Menu Web

Como usar aircrack-ng? Manual en castellano efectuado por thefkboss aircrack-ng aircrack-ng [opciones] <archivo(s) de captura> Los archivo(s) de captura pueden estar en formato cap o ivs.

Opcion Param

!escripcion

-a -e

amode Fuerza el tipo de ata ue (! " #$% est&tica' ( " #%)-%*+). essid *i se especifica' se usar&n todos los ,-s de las redes con el mismo $**,.. $sta opci/n es necesaria en el caso de ue el $**,. no est0 a1iertamente difundido en una recuperaci/n de claves #%)-%*+

($**,. oculto). -1 -p -c -t -h -d -m -n -i -f 1ssid none none none none start maddr n1its inde5 *elecciona la red elegida 1as&ndose en la direcci/n M)C. )ctiva el modo silencioso (no muestra el estado hasta ue la clave es o no encontrada). (recuperaci/n #$%) Limita la 12s ueda a caracteres alfanum0ricos s/lamente (45(4 - 456F). (recuperaci/n #$%) Limita la 12s ueda a los caracteres he5a decimales codificados en 1inario. (recuperaci/n #$%) Limita la 12s ueda a los caracteres numericos (4784-4789) $stas contrase:as son utilizadas por defecto en la ma;or<a de las Fritz=>?@es (routers configurados por defecto). (recuperaci/n #$%) $specifica el comienzo de la clave #$% (en he5)' usado para depuraci/n. (recuperaci/n #$%) .irecci/n M)C para la ue filtrar los pa uetes de datos #$%. )lternativamente' especifica -m ffAffAffAffAffAff para usar todos ; cada uno de los ,-s' indiferentemente de la red ue sea. (recuperaci/n #$%) $specifica la longitud de la claveA BC para #$% de C4-1it ' !(D para #$% de !4C-1it ' etc. $l valor predeterminado es !(D. (recuperaci/n #$%) Conserva s/lo los ,-s ue tienen este <ndice de clave (! a C). $l comportamiento predeterminado es ignorar el <ndice de la clave. n1cpu $n sistemas *M% ' especifica con esta opci/n el n2mero de C%3s.

(recuperaci/n #$%) .e forma predeterminada' este par&metro est& esta1lecido en ( para #$% de !4Cfudge 1it ; en E para #$% de C4-1it. $specifica un valor m&s alto para elevar el nivel de fuerza 1rutaA la recuperaci/n de claves llevar& m&s tiempo' pero con una ma;or posi1ilidad de 05ito. (recuperaci/n #$%) Fa; !6 ata ues de tipo estad<stico de korek. ) veces un ata ue crea un enorme korek falso positivo ue evita ue se o1tenga la clave' incluso con grandes cantidades de ,-s. %rue1a -k !' -k (' ... -k !6 para ir desactivando cada uno de los ata ues de forma selectiva. none none (recuperaci/n #$%) Go aplicar fuerza 1ruta so1re los dos 2ltimos ke;1;tes. (recuperaci/n #$%) )plicar fuerza 1ruta so1re el 2ltimo ke;1;te.

-k -5 / -54 -5!

-5( -@ -; -s -z -I ivstoo"s

none none none none none Iords

(recuperaci/n #$%) )plicar fuerza 1ruta so1re los dos 2ltimos ke;1;tes. Go aplicar fuerza 1ruta multiproceso ($n sistemas *M%). (recuperaci/n #$%) Hste es un ata ue de fuerza 1ruta e5perimental 2nico ue de1er<a ser usado cuando el m0todo normal de ata ue falle con m&s de un mill/n de ,-s. (recuperaci/n #$%) Mostrar la clave en formato )*C,,.
(recuperacin WEP) Opcin de ataque PTW (Solo funciona bajo archivos .cap)

(recuperaci/n #%)) Juta hacia la lista de pala1ras o K-L sin comillas para utilizar complementos de tipo (fuerza 1ruta).

$sta es una utilidad mu; 1uena ;a ue sirve paraA !M)unir archivos ivs en uno solo usamos el siguiente comandoA ivstools --merge captura!.ivs captura(.ivs captura8.ivs archivofinal.ivs siendo captura(s) los archivos ue ueremos unir ; archivofina" el ue nos generara como uni/n de los anteriores (M)%ara convertir un archivo con e5tensi/n cap en ivsA ivstools --captura.cap archivofinal.ivs makeivs

$s una utilidad ue nos permite crear un archivo con e5tensi/n ivs con la clave ue nosotros le a:adamos (es solo para hacer prue1as no sirve para nada mas) makeivs.e5e captura.ivs DBBE6D8DDfE!61e41CD!Da4d1! siendo captura el archivo inventado ; #$$%&#'##f%(&be)b*#(#a)db(la clave inventada +irmon-ng *irve para poner nuestra tarNeta en modo monitor antes de empezar a capturar trafico de1emos poner nuestra tarNeta en modo monitor usando este script para ello tecleamosA airmon-ng OstartPstopQ OdispositivoQ RcanalS start, para activar el modo monitor. stop, para parar el modo monitor. dispositivo, nuestra tarNeta (ath4' eth4' raI4.....) +irodump-ng Descripcin *e usa para capturar datos trasmitidos a trav0s del protocolo D4(.!! ; en particular para la captura ; recolecci/n de ,-s (vectores iniciales) de los pa uetes #$% con la intenci/n de usar aircrack-ng. *i e5iste un receptor T%* conectado al ordenador airodump-ng muestra las coordenadas del )%.

Uso )ntes de usarlo de1es ha1er iniciado el script airmon-ng para ue se muestren los dispositivos Iireless ue posees ; para activar el modo monitor. %uedes' pero no se recomienda ue eNecutes +ismet ; airodump al mismo tiempo. airodump-ng Ropcione(s)S OdispositivoQ ?%C,?G$*A --ivsA Captura solo ivs --gpsdA %ara usar un dispositivo Tps --Irite Onom1re del archivo a guardarQ Acrea un archivo del nom1re ue le hallamos puestos ; con la e5tensi/n(.cap / .ivs) ; empieza a capturar. -IA es lo mismo ue poner Irite --1eaconsA Tuarda los 1eacons' por defecto no los guarda. Por defecto airodump captura todos "os cana"es -ue se encuentren dentro de "a frecuencia ./* 012 --channel ACaptura el canal especificado --cA Lo mismo ue escri1ir channel -aA Captura en la frecuencia de EThz especifica del canal a --a1gA Captura tanto en frecuencias de ('CThz como en E Thz Para configurar correctamente "os comandos debemos seguir e" orden en e" -ue est3n escritos en este te4to 5 omitir e" comando -ue no deseemos modificar, 67emp"os,

airodump-ng --ivs -I prue1a -c !! -a1g ath4 capturara solo ivs creando un archivo llamado prueba en el canal 11 tanto en a/b/g airodump-ng -I prue1a -c !! -a1g ath4 capturara creando un archivo cap llamado prueba en el canal 11 tanto en a/b/g 8+irodump osci"a entre W6P 5 WP+ $sto ocurre cuando tu controlador no desecha los pa uetes corruptos (los ue tienen CJC inv&lido). *i es un ipI(!44 (Centrino 1)' simplemente no tiene arregloU ve ; compra una tarNeta meNor. *i es una %rism(' prue1a a actualizar el firmIare. 89 :u3" es e" significado de "os campos mostrados por airodump ; airodump-ng mostrar& una lista con los puntos de acceso detectados' ; tam1i0n una lista de clientes conectados o estaciones (VstationsV).

+irep"a5-ng *e pueden realizar E ata ues diferentesA

)ta )ta )ta )ta )ta

ue 4A .esautentificaci/n ue !A )utentificaci/n falsa ue (A *elecci/n interactiva del pa uete a enviar ue 8A Jein;ecci/n de petici/n )J% ue CA $l VchopchopV de +ore+ (predicci/n de CJC)

+ta-ue ), !esautentificaci<n $ste ata ue se puede utilizar para varios prop/sitosA 8:apturar e" WP+ 1andshake %ara ello de1emos poner el siguiente comandoA airepla;-ng -4 E -a 44A!8A!4A84A(CA9C -c 44A49AE>A$>ACEA(> ath4 ) significa desautentificaci/n de cliente sirve para ue se vuelva a asociar' vaciando de esta forma el cache )J% ; por lo tanto volviendo a enviar su handshake. -a )),(',(),'),.*,=: *eria el )% -c )),)=,%>,6>,:%,.> *eria una *tation asociada a esa )%. *i omitimos esta ultima parte el ata ue se realiza so1re todos las *tation conectadas a ese )%. ath) $s nuestra tarNeta seg2n los diversos modelos de tarNeta (chip) varia Ilan4' eth4' ra4....

8?ein5ecci<n +?P airepla;-ng -4 !4 -a 44A!8A!4A84A(CA9C ath4 airepla;-ng -8 -1 44A!8A!4A84A(CA9C -h 44A49AE>A$>ACEA(> ath4 como podemos o1servar el primer comando es una desautentificaci/n seguida de una rein;ecci/n de los pa uetes o1tenidos se supone ue al ha1er vaciado la cache del cliente ; volverse a conectar vuelve a enviar la contrase:a -b )),(',(),'),.*,=: *eria el )% -h )),)=,%>,6>,:%,.> *eria el cliente

8!enegaci<n de" servicio a c"ientes conectados *e 1asa en el envi/ continuo de pa uetes de desautentificaci/n con la consiguiente imposi1ilidad del(os) cliente(s) de conectarse. airepla;-ng -4 4 -a 44A!8A!4A84A(CA9C ath4 ) hace ue envi0 pa uetes continuamente a cual uier *tation conectado a ese )% si solo ueremos uno en particular enviar<amos con el comandoA airepla;-ng -4 4 -a 44A!8A!4A84A(CA9C -c 44A49AE>A$>ACEA(> ath4 +ta-ue (, +utentificaci<n fa"sa

$ste ata ue es solamente e5itoso cuando necesitamos un cliente asociado al )% para realizar los ata ues (' 8' C (-h opci/n) ; no lo tenemos. %or lo tanto consiste en crear nosotros mismos un cliente ue se asociara a ese )% .Fa; ue recordar llegando a este punto ue siempre ser& meNor un cliente verdadero ;a ue el falso no genera trafico )J%. *e recomienda ue antes de realizar este ata ue cam1iemos nuestra direcci/n M)C de la tarNeta para ue envi0 correctamente )C+s (peticiones). ifconfig ath4 doIn ifconfig ath4 hI ether 44A!!A((A88ACCAEE ifconfig ath4 up 3na vez realizado esto lanzamos el ata ue de la siguiente formaA airepla;-ng -! 4 -e Wthe ssidW -a 44A!8A!4A84A(CA9C -h 44A!!A((A88ACCAEE ath4 !(A!CA4B *ending )uthentication Je uest !(A!CA4B )uthentication successful !(A!CA4B *ending )ssociation Je uest !(A!CA46 )ssociation successful A-) @the ssid@ sin las comillas es el nom1re del )% )),((,..,'',**,%% Cliente falso Con los C-* (44E-4D-!C madIifi parcheados' es posi1le in;ectar pa uetes estando en modo ,nfraestructura (la clave #$% en s< misma no importa' en tanto ue el )% acepte autenticaci/n a1ierta). %or lo ue' en lugar de usar el ata ue !' puedes s/lo asociarte e in;ectar P monitorizar a trav0s de la interfaz ath@raIA

ifconfig ath4 doIn hI ether 44A!!A((A88ACCAEE iIconfig ath4 mode Managed essid Wthe ssidW ke; )))))))))) ifconfig ath4 up s;sctl -I dev.ath4.raIdev"! ifconfig ath4raI up airodump-ng ath4raI out B $ntonces puedes eNecutar el ata ue 8 o el C (a1aNo' airepla; reemplazar& autom&ticamente ath4 por ath4raI)A airepla;-ng -8 -h 44A!!A((A88ACCAEE -1 44A!8A!4A84A(CA9C ath4 airepla;-ng -C -h 44A!4A(4A84AC4AE4 -f ! ath4 6ste ata-ue mencionado anteriormente ha5 muchas veces -ue fa""a 5 no es ())A seguro 5a -ue ha sido probado por muchos de nosotros 6" +P es cierto -ue escupe ivs pero ha5 veces -ue a" intentar sacar "a c"ave descubrimos -ue "a c"ave es "a introducida por nosotros por "o tanto no servirBa de nada )lgunos puntos de acceso re uieren de reautentificaci/n cada 84 segundos' si no nuestro cliente falso ser& considerado desconectado. $n este caso utiliza el retardo de re-asociaci/n peri/dicaA airepla;-ng -! 84 -e Wthe ssidW -a 44A!8A!4A84A(CA9C -h 44A!!A((A88ACCAEE ath4 si en vez de 84 segundos ueremos (4 pues escri1imos (4 si fuesen !4 modificamos por !4 ; asi sucesivamente *i este ata ue parece fallar (airepla; permanece enviando pa uetes de petici/n de autenticaci/n)' puede ue est0 siendo usado un filtrado de direcciones M)C. )seg2rate tam1i0n de ueA 6st3s "o suficientemente cerca de" punto de acceso/ pero o7o no demasiado por-ue tambiCn puede fa""ar

6" contro"ador est3 correctamente parcheado e insta"ado Da tar7eta est3 configurada en e" mismo cana" -ue e" +P 6" >EEF! 5 e" 6EEF! (opciones -a G -e) son correctos Ei se trata de Prism./ asegHrate de -ue e" firmIare est3 actua"i2ado +ta-ue ., Ee"ecci<n interactiva de" pa-uete a enviar $ste ata ue te permite elegir un pa uete dado para reenviarloU a veces proporciona resultados m&s efectivos ue el ata ue 8 (rein;ecci/n autom&tica de )J%). %odr<as usarlo' por eNemplo' para intentar el ata ue Vredifundir cuales uiera datosV' el cu&l s/lo funciona si el )% realmente reencripta los pa uetes de datos #$%A airepla;-ng -( -1 44A!8A!4A84A(CA9C -n !44 -p 4DC! -h 44A49AE>A$>ACEA(> -c FFAFFAFFAFFAFFAFF ath4 Xam1i0n puedes usar el ata ue ( para reenviar manualmente pa uetes de peticiones )J% encriptadas con #$%' cu;o tama:o es 1ien BD o DB 1;tes (dependiendo del sistema operativo)A airepla;-ng -( -1 44A!8A!4A84A(CA9C -d FFAFFAFFAFFAFFAFF -m BD -n BD -p 4DC! -h 44A49AE>A$>ACEA(> ath4 airepla;-ng -( -1 44A!8A!4A84A(CA9C -d FFAFFAFFAFFAFFAFF -m DB -n DB -p 4DC! -h 44A49AE>A$>ACEA(> ath4 Otra buena idea es capturar una cierta cantidad de trafico 5 echar"e un o7o con etherea" Ei creemos a" e4aminar e" trafico -ue ha5 dos pa-uetes -ue parecen una petici<n 5 una respuesta (Jn c"iente envBa un pa-uete 5 poco despuCs e" destinatario responde a este) entonces es una buena idea intentar rein5ectar e" pa-uete petici<n para obtener pa-uetes respuestas

+ta-ue ', ?ein5ecci<n de petici<n +?P $l cl&sico ata ue de rein;ecci/n de petici/n )J% es el mas efectivo para generar nuevos ,-s' ; funciona de forma mu; eficaz. Gecesitas o 1ien la direcci/n M)C de un cliente asociado (44A49AE>A$>ACEA(>)' o 1ien la de un cliente falso del ata ue ! (44A!!A((A88ACCAEE). %uede ue tengas ue esperar un par de minutos' o incluso m&s' hasta ue aparezca una petici/n )J%U este ata ue fallar& si no ha; tr&fico. %or favor' f<Nate en ue tam1i0n puedes reutilizar una petici/n )J% de una captura anterior usando el interruptor -r . airepla;-ng -8 -1 44A!8A!4A84A(CA9C -h 44A!!A((A88ACCAEE ath4 *aving )J% re uests in repla;Yarp-4B(6-!(!E(B.cap Zou must also start airodump to capture replies. Jead (C98 packets (got ! )J% re uests)' sent !84E packets... 6" KchopchopK de LoreL (predicci<n de :?:) $ste ata ue' cuando es e5itoso' puede desencriptar un pa uete de datos #$% sin conocer la clave. ,ncluso puede funcionar con #$% din&mica. $ste ata ue no recupera la clave #$% en s< misma' sino ue revela meramente el te5to plano. .e cual uier modo' la ma;or<a de los puntos de acceso no son en a1soluto vulnera1les. )lgunos pueden en principio parecer vulnera1les pero en realidad tiran los pa uetes menores de B4 1;tes. *i el )% tira pa uetes menores de C( 1;tes airepla; trata de adivinar el resto de la informaci/n ue le falta' tan pronto como el enca1ezado se predeci1le. *i un pa uete ,% es capturado autom&ticamente 1usca el checksum del enca1ezado despu0s de ha1er adivinado las partes ue le falta1an. 6ste ata-ue re-uiere como mBnimo un pa-uete W6P (encriptado)

!. %rimero' desencriptemos un pa ueteA airepla;-ng -C ath4 *i esto falla' es de1ido a ue ha; veces ue el )% tira la informaci/n por ue no sa1e de ue direcci/n M)C proviene. $n estos casos de1emos usar la direcci/n M)C de un cliente ue este conectado ; ue tenga permiso (filtrado M)C activado). airepla;-ng -C -h 44A49AE>A$>ACEA(> ath4 (. $chemos un vistazo a la direcci/n ,%A tcpdump -s 4 -n -e -r repla;Ydec-4B(6-4((84!.cap reading from file repla;Ydec-4B(6-4((84!.cap' link-t;pe R...S ,% !9(.!BD.!.( Q !9(.!BD.!.(EEA icmp BCA echo re uest se ! 8. )hora' forNemos una petici/n )J%. La ,% inicial no importa (!9(.!BD.!.!44)' pero la ,p de destino (!9(.!BD.!.() de1e responder a peticiones )J%. La direcci/n M)C inicial de1e corresponder a una estaci/n asociada. arpforge-ng repla;Ydec-4B(6-4((84!.5or ! 44A!8A!4A84A(CA9C 44A49AE>A$>ACEA(> !9(.!BD.!.!44 !9(.!BD.!.( arp.cap C. Z reenviemos nuestra petici/n )J% forNadaA

airepla;-ng -( -r arp.cap ath4 +irdecap-ng *irve para desencriptar los pa uetes capturados una vez o1tenida la clave ;a sea #$% o #%) airdecap-ng RopcionesS Oarchivo pcapQ

$NemplosA airdecap-ng -1 44A49AE>A!4A>CAE) open-netIork.cap airdecap-ng -I !!)8$((94DC8C9>C(E.96$(989 Iep.cap airdecap-ng -e Wthe ssidW -p passphrase tkip.cap W2cook *irve para recuperar las claves #$% de la utilidad de @% #ireless [ero Configuration. Hste es un softIare e5perimental' por lo ue puede ue funcione ; puede ue no' dependiendo del nivel de service pack ue tengas.

#[C??+ mostrar& el %M+ (%airIise Master +e;)' un valor de (EB-1it ue es el resultado de codificar D!9( veces la contrase:a Nunto con el $**,. ; la longitud del $**,.. La contrase:a en s< no se puede recuperar -- de todos modos' 1asta con conocer el %M+ para conectar con una red inal&m1rica protegida mediante #%) con IpaYsupplicant (ver el #indoIs J$).M$). Xu archivo de configuraci/n IpaYsupplicant.conf de1er<a uedar as<A netIork"\ ssid"Vm;YessidV pmk"Ec9E96f8cD(CE946ea6!aD9dR...S9d89d4De *i no usas #[C pero usas la utilidad 3*J' accede al registroA F+e;YCurrentY3serP*oftIareP)C@%J?F,L$PprofilenamePdot!!#$%.efault+e;!