Escaneo de clientes WiFi con shee.sh de TAPE

kcdtv · 18-07-2015 20:09:33

Nombre : Shee
Autor : TAPE
Fecha de publicación : 24 junio 2015
Licencia : GPL v3
Lenguaje : Bash
Dependencias : aircrack-ng y tshark
Descripción : Shee.sh es una utilidad para escaneo y análisis de PROBES enfocada a la detección
y el control sobre las estaciones clientes
Publicado en : * A day with TAPE : Scanning for / Alerting on client probes (web del autor)
* script - Listening for client mac (wifi) - feedback request (Hilo del foro Kali linux)
Descarga oficial : desde la cuenta mediafire del autor

¡Buenas tardes! smile
Hoy voy a presentar el script shee.sh del amigo TAPE.
Es un verdadero placer porque TAPE se merece que hablemos de el. smile
Su blog ha sido, y sigue siendo, una verdadera mina de oro con sus temas que son a la vez muy accesibles y a la vez muy detallados. Aquí esta : A day with TAPE
Y no solo : TAPE es también - por ejemplo - uno de los autores/contribuidores del generador para diccionarios, la referencia, Crunch.
¡Chapeau!

¿A que sirve shee,sh?

Shee.sh examina en vivo los ficheros de capturas gracias al comando tshark de la suite wireshark.
Gracias a sus filtros y sus opciones nos simplifica la vida cuando nos queremos centrar en los clientes en lugar de los puntos de acceso.

Para ser concretos; imaginemos la situación siguiente:
- Queréis obtener un handshake para auditar una red pero no hay ningunos clientes conectados.
Tenéis dos soluciones:

Dejar una consola abierta con airodump-ng y ir cada cinco minutos mirar si si alguien se ha conectado
Usar shee.sh con los filtros apropiados y activar la alerta sonora para olvidarse por completo del asunto : En cuanto se conectará un cliente estaremos advertidos

Podríamos del mismo modo utilizarlo para estar advertido cunado un cliente "ha picado" a nuestro rogue AP.
O bien de forma más "defensiva" : Si sospechamos que tenemos un intruso, shee tiene un sistema de "whitelist" (dará la alarma si una mac desconocida intenta conectarse) y "blacklist" (dará la alarma si una mac que sospechamos intenta conectarse)

En conclusion : es un complemento muy útil a nuestra suite aircrack-ng cuando queremos centrarnos en los clientes.

¿Como usar shee.sh?

Al ser un script en bash no requiere compilación/instalación. Solo tenemos que lanzarlo con privilegios de administrador.
Fue diseñado para Kali linux ya que kali linux integra "por defecto" aircrack-ng y tshark (wireshark)
Esto dicho lo podemos usar en cualquier distribución GNU-Linux que tenga tshark y aircrack-ng.
De hecho voy a usar she en xubuntu y si no tendría aircrack-ng y tshark solo tendría que hacer en consola

sudo apt-get install tshark & sudo apt-get install aircrack-ng

para poder usar shee.sh

Lo descargamos aquí : mediafire : she.sh
Abrimos un terminal en la carpeta que contiene el script she.sh y se ejecuta por primera vez con

sudo bash shee.sh -H

Para ver así la ayuda completa :

d --  show details on options chosen before running script
e --  target ESSID probe
h --  help information
H --  this extended help
i --  interface to use
I --  information on available wireless interfaces
l --  log all seen MACs to pre-determined logfile
m --  target MAC adddress
M --  mode (1 6)
	  MODES
	  1  --  Listen for a specific target MAC
	  2  --  Listen for a specific target ESSID
	  3  --  Listen for all clients/probe requests
	  4  --  Listen for MACs not in a whitelist
	  5  --  Listen for MACs in a  blacklist 
	  6  --  airbase mode to alert presence of client (not yet included)
r --  resume session of listening for unique MACs (for -M 3 option)
s --  sound alert on finding of (target) mac/essid.
u --  only show new clients (for -M 3 option).
U --  download latest oui.txt (mac vendor info) file from ieee.standards.org
v --  version information.

Las opciones son bastantes claras.

ejemplos de uso

Para tener un listado de las interfaces reconocidas y su mode :

sudo bash shee.sh -I

Para escanear un router y estar advertido cuando un cliente cualquiera se conecta:

sudo bash shee.sh -i <interfaz> -e <essid> -M 2 -s

Con -i <interfaz> indicamos la interfaz en mode monitor
Con -e <essid> indicamos el essid de la red que queremos vigilar
Con -M 2 especificamos el "modo" 2 ; es decir escuchar cualquier PROBE mandado por cualquier cliente hacía el objetivo

La advertencia sonora funciona bien cool .
Y la salida esta muy curada con esta barra que indica el nivel señal. cool

Un script muy argradable y que detecta enseguida cualquier intento de conexión

kcdtv · 27-10-2015 16:19:17

El amigo TAPE ha actualizado su script.
Es ahora compatible con Kali Sana (2.0)
El link de descarga es el mismo (ver primer post); notareis que ahora el script esta en su versión 0.4.
¡A disfrutar!

sol666 · 20-08-2018 13:35:48

alguien ha probado este script?aunque es antiguo parece interesante pero a mi no me funciona ni en kali ni en wifislax

/root/Desktop/shee.sh -i wlan0mon -e Pitrikis2018 -M 2 -s

   | |      By TAPE      | |    
 ___| |__   ___  ___   ___| |__  
/ __| '_ \ / _ \/ _ \ / __| '_ \ 
\__ \ | | |  __/  __/_\__ \ | | |
|___/_| |_|\___|\___(_)___/_| |_|
> Listening for probed essid 'Pitrikis2018'

y ahi se queda esperando,aunque conectes dispositivos no sale naaaaa

Ultima edición por sol666 (20-08-2018 13:36:40)

kcdtv · 20-08-2018 15:00:58

Al parecer el fallo está en la orden tshark, linea 107.

tshark -i $IFACE -n -l -f "subtype probereq" -T fields -e wlan.sa -e radiotap.dbm_antsignal -e wlan_mgt.ssid -E quote=d 2

Se ve que el fichero /root/tmp_shee.tmp se queda vacío cuando ejecutamos shee.sh: No está capturando trafico.
Si ejecutamos la orden como root es lo que obtendremos:

root@Xuxu:~# tshark -i wlp2s0mon  -n -l -f "subtype probereq" -T fields -e wlan.sa -e radiotap.dbm_antsignal -e wlan_mgt.ssid -E quote=d 2
Running as user "root" and group "root". This could be dangerous.
tshark: Lua: Error during loading:
 [string "/usr/share/wireshark/init.lua"]:44: dofile has been disabled due to running Wireshark as superuser. See https://wiki.wireshark.org/CaptureSetup/CapturePrivileges for help in running Wireshark as an unprivileged user.
tshark: A capture filter was specified both with "-f" and with additional command-line arguments.

Si lo ejecutamos sin ser root

 tshark -i wlp2s0mon  -n -l -f "subtype probereq" -T fields -e wlan.sa -e radiotap.dbm_antsignal -e wlan_mgt.ssid -E quote=d 2
tshark: A capture filter was specified both with "-f" and with additional command-line arguments.

Las reglas para la sintaxis de tshark han cambiado entre 2015 y hoy.
Habría que repasar la documentación de tshrak para actualizar esto.

sol666 · 20-08-2018 23:06:54

ok,yo pensaba que el error era por el tema de la interfaz,al utilizar wlan0mon ya que en 2015 al poner monitor eran tipo monx.

kcdtv · 21-08-2018 15:01:32

He probado los comandos empleados y pillan la interfaz, cuál sea su nombre.
Ya hubo un problema similar y se resolvió: script - Listening for client mac (wifi) - feedback request
tshark...

d1k0w0ns · 21-08-2018 17:26:53

kcdtv en ese link que has puesto a forum kali 2 o 3 posts un poco mas abajo esta el script actualizado por tape para bajar
que casualmente esa version para descargar es la misma que esta aqui,

kcdtv · 21-08-2018 17:38:13

Lea del todo....

tape escribió:

Download link unchanged, version now 0.4

El link en pirmer post lleva al script "actualizado" en su ultima versión conocida... wink

d1k0w0ns · 21-08-2018 17:46:01

si me estoy dando cuenta poco a poco xDD
no me hagas caso xD
es que yo tengo otro bien diferente y deberia tener el que esta aqui "el actualizado",
lo mismo el que tengo es de backtrack 2 por eso me estoy liando mas de la cuenta con esto xD
ya me desliado yo tenia este

#shee.sh v0.4
#By TAPE
#Last edit 11-10-2015 10:00

y el actualizado obsoleto igualmente es este

#shee.sh v0.5
#By TAPE
#Last edit 20-11-2015 23:00

se quedo en la version 0.5
en su tiempo iba bien

sol666 · 21-08-2018 18:00:09

Pues no funciona,es el mismo link,hay que tocar code
http://www.mediafire.com/view/vz2nea6bv1hq779/shee.sh

Ultima edición por sol666 (21-08-2018 18:01:39)

kcdtv · 21-08-2018 18:06:03

@ dk1:
Por favor no hagas re-post y edita tu mensaje en lugar de hacer cuatro mensajes para cuatro frases. smile

sol666 · 21-08-2018 18:21:08

estoy viendo el code junto con la info de tshark moderno a ver si puedo arreglarlo,es una pena que no funcione.

kcdtv · 21-08-2018 18:34:19

me gusta lo de hacer un bucle while después un pipe:

tshark -i $IFACE -n -l -f "subtype probereq" -T fields -e wlan.sa -e radiotap.dbm_antsignal -e wlan_mgt.ssid -E quote=d 2> /dev/null > $TMPFILE &\
tail -f $TMPFILE | while read line ; do 
MAC=$(echo $line | cut -d \" -f 2  | tr '[:lower:]' '[:upper:]')
PWR=$(echo $line | cut -d \" -f 4)
ESSID=$(echo $line | cut -d \" -f 6)
if [ "$ESSID" == "" ] ; then ESSID="no essid" ; fi
if [ "$MAC" == "$TARGET_MAC" ] ; then 
	TIME=$(date +"%Y-%m-%d %H:%M:%S")
	if [ "$LOG"  == "TRUE" ] ; then echo -e "$TIME\t$MAC\t$PWR\t$ESSID" >> $LOGFILE ; fi
	clear
	f_header && echo $BLU">$STD Listening for target MAC $GRN$TARGET_MAC$STD" 
	echo ""
	echo -ne $GRN">$STD $TIME " 
	echo "Target MAC $GRN$MAC$STD found"
	echo $GRN">$STD Probed ESSID: $GRN$ESSID$STD"
	echo $GRN">$STD RSSI: $GRN$PWR$STD" 
	f_graph
	if [ "$SOUND" == "ON" ] ; then paplay "$TUNE" ; fi	
fi
done

Todo está aquí. l

d1k0w0ns · 22-08-2018 08:32:35

kcdtv escribió:

@ dk1:
Por favor no hagas re-post y edita tu mensaje en lugar de hacer cuatro mensajes para cuatro frases.

Por favor no obliges a usar referer en el foro y esto no pasaria,
este es el unico foro del planeta donde te exigen referer para editar smile

sol666 · 22-08-2018 11:52:41

haya paz y vamos a centrarnos a ver si podemos arreglar el script,que yo no le veo el error smile

kcdtv · 22-08-2018 14:16:56

@ dk
Ya se te ha explicado porque se usa y ya te hemos respondido: Quitar huella "refer" de wifi-libre
Y no es el único foro: Pasa en todos los foros bien protegidos.
En todos casos: O te adaptas y haces como todo el mundo o borraré tus mensajes. smile

haya paz y vamos a centrarnos a ver si podemos arreglar el script,que yo no le veo el error smile

Hay paz. Pero la cosa es simple: No quiero repost en el foro. Así que lo repitaré si es necesario.
Luego el error sí que lo ves:

tshark: A capture filter was specified both with "-f" and with additional command-line arguments.

Si lo que te motiva es arreglar el script debes familiarizarte con tsahrk para arreglar la sintaxis con fin de extraer los tres campos

-T fields -e wlan.sa -e radiotap.dbm_antsignal -e wlan_mgt.ssid

Para formar correctamente las variables PWR BSSID y ESSID que vienen luego. Son las empleadas para el escaneo. Todo está en la función que te he ensañado y es la orden tshark la raíz del problema.
¿Haz probado "englobar" las variables entre comillas? ¿Has echado un ojo a la documentación actualizada de tshark sobre estas opciones?

d1k0w0ns · 22-08-2018 16:55:57

sol666 escribió:

haya paz

pero que te haces llamar 666 donde vas con la paz???
guerra y destruccion total viva satan seamos coherentes

kcdtv ya no hare mas reposteria lo juro en serio es el ultimo de verdad, fin

sol666 para actualizar shee podias actualizar autoscan-network que venia hacer lo mismo pero con gui llena de informacion y ademas te daba opciones para atacar a los intrusos de tu red,
lo tengo perdido hace años no se ni la url sino te la ponia.

sol666 · 22-08-2018 17:25:44

creo que autoscan-network no esta para wifislax o sea slackware,lo buscare,no se si habra algo similar.Y lo del error no lo soluciono,mi bash es muy pobre sad

crash · 22-08-2018 18:24:25

https://sourceforge.net/projects/autoscan/

kcdtv · 23-08-2018 04:36:53

.Y lo del error no lo soluciono,mi bash es muy pobre

No hay ningún problema con bash, solo con tshark. Es cuestión de bucsar y probar sintaxis de tshark. Nada de bash.
Si queréis hablar de autoscan u otro script lo hacéis en otro hilo. wink
¿No era cuestión de "vamos a centrarnos a ver si podemos arreglar el script"?

crash · 23-08-2018 07:05:29

aqui teneis información sobre tshark
https://www.wireshark.org/docs/man-pages/tshark.html
creo que con esto lo podeis ver donde está el fallo.

Tema	Respuestas	Vistas	Ultimo mensaje
WPA2: roto con KRACK. ¿Ahora que? por Virkon [ 1 2 ]	26	7781	15-03-2023 16:57:32 por kcdtv
Pegado: Pegado:: AWITAS. Ataque a WPS con rogueAP potegido con WPA por javierbu [ 1 2 ]	34	3813	12-03-2023 18:24:22 por Guybrush92
Pegado: Pegado:: Script multiuso wifi para Kali y otras distros por v1s1t0r [ 1 2 3 … 18 ]	436	63612	07-03-2023 12:35:27 por kcdtv
iwd;¿El demonio WiFi Linux qué lo cambiara todo? por kcdtv	0	423	23-02-2023 17:09:39 por kcdtv
Pegado: Pegado:: Base de datos WPSPIN (original) open source actualizada por kcdtv [ 1 2 3 4 5 ]	114	258658	19-02-2023 17:36:14 por chuchof

Foro Wifi-libre.com

Anuncio

#1 18-07-2015 20:09:33