کرک WEP با استفاده از Aircrack-ng

WEP (Wired Equivalent Privacy) ضعیف ترین مکانیزم رمزگذاری منسوخ شده است که توسط روترها برای رمزگذاری بسته هایی که از طریق خود روتر عبور می کنند، استفاده می شود. برای همین کرک WEP راحتترین روش هک وای فای محسوب می‌شود.

WEP از رمزگذاری 64 بیتی و 128 بیتی به عنوان یک استاندارد استفاده می کند، اما محققان امنیتی نقص های بسیاری در این مکانیزم مانند تولید کلید استاتیک، روش دوباره کلید سازی سریع را کشف کردند. بسیاری از آسیب پذیری ها کشف شد و بسیاری از حملات بر این اساس طراحی شدند.

• حمله هایی مانند
• حمله Korek’s Chop-Chop، توسط Korek
• حمله Caffe Latte، توسط Vivek Ramachandran
• حمله Hirte، توسعه حمله Caffe-Latte
• حمله Fragmentation

بررسی اجمالی

WEP بدون در نظر گرفتن طول رمزگذاری، به روش‌های مختلفی قابل شکستن است. 64 بیتی یا 128 بیتی یا 152 بیتی یا پیچیدگی و طول کلید شما، در هرصورت پسورد شما با رمزگذاری WEP روی اکسس پوینت قرار است شکسته شود. تنها چیزی که مورد نیاز است تعداد IV (Initialization Vectors) ها است یا به عبارت ساده تر تعداد بسته های داده (Data Packets) که برای رمزگشایی ترافیک کپچر شده و بازیابی کردن کلید استفاده می‌شود.

WEP درحال حاضر منسوخ شده است، اما جایگزین بهتری برای آن داریم WPA2 که از نظر مکانیسم رمزگذاری در حال حاضر ناگسستنی هست. اگرچه در صورت فعال بودن WPS در روترها نیز می‌توان کلید WPA2 را بازیابی کرد.

ممکن است فکر کنید که چرا کرک WEP با اینکه قدیمی است را باید مطالعه کنیم؟

این کار برای یادگیری و درک مکانیسم کرک WEP ضروری است زیرا لازم است بدانید که از کجا آغاز شده است. و شاید هنوز هم بسیاری از اکسس پوینت‌های اطراف شما از رمزگذاری WEP استفاده می‌کنند.

مرحله 1: اجرای Aircrack-ng

کارت وایرلس خود را وصل کرده و در ترمینال کالی دستور airmon-ng را وارد کنید. تا بررسی کنید که اینترفیس وایرلس شما توسط ابزار airmon-ng شناسایی شده است. ما در این آموزش از اینترفیس wlan0 یعنی کارت وایرلس TP-LINK WN-722N استفاده خواهیم کرد.

مقاله بهترین آداپتور‌های تست نفوذ وای‌‌ فای را بخوانید.

airmon-ng

مرحله 2: بستن پروسه‌ها برای جلوگیری از تداخل

دستور زیر را برای جلوگیری از برنامه‌های مشکل ساز اجرا کنید.

airmon-ng check kill

شما همچنین می‌توانید پروسه‌ها را به صورت دستی kill کنید، که ما بعداً در مورد آن بحث خواهیم کرد.

مرحله 3: کارت وایرلس را در حالت Monitor Mode قرار دهید

airmon-ng start wlan0

کارت وایرلس در حالت مانیتور (wlan0mon) قرار گرفت، اکنون زمان اسکن محیط است. برای این کار، ما از ابزار airodump-ng استفاده خواهیم کرد.

مرحله 4: گرفتن ترافیک محیط

دستور airodump-ng [monitor interface] را اجرا کنید و یک اکسس پوینت WEP را شناسایی کنید.

airodump-ng wlan0mon

در اینجا ESSID موردنظر ما wifi است، و MAC آدرس هایی که در تصویر هایلایت شدند دستگاه‌هایی هستند که به روتر با مک آدرس ‎64:64:B3:BE:BE:07 متصل هستند.

بعد از اینکه یک AP با Encryption WEP شناسایی کردید CTRL+C را بزنید و باتوجه به ردیف AP موردنظر، اطلاعات را طبق زیر یادداشت کنید.

• BSSID (MAC AP): 64:64:B3:BE:BE:07
• ESSID (Name AP): wifi
• Channel (CH): 1
• Station (STA): AC:AC:EE:F4:F4:31

ما طبق سناریو از این اطلاعات استفاده خواهیم کرد. ما برای کاهش حجم فایل pcap از اطلاعات بالا در دستور airodump-ng استفاده می‌کنیم تا با گرفتن اطلاعات مربوط به AP، مراحل کرک را سریعتر کنیم.

مرحله 5: گرفتن ترافیک AP موردنظر

برای کرک پسورد WEP باید BSSID، شماره کانال AP موردنظر و محل ذخیره فایل را در دستور airodump-ng وارد کنید.

airodump-ng --bssid [MAC AP] -c [CH num] -w [filename] wlan0mon
airodump-ng --bssid 64:64:B3:BE:BE:07 -c 1 -w wifi wlan0mon

در دستور بالا پارامترهای

• ‎–bssid مک آدرس اکسس پوینت
• ‎-c شماره کانال
• ‎-w نام فایل خروجی

‎

به قسمت ‎#Data در خروجی توجه کنید. Data داده‌های گرفته شده از اکسس پوینت wifi است. در مورد AP هایی که از WEP استفاده می‌کنند ‎#Data همان IV هایی است که برای رمزگشایی کلید استفاده خواهد شد. به یاد داشته باشید که Data های بیشتر باعث کرک سریعتر WEP می‌شود.

در تصویر بالا فقط 1444 بسته گرفته شده. برای شروع کرک شما حداقل باید 5000‎ IV داشته باشید، با چنین تعدادی فقط می‌توان ساده ترین پسوردهای 5 رقمی مانند 11111، 12345 را کرک کرد.

ما به چندین هزار بسته نیاز داریم. اما از آنجایی که گرفتن بسته به زمان زیادی نیاز دارد و ما صبور نیستیم، برای سرعت کار ما باید بسته ها را به ‌AP اینجکت (inject) کنیم.

همانطور که در تصویر بالا دیدید در قسمت station تعدادی دستگاه به روتر متصل هستند. اما اگر شما در این قسمت MAC آدرسی مشاهده نکردید، باید صبر کنید تا شخصی به AP وصل شود تا بتوانیم مک آدرس او را از کارت شبکه آنها دریافت کنیم. هنگامی که مک آدرس آنها را داریم، می توانیم MAC آنها را جعل (spoof) کنیم و بسته ها را در AP آنها تزریق کنیم. حالا می توانیم حمله مان را سریع‌تر کنیم!

مرحله 6: اینجکت ترافیک ARP

برای جعل مک آدرس آنها و اینجکت بسته ها، می توانیم از دستور aireplay-ng استفاده کنیم. ما به BSSID و مک آدرس کلاینتی که به AP موردنظر متصل شده است نیاز داریم. ما یک بسته ARP را دریافت می کنیم و سپس هزاران بار آن را منتشر می کنیم تا IV هایی را که برای کرک WEP نیاز داریم را تولید کنیم. به این روش ARP Request Replay گفته می‌شود. قبل از اینکار دستورات زیر را در ترمینال‌های جداگانه وارد کنید.

 تست Packet Injection روی اکسس پوینت

قدرت کارت وایرلس به طور معمول کمتر از قدرت AP است. بنابراین شما باید از نظر فیزیکی به اندازه کافی به AP موردنظر نزدیک باشید تا بتوانید بسته ها را به AP ارسال و دریافت کنید. برای اینکار روی AP موردنظر، تست Packet Injection انجام می‌دهیم و مطمئن می‌شویم که کارت وایرلس ما در فاصله نزدیک AP قرار دارد و می تواند بسته ها را به آن اینجکت کند.

aireplay-ng -9 -a 64:64:B3:BE:BE:07 wlan0mon

• ‎-9 یعنی تست injection
• ‎-a مک آدرس اکسس پوینت

تأیید هویت جعلی (fake authentication) با اکسس پوینت

برای اینکه AP یک بسته را بپذیرد باید با مک آدرس آن از قبل ارتباط داشته باشد. بنابراین مک آدرسی که برای اینجکت استفاده می کنید، باید یا از طریق تایید هویت جعلی (fake authentication) باشد یا مک آدرس کلاینتی باشد که قبلاً با AP در ارتباط بوده است.

برای ارتباط با اکسس پوینت، از تأیید هویت جعلی استفاده کنید:

aireplay-ng -1 0 -a 64:64:B3:BE:BE:07 -h c4:c4:84:7b:7b:82 wlan0mon

• ‎-1 یعنی fake authentication
• ‎-a مک آدرس اکسس پوینت
• ‎-h مک آدرس کارت وایرلس شما

برای مشاهده مک آدرس کارت وایرلس‌تان دستور macchanger –s wlan0mon را وارد کنید.

در آخر حمله ARP Request Replay را انجام دهید، و صبر کنید تا Data به سرعت در حال افزایش شود.

aireplay-ng -3 -b 64:64:B3:BE:BE:07 -h c4:c4:84:7b:7b:82 wlan0mon

زمانیکه بسته‌های ARP را به اکسس پوینت اینجکت می کنیم، IV های تولید شده در فایل wifi گرفته می‌شوند. اکنون زمان آن رسیده که کلید را از فایل کپچر شده بدست بیاوریم.

مرحله 7: کرک پسورد

دستور aircrack-ng [output filename].cap را اجرا کنید. سپس صبر کنید تا کلید را پیدا کند.

ls
aircrack-ng wifi-01.cap

همانطور که در تصویر بالا مشاهده می کنید، با ‎5788 IV موفق نشدیم پسورد را کرک کنیم. پس باید با aireplay-ng بسته‌های بیشتری تولید کنیم. این بار ما روی ‎23000 IV امتحان می‌کنیم. بعد از گرفتن تعداد زیادی ‎#Data مجدد دستور بالا را وارد کنید تا aircrack-ng پسورد را در خروجی نمایش می دهد.

عوامل مؤثر در دریافت Data ها

1. کاربر در حال اتصال یا قطع اتصال (آهسته ترین حالت)

2. کاربر در حال مرور یا دانلود (سریعترین حالت، در چند ثانیه تا 20 هزار بسته دریافت می‌کند)

این موارد ایده آل هست زیرا تقریباً در هر زمانی مطمئن نیستید که کاربر در حال دانلود/اتصال به شبکه باشد.

روش دیگر برای رفع خطای “Monitor mode” در کالی لینوکس

ما برای kill کردن تمام پروسه‌های درحال اجرا از airmon-ng check kill استفاده می کنیم، ولی می توانیم از دستور service network-manager stop استفاده کنیم. اما بعد از پایان تست نفوذ و برای اتصال به شبکه باید دستور service network-manager start را اجرا کنید.

service network-manager stop
service network-manager start

منتظر آموزش بعدی باشید و اگر سؤالی داشتید، حتماً در نظرات زیر بپرسید.