Hacking WiFi - Análisis de Entorno
En esta ocasión, vamos a realizar un análisis de entorno para saber que redes puede captar nuestra tarjeta de red, además vamos a realizar varios ejercicios como filtrado de entorno, captura de evidencias y el que se me hizo más interesante, capturar un handshake.
Herramientas utilizadas:
- Internet Wi-Fi
- Tarjeta de Red
- airdump-ng
- celular
DISCLAIMER:
La información proporcionada en este blog, es solo con fines educativos e informativos. No me hago responsable de cómo se use o interprete la información aquí proporcionada. Es importante que se utilice esta información de manera responsable y ética. Cualquier daño o consecuencia causada por el mal uso de la información aquí proporcionada, es responsabilidad exclusiva del lector.
Índice
Análisis de Entorno
Analizando Entorno con Airodump
IMPORTANTE
Recuerda que antes de empezar, debes poner el modo monitor y de preferencia falsifica la MAC. Esta información la tienes en mi blog.
Para comenzar con el escaneo, utilizaremos la herramienta airodump-ng, si quieres cancelar el escaneo solo presiona ctrl+c:
airodump-ng wlan0
Una vez que lo realices, verás como empieza a hacer el reconocimiento:
airodump-ng wlan0
CH 6 ][ Elapsed: 6 s ][ 2023-05-09 14:21
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
**:**:**:**:**:** -93 0 0 0 11 130 WPA2 CCMP PSK Wifi_Salon
**:**:**:**:**:** -84 2 0 0 6 270 WPA2 CCMP PSK Wifi_Vecino2
**:**:**:**:**:** -93 2 0 0 11 540 WPA2 CCMP PSK no me robes
**:**:**:**:**:** -83 3 1 0 9 130 WPA2 CCMP PSK Wifi_Vecino3
BSSID STATION PWR Rate Lost Frames Notes Probes
**:**:**:**:**:** **:**:**:**:**:** -94 0 - 1e 0 1
**:**:**:**:**:** **:**:**:**:**:** -1 24e- 0 0 5
(not associated) **:**:**:**:**:** -86 0 - 1 0 2
(not associated) **:**:**:**:**:** -94 0 - 1 0 1
Quitting...
Este es un escaneo del entorno que ha capturado nuestra tarjeta de red, pero para ir por partes vamos a partir el resultado a la mitad para poder explicar cada punto con mejor detalle.
Tabla Superior del Escaneo - Redes Disponibles
Información de las redes Wi-Fi detectadas, incluyendo el nivel de señal, el cifrado, y otros detalles importantes.
Esta se relaciona con los puntos de acceso o AP (Access Point) en inglés.
| Access Point |
|---|
| Los AP o WAP (Access Point o Wireless Access Point) son conocidos por establecer una conexión inalámbrica entre equipos y pueden formar una red inalámbrica externa (local o internet) para interconectar dispositivos móviles o tarjetas de red inalámbricas. Esta red inalámbrica se llama WLAN (Wireless local área network) y se usa para reducir las conexiones cableadas. Ofrece conexión en diferentes lugares y no solo donde se encuentra un router. Permite a su vez, ampliar la presencia de la conexión de Internet a otras zonas y mantener una conexión estable sin intervenciones. |
Ejemplo de la tabla superior:
CH 6 ][ Elapsed: 6 s ][ 2023-05-09 14:21
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
**:**:**:**:**:** -93 0 0 0 11 130 WPA2 CCMP PSK Wifi_Salon
**:**:**:**:**:** -84 2 0 0 6 270 WPA2 CCMP PSK Wifi_Vecino
**:**:**:**:**:** -93 2 0 0 11 540 WPA2 CCMP PSK no me robes
| Columnas | Descripción |
|---|---|
| CH | Es el canal por el que opera la red, Airodump-ng revisa distintos canales por los que pase la red para encontrar APs, a esto se le llama channel hopping. |
| BSSID | Dirección MAC del punto de acceso (AP). |
| PWR | Es la potencia de la señal recibida por la tarjeta de red desde el AP. Valores más cercanos a 0 (menos negativos) indican mejor señal, es decir, si es mayor la señal quiere decir que estamos más cerca del AP, si dice -1 es que no admite informes de nivel de señal. |
| Beacons | Número de paquetes enviados por el AP para anunciar su presencia a dispositivos cercanos, el número indica cuántos beacons se han recibido. |
| Data, #/s | Número de paquetes de datos capturados y el número de paquetes por segundo. |
| MB | Velocidad máxima de datos en Mbps permitida por AP. |
| ENC | Cifrado detectado en la red, ej. WPA, WPA2, OPN(redes públicas/abiertas). Normalmente ya todos indicarian WPA2. |
| CIPHER | Tipo de cifrado usado en la red, es normal encontrarse CCPM (un estándar de cifrado más seguro), TKIP, WEB40, etc. |
| AUTH | Protocolo de autenticación empleado por la red, puede ser PSK (Pre-Shared Key) o Enterprise. |
| ESSID | Nombre de la red inalámbrica (es mejor aplicar filtros por este que usando el BSSID), también se le conoce como SSID. |
Tabla Inferior del Escaneo - Clientes Conectados
Información sobre los clientes conectados a estas redes, como su dirección MAC y la fuerza de su señal.
Ejemplo de la tabla inferior:
BSSID STATION PWR Rate Lost Frames Notes Probes
**:**:**:**:**:** **:**:**:**:**:** -94 0 - 1e 0 1
**:**:**:**:**:** **:**:**:**:**:** -1 24e- 0 0 5
| Columnas | Descripción |
|---|---|
| STATION | Dirección MAC del cliente conectado al AP (BSSID). Si vemos el mensaje “not asociated” es porque el dispositivo no esta conectado a ningún AP, pero puede estar enviando solicitudes de Probes para redes que recuerda el cliente. |
| Rate | La velocidad de transmisión de datos entre el AP y el cliente. |
| Lost | Número de paquetes perdidos en la comunicación entre el cliente y el AP. |
| Frames | Número de tramas/paquetes capturadas entre el cliente y el AP. |
| Notes | Notas adicionales del cliente (no siempre se usa). |
| Probes | Probes muestra las solicitudes de búsqueda de redes que emite el cliente, es decir, si el cliente está buscando activamente redes (escanear), aquí aparecerán los nombres de las redes que está buscando. Aquí se efectua el ataque evilTwin, por ejemplo, si te conectas a la red de un amigo y luego te vuelves a conectar, ya no te pedirá contraseña ósea que pide un Probes Request y se da un Probes Response. |
Hay demasiadas respuestas por parte del escaneo, lo que debemos hacer es un filtrado para enfocarnos en una sola red.
Filtros con airodump-ng
Digamos que queremos enfocarnos en un solo canal, pues solamente con el parámetro -c agregamos el canal que queremos que solamente se analice:
airodump-ng -c 11 wlan0
CH 11 ][ Elapsed: 6 s ][ 2023-05-09 15:07
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
**:**:**:**:**:** -93 0 3 0 0 11 540 WPA2 CCMP PSK no me robes
**:**:**:**:**:** -92 0 0 0 0 10 360 WPA2 CCMP PSK Wifi_Salon
**:**:**:**:**:** -93 0 1 1 0 11 130 WPA2 CCMP PSK Wifi_Vecino
**:**:**:**:**:** -93 0 4 0 0 11 130 WPA2 CCMP PSK Wifi_Vecino2
BSSID STATION PWR Rate Lost Frames Notes Probes
**:**:**:**:**:** **:**:**:**:**:** -82 0 - 1e 3 2
**:**:**:**:**:** **:**:**:**:**:** -1 1e- 0 0 1
(not associated) **:**:**:**:**:** -94 0 - 1 0 1
...
Aunque puede variar, pues pueden aparecer algunos canales que no especificamos, pero principalmente si aparecerá el que queremos.
Ahora si queremos enfocarnos en solo una red, utilizaremos el parámetro –essid.
Vamos a capturar solamente una red por su nombre, esto se puede hacer también con la MAC, con el parámetro –bssid, pero es mucho mejor utilizar el nombre de la red:
airodump-ng -c 11 --essid Wifi_Salon wlan0
CH 11 ][ Elapsed: 6 s ][ 2023-05-09 15:20
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
**:**:**:**:**:** -54 81 72 4 0 11 130 WPA2 CCMP PSK Wifi_Salon
BSSID STATION PWR Rate Lost Frames Notes Probes
(not associated) **:**:**:**:**:** -85 0 - 6 0 3 Wifi_Padre
(not associated) **:**:**:**:**:** -84 0 - 1 7 4
(not associated) **:**:**:**:**:** -90 0 - 1 0 1
...
Excelente, ya sabemos como enfocarnos en una sola red, pero ¿Y las evidencias de lo que estamos haciendo?
Vamos a guardar la captura en un archivo para después poder utilizarla en lo que necesitemos.
Exportación de Evidencias
Necesitamos capturar evidencia de los escaneos, porque de esta manera podremos extraer las contraseñas, pues estas estarán cifradas dependiendo del cifrado que nos muestre el escaneo. Por eso es supernecesario exportar evidencias.
Para hacerlo, simplemente agregamos el parámetro -w y ponemos un nombre para el archivo, además, puedes crear un directorio que almacene los archivos que genere la captura:
airodump-ng -c 11 -w Captura --essid Wifi_Salon wlan0
15:42:56 Created capture file "Captura-01.cap".
CH 11 ][ Elapsed: 42 s ][ 2023-05-09 15:43
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
**:**:**:**:**:** -53 100 367 74 0 11 130 WPA2 CCMP PSK Wifi_Salon
BSSID STATION PWR Rate Lost Frames Notes Probes
(not associated) **:**:**:**:**:** -84 0 - 1 0 1
(not associated) **:**:**:**:**:** -68 0 - 1 3 6
(not associated) **:**:**:**:**:** -70 0 - 1 3 6
...
Nos menciona que se creó el archivo Captura, podemos ver qué archivos se crearon en nuestro directorio:
ls -la
total 648
drwxr-xr-x 2 root root 4096 may 9 15:42 .
drwxr-xr-x 4 root root 4096 may 9 15:38 ..
-rw-r--r-- 1 root root 120201 may 9 15:43 Captura-01.cap
-rw-r--r-- 1 root root 2901 may 9 15:43 Captura-01.csv
-rw-r--r-- 1 root root 595 may 9 15:43 Captura-01.kismet.csv
-rw-r--r-- 1 root root 51849 may 9 15:43 Captura-01.kismet.netxml
-rw-r--r-- 1 root root 470746 may 9 15:43 Captura-01.log.csv
Vemos varios archivos, pero el que nos interesa es este: Captura-01.cap, pues aquí es donde estará la contraseña encriptada de la red.
Mientras el escaneo continúe, el peso de ese archivo seguirá creciendo.
Para obtener la contraseña, utilizaremos la herramienta aircrack, lo importante sería que nosotros obtuviéramos un handshake para que la captura del cifrado funcione.
IMPORTANTÍSIMO
Es muy importante que si quieres practicar esto, lo hagas desde tu propio internet.
Puedes utilizar tu red y un dispositivo como tu celular para simular un AP y con eso practicar la captura de data y así puedas obtener un handshake.
Obteniendo un Handshake
Cuando nos conectamos a una red Wi-Fi, se produce lo que se conoce como un “handshake” (apretón de manos) entre el punto de acceso (AP) y el cliente (nuestro dispositivo). El punto de acceso suele ser un router, una terminal móvil en modo de punto de acceso, o cualquier otro dispositivo que actúe como AP. Durante este handshake, se lleva a cabo un intercambio de información criptográfica que permite generar las claves que se utilizarán para cifrar la comunicación entre el cliente y el AP.
Podríamos decir que para capturar el handshake, tendríamos que esperar hasta que alguien se conecte a la red. Pues no es así.
Hay muchas formas de obtener el handshake mediante distintos ataques:
- Ataque de Desautenticación Dirigido
- Ataque de Desautenticación Global
- Ataque de Falsa Autenticación
- CTS Frame Attack
- etc…
Vamos a probar varios de estos ataques en los siguientes blogs.
Hagamos una prueba, para hacerla deberás usar tu celular y tu red.
Has lo siguiente:
-
Desconecta tu celular de la red, solo desconéctalo, no le quites la contraseña.
-
Has un escaneo aplicando un filtro para que solo aparezca tu red, deja el escaneo activo.
- Observa que no aparece ningún aviso de handshake:
airodump-ng -c 11 -w Captura --essid Wifi_Salon wlan0 22:00:52 Created capture file "Captura-02.cap". CH 11 ][ Elapsed: 1 min ][ 2023-05-09 22:02 BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 34:53:D2:7B:5D:28 -57 81 769 253 0 11 130 WPA2 CCMP PSK Wifi_Salon BSSID STATION PWR Rate Lost Frames Notes Probes (not associated) **:**:**:**:**:** -90 0 - 1 0 1 Wifi_Vecino (not associated) **:**:**:**:**:** -86 0 - 1 0 1 ... - Conecta tu celular a la red y vuelve a observar el escaneo, debería no solo aparecer el mensaje handshake sino que aparecerá junto a una MAC:
airodump-ng -c 11 -w Captura --essid Wifi_Salon wlan0 22:00:52 Created capture file "Captura-02.cap". CH 11 ][ Elapsed: 1 min ][ 2023-05-09 22:02 ][ WPA handshake: **:**:**:**:**:** BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID **:**:**:**:**:** -57 81 769 253 0 11 130 WPA2 CCMP PSK Wifi_Salon BSSID STATION PWR Rate Lost Frames Notes Probes (not associated) **:**:**:**:**:** -90 0 - 1 0 1 Wifi_Vecino (not associated) **:**:**:**:**:** -86 0 - 1 0 1 **:**:**:**:**:** MAC:DE:MI:CEL:XD -21 24e-24 2 120 EAPOL Wifi_Salon **:**:**:**:**:** **:**:**:**:**:** -62 1e- 1e 1 76La MAC que aparece en el handshake es del AP al que nos conectamos.
- Si buscas algo en internet o ves un video, verás que los frames aumentan, esto quiere decir, que el dispositivo está en uso.
(not associated) **:**:**:**:**:** -86 0 - 1 0 1 **:**:**:**:**:** MAC:DE:MI:CEL:XD -21 24e-24 2 780 EAPOL Wifi_Salon **:**:**:**:**:** **:**:**:**:**:** -62 1e- 1e 1 76Y listo, ya tenemos una handshake capturada en un archivo. La idea ahora, es usar aircrack-ng para tratar de obtener la contraseña, pero eso lo dejaremos para otra ocasión, lo que me interesa, es explorar todos los ataques posibles, antes de obtener la contraseña cifrada.
Links de Investigación
- https://www.aircrack-ng.org/doku.php?id=airodump-ng
- https://www.nsit.com.co/ap-access-point-que-son-y-para-que-se-utilizan/
- https://www.vadavo.com/blog/protocolos-seguridad-inalambrica-wep-wpa-wpa2-wpa3/
- https://www.wifi-libre.com/topic-1644-tutorial-airodump-ng-por-principiantes-y-tener-los-buenos-reflejos.html
FIN
