes chrono!
Par contre aicrack-ptw utilise uniquement les fichiers de capture .cap et non .ivs, et il n'utilise pas tous les .ivs
Ce topic sur aircrack-ptw contient un peu plus d'info et des exemples de crack ;)
5://Configuration de la connection :
Bon maintenant c'est bien beau vous avez la clé wep, vous la connaissiez surement en ascii, ici, vous l'avez en hexa.
Ne confondez pas les 0 (zéros )avec des o (HO) majuscules car le codage est hexadécimal, les seules possibilités sont zéro à 9 et A à F.
Bon maintenant on a la clef wep, il ne nous manque plus que le plan d'adressage du réseau. Cependant, il est bien souvent inutile car la quasi-totalité des réseaux utilisent dhcp, c'est-à-dire ip automatique : vous vous connectez à l'accès point et il vous attribut une ip.
Vous pouvez donc tenter de vous connecter avec windows (attention sous windows, il faut enlever les « : » entre les parties de la clef et si il y a un filtrage d'adresse mac : Changer son adresse mac sous windows ) ou alors avec backtrack qui intègre un module de connection wifi.
5.1://En mode console :
Si vous passez par backtrack vous pouvez aussi le faire en mode console :D.
Les commandes du mode console sont :
Tout les paramètre de votre configu wireless s'affichent en tapant :
iwconfig ath0
Passage en mode managed :
« iwconfig ath0 mode managed »
Configuration de la clef wep :
« iwconfig ath0 key xx :xx :xx :xx :xx :xx »
Vous pouvez parfaitement combiner les paramètres :
« iwconfig ath0 mode managed key xx :xx :xx :xx :xx :xx »
5.2://Avec le module de backtrack 2:
Pour l'utiliser vous devez d'abord passer votre carte en « mode managed » pour cela tapez :
« iwconfig ath0 mode managed »
Et si vous souhaiter repasser en mode monitor pour la capture de paquets il vous suffit de mettre : « iwconfig ath0 mode monitor »
Si l'AP applique un filtrage d'adresse mac changez votre adresse mac et remplacez la par celle d'une station qui s'est connectée a l'AP :
Changer son adresse mac sous linux
Changer son adresse mac sous windows
Ensuite pour ouvrir l'assistant, allez dans le menu démarrer puis choisissez « Internet/wireless assistant » et configurez pépère votre réseau. (si dhcp ne fonctionne pas essayer sous windows ou voir plus bas pour trouver l'adressage du réseau)
Le module vous dira si la connection est réussie ou non.
Et vous pouvez toujours tester par une commande de type :
« ping www.google.fr »
5.3:// Changer son adresse mac :
5.3.1:// Sous linux :
Si l'AP applique un filtrage d'adresse mac changez votre adresse mac et remplacez la par celle d'une station qui s'est connectée a l'AP :
Pour se faire vous devez en premier éteindre le périphérique wifi :
ifconfig ath0 down
Puis pour changer l'adresse mac :
« ifconfig ath0 hw ether xx :xx :xx :xx :xx :xx » (remplacer xx :xx. par l'adresse mac de la station : son bssid)
Dernière étape : activation de dhcp :
« dhcp ath0 »
Si vous avez le retour de console c'est que c'est réussi pour dhcp (si dhcp ne fonctionne pas essayer sous windows ou voir plus bas pour trouver l'adressage du réseau)
Ensuite faite un « ping www.google.fr » pour vérifier que tout fonctionne.
5.3.2:// Sous widows :
Si jamais vous devez changer votre adresse mac sous windows, aller dans :
« démarrer/ panneau de configuration/performance et maintenance/système » Onglet matériel puis gestionnaire de périphériques.
Choisissez la catégorie carte réseau, choisissez votre carte et faites clic droit/ propriétés. Choisissez l'onglet avancé et vous devez avoir une catégorie adresse mac ou équivalente. Choisissez administrer localement et mettez la valeur d'adresse mac que vous voulez (en particulier le bssid de la station)
Vous pouvez également utiliser etherchange un programme pour windows qui change votre adresse mac.
Télécharger etherchange.
Lancez le choisissez l'interface reseau dont vous voulez changer l'adresse physique puis entrez l'adresse mac de remplacement :D Et voila ;)
6:// Trouver l'addressage du reseau :
Ici nous allons parler de wireshark, anciennement ethereal, les screen ont été fait avec ethereal il peut y avoir de légères differences
Si le réseau ne possède pas de dhcp ou si le dhcp est désactivé vous devez trouver le plan d'adressage du réseau.
Dans la plupart des cas il s'agit de
192.168.1.xxx avec le point d'accès 192.168.1.1 et le masque de sous réseau 255.255.255.0
Cependant il existe un moyen simple rapide et sur de connaître l'ip du point d'accès grâce à wireshark un sniffeur de réseau.
Vous devez obligatoirement posséder la clef wep pour trouver l'ip
Pour lancer wireshark, entrez simplement wireshark dans une cosole
Configurer wireshark pour qu'il décrypte les paquet avec la clef wep que vous venez juste de trouver (sinon vous n'aurez pas les ip) :
Faites : « Edit/préférences/protocols/IEEE 802.11 » (pour ouvrir protocols cliquez sur le petit triangle ensuite appuyez sur la touche i pour tomber directement sur IEEE 802.11)
Et configurez la clef wep :
Cochez bien « Assume packets have FCS »
Confirmez avec ok puis commencez la capture :
Faites « capture/options »
Choisissez l'interface (ath0)
Cochez la case (capture paquets in promiscuous mode)
Cochez la case enable network name résolution
Cliquez sur capture et la capture commence :D.
Vous allez vous retrouvez avec un sacré paquets de paquets :P :
Pour n'afficher que ceux qui vous intéressent appliquez un filtre dans la case filter.
Un filtre de type « (wlan.bssid == bssid de l'ap) && (TCP) marche du tonnerre
En fait vous choisissez de voir que les paquets transportés par protocole TCP et dont le bssid est celui indiqué :
Et là : Bingo, on trouve l'ip.
Si vous laissez tourner un peu on peu même avoir d'autres information et confirmer l'ip :
Et voila le boulot est terminé, vous avez l'adressage du réseau, l'adresse mac de la station, et la clef wep il vous reste plus qu'a vous connecter sur votre reseaux (tout ca pr ça ;) ) et passer en WPA ;).
En cas de soucis, le forum de support est là pour vous aider (lisez bien le tuto quand même ;)
Annexes :
exemple d'un reseau OPN (non crypté) :
Injection de paquet sous Windows :
Il existe differents logiciels pour faire de l'injection de paquets wifi sous plateforme win32.
Notamment pour les cartes à chipset Atheros:
Telecharger commView for WiFi ou sur le site de l'editeur.
Voici une liste des cartes supportées par commView
Pour les cartes à chipset Prism:
Download airGobbler Packet Generator ou sur le site de l'éditeur.
Articles
