Eine WEP-Aufzeichnungsdatei mit airdecap-ng entschlüsseln

RedisBeginner
Jetzt üben

Einleitung

airdecap-ng ist ein leistungsstarkes Werkzeug innerhalb der Aircrack-ng-Suite, das zum Entschlüsseln von aufgezeichneten drahtlosen Datenverkehrdateien entwickelt wurde. Sobald Sie erfolgreich das Passwort für ein WEP-, WPA- oder WPA2-Netzwerk geknackt haben, können Sie airdecap-ng verwenden, um die verschlüsselte Verkehrsaufzeichnung (.cap-Datei) in eine entschlüsselte Version zu konvertieren. Diese neue Datei ermöglicht es Ihnen, die Inhalte der Netzwerkkommunikation im Klartext mit Werkzeugen wie Wireshark oder tshark zu analysieren.

In diesem Labor simulieren wir die letzte Phase eines drahtlosen Penetrationstests. Wir gehen davon aus, dass Sie bereits verschlüsselten WEP-Verkehr aufgezeichnet und den Schlüssel erfolgreich geknackt haben. Ihre Aufgabe ist es, airdecap-ng mit dem bekannten Schlüssel zu verwenden, um die Aufzeichnungsdatei zu entschlüsseln und das Ergebnis zu überprüfen.

Den geknackten WEP-Schlüssel in Hexadezimal erhalten

In diesem Schritt ermitteln Sie den zuvor "geknackten" WEP-Schlüssel. In einem realen Szenario wäre dieser Schlüssel die Ausgabe eines Werkzeugs wie aircrack-ng. Für dieses Labor haben wir diese Ausgabe simuliert und in einer Textdatei gespeichert.

Zuerst untersuchen wir die Datei, die den Schlüssel enthält. Sie befindet sich unter ~/project/wep_scenario/crack_result.txt. Verwenden Sie den Befehl cat, um ihren Inhalt anzuzeigen:

cat ~/project/wep_scenario/crack_result.txt

Sie sehen die folgende Ausgabe, die das erfolgreiche Ergebnis von aircrack-ng nachahmt:

                        KEY FOUND! [ 1A:2B:3C:4D:5E ]

Das Werkzeug airdecap-ng benötigt den WEP-Schlüssel in reinem Hexadezimalformat, ohne Doppelpunkte oder andere Trennzeichen. Basierend auf der obigen Ausgabe ist der Schlüssel 1A:2B:3C:4D:5E. Sie müssen diesen Schlüssel in den folgenden Schritten als 1A2B3C4D5E verwenden.

Die ursprüngliche .cap-Datei mit verschlüsseltem Datenverkehr lokalisieren

In diesem Schritt lokalisieren Sie die Aufzeichnungsdatei, die den verschlüsselten WEP-Verkehr enthält. Dies ist die Datei, die wir zur Entschlüsselung an airdecap-ng übergeben werden.

Das Setup-Skript für dieses Labor hat die benötigte Datei im Verzeichnis ~/project/wep_scenario abgelegt. Verwenden Sie den Befehl ls -l, um die Dateien in diesem Verzeichnis aufzulisten und die Aufzeichnungsdatei zu identifizieren.

ls -l ~/project/wep_scenario

Die Ausgabe zeigt die Dateien im Verzeichnis an:

total 68
-rw-r--r-- 1 labex labex    44 Dec 01 12:00 crack_result.txt
-rw-r--r-- 1 labex labex 65879 Dec 01 12:00 wep_traffic.cap

Wie Sie sehen können, heißt die Aufzeichnungsdatei wep_traffic.cap. Dies ist die Eingabedatei für unseren Entschlüsselungsprozess.

airdecap-ng mit dem Parameter -w WEP Key verwenden

In diesem Schritt lernen Sie die grundlegende Syntax von airdecap-ng und seinen wichtigsten Parameter für die WEP-Entschlüsselung kennen. Die allgemeine Syntax lautet airdecap-ng [Optionen] <Aufzeichnungsdatei>.

Für die Entschlüsselung von WEP-verschlüsseltem Datenverkehr ist die entscheidende Option -w, was für "WEP key" steht. Dieser Parameter wird verwendet, um den hexadezimalen Schlüssel anzugeben, den Sie im ersten Schritt identifiziert haben.

Um die Befehle einfacher eingeben zu können, navigieren Sie zunächst in das Arbeitsverzeichnis:

cd ~/project/wep_scenario

Nun werfen wir einen Blick auf das Hilfemenü von airdecap-ng, um die offizielle Beschreibung des Parameters -w zu sehen.

airdecap-ng --help

Sie sehen eine Liste aller verfügbaren Optionen. Suchen Sie in der Ausgabe nach der Option -w:

...
Common options:
      -l         : don't remove 802.11 header
      -b <bssid> : access point MAC address
      -e <essid> : target network ESSID

WEP specific options:
      -w <key>   : target network WEP key in hex
...

Dies bestätigt, dass -w der richtige Parameter für unseren WEP-Schlüssel ist. Im nächsten Schritt werden wir diesen Parameter mit unserem Schlüssel und der Eingabedatei kombinieren, um die Entschlüsselung durchzuführen.

Die zu entschlüsselnde Eingabe-Aufzeichnungsdatei angeben

In diesem Schritt fügen Sie alle Teile zusammen: den airdecap-ng-Befehl, den WEP-Schlüssel mit dem Parameter -w und die Eingabe-Aufzeichnungsdatei. Dies führt den Entschlüsselungsprozess aus.

Stellen Sie sicher, dass Sie sich im Verzeichnis ~/project/wep_scenario befinden. Führen Sie nun den Befehl airdecap-ng mit dem Schlüssel 1A2B3C4D5E und der Eingabedatei wep_traffic.cap aus.

airdecap-ng -w 1A2B3C4D5E wep_traffic.cap

Das Tool verarbeitet die Datei und zeigt eine Zusammenfassung seiner Aktionen an. Die Ausgabe wird in etwa wie folgt aussehen:

Total number of packets read          1236
Total number of WEP data packets       254
Total number of WPA data packets         0
Number of plaintext data packets         0
Number of decrypted WEP  packets       254
Number of decrypted WPA  packets         0
Number of packets written to file      254

Das wichtigste Ergebnis ist, dass airdecap-ng eine neue Datei erstellt hat. Standardmäßig hängt es -dec.cap an den ursprünglichen Dateinamen an. Daher sollte nun eine neue Datei namens wep_traffic-dec.cap existieren.

Überprüfen Sie dies, indem Sie die Dateien im aktuellen Verzeichnis erneut auflisten:

ls

Sie sollten nun die neu erstellte entschlüsselte Datei in der Liste sehen:

crack_result.txt  wep_traffic.cap  wep_traffic-dec.cap

Diese neue Datei enthält dieselben Pakete wie das Original, aber ihre Daten-Payload ist nun im Klartext.

Die neue entschlüsselte .cap-Datei in Wireshark analysieren

In diesem Schritt inspizieren Sie den Inhalt der neuen entschlüsselten Datei, um zu bestätigen, dass der Datenverkehr nun lesbar ist. Während ein grafisches Tool wie Wireshark ideal ist, können wir sein Kommandozeilen-Äquivalent, tshark, verwenden, um die Datei schnell im Terminal zu überprüfen.

Zuerst verwenden wir tshark, um die ersten 10 Pakete der ursprünglichen verschlüsselten Datei anzuzeigen. Die Option -r weist tshark an, aus einer Datei zu lesen.

tshark -r wep_traffic.cap | head -n 10

Beachten Sie, dass das Protokoll für die meisten Datenpakete als 802.11 aufgeführt ist und die Info-Spalte angibt, dass sie geschützt sind.

    1   0.000000 00:09:5b:89:a5:e9 -> ff:ff:ff:ff:ff:ff 802.11 60 Beacon frame, SN=3296, FN=0, Flags=........, BI=100, SSID=linksys
    2   0.000013 00:14:a5:8d:fb:c8 -> 00:09:5b:89:a5:e9 802.11 114 Data, SN=2083, FN=0, Flags=...P...., WEP
    3   0.000539 00:09:5b:89:a5:e9 -> 00:14:a5:8d:fb:c8 802.11 60 ACK, SN=2083, FN=0, Flags=........
    4   0.102399 00:09:5b:89:a5:e9 -> ff:ff:ff:ff:ff:ff 802.11 60 Beacon frame, SN=3297, FN=0, Flags=........, BI=100, SSID=linksys
...

Nun tun wir dasselbe für unsere neue entschlüsselte Datei, wep_traffic-dec.cap.

tshark -r wep_traffic-dec.cap | head -n 10

Beobachten Sie die Ausgabe sorgfältig. Sie können nun übergeordnete Protokolle wie ARP und DHCP sehen. Das bedeutet, dass die WEP-Verschlüsselungsschicht erfolgreich entfernt wurde und die zugrunde liegenden Daten sichtbar sind.

    1   0.000013 00:14:a5:8d:fb:c8 -> ff:ff:ff:ff:ff:ff ARP 42 Who has 192.168.1.1? Tell 192.168.1.100
    2   0.102938 00:14:a5:8d:fb:c8 -> ff:ff:ff:ff:ff:ff ARP 42 Who has 192.168.1.1? Tell 192.168.1.100
    3   0.205337 00:14:a5:8d:fb:c8 -> ff:ff:ff:ff:ff:ff DHCP 342 DHCP Request
    4   0.307736 00:14:a5:8d:fb:c8 -> ff:ff:ff:ff:ff:ff DHCP 342 DHCP Request
...

Durch den Vergleich der beiden Ausgaben haben Sie bestätigt, dass die Entschlüsselung erfolgreich war. Die Datei wep_traffic-dec.cap kann nun für eine detaillierte Paket-Analyse verwendet werden.

Zusammenfassung

Herzlichen Glückwunsch zum Abschluss des Labs! Sie haben erfolgreich eine WEP-verschlüsselte Aufzeichnungsdatei mit airdecap-ng entschlüsselt.

In diesem Lab haben Sie gelernt, wie Sie:

  • Einen vorab geknackten WEP-Schlüssel lokalisieren und für die Verwendung mit airdecap-ng formatieren.
  • Die Ziel-verschlüsselte Aufzeichnungsdatei identifizieren.
  • Den Befehl airdecap-ng -w <key> <file> zur Durchführung der Entschlüsselung verwenden.
  • Die Erstellung der neuen entschlüsselten .cap-Datei verifizieren.
  • tshark verwenden, um die verschlüsselten und entschlüsselten Dateien zu inspizieren und zu vergleichen, wodurch der Erfolg der Operation bestätigt wird.

Diese Fähigkeit ist ein grundlegender Bestandteil der Analyse und Sicherheitsüberprüfung von drahtlosen Netzwerken, da sie es Ihnen ermöglicht, einen erfassten Strom verschlüsselter Daten in aussagekräftige, lesbare Informationen umzuwandeln.