LabEx
EntrarÚnete

Descifrar un Archivo de Captura WEP usando airdecap-ng

Beginner
Practicar Ahora

Introducción

airdecap-ng es una potente herramienta dentro de la suite Aircrack-ng diseñada para descifrar archivos de captura de tráfico inalámbrico. Una vez que haya descifrado con éxito la contraseña de una red WEP, WPA o WPA2, puede utilizar airdecap-ng para convertir la captura de tráfico cifrado (archivo .cap) en una versión descifrada. Este nuevo archivo le permite analizar el contenido de la comunicación de red en texto plano utilizando herramientas como Wireshark o tshark.

En este laboratorio, simulará la etapa final de una prueba de penetración inalámbrica. Asumiremos que ya ha capturado tráfico WEP cifrado y ha descifrado la clave con éxito. Su tarea es utilizar airdecap-ng con la clave conocida para descifrar el archivo de captura y verificar el resultado.

Obtener la Clave WEP Descifrada en Hexadecimal

En este paso, localizará la clave WEP que fue previamente "descifrada". En un escenario del mundo real, esta clave sería la salida de una herramienta como aircrack-ng. Para este laboratorio, hemos simulado esta salida y la hemos guardado en un archivo de texto.

Primero, examinemos el archivo que contiene la clave. Se encuentra en ~/project/wep_scenario/crack_result.txt. Utilice el comando cat para mostrar su contenido:

cat ~/project/wep_scenario/crack_result.txt

Verá la siguiente salida, que imita el resultado exitoso de aircrack-ng:

                        KEY FOUND! [ 1A:2B:3C:4D:5E ]

La herramienta airdecap-ng requiere que la clave WEP esté en formato hexadecimal puro, sin dos puntos ni otros separadores. Basado en la salida anterior, la clave es 1A:2B:3C:4D:5E. Necesitará usar esta clave como 1A2B3C4D5E en los próximos pasos.

Localizar el Archivo .cap Original con Tráfico Cifrado

En este paso, localizará el archivo de captura que contiene el tráfico WEP cifrado. Este es el archivo que introduciremos en airdecap-ng para su descifrado.

El script de configuración para este laboratorio ha colocado el archivo necesario en el directorio ~/project/wep_scenario. Utilice el comando ls -l para listar los archivos en este directorio e identificar el archivo de captura.

ls -l ~/project/wep_scenario

La salida mostrará los archivos en el directorio:

total 68
-rw-r--r-- 1 labex labex    44 Dec 01 12:00 crack_result.txt
-rw-r--r-- 1 labex labex 65879 Dec 01 12:00 wep_traffic.cap

Como puede ver, el archivo de captura se llama wep_traffic.cap. Este es el archivo de entrada para nuestro proceso de descifrado.

Usar airdecap-ng con el Parámetro -w Clave WEP

En este paso, aprenderá sobre la sintaxis básica de airdecap-ng y su parámetro más importante para el descifrado WEP. La sintaxis general es airdecap-ng [opciones] <archivo de captura>.

Para descifrar tráfico cifrado con WEP, la opción crucial es -w, que significa "WEP key" (clave WEP). Este parámetro se utiliza para proporcionar la clave hexadecimal que identificó en el primer paso.

Para facilitar la escritura de los comandos, primero navegue al directorio de trabajo:

cd ~/project/wep_scenario

Ahora, veamos el menú de ayuda de airdecap-ng para ver la descripción oficial del parámetro -w.

airdecap-ng --help

Verá una lista de todas las opciones disponibles. Busque la opción -w en la salida:

...
Common options:
      -l         : no eliminar la cabecera 802.11
      -b <bssid> : dirección MAC del punto de acceso
      -e <essid> : ESSID de la red objetivo

WEP specific options:
      -w <key>   : clave WEP de la red objetivo en hexadecimal
...

Esto confirma que -w es el parámetro correcto para nuestra clave WEP. En el siguiente paso, combinaremos este parámetro con nuestra clave y el archivo de entrada para realizar el descifrado.

Especificar el Archivo de Captura de Entrada a Descifrar

En este paso, combinará todas las piezas: el comando airdecap-ng, la clave WEP con el parámetro -w y el archivo de captura de entrada. Esto ejecutará el proceso de descifrado.

Asegúrese de estar en el directorio ~/project/wep_scenario. Ahora, ejecute el comando airdecap-ng con la clave 1A2B3C4D5E y el archivo de entrada wep_traffic.cap.

airdecap-ng -w 1A2B3C4D5E wep_traffic.cap

La herramienta procesará el archivo y mostrará un resumen de sus acciones. La salida se verá similar a esto:

Total number of packets read          1236
Total number of WEP data packets       254
Total number of WPA data packets         0
Number of plaintext data packets         0
Number of decrypted WEP  packets       254
Number of decrypted WPA  packets         0
Number of packets written to file      254

El resultado más importante es que airdecap-ng ha creado un nuevo archivo. Por defecto, añade -dec.cap al nombre del archivo original. Por lo tanto, ahora debería existir un nuevo archivo llamado wep_traffic-dec.cap.

Verifique esto listando nuevamente los archivos en el directorio actual:

ls

Ahora debería ver el archivo descifrado recién creado en la lista:

crack_result.txt  wep_traffic.cap  wep_traffic-dec.cap

Este nuevo archivo contiene los mismos paquetes que el original, pero su carga útil de datos ahora está en texto plano.

Analizar el Nuevo Archivo .cap Descifrado en Wireshark

En este paso, inspeccionará el contenido del nuevo archivo descifrado para confirmar que el tráfico ahora es legible. Si bien una herramienta gráfica como Wireshark es ideal, podemos usar su equivalente en línea de comandos, tshark, para verificar rápidamente el archivo en la terminal.

Primero, usemos tshark para ver los primeros 10 paquetes del archivo original cifrado. La opción -r le indica a tshark que lea desde un archivo.

tshark -r wep_traffic.cap | head -n 10

Observe que el protocolo para la mayoría de los paquetes de datos se lista como 802.11 y la columna de información indica que están protegidos.

    1   0.000000 00:09:5b:89:a5:e9 -> ff:ff:ff:ff:ff:ff 802.11 60 Beacon frame, SN=3296, FN=0, Flags=........, BI=100, SSID=linksys
    2   0.000013 00:14:a5:8d:fb:c8 -> 00:09:5b:89:a5:e9 802.11 114 Data, SN=2083, FN=0, Flags=...P...., WEP
    3   0.000539 00:09:5b:89:a5:e9 -> 00:14:a5:8d:fb:c8 802.11 60 ACK, SN=2083, FN=0, Flags=........
    4   0.102399 00:09:5b:89:a5:e9 -> ff:ff:ff:ff:ff:ff 802.11 60 Beacon frame, SN=3297, FN=0, Flags=........, BI=100, SSID=linksys
...

Ahora, hagamos lo mismo para nuestro nuevo archivo descifrado, wep_traffic-dec.cap.

tshark -r wep_traffic-dec.cap | head -n 10

Observe la salida detenidamente. Ahora puede ver protocolos de nivel superior como ARP y DHCP. Esto significa que la capa de cifrado WEP se ha eliminado con éxito y los datos subyacentes son visibles.

    1   0.000013 00:14:a5:8d:fb:c8 -> ff:ff:ff:ff:ff:ff ARP 42 Who has 192.168.1.1? Tell 192.168.1.100
    2   0.102938 00:14:a5:8d:fb:c8 -> ff:ff:ff:ff:ff:ff ARP 42 Who has 192.168.1.1? Tell 192.168.1.100
    3   0.205337 00:14:a5:8d:fb:c8 -> ff:ff:ff:ff:ff:ff DHCP 342 DHCP Request
    4   0.307736 00:14:a5:8d:fb:c8 -> ff:ff:ff:ff:ff:ff DHCP 342 DHCP Request
...

Al comparar las dos salidas, ha confirmado que el descifrado fue exitoso. El archivo wep_traffic-dec.cap ahora se puede utilizar para un análisis detallado de paquetes.

Resumen

¡Felicitaciones por completar el laboratorio! Ha descifrado con éxito un archivo de captura cifrado con WEP utilizando airdecap-ng.

En este laboratorio, aprendió a:

  • Localizar una clave WEP previamente descifrada y formatearla para su uso con airdecap-ng.
  • Identificar el archivo de captura cifrado de destino.
  • Utilizar el comando airdecap-ng -w <clave> <archivo> para realizar el descifrado.
  • Verificar la creación del nuevo archivo .cap descifrado.
  • Utilizar tshark para inspeccionar y comparar los archivos cifrados y descifrados, confirmando el éxito de la operación.

Esta habilidad es una parte fundamental del análisis de redes inalámbricas y la auditoría de seguridad, ya que le permite convertir un flujo de datos cifrados capturado en información significativa y legible.