LabEx
LoginBeitreten

Capture-Datei für Hashcat mit wpaclean bereinigen

Beginner
Jetzt üben

Einleitung

Bei der Durchführung von WLAN-Sicherheitsbewertungen erfassen Sie häufig Netzwerkverkehr in einer Datei, typischerweise mit der Erweiterung .cap oder .pcap. Diese Roh-Capture-Dateien enthalten alle drahtlosen Pakete, die von Ihrer Netzwerkkarte gesehen werden, einschließlich Beacon-Frames, Probe-Requests und Datenpaketen. Für das Passwort-Cracking benötigen Sie jedoch nur die spezifischen Pakete, die den WPA/WPA2 4-Wege-Handshake bilden.

Das Beibehalten all der zusätzlichen, unnötigen Pakete macht die Capture-Datei groß und kann die Verarbeitung durch Tools wie Hashcat verlangsamen. wpaclean ist ein Dienstprogramm aus der aircrack-ng-Suite, das entwickelt wurde, um dieses Problem zu lösen. Es "bereinigt" eine Capture-Datei, indem es alle Pakete entfernt, die nicht Teil eines Handshakes sind, was zu einer viel kleineren und effizienteren Datei führt.

In diesem Lab lernen Sie, wie Sie wpaclean verwenden, um eine Beispiel-Capture-Datei zu bereinigen und die bereinigte Datei dann in das richtige Format für Hashcat zu konvertieren.

Zweck der Bereinigung von Capture-Dateien verstehen

In diesem Schritt lernen Sie, warum es wichtig ist, Capture-Dateien vor der Verarbeitung zu bereinigen.

Wie in der Einleitung erwähnt, enthält eine Roh-Capture-Datei viel Netzwerkverkehr, der für das Knacken eines WPA/WPA2-Passworts irrelevant ist. Die einzig benötigte Information ist der 4-Wege-Handshake, der zwischen einem Client und einem Access Point ausgetauscht wird.

Die Vorteile der Bereinigung einer Capture-Datei sind:

  • Reduzierte Dateigröße: Das Entfernen von Tausenden unnötiger Pakete kann die Dateigröße drastisch reduzieren, insbesondere bei Langzeit-Captures. Dies spart Speicherplatz und erleichtert die Verwaltung und Übertragung der Datei.
  • Schnellere Verarbeitung: Passwort-Cracking-Tools wie Hashcat müssen die Capture-Datei parsen, um den Handshake zu finden. Durch die Bereitstellung einer bereinigten Datei eliminieren Sie den Overhead des Parsens irrelevanter Daten, was zu schnelleren Startzeiten führt.
  • Verbesserte Zuverlässigkeit: Eine bereinigte Datei isoliert die wesentlichen Handshake-Daten und reduziert das Potenzial für Parsing-Fehler oder Probleme mit fehlerhaften Paketen, die nicht Teil des Handshakes sind.

Das Tool wpaclean automatisiert diesen Prozess, indem es die Capture-Datei intelligent filtert und nur die Handshake-bezogenen Pakete in eine neue Datei schreibt. Diese Laborumgebung hat bereits die aircrack-ng-Suite installiert, die wpaclean enthält.

Eine rohe Handshake .cap-Datei lokalisieren

In diesem Schritt lokalisieren Sie die Beispiel-Capture-Datei, mit der wir in diesem Lab arbeiten werden.

Für dieses Lab wurde eine Beispiel-Capture-Datei namens wpa.cap während des Einrichtungsprozesses automatisch in Ihr ~/project-Verzeichnis heruntergeladen. In einem realen Szenario würden Sie diese Datei selbst mit einem Tool wie airodump-ng generieren.

Lassen Sie uns überprüfen, ob die Datei existiert. Verwenden Sie den Befehl ls -l, um den Inhalt des aktuellen Verzeichnisses aufzulisten.

ls -l

Sie sollten die Datei wpa.cap in der Ausgabe sehen, zusammen mit ihren Berechtigungen, dem Besitzer, der Größe und dem Änderungsdatum.

total 4
-rw-r--r-- 1 labex labex 634 Mar 20 10:30 wpa.cap

Diese kleine Datei enthält einen Beispiel-WPA-Handshake und ist perfekt für unsere Demonstration.

wpaclean mit einer Ausgabe- und Eingabedatei ausführen

In diesem Schritt verwenden Sie den Befehl wpaclean, um die rohe Capture-Datei zu bereinigen.

Die Syntax für wpaclean ist unkompliziert. Sie geben den Namen für die neue, bereinigte Ausgabedatei an, gefolgt vom Namen der ursprünglichen Eingabedatei.

Die grundlegende Syntax lautet: wpaclean <output_file.cap> <input_file.cap>

Lassen Sie uns diesen Befehl nun auf unserer wpa.cap-Datei ausführen. Wir werden die bereinigte Ausgabedatei wpa_cleaned.cap nennen.

Führen Sie den folgenden Befehl in Ihrem Terminal aus:

wpaclean wpa_cleaned.cap wpa.cap

Das Tool verarbeitet die Eingabedatei und zeigt Ihnen eine Zusammenfassung seiner Arbeit an.

Reading wpa.cap ...
Writing wpa_cleaned.cap ...

Done.
Total packets read:      6
Total packets written:   4 (handshake)

Wie Sie aus der Ausgabe ersehen können, hat wpaclean 6 Pakete aus der ursprünglichen wpa.cap-Datei gelesen, aber nur die 4 wesentlichen Handshake-Pakete in die neue wpa_cleaned.cap-Datei geschrieben.

Vergleich der Größen der Original- und bereinigten Dateien

In diesem Schritt vergleichen Sie die Dateigrößen der Original- und der bereinigten Capture-Dateien, um die Auswirkung von wpaclean zu sehen. Dies demonstriert den Hauptvorteil der Bereinigung der Datei.

Wir können den Befehl ls mit den Flags -lh verwenden, um eine "lange" Auflistung im "menschenlesbaren" Format zu erhalten, was die Dateigrößen leicht interpretierbar macht.

Führen Sie den folgenden Befehl aus, um die Größen von wpa.cap und wpa_cleaned.cap anzuzeigen:

ls -lh wpa.cap wpa_cleaned.cap

Sie sehen eine Ausgabe, die der folgenden ähnelt:

-rw-r--r-- 1 labex labex 424 Mar 20 10:35 wpa_cleaned.cap
-rw-r--r-- 1 labex labex 634 Mar 20 10:30 wpa.cap

Beachten Sie den Größenunterschied. Die Originaldatei war 634 Bytes groß, während die bereinigte Datei nur 424 Bytes groß ist. Obwohl die Reduzierung bei dieser winzigen Beispieldatei gering erscheint, ist der prozentuale Rückgang signifikant. Bei realen Captures, die viele Megabytes oder sogar Gigabytes umfassen können, führt dieser Bereinigungsprozess zu erheblichen Platz- und Leistungssteigerungen.

Konvertieren der bereinigten .cap-Datei in das Hashcat 22000-Format

In diesem Schritt konvertieren Sie die bereinigte .cap-Datei in ein Format, das Hashcat zum Knacken verwenden kann.

Hashcat kann .cap-Dateien nicht direkt verwenden. Es erfordert, dass die Handshake-Daten extrahiert und auf eine bestimmte Weise formatiert werden. Für WPA/WPA2 ist dies der Hashcat-Modus 22000. Wir werden ein Tool aus der hcxtools-Suite, hcxpcapngtool, verwenden, um diese Konvertierung durchzuführen.

Die Befehlssyntax lautet: hcxpcapngtool -o <output_hash_file> <input_cleaned.cap>

Lassen Sie uns unsere wpa_cleaned.cap-Datei in eine Hashcat-kompatible Datei namens wpa.hc22000 konvertieren.

hcxpcapngtool -o wpa.hc22000 wpa_cleaned.cap

Das Tool gibt eine Zusammenfassung der Konvertierung aus:

reading from wpa_cleaned.cap
summary:
file name....................: wpa_cleaned.cap
file type....................: pcap
file hardware information....: 802.11
file network type............: DLT_IEEE802_11 (105)
packets inside...............: 4
skipped packets..............: 0
packets with FCS.............: 0
beacons (with ESSID inside)..: 0
probe requests...............: 0
probe responses..............: 0
association requests.........: 0
association responses........: 0
reassociation requests.......: 0
reassociation responses......: 0
authentications (OPEN SYSTEM): 2
authentications (BROADCOM)...: 0
EAPOL packets................: 2
EAPOL PMKIDs.................: 0
EAPOL M1s....................: 1
EAPOL M2s....................: 1
EAPOL M3s....................: 0
EAPOL M4s....................: 0
best handshakes..............: 1 (ap-less: 0)

1 handshake(s) written to wpa.hc22000

Eine neue Datei, wpa.hc22000, wurde erstellt. Lassen Sie uns ihren Inhalt mit dem Befehl cat anzeigen.

cat wpa.hc22000

Die Ausgabe ist eine einzelne, lange Textzeile. Dies ist der Hash, den Hashcat verstehen kann.

WPA*02*...long string of characters...

Diese Datei ist nun bereit, mit Hashcat für einen Passwort-Cracking-Versuch verwendet zu werden.

Zusammenfassung

Herzlichen Glückwunsch zum Abschluss des Labs! Sie haben erfolgreich eine rohe Wi-Fi-Capture-Datei für die Verwendung mit Hashcat vorbereitet.

In diesem Lab haben Sie gelernt, wie Sie:

  • Die Bedeutung der Bereinigung von Capture-Dateien verstehen, um die Effizienz zu verbessern und die Dateigröße zu reduzieren.
  • Das Tool wpaclean verwenden, um unnötige Pakete aus einer rohen .cap-Datei zu entfernen.
  • Die Wirksamkeit des Bereinigungsprozesses durch den Vergleich der Größen der Original- und bereinigten Dateien überprüfen.
  • hcxpcapngtool verwenden, um die bereinigte Capture-Datei in das von Hashcat benötigte hc22000-Format zu konvertieren.

Sie verfügen nun über eine grundlegende Fähigkeit für den Workflow der Wi-Fi-Sicherheitsbewertung. Der nächste logische Schritt wäre, die generierte .hc22000-Datei zu nehmen und sie mit Hashcat und einer Wortliste zu verwenden, um zu versuchen, das ursprüngliche Passwort wiederherzustellen.