LabEx
LoginBeitreten

WPA-Capture-Datei mit airdecap-ng entschlüsseln

Beginner
Jetzt üben

Einleitung

Willkommen zu diesem Lab zur Entschlüsselung von WPA-Capture-Dateien. airdecap-ng ist ein leistungsstarkes Werkzeug innerhalb der Aircrack-ng-Suite, das für die Entschlüsselung von drahtlosem Datenverkehr entwickelt wurde. Nachdem drahtlose Pakete erfasst und die WPA/WPA2-Passphrase erfolgreich geknackt wurde, ist der nächste logische Schritt die Entschlüsselung der erfassten Daten, um deren Inhalt zu analysieren. Hier kommt airdecap-ng ins Spiel.

In diesem Lab durchlaufen Sie den Prozess der Verwendung von airdecap-ng zur Entschlüsselung einer bereits vorhandenen Capture-Datei (.cap) unter Verwendung einer bekannten Netzwerk-SSID und Passphrase. Dies ermöglicht Ihnen, den Arbeitsablauf zu verstehen, wie verschlüsselte, unlesbare Netzwerkdaten in ein klares, analysierbares Format umgewandelt werden.

Beschaffung der geknackten WPA-Passphrase

In diesem Schritt beginnen wir mit dem wichtigsten Informationsstück, das für die Entschlüsselung benötigt wird: der WPA-Passphrase. In einem realen Szenario würden Sie diese mithilfe eines Tools wie aircrack-ng erhalten, um einen Wörterbuch- oder Brute-Force-Angriff auf einen erfassten WPA 4-Wege-Handshake durchzuführen.

Für die Zwecke dieses Labs gehen wir davon aus, dass dieser Prozess bereits erfolgreich abgeschlossen wurde. Das geknackte Passwort wurde in einer Datei namens cracked_password.txt in Ihrem aktuellen Verzeichnis, ~/project, gespeichert.

Sehen wir uns den Inhalt dieser Datei an, um die Passphrase zu erhalten. Verwenden Sie den Befehl cat, um den Inhalt der Datei im Terminal anzuzeigen.

cat cracked_password.txt

Sie sollten die folgende Ausgabe sehen, die die Passphrase ist, die wir für die Entschlüsselung verwenden werden:

password123

Behalten Sie diese Passphrase im Hinterkopf, da wir sie in einem späteren Schritt benötigen, um den airdecap-ng-Befehl auszuführen.

Lokalisieren der .cap-Datei mit dem WPA-Handshake

In diesem Schritt müssen wir die Capture-Datei identifizieren, die den verschlüsselten drahtlosen Datenverkehr enthält. Diese Dateien haben typischerweise die Erweiterung .cap oder .pcap und werden von Paket-Sniffing-Tools wie airodump-ng oder Wireshark generiert.

Für dieses Lab wurde eine Beispiel-Capture-Datei namens wpa_handshake.cap in Ihrem ~/project-Verzeichnis platziert. Um zu bestätigen, dass die Datei vorhanden ist, können Sie den Inhalt des aktuellen Verzeichnisses mit dem Befehl ls -l auflisten. Dieser Befehl liefert eine detaillierte Liste von Dateien und Verzeichnissen.

Führen Sie den folgenden Befehl in Ihrem Terminal aus:

ls -l

Ihre Ausgabe sollte ähnlich wie diese aussehen und die Existenz von wpa_handshake.cap bestätigen:

total 12
-rw-r--r-- 1 labex labex   12 Mar 18 10:00 cracked_password.txt
-rw-r--r-- 1 labex labex    9 Mar 18 10:00 ssid.txt
-rw-r--r-- 1 labex labex    0 Mar 18 10:00 wpa_handshake.cap

Nachdem wir nun den Speicherort unserer Passphrase und unserer Capture-Datei bestätigt haben, sind wir bereit, den Entschlüsselungsbefehl vorzubereiten.

airdecap-ng mit -e SSID und -p Passphrase verwenden

In diesem Schritt erstellen wir den airdecap-ng-Befehl. Um eine WPA/WPA2-Capture zu entschlüsseln, benötigt airdecap-ng zwei wesentliche Informationen: den Netzwerknamen (SSID) und dessen Passphrase.

Der Befehl verwendet spezifische Flags (Optionen), um diese Informationen zu akzeptieren:

  • -e <essid>: Dieses Flag wird verwendet, um die ESSID (Extended Service Set Identifier) des Zielnetzwerks anzugeben.
  • -p <passphrase>: Dieses Flag wird verwendet, um die WPA/WPA2-Passphrase bereitzustellen.

Für unser Lab ist die SSID in der Datei ssid.txt gespeichert. Sehen wir sie uns zuerst an:

cat ssid.txt

Die Ausgabe wird sein:

MyTestAP

In Kombination mit der Passphrase "password123" aus Schritt 1 sieht der erste Teil unseres Befehls wie folgt aus: airdecap-ng -e MyTestAP -p password123.

Diese Befehlsstruktur teilt airdecap-ng mit, nach welchem Netzwerkverkehr gesucht werden soll und welcher Schlüssel zur Entschlüsselung verwendet werden soll. Im nächsten Schritt werden wir den Befehl vervollständigen, indem wir die Eingabe-Capture-Datei hinzufügen.

Angabe der zu entschlüsselnden Eingabe-Capture-Datei

In diesem Schritt werden wir den airdecap-ng-Befehl fertigstellen und ausführen. Wir haben die SSID (MyTestAP), die Passphrase (password123) und die Eingabedatei (wpa_handshake.cap). Nun müssen wir alles in einem einzigen Befehl zusammenfügen.

Das letzte Argument für den airdecap-ng-Befehl ist der Pfad zur Capture-Datei, die Sie entschlüsseln möchten.

Führen Sie den folgenden vollständigen Befehl in Ihrem Terminal aus. Dies weist airdecap-ng an, wpa_handshake.cap zu lesen, Pakete zu finden, die mit der SSID "MyTestAP" übereinstimmen, und zu versuchen, diese mit "password123" zu entschlüsseln.

airdecap-ng -e MyTestAP -p password123 wpa_handshake.cap

Nach Ausführung des Befehls sehen Sie eine Ausgabe, die der folgenden ähnelt. Beachten Sie, dass, da unsere Beispiel-.cap-Datei leer ist, die Paketanzahlen null sein werden. Die wichtigste Zeile ist die letzte, die die Erstellung einer neuen, entschlüsselten Datei bestätigt.

Total number of packets read         1
Total number of WPA packets          0
Total number of WPA handshakes       0
Number of plaintext data packets     0
Number of decrypted WPA packets      0
Number of decrypted WEP packets      0
File wpa_handshake-dec.cap created.

Die Meldung "File wpa_handshake-dec.cap created." zeigt an, dass der Vorgang erfolgreich war. airdecap-ng hat eine neue Datei mit der entschlüsselten Version des Datenverkehrs erstellt.

Überprüfung der neu erstellten entschlüsselten Capture-Datei

In diesem letzten Schritt überprüfen wir, ob die entschlüsselte Datei erstellt wurde, und lernen, wie wir sie inspizieren können. airdecap-ng modifiziert die ursprüngliche Capture-Datei nicht. Stattdessen erstellt es eine neue Datei mit den entschlüsselten Paketen, indem es normalerweise -dec.cap an den ursprünglichen Dateinamen anhängt.

Verwenden Sie zunächst erneut den Befehl ls -l, um die neue Datei in Ihrem Verzeichnis anzuzeigen.

ls -l

Sie sehen nun die entschlüsselte Datei wpa_handshake-dec.cap zusammen mit den ursprünglichen Dateien aufgelistet:

total 16
-rw-r--r-- 1 labex labex   12 Mar 18 10:00 cracked_password.txt
-rw-r--r-- 1 labex labex    9 Mar 18 10:00 ssid.txt
-rw-r--r-- 1 labex labex    0 Mar 18 10:00 wpa_handshake-dec.cap
-rw-r--r-- 1 labex labex    0 Mar 18 10:00 wpa_handshake.cap

Diese neue Datei, wpa_handshake-dec.cap, enthält die Klartextversion der erfassten Daten. Sie können sie nun mit Netzwerk-Analyse-Tools wie Wireshark oder tcpdump analysieren. Zur Demonstration verwenden wir tcpdump mit dem Flag -r, um aus unserer neuen Datei zu lesen.

tcpdump -r wpa_handshake-dec.cap

Da unsere Quelldatei leer war, zeigt tcpdump keine Pakete an. Es bestätigt jedoch, dass es die Datei lesen kann, was das Ziel dieses Schritts ist.

reading from file wpa_handshake-dec.cap, link-type EN10MB (Ethernet)

In einer realen Situation mit einer gefüllten Capture-Datei würde dieser Befehl den Inhalt der entschlüsselten Pakete anzeigen, wie z. B. HTTP-Anfragen, DNS-Abfragen und anderen Klartext-Datenverkehr.

Zusammenfassung

In diesem Lab haben Sie erfolgreich gelernt, wie Sie mit airdecap-ng eine WPA-verschlüsselte Capture-Datei entschlüsseln.

Sie haben den vollständigen Workflow geübt:

  1. Identifizierung der erforderlichen Passphrase und SSID.
  2. Auffinden der Ziel-.cap-Datei.
  3. Erstellung des airdecap-ng-Befehls unter Verwendung der Flags -e (SSID) und -p (Passphrase).
  4. Ausführung des Befehls zur Erstellung einer neuen, entschlüsselten Capture-Datei (-dec.cap).
  5. Überprüfung der Erstellung der entschlüsselten Datei und Erlernen, wie diese mit Tools wie tcpdump analysiert werden kann.

Diese Fähigkeit ist grundlegend für die Netzwerksicherheitsanalyse, da sie die Lücke zwischen dem Knacken des Netzwerkkennworts und dem tatsächlichen Verständnis des darin fließenden Datenverkehrs schließt.