LabEx
EntrarÚnete

Limpiar un archivo de captura para Hashcat usando wpaclean

Beginner
Practicar Ahora

Introducción

Al realizar evaluaciones de seguridad Wi-Fi, a menudo se captura el tráfico de red en un archivo, típicamente con una extensión .cap o .pcap. Estos archivos de captura sin procesar contienen todos los paquetes inalámbricos vistos por su tarjeta de red, incluyendo tramas beacon, solicitudes de sondeo (probe requests) y paquetes de datos. Sin embargo, para el cracking de contraseñas, solo necesita los paquetes específicos que componen el handshake de 4 vías de WPA/WPA2.

Mantener todos los paquetes extra e innecesarios hace que el archivo de captura sea grande y puede ralentizar el procesamiento por herramientas como Hashcat. wpaclean es una utilidad del conjunto de herramientas aircrack-ng diseñada para resolver este problema. "Limpia" un archivo de captura eliminando todos los paquetes que no forman parte de un handshake, lo que resulta en un archivo mucho más pequeño y eficiente.

En este laboratorio, aprenderá a usar wpaclean para limpiar un archivo de captura de muestra y luego convertir el archivo limpio al formato correcto para Hashcat.

Comprender el propósito de limpiar archivos de captura

En este paso, aprenderá por qué es importante limpiar los archivos de captura antes de procesarlos.

Como se mencionó en la introducción, un archivo de captura sin procesar contiene mucho tráfico de red que es irrelevante para el cracking de una contraseña WPA/WPA2. La única información requerida es el handshake de 4 vías intercambiado entre un cliente y un punto de acceso.

Los beneficios de limpiar un archivo de captura son:

  • Tamaño de archivo reducido: Eliminar miles de paquetes innecesarios puede reducir drásticamente el tamaño del archivo, especialmente para capturas de larga duración. Esto ahorra espacio en disco y hace que el archivo sea más fácil de gestionar y transferir.
  • Procesamiento más rápido: Herramientas de cracking de contraseñas como Hashcat tienen que analizar el archivo de captura para encontrar el handshake. Al proporcionar un archivo limpio, elimina la sobrecarga de analizar datos irrelevantes, lo que lleva a tiempos de inicio más rápidos.
  • Fiabilidad mejorada: Un archivo limpio aísla los datos esenciales del handshake, reduciendo el potencial de errores de análisis o problemas con paquetes mal formados que no forman parte del handshake.

La herramienta wpaclean automatiza este proceso filtrando inteligentemente el archivo de captura y escribiendo solo los paquetes relacionados con el handshake en un nuevo archivo. Este entorno de laboratorio ya tiene instalada la suite aircrack-ng, que incluye wpaclean.

Localizar un archivo .cap de handshake sin procesar

En este paso, localizará el archivo de captura de muestra con el que trabajaremos durante este laboratorio.

Para este laboratorio, un archivo de captura de muestra llamado wpa.cap se ha descargado automáticamente en su directorio ~/project durante el proceso de configuración. En un escenario del mundo real, usted generaría este archivo usted mismo utilizando una herramienta como airodump-ng.

Verifiquemos que el archivo existe. Utilice el comando ls -l para listar el contenido del directorio actual.

ls -l

Debería ver el archivo wpa.cap en la salida, junto con sus permisos, propietario, tamaño y fecha de modificación.

total 4
-rw-r--r-- 1 labex labex 634 Mar 20 10:30 wpa.cap

Este pequeño archivo contiene un handshake WPA de muestra y es perfecto para nuestra demostración.

Ejecutar wpaclean con un archivo de salida y entrada

En este paso, utilizará el comando wpaclean para limpiar el archivo de captura sin procesar.

La sintaxis para wpaclean es sencilla. Proporciona el nombre para el nuevo archivo de salida limpio, seguido del nombre del archivo de entrada original.

La sintaxis básica es:
wpaclean <archivo_salida.cap> <archivo_entrada.cap>

Ahora, ejecutemos este comando en nuestro archivo wpa.cap. Llamaremos al archivo de salida limpio wpa_cleaned.cap.

Ejecute el siguiente comando en su terminal:

wpaclean wpa_cleaned.cap wpa.cap

La herramienta procesará el archivo de entrada y le mostrará un resumen de su trabajo.

Reading wpa.cap ...
Writing wpa_cleaned.cap ...

Done.
Total packets read:      6
Total packets written:   4 (handshake)

Como puede ver en la salida, wpaclean leyó 6 paquetes del archivo original wpa.cap pero solo escribió los 4 paquetes esenciales del handshake en el nuevo archivo wpa_cleaned.cap.

Comparar los tamaños de archivo original y limpio

En este paso, comparará los tamaños de archivo de las capturas original y limpia para ver el efecto de wpaclean. Esto demostrará el beneficio principal de limpiar el archivo.

Podemos usar el comando ls con las opciones -lh para obtener un listado "largo" en formato "legible por humanos" (human-readable), lo que facilita la interpretación de los tamaños de archivo.

Ejecute el siguiente comando para mostrar los tamaños de wpa.cap y wpa_cleaned.cap:

ls -lh wpa.cap wpa_cleaned.cap

Verá una salida similar a la siguiente:

-rw-r--r-- 1 labex labex 424 Mar 20 10:35 wpa_cleaned.cap
-rw-r--r-- 1 labex labex 634 Mar 20 10:30 wpa.cap

Observe la diferencia de tamaño. El archivo original era de 634 bytes, mientras que el archivo limpio es de solo 424 bytes. Aunque la reducción parece pequeña para este archivo de ejemplo tan pequeño, el porcentaje de reducción es significativo. Para capturas del mundo real que pueden ser de muchos megabytes o incluso gigabytes, este proceso de limpieza resulta en ahorros de espacio y mejoras de rendimiento sustanciales.

Convertir el archivo .cap limpio al formato Hashcat 22000

En este paso, convertirá el archivo .cap limpio a un formato que Hashcat pueda utilizar para el cracking.

Hashcat no puede utilizar archivos .cap directamente. Requiere que los datos del handshake se extraigan y se formateen de una manera específica. Para WPA/WPA2, este es el modo 22000 de Hashcat. Utilizaremos una herramienta del conjunto hcxtools, hcxpcapngtool, para realizar esta conversión.

La sintaxis del comando es:
hcxpcapngtool -o <archivo_hash_salida> <archivo_limpio_entrada.cap>

Convirtamos nuestro archivo wpa_cleaned.cap a un archivo compatible con Hashcat llamado wpa.hc22000.

hcxpcapngtool -o wpa.hc22000 wpa_cleaned.cap

La herramienta generará un resumen de la conversión:

reading from wpa_cleaned.cap
summary:
file name....................: wpa_cleaned.cap
file type....................: pcap
file hardware information....: 802.11
file network type............: DLT_IEEE802_11 (105)
packets inside...............: 4
skipped packets..............: 0
packets with FCS.............: 0
beacons (with ESSID inside)..: 0
probe requests...............: 0
probe responses..............: 0
association requests.........: 0
association responses........: 0
reassociation requests.......: 0
reassociation responses......: 0
authentications (OPEN SYSTEM): 2
authentications (BROADCOM)...: 0
EAPOL packets................: 2
EAPOL PMKIDs.................: 0
EAPOL M1s....................: 1
EAPOL M2s....................: 1
EAPOL M3s....................: 0
EAPOL M4s....................: 0
best handshakes..............: 1 (ap-less: 0)

1 handshake(s) written to wpa.hc22000

Se ha creado un nuevo archivo, wpa.hc22000. Veamos su contenido con el comando cat.

cat wpa.hc22000

La salida será una única línea de texto larga. Este es el hash que Hashcat puede entender.

WPA*02*...long string of characters...

Este archivo ahora está listo para ser utilizado con Hashcat para un intento de cracking de contraseñas.

Resumen

¡Felicitaciones por completar el laboratorio! Ha preparado con éxito un archivo de captura Wi-Fi en bruto para su uso con Hashcat.

En este laboratorio, aprendió a:

  • Comprender la importancia de limpiar los archivos de captura para mejorar la eficiencia y reducir el tamaño del archivo.
  • Utilizar la herramienta wpaclean para eliminar paquetes innecesarios de un archivo .cap en bruto.
  • Verificar la efectividad del proceso de limpieza comparando los tamaños de archivo original y limpio.
  • Utilizar hcxpcapngtool para convertir el archivo de captura limpio al formato hc22000 requerido por Hashcat.

Ahora tiene una habilidad fundamental para el flujo de trabajo de evaluación de seguridad Wi-Fi. El siguiente paso lógico sería tomar el archivo .hc22000 generado y utilizarlo con Hashcat y una lista de palabras para intentar recuperar la contraseña original.