Tweet
Crack Wep/WPA Backtrack 3
A travers cet exercice, nous allons voir comme il est aisé de cracker un réseau wifi encrypté en WEP avec la suite aircrack-ng (10mn).
1/ Introduction, explications préliminaires :
Pour cet exemple, nous allons cracker une Livebox utilisant le WEP. La méthode de crack est la meme sur toutes les box en WEP.
Pré-requis:
- Procurez vous un live cd de Backtrack 3. Si vous utilisez déja un système d'exploitation Linux, vous pouvez télécharger la suite aircrack-ng sur aircrack-ng.org.
-Assurez vous que vous disposez d'une carte wifi compatible mode monitor et injection.
Bootez votre ordinateur avec le live cd de Backtrack. Une fois sur le bureau, passez en clavier azerty français, et ouvrez un shell de commande (Konsole).
C'est parti...
2/ Airodump-ng, découverte des réseaux wifi :
Commencez par passer votre carte wifi en mode monitor afin de pouvoir écouter les réseaux wifi environnants. La commande iwconfig vous renseigne sur les interfaces wifi. Dans notre exemple, nous utilisons une carte alfa 500 AWUS036H. La commande permettant de basculer la carte en mode monitor est:
Nous allons lancer airodump-ng, le programme qui permet de surveiller les réseaux wifi. Airodump-ng est assez simple d'utilisation.
Synopsis : airodump-ng <options> <interface>
La commande à lancer sera donc airodump-ng vos-options votre-interface-wifi.
Airodump-ng offre une multitude d'options et de filtres afin de cibler ce que l'on souhaite surveiller.
Options airodump-ng :
-w : permet de créer un fichier de capture dans lequel seront enregistrés tous les paquets. Exemple: airodump-ng -w out wlan0 (un fichier de capture nommé out sera créé, le premier fichier s'appellera out-01.cap, le 2ème out-02.cap etc...)
--encrypt : permet de filtrer les réseaux en fonction du type d'encryption utilisé. Exemple: airodump-ng --encrypt wep wlan0 (seuls les réseaux en WEP seront affichés)
-c : permet de cibler l'écoute sur un canal wifi particulier. Exemple: airodump-ng -c 1 wlan0 (airodump-ng n'écoutera que le canal 1)
--bssid : permet de ne cibler qu'un seul point d'accès en fonction de son adresse mac. Exemple: airodump-ng --bssid 00:16:41:C9:E0:3F wlan0 (airodump-ng ne surveillera que le point d'accès dont l'adresse mac est 00:16:41:C9:E0:3F)
Nous allons commencer par surveiller les réseaux encryptés en wep, avec la commande suivante :
Le réseau dont l'essid (essid = nom du réseau wifi) est Livebox-a1b2 sera notre cible pour cet exemple. Sous airodump-ng, les points d'accès sont affichés en haut, et les stations (ordinateurs connectés) sont affichés en bas. On peut voir qu'un ordinateur est connecté au réseau Livebox-a1b2 dont l'adresse mac est 00:16:41:C9:E0:3F. Un réseau en WEP, une station connectée, les conditions sont réunies pour cracker le réseau. On stoppe airodump en faisant ctrl + c dans le shell, et on le relance en créant un fichier de capture et en ciblant le réseau Livebox-a1b2 :
Et voici le résultat :
On voit qu'airodump-ng surveille excusivement notre réseau cible. En bas, l'ordinateur connecté à la Livebox. La colonne "rxq" indique la qualité du signal radio (entre 0 et 100), ici avec un rxq à 100 le signal est excellent et le crack devait se dérouler dans les meilleures conditions. En naviguant sous konkeror dans le dossier depuis lequel nous avons lancé airodump-ng, nous pouvons voir les 2 fichiers créés: out-01.cap (le fichier de capture contenant les paquets) et out-01.txt (un fichier log contenant toutes les informations concernant les essids, adresses mac des points d'accès, stations etc... contenus dans le fichier de capture).
Ouvrons un nouveau shell et passons à la suite.
3/ Aireplay-ng -1, l'association au point d'accès :
Nous allons utiliser aireplay-ng pour vérifier si nous pouvons nous associer au point d'accès.
Ici, les conditions sont optimales pour le crack: le signal est excellent et un client est connecté au point d'accès. Si le signal était moins bon, nous pourrions avoir des difficultés à nous associer au point d'accès. Il est judicieux de tenter une association avant de se lancer dans l'injection de paquet. Cela permet de voir si la connectivité est bonne, et cela peut aussi permettre de savoir si un point d'accès utilise le filtrage par adresse mac.
Petite explication sur le filtrage mac:
Certaines box n'autorisent à s'associer que les clients figurant dans leur liste de clients autorisés. Pour résumer, si vous n'avez pas une adresse mac valide vous ne pourrez pas communiquer avec le point d'accès, ce qui rendra le crack et la connection impossible. Sachez que le filtrage mac est activé par défaut sur les Livebox, mais il est désactivé par défaut sur les routeurs Tecom (Club Internet). Connaitre les règlages par défaut des box permet bien souvent de savoir à l'avance si un filtrage mac est activé ou pas.
La commande pour s'associer au point d'accès est :
aireplay-ng <options> <replay interface>
Les différentes attaques de aireplay-ng sont :
--deauth count : deauthenticate 1 or all stations (-0)
--fakeauth delay : fake authentication with AP (-1)
--interactive : interactive frame selection (-2)
--arpreplay : standard ARP-request replay (-3)
--chopchop : decrypt/chopchop WEP packet (-4)
--fragment : generates valid keystream (-5)
--caffe-latte : query a client for new IVs (-6)
--cfrag : fragments against a client (-7)
--test : tests injection and quality (-9)
Notre commande pour l'attaque -1 fakeauth (association & authentification) sera :
Livebox-a1b2: essid (nom du réseau wifi)
00:16:41:C9:E0:3F : adresse mac du point d'accès
00:12:F0:6F:ED:38 : adresse mac du client ("station" sous airodump-ng)
wlan0 : notre interface wifi
On peut voir qu'avant d'envoyer les paquets d'association au point d'accès, aireplay-ng a remplacé l'adresse mac de notre carte wifi par celle spécifiée dans le paramètre -h (celle de la station) afin que nous puissions communiquer avec le point d'accès. L'association a été immédiate, le message "association successfull" confirme le succès de l'opération
4/ Aireplay-ng -3, l'attaque par rejeu d'arp (injection de paquets)
Nous allons maintenant lancer l'attaque aireplay-ng -3 (attaque par rejeu d'arp). Les anciennes versions de la suite aircrack-ng permettaient de cracker une clé WEP avec 1 millions d'Ivs, entre la capture, l'injection et le crack il fallait bien souvent pas loin d'une heure pour cracker le réseau. La version actuelle de la suite aircrack-ng utilise l'algorithme "PTW" qui permet de cracker un réseau WEP 128 bits avec à peine 45000 datas. Cependant, l'algoritme PTW n'utilise pas les Ivs, mais les arp pour le crack. C'est la raison pour laquelle l'attaque par rejeu d'arp est la solution la plus performante et la plus rapide pour cracker une clé WEP.
Notre commande pour l'attaque -3 standard ARP-request replay (rejeu d'arp) sera :
Livebox-a1b2 : essid (nom du réseau wifi)
00:16:41:C9:E0:3F : adresse mac du point d'accès
00:12:F0:6F:ED:38 : adresse mac du client ("station" sous airodump-ng)
600 : nombre de paquets par secondes qui seront injectés (à règler en fonction de la qualité du signal wifi)
out-01.cap : notre fichier de capture airodump-ng
wlan0 : notre interface wifi
Une fois l'attaque lancée, on peut voir en bas le nombre d'arp requests (requetes arp) contenus dans notre fichier de capture. A partir de 40000 arp, il est possible de cracker une clé WEP 128 bits.
Les requetes arp sont également sauvegardées dans un fichier appelé replay-arp-date-heure.cap.
(On peut voir qu'aireplay-ng vient de créer ce fichier).
Retournons dans notre shell airodump-ng pour découvrir ce qu'il se passe. On peut y voir les effets de notre attaque :
- La colonne "Data" augmente, ce qui signifie que le fichier de capture contient des Ivs.
- La colonne "#/s" indique 167 (par exemple), ce qui signifie que nous captons 167 datas/seconde
Quelques minutes de patience s'imposent, une fois que les datas et arp commencent à atteindre un nombre intéressant (10000 arp pour une clé WEP 64 bits, 40000 arp pour une clé WEP 128 bits) nous pouvons ouvrir un nouveau shell et lancer aircrack-ng pour cracker la clé WEP du réseau.
5/ Aircrack-ng, comment cracker une clé WEP en quelques minutes :
Aircrack-ng est très simple d'utilisation.
Synopsis : aircrack-ng [options] <.cap / .ivs file(s)>
En tapant aircrack-ng dans le shell vous découvrirez les différentes options disponibles.
Pour ce type de crack, la commande est basique:
Dans notre exemple:
Aircrack-ng se lance et se met au travail :
Assez rapidement (on peut le voir sur le compteur, ici cela n'a pris que 3 minutes)...
KEY FOUND!
credit : crack-wpa
A travers cet exercice, nous allons voir comme il est aisé de cracker un réseau wifi encrypté en WEP avec la suite aircrack-ng (10mn).
1/ Introduction, explications préliminaires :
Pour cet exemple, nous allons cracker une Livebox utilisant le WEP. La méthode de crack est la meme sur toutes les box en WEP.
Pré-requis:
- Procurez vous un live cd de Backtrack 3. Si vous utilisez déja un système d'exploitation Linux, vous pouvez télécharger la suite aircrack-ng sur aircrack-ng.org.
-Assurez vous que vous disposez d'une carte wifi compatible mode monitor et injection.
Bootez votre ordinateur avec le live cd de Backtrack. Une fois sur le bureau, passez en clavier azerty français, et ouvrez un shell de commande (Konsole).
C'est parti...
2/ Airodump-ng, découverte des réseaux wifi :
Commencez par passer votre carte wifi en mode monitor afin de pouvoir écouter les réseaux wifi environnants. La commande iwconfig vous renseigne sur les interfaces wifi. Dans notre exemple, nous utilisons une carte alfa 500 AWUS036H. La commande permettant de basculer la carte en mode monitor est:
Code:
airmon-ng start wlan0
Nous allons lancer airodump-ng, le programme qui permet de surveiller les réseaux wifi. Airodump-ng est assez simple d'utilisation.
Synopsis : airodump-ng <options> <interface>
La commande à lancer sera donc airodump-ng vos-options votre-interface-wifi.
Airodump-ng offre une multitude d'options et de filtres afin de cibler ce que l'on souhaite surveiller.
Options airodump-ng :
-w : permet de créer un fichier de capture dans lequel seront enregistrés tous les paquets. Exemple: airodump-ng -w out wlan0 (un fichier de capture nommé out sera créé, le premier fichier s'appellera out-01.cap, le 2ème out-02.cap etc...)
--encrypt : permet de filtrer les réseaux en fonction du type d'encryption utilisé. Exemple: airodump-ng --encrypt wep wlan0 (seuls les réseaux en WEP seront affichés)
-c : permet de cibler l'écoute sur un canal wifi particulier. Exemple: airodump-ng -c 1 wlan0 (airodump-ng n'écoutera que le canal 1)
--bssid : permet de ne cibler qu'un seul point d'accès en fonction de son adresse mac. Exemple: airodump-ng --bssid 00:16:41:C9:E0:3F wlan0 (airodump-ng ne surveillera que le point d'accès dont l'adresse mac est 00:16:41:C9:E0:3F)
Nous allons commencer par surveiller les réseaux encryptés en wep, avec la commande suivante :
Code:
airodump-ng --encrypt wep wlan0
Code:
airodump-ng -w out -c 10 --bssid 00:16:41:C9:E0:3F wlan0
On voit qu'airodump-ng surveille excusivement notre réseau cible. En bas, l'ordinateur connecté à la Livebox. La colonne "rxq" indique la qualité du signal radio (entre 0 et 100), ici avec un rxq à 100 le signal est excellent et le crack devait se dérouler dans les meilleures conditions. En naviguant sous konkeror dans le dossier depuis lequel nous avons lancé airodump-ng, nous pouvons voir les 2 fichiers créés: out-01.cap (le fichier de capture contenant les paquets) et out-01.txt (un fichier log contenant toutes les informations concernant les essids, adresses mac des points d'accès, stations etc... contenus dans le fichier de capture).
Ouvrons un nouveau shell et passons à la suite.
3/ Aireplay-ng -1, l'association au point d'accès :
Nous allons utiliser aireplay-ng pour vérifier si nous pouvons nous associer au point d'accès.
Ici, les conditions sont optimales pour le crack: le signal est excellent et un client est connecté au point d'accès. Si le signal était moins bon, nous pourrions avoir des difficultés à nous associer au point d'accès. Il est judicieux de tenter une association avant de se lancer dans l'injection de paquet. Cela permet de voir si la connectivité est bonne, et cela peut aussi permettre de savoir si un point d'accès utilise le filtrage par adresse mac.
Petite explication sur le filtrage mac:
Certaines box n'autorisent à s'associer que les clients figurant dans leur liste de clients autorisés. Pour résumer, si vous n'avez pas une adresse mac valide vous ne pourrez pas communiquer avec le point d'accès, ce qui rendra le crack et la connection impossible. Sachez que le filtrage mac est activé par défaut sur les Livebox, mais il est désactivé par défaut sur les routeurs Tecom (Club Internet). Connaitre les règlages par défaut des box permet bien souvent de savoir à l'avance si un filtrage mac est activé ou pas.
La commande pour s'associer au point d'accès est :
aireplay-ng <options> <replay interface>
Les différentes attaques de aireplay-ng sont :
--deauth count : deauthenticate 1 or all stations (-0)
--fakeauth delay : fake authentication with AP (-1)
--interactive : interactive frame selection (-2)
--arpreplay : standard ARP-request replay (-3)
--chopchop : decrypt/chopchop WEP packet (-4)
--fragment : generates valid keystream (-5)
--caffe-latte : query a client for new IVs (-6)
--cfrag : fragments against a client (-7)
--test : tests injection and quality (-9)
Notre commande pour l'attaque -1 fakeauth (association & authentification) sera :
Code:
aireplay-ng -1 0 -e Livebox-a1b2 -a 00:16:41:C9:E0:3F -b 00:16:41:C9:E0:3F -h 00:12:F0:6F:ED:38 wlan0
00:16:41:C9:E0:3F : adresse mac du point d'accès
00:12:F0:6F:ED:38 : adresse mac du client ("station" sous airodump-ng)
wlan0 : notre interface wifi
On peut voir qu'avant d'envoyer les paquets d'association au point d'accès, aireplay-ng a remplacé l'adresse mac de notre carte wifi par celle spécifiée dans le paramètre -h (celle de la station) afin que nous puissions communiquer avec le point d'accès. L'association a été immédiate, le message "association successfull" confirme le succès de l'opération
4/ Aireplay-ng -3, l'attaque par rejeu d'arp (injection de paquets)
Nous allons maintenant lancer l'attaque aireplay-ng -3 (attaque par rejeu d'arp). Les anciennes versions de la suite aircrack-ng permettaient de cracker une clé WEP avec 1 millions d'Ivs, entre la capture, l'injection et le crack il fallait bien souvent pas loin d'une heure pour cracker le réseau. La version actuelle de la suite aircrack-ng utilise l'algorithme "PTW" qui permet de cracker un réseau WEP 128 bits avec à peine 45000 datas. Cependant, l'algoritme PTW n'utilise pas les Ivs, mais les arp pour le crack. C'est la raison pour laquelle l'attaque par rejeu d'arp est la solution la plus performante et la plus rapide pour cracker une clé WEP.
Notre commande pour l'attaque -3 standard ARP-request replay (rejeu d'arp) sera :
Code:
aireplay-ng -3 -e Livebox-a1b2 -a 00:16:41:C9:E0:3F -b 00:16:41:C9:E0:3F -h 00:12:F0:6F:ED:38 -x 600 -r out-01.cap wlan0
00:16:41:C9:E0:3F : adresse mac du point d'accès
00:12:F0:6F:ED:38 : adresse mac du client ("station" sous airodump-ng)
600 : nombre de paquets par secondes qui seront injectés (à règler en fonction de la qualité du signal wifi)
out-01.cap : notre fichier de capture airodump-ng
wlan0 : notre interface wifi
Une fois l'attaque lancée, on peut voir en bas le nombre d'arp requests (requetes arp) contenus dans notre fichier de capture. A partir de 40000 arp, il est possible de cracker une clé WEP 128 bits.
Les requetes arp sont également sauvegardées dans un fichier appelé replay-arp-date-heure.cap.
(On peut voir qu'aireplay-ng vient de créer ce fichier).
Retournons dans notre shell airodump-ng pour découvrir ce qu'il se passe. On peut y voir les effets de notre attaque :
- La colonne "Data" augmente, ce qui signifie que le fichier de capture contient des Ivs.
- La colonne "#/s" indique 167 (par exemple), ce qui signifie que nous captons 167 datas/seconde
Quelques minutes de patience s'imposent, une fois que les datas et arp commencent à atteindre un nombre intéressant (10000 arp pour une clé WEP 64 bits, 40000 arp pour une clé WEP 128 bits) nous pouvons ouvrir un nouveau shell et lancer aircrack-ng pour cracker la clé WEP du réseau.
5/ Aircrack-ng, comment cracker une clé WEP en quelques minutes :
Aircrack-ng est très simple d'utilisation.
Synopsis : aircrack-ng [options] <.cap / .ivs file(s)>
En tapant aircrack-ng dans le shell vous découvrirez les différentes options disponibles.
Pour ce type de crack, la commande est basique:
Code:
aircrack-ng nom-du-fichier-de-capture
Code:
aircrack-ng out-01.cap
Aircrack-ng se lance et se met au travail :
Assez rapidement (on peut le voir sur le compteur, ici cela n'a pris que 3 minutes)...
KEY FOUND!
credit : crack-wpa