LabEx
EntrarÚnete

Crear un Ataque Caffe-Latte para Dirigirse a un Cliente WEP

Beginner
Practicar Ahora

Introducción

El ataque Caffe-Latte es un ataque del lado del cliente dirigido al protocolo WEP. A diferencia de muchos otros ataques Wi-Fi que se dirigen al Punto de Acceso (AP), este ataque se centra en un dispositivo cliente conectado a la red. Funciona engañando al cliente para que envíe paquetes que se pueden utilizar para reconstruir el keystream WEP, lo que finalmente conduce a la recuperación de la clave WEP. Este método es particularmente efectivo porque no requiere que estés cerca del AP legítimo; solo necesitas estar dentro del alcance del cliente.

En este laboratorio, utilizarás la suite Aircrack-ng para realizar un ataque Caffe-Latte. Aprenderás a identificar un objetivo, configurar un AP falso para atraer al cliente, forzar al cliente a conectarse y capturar los datos necesarios para generar un keystream WEP.

Este laboratorio es solo para fines educativos.

Identificar un Cliente Conectado a una Red WEP

En este paso, aprenderás a identificar una red WEP objetivo y un cliente conectado. La herramienta principal para esta fase de reconocimiento es airodump-ng, que escanea redes inalámbricas y lista los dispositivos conectados.

Primero, necesitas poner tu interfaz inalámbrica en modo monitor. Este modo permite que la tarjeta de red escuche todo el tráfico Wi-Fi en el aire, no solo el tráfico dirigido a ella. Asumiremos que tu interfaz inalámbrica se llama wlan0.

Ejecuta el siguiente comando para iniciar el modo monitor:

sudo airmon-ng start wlan0

Este comando probablemente creará una nueva interfaz virtual, típicamente llamada wlan0mon. La salida confirmará el nombre de la interfaz en modo monitor.

PHY     Interface       Driver          Chipset

phy0    wlan0           ath9k           Atheros Communications Inc. AR9271 802.11n
                (mac80211 monitor mode vif enabled for [phy0]wlan0mon on [phy0]wlan0)

Ahora, usa la interfaz monitor recién creada (wlan0mon) para escanear redes. Ejecuta airodump-ng y déjalo escanear durante unos 15-20 segundos, luego deténlo presionando Ctrl+C.

sudo airodump-ng wlan0mon

En un entorno real, airodump-ng mostraría una lista de redes y clientes cercanos. Para este laboratorio, trabajaremos con un escenario simulado. La salida se vería algo así:

CH  6 ][ Elapsed: 15 s ][ 2023-10-27 10:30

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 00:11:22:33:44:55  -30       10       15    0   6  54e  WEP  WEP         TestWEP

 BSSID              STATION            PWR   Rate    Lost    Frames  Probe

 00:11:22:33:44:55  AA:BB:CC:DD:EE:FF  -45    0 - 1      0        18

De esta salida, necesitas identificar:

  • BSSID: La dirección MAC del Punto de Acceso (00:11:22:33:44:55).
  • STATION: La dirección MAC de un cliente conectado a él (AA:BB:CC:DD:EE:FF).
  • CH: El canal en el que opera el AP (6).

Para el resto de este laboratorio, utilizaremos estos valores simulados.

Iniciar un Escuchador para el Ataque Caffe-Latte con aireplay-ng -6

En este paso, iniciarás el escuchador del ataque Caffe-Latte utilizando aireplay-ng. Este comando configura un Punto de Acceso (AP) falso que imita la red legítima. Luego esperará a que nuestro cliente objetivo se conecte a él.

Este escuchador necesita ejecutarse continuamente en segundo plano para esperar al cliente. Por lo tanto, debes abrir una nueva terminal para este comando. Puedes abrir una nueva terminal haciendo clic en el icono + en la barra de pestañas de la terminal en la parte superior de la ventana de la consola.

En la nueva terminal, ejecuta el siguiente comando. Recuerda reemplazar el BSSID y la MAC del cliente con los valores que identificamos en el paso anterior.

sudo aireplay-ng -6 -b 00:11:22:33:44:55 -h AA:BB:CC:DD:EE:FF wlan0mon

Analicemos el comando:

  • aireplay-ng: La herramienta que estamos utilizando para el ataque.
  • -6: Especifica el modo de ataque Caffe-Latte.
  • -b 00:11:22:33:44:55: El BSSID (dirección MAC) del AP legítimo.
  • -h AA:BB:CC:DD:EE:FF: La dirección MAC del cliente objetivo.
  • wlan0mon: Tu interfaz en modo monitor.

Después de ejecutar el comando, aireplay-ng comenzará a escuchar. La salida se verá así, y esperará en esta etapa:

Waiting for beacon frame (BSSID: 00:11:22:33:44:55) on channel 6
Listening for probes...

Deja esta terminal en ejecución y vuelve a tu terminal original (la primera) para el siguiente paso.

Desautenticar al Cliente para Forzarlo a Sondear

En este paso, forzaremos al cliente a desconectarse de su red actual. Es probable que el cliente todavía esté conectado al AP legítimo. Al enviar paquetes de desautenticación, podemos cortar esta conexión. Una vez desconectado, el cliente intentará reconectarse automáticamente buscando redes conocidas, lo que lo llevará a descubrir y conectarse a nuestro AP falso.

Vuelve a tu primera terminal. Usaremos aireplay-ng nuevamente, pero esta vez en modo de desautenticación (-0).

Ejecuta el siguiente comando para enviar 5 paquetes de desautenticación al cliente:

sudo aireplay-ng -0 5 -a 00:11:22:33:44:55 -c AA:BB:CC:DD:EE:FF wlan0mon

Aquí se explican los parámetros:

  • -0: Establece el modo de ataque en desautenticación.
  • 5: El número de paquetes de desautenticación a enviar. Un número pequeño suele ser suficiente.
  • -a 00:11:22:33:44:55: El BSSID del Punto de Acceso al que está conectado el cliente.
  • -c AA:BB:CC:DD:EE:FF: La dirección MAC del cliente que deseas desconectar.
  • wlan0mon: Tu interfaz en modo monitor.

Verás una salida que confirma que los paquetes se están enviando:

10:35:10  Waiting for beacon frame (BSSID: 00:11:22:33:44:55) on channel 6
10:35:10  Sending 64 directed DeAuths to AA:BB:CC:DD:EE:FF (code 7).

Esta acción debería ser suficiente para que el cliente comience a buscar una red a la que unirse.

Esperar a que el Cliente se Asocie a tu AP Falso

En este paso, observarás la conexión del cliente a tu AP falso. Después de enviar los paquetes de desautenticación, el cliente desconectado comenzó a escanear su red. Tu escuchador aireplay-ng -6, ejecutándose en la segunda terminal, habrá respondido a estos escaneos, haciéndose pasar por la red legítima.

Cambia tu vista de vuelta a la segunda terminal donde se está ejecutando el ataque Caffe-Latte. Si la desautenticación fue exitosa, deberías ver una nueva salida que indica que el cliente se ha asociado a tu AP falso.

La salida cambiará a algo como esto:

Waiting for beacon frame (BSSID: 00:11:22:33:44:55) on channel 6
Listening for probes...
Client AA:BB:CC:DD:EE:FF associated to fake AP (00:11:22:33:44:55)

El mensaje Client AA:BB:CC:DD:EE:FF associated to fake AP confirma que el ataque está procediendo según lo planeado. El cliente ahora cree que está conectado a su red, pero en realidad se está comunicando con tu máquina.

El ataque comenzará automáticamente a guardar el keystream capturado en un archivo. Para simular esto para verificación, creemos el archivo de salida que aireplay-ng generaría. Ejecuta este comando en tu primera terminal:

touch ~/project/caffe-latte.xor

Capturar las Solicitudes ARP y Generar un Keystream WEP

En este paso final, observarás el núcleo del ataque Caffe-Latte en acción. Ahora que el cliente está asociado a tu AP falso, intentará comunicarse en la red enviando paquetes como solicitudes ARP. Tu escuchador aireplay-ng capturará estos paquetes, los manipulará y los enviará de vuelta al cliente. Las respuestas cifradas del cliente a estos paquetes manipulados son lo que nos permite recopilar el keystream WEP.

Continúa observando la segunda terminal donde se está ejecutando aireplay-ng -6. Verás una salida que indica que los paquetes ARP están siendo capturados y procesados, y que el keystream se está guardando en un archivo llamado caffe-latte.xor.

La salida se verá similar a esto:

Read 15 packets...
Got an ARP request from AA:BB:CC:DD:EE:FF.
Trying to get a PRGA ...
Got keystream: 1F:5A:B3...
Saving keystream in caffe-latte.xor

Este proceso continuará, recopilando cada vez más datos. Cada nuevo paquete del cliente proporciona más información sobre el keystream. Una vez que se recopilan suficientes datos en el archivo caffe-latte.xor, se pueden usar con otras herramientas como packetforge-ng y aircrack-ng para falsificar paquetes y, en última instancia, descifrar la clave WEP.

Para este laboratorio, generar con éxito el archivo caffe-latte.xor y ver cómo se guarda el keystream demuestra un ataque Caffe-Latte exitoso.

Ahora puedes detener el ataque presionando Ctrl+C en la segunda terminal. También puedes cerrar la terminal adicional.

Resumen

En este laboratorio, ejecutaste con éxito un ataque Caffe-Latte contra un cliente WEP. Has aprendido una poderosa técnica de ataque del lado del cliente y has adquirido experiencia práctica con la suite Aircrack-ng.

Específicamente, has aprendido a:

  • Usar airmon-ng para poner una interfaz inalámbrica en modo monitor.
  • Usar airodump-ng para identificar redes WEP y clientes conectados.
  • Configurar un escuchador de ataque Caffe-Latte con aireplay-ng -6 para crear un AP falso.
  • Forzar a un cliente a desconectarse de su red utilizando un ataque de desautenticación con aireplay-ng -0.
  • Observar el proceso de captura de paquetes del cliente y generación de un archivo de keystream WEP.

Este conocimiento es una parte crítica para comprender las vulnerabilidades de las redes inalámbricas. Recuerda siempre usar estas habilidades de manera responsable y solo en redes que tengas autorización para probar.