Hacking WiFi - Análisis de Entorno

En esta ocasión, vamos a realizar un análisis de entorno para saber que redes puede captar nuestra tarjeta de red, además vamos a realizar varios ejercicios como filtrado de entorno, captura de evidencias y el que se me hizo más interesante, capturar un handshake.

Herramientas utilizadas:

  • Internet Wi-Fi
  • Tarjeta de Red
  • airdump-ng
  • celular



DISCLAIMER:

La información proporcionada en este blog, es solo con fines educativos e informativos. No me hago responsable de cómo se use o interprete la información aquí proporcionada. Es importante que se utilice esta información de manera responsable y ética. Cualquier daño o consecuencia causada por el mal uso de la información aquí proporcionada, es responsabilidad exclusiva del lector.






Análisis de Entorno


Analizando Entorno con Airodump

IMPORTANTE

Recuerda que antes de empezar, debes poner el modo monitor y de preferencia falsifica la MAC. Esta información la tienes en mi blog.


Para comenzar con el escaneo, utilizaremos la herramienta airodump-ng, si quieres cancelar el escaneo solo presiona ctrl+c:

airodump-ng wlan0

Una vez que lo realices, verás como empieza a hacer el reconocimiento:

airodump-ng wlan0

 CH  6 ][ Elapsed: 6 s ][ 2023-05-09 14:21                                                                                            
                                                                                                                                      
 BSSID              PWR  Beacons    #Data, #/s  CH   MB   ENC CIPHER  AUTH ESSID                                                      
                                                                                                                                      
 **:**:**:**:**:**  -93        0        0    0  11  130   WPA2 CCMP   PSK  Wifi_Salon                                     
 **:**:**:**:**:**  -84        2        0    0   6  270   WPA2 CCMP   PSK  Wifi_Vecino2                                        
 **:**:**:**:**:**  -93        2        0    0  11  540   WPA2 CCMP   PSK  no me robes                                                
 **:**:**:**:**:**  -83        3        1    0   9  130   WPA2 CCMP   PSK  Wifi_Vecino3                                             
                                                                                                                                      
 BSSID              STATION            PWR   Rate    Lost    Frames  Notes  Probes                                                    
                                                                                                                                      
 **:**:**:**:**:**  **:**:**:**:**:**  -94    0 - 1e     0        1                                                                   
 **:**:**:**:**:**  **:**:**:**:**:**   -1   24e- 0      0        5                                                                   
 (not associated)   **:**:**:**:**:**  -86    0 - 1      0        2                                                                   
 (not associated)   **:**:**:**:**:**  -94    0 - 1      0        1                                                                   
Quitting...

Este es un escaneo del entorno que ha capturado nuestra tarjeta de red, pero para ir por partes vamos a partir el resultado a la mitad para poder explicar cada punto con mejor detalle.


Tabla Superior del Escaneo - Redes Disponibles

Información de las redes Wi-Fi detectadas, incluyendo el nivel de señal, el cifrado, y otros detalles importantes.

Esta se relaciona con los puntos de acceso o AP (Access Point) en inglés.

Access Point
Los AP o WAP (Access Point o Wireless Access Point) son conocidos por establecer una conexión inalámbrica entre equipos y pueden formar una red inalámbrica externa (local o internet) para interconectar dispositivos móviles o tarjetas de red inalámbricas. Esta red inalámbrica se llama WLAN (Wireless local área network) y se usa para reducir las conexiones cableadas. Ofrece conexión en diferentes lugares y no solo donde se encuentra un router. Permite a su vez, ampliar la presencia de la conexión de Internet a otras zonas y mantener una conexión estable sin intervenciones.


Ejemplo de la tabla superior:

CH  6 ][ Elapsed: 6 s ][ 2023-05-09 14:21                                                                                            
                                                                                                                                      
 BSSID              PWR  Beacons    #Data, #/s  CH   MB   ENC CIPHER  AUTH ESSID                                                      
                                                                                                                                      
 **:**:**:**:**:**  -93        0        0    0  11  130   WPA2 CCMP   PSK  Wifi_Salon                                     
 **:**:**:**:**:**  -84        2        0    0   6  270   WPA2 CCMP   PSK  Wifi_Vecino                                        
 **:**:**:**:**:**  -93        2        0    0  11  540   WPA2 CCMP   PSK  no me robes
Columnas Descripción
CH Es el canal por el que opera la red, Airodump-ng revisa distintos canales por los que pase la red para encontrar APs, a esto se le llama channel hopping.
BSSID Dirección MAC del punto de acceso (AP).
PWR Es la potencia de la señal recibida por la tarjeta de red desde el AP. Valores más cercanos a 0 (menos negativos) indican mejor señal, es decir, si es mayor la señal quiere decir que estamos más cerca del AP, si dice -1 es que no admite informes de nivel de señal.
Beacons Número de paquetes enviados por el AP para anunciar su presencia a dispositivos cercanos, el número indica cuántos beacons se han recibido.
Data, #/s Número de paquetes de datos capturados y el número de paquetes por segundo.
MB Velocidad máxima de datos en Mbps permitida por AP.
ENC Cifrado detectado en la red, ej. WPA, WPA2, OPN(redes públicas/abiertas). Normalmente ya todos indicarian WPA2.
CIPHER Tipo de cifrado usado en la red, es normal encontrarse CCPM (un estándar de cifrado más seguro), TKIP, WEB40, etc.
AUTH Protocolo de autenticación empleado por la red, puede ser PSK (Pre-Shared Key) o Enterprise.
ESSID Nombre de la red inalámbrica (es mejor aplicar filtros por este que usando el BSSID), también se le conoce como SSID.


Tabla Inferior del Escaneo - Clientes Conectados

Información sobre los clientes conectados a estas redes, como su dirección MAC y la fuerza de su señal.

Ejemplo de la tabla inferior:

BSSID              STATION            PWR   Rate    Lost    Frames  Notes  Probes                                                    
                                                                                                                                      
 **:**:**:**:**:**  **:**:**:**:**:**  -94    0 - 1e     0        1                                                                   
 **:**:**:**:**:**  **:**:**:**:**:**   -1   24e- 0      0        5
Columnas Descripción
STATION Dirección MAC del cliente conectado al AP (BSSID). Si vemos el mensaje “not asociated” es porque el dispositivo no esta conectado a ningún AP, pero puede estar enviando solicitudes de Probes para redes que recuerda el cliente.
Rate La velocidad de transmisión de datos entre el AP y el cliente.
Lost Número de paquetes perdidos en la comunicación entre el cliente y el AP.
Frames Número de tramas/paquetes capturadas entre el cliente y el AP.
Notes Notas adicionales del cliente (no siempre se usa).
Probes Probes muestra las solicitudes de búsqueda de redes que emite el cliente, es decir, si el cliente está buscando activamente redes (escanear), aquí aparecerán los nombres de las redes que está buscando. Aquí se efectua el ataque evilTwin, por ejemplo, si te conectas a la red de un amigo y luego te vuelves a conectar, ya no te pedirá contraseña ósea que pide un Probes Request y se da un Probes Response.


Hay demasiadas respuestas por parte del escaneo, lo que debemos hacer es un filtrado para enfocarnos en una sola red.

Filtros con airodump-ng

Digamos que queremos enfocarnos en un solo canal, pues solamente con el parámetro -c agregamos el canal que queremos que solamente se analice:

 airodump-ng -c 11 wlan0

 CH 11 ][ Elapsed: 6 s ][ 2023-05-09 15:07                                                                                            
                                                                                                                                      
 BSSID              PWR RXQ  Beacons    #Data, #/s  CH   MB   ENC CIPHER  AUTH ESSID                                                  
                                                                                                                                      
 **:**:**:**:**:**  -93   0        3        0    0  11  540   WPA2 CCMP   PSK  no me robes                                            
 **:**:**:**:**:**  -92   0        0        0    0  10  360   WPA2 CCMP   PSK  Wifi_Salon                                                  
 **:**:**:**:**:**  -93   0        1        1    0  11  130   WPA2 CCMP   PSK  Wifi_Vecino                                       
 **:**:**:**:**:**  -93   0        4        0    0  11  130   WPA2 CCMP   PSK  Wifi_Vecino2

BSSID              STATION            PWR   Rate    Lost    Frames  Notes  Probes                                                    
                                                                                                                                      
 **:**:**:**:**:**  **:**:**:**:**:**  -82    0 - 1e     3        2                                                                   
 **:**:**:**:**:**  **:**:**:**:**:**   -1    1e- 0      0        1                                                                   
 (not associated)   **:**:**:**:**:**  -94    0 - 1      0        1 
...

Aunque puede variar, pues pueden aparecer algunos canales que no especificamos, pero principalmente si aparecerá el que queremos.

Ahora si queremos enfocarnos en solo una red, utilizaremos el parámetro –essid.

Vamos a capturar solamente una red por su nombre, esto se puede hacer también con la MAC, con el parámetro –bssid, pero es mucho mejor utilizar el nombre de la red:

airodump-ng -c 11 --essid Wifi_Salon wlan0

CH 11 ][ Elapsed: 6 s ][ 2023-05-09 15:20                                                                                            
                                                                                                                                      
 BSSID              PWR RXQ  Beacons    #Data, #/s  CH   MB   ENC CIPHER  AUTH ESSID                                                  
                                                                                                                                      
 **:**:**:**:**:**  -54  81       72        4    0  11  130   WPA2 CCMP   PSK  Wifi_Salon                                         
                                                                                                                                     
 BSSID              STATION            PWR   Rate    Lost    Frames  Notes  Probes                                                    
                                                                                                                                      
 (not associated)   **:**:**:**:**:**  -85    0 - 6      0        3         Wifi_Padre                                         
 (not associated)   **:**:**:**:**:**  -84    0 - 1      7        4                                                                   
 (not associated)   **:**:**:**:**:**  -90    0 - 1      0        1                                                                   
...

Excelente, ya sabemos como enfocarnos en una sola red, pero ¿Y las evidencias de lo que estamos haciendo?

Vamos a guardar la captura en un archivo para después poder utilizarla en lo que necesitemos.

Exportación de Evidencias

Necesitamos capturar evidencia de los escaneos, porque de esta manera podremos extraer las contraseñas, pues estas estarán cifradas dependiendo del cifrado que nos muestre el escaneo. Por eso es supernecesario exportar evidencias.

Para hacerlo, simplemente agregamos el parámetro -w y ponemos un nombre para el archivo, además, puedes crear un directorio que almacene los archivos que genere la captura:

airodump-ng -c 11 -w Captura --essid Wifi_Salon wlan0
15:42:56  Created capture file "Captura-01.cap".

CH 11 ][ Elapsed: 42 s ][ 2023-05-09 15:43                                                                                           
                                                                                                                                      
 BSSID              PWR RXQ  Beacons    #Data, #/s  CH   MB   ENC CIPHER  AUTH ESSID                                                  
                                                                                                                                      
 **:**:**:**:**:**  -53 100      367       74    0  11  130   WPA2 CCMP   PSK  Wifi_Salon                                         
                                                                                                                                      
 BSSID              STATION            PWR   Rate    Lost    Frames  Notes  Probes                                                    
                                                                                                                                      
 (not associated)   **:**:**:**:**:**  -84    0 - 1      0        1                                                                   
 (not associated)   **:**:**:**:**:**  -68    0 - 1      3        6                                                                   
 (not associated)   **:**:**:**:**:**  -70    0 - 1      3        6 
...

Nos menciona que se creó el archivo Captura, podemos ver qué archivos se crearon en nuestro directorio:

ls -la          
total 648
drwxr-xr-x 2 root root   4096 may  9 15:42 .
drwxr-xr-x 4 root root   4096 may  9 15:38 ..
-rw-r--r-- 1 root root 120201 may  9 15:43 Captura-01.cap
-rw-r--r-- 1 root root   2901 may  9 15:43 Captura-01.csv
-rw-r--r-- 1 root root    595 may  9 15:43 Captura-01.kismet.csv
-rw-r--r-- 1 root root  51849 may  9 15:43 Captura-01.kismet.netxml
-rw-r--r-- 1 root root 470746 may  9 15:43 Captura-01.log.csv

Vemos varios archivos, pero el que nos interesa es este: Captura-01.cap, pues aquí es donde estará la contraseña encriptada de la red.

Mientras el escaneo continúe, el peso de ese archivo seguirá creciendo.

Para obtener la contraseña, utilizaremos la herramienta aircrack, lo importante sería que nosotros obtuviéramos un handshake para que la captura del cifrado funcione.


IMPORTANTÍSIMO

Es muy importante que si quieres practicar esto, lo hagas desde tu propio internet.

Puedes utilizar tu red y un dispositivo como tu celular para simular un AP y con eso practicar la captura de data y así puedas obtener un handshake.


Obteniendo un Handshake

Cuando nos conectamos a una red Wi-Fi, se produce lo que se conoce como un “handshake” (apretón de manos) entre el punto de acceso (AP) y el cliente (nuestro dispositivo). El punto de acceso suele ser un router, una terminal móvil en modo de punto de acceso, o cualquier otro dispositivo que actúe como AP. Durante este handshake, se lleva a cabo un intercambio de información criptográfica que permite generar las claves que se utilizarán para cifrar la comunicación entre el cliente y el AP.

Podríamos decir que para capturar el handshake, tendríamos que esperar hasta que alguien se conecte a la red. Pues no es así.

Hay muchas formas de obtener el handshake mediante distintos ataques:

  • Ataque de Desautenticación Dirigido
  • Ataque de Desautenticación Global
  • Ataque de Falsa Autenticación
  • CTS Frame Attack
  • etc…

Vamos a probar varios de estos ataques en los siguientes blogs.

Hagamos una prueba, para hacerla deberás usar tu celular y tu red.

Has lo siguiente:

  • Desconecta tu celular de la red, solo desconéctalo, no le quites la contraseña.

  • Has un escaneo aplicando un filtro para que solo aparezca tu red, deja el escaneo activo.

  • Observa que no aparece ningún aviso de handshake:
    airodump-ng -c 11 -w Captura --essid Wifi_Salon wlan0
    22:00:52  Created capture file "Captura-02.cap".
     CH 11 ][ Elapsed: 1 min ][ 2023-05-09 22:02                                                       
     BSSID              PWR RXQ  Beacons    #Data, #/s  CH   MB   ENC CIPHER  AUTH ESSID                                                                                                                                                                                        
     34:53:D2:7B:5D:28  -57  81      769      253    0  11  130   WPA2 CCMP   PSK  Wifi_Salon                                         
     BSSID              STATION            PWR   Rate    Lost    Frames  Notes  Probes                                                                                                                                                                                          
     (not associated)   **:**:**:**:**:**  -90    0 - 1      0        1         Wifi_Vecino                                             
     (not associated)   **:**:**:**:**:**  -86    0 - 1      0        1
    ...
    
  • Conecta tu celular a la red y vuelve a observar el escaneo, debería no solo aparecer el mensaje handshake sino que aparecerá junto a una MAC:
    airodump-ng -c 11 -w Captura --essid Wifi_Salon wlan0
    22:00:52  Created capture file "Captura-02.cap".
     CH 11 ][ Elapsed: 1 min ][ 2023-05-09 22:02 ][ WPA handshake: **:**:**:**:**:**                                                      
     BSSID              PWR RXQ  Beacons    #Data, #/s  CH   MB   ENC CIPHER  AUTH ESSID                                                                                                                                                                                        
     **:**:**:**:**:**  -57  81      769      253    0  11  130   WPA2 CCMP   PSK  Wifi_Salon                                         
     BSSID              STATION            PWR   Rate    Lost    Frames  Notes  Probes                                                                                                                                                                                          
     (not associated)   **:**:**:**:**:**  -90    0 - 1      0        1         Wifi_Vecino                                             
     (not associated)   **:**:**:**:**:**  -86    0 - 1      0        1
     **:**:**:**:**:**  MAC:DE:MI:CEL:XD   -21   24e-24      2      120  EAPOL  Wifi_Salon                                            
     **:**:**:**:**:**  **:**:**:**:**:**  -62    1e- 1e     1       76
    

    La MAC que aparece en el handshake es del AP al que nos conectamos.

  • Si buscas algo en internet o ves un video, verás que los frames aumentan, esto quiere decir, que el dispositivo está en uso.
     (not associated)   **:**:**:**:**:**  -86    0 - 1      0        1
     **:**:**:**:**:**  MAC:DE:MI:CEL:XD   -21   24e-24      2      780  EAPOL  Wifi_Salon                                            
     **:**:**:**:**:**  **:**:**:**:**:**  -62    1e- 1e     1       76
    

    Y listo, ya tenemos una handshake capturada en un archivo. La idea ahora, es usar aircrack-ng para tratar de obtener la contraseña, pero eso lo dejaremos para otra ocasión, lo que me interesa, es explorar todos los ataques posibles, antes de obtener la contraseña cifrada.



  • https://www.aircrack-ng.org/doku.php?id=airodump-ng
  • https://www.nsit.com.co/ap-access-point-que-son-y-para-que-se-utilizan/


FIN