ENACH_2013

download ENACH_2013

of 70

Transcript of ENACH_2013

  • 7/22/2019 ENACH_2013

    1/70

    Ataques redes WirelessAtaques Infra-estrutura:

    Negao de Servio (DoS)

    WarDriving (deteco passiva/ativa)

    Ataques de criptoanlise/fora-bruta:

    Decriptao de IVS no WEP (Wep Cracking)

    Bruteforce em handhshakes WPA

    Ataques ao usurio Wi-Fi:

    Rogue Access Point

    DNS Spoofing

    Ataque MITM

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    2/70

    Ataques Denial of Service (DoS)

    Designados para prevenir que um dispositivorealize a sua funo

    Ataques DoS so comuns em redes cabeadas

    Ataque SYN floodO cliente envia ao servidor um flag SYNServidor responde ao cliente com um ACKE aguarda uma resposta

    O atacante nunca responde O servidor fica sem recursos e interrompe o seu

    funcionamento.

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    3/70

    Ataques Denial of Service (DoS)

    Ataques DoS no Wireless

    Negam o acesso de dispositivos wi-fi ao AP

    Categorias

    Ataques da camada fsicaAtaques da camada MAC

    Ataques da camada fsica

    Inunda o espectro com interfernciaeletromagntica para impedir que dispositivo secomunique com o AP

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    4/70

    Ataques Denial of Service (DoS)

    Ataques da camada fsica (continuao)Esse ataque geralmente raro devido ao alto

    custo dos equipamentos necessrios

    possvel identificar o local do transmissorOutros dispositivos que usam a banda de 2.4Ghz

    Telefones sem fio

    Micro-OndasBabs eletrnicasDispositivos PAN Bluetooth

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    5/70

    Ataques Denial of Service (DoS)

    Ataques da camada MACO meio wireless compartilhada entre todosCarrier Sense Multiple Access with Collision Avoidance (CSMA/CA)

    Tenta prevenir que muitos dispositivos wireless transmitam aomesmo tempoUsa slots de tempo e frames de resposta

    Slot de tempoTempo que o dispositivo deve aguardar at o meio estar livre

    Frame de respostaUm frame ACK frame enviado para o dispositivo

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    6/70

    Ataques Denial of Service (DoS)

    Ataques da camada MACUm atacante que j se associou a rede WLAN pode fazer umdownload de um arquivo muito grande

    Isso vai literalmente amarrar a redeGerador de pacotes

    Cria pacotes falsos e inunda a rede wireless

    Atacante envia frames de desassociao aos dispositivosWireless

    Dispositivo ser desassociado do Access Point

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    7/70

    Wireless Hacking no BackTrack 5

    Hands-on

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    8/70

    Dicionrios Crunch

    http://wordlist.sourceforge.net# /pentest/password/crunch/crunch 6 121234567890 -o /tmp/wordlist-numerica.txt =

    wordlist simples

    # /pentest/password/crunch/crunch 10 10

    1234567890 -t jose@@@@ -o /tmp/wordlist-jose.txt

    = wordlist com string fixa

    UnetbutingHavij LCP - ophcrackAdonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    9/70

    John

    # john --test = verificar a capacidade de nossa maquina emlidar com criptografia;

    # cp /etc/shadow /home/password.txt = criar um arquivo

    de texto com hashes de senhas;

    # john /home/password.txt = descubra as senhas dentro doarquivo;

    #./john -show -users:adonel /etc/shadow = para exibir a senha ou #./john -show -users:adonel /etc/shadow = para exibir a

    senha do adonel

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    10/70

    URLs http://www.passwordmeter.com ! Checar senha

    https://www.microsoft.com/pt-br/security/pc-security/password-checker.aspx ! checar senha

    http://howsecureismypassword.net/

    http://password-checker.online-domain-tools.com/ https://www.grc.com/haystack.htm

    https://lastpass.com/linkedin/

    http://howto.cnet.com/8301-11310_39-20069069-285/how-to-check-the-strength-of-your-passwords/

    http://rumkin.com/tools/password/passchk.php

    http://labs.sucuri.net/?yahooleak

    http://www.fabianosantana.com.br/seguranca/192-password

    http://www.red-database-security.com/software/checkpwd.html http://search.cpan.org/~chisel/Data-Password-Check-0.08/lib/Data/Password/Check.pm

    http://www.ibm.com/developerworks/lotus/library/ls-password_checking/

    http://lifehacker.com/5577396/find-out-how-long-it-would-take-to-crack-your-password-at-how-secure-is-my-password

    https://lastpass.com/eharmony/

    http://www.digitaltrends.com/web/how-to-check-if-your-linkedin-or-eharmony-password-was-leaked/

    http://www.everpassword.com/password-strength-checker

    https://tech.dropbox.com/2012/04/zxcvbn-realistic-password-strength-estimation/

    http://www.petefinnigan.com/default/default_password_checker.htm

    http://www.defaultpassword.com/

    http://mail-blacklist-checker.online-domain-tools.com/ ! checar email blacklist

    http://www.password-crackers.com/

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    11/70

    Adaptadores wi-fi no BackTrack

    Os adaptadores wi-fi no BackTrack soidentificados pela sequncia: wlan0, wlan1,wlan2, etc...

    Para poder utilizar as tcnicas de Wi-Fi Hacking necessrio que o adaptador suporte o modo demonitorao. Nem todos os adaptadores

    suportam operar dessa forma. Normalmente,prefira um adaptador com o chipset Atheros ouRealtek e no ter problemas.

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    12/70

    Checando o status do adaptador Wi-fi

    Use o comando ifconfig wlan para verificar o

    status do adaptador wireless.

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    13/70

    Iniciando a interface Wireless wlan0

    Para inici-lo utilize ifconfig wlan0 up. Casoocorreram erros verifique se o adaptadorwireless foi corretamente reconhecido.

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    14/70

    Air-ngA sute de utilitrio air*-ng possui diversos softwares para deteco e ataques

    Access Points e clientes wi-fi. Vamos conhecer os principais softwares eposteriormente veremos a utilizao dos mesmos:

    Airmon-ng Coloca a placa de rede no modo monitorao. Isso essencialpara poder capturar o trfego das redes wi-fi sem estar conectado nasmesmas.

    Airodump-ng Monitora o espectro wi-fi e captura pacotes para um arquivoespecificado pelo usurio.

    Aireplay-ng Injeta pacotes falsificados em uma rede wi-fi, permite falsificarautenticaes e desassociar usurios legtimos.

    Airbase-ng Permite criar um Access Point simulado para realizar de ataquesde captura de chaves e MITM contra dispositivos clientes

    Aircrack-ng Permite tentar quebrar/decodificar a chave de criptografia WEPou WPA capturada atravs do airodump-ng

    Airdecap-ng Permite decodificar pacotes criptografados fornecendo oarquivo de captura de pacotes e a chave de criptografia

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    15/70

    Primeiro passo: usar airmon-ng

    Para iniciar o modo de monitorao noadaptador wlan0 e criar a interface mon0utilize o comando airmon-ng start wlan0

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    16/70

    Verificando status interface mon0

    Com o comando ifconfig verifique se a interfacemon0 foi adequadamente criada

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    17/70

    Checando as configuraes do Wi-Fi

    O comando iwconfig permite verificar emodificar as configuraes dos dispositivoswireless (ex: canal, taxa de transferncia, etc)

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    18/70

    Exemplo: Mudando o canal em mon0

    Para mudar mon0 para o canal 11, digite:iwconfig mon0 channel 11

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    19/70

    Redes Ocultas (Hidden ESSID)

    Mesmo que uma rede esteja oculta podemos detectar suapresena ao monitorar os probes dos dispositivos clientesno Wireshark. Isso s possvel no modo de monitorao

    com a interface mon0. Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno

    d

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    20/70

    Airodump-ngPermite monitorar redes wireless e capturar pacotes para serem

    analisados posteriormente. Consegue detectar Access Points

    em qualquer canal, detectando o tipo de criptografia utilizadae at os clientes no-associados que estejam tentando selogar. Sintaxe bsica: airodump-ng

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    21/70

    Airodump-ng

    Sintaxe: airodump-ng

    Opes:--channel canal ->Especifica o canal de operao-w arquivo -> Salva os pacotes capturados em um arquivo.

    Mesmo que a opowrite.

    --encrypt tipo -> Filtra APs por tipo de criptografia--bssid MAC -> Filtra APs pelo BSSID do AP-a Filtra clientes desassociados -> Especifica o canal de

    operao

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    22/70

    Airbase-ng

    Permite criar um AP simulado e receberconexes de clientes wi-fi.

    Sintaxe bsica: airbase-ng < interface>

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    23/70

    Airbase-ng

    Opes:

    -a bssid -> Especifica o MAC do Access Point-a essid -> Especifica o ESSID do Access Point (nome da rede)-i interface -> Interface que ter seus pacotes capturados-w chave_wep -> use essa chave wep para criptografar/descriptografar pacotes

    -h MAC -> Usado em ataques de MITM (MAC de origem)-W 0|1 -> Habilita (1) ou Desabilita (0) uso do WEP-z tipo -> Configura WPA1 . 1=WEP40, 2=TKIP, 3=WRAP, 4=CCMP, 5=WEP104-Z tipo -> Configura WPA2. Mesmas opes do WPA1.-C segundos -> Habilita beaconing dos ESSIDs detectados com a opoP -v -> Modo verbose (mostra mais informaes)

    -c -> Configura o canal que o AP est funcionando -X -> Coloca o AP com seu ESSID oculto -P -> Responde a todas as requisies -L -> Habilita o ataque Caffe Latte do WEP

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    24/70

    Aireplay-ng

    O Aireplay-ng permite injetar pacotes em uma rede wi-fi, tentarautenticao em APs, e desassociar clientes conectados, entreoutras coisas. Sintaxe: aireplay-ng

    Opes:

    Modo filtro:-b bssid -> Especifica o MAC do Access Point

    -d dmac -> Especifica o MAC de destino

    -s smac -> Especifica o MAC de origem

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    25/70

    Aireplay-ngModo replay:

    -a bssid -> Especifica o MAC do Access Point-c dmac -> Especifica o MAC de destino

    -h smac -> Especifica o MAC de origem

    -x num -> Nmero de pacotes por segundo

    Modo ataque:

    --deauth num -> Desassocia 1 ou todas (0) as estaes (opo 0) --fakeauth atraso ->Finge autenticao com o AP (opo 1)

    --arpreplay -> Injeta pacotes ARP na rede wi-fi (opo 3)

    --caffe-latte -> Pede a um cliente mais IVs (opo 6)

    Opes do ataque Fakeauth:

    -e essid -> Especifica o ESSID do Access Point-o num -> Nmero de pacote por burst (0=auto, padro=1)

    -q seg -> Segundos entre keep-alives

    -Q-> Enviar pedidos de reassociao -y prga -> Chave para autenticao (capturadavia airodump-ng)

    -T num -> Interrompe aps n tentativas de autenticao

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    26/70

    Ataques criptografia: WEP

    As vulnerabilidades so baseadas em como o WEP e acifra RC4 so implementados

    WEP s pode utilizar uma chave de 64 ou 128 bitsVetor de inicializao(IV) de 24 bits e uma chave

    padro de 40 ou 104 bitsTamanho relativamente pequeno da chave limita asua fora

    Implementao do WEP cria um padro que pode ser

    detectado por atacantesIVs so nmeros de 24 bitsIVs comeam a se repetir em menos de sete horas

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    27/70

    Vulnerabilidades do WEP

    Implementao do WEP cria um padro que podeser detectado por atacantes (continuao)

    Alguns sistemas wireless sempre comeam como mesmo IV

    ColisoDois pacotes criptografados com o mesmo IV

    Ataque de deduo de chave

    Determina a chave atravs da anlise de doispacotes que se colidiram (mesmo IV)

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    28/70

    Vulnerabilidades do WEP

    Problemas do RC4O RC4 usa um gerador de nmeros pseudo-randmico

    (PRNG) para criar a chave.PRNG no cria um nmero realmente randmico

    Os primeiros 256 bytes da cifra RC4 podem serdeterminadosPor bytes da prpria chaveO cdigo-fonte do RC4 foi revelado

    Atacantes podem ver como a prpria chave geradaFerramentas de ataque ao WEP

    Aircrack, ChopChop WEP Cracker, WEP Crack e Cain

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    29/70

    Autenticao de Chave Compartilhada

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    30/70

    WEP HackingAirodump

    Primeiramente, usamos o airodump-ng para filtrartodas as redes com criptografia WEP disponveis.No exemplo acima selecionaremos a rede com oESSID carol para realizar o ataque. Airodump-ng --encrypt wep mon0

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    31/70

    WEP Hacking - Airodump

    Na primeira imagem, rodamos o airodump-ng nainterface mon0 filtrando: canal 11, bssid do AP darede carol e salvando o resultado para o arquivochaveWEP. Veja o resultado na segunda imagem.

    Agora, teremos que esperar. O campo Data devecapturar milhares de pacotes IVS para que sejapossvel realizar a decoficao. Tem comoapressar o processo?

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    32/70

    WEP Hacking - Aireplay

    Utilizando o aireplay-ng ns realizamos o ataquecaffe-latte que pedeaos dispositivos conectados rede carol que nos enviem maispacotes IVS. Com isso veja que temos mais de 40000 pacotes nocampo #Data. suficiente para quebrar uma chave de 64 bits WEP.

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    33/70

    WEP Hacking - Aircrack

    Executamos o aircrack-ng com o nome do arquivo que foicapturado pelo airodump-ng. Veja que o nmero de IVS jchegava a 71406. Com isso a chave foi rapidamente

    quebrada. Era porco (?). Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    34/70

    Acesso Protegido Wi-Fi (WPA)

    Padro do 802.11i que cuida tanto da criptografia quanto daautenticao

    Temporal Key Integrity Protocol (TKIP)

    Chaves TKIP so conhecidas como chave por pacoteTKIP dinmicamente gera uma nova chave para cada

    pacote criadoPrevine colises

    Que era justamente uma das fraquezas principais do WEP

    O Servidor de autenticao pode usar o 802.1x para produziruma chave mestra nica para a sesso do usurio

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    35/70

    Acesso Protegido Wi-Fi(WPA)

    TKIP distribui a chave para dispositivos wi-fi e APsConfigurando uma hierarquia de chavesautomatizadas e um sistema de gerenciamento

    WPA substitui a checagem de redundncia cclica (CRC)com a checagem de integridade da mensagem (MIC)

    Designado para prevenir que um atacante capture,altere, e reenvie pacotes de dados

    Utiliza uma funo matemtica forteClientes so desautenticados e novas associaes soimpedidas por um minuto se um erro de MIC ocorrer

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    36/70

    Acesso Protegido Wi-Fi (WPA)

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    37/70

    Acesso Protegido Wi-Fi (WPA)Autenticao WPA

    Cumprida por usar tanto o padro IEEE 802.1x ou tecnologia dechave previamente compartilhada (PSK)

    A autenticao PSK usa uma frase para gerar a chave de criptografia.Funciona como uma senha.

    A frase deve ser previamente inserida em cada Access Point edispositivo Wireless.

    Serve como semente (seed) para gerar matematicamente aschaves de criptografia

    WPA foi elaborado para resolver as vulnerabilidades do WEP com ummnimo de inconvenincia

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    38/70

    Acesso Protegido Wi-Fi 2 (WPA2)

    Segunda gerao da segurana WPA

    Baseado no ltimo padro IEEE 802.11i

    Usa o Advanced Encryption Standard (AES) paracriptografia dos dados

    Suporta autenticao IEEE 802.1x ou tecnologia PSK

    WPA2 permite que ambas as tecnologias AES e TKIPoperem na mesma rede WLAN

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    39/70

    Acesso Protegido Wi-Fi 2 (WPA2)

    Os modelos de segurana da Wi-Fi Alliancebaseados em WPA e WPA2 so:

    WPAPersonal Security (Pessoal)

    WPAEnterprise Security (Empresarial)

    WPA2Personal Security (Pessoal)

    WPA2Enterprise Security (Empresarial)

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    40/70

    Acesso Protegido Wi-Fi 2 (WPA2)

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    41/70

    WPA Hacking Airodump

    Assim como fizemos com o WEP, vamos filtrar noairodump-ng todas as redes que utilizemcriptografia WPA e WPA2 com o comando:airodump-ngencrypt wpa mon0 Vamos escolhera rede com o ESSID EmpresaX para realizar oataque.

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    42/70

    WPA Hacking Airodump

    Tambm da mesma forma filtraremos no airodump-ng: canal6, o bssid da rede EmpresaX e salvaremos o resultado noarquivo chaveWPA. Tudo isso deve ser feito na interfacemon0. Comando:

    airodump-ngc 6bssid 50:CC:F8:85:ED:B2w chaveWPA mon0

    O prximo passo capturar o handshake do WPA. Isso s possvel quando algumcliente se conectar na rede. Podemos acelerar esse processo de autenticandoos usurios com o aireplay

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    43/70

    WPA Hacking Aireplay

    Utilizamos no aireplay o MAC do AP (-a) e o MAC do cliente (-c) que foidetectado no airodump. Enviamos 5 pacotes de desassociao comcomando (no feche o airodump, deixe-o rodando em outra janela):

    Aireplay-ngdeauth 5a 50:CC:F8:85:ED:B2c 00:23:4D:8F:DB:84 mon0

    Verifique no airodump que o WPA Handshake foi capturado. Agora devemos ir para oAircrack-ng.

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    44/70

    WPA Hacking Aircrack-ng

    Primeiramente, ao contrrio do WEP, precisamos ter uma wordlist (lista depalavras) para tentarmos realizar a fora-bruta no handshake WPA quefoi capturado.

    O BackTrack j possui uma lista gigantesca no arquivo/pentest/passwords/wordlists/rockyou.txt (mais de 100 MB)

    Utilizaremos esta lista ento no arquivo chaveWPA.cap que foi capturadopelo airodump-ng, usando o comando:

    aircrack-ngw /pentest/passwords/wordlists/rockyou.txt chaveWPA.cap

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    k k

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    45/70

    WPA Hacking Aircrack-ng

    A chave foi descoberta. qwerty12. Podemos descriptografar os pacotescapturados em chaveWPA.cap agora usando o airdecap-ng.

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    46/70

    WPA Hacking airdecap-ng

    Para descriptografar os pacotes capturados, rodamos

    o comando: airdecap-nge EmpresaXp qwerty12chaveWPA.cap

    Agora basta abrir chaveWPA.cap no Wireshark paravisualizar todos os pacotes sem nenhum tipo de

    criptografia.Observao: o prprio Wireshark capaz de

    decodificar os pacotes se voc fornecer a chave.

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    47/70

    WPA Hacking Airbase-ng

    Perceba no exemplo da imagem anterior que oairbase-ng levantou o Access Point utilizandoo essid da rede defhack, o bssid do AP real, a

    criptografia WPA TKIP (-z 2) e verbose (-v) paragerar mais informaes teis para debug.

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    48/70

    WPA Hacking Airbase-ng

    Vamos desconectar os clientes da rede original.Iremos executar o aireplay-ng com --deauthem broadcast para toda a rede

    Adonel Bezerra - www.clubedohacker.com.br

    Por: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    49/70

    WPA Hacking Airbase-ng

    O processo aps a captura do handshake WPA

    o mesmo visto anteriormente... aircrack,genpmk, cowpatty, etc.

    Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    50/70

    WPA Hacking WPS PIN Hacking

    O PIN foi configurado para o Wi-Fi Protected

    Setup. Ele 94154016.Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    51/70

    WPA Hacking WPS PIN Hacking

    No exemplo da imagem anterior eu pedi o washpara usar a interface mon0 e ignorar erros deframe check sequence (fcs). Ele encontrou aminha rede defhack e outra que tambm usaWPS.

    Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    52/70

    WPA Hacking WPS PIN HackingVamos executar como exemplo o Reaver

    "travando" em um determinado canal (opes-f e -c 6), modo verbose (-vv) e usando o bssiddo meu Access Point (-b):

    Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    53/70

    WPA Hacking WPS PIN Hacking

    A partir deste momento o reaver ir tentarcentenas de combinaes at descobrir o pin.

    Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno

    At di t t d

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    54/70

    Ataques diretos atravs de accesspoints ilegtimos

    Acess Point ilegtimoAP instalado por um funcionrio

    Sem a aprovao ou superviso da equipe de TI

    Pode prover acesso a um atacante externo Burlando todas as protees de segurana darede da companhia

    Um access point ilegtimo est atrs do firewall

    Ataque peer-to-peerO dispositivo wireless do invasor ataca um

    dispositivo similar

    Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno

    At di t t d

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    55/70

    Ataques diretos atravs de accesspoints ilegtimos

    Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    56/70

    Ataque AP ilegtimo Servidor DHCP

    O primeiro passo para se criar um AP ilegtimo configurar e iniciar o servidor DHCP do BackTrackpara fornecer endereo IP aos clientes que seconectarem ao nosso access point. Edite o

    arquivo de configurao

    vim /etc/dhcpd3/dhcpd.conf

    Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    57/70

    Ataque AP ilegtimo Servidor DHCP

    Configure como mostrado na figura acima. Salvedigitando :wq

    Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    58/70

    AP ilegtimo Airbase-ng

    Devemos agora criar o access point(AP) com outilitrio airbase-ng. Vamos utilizar as opes padromudando apenas o ESSID para Faculdade.

    airbase-nge Faculdade mon0

    Perceba que o airbase-ng cria uma interface at0 . Ela ser til posteriormente.

    Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno

    AP ilegtimo Interface at0 e dhcpd3

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    59/70

    AP ilegtimo Interface at0 e dhcpd3

    Iniciamos a interface at0 configurando o ip correto

    ifconfig at0 10.0.0.1 upIniciamos o servidor DHCP na interface at0dhcpd3cf /etc/dhcpd3/dhcpd.conf at0

    Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    60/70

    AP ilegtimo Viso do cliente

    O cliente enxerga a rede Faculdade e tenta se conectar ela. Vamos ver se a conexo foi efetuada com sucesso.

    Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    61/70

    AP ilegtimo Viso do cliente

    Perceba que o cliente pegou um endereo IP donosso servidor DHCP. Isso significa que ele seconectou com sucesso interface at0 criadapelo airbase-ng

    Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno

    AP ilegtimo Ataque DNS Spoof c/

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    62/70

    AP ilegtimo Ataque DNS Spoof c/Fake Webserver

    De nada adianta o cliente se conectar ao AP se nofaremos nenhuma ao.

    Pode-se capturar um handshake WPA ou WEP (seconfigurada essa opo no airbase-ng) o que til para

    capturar a chave criptografada direto do cliente, semdepender do Access Point legtimo.

    No nosso caso, a rede est sem nenhuma criptografia.Podemos ento realizar um ataque simples: fazer com

    que o usurio ao abrir qualquer site seja redirecionado(por DNS Spoofing) para o servidor WEB Apache queest rodando no BackTrack.

    Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    63/70

    AP ilegtimo DNSSPOOF e Apache

    Usando os comandos mostrados realizamos: - Iniciamoso dns spoof na interface at0 (dnsspoofi at0)

    - Iniciamos o Apache (apache2ctl start)Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    64/70

    AP legtimo Lado cliente

    Veja que qualquer site que o cliente abrir ser direcionandopara o nosso servidor Apache. Como ver ento as aesque o cliente vai realizar na nossa pgina falsa?

    Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    65/70

    AP ilegtimo Usando SET

    Podemos usar o Apache junto ao SET (Social Engineering Toolkit) paracriar um template rpido de qualquer site e com isso capturar ascredenciais do usurio.

    Utilizar o Apache no SET no obrigatrio mas recomendado poisaumenta a performance. Basta abrir o arquivo/pentest/exploits/set/config e mudar a varivel APACHE_SERVER paraON

    Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    66/70

    AP ilegtimo Usando SET

    Selecionamos o ataque no SET e escolhemos o Gmailcomo template. Importante: o airbase-ng e odnsspoof devem continuar rodando em janelasseparadas.

    Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    67/70

    AP ilegtimo Viso do Cliente

    Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno

    AP ilegtimo Capturando credenciais

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    68/70

    AP ilegtimo Capturando credenciaisno SET

    Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    69/70

    AP ilegtimo Criando uma ponte

    Podemos criar uma bridge entre a interface at0do AP falso e uma interface de rede ethernet(ou outra interface Wireless). Assim o cliente

    poder usar a Internet.Adonel Bezerra - www.clubedohacker.com.brPor: Marcos Flvio Arajo Assuno

    http://www.clubedohacker.com.br/http://www.clubedohacker.com.br/
  • 7/22/2019 ENACH_2013

    70/70

    AP ilegtimo - Wireshark

    Basta pedir ao Wireshark para monitorar a interface at0 e capturartodo o trfego da ponte (ou seja, do acesso Internet do cliente)