[SOLUCIONADO] Airbase-ng. Mi AP falso desaparece después de unos minutos.

  • 12 Respuestas
  • 733 Vistas

0 Usuarios y 2 Visitantes están viendo este tema.

Desconectado DaWrench

  • *
  • Underc0der
  • Mensajes: 15
  • Actividad:
    43.33%
  • Reputación 0
    • Ver Perfil
Buenas.

Hace unos meses que empecé a aprender hacking y ahora mismo estoy aprendiendo a hackear redes wifi y estoy atascado en los ataques del palo Evil Twin.

El caso es que siempre que creo un Ap falso con airbase-ng, no sólo apenas lo detectan otros dispositivos, sino que después de 1-2 minutos el AP desaparece del escáner de airodump, pese a que airbase indica que sigue activo.

Una imagen vale más que mil palabras:

En primer lugar ejecuto airodump-ng.


Luego creo el AP falso con airbase-ng,llamado None-invitados. Como vemos, airodump lo detecta.


Y, como digo, después, pese a que intento conectar un dispositivo (es el que pone Orange-3G), simplemente desaparece del radar de airodump, y airbase no indica ningún error ni nada.


Adjunto también unas imágenes con la información que consideré importante sobre mi tarjeta de red:



Estoy trabajando en un usb persistente con kali linux 2020.1.

He mirado por todo internet pero no encuentro a nadie con mi problema, por lo que agradecería mucho la ayuda.
« Última modificación: Abril 04, 2020, 02:41:36 am por AXCESS »

Desconectado AXCESS

  • *
  • Moderator
  • Mensajes: 743
  • Actividad:
    100%
  • Country: 00
  • Reputación 15
    • Ver Perfil
    • Email
Si es la wifi pci integrada en la laptop... no es compatible para auditorías.

Y el que “haga intentos de funcionar” no es credencial de que es compatible. Es "el no le funciona" el determinante, que las integradas o tarjetas PCI en general, (excepto rarísimas excepciones) no son compatibles para auditar.
Son los fabricantes y el diseño para el que están destinadas.

Debe adquirir una USB compatible. Revisar el listado de chipsets.

Si es de los escépticos, pruebe con uno de los muchos scripts fáciles del WifiSlax y nos cuenta.


You are not allowed to view links. Register or Login

Desconectado DaWrench

  • *
  • Underc0der
  • Mensajes: 15
  • Actividad:
    43.33%
  • Reputación 0
    • Ver Perfil
Temía que me dijeran eso.
¿No se supone que si da positivo en un injection test es capaz de realizar auditorías? Después de todo he logrado crakear mi red WPA y ver el tráfico con Wireshark.
Si aún así necesito comprarme una tarjeta usb, ¿qué marca me recomendarías?
Muchas gracias.

Desconectado AXCESS

  • *
  • Moderator
  • Mensajes: 743
  • Actividad:
    100%
  • Country: 00
  • Reputación 15
    • Ver Perfil
    • Email
La cuestión es que los fabricantes piensan en un diseño, y en el propósito o destino que va a tener su producto, e incluyen parámetros de seguridad o funciones, en los cuales se priorice y se garantice ese propósito: la conectividad, velocidad, estabilidad, seguridad, compatibilidades, etc.

A lo inverso, los developer, o creadores de las herramientas, usan muchas funciones que, en un tipo de ataque como pudiera ser el Evil Twin, demandan que se conjugue la funcionalidad de ambos dispositivos, sus drivers, la conectividad, etc.

Puede ser que un Wifi X sea compatible con un script, pero con otros no, por sus características de hardware o software (drivers fundamentalmente). Esto se considera como un modelo no compatible por su falta de integración de manera general o inestabilidad. Suele suceder, como le expliqué, con tarjetas internas PCI, algunos wifi comerciales tipo nano, o de poca potencia, algunos fabricantes de chipsets o modelos, etc. Otro tanto son las que compatibles para auditorías y con una reputación de renombre como pudiera ser algunas Alfa, se comportan algo inestables en la navegación, una vez realizado el link. Hay muchos a favor, otros en contra, y las sugerencias de los unos se contraponen a las de otros.

Le pongo estos ejemplos para que se haga una idea honesta y realista.

Le recomiendo todos los wifi que tengan chipset ralink, en especial los RT2870/RT3070. Los Atheros son muy buenos, pero debe saber escoger el tipo. También debe tener en cuenta el wattaje (potencia) entre más mejor (y no dejarse engañar por el marketing de los vendedores), así como el tipo de antena que tiene y sus dbm (si tiene conector para agregarle una antena más potente). Si es para interior o exterior (le recomiendo un diseño todo en uno para exterior). Hay antenas muy interesantes pues son duales en la frecuencia: 2,4 GHz, y 5 GHz. Particularmente, las prefiero dedicadas en una sola frecuencia.

Las marcas hay muchas en el mercado, y variables los precios. Depende mucho de su nación y el poder adquisitivo que posea.
Por ende, no le menciono un modelo en específico.
 No obstante, aquí en el foro hay una referencia hecha (post) por el Sr. ANTRAX (si mal no recuerdo) de modelos para auditorías, que está muy acertado.

Suerte.
You are not allowed to view links. Register or Login

Conectado DtxdF

  • *
  • Moderator
  • Mensajes: 685
  • Actividad:
    100%
  • Reputación 16
  • Eres un auto y tienes dos opciones: Parar o Seguir
    • Ver Perfil
    • Mi repositorio de Github donde encontraras herramientas para tu trabajo.
    • Email
@You are not allowed to view links. Register or Login

He visto que airbase-ng tiene muchos problemas a la hora de funcionar y si se da cuenta la mayoria de script's (linset, fluxion o cualquier otro) usan hostapd. Muy bueno, configurable y hasta hay forks que están más orientado al hacking, pero el original también está muy bueno.

Yo lo uso para compartir la conexión a Internet y tener un poco de control sobre lo que se hace en mi casa.

No obstante, hay miles (de forma literal) de tutoriales sobre cómo crear redes Rogue o ataques Evil twin usando esa herramienta.

Además tiene que tener en cuenta que debe configurar muchas cosas manualmente: El servidor DHCP (Yo uso dnsmasq, pero hay otro de preferencia por muchos "isc-dhcp-server"), hostapd (para crear el AP) y el firewall de toda la vida (iptables) pero hay otros.

También tiene que verificar los modos de interfaz usando el comando "iw list | less" y verificar si tiene la modalidad de AP. Pero lo ideal sería que aceptara el modo de AP, monitor y la inyección.

~ DtxdF
Los seres humanos son robots, cuyo combustible es el afanado dinero.

Desconectado DaWrench

  • *
  • Underc0der
  • Mensajes: 15
  • Actividad:
    43.33%
  • Reputación 0
    • Ver Perfil
You are not allowed to view links. Register or Login
@You are not allowed to view links. Register or Login

He visto que airbase-ng tiene muchos problemas a la hora de funcionar y si se da cuenta la mayoria de script's (linset, fluxion o cualquier otro) usan hostapd. Muy bueno, configurable y hasta hay forks que están más orientado al hacking, pero el original también está muy bueno.

Yo lo uso para compartir la conexión a Internet y tener un poco de control sobre lo que se hace en mi casa.

No obstante, hay miles (de forma literal) de tutoriales sobre cómo crear redes Rogue o ataques Evil twin usando esa herramienta.

Además tiene que tener en cuenta que debe configurar muchas cosas manualmente: El servidor DHCP (Yo uso dnsmasq, pero hay otro de preferencia por muchos "isc-dhcp-server"), hostapd (para crear el AP) y el firewall de toda la vida (iptables) pero hay otros.

También tiene que verificar los modos de interfaz usando el comando "iw list | less" y verificar si tiene la modalidad de AP. Pero lo ideal sería que aceptara el modo de AP, monitor y la inyección.

~ DtxdF

Si la cosa es que he hecho todo eso (debí mencionar lo del servidor dhcp y dnsmaq).

Cuando lo hago con el DHCP y dnsmaq, estos dos me funcionan pero me sigue dando el mismo error.

También miré con "iw|less" y efectivamente, aparece AP, que según la documentación oficial de Arch Linux significa que puede crear APs, pero nada. Por eso recurrí a preguntar aquí.

Creo que la cosa va a ser lo que dice el Sr Access y voy a tener que comprarme una tarjeta usb.

Gracias de todas maneras.

Conectado DtxdF

  • *
  • Moderator
  • Mensajes: 685
  • Actividad:
    100%
  • Reputación 16
  • Eres un auto y tienes dos opciones: Parar o Seguir
    • Ver Perfil
    • Mi repositorio de Github donde encontraras herramientas para tu trabajo.
    • Email
@You are not allowed to view links. Register or Login

¿Pero usó hostapd para crear el punto de acceso?, la idea era hacerlo sin usar Airbase-ng.

~ DtxdF
Los seres humanos son robots, cuyo combustible es el afanado dinero.

Desconectado DaWrench

  • *
  • Underc0der
  • Mensajes: 15
  • Actividad:
    43.33%
  • Reputación 0
    • Ver Perfil
Sí, pero cuando lo inicio hostapd directamente me dice que no reconoce los driver de la tarjeta de red.

Conectado DtxdF

  • *
  • Moderator
  • Mensajes: 685
  • Actividad:
    100%
  • Reputación 16
  • Eres un auto y tienes dos opciones: Parar o Seguir
    • Ver Perfil
    • Mi repositorio de Github donde encontraras herramientas para tu trabajo.
    • Email
@You are not allowed to view links. Register or Login

¿Colocó la clave "driver" en el archivo de configuración?. Si es así, quitela, deje que hostapd lo detecte, pero para hacer éso, es necesario que establezca la interfaz con la clave "interface".

Ejemplo:

Código: Text
  1. interface=wlan0

Sería fántastico que mostrara el archivo de configuración para ver si tiene algún error.

~ DtxdF
Los seres humanos son robots, cuyo combustible es el afanado dinero.

Desconectado DaWrench

  • *
  • Underc0der
  • Mensajes: 15
  • Actividad:
    43.33%
  • Reputación 0
    • Ver Perfil
Aquí está la imagen.

Desconectado DaWrench

  • *
  • Underc0der
  • Mensajes: 15
  • Actividad:
    43.33%
  • Reputación 0
    • Ver Perfil
You are not allowed to view links. Register or Login
@You are not allowed to view links. Register or Login

¿Colocó la clave "driver" en el archivo de configuración?. Si es así, quitela, deje que hostapd lo detecte, pero para hacer éso, es necesario que establezca la interfaz con la clave "interface".

Ejemplo:

Código: Text
  1. interface=wlan0

Sería fántastico que mostrara el archivo de configuración para ver si tiene algún error.

~ DtxdF

Al final he hice lo de quitar el directamente "driver=x" y me ha funcionado. Lo activé junto con dnsmasq y pude conectar un móvil (la conexión iba mucho más lenta, supongo que sería por la tarjeta de red pero si puedes explicármelo te lo agradecería).

Eso sí, no me dejaba usar airodump. Si lo utilizaba, el AP explotaba y directamente se desconectaba. No sé si es normal. Lo que sí pude hacer fue poner wireshark.



Eso sí, no tengo ni puñetera idea de lo que estoy haciendo. He visto tantos métodos para hacer un AP falso y MITM que no sé que hacer. ¿Podrías decirme cuál es tu método o métodos favoritos para orientarme un poco?

Conectado DtxdF

  • *
  • Moderator
  • Mensajes: 685
  • Actividad:
    100%
  • Reputación 16
  • Eres un auto y tienes dos opciones: Parar o Seguir
    • Ver Perfil
    • Mi repositorio de Github donde encontraras herramientas para tu trabajo.
    • Email
@You are not allowed to view links. Register or Login

Debe verificar qué o cuántos protocolos acepta su adaptador y en base a ello, seleccionar el que le plazca. Puede ver las velocidades aquí: You are not allowed to view links. Register or Login

Con protocolos me refiero
adonde está la clave 'hw_mode'. Puede apoyarse de la información que le proporcioné anteriormente de Wikipedia.

Además si acepta el estándar 802.11n (u otro) deberá mejorar el rendimiento de la transmisión, y para activarlo agrege:

Código: Text
  1. ieee80211n=1

Sobre "el mejor método", no lo hay. Aunque le dejaré algunas fuentes para ver la lógica detrás de estos ataques.

* - You are not allowed to view links. Register or Login
* - You are not allowed to view links. Register or Login

El primero usa airbase-ng en lugar de hostapd, pero el concepto es el mismo "crear un AP" (así que sea creativo), mientras que el segundo le falto la desautenticación, pero el primer enlace lo completa.

Otra cosa, investigue sobre las variantes de hostapd, como hostapd-wpe, que son dedicadas a estos actos.

Y una última cosa, el archivo de configuración de dnsmasq.conf estás muy bien documentado, lea cada parte que habilita para saber que está haciendo y aprender mucho más.

Hostapd, tiene un archivo de configuración para ejemplos: /usr/share/doc/hostapd/examples/hostapd.conf

Ahí encontrará mucha más información sobre él, y aprenderá mucho más.

[Actualizo]

Por cierto, no sé si lo hizo pero debe proporcionarle Internet a los clientes (en caso de que desee) y desactivar NetworkManager o cualquier obstaculo.

Debe hacer el enmascaramiento con el siguiente comando:

Código: Bash
  1. iptables --table nat --out-interface <Interfaz de la salida al exterior> --jump MASQUERADE --append POSTROUTING
  2. sysctl net.ipv4.ip_forward=1

~ DtxdF
« Última modificación: Abril 09, 2020, 01:11:55 pm por DtxdF »
Los seres humanos son robots, cuyo combustible es el afanado dinero.

Desconectado DaWrench

  • *
  • Underc0der
  • Mensajes: 15
  • Actividad:
    43.33%
  • Reputación 0
    • Ver Perfil
De acuerdo, iré viendo que puedo hacer.
Muchas gracias.

 

[SOLUCIONADO] ¿Kali Linux o Kali Linux Ligth ?

Iniciado por worq

Respuestas: 2
Vistas: 26460
Último mensaje Noviembre 21, 2017, 12:28:54 pm
por Codig0Bit
[SOLUCIONADO] Multiuploader de imagenes con mysql, hosting de imagenes con mysql

Iniciado por graphixx

Respuestas: 4
Vistas: 13961
Último mensaje Marzo 26, 2013, 05:42:58 pm
por Xt3mP
[SOLUCIONADO] ¿Como publicar un software como software libre?

Iniciado por FuriosoJack

Respuestas: 2
Vistas: 11772
Último mensaje Mayo 23, 2017, 07:24:22 am
por HATI
[SOLUCIONADO] Linux Mint, errores, errores y mas errores...

Iniciado por n1sendev

Respuestas: 12
Vistas: 17852
Último mensaje Noviembre 22, 2017, 06:50:55 am
por RuidosoBSD
[SOLUCIONADO] Ayuda urgente con Virus "Virus.Win32Sality"

Iniciado por Napsters

Respuestas: 6
Vistas: 16557
Último mensaje Junio 11, 2012, 03:38:18 am
por Satyricon