Aircrack-ng

Descripción del contenido de Aircrack-ng.

Aircrack es un programa para crackear claves Wpa-psk y Wep en el protocolo 802.11 puede recuperar una vez que los paquetes han sido capturados.

Implementa el estándar de ataque FMS junto con algunas optimizaciones como ataques Kore, todos los nuevos ataques PTW haciendo el ataque más rápido comparado con otras herramientas de crackeo.

Herramientas incluidas.

airbase-ng – Configura un punto de acceso falso.
aircrack-ng – Crackeador de contraseñas Wireless.
airdecap-ng – Decripta archivos de captura WEP/WPA/WPA2.
airdecloak-ng – Quita “wep cloaking” desde un archivo .pacp
airdriver-ng – Provee información del estado  de los drivers Wireless.
aireplay-ng – La primer función es generar trafico para luego utilizar en aircrack-ng.
airmon-ng – El script puede utilizarse para colocar en modo monitor la interfaz Wireless.
airodump-ng – Utilizado para capturar paquetes  sin modificar.
airolib-ng – Diseñado para almacenar y administrar essid y contraeñas.
airserv-ng – Servidor de tarjeta Wireless.
airtun-ng – Creador de interfaz de tunel virtual.
besside-ng – Automaticamente crackea redes WEP/WPA
buddy-ng
ivstools – Esta herramienta maneja archivos .ivs. Pudiendo mezclarlos o convertirlos.
kstats
makeivs-ng – Genera vectores de inicialización.
packetforge-ng – Crea paquetes encriptados que puedan ser utilizados posteriormente para la inyección.
tkiptun-ng – Esta herramienta es capaz de inyectar algunas tramas en redes WPA-TKIP con QoS.
wesside-ng – Herramienta auto-magica que incorpora varias tecnicas para obtener claves WEP.
wpaclean – Quita el esceso de datos de un archivo .pcap

Comandos auxiliares.

-a bssid Define la dirección Mac del punto de acceso.
-i iface Captura paquetes desde la interfaz elegida.
-w WEP key Utiliza ésta llave WEP para encriptar/desencriptar paquetes.
-h MAC Origen de la dirección Mac para realizar Mitm.
-f disallow Deshabilita la dirección Mac del cliente especificado (por defecto: activada).
-W 0|1 [NO] configura el flag Wep de los beacons (balizas) 0|1 (por defecto: automatico).
-q Modo silencioso (no muestra estadísticas).
-v Nivel de visualización.
-A Modo Ad-Hoc.
-Y in|out|booth Procesado externo de paquetes.
-c channel Define el canal donde el punto de acceso esta trabajando.
-X Essid oculto.
-s Fuerza la autenticación de clave compartida (por defecto: automatico).
-S Define la longitud de la clave compartida (por defecto: 128).
-L Ataque Wep Caffe-Latte (utilice si el driver no puede enviar fragmentos).
-N Ataque cfrag  Wep (recomendado).
-x nbpps Número de paquetes por segundo (por defecto: 100).
-y Desactiva la respuesta a pruebas de broadcast.
-0 Define todos los tags abiertos Wep/Wpa, no se puede utilizar con –z & -Z.
-z type Define los tags de Wpa1. 1=wep40; 2=Tkip; 3=Wrap; 4=Ccmp; 5=Wep104.
-Z type La misma opción que –z, para encriptación Wpa2.
-V type Falso EAPOL 1=Md5; 2=Sha1; 3=Auto.
-F prefix Escribe todas las tramas enviadas y recibidas en un archivo pcap.
-P Responde todas las peticiones, aún cuando se especifique el Essid’s.
-I interval Define el intervalo de los beacons en milisegundos.
-C seconds Activa los valores de prueba de los beacons con los Essi’d (requiere –P).
  • Opciones de filtrado.
–bssid MAC Bssid a filtrar o utilizar.
–bssids file Lee una lista de los Bssid’s desde un archivo.
–client MAC Mac del cliente para filtrar.
–client file Lee una lista de las Mac’s desde un archivo.
–essid ESSID Especifica un solo ESSID (por defecto: activado).
–essid file Lee desde un archivo la lista de Essid’s.
–help Muestra éste mensaje.

  • Opciones generales:
-a <amode> Fuerza el modo de ataque (1=Wep; 2=Wpa-psk).
-e <essid> Identificador de red. Elección del objetivo.
-b <bssid> Dirección mac del punto de acceso. Elección del objetivo.
-p <nbcpu> Números de Cpu a utilizar (por defecto: todas).
-q Activa el modo silencioso (no muestra mensajes de salida).
-C <macs> Mezcla los puntos de acceso en uno virtual.
-l <file> Escribe la clave en un archivo.
  • Opciones de crackeao Wep.
-c Busca solo caracteres alfabéticos-numéricos.
-t Busca únicamente caracteres decimales codificados en binario.
-h Busca la clave numérica para Fritz!BOX.
-d <mask> Utiliza mascaras de claves (A1:XX:CF:YY).
-m <maddr> Utiliza direcciones Mac para filtrar en paquetes útiles.
-n <nbits> Longitud de la clave Wep (64/128/152/256/512).
-i <index> Número de clave Wep (1 a 4) – (por defecto: cualquiera).
-f <fudge> Factor de fuerza bruta Fudge (por defecto: 2).
-k <korek> Desactiva un método de ataque (1 a 17).
-x or -x0 Desactiva fuerza bruta para los últimos bytes de la clave.
-x1 Fuerza bruta a los últimos bytes de la clave (activado por defecto).
-x2 Activa fuerza bruta a los últimos dos bytes de la clave.
-X Desactiva fuerza bruta para el multi-hilo.
-y Modo de fuerza bruta experimental.
-K Utiliza viejos ataques KoreK (pre-PTW).
-s Muestra la clave en ASCII mientras crackea.
-M <num> Especifica el máximo números de IV’s a utilizar.
-D Decloak Wep, salta los keystreams rotos.
-P <num> Visualización PTW. 1=Klein desactivado; 2=PTW.
-1 Realiza únicamente 1 intento de crackear claves con PTW.
  • Opciones de crackeo Wep y Wpa-Psk.

-w <words> : Ruta del/los archivos

  • Opciones WPA-PSK.
-E <file> Crea un proyecto EWSA v3.
-J <file> Crea un archivo de captura para hashcat.
-S Velocidad de crackeo wpa.
  • Otras opciones:
-u Muestra la cantidad de Cpu’s & MMX/SSE que soporta.
–help Muestra ésta ayuda.

  • Opciones comunes.
-l No remueve los headers del protocolo 802.11
-b <bssid> Dirección Mac del punto de acceso para filtrar.
-e <essid> Ssid de la red objetivo.
  • Opciones especificas para encriptación
-w <key> Clave en hexadecimal de la red objetivo.
  • Opciones especificas Wpa:
-p <pass> Contraseña Wpa de la red objetivo.
-k <pmk> Clave maestra de emparejamiento en hexadecimal (encriptación Wpa).
–help Muestra éste mensaje.

  • Opciones:

** Obligatorias:

-i <file> Archivo de captura.
–ssid <ESSID> Essid de la red a filtrar
–bssid <BSSID> Bssid de la red a filtrar

** Opcionales:

–filters <filters> Aplica filtros (separados por coma).
signal Intenta filtrar en base a la señal.
duplicate_sn Quita todas los números de secuencias duplicadas en el punto de acceso y cliente.
duplicate_sn_ap Quita los números de secuencia duplicadas para el punto de acceso.
duplicate_sn_client Quita los números de secuencias duplicados únicamente en el cliente.
consecutive_sn Filtra en base al hecho que los IV deberían ser consecutivos (únicamente para el punto de acceso).
duplicate_iv Quita todos los Iv’s duplicados.
signal_dup_consec_sn Utiliza la señas (si está disponible, duplica las secuencias consecutivas.
number El filtrado es mas preciso que utilizas filtros simples
   –null-packets Asume que los paquetes nulos puden estar ocultos.
  –disable-base_filter No aplica filtros bases.
  –drop-frag Rechaza paquetes fragmentados.
  –help Muestra ésta ayuda.

  • Comandos válidos.
supported Lista los drivers soportados
kernel Lista todos los drivers incorporados en el Kernel.
installed Lista todos los drivers instalados.
loaded Lista todos los drivers cargados.
insert <drivernum> Inserta un driver
load <drivernum> Carga un driver
unload <drivernum> Descarga un driver
Reload <drivernum> Recarga un driver.
Compile  <drivernum> Compila un driver.
Install <drivernum> Instala un driver.
Remove <drivernum> Quita un driver.
compile_stack <stacknum> Compila un stack.
install_stack <stacknum> Instala un stack.
remove_stack <stacknum> Quita un stack.
install_firmware <drivernum> Instala el firmware.
remove_firmware <drivernum> Quita un firmware.
details <drivernum> Muestra el detalle de los drivers.
detect Detecta placas Wireless.

  • Opciones de filtrado.
-b bssid Dirección Mac del punto de acceso.
-d dmac Dirección Mac destino.
-s smac Dirección Mac origen.
-m len Longitud mínima del paquete.
-n len Longitud máxima del paquete.
-u type Tipo de trama de control.
-v subt Subtipo de trama de control.
-t tods Trama de control, a bit Ds.
-f fromds Trama de control desde bit Ds.
-w iswep Trama de control, bit Wep.
-D Desactiva la detección del punto de acceso.
  • Opciones de renvio (replay)
-x nbpps Números de paquetes por segundo.
-p fctrl Define la trama de control en hexadecimal.
-a bssid Define la dirección Mac del punto de acceso.
-c dmac Define la dirección Mac destino del punto de acceso.
-h smac Defime el origen de la dirección Mac
-g value Cambia el tamaño del buffer (por defecto: 8).
-F Elige el primer paquete que coincida.
  • Opción de ataque de autenticación falsa.
-e essid Define el ssid del punto de acceso.
-o npckts Numero de paquetes por ráfaga (0=auto, por defecto = 1).
-q sec Segundos entre paquetes keep-alive.
-Q Envía solicitudes de reasociación.
-y prga Keystream para claves de autenticación compartidas.
-T n Sale de ejecución luego de “n” veces que falle al autenticación falsa.
  • Opción de ataque Arp Replay:
-j Inyecta paquetes desde DS.
  • Opciones de ataque de fragmentación:
-k IP Define el destino IP en fragmentos.
-I IP Define el origen IP en fragmentos.
  • Opciones de testeo de ataque:
-B Activa la prueba de vibración.
  • Opciones de origen:
-i iface Captura paquetes desde la interfaz elegida.
-r file Extrae paquetes desde el archivo Pcap elegido.
  • Opciones varias:
-R Desactiva el uso de /dev/rtc
–ignore-negative-one Si el canal no puede ser determinado, ignora la falla, necesitado para parchar cfg80211
  • Modos de ataques (los números pueden utilizarse):
–deauth count Desautentica 1 o todas las estaciones (opción -0).
–fakeauth delay Realiza una autenticación falsa con el punto de acceso (opción -1).
–interactive Selección interactiva de la trama (opción -2).
–arpreplay Renvio de solicitudes ARP estándar (opción -3).
–chopchop Decripta paquetes Wep Chopchop (opción -4).
–fragment Genera keystream validos (opción -5).
–caffe-latte Consulta nuevos clientes para obtener IV’s (opción -6).
–cfrag Fragmenta contra un cliente (opción -7).
–migmode Ataque Wpa en modo migración (opción -8).
–test Testea inyección y calidad (opción -9).
–help Muestra éste mensaje de ayuda.

–ivs Unicamente guarda los IV’s capturados.
–gpsd Utiliza GPSd.
–write <prefix> Vuelca un archivo de prefijos.
-w Iguale que –write
–beacons Registra todos los beacons un archivo.
–update <sec> Muestra un retraso en la actualización definida en segundos.
–showack Muestra estadísticas ack/cts/rts.
-h Oculta estaciones conocidas para –showack
-f <msec> Tiempo en milisegundos de saltos entre canales.
–berlin <msec> Tiempo antes de quitar el punto de acceso/cliente de la pantalla cuando no hay mas paquetes recibidos (por defecto: 120 segundos).
-r <file> Lee paquetes desde el archivo elegido.
-x <msec> Activa la simulación de escaneo.
–manufacturer Muestra el fabricante de una lista obtenida de la IEEE-OUI.
–uptime Muestra el tiempo activo de un punto de acceso desde la marca de tiempo con el beacon.
–output-format <formats> Formato de salida del archivo. Posibles valores: pcap, ivs, csv, gps, kismet, netxml.
–ignore-negative-one Quita el mensaje: Fixed Channel <interface>: -1
  • Opciones de filtrado.
–encrypt <suite> Filtra los puntos de acceso mediante el cifrado que utilicen.
–netmask <netmask> Filtra los puntos de acceso utilizando la máscara.
–bssid <bssid> Filtra los puntos de acceso por Bssid’s.
–essid <essid> Filtra los puntos de acceso por Essid’s.
-a Filtra por clientes no asociados.
–channel <channels> Captura en los canales especificados.
–band <abg> Banda en la cual airodump-ng debería saltar.
-C <frequencies> Utiliza las frecuencias en MHz para saltar.
–cswitch <method> Define el método de cambio de canal.
     0 FIFO (por defecto).
     1 Round Robin.
     2 Salta al último.
-s Misma opción que cswitch.
–help Muestra éste mensaje de ayuda.
airodump-ng-oui-update Descarga y analiza la lista IEEE-OUI

–stats Muestra información sobre la base de datos.
–sql <sql> Ejecuta una declaración especificada SQL.
–clean [all] Limpia la base de datos desde una versión vieja. Tambien reduce de ser posible el tamaño de la base de datos y verifica la integridad.
–batch Inicia un proceso en lotes procesando todas las combinaciones de contraseñas y Essid’s.
–verify [all] Verifica un conjunto de PMK’s elegidas aleatoriamente. Si “all” es dado, todas las PMK’s serán borradas.
–import [essid|passwd] <file> Importa un archivo de texto como lista de Essid’s o contraseñas.
–import cowpatty <file> Importa un archivo cowpatty.
–export cowpatty <essid> <file> Exporta a un archivo cowpatty.

  • Opciones:
-h Muestra ésta ayuda.
-p <port> Puerto Tcp para escuchar (por defecto: 666).
-d <iface> Interfaz Wifi a utilizar.
-c <chan> Canal a utilizar.
-v <level> Nivel de depuración (1 a 3. Por defecto= 1).

-x nbps Número de paquetes por segundo (por defecto: 100).
-a bssid Define la dirección Mac del punto de acceso. En modo WDS define como receptor.
-i iface Interfaz para capturar paquetes.
-y file Lee PRGA desde el archivo elegido.
-w wepkey Utiliza ésta clave WEP para encriptar paquetes.
-t tods Envía tramas a un punto de acceso (1) o a un cliente (0). O hace un túnel en WDS/Bridge.
-r file Lee tramas de salida desde un archivo .pcap
  • WDS/Bridge Mode options:
-s transmitter Define la dirección Mac para el modo WDS.
-b Modo bidireccional. Esto activa la comunicación en redes de transmisión/recepción. Funciona únicamente si puede ver ambas estaciones.
  • Opciones de repetidor:
–repeat Activa el modo repetidor.
–bssid <mac> Bssid a repetir.
–netmask <mask> Máscara de subred para filtrar el Bssid.
–help Muestra ésta ayuda.

-b <victim_ mac> Bssid de la victima
-s <wpa server> Sube wpa.cap para el crackeo.
-c <chan> Bloqueo de canal.
-p <pps> Velocidad de inundación.
-W Unicamente con Wpa.
-v Nivel de detalle.
-h Muestra ésta ayuda.

-h Muestra ésta ayuda.
-p No salta privilegios.

  • Opciones:
-h Muestra ésta ayuda.
-v <victim mac> Bssid de la victima.
-m <src mac> Dirección Mac de origen.
-i <ip> Dirección Ip de origen.
-r <router ip> Dirección Ip del router.
-s <buddy ip> Dirección ip de buddy-ng.
-i <iface> Interfaz a utilizar.
-c <cannel> Bloquea la placa en éste canal.
-n Determina la dirección Ip únicamente.

  • Opciones comunes.
-b <bssid> Define la dirección Mac del punto de acceso.
-f <num> Número del primer IV.
-k <key> Indice de la clave WEP del objetivo
-s <num> Semulla utilizada para generar aleatoriamente.
-w <file> Archivo a escribir los IV’s
-c <num> Números de Iv’s a generar.
-d <num> Porcentaje de Iv’s a engañar.
-e <num> Porcentaje de keystreams erróneos.
-l <num> Longitud de los keystreams.
-n Ignora IV’s débiles.
-p Utiliza el algoritmo PRNG para generar IV’s.
–help Muestra esta ayuda.

  • Opciones:
-p <fctrl> Define la trama de control (hexadecimal).
-a <bssid> Define la dirección Mac del punto de acceso.
-c <dmac> Define la dirección Mac de destino.
-h <smac> Define la dirección Mac e origen.
-j Define desde el bit DS.
-o Limpia el bit DS.
-e Desactiva le encriptación Wep.
-k <ip:port> Define el destino IP:Puerto.
-I <ip:port> Define el origen Ip:puerto
-t ttl Define el Time-to-live.
-w <file> Escribe los paquetes al archivo .pcap elegido.
-s <size> Especifica el tamaño del paquete nulo.
-n <packets> Define el número de paquetes a generar.
  • Opciones de origen:
-r <file> Lee paquetes desde archivos de texto plano.
-y <file> Lee PRGA desde el archivo elegido.
  • Modos:
–arp Falsifica un paquete ARP. (-0)
–udp Falsifica un paquete UDP. (-1)
–icmp Falsifica un paquete ICMP. (-2)
–null Construye un paquete nulo. (-3)
–custom Construye un paquete a medida. (-9)
–help Muestra ésta ayuda.

  • Opciones de filtrado.
-d dmac Dirección Mac destino.
-s smac Dirección Mac origen.
-m len Longitud mínima del paquete (por defecto: 80)
-n len Longitud máxima del paquete (por defecto: 80)
-t tods Trama de control, a bit DS.
-f fromds Trama de control, desde bit DS.
-D Desactiva la detección del punto de acceso.
-Z Elige los paquetes manualemente.
  • Opción de repetición:
-x nbps Número de paquetes por segundo.
-a bssid Define la dirección Mac del punto de acceso.
-c dmac Define la dirección Mac del destino.
-h smac Define la dirección Mac del origen.
-e essid Define el Ssid del punto de acceso.
-M sec Tiempo MIC de error de expiración en segundos (por defecto: 60)
  • Opciones de debug:
-K prga Keystream para continuar…
-y file Arcvhivo keystream para continuar…
-j Inyecta desde paquetes DS.
-p pmk Testea Pmk para verificar/vulnerar
-p psk Psk para calcular la pmk con el essid.
  • Opciones de origen:
-i iface Captura paquetes desde la interfaz elegida.
-r file Extrae paquetes desde el archivo .pcap elegido
–help Muestra ésta ayuda.

  •  Opciones:
-h Muestra ésta ayuda.
-i <iface> Interfaz a utilizar.
-m <my ip> Mi dirección Ip.
-n <net ip> Dirección Ip de red.
-a <mymac> Dirección Mac de origen.
-c No crackea la clave.
-p <min prga> Bytes mínimos del PRGA a obtener.
-v <victim mac> Bssid de la victima.
-t  <threshold> Umbral de crackeo.
-f <mac chan> Canal máximo escaneado (por defecto: 11).
-t <txnum> Ignora acks y número de veces Tx.

Modos de uso.

Ejemplos de uso.

  • Extrae IVS desde un archivo .Pcap

  • Mezcla archivos IVS.

  • Detectar los drivers Wireless.

  • Iniciar el modo monitor de la interfaz Wireless en el canal elegido:

  • Utilizando el archivo providenciado intentar crackear la contraseña del archivo capturado.

Ejemplos prácticos de uso y laboratorios.

Taller Wireless 2

Taller Wireless 3

Taller Wireless 4