"Una historia de Rogue AP": El PDF de koala traducido al español

[h]“Une histoire de Rogue AP…” de Koala en versión española[/h]
https://www.wifi-libre.com/img/members/3/Rogue_story_1.jpg
Preámbulo:

• ¡Buenos días a tod@s!
  Con la salida de hostbase 1.0 (ver: Hostbase 1.0 released), Koala ha puesto a disposición de tod@s su excelente PDF “Une histoire de RogueAP”
  El PDF traducido al español será incluido en los repositorios Git Hub.
  No obstante me apetece mucho dedicar un tema aquí (con su debida chincheta) a este formidable documento.
  ¡Al grano!
  Preparen las palomitas: Empieza “Un historia de Rogue AP” (… episodio uno )*

[h]Una historia de Rogue AP…[/h]
https://www.wifi-libre.com/img/members/3/Rogue_story_2.jpg
[list=1]
]Identificar las redes/]
]Crear un Rogue AP (una red falsa, AP=Access Point)/]
]Ataque DoS contra la red objetivo (el AP autentico)/]
]Conseguir que la red falsa salga en el gestor de redes de la victima/]
]Adaptar el ataque/]
[/list]
Lo que sabemos hacer
[list=]
]Crear el Punto de acceso trampa/]
]Llevar ataques de Denegación de Servicio (DoS) contra una red objetivo/]
[/list]
Lo que podemos mejorar
[list=]
]Imponer le red falsa en lugar de la red legitima en el administrador de conexiones inalámbricas de la victima/]
]Generar una o varias redes cifradas con airbase-ng o hostapd /]
[/list]
Veremos con esta prueba dos tipos de ataques: La primera se hará con airbase-ng, la segunda con hostapd.
Configuración para la prueba:

• La victima usa windows 10
• Para hacer el ataque se usa Kali Linux (o cualquier distribución Linux que sea) y dos tarjetas wifi. Una tarjeta servirá para crear el PA falso y la otra para realizar ataques DoS.

• Este tipo de ataque funciona también contra Windows 7. Sobre lo de utilizar dos tarjetas wifi: Es porque el ataque resulta más eficaz y estable así. Una tarjeta wifi no cuesta mucho dinero hoy en día…
  Preparación:

• Identificar a las redes que pueden tener una contraseña WPA de 10 o 26 caracteres hexadecimales (ataque 1 con airebase-ng)
• Identificar a las otras redes y preparar hostapd para un ataque Rgue AP con cifrado WPA (ataque 2 con hostapd)

Episodio/ataque uno
[h]1) Emplear airbase-ng para descifrar la clave WPA[/h]
Hacemos un escaneo con airodump-ng

airodump-ng --encrypt WPA wlan0mon 

https://www.wifi-libre.com/img/members/3/Rogue_story_4.jpg
La opción –encrypt WPA se emplea para descartar las redes abiertas.
Tenemos a dos redes listas para un ataque (tienen clientes asociados).
Suponemos que estáis al tanto del formato de las llaves WPA por defecto empleadas por las tele-operadoras y que podéis determinar con el eSSID y/o el bSSID las redes potencialmente vulnerables.
Empezamos el ataque contra el cliente de la red Bouygues (llave por defecto de diez caracteres hexadecimales) :

• Vamos a ejecutar airbase-ng y su opción caffe-latte para generar paquetes ARP.
• Por otro lado ejecutaremos airodump-ng para capturar los paquetes y poder descifrar la llave con aircrack-ng.

airebase-ng -c 1 --essid "Bbox-3C39D8" -L -W 1 wlan0mon

https://www.wifi-libre.com/img/members/3/Rogue_story_5.jpg

airodump-ng -c 1 -d EC:55:F9:AA:AF:AC -w wep wlan0mon

https://www.wifi-libre.com/img/members/3/Rogue_story_6.jpg
Estamos ahora listos para recuperar la llave que pondrá el usuario en su gestor de redes (si la pone)
Para lograrlo vamos a hacer un poco de “social engineering” para engañar a nuestra victima y llevarla a teclear su contraseña.
Lo que sigue es importante y es importante hacerlo en este orden:

• Ejecutar mdk3 con nuestra segundo tarjeta wifi
• Esperar 30 segundos y ejecutar airebase-ng, siempre con la segunda tarjeta wifi.

• Debéis esperar a que la victima este desconectada del Punto de Acceso legitimo, en el caso contrario no funcionará.
  ¡Vamos a ello!
  Mdk3 en acción

mdk3 wlan1mon d -g -t 00:1F:9F:FD:D9:A7 -c 6

https://www.wifi-libre.com/img/members/3/Rogue_story_7.jpg
Esperamos 30 segundos y iniciamos airebase-ng

airebase-ng -c 6 -a 00:1F:9F:FD:D9:A7 -e Bbox-3C3D8 -W 1 wlan1mon

Miremos lo que ocurre en nuestra consola airebase-ng y lo que pasa en el ordenador de la victima:
Nuestro ordenador
https://www.wifi-libre.com/img/members/3/Rogue_story_8.jpg
El ordenador de la victima
https://www.wifi-libre.com/img/members/3/Rogue_story_9.jpg
Podéis ver que la red falsa sale primera en la lista.
¿Dónde está el verdadero PA?
Podéis ver en la captura de pantalla siguiente que se encuentra en última posición en la lista de redes inalámbricas disponibles del gestor de redes de nuestra victima
https://www.wifi-libre.com/img/members/3/Rogue_story_10.jpg
He elegido adrede dos nombres diferentes para la red falsa y para la red legitima para que se vea claramente cual es cual.
En este caso nuestra red falsa se llama Bbox-3C39D8 mientras que la red legitima se llama Bbox-3C3D8.
Veamos ahora que pasa si empleo el verdadero de la red objetivo para mi red trampa.
https://www.wifi-libre.com/img/members/3/Rogue_story_11.jpg
La red falsa esta siempre en primera posición, la red legitima sigue saliendo en ultima posición y no es posible conectarse a ella.
Para estar seguro de que la red falsa salga en el gestor de redes debéis imperativamente añadir un espacio al final del eSSID en vuestra linea airebase-ng. Fijaros bien en los apostrofes de la linea de ordenes que viene a continuación:

airebase-ng -c 1 --essid "Bbox-3C39D8 " -L -W 1 wlan0mon

Esto es lo que pasa en la red falsa cuando la victima entra su llave
https://www.wifi-libre.com/img/members/3/Rogue_story_12.jpg
Al mismo tiempo se ven los efectos del ataque caffe latte en la consola airodump-ng.
https://www.wifi-libre.com/img/members/3/Rogue_story_13.jpg
Algunos minutos más tarde…
https://www.wifi-libre.com/img/members/3/Rogue_story_14.jpg
La victima que he simulado se ha conectado 8 minutos. Fueron necesarios para recoger los 43000 iv’s para romper la llave de 26 caracteres. Si la llave es de 10 caracteres hexadecimales podéis intentar con menos iv’s (10 000). La victima estará en “conexión limitada” mientras se hace el ataque.

*Nota del “traductor”
Así acaba el primer episodio de la trepidante saga “Una Historía de rogue AP” (by Koala)
Hemos visto como llevar un Roge AP “WEP downgrade” para romper una llave WPA de 26 caracteres (hexidecimales) .
Pondré estos días la traducción del segundo episodio con el ataque Rogue WPS-PBC
¡Hasta tanto! *

[h]El retorno de “Una historia de RogueAP…” by Koala[/h]
https://www.wifi-libre.com/img/members/3/Rogue_story_15.jpg
*Recuerdo que no soy el autor de este PDF. Solo intento traducirlo lo mejor que puedo Buena lectura *

[h]Parte 2:
Emplear hostapd y el WPS para conseguir la conexión [/h]
El segundo ataque se basa en hostapd. Se crean tres Puntos de Acceso cifrados y con WPS para atraer la victima en una de nuestras redes trampas.
Para desconectar la victima de su red y lograr que nuestra red falsa salga primera en el gestor de redes de la victima usaremos el mismo método que en el primer ataque.
Para realizar el ataque deben asegurarse de que el driver de su interfaz WiFi es compatible con hostapd y que hostapd está configurado correctamente.
Luego deben ejecutar hostapd y hostpad_cli para activar el WPS y lograr que la victima se conecte a nuestro punto de acceso a pesar del cifrado WPA.

hostapd hostapd.conf

https://www.wifi-libre.com/img/members/3/Rogue_story_16.jpg
Activen el WPS durante un tiempo.
A lo bestia pero es eficaz:

while : ; do sudo hostapd_cli wps_pbc ; sleep 120 ; done &

https://www.wifi-libre.com/img/members/3/Rogue_story_17.jpg
Sale un error (“FAIL”) porque hostapd renombra vuestra tarjeta WiFi con tres nombres distintos (cada nombre nuevo corresponde a una de las tres redes falsas).
No importa porque la victima podrá conectarse a cualquiera de las redes falsas visto que se el conjunto está gestionado por la misma interfaz.
Podrán ver algo así en su consola hostapd en cuanto la victima se conecte:
https://www.wifi-libre.com/img/members/3/Rogue_story_18.jpg

Miremos ahora que pasa en la computadora de la victima. Acuérdense de que se ha utilizado el mismo método que en el primer ataque para engañar el gestor de redes de la victima.
https://www.wifi-libre.com/img/members/3/Rogue_story_19.jpg
Bbox, Bbox-Assistance y Bbox-wifi son nuestras tres redes falsas creadas por hostapd.
Podéis ver a continuación que la red legitima queda en ultima posición:
https://www.wifi-libre.com/img/members/3/Rogue_story_20.jpg

¿Y ahora qué?
Redirigen su victima mediante iptables o dnsspoof hacía su servidor en una pagina phishing currada que pide al usuario de presionar el botón WPS de su unto de acceso para conectarse a su red WiFi. Quedará muy realista si uséis directamente unas imágenes o un vídeo extraídos del propio sitio de ayuda en linea del ISP de la victima…
Ejemplo para SFR:
https://www.wifi-libre.com/img/members/3/Rogue_story_21.jpg
Debéis (en la computadora atacante) tener la linea de ordenes que sigue en acción para no dejar pasar el intervalo que les permite conectarse al PA de la victima

wpa_cli while : ; do sudo wpa_cli wps_pbc any ; sleep 120; done &
Ejemplo de lo que ocurre cuando la victima presiona sobre el botón:
https://www.wifi-libre.com/img/members/3/Rogue_story_22.jpg
No se olviden de lanzar

dhclient wlan0

para negociar el dhcp.
*****Para lograr la conexión a la red legitima de la victima cuando presiona el botón WPS; debéis parrar el ataque DoS llevado por mdk3. No afecta el desarrollo del ataque en este punto visto que el cliente está ya conectado a una de nuestras redes falsas y que el punto de acceso trampa está registrado en las redes conocidas.

Un ataque más que puede ser muy peligroso porque no se piden ningunos credenciales. La victima solo debe levantarse para presionar el botón WPS de su router. Con un servidor apache que llaméis, por ejemplo, sfrasistance.sfr y un certificado SSL que no devuelve errores; tendréis una trampa perfecta.
Pasamos de un Rogue AP open básico, con conexión a una red falsa open y su portal cautivo, a un Rogue AP en WPA con las redes falsan que encabezan la listas de las redes disponibles.
Diría que las probabilidades de obtener la llave con uno de los dos métodos son excesivamente altas.
He probado en casa de tres amigos con su consentimiento pero sin advertirles de cuando ni del cómo… Ha funcionado con los tres.
.
Conclusión: Estén al ojo, aunque la red parezca segura, y es hora de que se abandonan los pass WPA en hexadecimal.
[h]Una historia de rogue AP by Koala[/h]
Member of
[list=*]
]http://www.crack-wifi.com/forum//]
]https://www.wifi-libre.com//]
]http://www.kali-linux.fr/forum//]
[/list]

Gracias para tu trabajo no es facil de traducir todo

No es nada comparado a los horas y horas (… y años ) dedicadas a elaborar técnicas originales y nuevas.
Gracias a ti “maestro jedi”

buenas, buen foro. Una pregunta ¿ para hacer ese ataque se nesesita dos adaptadores uno que de internet y otro para hacer el ataque ? ¿que chipset se nesesita puede ser cualquiera por ejemplo ralink 3070 l o tiene que ser atheros y que version sería? Gracias saludos

Buenas

Ambos ataques se pueden hacer con la mayoría de los chipsets y no se requiere tener una conexión Internet
No tengo claro que hayas bien hecho la distinción entre los dos métodos.

• El primero se basa en el “WEP downgrade” y no requiere nada más que aircrack-ng y hostapd; sin servidor apache ni nada por el estilo.
  De hecho se podría probar ahora con airbase-ng en lugar de hostapd porque se han arreglados bugs WEP/airbase-ng con aircrack-ng 1.2.
• Y el segundo se limita a llevar el usuario a empujar el botón WPS de su router,
  Hay efectivamente una situación de “Man In The Middle” que se podría explotar de muchas formas pero aquí koala se centra en la parte hacking WiFi. El aspecto phishing no es el asunto aquí.

Edit 1: He creado un tema aparte con tus otras preguntas para no desviar este : ¿Hasta qué punto el chip Ralink RT3072 es compatible con hostapd?
Edit 2: He tenido que mover tus “nuevas” preguntas (ya que son offtopic en este tema) en el hilo puesto en el edit 1

Como no me he leido esto antes? Esto hay que estudiarselo!
Hay algo sin embargo, que no me termina de quedar claro, de la parte 1, estamos creando una red con cifrado WEP, que será la que luego ataquemos, pero eso sí, ¿qué password lleva esta red? Deberíamos saber nosotros la password de antemano, ¿no? Esta parte es la que no entiendo

No importa el password que configuras en la red trampa WEP.
El cliente cifra los mensajes con su llave.
La que entra el usuario en su gestor de redes cuando se conecta a la red WEP (nuestra) pensando que se conecta a su red (WPA)
Este ataque solo puede funcionar con llaves WPA que tienen un “formato” WEP es decir:
[list=*]
]10 caracteres hexadecimales/]
]13 caracteres ascii/]
]26 caracteres hexadecimales/]
[/list]
Si la llave no sigue al pie de letra uno de estos tres patrones la trampa no funciona porque el usuario no puede conectarse a la red WEP.