LabEx
EntrerRejoindre

Capturer passivement une poignée de main WPA avec Aircrack-ng

Beginner
Pratiquer maintenant

Introduction

Dans ce laboratoire, vous apprendrez les bases de la capture d'une poignée de main WPA/WPA2 à l'aide de la suite d'outils Aircrack-ng. La poignée de main WPA est un échange de messages en quatre étapes entre un appareil client et un point d'accès (AP) sans fil qui authentifie le client sur le réseau. La capture de cette poignée de main est la première étape pour tester la robustesse d'un mot de passe Wi-Fi.

Nous nous concentrerons sur une méthode de capture "passive". Cela signifie que nous ne perturberons pas activement le réseau ni ne forcerons les clients à se déconnecter. Au lieu de cela, nous écouterons simplement les ondes radio et attendrons qu'un client se connecte ou se reconnecte naturellement au point d'accès cible. C'est une approche plus discrète pour l'audit de sécurité sans fil.

Vous utiliserez airmon-ng pour activer le mode moniteur sur une interface sans fil et airodump-ng pour capturer le trafic réseau. À la fin de ce laboratoire, vous disposerez d'un fichier de capture contenant une poignée de main WPA valide, et vous saurez comment en vérifier le contenu.

Cibler un AP spécifique avec airodump-ng en utilisant --bssid et --channel

Dans cette étape, vous préparerez votre interface sans fil à la capture de paquets, puis vous commencerez à écouter le trafic d'un point d'accès (AP) spécifique.

Tout d'abord, vous devez mettre votre interface sans fil en "mode moniteur". Ce mode permet à la carte réseau d'écouter tout le trafic Wi-Fi dans l'air, pas seulement le trafic qui lui est destiné. Nous utiliserons l'outil airmon-ng pour cela. Notre interface sans fil simulée s'appelle wlan0.

Exécutez la commande suivante dans votre terminal pour démarrer le mode moniteur :

sudo airmon-ng start wlan0

Vous devriez voir une sortie indiquant que le mode moniteur a été activé. La nouvelle interface de moniteur sera probablement nommée wlan0mon.

PHY     Interface       Driver          Chipset

phy0    wlan0           mac80211_hwsim  Software simulator
                (monitor mode enabled on wlan0mon)

Maintenant que le mode moniteur est actif, vous pouvez utiliser airodump-ng pour commencer la capture. Pour éviter de capturer du trafic inutile de tous les réseaux à proximité, nous ciblerons un AP spécifique. Pour ce laboratoire, nous utiliserons un AP simulé avec les détails suivants :

  • BSSID (Adresse MAC) : 00:11:22:33:44:55
  • Canal : 6

Utilisez les options --bssid et --channel pour concentrer airodump-ng sur notre cible. Exécutez cette commande :

sudo airodump-ng --bssid 00:11:22:33:44:55 --channel 6 wlan0mon

Votre terminal affichera maintenant l'interface airodump-ng, montrant les informations sur l'AP cible. Laissez cette commande s'exécuter et passez à l'étape suivante.

CH  6 ][ Elapsed: 0 s ][ 2023-10-27 10:00

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 00:11:22:33:44:55  -30       10        0    0   6  54e  WPA2 CCMP   PSK  TestAP

 BSSID              STATION            PWR   Rate    Lost    Frames  Probe

Écrire la capture dans un fichier .cap en utilisant -w

Dans l'étape précédente, airodump-ng n'affichait que le trafic en direct à l'écran. Pour effectuer une analyse ultérieure, vous devez enregistrer les paquets capturés dans un fichier.

Tout d'abord, arrêtez la commande airodump-ng en cours en appuyant sur Ctrl+C dans son terminal.

Maintenant, vous allez exécuter la même commande, mais avec l'ajout de l'option -w (write). Cette option indique à airodump-ng d'écrire les paquets capturés dans un fichier. Vous spécifiez un préfixe de nom de fichier, et airodump-ng créera plusieurs fichiers avec ce préfixe, le plus important se terminant par .cap.

Utilisons passive_capture comme préfixe de notre nom de fichier. Exécutez la commande suivante :

sudo airodump-ng --bssid 00:11:22:33:44:55 --channel 6 -w passive_capture wlan0mon

La sortie sur votre écran sera identique à celle de l'étape précédente, mais toutes les données brutes des paquets sont maintenant enregistrées dans des fichiers dans votre répertoire actuel (~/project). Le fichier principal sera nommé passive_capture-01.cap.

Laissez cette commande s'exécuter pendant que nous passons à l'étape suivante, où nous attendrons que la poignée de main cruciale se produise.

Attendre qu'un client se connecte ou se reconnecte naturellement

Dans cette étape, vous apprendrez les conditions nécessaires pour capturer une poignée de main WPA. Avec airodump-ng en cours d'exécution et enregistrant dans un fichier, votre configuration est prête. Maintenant, il vous suffit d'attendre que la poignée de main se produise.

Une poignée de main WPA ne se produit que lorsqu'un appareil client s'authentifie auprès du point d'accès. Dans un scénario de capture passive, cela signifie que vous devez attendre l'un des deux événements suivants :

  1. Un nouveau client se connecte à l'AP.
  2. Un client existant se déconnecte puis se reconnecte à l'AP.

Ce processus demande de la patience, car vous n'avez aucun contrôle sur le moment où ces événements se produisent. Dans une attaque active (non couverte dans ce laboratoire), vous utiliseriez un autre outil comme aireplay-ng pour forcer un client à se déconnecter, l'incitant ainsi à se reconnecter immédiatement et à générer une poignée de main à la demande.

Pour ce laboratoire, nous allons simuler cette période d'attente. Un client se connectera automatiquement au réseau "TestAP" dans notre environnement simulé. Vous n'avez pas besoin d'exécuter de commandes dans cette étape. Continuez simplement à observer la sortie de airodump-ng dans votre terminal.

Identifier le message 'WPA handshake' dans la sortie

Dans cette étape, vous verrez la confirmation que vous avez capturé avec succès la poignée de main WPA.

Après avoir attendu un court instant, le client simulé s'est connecté à l'AP. Lorsque airodump-ng capture avec succès les paquets de la poignée de main à quatre voies, il affichera un message de confirmation dans le coin supérieur droit de son écran.

Regardez votre fenêtre de terminal airodump-ng. Vous devriez maintenant voir deux changements importants :

  1. Un message WPA handshake: 00:11:22:33:44:55 est apparu.
  2. Une nouvelle entrée est apparue dans la section inférieure, représentant l'appareil client qui vient de se connecter.

La sortie ressemblera à ceci :

CH  6 ][ Elapsed: 45 s ][ 2023-10-27 10:05 ][ WPA handshake: 00:11:22:33:44:55

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 00:11:22:33:44:55  -30       55       20    1   6  54e  WPA2 CCMP   PSK  TestAP

 BSSID              STATION            PWR   Rate    Lost    Frames  Probe

 00:11:22:33:44:55  AA:BB:CC:DD:EE:FF  -40   54-54      0        20

Ce message "WPA handshake" est votre signal que vous avez capturé les données dont vous avez besoin. Vous pouvez maintenant arrêter le processus de capture.

Arrêter la capture et vérifier le fichier .cap

Dans cette dernière étape, vous allez arrêter la capture de paquets et utiliser aircrack-ng pour vérifier que la poignée de main est présente et valide dans votre fichier de capture.

Puisque vous avez vu le message "WPA handshake", vous pouvez maintenant arrêter airodump-ng. Appuyez sur Ctrl+C dans le terminal où il s'exécute.

Maintenant, listez les fichiers dans votre répertoire actuel pour voir les fichiers créés par airodump-ng.

ls -l

Vous devriez voir vos fichiers de capture. Le plus important est passive_capture-01.cap.

-rw-r--r-- 1 root root 1234 Oct 27 10:06 passive_capture-01.cap
-rw-r--r-- 1 root root 5678 Oct 27 10:06 passive_capture-01.csv
...

Pour confirmer que le fichier .cap contient effectivement une poignée de main utilisable, vous pouvez le vérifier avec aircrack-ng lui-même. Exécutez simplement aircrack-ng et pointez-le vers votre fichier .cap.

aircrack-ng passive_capture-01.cap

Aircrack-ng analysera le fichier et rapportera ce qu'il trouve. L'information clé à rechercher est (1 handshake). Cela confirme que le fichier contient une poignée de main WPA complète et crackable pour le réseau cible.

Opening passive_capture-01.cap
Read 1500 packets.

   ##  BSSID              ESSID                     Encryption

   1  00:11:22:33:44:55  TestAP                    WPA (1 handshake)

Choosing first network as target.

Vous avez maintenant capturé avec succès et passivement une poignée de main WPA et vérifié son intégrité.

Résumé

Dans ce laboratoire, vous avez réussi à effectuer une capture passive d'une poignée de main WPA/WPA2, une compétence fondamentale dans l'audit de sécurité des réseaux sans fil.

Vous avez appris à :

  • Activer le mode moniteur sur une interface sans fil en utilisant sudo airmon-ng start wlan0.
  • Utiliser airodump-ng pour cibler un AP spécifique avec les options --bssid et --channel.
  • Sauvegarder le trafic réseau capturé dans un fichier en utilisant l'option -w.
  • Reconnaître le message de confirmation "WPA handshake" dans la sortie de airodump-ng.
  • Utiliser aircrack-ng pour analyser un fichier de capture et vérifier la présence d'une poignée de main valide.

Le fichier de capture que vous avez généré, passive_capture-01.cap, contient maintenant toutes les informations nécessaires pour tenter une attaque de cassage de mot de passe (par exemple, une attaque par dictionnaire), ce qui constitue la prochaine étape logique dans une évaluation de sécurité complète. Félicitations pour avoir terminé ce laboratoire !