Grimorio de XTORMIN
Xtormin GithubLinkedIn
  • Home
  • 🧠IA / AI
    • Investigación y automatización
    • IA en local
    • Plantillas de prompts
      • Informes de pentesting
  • 🏢Pentesting en Infraestructuras
    • Intrusión física
    • Redes Wi-Fi
      • Herramientas
      • Metodología de Pentest Wifi
      • WEP
      • WPA2-PSK / Red personal
      • WPA2-MGT / Red corporativa
    • Cloud
      • 🔷Azure
        • Herramientas
        • Metodología de Azure Pentest
        • AzureAD
        • Az Powershell
        • Az Cli
        • Portal de Azure
    • Perímetro
      • Acceso remoto
    • Red interna
      • Windows
      • Active directory
        • Enumeración manual
    • Servicios
      • FTP - 21/tcp
      • SSH - 22/tcp
      • DNS - 53/UDP
      • SMB - 135, 445 /tcp
      • SNMP - 161, 162, 10161, 10162/udp
      • IPMI - 623/udp/tcp
      • RDP - 3389/TCP
      • Redis - 6379/tcp
    • Misc
      • Transferencia de ficheros
  • 🌐Pentesting en aplicaciones web
    • General
      • Ataques y vulnerabilidades
        • Autenticación
          • Vulnerabilidades JWT
        • Javascript
          • XSS
          • Contaminación de prototipos - Prototype pollution
        • GraphQL
      • Explotación
        • Webshell
    • Tecnología
      • Jenkins
      • Salesforce
  • ⚒️Herramientas comunes
    • Recursos generales
    • Nmap
    • Nuclei
    • BloodHound
  • 👾MISC
    • [ Kali ] Setup
      • VPN
Con tecnología de GitBook
En esta página
  • Captura de handshake / 4-way handshake
  • Sin deautenticación
  • Con deautenticación
  • Comprobación de handshake capturado
  • Creación de un AP falso / Fake AP

¿Te fue útil?

  1. Pentesting en Infraestructuras
  2. Redes Wi-Fi

WPA2-PSK / Red personal

En las redes personales cuando se realiza la autenticación contra el punto de acceso, el cliente envía 4 paquetes para realizar la conexión contra el punto de acceso.

Estos paquetes pueden ser capturados y posteriormente realizar un proceso de cracking para obtener la contraseña. Si la contraseña es débil, se encuentra en los diccionarios utilizados para el ataque o se realiza un ataque de fuerza bruta con la suficiente capacidad de cómputo, sería posible obtener la contraseña de acceso a la red.

Para poder capturar los paquetes de conexión, sería necesario que el dispositivo utilizado para las pruebas se encuentre lo más cercano posible al cliente/dispositivo víctima y punto de acceso más cercano, de forma que podamos interceptarlos "al vuelo" cuando se realice la conexión.

Esto se puede realizar en varias condiciones:

  • Sin deautenticación:

    • El cliente/dispositivo acaba de encenderse y se quiere conectar.

    • El cliente/dispositivo acaba de entrar al espacio físico donde nos encontramos con la máquina virtual a la escucha.

  • Con deautenticación:

    • Obligando a deautenticarse al cliente/dispositivo objetivo de forma que se fuerce un intento de conexión automático tras la desconexión.

Los dos primeros casos no son invasivos, ya que simplemente se capturaría el intento de conexión inicial al conectarse el dispositivo.

En el tercer caso sería invasivo ya que se forzaría la desconexión del dispositivo. No obstante, sería un tiempo de desconexión ínfimo que sería casi transparente al usuario víctima, similar a cuando se pierde la conexión de forma legítima durante "un segundo".

Captura de handshake / 4-way handshake

Consiste en capturar los paquetes enviados durante el handshake para posteriormente intentar crackear la contraseña.

Según las casuísticas y la cercanía del AP, se pude realizar de dos formas:

  • Con el AP legítimo.

  • Sin AP legítimo.

Antes de nada habrá que identificar la MAC y canal de los APs objetivo. Para ello se realiza una captura básica de paquetes:

airodump-ng --write capture wlan0

Lo ideal será capturar paquetes de los APs que cuenten con mayor cantidad de clientes conectados, para ello se puede observar por ejemplo la cantidad de datos enviados, lo que indicará un mayor uso de la red.

Sin deautenticación

Los mejores momentos para capturar handshakes sin deautenticación son aquellos en los cuales las personas acceden al espacio donde nos encontramos (o se encuentre el dispositivo utilizado durante las pruebas). Por ejemplo:

  • Primeras horas del día durante la entrada a la oficina.

  • Acceso a espacios de reuniones.

  • Vuelta de la comida.

Para realizar la captura de paquetes se utiliza airodump, indicando el ESSID objetivo, las bandas utilizadas (por ejemplo, abg, que engloba las de 2,4Ghz y 5Ghz) y el fichero PCAP donde se guardará la información:

IFACE=wlan0
ESSID=test
PCAP=capture-$ESSID
airodump-ng --band abg --essid-regex $ESSID --write $PCAP $IFACE

Se espera hasta que se capture un handshake, cuando esto ocurra, arriba a la derecha aparecerá un mensaje "[ WPA handshake: XX:XX:XX:XX:XX:XX ]".

Para comprobar si se ha capturado el handshake:

aircrack-ng $PCAP

Con deautenticación

Para capturar un handshake deautenticando un cliente se utilizará la herramienta aireplay-ng mientras se capturan handshakes como en la sección Sin deautenticación.

IFACE=wlan0
ESSID=test
PCAP=capture-$ESSID
airodump-ng --essid-regex $ESSID --write $PCAP $IFACE

Según la agresividad con la que se quiera realizar los argumentos variarán, pero para realizar una deautenticación de 4 peticiones, que suele ser ínfima de cara al usuario, se puede realizar lo siguiente:

IFACE=wlan0
BSSID=11:22:33:44:55:66
STATION=66:55:44:33:22:11
aireplay-ng --deauth 4 -a $BSSID -c $STATION $IFACE

Y se repite esto contra el mismo cliente u otros clientes hasta conseguir un handshake.

Mientras se realiza el ataque con aireplay-ng se estará forzando al cliente a desconectarse de la red, por lo que se le "denegará el servicio". Si se realiza de forma puntual no debería causar mayor problema que el similar a una simple desconexión puntual de la red de forma legítima, pero si se realiza de forma continuada se le impedirá al usuario acceder a la red, con el impacto que conlleva.

Recuerda asegurarte de que:

  • La tarjeta se encuentra en modo monitor.

  • La tarjeta se encuentra en el mismo canal que el punto de acceso.

  • Estás físicamente cerca del punto de acceso.

Comprobación de handshake capturado

Luego para comprobar que se ha capturado el handshake:

  • aircrack-ng:

aircrack-ng $PCAP
  • wireshark: Se abre el fichero PCAP y se usa el filtro "eapol" para ver los paquetes capturados.

Creación de un AP falso / Fake AP

IFACE=wlan0
CH=120
BSSID=11:22:33:44:55:66
ESSID=testwifi
airebase-ng -a $BSSID --essid $ESSID -c $CH $IFACE
AnteriorWEPSiguienteWPA2-MGT / Red corporativa

Última actualización hace 6 meses

¿Te fue útil?

🏢