Arg-Wireless - El Primer Foro de Wireless de Argentina...

Seguridad Informática => Manuales / Tutoriales / Investigaciones => Mensaje publicado por: D3M0N en 27 de Febrero de 2011, 10:36:42 PM

Título: Investigación: AP's problematicos
Publicado por: D3M0N en 27 de Febrero de 2011, 10:36:42 PM
AP's Problematicos

(http://www.javipas.com/wp-content/router%20wifi.jpg)

:o AP's problemáticos. Si, decidí crear este hilo para investigar un poco más sobre estos sucesos que a muchos de nosotros nos ha pasado. Encontrar fantasmas, que no conectan, AP's que conectan y no navegan, AP's que tienen mucha señal, nos conectamos y no hay señal o los (PANI) Punto de Acceso no identificado con múltiples cifrados.

Bueno, hay muchos AP's muy raros, lo que sí es que bueno, voy a plantear un poco sobre cada caso:

AP's fantasmas: estos son AP's que uno cree que existen pero son inventados por la placa u/o dispositivo que utilizamos para auditar. Suelen ser simplemente un error al escanear, el dispositivo toma o se toma como un AP, se da una cierta seguridad y un nombre genérico; o hay veces que no nos da ningún nombre, una simple MAC que no es de ningún fabricante según la IEEE.

AP's que no conectan: pueden ser AP's y también Nodos, que presentan gran actividad pero no logramos conectar de ninguna manera, son como inservibles; suelen tener o no una contraseña; presentan una gran inyección; para darles un ejemplo unos 800 paquetes por segundos pero a la hora de conectar nada, como si desaparecieran y aparecieran cada un minuto.

AP's que conectan pero no navegan: lo típico; nos matamos para sacarle la contraseña al vecino de alado. Ya con las ganas de usar Internet nada tenemos una conexión estable y hay veces que tienen buena señal pero nada IP asignada y nada, nada de nada; también hay varios que tienen una potencia increíble y al conectamos no tenemos casi nada

¿ Cómo solucionarlo?

Bueno los AP's fantasmas no suelen aparecer muy seguido; hay un error en netstumbler para los que usamos Windows que comienza a localizar (generar) AP's que en realidad no existen. Los AP's fantasmas son casuales y no nos molestan para nada.

En cambio con los AP's que no conectan o conectan pero no dejan navegar, estos son problemas en particular, hay ciertas limitaciones y filtros que este AP puede tener, hay también ciertas marcas que posen diferentes sistemas de seguridad mediante a software que impiden que nos conectemos.

A la hora de la inyección y el crackeo se suele ver el problema; todo esto hablando en cifrados WEP, que por ejemplo no suben los #datas o suben pero muy poco; por ejemplo 5 paquetes cada 1 minuto; un dolor de cabeza, o las que directamente no inyecta; he tenido un router que es Alpha Networks Inc. Y no he podido inyectarlo; a pesar de que he utilizado tanto WifiWay, BackTrack, Beini y nada; ninguno me dejo capturar nada. También he tenido una red que al capturar al principio subí­a normalmente 100 x segundo y de repente al pasar unos minutos, subía 1 data segundo esto teniendo un usuario conectado y navegando. Algo muy extraño.

Resumiendo un poco, mucha solución no hay, primero verificar que sea de marca, que figure en IEEE; luego si no figura, puede ser un AP fantasma, si figura puede tener algún tipo de seguridad adicional.
Título: Re:Investigaciín: AP's problematicos
Publicado por: D3M0N en 28 de Febrero de 2011, 02:31:38 AM
como estabamos hablando con theforrest en el chat, recorde un momento que pase con la alfa en la casa de un amigo, resulta que la alfa no lograba conectarse nunca con su AP, tube que crackear la red del vecino para poder navegar con mi netbook. Resulta tambien que con la placa integrada wifi de mi netbook [RTL8191SE] me podria conectar sin ningun problema, pero la alfa [RTL8187L] estaba sorda. Cosa muy extraíña. Es un "GemTek Technology" [002100 (http://standards.ieee.org/cgi-bin/ouisearch?002100)]; creo, en este momento bien no me acuardo, pero creo que era ese; con servidor de fibertel.
Título: Re:Investigaciín: AP's problematicos
Publicado por: TheForrest en 28 de Febrero de 2011, 03:14:17 PM
D3M0N pasame la pí¡gina para ver el fabricante del AP con la MAC. Voy  a seguir probando hasta que se termine el mundo.. jaja.
Título: Re:Investigaciín: AP's problematicos
Publicado por: diego10 en 28 de Febrero de 2011, 03:17:13 PM
y si le cambio la mac por 002100 y solo pareciera ser un GemTek Technology?
Título: Re:Investigaciín: AP's problematicos
Publicado por: D3M0N en 28 de Febrero de 2011, 08:42:26 PM
You are not allowed to view links. Register or Login
D3M0N pasame la pí¡gina para ver el fabricante del AP con la MAC. Voy  a seguir probando hasta que se termine el mundo.. jaja.

bien, este es el sitio: http://standards.ieee.org/cgi-bin/ouisearch? (http://standards.ieee.org/cgi-bin/ouisearch?) y continuas con los primeros 6 digitos de la MAC sin los ":". Ejemplo: http://standards.ieee.org/cgi-bin/ouisearch?D85D4C (http://standards.ieee.org/cgi-bin/ouisearch?D85D4C); esto es si o si oficial, es del IEEE y no hay ningun tipo de error.

You are not allowed to view links. Register or Login
y si le cambio la mac por 002100 y solo pareciera ser un GemTek Technology?

si, los primeros 6 digitos de todas las MAC's existentes son los que identifican al fabricante. Ejemplo: Realtek es 00E04C, TP-Link es D85D4C.
Título: Re:Investigaciín: AP's problematicos
Publicado por: diego10 en 28 de Febrero de 2011, 10:41:08 PM
decis que no se pueden cambiar los primeros 6 digitos?
Título: Re:Investigaciín: AP's problematicos
Publicado por: D3M0N en 01 de Marzo de 2011, 12:12:22 AM
You are not allowed to view links. Register or Login
decis que no se pueden cambiar los primeros 6 digitos?

Si, toda la MAC podes cambiar, los 12 dí­gitos; la cuestiín es que no he probado eso, ya que como los servicios de fibertel, presentan un filtro de MAC's; esto lo habí­a hablado con daniel que fibertel tiene un famoso; pedí­s el servicio pero cuando quieres conectar otra pc a la red, tienes que pedir que te la habiliten. tambiín me he enterado que varios routers, de las marcas no tengo nada comprobado pero es como que guardar la informaciín de los primeros conectados a íl, de modo tal que en un tiempo, si deseamos hacer otra conexiín no lo podemos hacer ya que el filmware, de cierta forma que no sí; no tengo nada comprobado. Solo deja conectar a los primeros usuarios... algo muy raro pero podrí­a ser cierto.

Nuestro preciado Modem seria uno parecido a este; suelen usar siempre el mismo modem: "MOTOROLA surfbroand sb5101"

(http://www.techfuels.com/attachments/everything-else/3432d1215591489-motorola-sb5101-cable-modem-motorola-sb5101-cable-modem.jpg)

Cita de: NNnecesitas pedir el modem wifi de fibertel
el problema es que fibertel hace filtrado por mac. o sea que solo la pc con el numero de mac valido va a poder andar

Cita de: D3M0NDespues se quejan de Arnet, jajjaja; por lo menos le podes choriar...
Título: Re:Investigaciín: AP's problematicos
Publicado por: D3M0N en 01 de Marzo de 2011, 03:42:40 PM
tambien me entere que en MAC OS X, un problema con los drivers, en especial para RTL8187L que colapsan al S.O. luego de hacerle varios parches para que esto no pase, pueda que no se conecte a algunos routers... sera lo mismo para Windows... problemas de drives...??
Título: Re:Investigaciín: AP's problematicos
Publicado por: D3M0N en 02 de Marzo de 2011, 10:15:44 PM
Aca tengo un Ví­deo de los amigos de Intypedia que demuestran algo que tiene que ver con este tema:  :-\

Título: Re:Investigaciín: AP's problematicos
Publicado por: D3M0N en 07 de Marzo de 2011, 08:32:19 PM
Problemas en el Crackeo "WEP":

• No hay trí¡fico:
   -  No hay trí¡fico, por lo tanto no se puede capturar cualquier IVs.
   -  ¿Quí tenemos que hacer? inyectar un poco de paquetes especiales para engaíñar a la AP en la radiodifusiín.
   -  cubierto por debajo de los ataques WEP

• filtrado de direcciones MAC:
   -  El AP o sílo estí¡ respondiendo a los clientes conectados. Probablemente porque el filtrado de direcciones MAC estí¡ encendido.
   -  Airodump detecta a los usurios que estan conectados a esa red, asique cambia la MAC de tu dispositivo por la de uno de ellos. <- Pueda que esto no funcione.
   -  El uso de la opciín-m se puede especificar aircrack para filtrar los paquetes por direcciín MAC, ejemplo: -m 00:12:5B:4C:23:27

• No se puede Crack incluso con toneladas de IVs:
   -  Algunos de los ataques estadí­sticos pueden crear falsos positivos y te llevarí¡ en la direcciín equivocada.
   -  Trate de usar -k N (donde N = 1 .. 17) o -y para variar su mítodo de ataque.
   -  Incrementar el factor de elusiín. Por defecto es a los 2, especificando -f N (donde N> = 2) aumentarí¡ sus posibilidades de una grieta, pero tomarí¡ mucho mí¡s tiempo. Me parece que la duplicaciín del factor anterior chapuza es una progresiín bueno si usted estí¡ teniendo problemas.

• Aín Nada:
   -  Buscar el AP siguiendo la fuerza de la seíñal y pedir al administrador la clave WEP.
Título: Re:Investigaciín: AP's problematicos
Publicado por: spikeich en 30 de Marzo de 2011, 02:47:12 AM
yo con el beini tengo muchos problemas con las AP de speedy!! no me deja inyectar en algunos caso y me da ascos IVs!! tambien es muy problematico hacerle el OPEN! todo esto con el beini!! ahora voy a meterme de lleno en el backtrack, ya q estuve estudiando los tutoriales de dejate D3M0N!! despues si le agarro la mano!
Título: Re:Investigaciín: AP's problematicos
Publicado por: D3M0N en 30 de Marzo de 2011, 07:29:17 PM
You are not allowed to view links. Register or Login
yo con el beini tengo muchos problemas con las AP de speedy!! no me deja inyectar en algunos caso y me da ascos IVs!! tambien es muy problematico hacerle el OPEN! todo esto con el beini!! ahora voy a meterme de lleno en el backtrack, ya q estuve estudiando los tutoriales de dejate D3M0N!! despues si le agarro la mano!

la verdad es que en algunos casos beini no es tan potente como el airoscript; yo el otro dia crackie una red con solo capturar, no use ni inyeccion, ni open, solo capturaba a 500# x/s... una locuta, eso tambien tenia 28 usuarios conectados! eso tambien nos jode, ja que beini hay veces que te pide que si o si tengas un user conectado...
Título: Re:Investigaciín: AP's problematicos
Publicado por: D3M0N en 23 de Abril de 2011, 12:06:45 AM
Por fin despues de largas pruebas haciendole a la beta 3 de AirUbuntu puede crackear una de las dos redes que me tenian las bolas por el piso. lo habia intentado con todo, desde el wifiway 10, el 2.0.1 y el 2.0.2, sin obtener ninguna ganancia, el beini que me pedia si o si un usuario conectado... siguiendo con el backtrack 4 r2 que tampoco pudo solucionar este problemilla. ningun de ellos inyectaba a esta red, hasta ahora. despues de hacer varias pruebas con WEPCrackGUI en AirUbuntu 10.04 Beta 3, puede inyectar sin ningun problema a esta red. lo unico que tube que ir probando varios ataques y a su ves juntar a otros para que inyectara... al final me hice con el password; algo torpe pero lo puede sacar...

(https://lh5.googleusercontent.com/_gaMXNp430hg/TbJAr_F3hdI/AAAAAAAAAiI/ZU2HJbhzd48/s640/Pantallazo-1.png)

aunque todabia sigo con Chaco3814 que a penas junte un data, ningun ataque funciona... pero algun dia lo sacare...
Título: Re:Investigaciín: AP's problematicos
Publicado por: D3M0N en 30 de Junio de 2011, 10:03:42 PM
You are not allowed to view links. Register or Login
yo no utiliso mi belgrain de madera si no es con mi ruter , los demas tienen llave y yo no

es hora de usar seguridad
Título: Re:Investigaciín: AP's problematicos
Publicado por: D3M0N en 01 de Julio de 2011, 07:41:57 PM
You are not allowed to view links. Register or Login
que aueres decir con seguridad , mi router es un sagem y esta dentro de la casa y no se puede entrar

jajaja me rio de eso, pero igual tienes q ponerle seguridad wpa o wpa2; pues yo me divierto viendo como chatean otros en la red con el ettercap.
Título: Re:Investigaciín: AP's problematicos
Publicado por: D3M0N en 16 de Enero de 2012, 01:19:49 AM
el otro dí­a, en la casa de un amigo me tope con un AP muy raro, podríamos llamarlo AP-MultiCifrado, resulta que estábamos buscando una red para crackear y de repente aparecí una, era WEP según el airodump-ng, lo cierro y abro el airoscript, al escanear me doy cuenta que era WPA  :-\ de repente dude de la placa y la desconecte; la conecto de nuevo y  :-\ el AP ahora era WPA2-Open una cosa imposible.. y así­ iba cambiando cada unos minutos cambiaba su cifrado, algo muy raro, hasta que desapareció.

8) Tenemos Ovnis!  :-\
Título: Re:Investigaciín: AP's problematicos
Publicado por: Mosaiko en 22 de Marzo de 2012, 10:59:37 PM
Siii yo lo viiii un AP Alien... Estan Aqui... y Tiene Wifi :D

http://www.fondos10.net/wp-content/uploads/2010/07/Alienware-1.jpg
Título: Re:Investigaciín: AP's problematicos
Publicado por: julio_m_p en 08 de Mayo de 2012, 03:23:50 AM
You are not allowed to view links. Register or Login
el otro dí­a, en la casa de un amigo me tope con un AP muy raro, podriamos llamarlo AP-MultiCifrado, resulta que estí¡bamos buscando una red para crackear y de repente aparecií una, era WEP segín el airodump-ng, lo cierro y abro el airoscript, al escanear me doy cuenta que era WPA  :-\ de repente dude de la placa y la desconecte; la conecto de nuevo y  :-\ el AP ahora era WPA2-Open una cosa imposible.. y así­ iba cambiando cada unos minutos cambiaba su cifrado, algo muy raro, hasta que desaparecio.

8) Tenemos Ovnis!  :-\

Me ha pasado lo mismo... Y algunos pocos de esos AP han largado la clave a pesar de mostrarse WEP pero al inyectar preguntaba si no era WPA...casi siempre no suben las datas ni arp con esos....