In attesa del workshop Wifi4all, previsto per la prossima edizione di Info Free Flow nella giornata di sabato 23 febbraio continuiamo con la pubblicazione delle traduzioni dei tutorial di Aircrack-ng. L’ultima traduzione che vi avevamo proposto aveva come obbiettivo il craccaggio di una chiave wep nella situazione in cui non vi fossero client connessi all’access point, ed utilizzava due diversi tipi di tecniche: l’attacco chopchop e l’attacco a frammentazione. Oggi approfondiremo quest’ultimo.
ATTACCO A FRAMMENTAZIONE
- DESCRIZIONE
Questo attacco, se riesce, può garantire 1500 byte di PRGA (algoritmo di generazione pseudo-randomica). Questo attacco non recupera la chiave WEP in sé, ma ottiene solamente il PRGA. Il PRGA può essere utilizzato per generare pacchetti con packetforge-ng, che a loro volta si utilizzano per svariati attacchi di iniezione. Si deve ricevere almeno un pacchetto dati dall’access point per iniziare l’attacco.
Di base, il programma ottiene un piccolo ammontare di materiale di chiave dal pacchetto, poi prova a mandare pacchetti ARP e/o LLC di contenuto noto all’access point (AP). Se il pacchetto viene reinviato con successo dall’AP, si può ricavare dal pacchetto di ritorno una maggiore quantità di informazioni di chiave. Il ciclo si ripete diverse volte, finché non si ottengono 1500 byte di PRGA o a volte anche meno.
Il paper originale, The Fragmentation Attack in Practice, di Andrea Bittau, fornisce una descrizione tecnica molto più dettagliata del metodo. Una copia locale si trova qui. Ecco le slide di presentazione di un paper correlato. Una copia locale delle slide si trova qui. Consultate anche il paper "The Final Nail in WEP’s Coffin" in questa pagina.
- UTILIZZO
________________________
aireplay-ng -5 -b 00:14:6C:7E:40:80 -h 00:0F:B5:AB:CB:9D ath0
________________________
Dove:
– -5 sta per ‘avvio dell’attacco a frammentazione’
– -b 00:14:6C:7E:40:80 è l’indirizzo MAC dell’access point
– -h 00:0F:B5:AB:CB:9D è l’indirizzo MAC di origine dei pacchetti da iniettare
– ath0 è il nome dell’interfaccia
Opzionalmente, si possono applicare i seguenti filtri:
– -b bssid : indirizzo MAC, Access Point
– -d dmac : indirizzo MAC, Destinazione
– -s smac : indirizzo MAC, Origine
– -m len : lunghezza minima del pacchetto
– -n len : lunghezza massima del pacchetto
– -u type : frame control, [campo tipo]
– -v subt : frame control, [campo sottotipo]
– -t tods : frame control, frammento ‘To DS’
– -f fromds : frame control, frammento ‘From DS’
– -w iswep : frame control, frammento ‘WEP’
Opzionalmente, si possono impostare le seguenti opzioni di replica:
-k IP : imposta l’IP di destinazione [in frammenti] – default 255.255.255.255
-l IP : imposta l’IP sorgente [in frammenti] – default 255.255.255.255
- ESEMPIO DI UTILIZZO
Essenzialmente avviate l’attacco con il comando seguente, poi scegliete il pacchetto che volete provare:
_________________________
aireplay-ng -5 -b 00:14:6C:7E:40:80 -h 00:0F:B5:AB:CB:9D ath0
Waiting for a data packet…
Read 96 packets…
Size: 120, FromDS: 1, ToDS: 0 (WEP)
BSSID = 00:14:6C:7E:40:80
Dest. MAC = 00:0F:B5:AB:CB:9D
Source MAC = 00:D0:CF:03:34:8C
0x0000: 0842 0201 000f b5ab cb9d 0014 6c7e 4080 .B……….l~@.
0x0010: 00d0 cf03 348c e0d2 4001 0000 2b62 7a01 ….4…@…+bz.
0x0020: 6d6d b1e0 92a8 039b ca6f cecb 5364 6e16 mm…….o..Sdn.
0x0030: a21d 2a70 49cf eef8 f9b9 279c 9020 30c4 ..*pI…..’.. 0.
0x0040: 7013 f7f3 5953 1234 5727 146c eeaa a594 p…YS.4W’.l….
0x0050: fd55 66a2 030f 472d 2682 3957 8429 9ca5 .Uf…G-&.9W.)..
0x0060: 517f 1544 bd82 ad77 fe9a cd99 a43c 52a1 Q.D…w…..<R.
0x0070: 0505 933f af2f 740e …?./t.
Use this packet ? y
______________________
Il programma risponde (circa):
________________________
Saving chosen packet in replay_src-0124-161120.cap
Data packet found!
Sending fragmented packet
Got RELAYED packet!!
Thats our ARP packet!
Trying to get 384 bytes of a keystream
Got RELAYED packet!!
Thats our ARP packet!
Trying to get 1500 bytes of a keystream
Got RELAYED packet!!
Thats our ARP packet!
Saving keystream in fragment-0124-161129.xor
Now you can build a packet with packetforge-ng out of that 1500 bytes keystream
________________________
Avete ottenuto con successo il PRGA che è contenuto nel file nominato dal programma. Potete utilizzare ora packetforge-ng per generare uno o più pacchetti da usare per diversi attacchi di iniezione.
- CONSIGLI DI UTILIZZO
– L’indirizzo MAC dell’origine utilizzato nell’attacco deve essere associato all’access point. Per farlo, potete usare la falsa autenticazione od usare un indirizzo MAC di un client wireless esistente.
– Con i driver madwifi-ng (chipset Atheros) dovete cambiare l’indirizzo MAC della vostra scheda nell’indirizzo MAC che inietterete, altrimenti l’attacco non funzionerà. Consultate questo passaggio delle FAQ riguardo a come cambiare l’indirizzo MAC della vostra scheda.
– L’attacco a frammentazione invia un ampio numero di pacchetti che devono essere tutti ricevuti dall’AP affinché l’attacco riesca. Se un qualsiasi pacchetto viene perduto, l’attacco fallisce. Ciò significa che dovete avere una connessione di buona qualità, oltre ad essere ragionevolmente vicini all’AP.
– La pagina dei tutorial presenta alcune guide che utilizzano l’attacco a frammentazione. Queste forniscono esempi aggiuntivi su come usarlo, oltre ad informazioni riguardo all’utilizzo ed alla risoluzione dei problemi.
– Quando scartare un pacchetto? Potreste chiedervi se in certi momenti dovreste dire "no" nel selezionare uno specifico pacchetto. Certo, se scegliete un pacchetto che prima non funzionava, potete evitare questo tipo di pacchetto la prossima volta. Esempi possono essere strani indirizzi MAC multicast, o qualunque altra cosa sospetta.
- RISOLUZIONE DEI PROBLEMI D’UTILIZZO
– Assicuratevi che la vostra scheda possa iniettare con successo. Utilizzate il test d’iniezione per confermare la capacità d’iniezione della vostra scheda.
– Assicuratevi che il MAC che utilizzate per l’iniezione sia associato con l’AP.
– Assicuratevi di essere sullo stesso canale dell’AP.
– Consultate inoltre gli argomenti generali di risoluzione dei problemi in aireplay-ng: aireplay-ng usage troubleshooting.
Sebbene non rappresenti un consiglio mirato per la risoluzione dei problemi riguardo all’attacco a frammentazione, se non siete in grado di portarlo a segno, ce ne sono altri che dovreste prendere in considerazione:
-Attacco ChopChop di Korek: ( 1 e 2 ) Questo è un metodo alternativo per ottenere il PRGA per costruire pacchetti per l’iniezione a seguire.
–Metodo -p 0841 : Questa tecnica vi permette di reiniettare qualunque pacchetto dati ricevuto dall’access point e generare IV.
Ultimi commenti