Foro Wifi-libre.com

Cómo crackear un handshake sin diccionarios ( generando y comprobando las contraseñas al vuelo ) con las tres imprescindibles utilidades para crack WPA :
           aircrack-ng   
                    pyrit
  y  hashcat 

Crack WPA "sin diccionarios" (on the fly)

  Si no estas familiarizado con el crack WPA es une buena idea echar un ojo aquí : Crack WPA: Manual paso a paso para principiante
  El crack WPA tiene dos tiempos :

1. La parte "crack WiFi" que consiste en obtener un handshake - es decir un intercambio de paquetes especiales que se produce al momento que un cliente se conecta a un punto de acceso - a golpes de ataques de tipo "desauth" ("desautenticación" )

2. Una vez obtenido el handshake podemos pasar a la fase siguiente, la parte "offline" : pasar un diccionario de contraseñas para verificar si contiene "la misma" que la del el handshake (la de la red)

  La primera fase no nos interesa directamente en este tema, hablamos de la segunda.
  Es algo más compleja que cómo la describo en una sola pobre linea aquí pero este es el concepto.

  Para nuestra segunda fase, el bien llamado "attaque por diccionario", necesitamos a priori un diccionario.
Es decir un fichero que debería llevar una extensión *.txt o *.lst con una contraseña ascii y un retorno de carro por linea.
El problema de los diccionarios WPA es que son voluminosos.
Rellenan rápidamente una estantería de biblioteca como rellenan rápidamente una partición para datos en un disco duro
Un diccionario completo con contraseñas de 10 números pesa el solo 102 GB
Sabiendo que el crecimiento es exponencial si añadimos otros caracteres, les dejo imaginar hasta que puntos podemos llegar...
Digamos que quiero un diccionario con 10 caracteres hecho con números y además las seis letras que se emplean en la base hexadecimal (solo en mayúsculas) : necesito tener un espacio de  11 TB...
  Tenemos un problema.
  Ahí interviene el concepto de "crack al vuelo"
  En lugar de usar un diccionario ya hecho generamos las contraseñas y las comprobamos al instante.
  No se guarda ni se necesita ningún diccionario, todo se pasa en la RAM y nos olvidemos de los problemas de almacenamiento.
 
  Quien dice uso de la RAM dice desgaste de recursos.
Es cierto que el hecho de generar y gestionar al momento las contraseñas supone un uso de recursos suplementario pero el impacto no es muy importante
He probado observando un par de minutos con contraseñas de 10 números

1. Al vuelo (crunch + aircrack-ng) media de un poco mas de 700 llaves/segundos

2. media de un poco más de 730 llaves segundos

El impacto es menor y disminuye proporcionadamente a más potencias : la generación de contraseñas es siempre mucho mas rápida que comprobar las contraseñas con el handshake 

Bash y la magia del pipe

El crack al vuelo es factible y muy fácil de poner de pie gracias al símbolo

|

|

Llamado "pipe" (tubería) 
El pipe permite mandar el resultado de un comando (stdout) a otro comando para ser tratado.
Podemos concadenar así unos comandos para sumir su acción

  Lo mejor es siempre tomar un ejemplo concreto...
Digamos que tengo quiero saber cuáles son los inicios de bSSID que pertenecen a Comtrend
Tengo con aircrack-ng una base de datos "OUI" con esta información (contiene todos los inicio de mac con sus fabricantes respectivos)
Para abrir un archivo en consola y ver su contenido en consola puedo usar el comando cat seguido de la ruta completa hacía el archivo (si no estamos situados en el directorio que contiene dicho archivo, sino nos basta con poner el nombre).

cat /etc/aircrack-ng/airodump-ng-oui.txt

Haciendo así veo todas las macs... y son muchísimas.
Difícil de encontrar las que pertenecen a Comtrend...

  Con bash existe el comando grep que permite visualizar las lineras que contienen una expresión regular.
Es decir, definimos una palabra clave y bash solo va a enseñar las lineas que contienen esta "palabra clave" (que se llama en programación una "expresión regular")
En este caso lo redactaría así

grep -i comtrend

el "-i" es para que no haga la diferencia entre minúsculas y mayúsculas. Si la linea contiene Comtrend o COMTREND se enseñara en consola.

Si hacéis

cat /etc/aircrack-ng/airodump-ng-oui.txt

y luego

grep -i comtrend

No vaís a obtenr nada al final porque grep no tiene nada que comprobar.
Para que funcione debéis mandar el resultado de vuestro comando cat (abrir texto) al comando grep (pillar linea que contiene palabra clave )
Necesitáis un pipe

comando 1 (abrir texto) | comando 2 (pillar linea)

Y obtendréis como resultado final las lineas que contienen la palabra clave.

cat /etc/aircrack-ng/airodump-ng-oui.txt | grep -i comtrend

  Para el crack al vuelo usamos la misma estrategia :
generamos las contraseñas con un generador y mandamos el resultado a una utilidad de crackeo para que compruebe si coincide con la empleada en el handshake 

generador | utilidad crack

  Hecho así a palos secos no es muy interesante porque se generaría todo el diccionario, se cargaría en la RAM y se pasaría luego por la utilidad de crackeo.
Así que nuestras utilidades de crack tienen un argumento especifico para estar usado con pipe, haciendo que la comprobación se haga contraseña a contraseña, encadenando los dos comandos invocados en un bucle linea por linea.
Veamos ahora como redactar nuestras lineas de ordenes aircrack-ng, pyrit y reaver con un pipe para poder prescindir de diccionarios. 

Aircrack-ng

Para los ejemplos voy a usar el generador "de referencia" Crunch
Esta incluido en Kali Linux
Generaré un diccionario de 10 números
Se hace así

crunch 10 10 0123456789

• 10 : numero mínimo de caracteres en las comtraseñas

• 10 : numero máximo de caracteres en las contraseñas

• 0123456789 : los símbolos a emplear

Para poder usar aircrack-ng en pipe debemos usar el argumento -w (que lleva normalmente a nuestro diccionario) de una forma bien especifica : -w-
"encerrado" entre dos menos
Como por le crack WA por diccionario debemos indicar un handshake (sino no hay crack) y debemos además indicar el essid del PA despuès el argumento -e
O sea :

generador | aircrack-ng <ruta_hacía_handshake> -e <eSSID> -w-

ejemplo :

 crunch 10 10 0123456789 | aircrack-ng  /home/kctv/Orange-A846.cap -e Orange-A846 -w- 

Pyrit

  Pyrit permite el uso de los recursos de las tarjetas vídeo y esta optimizado para la marca nvidia y sus drivers "CUDA".
Par estar empleado con un pipe requiere el argumento extra -i- attack_passthrough
Además deberemos indicar lógicamente el handshake a tratar así que el bSSID del punto de acceso. De este modo

genrador | pyrit -r <ruta_hacía_handshake> -b <bSSID> -i- attack_passthrough

ejemplo :

 crunch 10 10 0123456789 | pyrit -r /home/kctv/Orange-A846.cap -b 50:7E:5D:8B:A8:48 -i- attack_passthrough

Hashcat

Hashcat es también una utilidad de crack que usa los recursos "GPU" vídeos y destaca por su rendimiento con tarjetas de marca ATI y sus drivers "catalyst"
Par poder estar utilizado en pipe con un generador hemos de emplear el argumento  -m 2500
En este caso nos bastará añadir la ruta hacía el handshake lo que nos da

generador | ./oclHashcat-plus64.bin -m 2500 <ruta_hacía_handshake>

ejemplo :

 crunch 10 10 0123456789 | ./oclHashcat-plus64.bin -m 2500 /home/kctv/Orange-A846.cap

  Ya sabeís como usar las tres utilidades de crack WPA "on the fly".
Algo muy sencillo gracias al pipe de nuestro interprete ordenes y gracias a las opciones dedicadas que cada uno de nuestro compañeros para crack WPA lleva.

¡Buenas noches!