A travers cet exercice, nous allons voir comme il est aisé de cracker un réseau wifi encrypté en WEP avec la suite aircrack-ng.
1/ Introduction, explications préliminaires
Pour cet exemple, nous allons cracker une Livebox
utilisant le WEP. La méthode de crack est la meme sur toutes les box en
WEP. Pré-requis:
-Procurez vous un live cd de Backtrack 2 ou Backtrack 3 (distribution Linux live cd disponible au téléchargement sur le site de remote exploit). Si vous utilisez déja un système d'exploitation Linux, vous pouvez télécharger la suite aircrack-ng sur aircrack-ng.org.
-Lisez l'introduction du tutoriel Crack de clé WPA afin de vous familiariser avec l'environnement Linux
-Assurez vous que vous disposez d'une carte wifi compatible mode monitor et injection
Bootez votre ordinateur avec le live cd de Backtrack.
Une fois sur le bureau, passez en clavier azerty français, et ouvrez un
shell de commande. C'est parti...
2/ Airodump-ng, découverte des réseaux wifi
Commencez par passer votre carte wifi en mode monitor
afin de pouvoir écouter les réseaux wifi environnants. La commande
iwconfig vous renseigne sur les interfaces wifi. Dans notre exemple,
nous utilisons une carte alfa 500 AWUS036H. La commande permettant de
basculer la carte en mode monitor est:
airmon-ng start wlan0
Nous allons lancer airodump-ng, le programme qui permet
de surveiller les réseaux wifi. Airodump-ng est assez simple
d'utilisation. Usage: airodump-ng <options> <interface>. La
commande à lancer sera donc airodump-ng vos-options
votre-interface-wifi. Airodump-ng offre une multitude d'options et de
filtres afin de cibler ce que l'on souhaite surveiller. Options
airodump-ng:
-w permet de créer un fichier de capture dans lequel
seront enregistrés tous les paquets. Exemple: airodump-ng -w out wlan0
(un fichier de capture nommé out sera créé, le premier fichier
s'appellera out-01.cap, le 2ème out-02.cap etc...)
--encrypt permet de filtrer les réseaux en fonction du
type d'encryption utilisé. Exemple: airodump-ng --encrypt wep wlan0
(seuls les réseaux en WEP seront affichés)
-c permet de cibler l'écoute sur un canal wifi
particulier. Exemple: airodump-ng -c 1 wlan0 (airodump-ng n'écoutera que
le canal 1)
--bssid permet de ne cibler qu'un seul point d'accès en
fonction de son adresse mac. Exemple: airodump-ng --bssid
00:16:41:C9:E0:3F wlan0 (airodump-ng ne surveillera que le point d'accès
dont l'adresse mac est 00:16:41:C9:E0:3F)
Nous allons commencer par surveiller les réseaux encryptés en wep, avec la commande
airodump-ng --encrypt wep wlan0
Le réseau dont l'essid (essid = nom du réseau wifi) est
Livebox-a1b2 sera notre cible pour cet exemple. Sous airodump-ng, les
points d'accès sont affichés en haut, et les stations (ordinateurs
connectés) sont affichés en bas. On peut voir qu'un ordinateur est
connecté au réseau Livebox-a1b2 dont l'adresse mac est
00:16:41:C9:E0:3F. Un réseau en WEP, une station connectée, les
conditions sont réunies pour cracker le réseau. On stoppe airodump en
faisant ctrl + c dans le shell, et on le relance en créant un fichier de
capture et en ciblant le réseau Livebox-a1b2
airodump-ng -w out -c 10 --bssid 00:16:41:C9:E0:3F wlan0
Et voici le résultat:
On voit qu'airodump-ng surveille excusivement notre
réseau cible. En bas, l'ordinateur connecté à la Livebox. La colonne
"rxq" indique la qualité du signal radio (entre 0 et 100), ici avec un
rxq à 100 le signal est excellent et le crack devait se dérouler dans
les meilleures conditions. En naviguant sous konkeror dans le dossier
depuis lequel nous avons lancé airodump-ng, nous pouvons voir les 2
fichiers créés: out-01.cap (le fichier de capture contenant les paquets)
et out-01.txt (un fichier log contenant toutes les informations
concernant les essids, adresses mac des points d'accès, stations etc...
contenus dans le fichier de capture).
Ouvrons un nouveau shell de commande et passons à la suite.
3/ Aireplay-ng -1, l'association au point d'accès
Nous allons utiliser aireplay-ng pour vérifier si nous
pouvons nous associer au point d'accès. Ici, les conditions sont
optimales pour le crack: le signal est excellent et un client est
connecté au point d'accès. Si le signal était moins bon, nous pourrions
avoir des difficultés à nous associer au point d'accès. Il est judicieux
de tenter une association avant de se lancer dans l'injection de
paquet. Cela permet de voir si la connectivité est bonne, et cela peut
aussi permettre de savoir si un point d'accès utilise le filtrage par
adresse mac. Petite explication sur le filtrage mac:
Certaines box n'autorisent à s'associer que les clients
figurant dans leur liste de clients autorisés. Pour résumer, si vous
n'avez pas une adresse mac valide vous ne pourrez pas communiquer avec
le point d'accès, ce qui rendra le crack et la connection impossible.
Sachez que le filtrage mac est activé par défaut sur les Livebox, mais
il est désactivé par défaut sur les routeurs Tecom (Club Internet).
Connaitre les règlages par défaut des box permet bien souvent de savoir à
l'avance si un filtrage mac est activé ou pas.
La commande pour s'associer au point d'accès est:
aireplay-ng <options> <replay interface>
Les différentes attaques de aireplay-ng sont:
--deauth count : deauthenticate 1 or all stations (-0)
--fakeauth delay : fake authentication with AP (-1)
--interactive : interactive frame selection (-2)
--arpreplay : standard ARP-request replay (-3)
--chopchop : decrypt/chopchop WEP packet (-4)
--fragment : generates valid keystream (-5)
--caffe-latte : query a client for new IVs (-6)
--cfrag : fragments against a client (-7)
--test : tests injection and quality (-9)
--fakeauth delay : fake authentication with AP (-1)
--interactive : interactive frame selection (-2)
--arpreplay : standard ARP-request replay (-3)
--chopchop : decrypt/chopchop WEP packet (-4)
--fragment : generates valid keystream (-5)
--caffe-latte : query a client for new IVs (-6)
--cfrag : fragments against a client (-7)
--test : tests injection and quality (-9)
Notre commande pour l'attaque -1 fakeauth (association & authentification) sera:
aireplay-ng -1 0 -e Livebox-a1b2 -a 00:16:41:C9:E0:3F -b 00:16:41:C9:E0:3F -h 00:12:F0:6F:ED:38 wlan0
Livebox-a1b2: essid (nom du réseau wifi)
00:16:41:C9:E0:3F: adresse mac du point d'accès
00:12:F0:6F:ED:38: adresse mac du client ("station" sous airodump-ng)
wlan0: notre interface wifi
On peut voir qu'avant d'envoyer les paquets
d'association au point d'accès, aireplay-ng a remplacé l'adresse mac de
notre carte wifi par celle spécifiée dans le paramètre -h (celle de la
station) afin que nous puissions communiquer avec le point d'accès.
L'association a été immédiate, le message "association successfull :-)"
confirme le succès de l'opération.
4/ Aireplay-ng -3, l'attaque par rejeu d'arp (injection de paquets)
Nous allons maintenant lancer l'attaque aireplay-ng -3
(attaque par rejeu d'arp). Les anciennes versions de la suite
aircrack-ng permettaient de cracker une clé WEP avec 1 millions d'Ivs,
entre la capture, l'injection et le crack il fallait bien souvent pas
loin d'une heure pour cracker le réseau. La version actuelle de la suite
aircrack-ng utilise l'algorithme "PTW" qui permet de cracker un réseau
WEP 128 bits avec à peine 45000 datas. Cependant, l'algoritme PTW
n'utilise pas les Ivs, mais les arp pour le crack. C'est la raison pour
laquelle l'attaque par rejeu d'arp est la solution la plus performante
et la plus rapide pour cracker une clé WEP.
Notre commande pour l'attaque -3 standard ARP-request replay (rejeu d'arp) sera:
aireplay-ng -3 -e Livebox-a1b2 -a 00:16:41:C9:E0:3F -b 00:16:41:C9:E0:3F -h 00:12:F0:6F:ED:38 -x 600 -r out-01.cap wlan0
Livebox-a1b2: essid (nom du réseau wifi)
00:16:41:C9:E0:3F: adresse mac du point d'accès
00:12:F0:6F:ED:38: adresse mac du client ("station" sous airodump-ng)
600: nombre de paquets par secondes qui seront injectés (à règler en fonction de la qualité du signal wifi)
out-01.cap: notre fichier de capture airodump-ng
wlan0: notre interface wifi
Une fois l'attaque lancée, on peut voir en bas le nombre
d'arp requests (requetes arp) contenus dans notre fichier de capture. A
partir de 40000 arp, il est possible de cracker une clé WEP 128 bits.
Les requetes arp sont également sauvegardées dans un
fichier appelé replay-arp-date-heure.cap. On peut voir qu'aireplay-ng
vient de créer ce fichier:
Retournons dans notre shell airodump-ng pour découvrir ce qu'il se passe. On peut y voir les effets de notre attaque:
-La colonne "Data" augmente, ce qui signifie que le fichier de capture contient des Ivs.
-La colonne "#/s" indique 167, ce qui signifie que nous captons 167 datas/seconde
Quelques minutes de patience s'imposent, une fois que
les datas et arp commencent à atteindre un nombre intéressant (10000 arp
pour une clé WEP 64 bits, 40000 arp pour une clé WEP 128 bits) nous
pouvons ouvrir un nouveau shell et lancer aircrack-ng pour cracker la
clé WEP du réseau.
5/ Aircrack-ng, comment cracker une clé WEP en quelques minutes
Aircrack-ng est très simple d'utilisation. usage: aircrack-ng [options] <.cap / .ivs file(s)>
En tapant aircrack-ng dans le shell vous découvrirez les
différentes options disponibles. Pour ce type de crack, la commande est
basique:
aircrack-ng nom-du-fichier-de-capture
Dans notre exemple:
aircrack-ng out-01.cap
Aircrack-ng se lance et se met au travail:
Assez rapidement (on peut le voir sur le compteur, ici cela n'a pris que 3 minutes)...
Ce tutoriel explique et démontre la vulnérabilité des
réseaux wifi encryptés en WEP. On ne le répètera jamais assez, le WEP
c'est périmé, passez au WPA!
tuto offer par BENNESTA. LE PRINCE DU HACK
Merci pour votre blog.
RépondreSupprimerS'it vous plait, comment pirater Wifi sous Windows avec ce genre de logciel ?