Sec24 – Penetrationstest – Trådlösa nätverk WEP
Av: Oscar Andersson, Sec24, 2013-06-07
OBS: Följande guider är enbart för utbildningssyfte och får absolut inte användas för olagliga ändamål.
Jag går här igenom hur ett trådlöst nätverk kan tas över och hur kryptotext/chiffertext dekrypteras. Om en hackare tar sig in i ett företags WLAN (Wireless Local Area Network) innebär det att denne kan gå vidare i nätverket och ta över servrar, komma åt känsliga filer och övervaka nätverkstrafiken som strömmar igenom. En krypteringsform som håller på att försvinna på grund av sin dåliga säkerhet är WEP, Wired Equivalent Privacy, men trots det finns det många nätverk som fortfarande använder den gamla standarden.
För att kunna utföra det här behöver du ett trådlöst nätverkskort som är kompatibelt med Kali eller BackTrack. Jag använder mig av ett D-Link DWA-140 USB.
Om du kör Kali via virtual machine (VMware) så måste du koppla nätverkskortet till din virtuella maskin efter att denna är startad. Det gör du genom att gå till VM –> Removable Devices –> “WLAN-Adapternamn” –> Connect
I nästa steg kör vi kommandot ifconfig -a för att verifiera att nätverkskortet är upptäckt. Har du enbart ett trådlöst nätverkskort letar vi efter adaptern wlan0.
Nästa steg är att ladda modulen till Linux operativsystemskärna (Kernel). Jag använder rtl8187 chippet som stödjer de trådlösa standarderna 802.11(a)/b/g samt WEP, WPA och WPA2 kryptering.
Använd kommandot modprobe för att ladda modulen och verifiera att den laddats med kommandot dmesg.
modprobe rtl8187
dmesg | grep rtl8187
Nästa steg är att aktivera övervakningsläget (Enable monitor mode).
airmon-ng start wlan0
För att läsa mer om airmon-ng kan du göra det här.
Använd sedan kommandot airodump-ng mon0 för att kontrollera vilka nätverk som finns i omgivningen. Vi letar efter nätverk som använder sig av WEP i Cipher kolumnen. Här ser vi att nätverket med namnet Sec24 (ESSID) använder sig av WEP. Kopiera nätverkets BSSID och vilken Channel (CH) nätverket använder. Vill du avbryta scanningen av nätverket trycker du CTRL+C samtidigt.
Vi ska nu använda oss av två terminaler. BSSID:et från Sec24 nätverket är C8:60:00:E7:6D:68 och det kommer jag behöva i följande steg.
I den första terminalen kör vi kommandot: airodump-ng -w wep -c 6 –bssid C8:60:00:E7:6D:68 mon0
-w står för write och -w wep innebär att vi lagrar informationen vi samlar i filen wep-01. Kör vi kommandot flera gången kommer nästa fil döpas till wep-02 etc.
-c står för channel och om vi kollar på Sec24 nätverketet ser vi att channeln (CH) som används är 6.
–bssid är accesspunktens MAC-adress och med kommandot specificerar vi vilket nätverk airodump-ng ska lyssna på.
mon0 är var övervakningsläget är igång.
För att läsa mer om airodump-ng och dess kommandon kan du göra det här.
I den andra terminalen kör vi kommandot aireplay-ng -1 0 -a C8:60:00:E7:6D:68 mon0
-1 står för “Attack 1 – Fake authentication” och 0 innebär att attacken skickas kontinuerligt. Hade det istället stått “aireplay-ng -1 60 -a C8:60:00:E7:6D:68 mon0” hade den falska autentiseringen enbart skett en gång i minuten.
– a definierar accesspunktens BSSID som i vårt fall är C8:60:00:E7:6D:68.
För att läsa mer om aireplay-ng och dess kommandon han du göra det här.
Medans vi låter den första terminal gå kör nu följande kommando i den andra terminalen: aireplay-ng -3 -b C8:60:00:E7:6D:68 mon0
-3 står för “Attack 3: ARP request replay attack“. ARP står för “address resolution protocol”. Ett TCP/IP-protokoll som används för att konvertera en IP-adress till en fysisk adress (hårdvaruadressen eller MAC-adress). En värd som vill få en fysisk adress skickar en ARP-begäran till TCP/IP-nätverket. Värden för nätverket får adressen i begäran och svarar sedan med den fysiska hårdvaruadressen. Det är ett effektivt sätt att generera initialization vectors (IVs). WEP använder en kort 24-bitars IV vilket gör att IVs måste återanvändas för samma nyckel och blir därav mycket sårbart.
-b definierar accesspunktens BSSID som, fortfarande, är C8:60:00:E7:6D:68
Vänta tills #Data-kolumnen i den översta terminalen passerar 30.000 och avbryt sedan båda terminalerna med CTRL+C kommandot.
I den nedre terminalen kör du nu kommandot: aircrack-ng wep-01.cap
wep-01.cap är filen vi skrivit till när vi körde kommandot: “airodump-ng -w wep -c 6 –bssid C8:60:00:E7:6D:68 mon0”. aircrack-ng för du det här.
Vi får nu fram att nyckeln för nätverket är: 53:65:63:32:34 (Hexkod som i ASCII = Sec24).
Nu kan vi ansluta till nätverket med med HEX: 5365633234 eller ASCII Sec24.