Ich habe absichtlich bei diesem Beitrag das Präfix Diskussion gewählt, da dies keine 1:1-Anleitung werden soll, die man blind abschreiben kann um WEPs zu hacken. (Das werdet ihr weiter unten merken)
Ich habe mich sehr lange damit beschäftigt und habe mir sozusagen ein Basiswissen aufgebaut. Ihr könnt mich gerne hier in dieser Diskussion fragen aller Art zu diesem Thema stellen.
Gut, dann kanns losgehen:
Es gibt viele Anleitungen im Netz wie sowas funktioniert. Die meisten Benutzer fangen dann mal an alles abzutippen was da so steht und dann klappts nicht - natürlich nicht, denn jede Hardware funktioniert anders.
Hardware ist gleich das erste Stichwort. Um einen WEP knacken zu können brauchen wir mal eine passende Hardware. Mit dieser muss es möglich sein, in den Monitor-Mode wechseln zu können. Dieser Monitor Mode kann man ruhig als "stiller Genießer" bezeichnen. Er fängt alles was so im Äther auf einer bestimmten Frequenz rumschwirrt auf und schreibt es in ein File. Weiters kann man danch Pakete auch absenden (mit komplett anderen Daten als den eigenen, um dem Access-Point falsche Daten vorzugaukeln).
Welche Karten unterstützt werden und welche nicht kann man leicht herausfinden. Es gibt da so eine Liste (ich find die grade nicht, ich reiche sie später nach) wo steht, welche Chipsätze unterstützt werden. Der Befehl "lspci" ist meist nützlich zum herausfinden der Karte. Später mehr dazu.
In meinem Fall, ich habe einen Atheros-Chipsatz, kann ich den Madwifi-Treiber benutzen. Und auf diesem ist diese "Diskussion" auch zugeschnitten.
Weiters müsst ihr jetzt nicht unbedingt ein Linux installieren, nehmt einfach eine Live-Version wie Knoppix oder ähnliches. Es gibt da eine feine Software, auf der bereits alle benötigten Treiber vorhanden sind und man nur noch loselegen muss - Backtrack
Ich benutze immer noch Version 1.0 - warte noch auf die Final vom 2.0
Es besteht auch die Möglichkeit das ganze Spiel unter Windows laufen zu lassen - nur ohne Paket injection. Es ist vom ablauf ähnlich, nur ohne Paket injection und ohne wichtige andere Spielereien (tcpdump). Ich werde nicht weiter darauf eingehen, bitte stellt auch keine Fragen dazu.
So, nach dem starten und einloggen startet man als allererstes mal eine bash.
Achja, nebenbei angemerkt, jeder sollte primitivste Linux-Grundkenntnisse haben. Fragt mich ruhig wenn etwas unklar ist (auch wenns nur das wechslen in ein andere Directory ist). Man sollte halt doch wissen, was eine man-page ist oder wie man die Hilfe zu einem Befehl aufruft.
Die bash ruft man auf, wenn man unter kde das 2. Symbol links unten im kicker (die taskleiste) anklickt oder Alt + F2 drückt und z.B. xterm eingibt.
Als erstes ändern wir mal, aus selbstschutz die MAC-Adresse. Das kann man mit ifconfig machen oder mit einem praktischen Tool, das auf der BackTrack drauf ist: macchanger.
Man gebe ein:
macchanger -m 00:11:22:33:44:55 ath0
Nach der option -m steht die MAC, die Ihr fälschen wollt, und ath0 ist die WLAN-Device.
So, dann suchen wir uns mal einen AP (AccessPoint):
Alt + F2: start-kismet
Es wird nach einer Directory verlangt, wohin Kismet daten speichern soll, gebt irgendeinen Ornder an, z.B. /root und mit JA bzw. OK bestätigen.
Uns interessiert folgendes:
Name: asterix
Ch: 001
W: Y
Bedeutet: Die SSID, der Name des AP ist asterix (oh, welch wunder), funkt auf Kanal 1 und benutzt WEP.
Ihr werdet feststellen, dass man mit den Corsor-Tasten wenig anfangen kann, es kommt die Meldung: Cannot scroll in autofit sort mode. Sort by a different method. Drückt dann mal s und dann c, so sortieren wir das ganze nach Kanal.
Drückt dann mal Enter auf dem AP und ihr erhällt weitere Infos. Beendet das fenster mit q und Kismet mit Q (Achtung, Case-Sensitive [Groß/Klein schreibung beachten])
Nun, nach dieser Tat werfen wir mal den Monitor-Mode an. Das geht am besten mit dem airmon-Skript:
airmon-ng start ath0 1
Nach airmon-ng wird angegeben, dass der Monitor-Moder aktiviert wird, wieder die Device ath0 ist und die 1 schreiben wir für den Kanal hin, haben wir ja durch Kismet herausgefunden.
Das ist schonmal viel Wert. Jetzt starten wir Airodump. Dieses Tool speichert die Daten, damit wir sie danach bei aircrack durchlaufen lassen können.
Man tippe: airodump-ng --ivs -w out -c 1 ath0
Bedeutet:
--ivs: Wir speichern nur das, was wir brauchen
-w out: Wir speichern in das file out
-c 1: Der Kanal
ath0: Ohne Worte
So, unter BSSID steht die MAC-Adresse, die kopiert Ihr am geschiktesten mal raus. Drückt STRG+C, scrollt nach oben, markiert, rechtsklickt, kopieren. Mit STRG+Copy geht das nicht.
So, das lasst mal in der Zwischenablage, das brauchma später.
PWR gibt dir die Leistung an. Was da ausgegeben wird hängt vom Treiber ab. Sollte -1 stehen bedeutet das, dass der Treiber keine Angabe über die Empfangsleistung ausgibt. Aber es ist zu bemerken, dass je näher man am AP dabei steht, desto größer ist diese Zahl. In diesem Fall ist der AP etwa 15 cm von meiner WLAN-Antenne entfernt.
Beacons brauchen uns nicht weiter zu interessieren. Es sind angekündigte Pakete vom AP und der sendet je nach Geschwindigkeit etwa 10 Pakete pro Sekunde. Wenn da was rattert bedeutet das, ihr habt Empfang und mehr wollen wir auch nicht.
#DATA hingegen ist die wichtigste Zahl in diesem Fenster. Wenn man "genügend" hat, startet man aircrack. Genügend hängt vom verwendeten Schlüssel ab und wieviele Bits der Schlüssel hat. Typisch sind 64 oder 128. So typische Werte sind 400.000 bei 64 bit und 800.000 bei 128 bit. Das sind aber nur Leitwerte, es können viele mehr sein...
CH, der Kanal wo gefunkt wird
MB, die Geschwindigkeit
ENC, WEP, erklärt sich von selbst
und zuletzt ESSID, der Name des AP
Im unteren Teil stehen dann die Clients die am AP eingeloggt sind, die brauchen wir später. Hier ist z.B. niemand eingeloggt.
Gut, jetzt könnten wir mal einen Tee trinken gehen und die Zahl hochrattern lassen, aber das würde, bei einem Netzwerk mit wenig Traffic etwa 1024 Jahre dauern (wirklich solange!) oder man benutzt aireplay.
Was diese IVS sind und was ARP ist, blablabla, das werd ich hier nicht weiter erläutern, ich glaube, jeder der sich damit ernsthaft auseinander gesetzt hat weiß das. Aber wenn jemand nicht, soll er hier in dieser Diskussion die Frage stellen. (Oder sich trauen diese zu stellen *gg*! Nein, bitte fragt nur was nicht klar ist)
Oke, der Einsatz von aireplay ist SEHR vielfältig, deshalb werd ich hier nur kurz die wichtigsten Schritte rauspicken und diese Kurz erläutern.
Aireplay mit mindestens einem Client:
Warum ist dieser wichtig: Dieser ist in Kontakt mit dem AP und wir können ihn missbrauchen um an einen ARP zu kommen.
Ich will hier nicht lange um den Brei schreiben, hier muss echt jeder selbst ausprobieren wo und wie der Hase läuft.
Als Standard-Attake (wir warten bis ein ARP kommt, dann schleudern wir diesen Tausende-mal raus):
ALT+F2 oder einen neuen Reiter öffnen:
aireplay-ng --arp -b [MAC_DES_AP] -h [MAC_DES_CLIENT] ath0
Sobald dieser dann einen ARP sendet fangen wir diesen auf und senden diesen raus. Geht dann zurück zum airodump und staunt wie die IVS langsam steigen.
Wenns nicht funktioniert, müsst ihr nochmal starten und hoffen dass es klappt. (STRG+C zum abbrechen). Wenn ihr dann mal ein bisserl Erfahrung habt, probiert mal die anderen Optionen aus wie --deauth oder --interactive.
Aireplay ohne Client
Hier spreche ich nun ein heikles Thema an... Es ist prinzipiell gefinkelt sowas anzustellen, aber möglich. Man muss nur hartnäckig sein. Es ist auch nicht bei jedem AP möglich. Ich hab z.B. bei meinem WRT54G mit der original Firmware ohne Probleme den WEP ohne Client gehackt aber seit ich dd-wrt draufhab gehts nicht mehr...
Nun gut:
Wir loggen eine Fake-Client ein:
aireplay --fake 10 -e [SSID_DES_AP] -a [MAC_DES_AP] -h [MAC_DES_FAKECLIENT] ath0
Das heißt jetzt, dass wir alle 10 Sekunden den Client erneut einloggen. Einloggen ist um es laienhaft auszudrücken, eine Vorstufe des richtigen anmeldens mit WEP und so. Man sagt einfach ganz freundlich "Hallo Kumpel, ich bin da"
-e würde bei mir asterix lauten, -a die MAC des Kumpels und -h 00:11:22:33:44:55
und wer ath0 immer noch nicht verstanden hat, dem wird die Lebensberechtigungskarte entzogen.
Dann werfen wir chopcop an:
aireplay -4 -b [MAC_DES_AP] -h [MAC_DES_FAKECLIENT] ath0
Da rattert dann etwas runter und es steht, wie der Dateiname der beiden Files lautet.
Starten wir tcpdump:
tcpdump -s 0 -n -e -r replay_dec-XXXX-XXXXXX.cap
Was das alles genau bedeutet, und was wir da machen, bitte in der man-page nachlesen.
Da kommen dann IP-Adressen raus. Ich hab schonmal erlebt, dass folgende IP gekommen ist: 172.16.16.1.1
Das ist wie jeder sehen kann keine gültige IP, aber was da gemeint ist kann sich jeder denken. Zumindest sollte man sich auch auf solche Ausgaben einstellen.
Dann arpforgen:
arpforge replay_dec-XXXX-XXXXXX.xor 1 [MAC_DES_AP] [MAC_DES_FAKECLIENT] [ERSTE_IP] [ZWEITE_IP meinallerersterarp.cap]
Die IPs bekommt ihr vom Output von tcpdump.
Dann eine Standard-ARP-Attacke starten:
aireplay --arp -a [MAC_DES_AP] -h [MAC_DES_FAKECLIENT] ath0
und dann noch den eben erstellten, selbstgebastelten ARP raussenden:
aireplay --inter -r meinallerersterarp.cap ath0
Das sollte dann funktionieren und die Zahl bei #DATA steigt ins Unendlich:)
Wenn man dann so seine Abertausende IVS zusammenhat (Das dauert ohne aireplay ganz genau 1024 Jahr und mit aireplay etwa 5 bis 15 Minuten)
ALT+F2, xterm oder konsole oder neuer Reiter oder was auch immer...
Dann
aircrack-ng -a 1 -e [SSID_DES_AP] -b [MAC_DES_AP] -n 64 out-*.ivs
Das Sternderl is eine Wildcard und inkludiert alle Dateinamen mit dem Beginn out-. airodump erzeugt nämlich kleinere einzellne Files. Man kann aircrack ruhig parallel zu airodump und tu aireplay benutzen, die IVS werden alle automatisch aktualisiert.
Nagut, das wars, Ziel erreicht.
Hier noch ein Link, die ihr unbedingt beachten solltet, es werden sicher 80% der Fragen zur aircrack-suite beantwortet: aircrack-ng.org/
Wenn jetzt noch Fragen sind, egal welcher natur, stellt sie nur (UND DAS REIMT SICH SOGAR!)
asterix
[SIZE=1]Ich mache viele Klammern fest, an allem was sich klammern lässt: 09-f9-11-02-9d-74-e3-5b-d8-41-56-c5-63-56-88-c0
Freunde: idefix, NoName, Feuerstein, THXQ[/SIZE][SIZE=1], tischler[/SIZE]
Freunde: idefix, NoName, Feuerstein, THXQ[/SIZE][SIZE=1], tischler[/SIZE]
