ENACH_2013
-
Upload
fabio-dias -
Category
Documents
-
view
218 -
download
0
Transcript of ENACH_2013
-
7/22/2019 ENACH_2013
1/70
Ataques redes WirelessAtaques Infra-estrutura:
Negao de Servio (DoS)
WarDriving (deteco passiva/ativa)
Ataques de criptoanlise/fora-bruta:
Decriptao de IVS no WEP (Wep Cracking)
Bruteforce em handhshakes WPA
Ataques ao usurio Wi-Fi:
Rogue Access Point
DNS Spoofing
Ataque MITM
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
2/70
Ataques Denial of Service (DoS)
Designados para prevenir que um dispositivorealize a sua funo
Ataques DoS so comuns em redes cabeadas
Ataque SYN floodO cliente envia ao servidor um flag SYNServidor responde ao cliente com um ACKE aguarda uma resposta
O atacante nunca responde O servidor fica sem recursos e interrompe o seu
funcionamento.
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
3/70
Ataques Denial of Service (DoS)
Ataques DoS no Wireless
Negam o acesso de dispositivos wi-fi ao AP
Categorias
Ataques da camada fsicaAtaques da camada MAC
Ataques da camada fsica
Inunda o espectro com interfernciaeletromagntica para impedir que dispositivo secomunique com o AP
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
4/70
Ataques Denial of Service (DoS)
Ataques da camada fsica (continuao)Esse ataque geralmente raro devido ao alto
custo dos equipamentos necessrios
possvel identificar o local do transmissorOutros dispositivos que usam a banda de 2.4Ghz
Telefones sem fio
Micro-OndasBabs eletrnicasDispositivos PAN Bluetooth
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
5/70
Ataques Denial of Service (DoS)
Ataques da camada MACO meio wireless compartilhada entre todosCarrier Sense Multiple Access with Collision Avoidance (CSMA/CA)
Tenta prevenir que muitos dispositivos wireless transmitam aomesmo tempoUsa slots de tempo e frames de resposta
Slot de tempoTempo que o dispositivo deve aguardar at o meio estar livre
Frame de respostaUm frame ACK frame enviado para o dispositivo
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
6/70
Ataques Denial of Service (DoS)
Ataques da camada MACUm atacante que j se associou a rede WLAN pode fazer umdownload de um arquivo muito grande
Isso vai literalmente amarrar a redeGerador de pacotes
Cria pacotes falsos e inunda a rede wireless
Atacante envia frames de desassociao aos dispositivosWireless
Dispositivo ser desassociado do Access Point
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
7/70
Wireless Hacking no BackTrack 5
Hands-on
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
8/70
Dicionrios Crunch
http://wordlist.sourceforge.net# /pentest/password/crunch/crunch 6 121234567890 -o /tmp/wordlist-numerica.txt =
wordlist simples
# /pentest/password/crunch/crunch 10 10
1234567890 -t jose@@@@ -o /tmp/wordlist-jose.txt
= wordlist com string fixa
UnetbutingHavij LCP - ophcrackAdonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
9/70
John
# john --test = verificar a capacidade de nossa maquina emlidar com criptografia;
# cp /etc/shadow /home/password.txt = criar um arquivo
de texto com hashes de senhas;
# john /home/password.txt = descubra as senhas dentro doarquivo;
#./john -show -users:adonel /etc/shadow = para exibir a senha ou #./john -show -users:adonel /etc/shadow = para exibir a
senha do adonel
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
10/70
URLs http://www.passwordmeter.com ! Checar senha
https://www.microsoft.com/pt-br/security/pc-security/password-checker.aspx ! checar senha
http://howsecureismypassword.net/
http://password-checker.online-domain-tools.com/ https://www.grc.com/haystack.htm
https://lastpass.com/linkedin/
http://howto.cnet.com/8301-11310_39-20069069-285/how-to-check-the-strength-of-your-passwords/
http://rumkin.com/tools/password/passchk.php
http://labs.sucuri.net/?yahooleak
http://www.fabianosantana.com.br/seguranca/192-password
http://www.red-database-security.com/software/checkpwd.html http://search.cpan.org/~chisel/Data-Password-Check-0.08/lib/Data/Password/Check.pm
http://www.ibm.com/developerworks/lotus/library/ls-password_checking/
http://lifehacker.com/5577396/find-out-how-long-it-would-take-to-crack-your-password-at-how-secure-is-my-password
https://lastpass.com/eharmony/
http://www.digitaltrends.com/web/how-to-check-if-your-linkedin-or-eharmony-password-was-leaked/
http://www.everpassword.com/password-strength-checker
https://tech.dropbox.com/2012/04/zxcvbn-realistic-password-strength-estimation/
http://www.petefinnigan.com/default/default_password_checker.htm
http://www.defaultpassword.com/
http://mail-blacklist-checker.online-domain-tools.com/ ! checar email blacklist
http://www.password-crackers.com/
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
11/70
Adaptadores wi-fi no BackTrack
Os adaptadores wi-fi no BackTrack soidentificados pela sequncia: wlan0, wlan1,wlan2, etc...
Para poder utilizar as tcnicas de Wi-Fi Hacking necessrio que o adaptador suporte o modo demonitorao. Nem todos os adaptadores
suportam operar dessa forma. Normalmente,prefira um adaptador com o chipset Atheros ouRealtek e no ter problemas.
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
12/70
Checando o status do adaptador Wi-fi
Use o comando ifconfig wlan para verificar o
status do adaptador wireless.
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
13/70
Iniciando a interface Wireless wlan0
Para inici-lo utilize ifconfig wlan0 up. Casoocorreram erros verifique se o adaptadorwireless foi corretamente reconhecido.
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
14/70
Air-ngA sute de utilitrio air*-ng possui diversos softwares para deteco e ataques
Access Points e clientes wi-fi. Vamos conhecer os principais softwares eposteriormente veremos a utilizao dos mesmos:
Airmon-ng Coloca a placa de rede no modo monitorao. Isso essencialpara poder capturar o trfego das redes wi-fi sem estar conectado nasmesmas.
Airodump-ng Monitora o espectro wi-fi e captura pacotes para um arquivoespecificado pelo usurio.
Aireplay-ng Injeta pacotes falsificados em uma rede wi-fi, permite falsificarautenticaes e desassociar usurios legtimos.
Airbase-ng Permite criar um Access Point simulado para realizar de ataquesde captura de chaves e MITM contra dispositivos clientes
Aircrack-ng Permite tentar quebrar/decodificar a chave de criptografia WEPou WPA capturada atravs do airodump-ng
Airdecap-ng Permite decodificar pacotes criptografados fornecendo oarquivo de captura de pacotes e a chave de criptografia
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
15/70
Primeiro passo: usar airmon-ng
Para iniciar o modo de monitorao noadaptador wlan0 e criar a interface mon0utilize o comando airmon-ng start wlan0
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
16/70
Verificando status interface mon0
Com o comando ifconfig verifique se a interfacemon0 foi adequadamente criada
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
17/70
Checando as configuraes do Wi-Fi
O comando iwconfig permite verificar emodificar as configuraes dos dispositivoswireless (ex: canal, taxa de transferncia, etc)
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
18/70
Exemplo: Mudando o canal em mon0
Para mudar mon0 para o canal 11, digite:iwconfig mon0 channel 11
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
19/70
Redes Ocultas (Hidden ESSID)
Mesmo que uma rede esteja oculta podemos detectar suapresena ao monitorar os probes dos dispositivos clientesno Wireshark. Isso s possvel no modo de monitorao
com a interface mon0. Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno
d
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
20/70
Airodump-ngPermite monitorar redes wireless e capturar pacotes para serem
analisados posteriormente. Consegue detectar Access Points
em qualquer canal, detectando o tipo de criptografia utilizadae at os clientes no-associados que estejam tentando selogar. Sintaxe bsica: airodump-ng
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
21/70
Airodump-ng
Sintaxe: airodump-ng
Opes:--channel canal ->Especifica o canal de operao-w arquivo -> Salva os pacotes capturados em um arquivo.
Mesmo que a opowrite.
--encrypt tipo -> Filtra APs por tipo de criptografia--bssid MAC -> Filtra APs pelo BSSID do AP-a Filtra clientes desassociados -> Especifica o canal de
operao
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
22/70
Airbase-ng
Permite criar um AP simulado e receberconexes de clientes wi-fi.
Sintaxe bsica: airbase-ng < interface>
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
23/70
Airbase-ng
Opes:
-a bssid -> Especifica o MAC do Access Point-a essid -> Especifica o ESSID do Access Point (nome da rede)-i interface -> Interface que ter seus pacotes capturados-w chave_wep -> use essa chave wep para criptografar/descriptografar pacotes
-h MAC -> Usado em ataques de MITM (MAC de origem)-W 0|1 -> Habilita (1) ou Desabilita (0) uso do WEP-z tipo -> Configura WPA1 . 1=WEP40, 2=TKIP, 3=WRAP, 4=CCMP, 5=WEP104-Z tipo -> Configura WPA2. Mesmas opes do WPA1.-C segundos -> Habilita beaconing dos ESSIDs detectados com a opoP -v -> Modo verbose (mostra mais informaes)
-c -> Configura o canal que o AP est funcionando -X -> Coloca o AP com seu ESSID oculto -P -> Responde a todas as requisies -L -> Habilita o ataque Caffe Latte do WEP
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
24/70
Aireplay-ng
O Aireplay-ng permite injetar pacotes em uma rede wi-fi, tentarautenticao em APs, e desassociar clientes conectados, entreoutras coisas. Sintaxe: aireplay-ng
Opes:
Modo filtro:-b bssid -> Especifica o MAC do Access Point
-d dmac -> Especifica o MAC de destino
-s smac -> Especifica o MAC de origem
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
25/70
Aireplay-ngModo replay:
-a bssid -> Especifica o MAC do Access Point-c dmac -> Especifica o MAC de destino
-h smac -> Especifica o MAC de origem
-x num -> Nmero de pacotes por segundo
Modo ataque:
--deauth num -> Desassocia 1 ou todas (0) as estaes (opo 0) --fakeauth atraso ->Finge autenticao com o AP (opo 1)
--arpreplay -> Injeta pacotes ARP na rede wi-fi (opo 3)
--caffe-latte -> Pede a um cliente mais IVs (opo 6)
Opes do ataque Fakeauth:
-e essid -> Especifica o ESSID do Access Point-o num -> Nmero de pacote por burst (0=auto, padro=1)
-q seg -> Segundos entre keep-alives
-Q-> Enviar pedidos de reassociao -y prga -> Chave para autenticao (capturadavia airodump-ng)
-T num -> Interrompe aps n tentativas de autenticao
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
26/70
Ataques criptografia: WEP
As vulnerabilidades so baseadas em como o WEP e acifra RC4 so implementados
WEP s pode utilizar uma chave de 64 ou 128 bitsVetor de inicializao(IV) de 24 bits e uma chave
padro de 40 ou 104 bitsTamanho relativamente pequeno da chave limita asua fora
Implementao do WEP cria um padro que pode ser
detectado por atacantesIVs so nmeros de 24 bitsIVs comeam a se repetir em menos de sete horas
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
27/70
Vulnerabilidades do WEP
Implementao do WEP cria um padro que podeser detectado por atacantes (continuao)
Alguns sistemas wireless sempre comeam como mesmo IV
ColisoDois pacotes criptografados com o mesmo IV
Ataque de deduo de chave
Determina a chave atravs da anlise de doispacotes que se colidiram (mesmo IV)
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
28/70
Vulnerabilidades do WEP
Problemas do RC4O RC4 usa um gerador de nmeros pseudo-randmico
(PRNG) para criar a chave.PRNG no cria um nmero realmente randmico
Os primeiros 256 bytes da cifra RC4 podem serdeterminadosPor bytes da prpria chaveO cdigo-fonte do RC4 foi revelado
Atacantes podem ver como a prpria chave geradaFerramentas de ataque ao WEP
Aircrack, ChopChop WEP Cracker, WEP Crack e Cain
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
29/70
Autenticao de Chave Compartilhada
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
30/70
WEP HackingAirodump
Primeiramente, usamos o airodump-ng para filtrartodas as redes com criptografia WEP disponveis.No exemplo acima selecionaremos a rede com oESSID carol para realizar o ataque. Airodump-ng --encrypt wep mon0
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
31/70
WEP Hacking - Airodump
Na primeira imagem, rodamos o airodump-ng nainterface mon0 filtrando: canal 11, bssid do AP darede carol e salvando o resultado para o arquivochaveWEP. Veja o resultado na segunda imagem.
Agora, teremos que esperar. O campo Data devecapturar milhares de pacotes IVS para que sejapossvel realizar a decoficao. Tem comoapressar o processo?
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
32/70
WEP Hacking - Aireplay
Utilizando o aireplay-ng ns realizamos o ataquecaffe-latte que pedeaos dispositivos conectados rede carol que nos enviem maispacotes IVS. Com isso veja que temos mais de 40000 pacotes nocampo #Data. suficiente para quebrar uma chave de 64 bits WEP.
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
33/70
WEP Hacking - Aircrack
Executamos o aircrack-ng com o nome do arquivo que foicapturado pelo airodump-ng. Veja que o nmero de IVS jchegava a 71406. Com isso a chave foi rapidamente
quebrada. Era porco (?). Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
34/70
Acesso Protegido Wi-Fi (WPA)
Padro do 802.11i que cuida tanto da criptografia quanto daautenticao
Temporal Key Integrity Protocol (TKIP)
Chaves TKIP so conhecidas como chave por pacoteTKIP dinmicamente gera uma nova chave para cada
pacote criadoPrevine colises
Que era justamente uma das fraquezas principais do WEP
O Servidor de autenticao pode usar o 802.1x para produziruma chave mestra nica para a sesso do usurio
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
35/70
Acesso Protegido Wi-Fi(WPA)
TKIP distribui a chave para dispositivos wi-fi e APsConfigurando uma hierarquia de chavesautomatizadas e um sistema de gerenciamento
WPA substitui a checagem de redundncia cclica (CRC)com a checagem de integridade da mensagem (MIC)
Designado para prevenir que um atacante capture,altere, e reenvie pacotes de dados
Utiliza uma funo matemtica forteClientes so desautenticados e novas associaes soimpedidas por um minuto se um erro de MIC ocorrer
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
36/70
Acesso Protegido Wi-Fi (WPA)
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
37/70
Acesso Protegido Wi-Fi (WPA)Autenticao WPA
Cumprida por usar tanto o padro IEEE 802.1x ou tecnologia dechave previamente compartilhada (PSK)
A autenticao PSK usa uma frase para gerar a chave de criptografia.Funciona como uma senha.
A frase deve ser previamente inserida em cada Access Point edispositivo Wireless.
Serve como semente (seed) para gerar matematicamente aschaves de criptografia
WPA foi elaborado para resolver as vulnerabilidades do WEP com ummnimo de inconvenincia
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
38/70
Acesso Protegido Wi-Fi 2 (WPA2)
Segunda gerao da segurana WPA
Baseado no ltimo padro IEEE 802.11i
Usa o Advanced Encryption Standard (AES) paracriptografia dos dados
Suporta autenticao IEEE 802.1x ou tecnologia PSK
WPA2 permite que ambas as tecnologias AES e TKIPoperem na mesma rede WLAN
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
39/70
Acesso Protegido Wi-Fi 2 (WPA2)
Os modelos de segurana da Wi-Fi Alliancebaseados em WPA e WPA2 so:
WPAPersonal Security (Pessoal)
WPAEnterprise Security (Empresarial)
WPA2Personal Security (Pessoal)
WPA2Enterprise Security (Empresarial)
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
40/70
Acesso Protegido Wi-Fi 2 (WPA2)
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
41/70
WPA Hacking Airodump
Assim como fizemos com o WEP, vamos filtrar noairodump-ng todas as redes que utilizemcriptografia WPA e WPA2 com o comando:airodump-ngencrypt wpa mon0 Vamos escolhera rede com o ESSID EmpresaX para realizar oataque.
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
42/70
WPA Hacking Airodump
Tambm da mesma forma filtraremos no airodump-ng: canal6, o bssid da rede EmpresaX e salvaremos o resultado noarquivo chaveWPA. Tudo isso deve ser feito na interfacemon0. Comando:
airodump-ngc 6bssid 50:CC:F8:85:ED:B2w chaveWPA mon0
O prximo passo capturar o handshake do WPA. Isso s possvel quando algumcliente se conectar na rede. Podemos acelerar esse processo de autenticandoos usurios com o aireplay
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
43/70
WPA Hacking Aireplay
Utilizamos no aireplay o MAC do AP (-a) e o MAC do cliente (-c) que foidetectado no airodump. Enviamos 5 pacotes de desassociao comcomando (no feche o airodump, deixe-o rodando em outra janela):
Aireplay-ngdeauth 5a 50:CC:F8:85:ED:B2c 00:23:4D:8F:DB:84 mon0
Verifique no airodump que o WPA Handshake foi capturado. Agora devemos ir para oAircrack-ng.
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
44/70
WPA Hacking Aircrack-ng
Primeiramente, ao contrrio do WEP, precisamos ter uma wordlist (lista depalavras) para tentarmos realizar a fora-bruta no handshake WPA quefoi capturado.
O BackTrack j possui uma lista gigantesca no arquivo/pentest/passwords/wordlists/rockyou.txt (mais de 100 MB)
Utilizaremos esta lista ento no arquivo chaveWPA.cap que foi capturadopelo airodump-ng, usando o comando:
aircrack-ngw /pentest/passwords/wordlists/rockyou.txt chaveWPA.cap
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
k k
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
45/70
WPA Hacking Aircrack-ng
A chave foi descoberta. qwerty12. Podemos descriptografar os pacotescapturados em chaveWPA.cap agora usando o airdecap-ng.
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
46/70
WPA Hacking airdecap-ng
Para descriptografar os pacotes capturados, rodamos
o comando: airdecap-nge EmpresaXp qwerty12chaveWPA.cap
Agora basta abrir chaveWPA.cap no Wireshark paravisualizar todos os pacotes sem nenhum tipo de
criptografia.Observao: o prprio Wireshark capaz de
decodificar os pacotes se voc fornecer a chave.
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
47/70
WPA Hacking Airbase-ng
Perceba no exemplo da imagem anterior que oairbase-ng levantou o Access Point utilizandoo essid da rede defhack, o bssid do AP real, a
criptografia WPA TKIP (-z 2) e verbose (-v) paragerar mais informaes teis para debug.
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
48/70
WPA Hacking Airbase-ng
Vamos desconectar os clientes da rede original.Iremos executar o aireplay-ng com --deauthem broadcast para toda a rede
Adonel Bezerra - www.clubedohacker.com.br
Por: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
49/70
WPA Hacking Airbase-ng
O processo aps a captura do handshake WPA
o mesmo visto anteriormente... aircrack,genpmk, cowpatty, etc.
Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
50/70
WPA Hacking WPS PIN Hacking
O PIN foi configurado para o Wi-Fi Protected
Setup. Ele 94154016.Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
51/70
WPA Hacking WPS PIN Hacking
No exemplo da imagem anterior eu pedi o washpara usar a interface mon0 e ignorar erros deframe check sequence (fcs). Ele encontrou aminha rede defhack e outra que tambm usaWPS.
Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
52/70
WPA Hacking WPS PIN HackingVamos executar como exemplo o Reaver
"travando" em um determinado canal (opes-f e -c 6), modo verbose (-vv) e usando o bssiddo meu Access Point (-b):
Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
53/70
WPA Hacking WPS PIN Hacking
A partir deste momento o reaver ir tentarcentenas de combinaes at descobrir o pin.
Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno
At di t t d
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
54/70
Ataques diretos atravs de accesspoints ilegtimos
Acess Point ilegtimoAP instalado por um funcionrio
Sem a aprovao ou superviso da equipe de TI
Pode prover acesso a um atacante externo Burlando todas as protees de segurana darede da companhia
Um access point ilegtimo est atrs do firewall
Ataque peer-to-peerO dispositivo wireless do invasor ataca um
dispositivo similar
Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno
At di t t d
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
55/70
Ataques diretos atravs de accesspoints ilegtimos
Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
56/70
Ataque AP ilegtimo Servidor DHCP
O primeiro passo para se criar um AP ilegtimo configurar e iniciar o servidor DHCP do BackTrackpara fornecer endereo IP aos clientes que seconectarem ao nosso access point. Edite o
arquivo de configurao
vim /etc/dhcpd3/dhcpd.conf
Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
57/70
Ataque AP ilegtimo Servidor DHCP
Configure como mostrado na figura acima. Salvedigitando :wq
Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
58/70
AP ilegtimo Airbase-ng
Devemos agora criar o access point(AP) com outilitrio airbase-ng. Vamos utilizar as opes padromudando apenas o ESSID para Faculdade.
airbase-nge Faculdade mon0
Perceba que o airbase-ng cria uma interface at0 . Ela ser til posteriormente.
Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno
AP ilegtimo Interface at0 e dhcpd3
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
59/70
AP ilegtimo Interface at0 e dhcpd3
Iniciamos a interface at0 configurando o ip correto
ifconfig at0 10.0.0.1 upIniciamos o servidor DHCP na interface at0dhcpd3cf /etc/dhcpd3/dhcpd.conf at0
Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
60/70
AP ilegtimo Viso do cliente
O cliente enxerga a rede Faculdade e tenta se conectar ela. Vamos ver se a conexo foi efetuada com sucesso.
Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
61/70
AP ilegtimo Viso do cliente
Perceba que o cliente pegou um endereo IP donosso servidor DHCP. Isso significa que ele seconectou com sucesso interface at0 criadapelo airbase-ng
Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno
AP ilegtimo Ataque DNS Spoof c/
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
62/70
AP ilegtimo Ataque DNS Spoof c/Fake Webserver
De nada adianta o cliente se conectar ao AP se nofaremos nenhuma ao.
Pode-se capturar um handshake WPA ou WEP (seconfigurada essa opo no airbase-ng) o que til para
capturar a chave criptografada direto do cliente, semdepender do Access Point legtimo.
No nosso caso, a rede est sem nenhuma criptografia.Podemos ento realizar um ataque simples: fazer com
que o usurio ao abrir qualquer site seja redirecionado(por DNS Spoofing) para o servidor WEB Apache queest rodando no BackTrack.
Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
63/70
AP ilegtimo DNSSPOOF e Apache
Usando os comandos mostrados realizamos: - Iniciamoso dns spoof na interface at0 (dnsspoofi at0)
- Iniciamos o Apache (apache2ctl start)Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
64/70
AP legtimo Lado cliente
Veja que qualquer site que o cliente abrir ser direcionandopara o nosso servidor Apache. Como ver ento as aesque o cliente vai realizar na nossa pgina falsa?
Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
65/70
AP ilegtimo Usando SET
Podemos usar o Apache junto ao SET (Social Engineering Toolkit) paracriar um template rpido de qualquer site e com isso capturar ascredenciais do usurio.
Utilizar o Apache no SET no obrigatrio mas recomendado poisaumenta a performance. Basta abrir o arquivo/pentest/exploits/set/config e mudar a varivel APACHE_SERVER paraON
Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
66/70
AP ilegtimo Usando SET
Selecionamos o ataque no SET e escolhemos o Gmailcomo template. Importante: o airbase-ng e odnsspoof devem continuar rodando em janelasseparadas.
Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
67/70
AP ilegtimo Viso do Cliente
Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno
AP ilegtimo Capturando credenciais
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
68/70
AP ilegtimo Capturando credenciaisno SET
Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
69/70
AP ilegtimo Criando uma ponte
Podemos criar uma bridge entre a interface at0do AP falso e uma interface de rede ethernet(ou outra interface Wireless). Assim o cliente
poder usar a Internet.Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno
http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/ -
7/22/2019 ENACH_2013
70/70
AP ilegtimo - Wireshark
Basta pedir ao Wireshark para monitorar a interface at0 e capturartodo o trfego da ponte (ou seja, do acesso Internet do cliente)