El libre pensamiento para un internet libre

No estas registrado.  

Anuncio

nord_600_250

#1 27-03-2017 11:07:59

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 5,701

"Una historia de Rogue AP": El PDF de koala traducido al español

"Une histoire de Rogue AP..." de Koala en versión española

Rogue_story_1.jpg

Preámbulo:
  ¡Buenos días a tod@s! smile
Con la salida de hostbase 1.0 (ver: Hostbase 1.0 released), Koala ha puesto a disposición de tod@s su excelente PDF "Une histoire de RogueAP"
El PDF traducido al español será incluido en los repositorios Git Hub.
No obstante me apetece mucho dedicar un tema aquí (con su debida chincheta) a este formidable documento.
  ¡Al grano!
Preparen las palomitas:  Empieza "Un historia de Rogue AP" (... episodio uno tongue big_smile )

Una historia de Rogue AP...

Rogue_story_2.jpg

  1. Identificar las redes

  2. Crear un Rogue AP (una red falsa, AP=Access Point)

  3. Ataque DoS contra la red objetivo (el AP autentico)

  4. Conseguir que la red falsa salga en el gestor de redes de la victima

  5. Adaptar el ataque

Lo que sabemos hacer

  • Crear el Punto de acceso trampa

  • Llevar ataques de Denegación de Servicio (DoS) contra una red objetivo

Lo que podemos mejorar

  • Imponer le red falsa en lugar de la red legitima en el administrador de conexiones inalámbricas de la victima

  • Generar una o varias redes cifradas con airbase-ng o hostapd

  Veremos con esta prueba dos tipos de ataques: La primera se hará con airbase-ng, la segunda con hostapd.
Configuración para la prueba:
  - La victima usa windows 10
  - Para hacer el ataque se usa Kali Linux (o cualquier distribución Linux que sea) y dos tarjetas wifi. Una tarjeta servirá para crear el PA falso y la otra para realizar ataques DoS.
  * Este tipo de ataque funciona también contra Windows 7. Sobre lo de utilizar dos tarjetas wifi: Es porque el ataque resulta más eficaz y estable así. Una tarjeta wifi no cuesta mucho dinero hoy en día...
Preparación:
  - Identificar a las redes que pueden tener una contraseña WPA de 10 o 26 caracteres hexadecimales (ataque 1 con airebase-ng)
  - Identificar a las otras redes y preparar hostapd para un ataque Rgue AP con cifrado WPA (ataque 2 con hostapd)

Episodio/ataque uno

1) Emplear airbase-ng para descifrar la clave WPA

Hacemos un escaneo con airodump-ng 

airodump-ng --encrypt WPA wlan0mon 

Rogue_story_4.jpg

La opción --encrypt WPA se emplea para descartar las redes abiertas.
Tenemos a dos redes listas para un ataque (tienen clientes asociados).
Suponemos que estáis al tanto del formato de las llaves WPA por defecto empleadas por las tele-operadoras y que podéis determinar con el eSSID y/o el bSSID las redes potencialmente vulnerables.
Empezamos el ataque contra el cliente de la red Bouygues (llave por defecto de diez caracteres hexadecimales) :
  - Vamos a ejecutar airbase-ng y su opción caffe-latte para generar paquetes ARP.
  - Por otro lado ejecutaremos airodump-ng para capturar los paquetes y poder descifrar la llave con aircrack-ng.

airebase-ng -c 1 --essid "Bbox-3C39D8" -L -W 1 wlan0mon

Rogue_story_5.jpg

airodump-ng -c 1 -d EC:55:F9:AA:AF:AC -w wep wlan0mon

Rogue_story_6.jpg

Estamos ahora listos para recuperar la llave que pondrá el usuario en su gestor de redes (si la pone)
Para lograrlo vamos a hacer un poco de "social engineering" para engañar a nuestra victima y llevarla a teclear su contraseña.
Lo que sigue es importante y es importante hacerlo en este orden:
  - Ejecutar mdk3 con nuestra segundo tarjeta wifi
  - Esperar 30 segundos y ejecutar airebase-ng, siempre con la segunda tarjeta wifi. 
  * Debéis esperar a que la victima este desconectada del Punto de Acceso legitimo, en el caso contrario no funcionará.
¡Vamos a ello!
  Mdk3 en acción

mdk3 wlan1mon d -g -t 00:1F:9F:FD:D9:A7 -c 6

Rogue_story_7.jpg

  Esperamos 30 segundos y iniciamos  airebase-ng

airebase-ng -c 6 -a 00:1F:9F:FD:D9:A7 -e Bbox-3C3D8 -W 1 wlan1mon

  Miremos lo que ocurre en nuestra consola airebase-ng y lo que pasa en el ordenador de la victima:
     Nuestro ordenador

Rogue_story_8.jpg

     El ordenador de la victima

Rogue_story_9.jpg

    Podéis ver que la red falsa sale primera en la lista.
    ¿Dónde está el verdadero PA?
Podéis ver en la captura de pantalla siguiente que se encuentra en última posición en la lista de redes inalámbricas disponibles del gestor de redes de nuestra victima

Rogue_story_10.jpg

He elegido adrede dos nombres diferentes para la red falsa y para la red legitima para que se vea claramente cual es cual.
En este caso nuestra red falsa se llama  Bbox-3C39D8 mientras que la red legitima se llama Bbox-3C3D8.
Veamos ahora que pasa si empleo el verdadero de la red objetivo para mi red trampa.

Rogue_story_11.jpg

La red falsa esta siempre en primera posición, la red legitima sigue saliendo en ultima posición y no es posible conectarse a ella.
Para estar seguro de que la red falsa salga en el gestor de redes debéis imperativamente añadir un espacio al final del eSSID en vuestra linea airebase-ng. Fijaros bien en los apostrofes de la linea de ordenes que viene a continuación:

airebase-ng -c 1 --essid "Bbox-3C39D8 " -L -W 1 wlan0mon

Esto es lo que pasa en la red falsa cuando la victima entra su llave

Rogue_story_12.jpg

Al mismo tiempo se ven los efectos del ataque caffe latte en la consola airodump-ng. 

Rogue_story_13.jpg

Algunos minutos más tarde...

Rogue_story_14.jpg

La victima que he simulado se ha conectado 8 minutos. Fueron necesarios para recoger los 43000 iv's para romper la llave de 26 caracteres. Si la llave es de 10 caracteres hexadecimales podéis intentar con menos iv's (10 000). La victima estará en "conexión limitada" mientras se hace el ataque. 



Nota del "traductor"
Así acaba el primer episodio de la trepidante saga "Una Historía de rogue AP" (by Koala)
Hemos visto como llevar un Roge AP "WEP downgrade" para romper una llave WPA de 26 caracteres (hexidecimales) .
Pondré estos días la traducción del segundo episodio con el ataque Rogue WPS-PBC
¡Hasta tanto!

Desconectado

Anuncio

nord_600_250

#2 04-04-2017 12:36:18

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 5,701

Re: "Una historia de Rogue AP": El PDF de koala traducido al español

El retorno de "Una historia de RogueAP..." by Koala

Rogue_story_15.jpg

Recuerdo que no soy el autor de este PDF. Solo intento traducirlo lo mejor que puedo wink   Buena lectura smile

Parte 2:
Emplear hostapd y el WPS para conseguir la conexión

El segundo ataque se basa en hostapd. Se crean tres Puntos de Acceso cifrados y con WPS para atraer la victima en una de nuestras redes trampas.
Para desconectar la victima de su red y lograr que nuestra red falsa salga primera en el gestor de redes de la victima usaremos el mismo método que en el primer ataque.
Para realizar el ataque deben asegurarse de que el driver de su interfaz WiFi es compatible con hostapd y que hostapd está configurado correctamente.
Luego deben ejecutar hostapd y hostpad_cli para activar el WPS y lograr que la victima se conecte a nuestro punto de acceso a pesar del cifrado WPA.

hostapd hostapd.conf

Rogue_story_16.jpg

Activen el WPS durante un tiempo.
A lo bestia pero es eficaz:

while : ; do sudo hostapd_cli wps_pbc ; sleep 120 ; done &

Rogue_story_17.jpg

Sale un error ("FAIL") porque hostapd renombra vuestra tarjeta WiFi con tres nombres distintos (cada nombre nuevo corresponde a una de las tres redes falsas).
No importa porque la victima podrá conectarse a cualquiera de las redes falsas visto que se el conjunto está gestionado por la misma interfaz.
Podrán ver algo así en su consola hostapd en cuanto la victima se conecte:

Rogue_story_18.jpg

Miremos ahora que pasa en la computadora de la victima. Acuérdense de que se ha utilizado el mismo método que en el primer ataque para engañar el gestor de redes de la victima.

Rogue_story_19.jpg

Bbox, Bbox-Assistance y Bbox-wifi son nuestras tres redes falsas creadas por hostapd.
Podéis ver a continuación que la red legitima queda en ultima posición:

Rogue_story_20.jpg

   ¿Y ahora qué?
Redirigen su victima mediante iptables o dnsspoof hacía su servidor en una pagina phishing currada que pide al usuario de presionar el botón WPS de su unto de acceso para conectarse a su red WiFi. Quedará muy realista si uséis directamente unas imágenes o un vídeo extraídos del propio sitio de ayuda en linea del ISP de la victima...
Ejemplo para SFR:

Rogue_story_21.jpg

  Debéis (en la computadora atacante) tener la linea de ordenes que sigue en acción para no dejar pasar el intervalo que les permite conectarse al PA de la victima

wpa_cli
while : ; do sudo wpa_cli wps_pbc any ; sleep 120; done & 

  Ejemplo de lo que ocurre cuando la victima presiona sobre el botón:

Rogue_story_22.jpg

  No se olviden de lanzar

dhclient wlan0

  para negociar el dhcp.
*Para lograr la conexión a la red legitima de la victima cuando presiona el botón WPS; debéis parrar el ataque DoS llevado por mdk3.  No afecta el desarrollo del ataque en este punto visto que el cliente está ya conectado a una de nuestras redes falsas y que el punto de acceso trampa está registrado en las redes conocidas.

  Un ataque más que puede ser muy peligroso porque no se piden ningunos credenciales.  La victima solo debe levantarse para presionar el botón WPS de su router. Con un servidor apache que llaméis, por ejemplo, sfrasistance.sfr y un certificado SSL que no devuelve errores; tendréis una trampa perfecta.
Pasamos de un Rogue AP open básico, con conexión a una red falsa open y su portal cautivo, a un Rogue AP en WPA con las redes falsan que encabezan la listas de las redes disponibles.
  Diría que las probabilidades de obtener la llave con uno de los dos métodos son excesivamente altas.
He probado en casa de tres amigos con su consentimiento pero sin advertirles de cuando ni del cómo... Ha funcionado con los tres.

Conclusión: Estén al ojo, aunque la red parezca segura, y es hora de que se abandonan los pass WPA en hexadecimal. 

Una historia de rogue AP by Koala

Member of

Desconectado

#3 04-04-2017 12:49:34

Koala
Very Important Usuario

Registrado: 11-09-2016
Mensajes: 975

Re: "Una historia de Rogue AP": El PDF de koala traducido al español

Gracias para tu trabajo smile no es facil de traducir todo


Hostbase rogue AP project con Kali-linux xfce.

Debian--Arch--Kali--

Desconectado

#4 04-04-2017 12:52:05

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 5,701

Re: "Una historia de Rogue AP": El PDF de koala traducido al español

No es nada comparado a los horas y horas (... y años tongue ) dedicadas a elaborar técnicas originales y nuevas.
Gracias a ti "maestro jedi" tongue big_smile

Desconectado

#5 10-05-2018 12:29:26

cdt
Usuario

Registrado: 10-05-2018
Mensajes: 19

Re: "Una historia de Rogue AP": El PDF de koala traducido al español

buenas, buen foro. Una pregunta ¿ para hacer ese ataque se nesesita dos adaptadores uno que de internet y otro para hacer el ataque ? ¿que chipset se nesesita puede ser cualquiera por ejemplo ralink 3070 l o tiene que ser atheros y que version sería? Gracias saludos

Desconectado

#6 10-05-2018 18:30:58

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 5,701

Re: "Una historia de Rogue AP": El PDF de koala traducido al español

Buenas smile

Ambos ataques se pueden hacer con la mayoría de los chipsets y no se requiere tener una conexión Internet
No tengo claro que hayas bien hecho la distinción entre los dos métodos.   
  -  El primero se basa en el "WEP downgrade" y no requiere nada más que aircrack-ng y hostapd; sin servidor apache ni nada por el estilo.
         De hecho se podría probar ahora con airbase-ng en lugar de hostapd porque se han arreglados bugs WEP/airbase-ng  con aircrack-ng 1.2.
  - Y el segundo se limita a llevar el usuario a empujar el botón WPS de su router,
          Hay efectivamente una situación de "Man In The Middle" que se podría explotar de muchas formas pero aquí koala se centra en la parte hacking WiFi. El aspecto phishing no es el asunto aquí.

Edit 1: He creado un tema aparte con tus otras preguntas para no desviar este wink : ¿Hasta qué punto el chip Ralink RT3072 es compatible con hostapd?
Edit 2: He tenido que mover tus "nuevas" preguntas (ya que son offtopic en este tema) en el hilo puesto en el edit 1

Ultima edición por kcdtv (19-05-2018 14:57:32)

Desconectado

#7 13-07-2018 15:53:57

Flashed
Usuario

Registrado: 03-10-2016
Mensajes: 96

Re: "Una historia de Rogue AP": El PDF de koala traducido al español

Como no me he leido esto antes? Esto hay que estudiarselo!
Hay algo sin embargo, que no me termina de quedar claro, de la parte 1, estamos creando una red con cifrado WEP, que será la que luego ataquemos, pero eso sí, ¿qué password lleva esta red? Deberíamos saber nosotros la password de antemano, ¿no? Esta parte es la que no entiendo

Desconectado

#8 13-07-2018 19:19:31

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 5,701

Re: "Una historia de Rogue AP": El PDF de koala traducido al español

No importa el password que configuras en la red trampa WEP. 
  El cliente cifra los mensajes con su llave.
La que entra el usuario en su gestor de redes cuando se conecta a la red WEP (nuestra) pensando que se conecta a su red (WPA)
Este ataque solo puede funcionar con llaves WPA que tienen un "formato" WEP es decir:

  • 10 caracteres hexadecimales

  • 13 caracteres ascii

  • 26 caracteres hexadecimales

Si la llave no sigue al pie de letra uno de estos tres patrones la trampa no funciona porque el usuario no puede conectarse a la red WEP.

Desconectado

Anuncio

nord_600_250

Temas similares

Tema Respuestas Vistas Ultimo mensaje
26 7673 15-03-2023 16:57:32 por kcdtv
Pegado:
34 3754 12-03-2023 18:24:22 por Guybrush92
Pegado:
Pegado:: Script multiuso wifi para Kali y otras distros por v1s1t0r  [ 1 2 3 18 ]
436 63508 07-03-2023 12:35:27 por kcdtv
0 405 23-02-2023 17:09:39 por kcdtv
Pegado:
114 258451 19-02-2023 17:36:14 por chuchof

Pie de página

Información del usuario

Ultimo usuario registrado: trdmexico
Usuarios registrados conectados: 0
Invitados conectados: 14

Estadisticas de los foros

Número total de usuarios registrados: 2,431
Número total de temas: 1,632
Número total de mensajes: 15,528

Máx. usuarios conectados: 373 el 30-09-2019 15:04:36