[SOLUCIONADO] Airbase-ng. Mi AP falso desaparece después de unos minutos.

Buenas.

Hace unos meses que empecé a aprender hacking y ahora mismo estoy aprendiendo a hackear redes wifi y estoy atascado en los ataques del palo Evil Twin.

El caso es que siempre que creo un Ap falso con airbase-ng, no sólo apenas lo detectan otros dispositivos, sino que después de 1-2 minutos el AP desaparece del escáner de airodump, pese a que airbase indica que sigue activo.

Una imagen vale más que mil palabras:

En primer lugar ejecuto airodump-ng.


Luego creo el AP falso con airbase-ng,llamado None-invitados. Como vemos, airodump lo detecta.


Y, como digo, después, pese a que intento conectar un dispositivo (es el que pone Orange-3G), simplemente desaparece del radar de airodump, y airbase no indica ningún error ni nada.


Adjunto también unas imágenes con la información que consideré importante sobre mi tarjeta de red:



Estoy trabajando en un usb persistente con kali linux 2020.1.

He mirado por todo internet pero no encuentro a nadie con mi problema, por lo que agradecería mucho la ayuda.

Si es la wifi pci integrada en la laptop... no es compatible para auditorías.

Y el que "haga intentos de funcionar" no es credencial de que es compatible. Es "el no le funciona" el determinante, que las integradas o tarjetas PCI en general, (excepto rarísimas excepciones) no son compatibles para auditar.
Son los fabricantes y el diseño para el que están destinadas.

Debe adquirir una USB compatible. Revisar el listado de chipsets.

Si es de los escépticos, pruebe con uno de los muchos scripts fáciles del WifiSlax y nos cuenta.

Temía que me dijeran eso.
¿No se supone que si da positivo en un injection test es capaz de realizar auditorías? Después de todo he logrado crakear mi red WPA y ver el tráfico con Wireshark.
Si aún así necesito comprarme una tarjeta usb, ¿qué marca me recomendarías?
Muchas gracias.

La cuestión es que los fabricantes piensan en un diseño, y en el propósito o destino que va a tener su producto, e incluyen parámetros de seguridad o funciones, en los cuales se priorice y se garantice ese propósito: la conectividad, velocidad, estabilidad, seguridad, compatibilidades, etc.

A lo inverso, los developer, o creadores de las herramientas, usan muchas funciones que, en un tipo de ataque como pudiera ser el Evil Twin, demandan que se conjugue la funcionalidad de ambos dispositivos, sus drivers, la conectividad, etc.

Puede ser que un Wifi X sea compatible con un script, pero con otros no, por sus características de hardware o software (drivers fundamentalmente). Esto se considera como un modelo no compatible por su falta de integración de manera general o inestabilidad. Suele suceder, como le expliqué, con tarjetas internas PCI, algunos wifi comerciales tipo nano, o de poca potencia, algunos fabricantes de chipsets o modelos, etc. Otro tanto son las que compatibles para auditorías y con una reputación de renombre como pudiera ser algunas Alfa, se comportan algo inestables en la navegación, una vez realizado el link. Hay muchos a favor, otros en contra, y las sugerencias de los unos se contraponen a las de otros.

Le pongo estos ejemplos para que se haga una idea honesta y realista.

Le recomiendo todos los wifi que tengan chipset ralink, en especial los RT2870/RT3070. Los Atheros son muy buenos, pero debe saber escoger el tipo. También debe tener en cuenta el wattaje (potencia) entre más mejor (y no dejarse engañar por el marketing de los vendedores), así como el tipo de antena que tiene y sus dbm (si tiene conector para agregarle una antena más potente). Si es para interior o exterior (le recomiendo un diseño todo en uno para exterior). Hay antenas muy interesantes pues son duales en la frecuencia: 2,4 GHz, y 5 GHz. Particularmente, las prefiero dedicadas en una sola frecuencia.

Las marcas hay muchas en el mercado, y variables los precios. Depende mucho de su nación y el poder adquisitivo que posea.
Por ende, no le menciono un modelo en específico.
No obstante, aquí en el foro hay una referencia hecha (post) por el Sr. ANTRAX (si mal no recuerdo) de modelos para auditorías, que está muy acertado.

Suerte.

@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

He visto que airbase-ng tiene muchos problemas a la hora de funcionar y si se da cuenta la mayoria de script's (linset, fluxion o cualquier otro) usan hostapd. Muy bueno, configurable y hasta hay forks que están más orientado al hacking, pero el original también está muy bueno.

Yo lo uso para compartir la conexión a Internet y tener un poco de control sobre lo que se hace en mi casa.

No obstante, hay miles (de forma literal) de tutoriales sobre cómo crear redes Rogue o ataques Evil twin usando esa herramienta.

Además tiene que tener en cuenta que debe configurar muchas cosas manualmente: El servidor DHCP (Yo uso dnsmasq, pero hay otro de preferencia por muchos "isc-dhcp-server"), hostapd (para crear el AP) y el firewall de toda la vida (iptables) pero hay otros.

También tiene que verificar los modos de interfaz usando el comando "iw list | less" y verificar si tiene la modalidad de AP. Pero lo ideal sería que aceptara el modo de AP, monitor y la inyección.

~ DtxdF

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

He visto que airbase-ng tiene muchos problemas a la hora de funcionar y si se da cuenta la mayoria de script's (linset, fluxion o cualquier otro) usan hostapd. Muy bueno, configurable y hasta hay forks que están más orientado al hacking, pero el original también está muy bueno.

Yo lo uso para compartir la conexión a Internet y tener un poco de control sobre lo que se hace en mi casa.

No obstante, hay miles (de forma literal) de tutoriales sobre cómo crear redes Rogue o ataques Evil twin usando esa herramienta.

Además tiene que tener en cuenta que debe configurar muchas cosas manualmente: El servidor DHCP (Yo uso dnsmasq, pero hay otro de preferencia por muchos "isc-dhcp-server"), hostapd (para crear el AP) y el firewall de toda la vida (iptables) pero hay otros.

También tiene que verificar los modos de interfaz usando el comando "iw list | less" y verificar si tiene la modalidad de AP. Pero lo ideal sería que aceptara el modo de AP, monitor y la inyección.

~ DtxdF

Si la cosa es que he hecho todo eso (debí mencionar lo del servidor dhcp y dnsmaq).

Cuando lo hago con el DHCP y dnsmaq, estos dos me funcionan pero me sigue dando el mismo error.

También miré con "iw|less" y efectivamente, aparece AP, que según la documentación oficial de Arch Linux significa que puede crear APs, pero nada. Por eso recurrí a preguntar aquí.

Creo que la cosa va a ser lo que dice el Sr Access y voy a tener que comprarme una tarjeta usb.

Gracias de todas maneras.

@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

¿Pero usó hostapd para crear el punto de acceso?, la idea era hacerlo sin usar Airbase-ng.

~ DtxdF

Sí, pero cuando lo inicio hostapd directamente me dice que no reconoce los driver de la tarjeta de red.

@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

¿Colocó la clave "driver" en el archivo de configuración?. Si es así, quitela, deje que hostapd lo detecte, pero para hacer éso, es necesario que establezca la interfaz con la clave "interface".

Ejemplo:

interface=wlan0

Sería fántastico que mostrara el archivo de configuración para ver si tiene algún error.

~ DtxdF

Aquí está la imagen.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

¿Colocó la clave "driver" en el archivo de configuración?. Si es así, quitela, deje que hostapd lo detecte, pero para hacer éso, es necesario que establezca la interfaz con la clave "interface".

Ejemplo:

interface=wlan0

Sería fántastico que mostrara el archivo de configuración para ver si tiene algún error.

~ DtxdF

Al final he hice lo de quitar el directamente "driver=x" y me ha funcionado. Lo activé junto con dnsmasq y pude conectar un móvil (la conexión iba mucho más lenta, supongo que sería por la tarjeta de red pero si puedes explicármelo te lo agradecería).

Eso sí, no me dejaba usar airodump. Si lo utilizaba, el AP explotaba y directamente se desconectaba. No sé si es normal. Lo que sí pude hacer fue poner wireshark.



Eso sí, no tengo ni puñetera idea de lo que estoy haciendo. He visto tantos métodos para hacer un AP falso y MITM que no sé que hacer. ¿Podrías decirme cuál es tu método o métodos favoritos para orientarme un poco?

@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Debe verificar qué o cuántos protocolos acepta su adaptador y en base a ello, seleccionar el que le plazca. Puede ver las velocidades aquí: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Con protocolos me refiero
adonde está la clave 'hw_mode'. Puede apoyarse de la información que le proporcioné anteriormente de Wikipedia.

Además si acepta el estándar 802.11n (u otro) deberá mejorar el rendimiento de la transmisión, y para activarlo agrege:

ieee80211n=1

Sobre "el mejor método", no lo hay. Aunque le dejaré algunas fuentes para ver la lógica detrás de estos ataques.

* - No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
* - No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El primero usa airbase-ng en lugar de hostapd, pero el concepto es el mismo "crear un AP" (así que sea creativo), mientras que el segundo le falto la desautenticación, pero el primer enlace lo completa.

Otra cosa, investigue sobre las variantes de hostapd, como hostapd-wpe, que son dedicadas a estos actos.

Y una última cosa, el archivo de configuración de dnsmasq.conf estás muy bien documentado, lea cada parte que habilita para saber que está haciendo y aprender mucho más.

Hostapd, tiene un archivo de configuración para ejemplos: /usr/share/doc/hostapd/examples/hostapd.conf

Ahí encontrará mucha más información sobre él, y aprenderá mucho más.

[Actualizo]

Por cierto, no sé si lo hizo pero debe proporcionarle Internet a los clientes (en caso de que desee) y desactivar NetworkManager o cualquier obstaculo.

Debe hacer el enmascaramiento con el siguiente comando:

iptables --table nat --out-interface <Interfaz de la salida al exterior> --jump MASQUERADE --append POSTROUTING
sysctl net.ipv4.ip_forward=1

~ DtxdF

De acuerdo, iré viendo que puedo hacer.
Muchas gracias.