[Tutorial] WEP gesichertes WLAN knacken (Fragmentation Attack)

Das könnte Dich auch interessieren...

  • mr.pwnd

    Vorbildliches Tutorial

    kurz, informativ, verständlich!

    mr.pwnd bedankt sich herzlichst!

  • Pingback: datenritter blog()

  • Pingback: Feldstudie.net .::. 0012BF4668BD, WPA2, Mac-Adresse, Passwort .::. [Tutorial] WPA gesichertes WLAN ‘hacken’()

  • Pingback: Feldstudie.net .::. Besucher, Besuchern, Blog, Semmelstatz .::. 100 Besucher pro Tag-Grenze überschritten()

  • Priyaa

    Hallo,

    Ich bin eine Studentin und mache ein Projekt über WEP Schlüssel knacken.

    Dazu soll ich ein Attack Pattern (Angriff-Muster) erstellen. Es soll allgemein gemacht werden. Ich habe einige Schritte gemacht und trotz soll mein Pattern falsch sein.

    Deshalb habe ich google nachgelesen und habe die Anleitung von Ihnen gefunden. Soviel information hätte ich auch nicht für WEP Angriff von Ihre Anleitung finden können.

    Können Sie mich bitte bei der erstellung des WEP Attack Pattern unterstürzen. Ich wäre Ihnen sehr dankbar.

    Über die positive Antwort von Ihnen würde ich mich sehr freuen.

    MfG
    Priyaa

  • Hi Priyaa,

    ich würde erstmal sagen, wir gehen zum ‘Du’ über. 😉

    Soweit ich kann, helfe ich natürlich gerne. Ist mit dem Attack Pattern einfach nur der Ablauf von der Handlung her gemeint oder was genau passiert (welche Pakete wie abgefangen oder gefaked werden müssen, etc.)? Schick mir doch sonst einfach mal das zu, was Du bereits hast und ich schaue es mir mal an.

    Gruß, Torsten

  • Renolds

    Hallo ,
    ich bin gerade dabei eine Seminararbeit über WEP zu schreiben. Ich muss im Rahmen dieser ein Paar Angriffe durchführen. Ein davon ist den AP dazu bringen mir (böser Angreifer;-) ) die Paketen und Anfragen von bereits ehrlichen und Authentifiziereten Host weiterzuleiten. Mit anderen Worten geht es darum den AP als Entschlüsselungsoracle zu missbrauchen. In der Airckrack-ng Sammlung sollte irgendwas geben. Bis jetzt leider ohne Erfolg.

    Kann mir jemand helfen?
    Danke im Voraus.

  • Hallo Renolds,

    die Daten brauchen nicht vom AP weitergeleitet werden. Man sollte sie normalerweise direkt ‘aus der Luft’ mitsniffen können. Wenn zuvor der WEP-Schlüssel herausgefunden wurde, sollten die Daten auch Klartext sein. Oder habe ich Dich falsch verstanden?

  • Renolds

    Hallo Torsten,
    zuerst danke ich dir für die rasche Antwort. Ich habe hier ein anders Szenario: nämlich ohne im Besitz des Schlüssels zu sein. Ein Ehrlicher Host sendet z. B. eine Anfrage an goole.de, also
    Host A sendet an AP (im gleichen Netz und WEP ist aktiv)
    “ping http://www.google.de“, der AP entschlüsselt die Anfrage und leitet die normalerweise weiter an Google (Oder DNS Server). Hier kommt der Angriff (nämlich der AP leitet die Anfrage jetzt im Klartext an dem Angreifer).

    Ich hoffe, das ich es erklären konnte.

    Gruss

  • Das wird IMHO so nicht funktionieren, da die gesamte Funkübertragung mit WEP funktioniert.
    Ich gehe doch richtig in der Annahme, dass der Angreifer auch über Funk arbeitet und nicht kabelgebunden, oder? Weil dann wäre es ja nur ein einfacher MITM-Angriff und hätte nichts mit WLAN zu tun.
    Ansonsten wäre es bedeutend einfacher, erst den Schlüssel zu ‘knacken’ und dann den Verkehr mitzusniffen.

  • Renolds

    Hallo Torsten,
    folgendes habe ich im Netz gefunden: Das beschreibt genau diesen Angriff.

    Verschlüsselte Pakete umleiten:

    Der Angreifer kann anstatt der Daten auch den Header eines Pakets manipulieren. Wenn er die Ziel-IP-Adresse eines Pakets so ändert, dass sie auf ein unter seiner Kontrolle stehendes System außerhalb des WLAN zeigt und das manipulierte Paket an den Access Point des WLAN schickt, wird dieser das Paket entschlüsseln und an das System des Angreifers schicken

    Dieser ist unter:
    http://entwickler.de/zonen/portale/psecom,id,99,news,35890,.html
    zu finden.

    Also es geht darum die IP im Header und die CRC anzupassen!
    Ich weiß aber nur nicht wie!!
    Gruss

  • Ein Kollege und ich haben uns mal grade WEP-verschlüsselte Pakete angeschaut. Auch der Header, in welchem die IPs, etc. enthalten sind, sind verschlüsselt.
    Wie soll man die IPs spoofen können, wenn man sie nicht auslesen kann. Ohne das WEP-Passwort ist dies IMHO nicht möglich.

  • Renolds

    Hallo Torsten,

    Nicht ganz, WEP beuntzt RC4 und die CRC 32. Aufgrund der Linearität der CRC Prüfsumme und Modulo 2 Rechnungen, können die Daten nur 0 und 1 sein. Nun kann ein Angreifer die IP ändern (Festlänge) und die CRC anpassen. Der AP merkt nichts von, da die Daten sowieso mit einem gültigen Stream verschlüsselt waren. Das ist die Theorie aber das klappt (Ich weiss nur nicht, wie ich das mit aircrack hinbekomme ). Wenn du willst schicke ich dir eine PDF Datei mit dem Beweis.

    Gruss

  • Renolds

    Szenario:

    Eigentliche Ziel adresse verschlüsselt:
    00 11 01 11 00 (nur Bsp.) *
    Angreifer kann durch einfachen XOR die IP änderen: Z. B. . Er möchte, dass die Daten auf 11 00 11 00 11 umgeleitet werden.
    da addiert er einfach 11 11 10 11 11 zu * und schon steht er als Ziel im Header. Voraussetzung: Er muss die CRC anpassen damit der AP die Daten nicht dropt, entschlüsselt und an dem Angreifer weiterleitet. (Die Daten wurden von einem ehrlichen Host geschickt, d. h. der Keystream ist gültig und der AP nimmt dann die Daten an).

    Ist der Prinzip zu einiger Maßen klar?

  • Jo, das Prinzip ist mir jetzt schon einigermaßen klar, würde mich dennoch freuen, wenn Du mir das PDF trotzdem mal zukommen lassen könntest. E-Mail-Adresse findest Du im Impressum.

    Danke Dir schon mal im Vorraus.

  • Renolds

    Hallo Torsten,
    ich wollte mal fragen, ob du was herausfinden konntest?

    Gruss

  • Das Problem ist, dass ich Dein PDF noch nicht bekommen habe. Könntest Du es vielleicht nochmal schicken? An welche Adresse ist es denn gegangen?

  • Renolds

    Hallo Torsten,

    Die email hatte ich an [email protected] geschickt.
    Ich habe auch von Keinem E-mail-Server eine Fehlermeldung bekommen!.

    Ich schicke dir die PDF an die Selbe Adresse nochmal.
    Gruss

  • Renolds

    sorry verschrieben, [email protected]

  • Ok, wollte grade schon nachfragen. 🙂

  • Renolds

    Habe die Datei gerade geschickt. Eine Frage: weisst du jetzt, ob dieser Angriff mit Aircrack realisieren lässt??.

    Ich habe an folgendes Szenario gedacht:
    – Angreifer Spooft den AP (somit bekommt er die Pakete), Paßt inden die IP und CRC und schickt die an den eigentlichen AP weiter. Dieser entschlüsselt die und schickt die weiter an dem Angreifer. Was denkst du?

    Gruss

  • Renolds

    Hallo Torsten,

    wollte mal fragen, ob du was gefunden hast?

    Gruss

  • Habe die Datei immer noch nicht erhalten. Schicke das PDF bitte nochmal an [email protected]

    Danke.

  • Tarkan

    Hallo Torsten,

    Vielen dank für deinen beitrag, jedoch hab ich da schwirigkeiten. Hab es gerade an meinem eigenem netz versucht, bzw getestet..

    bin bei schritt 4 hangen geblieben.

    –> aireplay-ng -5 -b 00:12:BF:46:68:BD wlan0

    die meldung kommt nach dem ich “y” eingegeben hab:
    Sending fragmented packet
    no answer, repaeating..
    still nothing, trying another packet…

    kannst du mir erklären wieso es nicht funktioniert? mache ich was falsch?

  • Tarkan

    hier die genaue meldung(bin immernoch am versuchen:)):

    Data packet found!
    sending fragmented packet
    not enough acks, repeating..
    sending fragmented packet
    no answer, repeating
    trying a llc null packet
    sending fragmented packet
    no answer repeating
    und und und… am schluss…
    still nothing trying another packet..
    read 92 packets… (was ich auch schon bis zu 600 hatte)

    gruss
    tarkan

  • Was ist das für ein Accesspoint, den Du ‘knacken’ möchtest und wie weit bist du von ihm entfernt?

  • Tarkan

    es ist mein eigener,

    Netopia 3347 Wireless router..

  • Ok, den kenne ich nicht. Bei neueren Accesspoints kann es allerdings möglich sein, dass es nicht ohne weiteres möglich ist. Zumindest nicht über diese Methode. Ein weiterer Faktor kann die Entfernung zum Accesspoint bzw. die Empfangsqualität sein. Bei zu schlechtem Empfang können die benötigten Pakete u.U. nicht empfangen werden.

  • http://board.protecus.de/t34622.htm – auf meiner Recherche bin ich noch über folgende Anleitung gestossen, die dieser sehr ähnlich ist.

    gut wäre mal eine Liste mit Karten die funktionieren

  • @Jan: naja, habe mein Tutorial gut ein halbes Jahr vorher veröffentlicht. Aber sonst ein sehr schönes Tutorial.

  • Script-Kiddie

    hallo guten abend alles fit ? mal ne frage klappt das alles auch wirklich ? man sieht ja garnicht wie das programm heißt wo mit wep schlüssel bekommt und wo sie zu kriegen sind

  • @Script-Kiddie: Nein, natürlich funktioniert das alles nicht. Die ganzen Foren und Communities sind überflüssig, die Tutorials wurden erfunden und die Sicherheitsbedenken bzgl. WEP sind paranoid.
    Die Namen der Tools stehen mehrfach im Artikel und selbst der Name der Suite ist sowohl in den Tags zu finden als auch nochmal extra verlinkt.
    Habe den Nick mal auf einen Treffenderen geändert.
    Und schreib nie wieder Kommentare unter meiner E-Mail-Adresse…

  • Someone

    Hallo Torsten!

    Vielen Dank für deine informative Seite. Eine Frage habe ich noch. Welchen Adapter hast du benützt?
    Meiner scheint nämlich den MonitorMode nicht zu unterstützen.

    vielen Dank

    Someone

    • Ich nutze entweder die Orinoco Gold für den PCMCIA Slot oder den AWUS036EH USB Adapter mit Realtek Chipsatz.

      • Someone

        aja, ok danke dir. Ich hatte mir die überlegt: http://geizhals.at/a240633.html Was hälst du von der? Achja woher weiß ich welche Karte sich in Monitor Mode umschalten lässt?

        Danke

  • alex

    hi erstma!
    ich finde dein tutorial wirklich gut erklärt. ich habe das mit meinem vater ausprobiert und konnte sein wep passwort rausbekommen. jetzt habe ich folgende frage: wenn ich das wep passwort habe möchte ich mich ja auch verbinden. doch wie soll ich die daten rausfinden? also die ip, subnet mask, default gateway, dns?
    wäre nett von dir wenn du mir hifst.
    lg alex

    ps. die daten hab ich schon da ich ja über wlan internet habe. ich meinte wie das die anderen rausfinden.

    • Freut mich, dass Dir das Tutorial gefällt.
      Um das WEP-Passwort zu ‘bekommen’ benötigst Du keine IP, Subnet oder DNS. Das ist erst dann notwendig, wenn der WEP bzw. WPA-Schlüssel bekannt ist. Die fehlenden Daten (nach erfolgreichem Connect mittels WEP / WPA) bekommst Du im optimalen Fall über einen DHCP-Server oder über einen Sniffer wie z.B. Wireshark. Dazu ist dann allerdings etwas Kenntnis über Netzwerkaufbau und -diensten erforderlich.

  • alex

    hi!
    danke für deine antwort.
    könntest du mir vielleicht was empfehlen? bücher oder internet seiten? ich interessier mich sehr für das thema und möchte den weg der “hacker” (cracker) nachvollziehen. schonmal danke im voraus.
    lg alex

    • Ich würde Dir erstmal empfehlen, Dich mit Netzwerkgrundlagen zu beschäftigen. Ansonsten schau dir entsprechende Einträge auf Wikipedia und den Artikel http://ccc.de/hackerethics?language=de an. Alles weitere findest Du mehr oder weniger beiläufig, wenn Du Tipp 1 befolgst. 😉

  • Max

    Hallo Torsten.
    Ich habe nun deine Technik erfolgreich ausprobiert, und mein WEP Passwort ermittelt, jedoch möchte ich nun den Zugang zum Router herstellen. Gibt es eine Möglichkeit an das Passwort vom Router zu kommen?

    • Die Frage ist, warum Du jetzt an das Router-Passwort möchtest. Dies soll keine Anleitung zum ‘Cracken’ fremder WLANs sein, sondern soll lediglich dazu dienen aufzuzeigen, wie unsicher WEP mittlerweile ist. Das unerlaubte Mitschneiden von Paketen und das Eindringen in fremde Netze ist strafbar. Das ‘knacken’ von Passwörtern, etc. erst recht.

      • irgendsontyp

        HAHA geiler kommentar …. du glaubst doch nicht das das irgendwer ohne hintergedanken versucht.
        zumindest 90% der nutzer nicht.

        • radopi

          Ich hacke nur mein eigens dafür eingerichtetes Ad-Hoc Wlan

  • barca

    hi
    ich bin beim 4. Schritt angekommen, nur erstellt er keine datei, die “fragment-0331-104558.xor” heisst. Wenn ich den Befehl eingebe, geht es bis “Watin for a data package”, weiter kommt er nicht, stattdessen geht die Zahl der packages von “a auf 1,2 und so weiter hoch, bei 20 000 (nach ca. einer halben Stunde oder so) habe ich den Prozess wieder abgebrochen. Was soll ich machen, damit die Informationen eines Packages in dieser fragment-datei abgespeichert werden können?
    Bis zu diesem Schritt ist alles nach Plan gelaufen….

    Würde mich sehr über Hilfe freuen

    • radopi

      Bei mir ist es auch so. Was kann man da machen?