Introduction
Lors de l'évaluation de la sécurité Wi-Fi, vous capturez souvent le trafic réseau dans un fichier, généralement avec une extension .cap ou .pcap. Ces fichiers de capture bruts contiennent tous les paquets sans fil vus par votre carte réseau, y compris les trames beacon, les requêtes probe et les paquets de données. Cependant, pour le cracking de mots de passe, vous n'avez besoin que des paquets spécifiques qui composent la négociation en 4 étapes (4-way handshake) de WPA/WPA2.
Conserver tous les paquets supplémentaires et inutiles rend le fichier de capture volumineux et peut ralentir le traitement par des outils comme Hashcat. wpaclean est un utilitaire de la suite aircrack-ng conçu pour résoudre ce problème. Il "nettoie" un fichier de capture en supprimant tous les paquets qui ne font pas partie d'une négociation, ce qui donne un fichier beaucoup plus petit et plus efficace.
Dans ce laboratoire, vous apprendrez à utiliser wpaclean pour nettoyer un fichier de capture d'exemple, puis à convertir le fichier nettoyé dans le format correct pour Hashcat.
Comprendre l'objectif du nettoyage des fichiers de capture
Dans cette étape, vous apprendrez pourquoi il est important de nettoyer les fichiers de capture avant de les traiter.
Comme mentionné dans l'introduction, un fichier de capture brut contient une grande quantité de trafic réseau qui est non pertinent pour le cracking d'un mot de passe WPA/WPA2. Les seules informations requises sont la négociation en 4 étapes (4-way handshake) échangée entre un client et un point d'accès.
Les avantages du nettoyage d'un fichier de capture sont :
- Réduction de la taille du fichier : La suppression de milliers de paquets inutiles peut réduire considérablement la taille du fichier, en particulier pour les captures de longue durée. Cela permet d'économiser de l'espace disque et rend le fichier plus facile à gérer et à transférer.
- Traitement plus rapide : Les outils de cracking de mots de passe comme Hashcat doivent analyser le fichier de capture pour trouver la négociation. En fournissant un fichier nettoyé, vous éliminez la surcharge liée à l'analyse de données non pertinentes, ce qui permet des temps de démarrage plus rapides.
- Fiabilité améliorée : Un fichier nettoyé isole les données essentielles de la négociation, réduisant ainsi le potentiel d'erreurs d'analyse ou de problèmes avec des paquets malformés qui ne font pas partie de la négociation.
L'outil wpaclean automatise ce processus en filtrant intelligemment le fichier de capture et en écrivant uniquement les paquets liés à la négociation dans un nouveau fichier. Cet environnement de laboratoire a déjà installé la suite aircrack-ng, qui inclut wpaclean.
Localiser un fichier .cap de négociation brute
Dans cette étape, vous localiserez le fichier de capture d'exemple avec lequel nous travaillerons tout au long de ce laboratoire.
Pour ce laboratoire, un fichier de capture d'exemple nommé wpa.cap a été automatiquement téléchargé dans votre répertoire ~/project lors du processus de configuration. Dans un scénario réel, vous généreriez ce fichier vous-même à l'aide d'un outil comme airodump-ng.
Vérifions que le fichier existe. Utilisez la commande ls -l pour lister le contenu du répertoire courant.
ls -l
Vous devriez voir le fichier wpa.cap dans la sortie, ainsi que ses permissions, son propriétaire, sa taille et sa date de modification.
total 4
-rw-r--r-- 1 labex labex 634 Mar 20 10:30 wpa.cap
Ce petit fichier contient une négociation WPA d'exemple et est parfait pour notre démonstration.
Exécuter wpaclean avec un fichier de sortie et un fichier d'entrée
Dans cette étape, vous utiliserez la commande wpaclean pour nettoyer le fichier de capture brut.
La syntaxe de wpaclean est simple. Vous fournissez le nom du nouveau fichier de sortie nettoyé, suivi du nom du fichier d'entrée d'origine.
La syntaxe de base est :
wpaclean <fichier_sortie.cap> <fichier_entrée.cap>
Maintenant, exécutons cette commande sur notre fichier wpa.cap. Nous nommerons le fichier de sortie nettoyé wpa_cleaned.cap.
Exécutez la commande suivante dans votre terminal :
wpaclean wpa_cleaned.cap wpa.cap
L'outil traitera le fichier d'entrée et vous montrera un résumé de son travail.
Reading wpa.cap ...
Writing wpa_cleaned.cap ...
Done.
Total packets read: 6
Total packets written: 4 (handshake)
Comme vous pouvez le constater dans la sortie, wpaclean a lu 6 paquets du fichier original wpa.cap mais n'a écrit que les 4 paquets essentiels de la négociation dans le nouveau fichier wpa_cleaned.cap.
Comparer les tailles des fichiers d'origine et nettoyé
Dans cette étape, vous comparerez les tailles des fichiers de capture d'origine et nettoyé pour observer l'effet de wpaclean. Cela démontrera le principal avantage du nettoyage du fichier.
Nous pouvons utiliser la commande ls avec les options -lh pour obtenir une liste "longue" au format "lisible par l'homme" (human-readable), ce qui rend les tailles de fichiers faciles à interpréter.
Exécutez la commande suivante pour afficher les tailles de wpa.cap et wpa_cleaned.cap :
ls -lh wpa.cap wpa_cleaned.cap
Vous verrez une sortie similaire à la suivante :
-rw-r--r-- 1 labex labex 424 Mar 20 10:35 wpa_cleaned.cap
-rw-r--r-- 1 labex labex 634 Mar 20 10:30 wpa.cap
Remarquez la différence de taille. Le fichier d'origine faisait 634 octets, tandis que le fichier nettoyé ne fait que 424 octets. Bien que la réduction semble faible pour ce minuscule fichier d'exemple, le pourcentage de réduction est significatif. Pour les captures du monde réel qui peuvent représenter plusieurs mégaoctets, voire gigaoctets, ce processus de nettoyage entraîne des économies d'espace et des gains de performance substantiels.
Convertir le fichier .cap nettoyé au format Hashcat 22000
Dans cette étape, vous allez convertir le fichier .cap nettoyé dans un format que Hashcat peut utiliser pour le cracking.
Hashcat ne peut pas utiliser directement les fichiers .cap. Il nécessite que les données de négociation (handshake) soient extraites et formatées d'une manière spécifique. Pour WPA/WPA2, il s'agit du mode Hashcat 22000. Nous utiliserons un outil de la suite hcxtools, hcxpcapngtool, pour effectuer cette conversion.
La syntaxe de la commande est :
hcxpcapngtool -o <fichier_hash_sortie> <fichier_nettoyé_entrée.cap>
Convertissons notre fichier wpa_cleaned.cap en un fichier compatible Hashcat nommé wpa.hc22000.
hcxpcapngtool -o wpa.hc22000 wpa_cleaned.cap
L'outil affichera un résumé de la conversion :
reading from wpa_cleaned.cap
summary:
file name....................: wpa_cleaned.cap
file type....................: pcap
file hardware information....: 802.11
file network type............: DLT_IEEE802_11 (105)
packets inside...............: 4
skipped packets..............: 0
packets with FCS.............: 0
beacons (with ESSID inside)..: 0
probe requests...............: 0
probe responses..............: 0
association requests.........: 0
association responses........: 0
reassociation requests.......: 0
reassociation responses......: 0
authentications (OPEN SYSTEM): 2
authentications (BROADCOM)...: 0
EAPOL packets................: 2
EAPOL PMKIDs.................: 0
EAPOL M1s....................: 1
EAPOL M2s....................: 1
EAPOL M3s....................: 0
EAPOL M4s....................: 0
best handshakes..............: 1 (ap-less: 0)
1 handshake(s) written to wpa.hc22000
Un nouveau fichier, wpa.hc22000, a été créé. Visualisons son contenu avec la commande cat.
cat wpa.hc22000
La sortie sera une seule longue ligne de texte. C'est le hash que Hashcat peut comprendre.
WPA*02*...long string of characters...
Ce fichier est maintenant prêt à être utilisé avec Hashcat pour une tentative de cracking de mot de passe.
Résumé
Félicitations pour avoir terminé le laboratoire ! Vous avez préparé avec succès un fichier de capture Wi-Fi brut pour utilisation avec Hashcat.
Dans ce laboratoire, vous avez appris à :
- Comprendre l'importance du nettoyage des fichiers de capture pour améliorer l'efficacité et réduire la taille des fichiers.
- Utiliser l'outil
wpacleanpour supprimer les paquets inutiles d'un fichier.capbrut. - Vérifier l'efficacité du processus de nettoyage en comparant les tailles des fichiers d'origine et nettoyé.
- Utiliser
hcxpcapngtoolpour convertir le fichier de capture nettoyé au formathc22000requis par Hashcat.
Vous possédez désormais une compétence fondamentale pour le flux de travail d'évaluation de la sécurité Wi-Fi. La prochaine étape logique serait de prendre le fichier .hc22000 généré et de l'utiliser avec Hashcat et une liste de mots pour tenter de récupérer le mot de passe d'origine.