Giới thiệu chung

Những trang web đầu tiên dạy về hack mạng wifi dùng khóa WEP đã xuất hiện từ cách đây khoảng hơn 2 năm, chủ yếu là các trang web bằng tiếng Anh. Số liệu thống kê cho thấy đây là những trang được rất nhiều người viếng thăm chứng tỏ nhu cầu rất lớn về học hack WEP. Tuy nhiên, nhiều người khi đi theo nhiều hướng dẫn trên các trang web này sớm nhận ra rằng họ không được cập nhật! Chúng tôi đã nghiên cứu từ nhiều nguồn trên internet, thực nghiệm theo các hướng dẫn đó để đưa đến các bạn bài viết hướng dẫn hack WEP ngày hôm nay.

Trước khi đi vào nội dung chi tiết của bài, chúng tôi có một số lưu ý nhỏ như sau:

-Để có thể làm theo những hướng dẫn trong bài viết này, bạn cần có những kiến thức cơ bản liên quan đến các thuật ngữ và nguyên tắc của mạng. Nếu bạn đã quen với việc dùng các dòng lệnh (command lines) của hệ điều hành Linux thì sẽ rất hữu ích.

-Trong nội dung bài, chúng tôi liên tục sử dụng nguyên các thuật ngữ bằng tiếng Anh, có kèm chú thích đối với lần sử dụng đầu tiên. Điều này giúp bạn làm quen dần với giao diện và các dòng lệnh khi sử dụng do gói chương trình này đều bằng tiếng Anh.

-Tiến trình crack WEP đòi hỏi phải có ít nhất 01 máy tính đang kết nối với AP hoặc router. Bạn sẽ không làm được gì nếu không có máy (nạn nhân) nào đang nối mạng.

-Việc xâm nhập vào mạng của người khác mà không được phép của người đó là BẤT HỢP PHÁP. Nếu để hữu sự thì đừng trách vì bài viết này xui dại.

Vietchovui & các thành viên không khuyến khích và sẽ không tha thứ việc sử dụng hướng dẫn này để crack mạng WEP người khác mà không được phép!

Đó là những vấn đề ngoài lề, còn giờ thì hãy bắt đầu! Vì sao bạn cần phải và có thể crack mạng WEP? Trước hết, hiện nay bạn có gần như mọi thứ cần thiết để làm điều này. Các bài hướng dẫn trên mạng dẫn tham chiếu đến vô vàn những công cụ khác nhau được viết bởi cả mã nguồn mở cũng như đóng, có phí cũng như… đồ chùa. Mặt khác, những công cụ mới này cũng không kén chọn phần cứng như trước đây. Bạn không cần phải đi tìm bằng được card wireless loại PRISM 2 Wi-Fi và cũng không cần dùng đến 02 máy tính đồng thời để hành sự. Ngày nay, nhiều loại chipset đã hỗ trợ các loại công cụ nói trên và bạn có thể crack WEP với chỉ một chiếc máy tính độc nhất.

Bộ công cụ crack WEP tốt nhất được phát triển bởi nhóm Aircrack-ng, đây cũng chính là bộ công cụ mà chúng tôi sẽ dùng. Aircrack-ng là bộ chương trình được viết với mục đích công phá khóa mạng WEP và WPA-PSK. Trong khi bộ chương trình này gồm tổng công 07 chương trình độc lập và một vài công cụ nhỏ khác, chúng tôi chỉ sử dụng 04 trong số chúng, đó là:
airmon-ng – dùng để chuyển card wireless sang dạng monitor (chế độ nghe ngóng và ghi nhận tín hiệu).
airodump-ng – dùng để phát hiện ra WLAN và bắt các gói dữ liệu (packet capture).
aireplay-ng – tạo ra dòng tín hiệu.
aircrack-ng – tìm ra mã khóa WEP.Mặc dù có các phiên bản của bộ Aircrack-ng chạy trên hệ điều hành Windows, và thậm chí là cả Zaurus Oses, chúng tôi vẫn sử dụng Linux do đặc điểm dễ tương thích với các card wireless của nó. Đừng lo lắng khi bạn không phải là một chuyên gia về Linux, bởi vì chúng tôi sẽ sử dụng BackTrack 3 (beta version) live. Do đây là hệ điều hành chạy trực tiếp trên đĩa CD hoặc USB (chúng tôi dùng USB) nên bạn không cần phải có động tác cài đặt phiền phức và BackTrack 3 (BT3)cũng không hề để lại dấu vết gì trên ổ đĩa cứng cài Windows của bạn (trừ khi bạn cố ý). BT3 là bản Linux được điều chế để chuyên dùng cho crack WEP, trên đó đã có bộ Aircrack-ng cài đặt sẵn cho bạn sử dụng.

Bạn có thể tìm thấy nhiều thông tin hơn về BT3 cùng với link download tại đây (http://www.remote-exploit.org/).


Lựa chọn phần cứng

Lựa chọn quan trọng nhất mà bạn cần làm là loại card wireless bạn sẽ sử dụng. Do bạn sẽ cần dùng đến một bộ các công cụ để crack, bạn cần lựa chọn ra được một danh sách các loại card wireless có khả năng tương thích với tất cả các chương trình trong gói. Kết quả cho thấy bạn có khả năng lựa chọn rộng rãi đối với card wireless để thực hiện mục tiêu crack mạng WEP.

Một điều may mắn là trang web Aircrack-ng (http://www.aircrack-ng.org/) có rất nhiều phần hỗ trợ việc lựa chọn card wireless thích hợp. Khuyến cáo của họ là dùng card Atheros chipset. Vì không chịu nghe theo lời khuyên này của họ nên chúng tôi đã gặp phải một số hậu quả trong quá trình crack. Mách nước với các bạn rằng chúng tôi đã từng sử dụng thành công với card Intel PRO/Wireless 3915 abg (card gắn sẵn trong laptop HP Pavilion dv6433cl) tuy nhiên hình ảnh sử dụng để minh họa trong toàn bộ serie bài viết này là của máy dùng card Atheros.


Phần mềm

Khi đã lựa chọn được phần cứng, bạn cần lựa chọn cho mình một số chương trình phần mềm. Như đã nói ở trên, chúng tôi sẽ sử dụng BackTrack 3 (bản beta) chạy trên USB. Nếu máy tính của bạn không có khả năng boot từ đĩa flash USB thì có thể dùng BT3 chạy trực tiếp trên đĩa CD. Hệ điều hành BT3 có tất cả những gì cần thiết để thực hiện các công việc về bảo mật và đặc biệt là nó không hề ghi lại bất cứ thứ gì trên ổ cứng của bạn.

Sau khi download file ISO, bạn có hai lựa chọn.

-Cách thứ nhất, giải nén (bằng Winrar) những gì có bên trong file ISO ra ổ đĩa USB của bạn sau đó kích hoạt chạy \boot\bootinst.bat để làm cho đĩa USB (dung lượng tối thiểu 1GB) có khả năng boot được. Nếu dùng BT3 trên USB thì mọi việc sẽ nhanh chóng và êm ái hơn so với dùng trên CD. Đương nhiên, trước khi muốn boot được từ USB thì bạn cần thiết lập thứ tự boot ưu tiên từ BIOS cho USB của bạn. Điều này chắc hẳn ai đã để tâm đọc bài này đến đây cũng phải biết nên chúng tôi không nhắc lại nhiều.

-Cách thứ hai, chỉ thực hiện khi bạn không có khả năng boot từ USB, là dùng chương trình ghi đĩa để burn file ISO vào đĩa CD và sử dụng nó để boot chiếc máy tính của bạn.
Công việc tạo USB/CD khởi động bạn có thể làm với Windows vì như thế sẽ quen thuộc hơn nhiều cho những ai chưa tiếp xúc với Linux.
Và bây giờ là lúc… hành sự!

Bước 1: Kiểm tra WLAN card

Sau khi boot lại máy tính của bạn để vào BT3, bạn cần kiểm tra rằng WLAN adapter đã được nhận ra và khởi động. Click vào biểu tượng chiếc máy tính có màn hình màu đen (bên cạnh nút start) để mở Shell – Konsole (tương tự cmd trong Windows). Gõ vào dòng lệnh iwconfig để kiểm tra WLAN card của bạn. Kết quả của dòng lệnh có dạng dưới đây:

http://www.smallnetbuilder.com/images/stories/wireless/wepcracking_reloaded/iwconfig_output.jpg
Hình 1: màn hình kết quả lệnh iwconfig
Hãy viết ra tên của card wireless của máy tính bạn. Trong trường hợp trên là ath0. Tuy nhiên, với máy bạn có thể là tên nào đó dạng như wlan1, eth0, wi0,…


Bước 2: Chuyển card sang chế độ monitor

Như đã nói ở trên, card WLAN phải có khả năng hoạt động ở chế độ “monitor mode”. Điều này nghĩa là card WLAN có thể bắt được tất cả những gói dữ liệu mà nó phát hiện ra mà không chỉ giới hạn ở những gói dữ liệu được gửi đến địa chỉ MAC của nó.

Chúng ta sử dụng lệnh airmon-ng để đưa card WLAN vào chế độ monitor. Chỉ cần gõ:
airmon-ng
để kiểm tra trạng thái của adapter. Sau đó:
airmon-ng stop ath0
để dừng chế độ interface thông thường của card. Tiếp tục với lệnh:
airmon-ng start wifi0
để khởi động lại adapter ở chế độ monitor.

Chú ý rằng chúng tôi sử dụng wifi0, chứ không phải ath0 ở lệnh ở trên. Điều này có tác dụng để cho Atheros madwifi driver hoạt động.
Cửa sổ kết quả xuất hiện ở từng dòng lệnh tương tự như ở hình sau:

http://www.smallnetbuilder.com/images/stories/wireless/wepcracking_reloaded/airmon_ng_output.jpg
Hình 2: kết quả lệnh airmon-ng


Bạn có thể kiểm tra rằng chế độ monitor mode đang được kích hoạt bằng cách gõ lệnh iwconfig. Hình 3 dưới đây cho thấy kết quả khẳng định rằng adapter đang ở chế độ monitor và sẵn sàng cho bạn thực hiện bước kế tiếp.

http://www.smallnetbuilder.com/images/stories/wireless/wepcracking_reloaded/monitor_mode_enabled.jpg
Hình 3: Card WLAN đang ở chế độ monitor mode



Bước 3: Tìm WLAN mục tiêu

Bây giờ, khi adapter đã ở chế độ monitor mode, chúng ta đã có thể bắt đầu quét để tìm ra mạng wireless. Trên thực tế, nếu ai đó đang cố gắng tấn công một mạng wireless, đều cần có một số thông tin cần thiết. Các chuyên gia làm thực nghiệm xâm nhập mạng để kiểm tra miêu tả việc tấn công này là tấn công “zero knownledge”.

Chúng ta đang tìm kiếm các AP sử dụng chế độ mã hóa WEP và đang có ít nhất 01 máy khách (client) đang kết nối tới nó. Máy khách đi kèm này là quan trọng bởi vì bạn cần có được địa chỉ MAC của client này để sử dụng đòn tấn công với ARP Replay để tạo ra dòng dữ liệu.Nếu AP không có client nào đang kết nối, hãy di chuyển đến một AP khác.

Chúng ta cần có 03 thông tin để bắt đủ dòng dữ liệu, tạo điều kiện cho aircrack hoạt động:
Địa chỉ MAC / BSSID của AP mục tiêu.
Địa chỉ MAC / BSSID của máy trạm kết nối với AP.
Kênh (channel) đang được sử dụng bới AP mục tiêu và máy trạm.Có nhiều cách để quét mạng wireless LANs, bao gồm cả chương trình rất nỗi tiếng là Kismet (http://www.kismetwireless.net/) được tích hợp sẵn trong BT3. Tuy nhiên, chương trình này hoàn toàn độc lập với bộ Aircrack, Kismet có những yêu cầu riêng của nó đối với adapters. Việc sử dụng Kismet khá đơn gián và có cả phiên bản của Kismet dành cho Windows. Tuy nhiên, để mọi việc đơn giản, chúng tôi sẽ tiếp tục với airodump-ng (http://www.aircrack-ng.org/doku.php?id=airodump-ng), một bộ phận của bộ Aircrack, và cũng rất tốt để làm được những điều chúng ta cần.

Khởi động airodump-ng bằng cách gõ lệnh:
airodump-ng --ivs --write capturefile ath0 Lựa chọn --ivs nhằm mục đích để chỉ ghi lại những gói dữ liệu IVs bắt được (một phần của dòng dữ liệu lưu thông cần thiết cho việc crack WEP) dưới dạng các files với phần đầu của tên files được quy định bằng --write "capturefile". Chú ý rằng những dấu gạch liên tiếp (--) không phải là do gõ nhầm, mà là một dạng dài hơn để dễ đọc hơn đối với các dòng lệnh của airodump.


Dòng lệnh này làm airodump bắt đầu quét tất cả các kên có tần số 2.4 GHz với card Atheros (ath0). Hình 4 cho thấy một dạng kết quả thường thấy.

http://www.smallnetbuilder.com/images/stories/wireless/wepcracking_reloaded/airodump_ng_wlan_scan_big.jpg
Hình 4: airodump-ng quét các kênh

Hình 4 cho thấy có 02 APs (ở nhóm đầu) và hai máy trạm (Stations – STAs) (ở nhóm sau). Một STA (BSSID 00:1A:70:7F:79:F2) kết nối với AP với linksys ESSID (BSSID 00:06:25:B2:C4:19). Bạn có thể kiểm tra xem STA nào đang kết nối với AP nào bằng cách so sánh địa chỉ MAC của AP (BSSID) ở hai nhóm. Hình 4 cũng cho thấy rằng AP linksys AP đang dùng Channel 5.
Và như vậy 03 thông tin mà chúng ta cần có đã được thu thập:
Địa chỉ MAC / BSSID của AP mục tiêu = 00:06:25:B2:C4:19.
Địa chỉ MAC / BSSID của máy trạm kết nối với AP = 00:1A:70:7F:79:F2.
Kênh (channel) đang được sử dụng bới AP mục tiêu và máy trạm = 5.Ghi những thông số này ra giấy hoặc có thể copy rồi dán nó vào một trình xử lý văn bản nào đó để sử dụng về sau. Bạn có thể dùng chương trình Kedit có sẵn trong BT3 để lưu lại các thông số này dưới dạng file .txt. Bằng cách nhấn tổ hợp phím Ctrl+C, chúng ta có thể cùng lúc thoát khỏi airodump và copy nội dung các thông số trên.

Mách nước: Cột PWR trong nhóm các AP cho thấy mức độ mạnh của tín hiệu (signal level). Nếu bạn muốn chọn một AP là mục tiêu trong số nhiều AP xuất hiện trong bảng, hãy chọn AP nào có chỉ số PWR cao vì điều này đồng nghĩa với mức tín hiệu cao và tín hiệu mạnh = tốc độ bắt gói dữ liệu cao.
Đối với một máy client đang hoạt động, bạn cũng có thể thấy một cột RXQ, dùng để đo tỷ lệ phần trăm của gói dữ liệu nhận được thành công trong vòng 10 giây gần nhất. Cũng như trên, một chỉ sao cao hơn sẽ tốt hơn.

Chú ý: các files bắt được bởi airodump-ng được lưu vào thư mục gốc (/root directory). Chúng ta lựa chọn --ivs để tránh tình trạng thiếu dung lượng trên RAM khi chạy BT2 bởi vì chúng ta không cần gì khác ngoài các file IVs.
Thường thì bạn không gặp phải trường hợp thiếu dung lượng RAM. Nhưng trong trường hợp gặp phải điều này, chỉ cần dùng lệnh rm để loại bỏ các files bắt được. Chú ý rằng khi dùng lệnh –ivs, các files sẽ được lưu lại với phần mở rộng là .ivs.


Bước 4 – Tạo ra dòng dữ liệu để bắt

Khi chúng ta đã xác định được AP mục tiêu sử dụng chế độ bảo mật WEP, chúng ta cần bắt đủ các Ivs bằng airodump để cho aircrack-ng sử dụng. Cột #Data trong airodump-ng cho biết có bao nhiêu IVs đã bắt được và cột #/s cho biết tốc độ bắt dữ liệu trên mỗi giây.

Nếu nhìn ngược lại hình 4 ở trên, bạn có thể thấy rằng trong thời gian 09 phút kể từ lúc airodump-ng bắt đầu chạy, chúng tôi chỉ bắt được có 246 Ivs vàvới một tốc độ bắt rất thấp, thậm chí nhiều lúc còn không bắt được dữ liệu. Thử tưởng tượng bạn cần phải bắt được ít nhất 20.000 Ivs để có thể bẻ được một khóa WEP mã hóa 64bit, chắc chắn bạn sẽ cần phải làm gì đó để đẩy cao tốc độ bắt gói dữ liệu lên nếu không muốn ngồi đợi cả ngày!

Đây chính là lúc aireplay-ng (http://www.aircrack-ng.org/doku.php?id=aireplay-ng) xuất hiện. Chương trình này được sử dụng để tạo ra dòng dữ liệu lưu thông (traffic) để bắt thông qua việc sử dụng nhiều kỹ thuật ánh xạ khung (frame injection) khác nhau. Chúng ta sẽ sử dụng kiểu tấn công lặp ARP Request Replay (http://aircrack-ng.org/doku.php?id=arp-request_reinjection) để tạo gói dữ liệu ánh xạ (packet injection). Nếu không có packet injection có thể sẽ mất đến nhiều ngày để thu thập đủ số lượng IVs cần thiết!

Kiểu tấn công lặp chỉ đơn giản là việc bắt các gói dữ liệu tạo ra bởi STA mục tiêu, sau đó phát ra lại để đánh lừa máy trạm rằng nó bắt được gói dữ liệu. Quá trình này lặp đi lặp lại liên tục làm cho lượng dữ liệu lưu thông tăng lên nhiều lần. Bởi vì dòng dữ liệu tạo ra từ máy của bạn được ngụy trang như dòng dữ liệu của một máy client thực sự nên nó không ảnh hưởng đến hoạt động bình thường của mạng và nhờ đó công việc tạo IVs của nó được vận hành êm thấm.

Để sử dụng aireplay-ng, trước hết cần phải khởi động lại airodump-ng, nhưng với channel và địa chỉ MAC của AP mục tiêu. Gõ dòng lệnh sau đây cùng với số channel và địa chỉ MAC của AP mà bạn đã thu thập được ở bước chạy airodump-ng lần trước:
airodump-ng --ivs --channel [AP channel] --bssid [AP BSSID] --write capturefile ath0

Chú ý: Một số dòng lệnh được cắt thành hai dòng để cho vừa bề ngang của trang. Đảm bảo rằng bạn nhập nó chỉ với một dòng duy nhất.
Các files dữ liệu bắt được cũng sẽ được lưu vào thư mục gốc /root và có dạng capturefile_nn.ivsnn là hai con số, ví dụ như capturefile_01.ivs. Trong trường hợp của chúng tôi, dòng lệnh cụ thể như sau: với
airodump-ng --ivs --channel 5 --bssid 00:06:25:B2:C4:19 --write capturefile ath0 Hình 5 dưới đây thể hiện kết quả của lệnh trên. Chú ý rằng tại thời điểm này, chúng ta chỉ thấy Channel 5, AP linksys và máy client đang kết nối với nó.

http://www.smallnetbuilder.com/images/stories/wireless/wepcracking_reloaded/airodump_ng_wlan_capture.jpg
Hình 5: airodump-ng đang bắt gói dữ liệu từ AP mục tiêu


Nếu nhìn vào các cột #Data và #/s thì chúng ta có thể thấy được tốc độ bắt dữ liệu rất thấp như đã nói ở trên. Vậy thì hãy làm cho mọi thứ tăng tốc với aireplay-ng. Mở một cửa sổ shell khác và gõ vào các dòng lệnh cùng với thông tin về mạng WLAN mục tiêu như địa chỉ MAC của AP [AP BSSID] và MAC của client có được từ airodump.

aireplay-ng --arpreplay -b [AP BSSID] -h [client MAC from airodump] ath0 Lệnh này sẽ khởi động ARP lặp lại đối với AP mục tiêu bằng cách giả mạo địa chỉ MAC của STA kết nối đến AP này. Trong trường hợp của chúng tôi, dòng lệnh cụ thể như sau:

aireplay-ng --arpreplay -b 00:06:25:B2:C4:19 -h 00:1A:70:7F:79:F2 ath0 Hình 6 cho thấy aireplay-ng lúc nó vừa mới khởi động và chưa bắt đầu quá trình phát sóng lặp lại.

http://www.smallnetbuilder.com/images/stories/wireless/wepcracking_reloaded/aireplay_ng_start.jpg
Hình 6: aireplay-ng lúc vừa khởi động, còn chưa phát sóng lặp lại

Chỉ dấu ở đây là "sent 0 packets" ở dòng cuối. Chú ý rằng nếu drivers hoặc card WLAN của bạn không hỗ trợ packet injection, aireplay sẽ cho ra những dòng tương tự như dưới đây:


http://www.smallnetbuilder.com/images/stories/wireless/wepcracking_reloaded/nopacketinjection.png
Hình 7: aireplay trong trường hợp không có packet injection


Bạn có thể kiểm tra xem drivers của mình có hỗ trợ injection hay không bằng cách đọc qua trang tài liệu của aircrack-ng ở đây (http://aircrack-ng.org/doku.php?id=injection_test).


Bước 5 – Hành sự… crack

Một khi các gói dữ liệu được bắt thành công và ARP replay khởi động, aireplay-ng sẽ có dạng như ở Hình 8. Lúc này, dấu chỉ sẽ là "sent N packets", cho thấy số lượng gói dữ liệu ARP phát ra bởi STA giả mạo.

http://www.smallnetbuilder.com/images/stories/wireless/wepcracking_reloaded/aireplay_ng_replaying.jpg
Hình 8: aireplay với ARP replay đang chạy


Lúc này, bạn có thể quay lại với cửa sổ airodump và sẽ thấy rằng cột #/s đã tăng lên đáng kể, có khi lên tới số hàng trăm, như có thể thấy trong Hình 9.

http://www.smallnetbuilder.com/images/stories/wireless/wepcracking_reloaded/airodump_ng_wlan_capture_w_replay.jpg
Hình 9: airodump với ARP replay đang chạy


Bạn cần để cho các chương trình này tiếp tục chạy cho đến khi con số trong cột #Data đạt đết ít nhất 300,000 IVs đối với khóa WEP 64 hoặc khoảng 1,500,000 đối với khóa WEP 128. Vấn đề là trong một cuộc tấn công dạng "zero knowledge", bạn không hề biết gì về độ dài của mã khóa.

Trong trường hợp của chúng tôi, vì biết trước mã khóa thuộc loại 128 bit, chúng tôi đợi đến lúc có hơn con số IVs dự kiến là 1.500.000. Để đạt được con số này, chúng tôi mất khoảng hơn 01 giờ đồng hồ, với AP mục tiêu và toàn bộ các laptop liên quan nằm trong cùng một phòng. Trong điều kiện bình thường, với một AP nằm cách máy của bạn một khoảng khá xa, bạn có thể mất nhiều thời gian hơn. Còn giờ, chúng ta sẽ mở ra cửa sổ shell thứ 3 để bắt đầu với aircrack-ng:
aircrack-ng -b [AP BSSID] [capture file(s) name] Chú ý rằng trong dòng lệnh có chứa dấu sao (*) để aircrack-ng sử dụng toàn bộ các file IVs bắt được đã được lưu trên thư mục gốc. Ví dụ trong trường hợp của chúng tôi dòng lệnh sẽ như sau:
aircrack-ng -b 00:06:25:B2:C4:19 capturefile*.ivs Aircrack sẽ bắt đầu lục lọi trong số những gói dữ liệu đã bắt được để tìm ra khóa WEP. Điều này cũng mất thời gian nhưng không nhiều lắm nếu so với việc bắt và lưu dữ liệu. Trong một số trường hợp aircrack-ng sẽ kết thúc mà không tìm thấy khóa, nhưng đưa ra cho bạn một số đề xuất mà bạn có thể làm theo. Một khi thành công, màn hình aircrack sẽ trông tương tự như trong Hình 10.

http://www.smallnetbuilder.com/images/stories/wireless/wepcracking_reloaded/aircrack_ng_keyfound.jpg
Hình 10: aircrack-ng tìm thấy khóa


Khóa WEP 128 bit tìm thấy ở dưới dạng hệ thập lục phân (hexadecimal) và bạn có thể dùng nó để nhập vào phần thiết lập mạng Wireless sau khi loại bỏ các dấu hai chấm.
Và như vậy là bạn đã hoàn tất việc crack khóa mạng WEP! Quá tuyệt đúng không?

LAP: CRACK WEP KEY BẮNG CARD CISCO CHIPSET AIRONET



CRACK WEP KEY 64 BITS

vTHIẾT BỊ THỰC HÀNH:

Một access point được cấu hình bảo mật WEP pre_shared key 64 bits và một PC có card wireless của Cisco làm attacker.
Một đĩa CD backtrack 3.0 beta

vCÁC BƯỚC THỰC HIỆN:
Sau khi boot PC từ đĩa CD backtrack thành công và tiến hành các bước sau:

·Bước1: Start chương trình airmon-ng để đổi địa chỉ MAC address của card wireless bằng các câu lệnh
Airmon-ng stop ath0
Ifconfig wifi0 down
Macchanger --mac 00:11:22:33:44:55 wifi0
Xem hình minh hoạ:

http://www.wimaxpro.org/Hinh_upload/Wifipro/GTVT/crack%20wep/1.jpg

·Bước 2: chuyển card wireless về chế độ monitor bằng lệnh:
Airmon-ng start wifi0

http://www.wimaxpro.org/Hinh_upload/Wifipro/GTVT/crack%20wep/2.jpg

·Bước 3: Dò và xác định các thông số của AP target bằng chương trình airodump-ng
Airodump-ng ath0
kết qủa dò tìm như hình sau. Ta chú ý các thông số BSSID, kênh, kiểu mã hoá.

http://www.wimaxpro.org/Hinh_upload/Wifipro/GTVT/crack%20wep/3.jpg

·Bước 4: Dùng airodump-ng để capture gói tin dựa vào các thông số trên bằng lệnh:
airodump-ng -c 1 –w/root/desktop/capture/wep64 –bssid 00:14:bf:05:d6:0c ath0
-c 1 : kênh phát của AP target là kênh 1
/root/desktop/capture/wep64: đường dẫn lưu file capture
00:14:bf:05:d6:0c : MAC address của AP target

http://www.wimaxpro.org/Hinh_upload/Wifipro/GTVT/crack%20wep/4.jpg

·Bước 5: Dùng chương trình aireplay-ng để tim gói đến AP nhằm tăng lưu lượng gói để capture nhanh hơn.
Aireplay-ng -3 -b 00:14:bf:05:d6:0c –h 00:11:22:33:44:55 ath0
Quá trình tim gói như hình sau:

http://www.wimaxpro.org/Hinh_upload/Wifipro/GTVT/crack%20wep/5.jpg

·Trở lại màn hình airodump để quan sát quá trình bắt gói. Trong bài lap này, với số gói là 10333 (mất khoảng 15s ) thì có thể tìm được khoá

http://www.wimaxpro.org/Hinh_upload/Wifipro/GTVT/crack%20wep/6.jpg

·Dùng chương trình aircrack-ng để tìm ra khoá.
Aircrack-ng –n 64 --bssid 00:14:bf:05:d6:0c /root/desktop/capture/wep64-01.cap
Quan sát quá trình phân tích và tìm khoá như hình sau:

http://www.wimaxpro.org/Hinh_upload/Wifipro/GTVT/crack%20wep/7.jpg

CRACK WEP KEY 128 BITS:

Quá trình crack wep 128 bits bao gồm các bước thực hiện hoàn toàn tương tự như việc crack wep 64 bits. Chỉ khác là ta cần capture nhiều gói tin hơn. Để crack được wep 128 bits, ta cần tối thiểu khoảng 1100000 packets (mất khoảng 40 phút và cần khoảng 5000 ivs).

http://www.wimaxpro.org/Hinh_upload/Wifipro/GTVT/crack%20wep/8.jpg


http://www.youtube.com/watch?v=UkwcvLysk5U

http://docs.lucidinteractive.ca/images/0/01/48699.png

Overview

This is a good one, let me tell you! There can be so many issues setting up your box to actually get the tools working and i'm not even touching on that, but if you can get everything to work, you'll be cracking wireless networks like a pro in no time.
Disclaimer: I'm not a pro.

Pre-Installation
Checklist
Tools
I've been really, really successful with basically one tool set called AirCrack (http://www.cr0.net:8040/code/network/). Download that.
Kismet (http://www.kismetwireless.net/) is an excellent tool for sniffing out wireless networks as well and could prove useful.
An encrypted wireless network.
We'll be working on WEP encrypted networks as well as static passkey WPA or WPA-PSK Note: Make sure you can get your card into monitor mode (sometimes called raw monitor or rfmon). This is VERY important

WEP Crackin

Theory

A little theory first. WEP is a really crappy and old encryption techinque to secure a wireless connection. A 3-byte vector, called an Initalization Vector or IV, is prepended onto packets and its based on a pre-shared key that all the authenticated clients know... think of it as the network key you need to authenticate.
Well if its on (almost) every packet generated by the client or AP, then if we collect enough of them, like a few hundred thousand, we should be able to dramatically reduce the keyspace to check and brute force becomes a realistic proposition.
A couple of things will cause us some problems.
If the key is not static, then you'll mix up all your IVs and it'll take forever to decrypt the key.
Theres no traffic, therefore no packets - we can fix this.
MAC Address Filtering - we can fix this too.Setting up your tools

We're gonna need 3 or 4 shells open, we have 5 tools:
airodump - Grabbing IVs
aircrack - Cracking the IVs
airdecap - Decoding captured packets
airreplay - (My Favourite) Packet injector to attack APs.
kismet - Network Sniffer, can grab IVs as well.For a standard WEP hack we'll usally only need airodump, aircrack, and kismet (server and client). If we run into some problems we might have to use airreplay to fiddle about.
I'll leave you to config all these tools up, for the most part they should just be defaults with the exception of kismet.

Finding the Network

First step is we need to find a netork to crack. Start up kismet and start sniffing for APs. Leave it on for a bit so that it can discover all the important information about the networks around. What we want from kismet is:
Encryption type: Is it WEP 64-bit? 128-bit?
What channel is it on? Can greatly speed up IV collection.
AP's IP Address
BSSID
ESSIDAll this info isn't required but the more you have, the more options you have later to crack and sniff. We can get a lot of this from airodump as well but I find the channel is important.

Capturing IVs

Alright, we know what we wanna crack, so lets start capturing packets. You can use kismet to capture files but I prefer airodump because it keeps a running count of all the IVs I've captured and I can crack and airodump will automatically update aircrack with new IVs as it finds them.
Note: kimset can interfere with airodump so make sure you close it down before starting airodump.
Airodump is pretty straight forward with its command line looking something like this:
./airodump <interface> <output prefix> [channel]
interface is your wireless interface to use - required.
output prefix is just the filname it'll prepend, - required.
channel is the specific channel we'll scan, leave blank or use 0 to channel hop.
IVs flag is either 0 or 1, depending on whether you want [I]all packets logged, or just IVs.My wireless card is ath0, output prefix i'll use "lucid", the channel we sniffed from kismet is 6, and IVs flag is 1 because we just want IVs. So we run:
./airodump ath0 lucid 6 1
Airodump will come up with a graph showing us all the APs and their relevant info, as well as client stations connected to any of the APs.
BSSID PWR Beacons # Data CH MB ENC ESSID

00:23:1F:55:04:BC 76 21995 213416 6 54. WEP hackme

BSSID STATION PWR Packets Probes

00:23:1F:55:04:BC 00:12:5B:4C:23:27 112 8202 hackme
00:23:1F:55:04:BC 00:12:5B:CA:2F:6A 21 1721 hackmeThe second line shows us some info about the AP as well as the number of beacons and data packets we've collected from the AP. The two last lines show us two authenticated clients. Where they are connected to and the packets they are sending. We won't use this client info in a straight theory hack but in practice we'll need this info to actively attack the AP.
This step may take a long time or could be very short. It depends how busy the AP is and how many IVs we are collecting. What we are doing is populating a file "lucid.ivs" with all the IV important packet info. Next, we'll feed this to aircrack. To move onto the next step, we'll want at least 100,000 packets (under # Data in airodump) but probably more.

Using IVs to Decrypt the Key

Ok, pretend you have enough IVs now to attempt a crack. Goto a new terminal (without stopping airodump - remember it'll autoupdate as new IVs are found) and we'll start aircrack. It looks something like this:
./aircrack [options] <input file>There are a lot of options so you can look them up yourself, i'll be using common ones here that should get you a crack. Our input file is "lucid.ivs", the options we will use are:
-a 1 : forces a WEP attack mode (2 forces WPA)
either -b for the bssid or -e for the essid : whichever is easier to type but I like using a BSSID because its more unique.
-n 64 or -n 128 : WEP key length, omit if not known by now.So our command will look like:
./aircrack -a 1 -b 00:23:1F:55:04:BC -n 128 lucid.ivsand off it goes, resembling the picture from the top. Keep an eye on the Unique IV count as it should increase if airodump is still running. For all intents and purposes you are done. That'll pop open most old wireless routers with some traffic on them.

Anticipated Problems

There are lots of problems that can come up that will make the above fail, or work very slowly.
No traffic
No traffic is being passed, therefore you can't capture any IVs.
What we need to do is inject some special packets to trick the AP into broadcasting.
Covered below in WEP Attacks (http://docs.lucidinteractive.ca/index.php/Cracking_WEP_and_WPA_Wireless_Networks#WEP_Attacks )
MAC Address filtering
AP is only responding to connected clients. Probably because MAC address filtering is on.
Using airodumps screen you can find the MAC address of authenticated users so just change your MAC to theirs and continue on.
Using the -m option you can specify aircrack to filter packets by MAC Address, ex. -m 00:12:5B:4C:23:27
Can't Crack even with tons of IVs
Some of the statistical attacks can create false positives and lead you in the wrong direction.
Try using -k N (where N=1..17) or -y to vary your attack method.
Increase the fudge factor. By default it is at 2, by specifying -f N (where N>=2) will increase your chances of a crack, but take much longer. I find that doubling the previous fudge factor is a nice progression if you are having trouble.
Still Nothing
Find the AP by following the signal strength and ask the admin what the WEP key is. WPA Crackin

Differences

WPA is an encryption algorithm that takes care of a lot of the vunerablities inherent in WEP. WEP is, by design, flawed. No matter how good or crappy, long or short, your WEP key is, it can be cracked. WPA is different. A WPA key can be made good enough to make cracking it unfeasible. WPA is also a little more cracker friendly. By capturing the right type of packets, you can do your cracking offline. This means you only have to be near the AP for a matter of seconds to get what you need. Advantages and disadvantages.

WPA Flavours

WPA basically comes in two flavours RADIUS or PSK. PSK is crackable, RADIUS is not so much.
PSK uses a user defined password to initialize the TKIP, temporal key integrity protocol. There is a password and the user is involved, for the most part that means it is flawed. The TKIP is not really crackable as it is a per-packet key but upon the initialization of the TKIP, like during an authentication, we get the password (well the PMK anyways). A robust dictionary attack will take care of a lot of consumer passwords.
Radius involves physical transferring of the key and encrypted channels blah blah blah, look it up to learn more about it but 90% of commerical APs do not support it, it is more of an enterprise solution then a consumer one.

The Handshake

The WPA handshake was designed to occur over insecure channels and in plaintext so the password is not actually sent across. There are some fancy dancy algorithms in the background that turn it into a primary master key, PMK, and the like but none of that really matters cause the PMK is enough to connect to the network.
The only step we need to do is capture a full authenication handshake from a real client and the AP. This can prove tricky without some packet injection, but if you are lucky to capture a full handshake, then you can leave and do the rest of the cracking at home.
We can force an authenication handshake by launching a Deauthentication Attack (http://docs.lucidinteractive.ca/index.php/Cracking_WEP_and_WPA_Wireless_Networks#Deauthentic ation_Attack), but only if there is a real client already connected (you can tell in airodump). If there are no connected clients, you're outta luck.
Like for WEP, we want to know the channel the WPA is sitting on, but the airodump command is slightly different. We don't want just IVs so we don't specify an IV flag. This will produce "lucid.cap" instead of "lucid.ivs". Assume WPA is on channel 6 and wireless interface is ath0.
./airodump ath0 lucid 6Dictionary Brute Force

The most important part of brute forcing a WPA password is a good dictionary. Check out http://www.openwall.com/wordlists/ for a 'really' good one. It costs money, but its the biggest and best I've ever seen (40 Million words, no duplicates, one .txt file). There is also a free reduced version from the same site but i'm sure resourceful people can figure out where to get a good dictionary from.
When you have a good dictionary the crack is a simple brute force attack:
./aircrack -a 2 -b 00:23:1F:55:04:BC -w /path/to/wordlistEither you'll get it or you won't... depends on the strength of the password and if a dictionary attack can crack it.

Using Aireplay

Aireplay is the fun part. You get to manipulate packets to trick the network into giving you what you want.

WEP Attacks

Attacks used to create more traffic on WEP networks to get more IVs.

ARP Injection

ARP Replay is a classic way of getting more IV traffic from the AP. It is the turtle. Slow but steady and almost always works. We need the BSSID of the AP and the BSSID of an associated client. If there are no clients connected, it is possible to create one with another WEP attack explained below: Fake Authentication Attack (http://docs.lucidinteractive.ca/index.php/Cracking_WEP_and_WPA_Wireless_Networks#Fake_Authen tication_Attack).
With airodump listening, we attack:
./aireplay -3 -b <AP MAC Address> -h <Client MAC Address> ath0Note: The -3 specifys the type of attack (3=ARP Replay).
This will continue to run, and airodump, listening fron another terminal, will pick up any reply IVs.

Interactive Packet Replay

Interactive Packet Reply is quite a bit more advanced and requires capturing packets and constructing your own. It can prove more effective then simple ARP requests but I won't get into packet construction here.
A useful attack you might try is the re-send all data attack, basically you are asking the AP to re-send you everything. This only works if the AP re-encrypts the packets before sending them again (and therefore giving you a new IV). Some APs do, some don't.
aireplay -2 -b <AP MAC> -h <Client MAC> -n 100 -p 0841 -c FF:FF:FF:FF:FF:FF ath0Fake Authentication Attack

This attack won't generate any more traffic but it does create an associative client MAC Address useful for the above two attacks. Its definately not as good as having a real, connected client, but you gots to do what you gots to do.
This is done easiest with another machine because we need a new MAC address but if you can manually change your MAC then that'll work too. We'll call your new MAC address "Fake MAC".
Now most APs need clients to reassociate every 30 seconds or so or they think they're disconnected. This is pretty arbitrary but I use it and it has worked but if your Fake MAC gets disconnected, reassociate quicker. We need both the essid and bssid and our Fake MAC.
./aireplay -1 30 -e '<ESSID>' -a <BSSID> -h <Fake MAC> ath0If successful, you should see something like this:
Awesome! Now you can use the above two attacks even though there were no clients connected in the first place! If it fails, there may be MAC Address Filtering on so if you really want to use this, you'll have to sniff around until a client provides you with a registered MAC to fake.

WPA Attacks

So far, the only way to really crack WPA is to force a re-authentication of a valid client. We need a real, actively connected client to break WPA. You might have to wait a while.

Deauthentication Attack

This is a simple and very effective attack. We just force the connected client to disconnect then we capture the re-connect and authentication, saves time so we don't have to wait for the client to do it themselves (a tad less "waiting outside in the car" creepiness as well). With airodump running in another console, your attack will look something like this:
aireplay -0 5 -a <AP MAC> -c <Client MAC> ath0After a few seconds the re-authentication should be complete and we can attempt to Dictionary Brute Force (http://docs.lucidinteractive.ca/index.php/Cracking_WEP_and_WPA_Wireless_Networks#Dictionary_ Brute_Force) the PMK.

Conclusion

Well thats that. APs crack fairly often but sometimes there is just nothing you can do. Obviously you are not allowed to illegally crack other people's wireless connections, this is purely for penetration testing purposes and some fun.

http://www.youtube.com/watch?v=_TuuTCnCVOA

A. SCOPE

This tutorial is intended for user's with little or no experience with linux or wifi. The folks over at remote-exploit (http://remote-exploit.org/) have released "Backtrack" a tool which makes it ridiculously easy to access any network secured by WEP encryption. This tutorial aims to guide you through the process of using it effectively.
Required Tools
You will need a computer with a wireless adapter listed here (http://madwifi.org/wiki/Compatibility)
Download Backtrack (http://remote-exploit.org/backtrack_download.html) and burn it's image to a CDB. OVERVIEW

BACKTRACK is a bootable live cd with a myriad of wireless and tcp/ip networking tools. This tutorial will only cover the included kismet (http://www.kismetwireless.net/) and aircrack-ng (http://www.aircrack-ng.org/doku.php) suite of tools.
Tools Overview
Kismet - a wireless network detector and packet sniffer
airmon - a tool that can help you set your wireless adapter into monitor mode (rfmon)
airodump - a tool for capturing packets from a wireless router (otherwise known as an AP)
aireplay - a tool for forging ARP requests
aircrack - a tool for decrypting WEP keys
iwconfig - a tool for configuring wireless adapters. You can use this to ensure that your wireless adapter is in "monitor" mode which is essential to sending fake ARP requests to the target router
macchanger - a tool that allows you to view and/or spoof (fake) your MAC addressGlossary of Terms
AP: Access Point: a wireless router
MAC Address: Media Access Control address, a unique id assigned to wireless adapters and routers. It comes in hexadecimal format (ie 00:11:ef:22:a3:6a)
BSSID: Access Point's MAC address
ESSID: Access Point's Broadcast name. (ie linksys, default, belkin etc) Some AP's will not broadcast their name but Kismet may be able to detect it anyway
TERMINAL: MS-Dos like command line interface. You can open this by clicking the black box icon next to the start key in backtrack
WEP: short for Wired Equivalency Privacy, it is a security protocol for Wi-Fi networks
WPA: short for WiFi Protected Access. a more secure protocal than WEP for wireless networks. NOTE: this tutorial does not cover cracking WPA encryptionSince Backtrack is a live CD running off your cdrom, there is nowhere that you can write files to unless you have a linux partition on your hard drive or a usb storage device. Backtrack has some NTFS support so you will be able to browse to your windows based hard drive should you have one, but it will mount the partition as "read-only". I dual boot windows and ubuntu on my laptop so I already have a linux swap partition and a reiserfs partition. Backtrack had no problem detecting these and mounting them for me. To find your hard drive or usb storage device, just browse to the /mnt folder in the file manager. Typically a hard drive will appear named something like hda1 or hda2 if you have more than one partition on the drive. Alternately hdb1 could show if you have more than one hard disk. Having somewhere to write files that you can access in case you need to reboot makes the whole process a little easier.

C. DISCLAIMER

Hacking into someone's wireless network without permission is probably against the law. I wouldn't recommend doing it. I didn't break into anyone else's network while learning how to do this .

D. IMPLEMENTATION

STEP 1

Monitoring Wireless Traffic With Kismet

Place the backtrack CD into your cd-rom drive and boot into Backtrack. You may need to change a setting in your bios to boot from cd rom. During boot up you should see a message like "Hit ctrl+esc to change bios settings". Changing your first boot device to cdrom will do the trick. Once booted into linux, login as root with username: root password: toor. These are the default username and password used by backtrack. A command prompt will appear. Type startx to start KDE (a 'windows' like workspace for linux).
Once KDE is up and running start kismet by clicking on the start key and browsing to Backtrack->Wireless Tools -> Analyzers ->Kismet. Alternatively you can open a Terminal and type: kismet Kismet will start running and may prompt you for your wireless adapter. Choose the appropriate adapter, most likely 'ath0', and sit back as kismet starts detecting networks in range.
NOTE: We use kismet for two reasons.
1. To find the bssid, essid, and channel number of the AP you are accessing.
2. Kismet automatically puts your wireless adapter into monitor mode (rfmon). It does this by creating a VAP (virtual access point?) or in other words, instead of only having ath0 as my wireless card it creates a virtual wifi0 and puts ath0 into monitor mode automatically. To find out your device's name just type:iwconfig Which will look something like this:
http://ryanunderdown.com/wp-content/uploads/2007/02/iwconfig.png

While kismet detects networks and various clients accessing those networks you might want to type 's' and then 'Q' (case sensitive). This sorts all of the AP's in your area by their signal strength. The default 'autofit' mode that kismet starts up in doesn't allow you much flexibility. By sorting AP's by signal strength you can scroll through the list with the arrow keys and hit enter on any AP you want more information on. (side note: when selecting target AP keep in mind this tutorial only covers accessing host AP's that use WEP encryption. In kismet the flags for encryption are Y/N/0. Y=WEP N=Open Network- no encryption 0= other: WPA most likely.) Further reading on Kismet is available here (http://www.wi-fiplanet.com/tutorials/article.php/3595531). Select the AP (access point) you want to access. Copy and paste the broadcast name(essid), mac address(bssid), and channel number of your target AP into a text editor. Backtrack is KDE based so you can use kwrite. Just open a terminal and type in 'kwrite' or select it from the start button. In Backtrack's terminal to copy and paste you use shift+ctrl+c and shift+control+v respectively. Leave kismet running to leave your wireless adapter in monitor mode. You can also use airmon to do this manually. airmon-ng -h for more help with this

STEP 2

Collecting Data With Airodump

Open up a new terminal and start airodump so we can collect ARP replies from the target AP. Airodump is fairly straight forward for help with this program you can always type "airodump-ng -h" at the command prompt for additional options. airodump-ng ath0 -w /mnt/hda2/home/ryan/belkin_slax_rcu 9 1 Breaking down this command:
ath0 is my wireless card
-w tells airodump to write the file to
/mnt/hda2/ryan/belkin_slax_rcu
9 is the channel 9 of my target AP
1 tells airodump to only collect IVS - the data packets with the WEP keySTEP 3

Associate your wireless card with the AP you are accessing. aireplay-ng -1 0 -e belkin -a 00:11:22:33:44:55 -h 00:fe:22:33:f4:e5 ath0
-1 at the beginning specifies the type of attack. In this case we want fake authentication with AP. You can view all options by typing aireplay-ng -h
0 specifies the delay between attacks
-e is the essid tag. belkin is the essid or broadcast name of my target AP. Linksys or default are other common names
-a is the bssid tag(MAC address). 00:11:22:33:44:55 is the MAC address of the target AP
-h is your wireless adapters MAC addy. You can use macchanger to view and change your mac address. macchanger -s ath0
ath0 at the end is my wireless adapters device name in linuxSTEP 4

Start packet injection with aireplay
aireplay-ng -3 -b 00:11:22:33:44:55 -h 00:fe:22:33:f4:e5 ath0
NOTES:
-b requires the MAC address of the AP we are accessing.
-h is your wireless adapters MAC addy. You can use macchanger to view and change your mac address. macchanger -s ath0
if packets are being collected at a slow pace you can typeiwconfig ath0 rate auto to adjust your wireless adapter's transmission rate. You can find your AP's transmission rate in kismet by using the arrow keys up or down to select the AP and hitting enter. A dialog box will pop up with additional information. Common rates are 11M or 54M.As aireplay runs, ARP packets count will slowly increase. This may take a while if there aren't many ARP requests from other computers on the network. As it runs however, the ARP count should start to increase more quickly. If ARP count stops increasing, just open up a new terminal and re-associate with the ap via step 3. There is no need to close the open aireplay terminal window before doing this. Just do it simultaneously. You will probably need somewhere between 200-500k IV data packets for aircrack to break the WEP key.
If you get a message like this:
Notice: got a deauth/disassoc packet. Is the source MAC associated ?
Just reassociate with the AP following the instructions on step 3.

STEP 5

Decrypting the WEP Key with Aircrack

Find the location of the captured IVS file you specified in step 2. Then type in a terminal: aircrack-ng -s /mnt/hda2/home/belkin_slax_rcu-03.ivs Change /mnt/hda2/home/belkin_slax_rcu-03.ivs to your file's location
Once you have enough captured data packets decrypting the key will only take a couple of seconds. For my AP it took me 380k data packets. If aircrack doesn't find a key almost immediately, just sit back and wait for more data packets.
http://ryanunderdown.com/wp-content/uploads/2007/02/aircrack.png

If this guide doesn't fully answer your questions you can always refer to the forums at remote-exploit.org (http://forums.remote-exploit.org/archive/index.php/f-8.html)

1. Download BackTrack (http://www.remote-exploit.org/index.php/BackTrack_Downloads)

2. Install BackTrack to your hd or just boot the live cd (username: root, password: toor; Don’t froget to start the gui: type in startx on the command lien after logging in).

3. Start up a terminal and set your wireless interface in monitor mode.
iwconfig [wireless interface] mode monitor

* to find out what your wireless interface is, type iwconfig and press enter. All interfaces will show up (mine is ath0).

4. Start airodump by typing in the terminal (press enter after typing it in)
airodump-ng –ivs -w capture [wireless interface]

5. When airodump found the network you want to hack it’ll show up. Note the BSSID (acces point’s mac address) and the SSID (the access point’s name). Don’t close this terminal window or stop airodump from running before you have the wep key!


##### Generating data, method one: There are clients visible in airodump associated to the network #####
1. Open a new terminal window and type in (press enter after typing in):
aireplay-ng [wireless interface] –arpreplay -e [the SSID which you found with airodump] -b [the BSSID you found wth airodump] -h 01:02:03:04:05:06

2. Open another new terminal window and type in (press enter after typing in):
aireplay-ng [wireless interface] –deauth 10 -a [the client’s MAC adress]

3. Wait a long time, aproximatly 10 minutes. You should see the data field in airodump raising. If you have around 500k of data, go to the cracking step of this tutorial.


##### Generating data, method two: There are NO clients visible in airodump associated to the network #####
1. Open a new terminal window and type in (do NOT press the enter button!)
aireplay-ng [wireless interface] –arpreplay -e [the SSID which you found with airodump] -b [the BSSID you found wth airodump] -h 01:02:03:04:05:06

2. Open another new terminal window and type in (do NOT press the enter button!):
aireplay-ng [wireless interface] –fakeauth -e [the SSID which you found with airodump] -a [the BSSID you found wth airodump] -h 01:02:03:04:05:06

3. Press enter in the fakeauth terminal and after it started to fakeauth, press enter as quickly as possible in the arpreplay window.

4. Open another new terminal window and type in (press enter after typing in):
aireplay-ng [wireless interface] –deauth 10 -a 01:02:03:04:05:06

5. Wait a long time, aproximatly 10 minutes. You should see the data field in airodump raising. If you have around 500k of data, go to the cracking step of this tutorial.


##### If the above two methods aren’t working, try this #####
1. Open a new terminal window and type in (press the enter button after typing it in):
aireplay-ng [wireless interface] –fakeauth -e [the SSID which you found with airodump] -a [the BSSID you found wth airodump] -h 01:02:03:04:05:06

2. Open another new terminal window and type in (press the enter button after typing it in):
aireplay-ng [wireless interface] –chopchop -e [the SSID which you found with airodump] -b [the BSSID you found wth airodump] -h 01:02:03:04:05:06

3. The chopchop starts reading packages. When it finds one, it’ll ask you to use it. Choose yes. Wait a few seconds/minutes and remember the filename that is given to you at the end.

4. Open Ethereal (click the icon in the bottom left corner > Backtrack > Sniffers > Ethereal) and open the xor file made with the chopchop attack in Ethereal (it’s located in the home folder)

5. Look with Ethereal in the captured file. Try to find the source ip and the destination ip: write those addresses down somewhere.

6. open a terminal and type in (press enter after typing in):
arpforge-ng [the name of the xor file from the chopchop attack] 1 [the BSSID you found wth airodump] 01:02:03:04:05:06 [the source ip] [the destination ip] arp.cap

7. In a new or in the same terinal window, type in (and press enter):
aireplay-ng -2 ath0 -r arp.cap

8. Wait a long time, aproximatly 10 minutes. You should see the data field in airodump raising. If you have around 500k of data, go to the cracking step of this tutorial.


##### The actual cracking of the WEP key #####
1. Open a new terminal window and type in
airecrack-ng -n 64 capture-01.ivs (for a 64 bits encryption, enter after typing)
or
airecrack-ng -n 128 capture-01.ivs (for a 128 bits encryption, enter after typing)
If you don’t know how strong the encryption is, type in both in different terminals and start a third terminal. Type in this code:
airecrack-ng capture-01.ivs

2. Wait a few minutes. Check the terminal(s). The code will automaticly show up if found. Keep airodump running!

DISLAIMER:I don’t think I have to mention that you need written permission from the owner of the network before you are allowed to start cracking his wep or even before you are allowed to capture packages. Just try it with your own network. You’ll learn a lot about it. But never ever try it with another network than your own.

I’ve done it to my own WiFi at home and the simplicity of it is mind boggling. My philosophy is that the more people have out there that shows the lask of security, the more the security ware people will actually make there apps/hardware/code secure.

This text “how to” may be a bit confusing because you can’t see the command line, for us visual learners that is a bit of a handicap. So I hunted around for the old whoppix wep cracking AVI. Every link I could find that took me to a direct view of the video (originally presented in flash) was dead so I found a place to DL the actualy file. I wanted to preseve the best quality so I just posted it for download. Click the link below to DL the ORIGINAL video file from rapidshare. (BTW - its around 50mb)

Download The 7z File Here>> It is labeled Wep Cracking AVI.7z (http://rapidshare.de/files/29552384/WEP_CRACKING_AVI.7z)
This is themostboringblogintheowrld saying keep information free.

Đây là một phần trong bài thực tập của mình! Các bạn nào quan tâm thì xem nhé
Có nhiều phần còn phải sữa! nên các bạn xem và đóng góp ý giúp mình nha.
Thiết bị phần cứng (quan trọng nhất là card ko dây...có hổ trợ monitor mode) là một phần quan trọng để làm cái lap này! Mình mượn ở Khoa.
Ai muốn có file word hoàn chỉnh thì mail cho mình!
chúc vui!

5.3 Crack WEP và cách bảo vệ
Mục đích: Xem xét khả năng dò khóa mã hóa WEP của wifi và đưa ra giải pháp phòng chóng.
5.3.1 Xây dựng hệ thống
Mô hình thử nghiệm:
- Giả lập một mạng WLAN giống thực tế gồm: 1 AP Planet WAP-1966 và một máy tính có card không dây.
- Công cụ crack: Dùng bộ chương trình phần mềm Aircrack-ng, kismet, đĩa Back Track 2, hai máy tính mỗi máy dùng card Planet WL-8035 tương thích với Aircrack-ng.
Các tên gọi:
- Wireless accesspoint: Target AP
- PC với card wireless có thể dùng được: Target PC
- PC A và PC B có card wireless Planet WL-8305 (có thể dùng mode Monitor)
Để crack mạng WLAN mục tiêu, đầu tiên ta phải biết rõ mọi thông tin về mục tiêu. Những thông tin đó là:
- SSID hoặc ESSID của mạng.
- Kênh của mạng.
- Kiểu mã hóa
- Địa chỉ MAC address của Target AP & MAC address của Target PC.
Nhiệm vụ của PC A là capture dữ liệu trong mạng, giữa Target AP và Target PC rồi lưu lại thành file, sau đó dùng file này để dò ra WEP Key. Tuy nhiên vì mạng thử nghiệm, có quá ít lưu thông mạng nên ta dùng Aireplay-ng chạy trên PC B để bơm các gói tin đến AP, làm cho quá trình capture dữ liệu trên PC A diễn ra nhanh hơn.
[/b]5.3.2 Các bước tiến hành crack[b]
Bước 1: Cấu hình lab (như hình)
- Target AP được cấu hình security với:
· WEP Key: abcde12345 (64bits hệ HEXA)
· SSID: WEPKey
· Channel: 6
- Target PC kết nối bình thường với Target AP với:
· SSID: WEPKey
· Key: abcde12345
Bước 2: Thu thập thông tin và crack
B2.1: Chạy Kismet để thu thập thông tin:
- Địa chỉ MAC address của Target AP & MAC của Target PC.
- SSID của mạng.
- Kênh của mạng.
- PC A: Chạy Kismet để thu thập thông tin
Ta chuyển card sang chế độ Monitor rồi chạy
iwconfig wlan0 mode Monitor

http://files.myopera.com/nmtoan1910/albums/427724/IMGAL27BOP8UW.gif

Thu thập thông tin :
· Target MAC AP address: 00:30:4F:2B:9D:0A
· Target MAC PC address: 00:11:F5:BE:32:80
· SSID: webKey
Sau khi thu thập đủ thông tin về mục tiêu thì ta tiến hành dùng bộ công cụ Aircrack-ng để dò tìm khóa mã WEP.
Vẫn trên PC A ta chạy Airdump-ng để biết kiểu mã hóa và bắt giữ packet rồi lưu lại thành file (*.cap hoặc *.ivs).
Airodump-ng - -ivs - -write test - -channel 6 -b 00:30:4F:2B:9D:0A wlan0
Trong đó:
· --ivs: Chỉ capture file ivs khi Target AP gởi và nhận dữ liệu.
· --write test: Capture lại và ghi thành file *.ivs có mở đầu là test Ex: test-01.ivs
· --channel 6: Kênh phát của AP.
· -b 00:30:4F:2B:9D:0A: MAC address của AP

http://files.myopera.com/nmtoan1910/albums/427724/IMG1EV1NVUTXP.gif

B2.2: Chạy Aireplay-ng để làm phát sinh thêm dữ liệu lưu thông mạng (do mạng thử nghiệm nên ít traffic)
- PC B: Chạy Aireplay-ng:
Lúc này ta chạy Aireplay-ng, để nó gởi các gói tin deauthentication đến AP làm cho AP mất kết nối, kick Client ra khỏi mạng, Client phải gởi các yêu cầu ARP request đến kết nối lại với AP. Sau đó chạy Aireplay-ng với tham số khác để giả dạng gởi các ARP request này liên tục đến AP, làm cho AP trả lời các yêu cầu này. Lúc này trên PC A Airodump-ng sẽ bắt giữ các gói tin trả lời từ AP có chứa IV

· Chuyển card sang chế độ Monitor
iwconfig wlan0 mode Monitor
· Chạy tool: Aireplay-ng
Aireplay-ng -0 10 -a 00:30:4F:2B:9D:0A wlan0
Trong đó:
· -e wepkey: SSID của Target AP.
· -a 00:30:4F:2B:9D:0A: MAC address của Target AP.
· - 0 10: Deauth attack lặp lại 10 lần.

http://files.myopera.com/nmtoan1910/albums/427724/IMGEKLMD4SJTG.gif

Chạy tiếp lệnh:
Aireplay-ng –b 00:30:4F:2B:9D:0A –e wepkey –h 00:11:F5:BE:32:80 -x 500 wlan0
Trong đó:
· –b 00:30:4F:2B:9D:0A: MAC address của Target AP.
· -e wepkey: SSID của Target AP.
· –h 00:11:F5:BE:32:80: MAC address của Target PC.
· -x 500: số packet flood trên mỗi s.


http://files.myopera.com/nmtoan1910/albums/427724/IMGHPVKD6ZPD4.gif


Bước 3: Đợi airodump-ng capture ít nhất 250 ngàn packet
Aircrack-ng –n 64 –b 00:30:4F:2B:9D:0A test-01.ivs
Một số kết quả khi chạy Aircrack-ng:

- Khi chưa đủ lượng Ivs

http://files.myopera.com/nmtoan1910/albums/427724/IMGLX85Z1UQIE.gif

- Khi đủ:

http://files.myopera.com/nmtoan1910/albums/427724/IMGX1MFAX7BQR.gif

Mất 4:32s

Hi Bạn! Mình cám on bạn về bài viết này, nhung máy minh sử dụng wireless key của NetGear cắm vào máy qua cổng USB. Loại giống như là thẻ nhớ đó Bạn thì chương trình này không nhận được. Trong Win thì mình vẫn online bằng wireless key đó. Bạn có cách nào hướng dẫn mình với.
http://netgear.com/Products/Adapters/SuperGWirelessAdapters/WG111T.aspx
Link này là hình của cái adapter mình đang sử dụng đấy.
Thanks a lot!!!!

Dùng win thì không crack được đâu bạn à, bạn nên dùng Unix để hack. Nếu máy của bạn cài Ubuntu thì bạn đọc cách cài Driver cho USB tại địa chỉ : http://ubuntuforums.org/showthread.php?t=258732
Còn nếu bạn dùng Backtrack, online được thì chắc sẽ crack được. Bạn phải cho mình biết về OS mà bạn dùng nha, Ubuntu hay Backtrack

Mình dùng Backtrack, gõ vào dòng lệnh iwconfig để kiểm tra WLAN card. nhưng nó không kiếm đựơc card wireless nào cả. Dể Mình kiếm cách cà driver cho nó. Cám ơn Bạn rất nhiều chắc mình còn phải học hỏi bạn nhiều.Thanks again!!!!

Bạn vào google search với từ khóa netgear wg111t linux driver là sẽ có cách cài đặt driver cho linux, sau khi online dc bằng BT thì bạn hack dễ dàng thôi
Chúc may mắn !