Créer une attaque Caffe-Latte pour cibler un client WEP

RedisBeginner
Pratiquer maintenant

Introduction

L'attaque Caffe-Latte est une attaque côté client ciblant le protocole WEP. Contrairement à de nombreuses autres attaques Wi-Fi qui ciblent le point d'accès (AP), cette attaque se concentre sur un appareil client connecté au réseau. Elle fonctionne en trompant le client pour qu'il envoie des paquets qui peuvent être utilisés pour reconstruire le flux de clés WEP, conduisant finalement à la récupération de la clé WEP. Cette méthode est particulièrement efficace car elle ne nécessite pas d'être à proximité du point d'accès légitime ; il suffit d'être à portée du client.

Dans ce laboratoire, vous utiliserez la suite Aircrack-ng pour effectuer une attaque Caffe-Latte. Vous apprendrez à identifier une cible, à configurer un faux point d'accès pour attirer le client, à forcer le client à se connecter et à capturer les données nécessaires pour générer un flux de clés WEP.

Ce laboratoire est uniquement à des fins éducatives.

Identifier un client connecté à un réseau WEP

Dans cette étape, vous apprendrez à identifier un réseau WEP cible et un client connecté. L'outil principal pour cette phase de reconnaissance est airodump-ng, qui scanne les réseaux sans fil et liste les appareils connectés.

Tout d'abord, vous devez mettre votre interface sans fil en mode moniteur. Ce mode permet à la carte réseau d'écouter tout le trafic Wi-Fi dans l'air, pas seulement le trafic qui lui est destiné. Nous supposerons que votre interface sans fil s'appelle wlan0.

Exécutez la commande suivante pour démarrer le mode moniteur :

sudo airmon-ng start wlan0

Cette commande créera probablement une nouvelle interface virtuelle, généralement nommée wlan0mon. La sortie confirmera le nom de l'interface en mode moniteur.

PHY     Interface       Driver          Chipset

phy0    wlan0           ath9k           Atheros Communications Inc. AR9271 802.11n
                (mac80211 monitor mode vif enabled for [phy0]wlan0mon on [phy0]wlan0)

Maintenant, utilisez l'interface moniteur nouvellement créée (wlan0mon) pour scanner les réseaux. Exécutez airodump-ng et laissez-le scanner pendant environ 15 à 20 secondes, puis arrêtez-le en appuyant sur Ctrl+C.

sudo airodump-ng wlan0mon

Dans un environnement réel, airodump-ng afficherait une liste des réseaux et des clients à proximité. Pour ce laboratoire, nous travaillerons avec un scénario simulé. La sortie ressemblerait à ceci :

CH  6 ][ Elapsed: 15 s ][ 2023-10-27 10:30

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 00:11:22:33:44:55  -30       10       15    0   6  54e  WEP  WEP         TestWEP

 BSSID              STATION            PWR   Rate    Lost    Frames  Probe

 00:11:22:33:44:55  AA:BB:CC:DD:EE:FF  -45    0 - 1      0        18

À partir de cette sortie, vous devez identifier :

  • BSSID : L'adresse MAC du point d'accès (00:11:22:33:44:55).
  • STATION : L'adresse MAC d'un client qui y est connecté (AA:BB:CC:DD:EE:FF).
  • CH : Le canal sur lequel l'AP opère (6).

Pour le reste de ce laboratoire, nous utiliserons ces valeurs simulées.

Lancer un écouteur pour l'attaque Caffe-Latte avec aireplay-ng -6

Dans cette étape, vous allez lancer l'écouteur de l'attaque Caffe-Latte en utilisant aireplay-ng. Cette commande configure un faux point d'accès (AP) qui imite le réseau légitime. Il attendra ensuite que notre client cible s'y connecte.

Cet écouteur doit s'exécuter en continu en arrière-plan pour attendre le client. Par conséquent, vous devriez ouvrir un nouveau terminal pour cette commande. Vous pouvez ouvrir un nouveau terminal en cliquant sur l'icône + dans la barre d'onglets du terminal en haut de la fenêtre de la console.

Dans le nouveau terminal, exécutez la commande suivante. N'oubliez pas de remplacer le BSSID et l'adresse MAC du client par les valeurs que nous avons identifiées à l'étape précédente.

sudo aireplay-ng -6 -b 00:11:22:33:44:55 -h AA:BB:CC:DD:EE:FF wlan0mon

Décomposons la commande :

  • aireplay-ng : L'outil que nous utilisons pour l'attaque.
  • -6 : Spécifie le mode d'attaque Caffe-Latte.
  • -b 00:11:22:33:44:55 : Le BSSID (adresse MAC) du point d'accès légitime.
  • -h AA:BB:CC:DD:EE:FF : L'adresse MAC du client cible.
  • wlan0mon : Votre interface en mode moniteur.

Après avoir exécuté la commande, aireplay-ng commencera à écouter. La sortie ressemblera à ceci, et il attendra à cette étape :

Waiting for beacon frame (BSSID: 00:11:22:33:44:55) on channel 6
Listening for probes...

Laissez ce terminal en cours d'exécution et revenez à votre terminal d'origine (le premier) pour l'étape suivante.

Désauthentifier le client pour le forcer à émettre des requêtes (probe)

Dans cette étape, vous allez forcer le client à se déconnecter de son réseau actuel. Le client est probablement toujours connecté au point d'accès légitime. En envoyant des paquets de désauthentification, nous pouvons rompre cette connexion. Une fois déconnecté, le client essaiera automatiquement de se reconnecter en émettant des requêtes pour les réseaux connus, ce qui le conduira à découvrir et à se connecter à notre faux point d'accès.

Revenez à votre premier terminal. Nous allons utiliser aireplay-ng à nouveau, mais cette fois en mode désauthentification (-0).

Exécutez la commande suivante pour envoyer 5 paquets de désauthentification au client :

sudo aireplay-ng -0 5 -a 00:11:22:33:44:55 -c AA:BB:CC:DD:EE:FF wlan0mon

Voici ce que signifient les paramètres :

  • -0 : Définit le mode d'attaque sur désauthentification.
  • 5 : Le nombre de paquets de désauthentification à envoyer. Un petit nombre est généralement suffisant.
  • -a 00:11:22:33:44:55 : Le BSSID du point d'accès auquel le client est connecté.
  • -c AA:BB:CC:DD:EE:FF : L'adresse MAC du client que vous souhaitez déconnecter.
  • wlan0mon : Votre interface en mode moniteur.

Vous verrez une sortie confirmant que les paquets sont envoyés :

10:35:10  Waiting for beacon frame (BSSID: 00:11:22:33:44:55) on channel 6
10:35:10  Sending 64 directed DeAuths to AA:BB:CC:DD:EE:FF (code 7).

Cette action devrait suffire à faire en sorte que le client commence à rechercher un réseau auquel se connecter.

Attendre que le client s'associe à votre faux AP

Dans cette étape, vous observerez le client se connecter à votre faux point d'accès. Après avoir envoyé les paquets de désauthentification, le client déconnecté a commencé à scanner son réseau. Votre écouteur aireplay-ng -6, exécuté dans le second terminal, aura répondu à ces scans, se faisant passer pour le réseau légitime.

Revenez à votre second terminal où l'attaque Caffe-Latte est en cours. Si la désauthentification a réussi, vous devriez voir une nouvelle sortie indiquant que le client s'est associé à votre faux point d'accès.

La sortie changera pour ressembler à ceci :

Waiting for beacon frame (BSSID: 00:11:22:33:44:55) on channel 6
Listening for probes...
Client AA:BB:CC:DD:EE:FF associated to fake AP (00:11:22:33:44:55)

Le message Client AA:BB:CC:DD:EE:FF associated to fake AP confirme que l'attaque progresse comme prévu. Le client pense maintenant qu'il est connecté à son réseau, mais il communique en réalité avec votre machine.

L'attaque commencera automatiquement à enregistrer le flux de clés capturé dans un fichier. Pour simuler cela à des fins de vérification, créons le fichier de sortie que aireplay-ng générerait. Exécutez cette commande dans votre premier terminal :

touch ~/project/caffe-latte.xor

Capturer les requêtes ARP et générer un flux de clés WEP

Dans cette dernière étape, vous observerez le cœur de l'attaque Caffe-Latte en action. Maintenant que le client est associé à votre faux point d'accès, il tentera de communiquer sur le réseau en envoyant des paquets tels que des requêtes ARP. Votre écouteur aireplay-ng capturera ces paquets, les manipulera et les renverra au client. Les réponses chiffrées du client à ces paquets manipulés sont ce qui nous permet de collecter le flux de clés WEP.

Continuez à observer le second terminalaireplay-ng -6 est en cours d'exécution. Vous verrez une sortie indiquant que les paquets ARP sont capturés et traités, et que le flux de clés est enregistré dans un fichier nommé caffe-latte.xor.

La sortie ressemblera à ceci :

Read 15 packets...
Got an ARP request from AA:BB:CC:DD:EE:FF.
Trying to get a PRGA ...
Got keystream: 1F:5A:B3...
Saving keystream in caffe-latte.xor

Ce processus continuera, collectant de plus en plus de données. Chaque nouveau paquet du client fournit plus d'informations sur le flux de clés. Une fois suffisamment de données collectées dans le fichier caffe-latte.xor, elles pourront être utilisées avec d'autres outils tels que packetforge-ng et aircrack-ng pour forger des paquets et finalement casser la clé WEP.

Pour ce laboratoire, la génération réussie du fichier caffe-latte.xor et la visualisation de l'enregistrement du flux de clés démontrent une attaque Caffe-Latte réussie.

Vous pouvez maintenant arrêter l'attaque en appuyant sur Ctrl+C dans le second terminal. Vous pouvez également fermer le terminal supplémentaire.

Résumé

Dans ce laboratoire, vous avez exécuté avec succès une attaque Caffe-Latte contre un client WEP. Vous avez appris une technique d'attaque puissante côté client et acquis une expérience pratique avec la suite Aircrack-ng.

Plus précisément, vous avez appris à :

  • Utiliser airmon-ng pour mettre une interface sans fil en mode moniteur.
  • Utiliser airodump-ng pour identifier les réseaux WEP et les clients connectés.
  • Configurer un écouteur d'attaque Caffe-Latte avec aireplay-ng -6 pour créer un faux point d'accès.
  • Forcer un client à se déconnecter de son réseau en utilisant une attaque de désauthentification avec aireplay-ng -0.
  • Observer le processus de capture des paquets client et de génération d'un fichier de flux de clés WEP.

Ces connaissances sont un élément essentiel pour comprendre les vulnérabilités des réseaux sans fil. N'oubliez jamais d'utiliser ces compétences de manière responsable et uniquement sur les réseaux que vous êtes autorisé à tester.