Board Stats

  • stats Total de Usuarios: 23211
  • stats Total de Mensajes: 108071
  • stats Total de Temas: 10376
  • stats Total de Categorías: 15
  • stats Total de Foros: 74
  • stats Máx. usuarios conectados (simultáneamente): 1021

Ultimo registro



Autor Tema: Handshakes válidos con clave falsa  (Leído 36882 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado BentoSouto

  • Colaborador
  • Usuario
  • *****
  • Mensajes: 351
    • Bento Souto
Handshakes válidos con clave falsa
« en: Mayo 23, 2012, 21:30:13 pm »
A menudo nos encontramos con handshakes en los que no funciona un determinado diccionario que se supone que debería valer, esto normalmente es debido a que el usuario cambiase la clave por defecto del router, algo que cada vez se hace con mas frecuencia debido a la moda de 'robar wifi al vecino'.
Pero tambien hay veces que sin quererlo somos nosotros mismos quien cambiamos la clave del vecino. No, la del vecino no, pero si la del handshake ;)
Haced esta prueba:
Intenta conectarte a una red (tuya...) con una clave inventada, 12345678 por ejemplo, cuando te estés conectando inmediatamente lanza el airodump-ng o similar para esnifar tráfico. Handshake obtenido. Eso si, posiblemente no esté completo, al no estar esnifando (modo monitor) cuando mandas la clave (modo managed) pero el airodump-ng lo mostrará como capturado al capturar parte de el.
Pero logicamente es falso, solo tienes que crear un archivo de texto con la clave inventada y pasarselo al handshake con el aircrack-ng para comprobarlo, KEY FOUND! pero no... :D

Tambien es posible que mientras estamos esnifando tráfico alguien con la intención de robar esa red introduzca una clave inválida y el airodump-ng capturará el handshake de esa clave.

Lo digo porque ultimamente me encuentro con muchos handshakes así, la gente puede intentar conectarse a una red y al no funcionarle la clave se pone a esnifar tráfico y recibe su propio handshake.

Con esto digo que no todos los handshakes son 'palabra de dios', y que si uno no funciona probemos a capturar otro. En el 99% de los casos suele ser la solución perfecta y hablo por experiencia propia.

(No sé si este tema está tratado ya, si es así quien modere que lo borre, yo busqué en el buscador y no encontré nada)
« Última modificación: Junio 09, 2012, 17:30:34 pm por BentoSouto »
Si los que descubren como romper una protección no lo hiciesen público seguiríamos comunicándonos con señales de humo. Compartir es avanzar.

faustinpower

  • Visitante
Re:Handshakes válidos con clave falsa
« Respuesta #1 en: Mayo 24, 2012, 12:05:32 pm »
Muchas gracias por la información :)

Yo me di cuenta de esta circunstancia cuando estaba capturando tráfico con el portátil  y al entrar de nuevo a la habitación siempre me decía lo de 1 handshake capturado pero luego el diccionario no funcionaba. Leyendo el archivo de la captura me di cuenta que la mac del supuesto cliente conectado al que yo le sacaba el hanshake correspondía al tfno. móvil que llevaba en el bolsillo con la wifi activada;  detectaba la red e intantaba conectarse a la misma con una clave erronea proporcionándome un hanshake falso cada vez que entraba a la habitación a mirar :-\

¿Habría alguna forma de saber a priori si un handshake es auténtico? Ya en una ocasión se comento en el foro pero nadie indicó un procedimiento concreto para averiguarlo.

SALUDOS. ;)
« Última modificación: Junio 09, 2012, 18:43:56 pm por maripuri »

Desconectado BentoSouto

  • Colaborador
  • Usuario
  • *****
  • Mensajes: 351
    • Bento Souto
Re:Handshakes válidos con clave falsa
« Respuesta #2 en: Mayo 24, 2012, 13:30:43 pm »
Que yo sepa no hay forma porque el handshake no deja de ser auténtico, un handshake es eso, la información que transmite un cliente al AP y la información que el AP le devuelve cuando se crea la conexion. En cualquier caso mandes la clave que mandes ese hecho de mandar una clave es lo que un sniffer (como airodump-ng) entiende por handshake, sea o no sea correcta la clave. La única manera que veo de asegurarse es que veas un cliente conectado, si lo expulsas y recibes el handshake cuando este se vuelve a conectar se supone que es con la clave verdadera ya que aparece como cliente conectado. Yo no veo otra forma.

Ves? Lo del mobil tambien es típico y confirma todo esto, debes quitarle la conexion automatica por lo menos a esa red.
« Última modificación: Junio 09, 2012, 18:45:16 pm por maripuri »
Si los que descubren como romper una protección no lo hiciesen público seguiríamos comunicándonos con señales de humo. Compartir es avanzar.

Desconectado 1camaron1

  • Colaborador
  • Usuario
  • *****
  • Mensajes: 2426
  • 4 A 5 9 E 3 F 6 C 2 7
Re:Handshakes válidos con clave falsa
« Respuesta #3 en: Mayo 24, 2012, 15:41:38 pm »
jejejjee BentoSouto eso del falso handshake me suena... sabes que hace pocos días me sucedió un caso similar, pero en lugar de inyectar tráfico hice el ataque -0 500 y lo único que conseguí fue un falso handshake...
Un saludo compi ;)
« Última modificación: Junio 09, 2012, 18:45:39 pm por maripuri »
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.

> > > > >   No atiendo por privado temas que puedan tratarse en el foro   < < < <

Desconectado BentoSouto

  • Colaborador
  • Usuario
  • *****
  • Mensajes: 351
    • Bento Souto
Re:Handshakes válidos con clave falsa
« Respuesta #4 en: Mayo 24, 2012, 17:49:09 pm »
Precisamente pensaba en tu caso cuando hice el hilo, para que no le suceda a otro ;) Conste que a mi tambien me pasó varias veces hasta que di con el problema... :D
« Última modificación: Junio 09, 2012, 18:44:51 pm por maripuri »
Si los que descubren como romper una protección no lo hiciesen público seguiríamos comunicándonos con señales de humo. Compartir es avanzar.

Desconectado eker

  • Usuario
  • *
  • Mensajes: 24
Re:Handshakes válidos con clave falsa
« Respuesta #5 en: Junio 09, 2012, 01:00:39 am »
Buenas

¿Hay alguna forma de analizar varios handshakes a la vez de la misma red? Comprobandolos todos simultaneamente, claro está.

Gracias
« Última modificación: Junio 09, 2012, 18:46:01 pm por maripuri »

Desconectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 23047
  • Mari
    • WirelessWindows
Re:Handshakes válidos con clave falsa
« Respuesta #6 en: Junio 09, 2012, 10:30:44 am »

http://picturestack.com/230/452/qUKCapturaWzr.jpg
Handshakes válidos con clave falsa



Claro que si, desde una shell

CMD:   aircrack-ng ESSID*.cap

Las cuatro primeras capturas no contienen handshake, la quinta es la que lo tiene
« Última modificación: Junio 09, 2012, 18:46:18 pm por maripuri »
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.

Desconectado eker

  • Usuario
  • *
  • Mensajes: 24
Re:Handshakes válidos con clave falsa
« Respuesta #7 en: Junio 09, 2012, 14:28:37 pm »

http://picturestack.com/230/452/qUKCapturaWzr.jpg
Handshakes válidos con clave falsa



Claro que si, desde una shell

CMD:   aircrack-ng ESSID*.cap

Las cuatro primeras capturas no contienen handshake, la quinta es la que lo tiene


Me refiero a tener varios handshaker y analizarlos, no varias capturas que solo contengan un handshake. Es que si por ejemplo, tengo 5 handshakes, le paso un diccionario y solo 1 de los 5 handshakes me da positivo, puedo intuir que es un falso positivo y seguir buscando desde donde lo he dejado.
« Última modificación: Junio 09, 2012, 18:46:39 pm por maripuri »

Desconectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 23047
  • Mari
    • WirelessWindows
Re:Handshakes válidos con clave falsa
« Respuesta #8 en: Junio 09, 2012, 14:58:10 pm »
Si solo es una captura limpia pasa el cap por WPACLEAN 'GUI y te dejará solo el válido (si es que lo contiene), si no puedes extraer manualmente los paquetes necesarios con Wireshark u otra herramienta y crear tu mismo el cap.
« Última modificación: Junio 09, 2012, 18:46:57 pm por maripuri »
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.

Desconectado eker

  • Usuario
  • *
  • Mensajes: 24
Re:Handshakes válidos con clave falsa
« Respuesta #9 en: Junio 09, 2012, 15:01:33 pm »
Si solo es una captura limpia pasa el cap por WPACLEAN 'GUI y te dejará solo el válido (si es que lo contiene), si no puedes extraer manualmente los paquetes necesarios con Wireshark u otra herramienta y crear tu mismo el cap.

La cuestión es que alomejor no es el valido... por el tema que se ha comentado antes. Por eso alomejor es posible pasar varios handshakes a la vez.
« Última modificación: Junio 09, 2012, 18:47:14 pm por maripuri »

Desconectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 23047
  • Mari
    • WirelessWindows
Re:Handshakes válidos con clave falsa
« Respuesta #10 en: Junio 09, 2012, 15:03:12 pm »
Si no es válido no será válido sea uno o treinta, es decir no tendrás nada y no podrás usarlo.. si es válido podrás usarlo.
« Última modificación: Junio 09, 2012, 18:47:30 pm por maripuri »
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.

Desconectado eker

  • Usuario
  • *
  • Mensajes: 24
Re:Handshakes válidos con clave falsa
« Respuesta #11 en: Junio 09, 2012, 15:07:20 pm »
Si no es válido no será válido sea uno o treinta, es decir no tendrás nada y no podrás usarlo.. si es válido podrás usarlo.

Pues yo le he pasado el wpaclean y me ha dado un handshake que tenia otra pass que no era la de mi router...
« Última modificación: Junio 09, 2012, 18:47:52 pm por maripuri »

kcdtv

  • Visitante
Re:Handshakes válidos con clave falsa
« Respuesta #12 en: Junio 09, 2012, 17:04:32 pm »
El titulo del topic (lo siento Bentosouto) me parece un poco confuso (solo el titulo, lo démás se entiende perfectamente)
Lo se, soy un toca hue-bip-   ;D
Es un titulo bueno porque tiene gancho y es así que mucha gente se harían la pregunta; pero creo que puede inducir cierta confusión:
Un handshake "falso" sería más bien un handshake incompleto o roto y por lo tanto inutilizable.
De lo que se trata aquí son de handshakes "buenos" pero ilegítimos (y es una forma de falsedad, estamos de acuerdo en ello)
Lo que es "falso" en la historia, es mas bien la contraseña que el handshake en sí.
Es completo sólo que con la contraseña equivocada lo que no nos permite conectarnos (nula o limitada, conocemos todos conocemos este mensaje  ;D)
Citar
Pues yo le he pasado el wpaclean y me ha dado un handshake que tenia otra pass que no era la de mi router...
Algo te ha escapado en la explicación de bentosouto, relee la.  ;)
« Última modificación: Junio 09, 2012, 18:48:11 pm por maripuri »

Desconectado BentoSouto

  • Colaborador
  • Usuario
  • *****
  • Mensajes: 351
    • Bento Souto
Re:Handshakes válidos con clave falsa
« Respuesta #13 en: Junio 09, 2012, 17:31:40 pm »
Cierto, lo que es falsa es la clave no el handshake, gracias ;) Por eso decía que no habia manera de saber distinguir entre unos y otros, porque el handshake es auténtico... pero con clave falsa...
Si los que descubren como romper una protección no lo hiciesen público seguiríamos comunicándonos con señales de humo. Compartir es avanzar.

Desconectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 23047
  • Mari
    • WirelessWindows
Re:Handshakes válidos con clave falsa
« Respuesta #14 en: Junio 09, 2012, 18:57:25 pm »
Citar
Lo se, soy un toca hue-bip-   ;D
Ya está cambiado, mira que eres toca..   :-X    :D :D

Citar
Pues yo le he pasado el wpaclean y me ha dado un handshake que tenia otra pass que no era la de mi router...
NO entiendo una cosa ¿como sabes la pass? Es decir la de tu router normal que la sepas pero la que te da ¿como la obtienes? porque a no ser que la escribas tu mismo en el diccionario (y para eso debes conocerla previamente) no entiendo como la averiguas.

En cualquier caso de este tipo de capturas creo que no tengo nada ¿me puedes hacer llegar el handshake junto al resto de datos? Igualmente tu BentoSouto, si me haces llegar alguna te lo agradecería y así hacer algunas pruebas por mera curiosidad.
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.

Desconectado BentoSouto

  • Colaborador
  • Usuario
  • *****
  • Mensajes: 351
    • Bento Souto
Re:Handshakes válidos con clave falsa
« Respuesta #15 en: Junio 09, 2012, 21:01:23 pm »
Tengo un viejo router a mano y voy a quitarle varios handshakes con claves claramente falsas para que lo compruebes ;) A la noche te las subo.

Junio 09, 2012, 23:05:48 pm
Lo tinenes en MP.
Una forma de comprobar que el handshake es válido es comprobar que esté completo, el handshake solo se completa cuando recibe una respuesta positiva por parte del router, cuando no recibe esa respuesta es porque o bien el cliente se encuentra lejos y no 'cazamos' bien el HS o porque la clave sea erronea como es este caso. Lo que no podemos asegurar es que la clave sea falsa porque un handshake incompleto puede tener la clave verdadera igualmente, por eso el aircrack lo reconoce como verdadero aunque sea incompleto.
« Última modificación: Junio 09, 2012, 23:05:48 pm por BentoSouto »
Si los que descubren como romper una protección no lo hiciesen público seguiríamos comunicándonos con señales de humo. Compartir es avanzar.

Desconectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 23047
  • Mari
    • WirelessWindows
Re:Handshakes válidos con clave falsa
« Respuesta #16 en: Junio 09, 2012, 23:39:35 pm »
Visto.

No son necesarias las cuatro partes del saludo aunque sería lo ideal.. con dos basta para que aircrack-ng pueda resolver el ataque:

Citar
For WPA handshakes, a full handshake is composed of four packets. However, aircrack-ng is able to work successfully with just 2 packets. EAPOL packets (2 and 3) or packets (3 and 4) are considered a full handshake.

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.


Lo que si siempre se ha especificado es que se necesita un cliente legítimo.. y ya lo dice la palabra en si. Si por otra razón el cliente usa una contraseña inválida es obvio que no se puede capturar el saludo correcto porque este no puede ocurrir.


Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.

Desconectado BentoSouto

  • Colaborador
  • Usuario
  • *****
  • Mensajes: 351
    • Bento Souto
Re:Handshakes válidos con clave falsa
« Respuesta #17 en: Junio 10, 2012, 00:04:17 am »
Pues te aseguro que así es, el handshake que te mandé con clave falsa lo hice intentando conectarme con esa clave falsa y al pasarle el aircrack la dá como buena y creeme que no era la correcta ;) Yo creo que se trata de eso que decia yo mas arriba, el handshake completo se captura cuando capturas la clave que el usuario manda y la respuesta positiva del router. Sin la respuesta positiva el handshake es incompleto pero el aircrack lo dá por bueno.
Puedes probar tu misma esnifando cualquier red con una tarjeta e intentandote conectar con otra tarjeta con una clave cualquiera, pasale el aircrack a la captura y verás esa clave.
Si los que descubren como romper una protección no lo hiciesen público seguiríamos comunicándonos con señales de humo. Compartir es avanzar.

Desconectado eker

  • Usuario
  • *
  • Mensajes: 24
Re:Handshakes válidos con clave falsa
« Respuesta #18 en: Junio 16, 2012, 23:48:16 pm »
Pues te aseguro que así es, el handshake que te mandé con clave falsa lo hice intentando conectarme con esa clave falsa y al pasarle el aircrack la dá como buena y creeme que no era la correcta ;) Yo creo que se trata de eso que decia yo mas arriba, el handshake completo se captura cuando capturas la clave que el usuario manda y la respuesta positiva del router. Sin la respuesta positiva el handshake es incompleto pero el aircrack lo dá por bueno.
Puedes probar tu misma esnifando cualquier red con una tarjeta e intentandote conectar con otra tarjeta con una clave cualquiera, pasale el aircrack a la captura y verás esa clave.

A eso me refiero, y si tienes 5 handshakes con 3 claves iguales y 2 distintas, es bastante más probable que las 3 claves iguales sean la verdadera. De ahí mi pregunta de si se puede pasar más de un handshake a la vez

Desconectado BentoSouto

  • Colaborador
  • Usuario
  • *****
  • Mensajes: 351
    • Bento Souto
Re:Handshakes válidos con clave falsa
« Respuesta #19 en: Junio 17, 2012, 01:23:51 am »
De hecho creo que si le pasas vários handshakes de la misma red al aircrack (haciendo *.cap) te los reconoce todos juntos como uno solo, tendría que hacer pruebas para confirmar esto pero al hacer la prueba para maripuri creo recordar que el aircrack solo veía un handshake cuando en realidad había dos, uno completo (4way, esto solo se consigue con cliente legitimo conectado) y otro 'falseado' pero no completo logicamente. No se que pasaría si les pasas un dico a todos los handshakes pero es evidente que el resultado sería algo caotico... La única forma de asegurarse de que un handshake tiene la clave correcta es asegurarse de que está completo.No sé si existe forma de comprobar eso con la suite aircrack, reconozco que estoy algo verde con muchas de las aplicaciones pues aparte de las mas usadas, airodump, airmon, aircrack, aireplay... hay otras que nunca usé por desconocimiento.
Si los que descubren como romper una protección no lo hiciesen público seguiríamos comunicándonos con señales de humo. Compartir es avanzar.

Desconectado AdriDoX

  • Usuario
  • *
  • Mensajes: 29
Re:Handshakes válidos con clave falsa
« Respuesta #20 en: Junio 17, 2012, 01:54:41 am »
Se que esto quizas no tiene mucho que ver con el tema...pero cuanto os suele ocupar un handshake??  ??? ???

No se porque pero todas las pruebas que hago ultimamente me tira un cap de 10 mb justos. Me parece mucha coincidencia....

Saludos!

Desconectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 23047
  • Mari
    • WirelessWindows
Re:Handshakes válidos con clave falsa
« Respuesta #21 en: Junio 17, 2012, 08:00:22 am »
Ya lo comenté en la respuesta 8: Whireshark y preparas la captura con los paquetes que elijas.. si no recuerdo mal en la propia doku de aircrack-ng se explica como hacerlo.

@AdriDoX

Citar
pero cuanto os suele ocupar un handshake?
Desde unos pocos kb a cientos de megas si lo dejas capturando, eso depende de cuando se reciba el saludo y de cuando cortes la captura.
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.

Desconectado garra8

  • Usuario
  • *
  • Mensajes: 7
Re:Handshakes válidos con clave falsa
« Respuesta #22 en: Octubre 15, 2012, 08:55:46 am »
hola a todos, soy nuevo en el foro como se puede apreciar, he estado leyendo sobre todo de el wlanxxxx gui y al probar con unas 4 redes, obtener el handshake y no obtener la key (aparece un aviso abajo a la derecha del win, diciendo que no se pudo encontrar la clave) comienzo entonces a cuestionar el handshake al leer que a todo el mundo le va de maravillas el wlanxxxx gui , para antes de comentar, leer, veo que el handshake consta de 4 partes, pero solo hacemos servir el .cap cierto? es posible emplear las otras partes o para que sirven? si estoy perdido en algun sentido, acepto todo tipi de orientacion, saludos!

Desconectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 23047
  • Mari
    • WirelessWindows
Re:Handshakes válidos con clave falsa
« Respuesta #23 en: Octubre 15, 2012, 10:32:45 am »

El término es
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
porque consta de cuatro partes, pero se conoce cotidianamente como handshake "a secas"


Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.



El handshake (o saludo) está contenido en la captura de tráfico (si se obtiene) *.cap

aircrack-ng necesita para trabajar al menos dos (2) de las partes del saludo para poder trabajar.. así que si trabaja al menos dos de ellas están contenidas en la captura.

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.

Desconectado kumek0

  • Colaborador
  • Usuario
  • *****
  • Mensajes: 1272
Re:Handshakes válidos con clave falsa
« Respuesta #24 en: Junio 26, 2013, 23:56:50 pm »
Charlando con un miembro del foro , comento que entre ayer y hoy , usando aircrack "aircrack-ng -a 2 archivocaptura1234.cap" para saber si dentro del archivo de captura tiene su handshake , bien , el caso es que no solo en uno , de las capturas me pone 0 handshake y en otros 1 handshake .
La cosa es que despues abro consola y escribo : aircrack-ng -a 2 - e ESSIDrouter -b BSSIDrouter archivodecaptura1234.cap -w rutadeldiccionario.txt y comienza a rular aircrack buscando entre todas las combinaciones del diccionario con el EAPOL abajo indicando y corriendo .
Hay falsos handshakes ?
Son igualmente validos ?
No hagais bromas leyendolo como si hablara el de cuarto milenio  ;D