WEP knacken mit Linux und aircrack

  • Diskussion

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • WEP knacken mit Linux und aircrack

    Hallo Leute,

    Ich habe absichtlich bei diesem Beitrag das Präfix Diskussion gewählt, da dies keine 1:1-Anleitung werden soll, die man blind abschreiben kann um WEPs zu hacken. (Das werdet ihr weiter unten merken)

    Ich habe mich sehr lange damit beschäftigt und habe mir sozusagen ein Basiswissen aufgebaut. Ihr könnt mich gerne hier in dieser Diskussion fragen aller Art zu diesem Thema stellen.

    Gut, dann kanns losgehen:
    Es gibt viele Anleitungen im Netz wie sowas funktioniert. Die meisten Benutzer fangen dann mal an alles abzutippen was da so steht und dann klappts nicht - natürlich nicht, denn jede Hardware funktioniert anders.

    Hardware ist gleich das erste Stichwort. Um einen WEP knacken zu können brauchen wir mal eine passende Hardware. Mit dieser muss es möglich sein, in den Monitor-Mode wechseln zu können. Dieser Monitor Mode kann man ruhig als "stiller Genießer" bezeichnen. Er fängt alles was so im Äther auf einer bestimmten Frequenz rumschwirrt auf und schreibt es in ein File. Weiters kann man danch Pakete auch absenden (mit komplett anderen Daten als den eigenen, um dem Access-Point falsche Daten vorzugaukeln).


    Welche Karten unterstützt werden und welche nicht kann man leicht herausfinden. Es gibt da so eine Liste (ich find die grade nicht, ich reiche sie später nach) wo steht, welche Chipsätze unterstützt werden. Der Befehl "lspci" ist meist nützlich zum herausfinden der Karte. Später mehr dazu.

    In meinem Fall, ich habe einen Atheros-Chipsatz, kann ich den Madwifi-Treiber benutzen. Und auf diesem ist diese "Diskussion" auch zugeschnitten.
    Weiters müsst ihr jetzt nicht unbedingt ein Linux installieren, nehmt einfach eine Live-Version wie Knoppix oder ähnliches. Es gibt da eine feine Software, auf der bereits alle benötigten Treiber vorhanden sind und man nur noch loselegen muss - Backtrack
    Ich benutze immer noch Version 1.0 - warte noch auf die Final vom 2.0
    Es besteht auch die Möglichkeit das ganze Spiel unter Windows laufen zu lassen - nur ohne Paket injection. Es ist vom ablauf ähnlich, nur ohne Paket injection und ohne wichtige andere Spielereien (tcpdump). Ich werde nicht weiter darauf eingehen, bitte stellt auch keine Fragen dazu.

    So, nach dem starten und einloggen startet man als allererstes mal eine bash.
    Achja, nebenbei angemerkt, jeder sollte primitivste Linux-Grundkenntnisse haben. Fragt mich ruhig wenn etwas unklar ist (auch wenns nur das wechslen in ein andere Directory ist). Man sollte halt doch wissen, was eine man-page ist oder wie man die Hilfe zu einem Befehl aufruft.

    Die bash ruft man auf, wenn man unter kde das 2. Symbol links unten im kicker (die taskleiste) anklickt oder Alt + F2 drückt und z.B. xterm eingibt.
    Als erstes ändern wir mal, aus selbstschutz die MAC-Adresse. Das kann man mit ifconfig machen oder mit einem praktischen Tool, das auf der BackTrack drauf ist: macchanger.

    Man gebe ein:
    macchanger -m 00:11:22:33:44:55 ath0


    Nach der option -m steht die MAC, die Ihr fälschen wollt, und ath0 ist die WLAN-Device.

    So, dann suchen wir uns mal einen AP (AccessPoint):
    Alt + F2: start-kismet
    Es wird nach einer Directory verlangt, wohin Kismet daten speichern soll, gebt irgendeinen Ornder an, z.B. /root und mit JA bzw. OK bestätigen.


    Uns interessiert folgendes:
    Name: asterix
    Ch: 001
    W: Y

    Bedeutet: Die SSID, der Name des AP ist asterix (oh, welch wunder), funkt auf Kanal 1 und benutzt WEP.
    Ihr werdet feststellen, dass man mit den Corsor-Tasten wenig anfangen kann, es kommt die Meldung: Cannot scroll in autofit sort mode. Sort by a different method. Drückt dann mal s und dann c, so sortieren wir das ganze nach Kanal.
    Drückt dann mal Enter auf dem AP und ihr erhällt weitere Infos. Beendet das fenster mit q und Kismet mit Q (Achtung, Case-Sensitive [Groß/Klein schreibung beachten])

    Nun, nach dieser Tat werfen wir mal den Monitor-Mode an. Das geht am besten mit dem airmon-Skript:
    airmon-ng start ath0 1


    Nach airmon-ng wird angegeben, dass der Monitor-Moder aktiviert wird, wieder die Device ath0 ist und die 1 schreiben wir für den Kanal hin, haben wir ja durch Kismet herausgefunden.

    Das ist schonmal viel Wert. Jetzt starten wir Airodump. Dieses Tool speichert die Daten, damit wir sie danach bei aircrack durchlaufen lassen können.

    Man tippe: airodump-ng --ivs -w out -c 1 ath0

    Bedeutet:
    --ivs: Wir speichern nur das, was wir brauchen
    -w out: Wir speichern in das file out
    -c 1: Der Kanal
    ath0: Ohne Worte


    So, unter BSSID steht die MAC-Adresse, die kopiert Ihr am geschiktesten mal raus. Drückt STRG+C, scrollt nach oben, markiert, rechtsklickt, kopieren. Mit STRG+Copy geht das nicht.
    So, das lasst mal in der Zwischenablage, das brauchma später.
    PWR gibt dir die Leistung an. Was da ausgegeben wird hängt vom Treiber ab. Sollte -1 stehen bedeutet das, dass der Treiber keine Angabe über die Empfangsleistung ausgibt. Aber es ist zu bemerken, dass je näher man am AP dabei steht, desto größer ist diese Zahl. In diesem Fall ist der AP etwa 15 cm von meiner WLAN-Antenne entfernt.
    Beacons brauchen uns nicht weiter zu interessieren. Es sind angekündigte Pakete vom AP und der sendet je nach Geschwindigkeit etwa 10 Pakete pro Sekunde. Wenn da was rattert bedeutet das, ihr habt Empfang und mehr wollen wir auch nicht.
    #DATA hingegen ist die wichtigste Zahl in diesem Fenster. Wenn man "genügend" hat, startet man aircrack. Genügend hängt vom verwendeten Schlüssel ab und wieviele Bits der Schlüssel hat. Typisch sind 64 oder 128. So typische Werte sind 400.000 bei 64 bit und 800.000 bei 128 bit. Das sind aber nur Leitwerte, es können viele mehr sein...
    CH, der Kanal wo gefunkt wird
    MB, die Geschwindigkeit
    ENC, WEP, erklärt sich von selbst
    und zuletzt ESSID, der Name des AP

    Im unteren Teil stehen dann die Clients die am AP eingeloggt sind, die brauchen wir später. Hier ist z.B. niemand eingeloggt.

    Gut, jetzt könnten wir mal einen Tee trinken gehen und die Zahl hochrattern lassen, aber das würde, bei einem Netzwerk mit wenig Traffic etwa 1024 Jahre dauern (wirklich solange!) oder man benutzt aireplay.

    Was diese IVS sind und was ARP ist, blablabla, das werd ich hier nicht weiter erläutern, ich glaube, jeder der sich damit ernsthaft auseinander gesetzt hat weiß das. Aber wenn jemand nicht, soll er hier in dieser Diskussion die Frage stellen. (Oder sich trauen diese zu stellen *gg*! Nein, bitte fragt nur was nicht klar ist)

    Oke, der Einsatz von aireplay ist SEHR vielfältig, deshalb werd ich hier nur kurz die wichtigsten Schritte rauspicken und diese Kurz erläutern.

    Aireplay mit mindestens einem Client:
    Warum ist dieser wichtig: Dieser ist in Kontakt mit dem AP und wir können ihn missbrauchen um an einen ARP zu kommen.

    Ich will hier nicht lange um den Brei schreiben, hier muss echt jeder selbst ausprobieren wo und wie der Hase läuft.
    Als Standard-Attake (wir warten bis ein ARP kommt, dann schleudern wir diesen Tausende-mal raus):
    ALT+F2 oder einen neuen Reiter öffnen:

    aireplay-ng --arp -b [MAC_DES_AP] -h [MAC_DES_CLIENT] ath0



    Sobald dieser dann einen ARP sendet fangen wir diesen auf und senden diesen raus. Geht dann zurück zum airodump und staunt wie die IVS langsam steigen.

    Wenns nicht funktioniert, müsst ihr nochmal starten und hoffen dass es klappt. (STRG+C zum abbrechen). Wenn ihr dann mal ein bisserl Erfahrung habt, probiert mal die anderen Optionen aus wie --deauth oder --interactive.

    Aireplay ohne Client

    Hier spreche ich nun ein heikles Thema an... Es ist prinzipiell gefinkelt sowas anzustellen, aber möglich. Man muss nur hartnäckig sein. Es ist auch nicht bei jedem AP möglich. Ich hab z.B. bei meinem WRT54G mit der original Firmware ohne Probleme den WEP ohne Client gehackt aber seit ich dd-wrt draufhab gehts nicht mehr...

    Nun gut:
    Wir loggen eine Fake-Client ein:
    aireplay --fake 10 -e [SSID_DES_AP] -a [MAC_DES_AP] -h [MAC_DES_FAKECLIENT] ath0
    Das heißt jetzt, dass wir alle 10 Sekunden den Client erneut einloggen. Einloggen ist um es laienhaft auszudrücken, eine Vorstufe des richtigen anmeldens mit WEP und so. Man sagt einfach ganz freundlich "Hallo Kumpel, ich bin da"
    -e würde bei mir asterix lauten, -a die MAC des Kumpels und -h 00:11:22:33:44:55
    und wer ath0 immer noch nicht verstanden hat, dem wird die Lebensberechtigungskarte entzogen.

    Dann werfen wir chopcop an:
    aireplay -4 -b [MAC_DES_AP] -h [MAC_DES_FAKECLIENT] ath0
    Da rattert dann etwas runter und es steht, wie der Dateiname der beiden Files lautet.

    Starten wir tcpdump:
    tcpdump -s 0 -n -e -r replay_dec-XXXX-XXXXXX.cap
    Was das alles genau bedeutet, und was wir da machen, bitte in der man-page nachlesen.

    Da kommen dann IP-Adressen raus. Ich hab schonmal erlebt, dass folgende IP gekommen ist: 172.16.16.1.1
    Das ist wie jeder sehen kann keine gültige IP, aber was da gemeint ist kann sich jeder denken. Zumindest sollte man sich auch auf solche Ausgaben einstellen.

    Dann arpforgen:
    arpforge replay_dec-XXXX-XXXXXX.xor 1 [MAC_DES_AP] [MAC_DES_FAKECLIENT] [ERSTE_IP] [ZWEITE_IP meinallerersterarp.cap]
    Die IPs bekommt ihr vom Output von tcpdump.

    Dann eine Standard-ARP-Attacke starten:
    aireplay --arp -a [MAC_DES_AP] -h [MAC_DES_FAKECLIENT] ath0

    und dann noch den eben erstellten, selbstgebastelten ARP raussenden:
    aireplay --inter -r meinallerersterarp.cap ath0


    Das sollte dann funktionieren und die Zahl bei #DATA steigt ins Unendlich:)

    Wenn man dann so seine Abertausende IVS zusammenhat (Das dauert ohne aireplay ganz genau 1024 Jahr und mit aireplay etwa 5 bis 15 Minuten)

    ALT+F2, xterm oder konsole oder neuer Reiter oder was auch immer...
    Dann
    aircrack-ng -a 1 -e [SSID_DES_AP] -b [MAC_DES_AP] -n 64 out-*.ivs

    Das Sternderl is eine Wildcard und inkludiert alle Dateinamen mit dem Beginn out-. airodump erzeugt nämlich kleinere einzellne Files. Man kann aircrack ruhig parallel zu airodump und tu aireplay benutzen, die IVS werden alle automatisch aktualisiert.

    Nagut, das wars, Ziel erreicht.
    Hier noch ein Link, die ihr unbedingt beachten solltet, es werden sicher 80% der Fragen zur aircrack-suite beantwortet: aircrack-ng.org/

    Wenn jetzt noch Fragen sind, egal welcher natur, stellt sie nur (UND DAS REIMT SICH SOGAR!)

    asterix
    [SIZE=1]Ich mache viele Klammern fest, an allem was sich klammern lässt: 09-f9-11-02-9d-74-e3-5b-d8-41-56-c5-63-56-88-c0
    Freunde: idefix, NoName, Feuerstein, THXQ[/SIZE][SIZE=1], tischler[/SIZE]
  • Hallo,
    erstmal Danke für deine Anleitung.

    Ich habe 2 Probleme
    1.
    wenn ich diesen befehl ausführe:
    aireplay-ng --arp -b [MAC_DES_AP] -h [MAC_DES_CLIENT] ath0

    und er einen ARP findet kommt immer nachdem er etwas gesendet hat .

    Notice: got a deauth/disassoc packet. Is the Source Mac Associated?

    Was bedeute da in airodump passiert in der spallte DATE leider ganix .

    2.
    Wenn ich diesen Befehl ausführe:

    aireplay -4 -b [MAC_DES_AP] -h [MAC_DES_FAKECLIENT] ath0

    bestätige ich mit "y" und danach kommt nach kurzer zeit:
    Failure:got several deauthentication packets from AP - Try running another aireplay-ng whit attack "-1" (fake open-system authentication)
    was mache ich falsch ?

    Vielen Danke für eure Hilfe.!
  • Es sieht so danach aus, dass du dich nicht richtig am AP einloggst:

    aireplay -4 -b [MAC_DES_AP] -h [MAC_DES_FAKECLIENT] ath0

    Aber pass auch. Es kommt sehr oft vor, dass dieser Vorgang mit der Zeit abbricht.

    asterix
    [SIZE=1]Ich mache viele Klammern fest, an allem was sich klammern lässt: 09-f9-11-02-9d-74-e3-5b-d8-41-56-c5-63-56-88-c0
    Freunde: idefix, NoName, Feuerstein, THXQ[/SIZE][SIZE=1], tischler[/SIZE]
  • Hallo,

    ich selber kenne mich nicht so wirklich viel mit Linux aus. Möchte aber mal testen wie sicher das WLAN von mir und ein paar Freunden ist. Ich habe einen Asus G1 Notebook und leider wird dort meine WLAN Karte in back|track 2 nicht erkannt. Wie kann ich dort die Intel Karte zum laufen bekommen?

    MfG
    FuRiuS
  • frage zu ohne client
    geht das auch wenn beim ap der macfilter an ist ???
    wie kann ich mir ne unbekannte ssid vom ap anzeigen
    lassen ??...weil bei manchen befehlen brauch ich die

    @Linux-Daemon
    sonst ne gute anleitung steht das wichtigse drinn;)
  • frage zu ohne client
    geht das auch wenn beim ap der macfilter an ist ???


    Also wenn der MAC-Filter an ist, und kein client eingeloggt ist, musst du praktisch solange warten, bis sich jemand anmeldet, damit du eine gültige MAC rausfinden kannst. Aber erstmal irgendeine MAC nehmen, und das mal checken...

    wie kann ich mir ne unbekannte ssid vom ap anzeigen
    lassen ??...weil bei manchen befehlen brauch ich die

    Die SSID wird nach kurzer zeit von tcpdump angezeigt (dauert ein bisserl) Ich glöaub Kismet zeigt den Namen auch recht schnell an.

    @Linux-Daemon
    sonst ne gute anleitung steht das wichtigse drinn

    MEINS! :)

    asterix
    [SIZE=1]Ich mache viele Klammern fest, an allem was sich klammern lässt: 09-f9-11-02-9d-74-e3-5b-d8-41-56-c5-63-56-88-c0
    Freunde: idefix, NoName, Feuerstein, THXQ[/SIZE][SIZE=1], tischler[/SIZE]
  • asterix schrieb:

    Also wenn der MAC-Filter an ist, und kein client eingeloggt ist, musst du praktisch solange warten, bis sich jemand anmeldet, damit du eine gültige MAC rausfinden kannst. Aber erstmal irgendeine MAC nehmen, und das mal checken...

    Wenn kein Client im Netz ist, funktioniert es definitv nicht!
    Man bekommt keine IV's.

    asterix schrieb:

    Die SSID wird nach kurzer zeit von tcpdump angezeigt (dauert ein bisserl) Ich glöaub Kismet zeigt den Namen auch recht schnell an.

    Hmm, hast du da nen Befehl?
    Habe gehört es wäre auch irgendwie per Bruteforce möglich.


    asterix schrieb:

    MEINS! :)

    Habe ja gesagt, dass die Anleitung nicht von mir ist.;)
  • Asterix schrieb:

    Die SSID wird nach kurzer zeit von tcpdump angezeigt (dauert ein bisserl) Ich glöaub Kismet zeigt den Namen auch recht schnell an.


    Ich bin ein Idiot, ich meinte airodump. Da musst du einfach nur airodump starten und ein bisserl warten, dann kommt das schon.

    asterix
    [SIZE=1]Ich mache viele Klammern fest, an allem was sich klammern lässt: 09-f9-11-02-9d-74-e3-5b-d8-41-56-c5-63-56-88-c0
    Freunde: idefix, NoName, Feuerstein, THXQ[/SIZE][SIZE=1], tischler[/SIZE]
  • ganz sicher sogar!
    Ich hab mal gelesen, dass airodump bzw. kismet die ssid eben durch den Traffic rauslesen kann.

    asterix
    [SIZE=1]Ich mache viele Klammern fest, an allem was sich klammern lässt: 09-f9-11-02-9d-74-e3-5b-d8-41-56-c5-63-56-88-c0
    Freunde: idefix, NoName, Feuerstein, THXQ[/SIZE][SIZE=1], tischler[/SIZE]
  • das es kein Netzwerk-Adapter ist!

    @ topic:
    airodump (v 0.3) zeigt auch hidden SSid's an! Habs selbst getestet, da auch mein Netzwerk verstekt ist... er findet es!

    mfg Undeath
    "General, der Mensch ist sehr brauchbar. Er kann fliegen und er kann töten.
    Aber er hat einen Fehler: Er kann denken." - Brecht
    I Don't smoke, I don't drink, I don't fuck! At least I can fucking think!
  • herausfinden welche bezeichnung DEIN Adapter bekommen hat.

    mfg Undeath
    "General, der Mensch ist sehr brauchbar. Er kann fliegen und er kann töten.
    Aber er hat einen Fehler: Er kann denken." - Brecht
    I Don't smoke, I don't drink, I don't fuck! At least I can fucking think!
  • wie kann man aireplay schleudern?
    und welche MAC Adresse meine oder MAC_DES_CLIENT?

    UOTE]Als Standard-Attake (wir warten bis ein ARP kommt, dann schleudern wir diesen Tausende-mal raus):
    ALT+F2 oder einen neuen Reiter öffnen:

    aireplay-ng --arp -b [MAC_DES_AP] -h [MAC_DES_CLIENT] ath0
    [/QUOTE]

    wie lange braucht airodump damit die Name Anzeigt?
    wie hast du herraus gefunden?

    airodump (v 0.3) zeigt auch hidden SSid's an! Habs selbst getestet, da auch mein Netzwerk verstekt ist... er findet es!


    ich danke dir

    //edit: Hier gibt es eine Editierfunktion!!!
    Keine Doppelposts bitte! Bitte RULES lesen!
    mfg...
    Imperator
  • WEP knacken mit Linux und aircrack

    Hallo asterix,

    vielen Dank für die Anleitung. Habe schon lange nach einer solchen Anleitung gesucht. Werde nun mal testen, ob ich das auch hin bekomme.

    Gruß monolog100
  • in welche Format ist, dass man von welchem Format man in ASCI umwandeln kann? hex oder und gibts ein Tools?
    danke

    Aircrack errechnet ihn wenn du genug IV's zusammen hast, dann kommt Key found gefolgt vom zu verwendenden Key.
    Diesen kannst du dann in ASCii umwandeln - zum Hacken ins Wlan wird er aber schon "passend" angegeben.
  • ich nehme an, dass es HEX ist.
    Und da gibts ja einige Tools für HEX -> ASCII
    "General, der Mensch ist sehr brauchbar. Er kann fliegen und er kann töten.
    Aber er hat einen Fehler: Er kann denken." - Brecht
    I Don't smoke, I don't drink, I don't fuck! At least I can fucking think!
  • Hallo

    Habe 2 PCs. Einer hat eine Prism Karte und der andere eine Intel(R) PRO/Wireless 3945ABG ... Karte.

    Kann ich mit Hilfe von Backtrack2 einen WEPkey herausfinden oder benötige ich besondere Treiber oder Ähnliches?
  • soweit ich weiß werden Inter-Chipsätze nicht supported...

    Model
    Netgear WAG511
    SMC 2336A-AG
    Orinoco Gold 8480WD
    Cisco CB21AG
    3Com 3CRPAG175

    Third-Party Applications
    WildPackets absolutely does not support use of our proprietary drivers in any applications other than OmniPeek and AiroPeek

    USB Wireless Adapter Support
    We do not support any USB wireless adapters at this time. USB card support is under consideration for a future product release.

    Intel Centrino
    OmniPeek 4.1 natively supports WLAN adapters that utilize the Centrino 3945 chipset. A custom driver is not needed for these adapters as the application will automatically recognize the adapter.


    Das sagt Wildpackets und airckrack arbeitet mit den gleichen Treibern.

    mfg Undeath
    "General, der Mensch ist sehr brauchbar. Er kann fliegen und er kann töten.
    Aber er hat einen Fehler: Er kann denken." - Brecht
    I Don't smoke, I don't drink, I don't fuck! At least I can fucking think!