Introduction
airdecap-ng est un outil puissant de la suite Aircrack-ng conçu pour décrypter les fichiers de capture de trafic sans fil. Une fois que vous avez réussi à cracker le mot de passe d'un réseau WEP, WPA ou WPA2, vous pouvez utiliser airdecap-ng pour convertir le trafic capturé chiffré (fichier .cap) en une version décryptée. Ce nouveau fichier vous permet d'analyser le contenu de la communication réseau en texte clair à l'aide d'outils tels que Wireshark ou tshark.
Dans ce laboratoire, vous simulerez la dernière étape d'un test d'intrusion sans fil. Nous supposerons que vous avez déjà capturé du trafic WEP chiffré et que vous avez réussi à cracker la clé. Votre tâche consiste à utiliser airdecap-ng avec la clé connue pour décrypter le fichier de capture et vérifier le résultat.
Obtenir la clé WEP crackée en hexadécimal
Dans cette étape, vous allez localiser la clé WEP qui a été précédemment "crackée". Dans un scénario réel, cette clé serait la sortie d'un outil comme aircrack-ng. Pour ce laboratoire, nous avons simulé cette sortie et l'avons enregistrée dans un fichier texte.
Tout d'abord, examinons le fichier contenant la clé. Il est situé dans ~/project/wep_scenario/crack_result.txt. Utilisez la commande cat pour afficher son contenu :
cat ~/project/wep_scenario/crack_result.txt
Vous verrez la sortie suivante, qui imite le résultat réussi de aircrack-ng :
KEY FOUND! [ 1A:2B:3C:4D:5E ]
L'outil airdecap-ng exige que la clé WEP soit au format hexadécimal pur, sans deux-points ni autres séparateurs. D'après la sortie ci-dessus, la clé est 1A:2B:3C:4D:5E. Vous devrez utiliser cette clé sous la forme 1A2B3C4D5E dans les étapes à venir.
Localiser le fichier .cap original avec le trafic chiffré
Dans cette étape, vous allez localiser le fichier de capture qui contient le trafic WEP chiffré. C'est le fichier que nous allons fournir à airdecap-ng pour le décryptage.
Le script d'installation de ce laboratoire a placé le fichier nécessaire dans le répertoire ~/project/wep_scenario. Utilisez la commande ls -l pour lister les fichiers de ce répertoire et identifier le fichier de capture.
ls -l ~/project/wep_scenario
La sortie affichera les fichiers du répertoire :
total 68
-rw-r--r-- 1 labex labex 44 Dec 01 12:00 crack_result.txt
-rw-r--r-- 1 labex labex 65879 Dec 01 12:00 wep_traffic.cap
Comme vous pouvez le constater, le fichier de capture s'appelle wep_traffic.cap. C'est le fichier d'entrée pour notre processus de décryptage.
Utiliser airdecap-ng avec le paramètre -w Clé WEP
Dans cette étape, vous découvrirez la syntaxe de base de airdecap-ng et son paramètre le plus important pour le décryptage WEP. La syntaxe générale est airdecap-ng [options] <fichier de capture>.
Pour décrypter le trafic chiffré WEP, l'option cruciale est -w, qui signifie "clé WEP" (WEP key). Ce paramètre est utilisé pour fournir la clé hexadécimale que vous avez identifiée à la première étape.
Pour faciliter la saisie des commandes, naviguez d'abord dans le répertoire de travail :
cd ~/project/wep_scenario
Maintenant, examinons le menu d'aide de airdecap-ng pour voir la description officielle du paramètre -w.
airdecap-ng --help
Vous verrez une liste de toutes les options disponibles. Recherchez l'option -w dans la sortie :
...
Common options:
-l : ne pas supprimer l'en-tête 802.11
-b <bssid> : adresse MAC du point d'accès
-e <essid> : ESSID du réseau cible
WEP specific options:
-w <key> : clé WEP du réseau cible en hexadécimal
...
Cela confirme que -w est le paramètre correct pour notre clé WEP. Dans la prochaine étape, nous combinerons ce paramètre avec notre clé et le fichier d'entrée pour effectuer le décryptage.
Spécifier le fichier de capture d'entrée à décrypter
Dans cette étape, vous allez combiner tous les éléments : la commande airdecap-ng, la clé WEP avec le paramètre -w, et le fichier de capture d'entrée. Cela exécutera le processus de décryptage.
Assurez-vous d'être dans le répertoire ~/project/wep_scenario. Exécutez maintenant la commande airdecap-ng avec la clé 1A2B3C4D5E et le fichier d'entrée wep_traffic.cap.
airdecap-ng -w 1A2B3C4D5E wep_traffic.cap
L'outil traitera le fichier et affichera un résumé de ses actions. La sortie ressemblera à ceci :
Total number of packets read 1236
Total number of WEP data packets 254
Total number of WPA data packets 0
Number of plaintext data packets 0
Number of decrypted WEP packets 254
Number of decrypted WPA packets 0
Number of packets written to file 254
Le résultat le plus important est que airdecap-ng a créé un nouveau fichier. Par défaut, il ajoute -dec.cap au nom du fichier d'origine. Ainsi, un nouveau fichier nommé wep_traffic-dec.cap devrait maintenant exister.
Vérifiez cela en listant à nouveau les fichiers du répertoire courant :
ls
Vous devriez maintenant voir le fichier décrypté nouvellement créé dans la liste :
crack_result.txt wep_traffic.cap wep_traffic-dec.cap
Ce nouveau fichier contient les mêmes paquets que l'original, mais leur charge utile de données est maintenant en texte clair (plaintext).
Analyser le nouveau fichier .cap décrypté dans Wireshark
Dans cette étape, vous allez inspecter le contenu du nouveau fichier décrypté pour confirmer que le trafic est maintenant lisible. Bien qu'un outil graphique comme Wireshark soit idéal, nous pouvons utiliser son équivalent en ligne de commande, tshark, pour vérifier rapidement le fichier dans le terminal.
Tout d'abord, utilisons tshark pour afficher les 10 premiers paquets du fichier chiffré d'origine. L'option -r indique à tshark de lire à partir d'un fichier.
tshark -r wep_traffic.cap | head -n 10
Remarquez que le protocole pour la plupart des paquets de données est indiqué comme 802.11 et que la colonne d'informations indique qu'ils sont protégés.
1 0.000000 00:09:5b:89:a5:e9 -> ff:ff:ff:ff:ff:ff 802.11 60 Beacon frame, SN=3296, FN=0, Flags=........, BI=100, SSID=linksys
2 0.000013 00:14:a5:8d:fb:c8 -> 00:09:5b:89:a5:e9 802.11 114 Data, SN=2083, FN=0, Flags=...P...., WEP
3 0.000539 00:09:5b:89:a5:e9 -> 00:14:a5:8d:fb:c8 802.11 60 ACK, SN=2083, FN=0, Flags=........
4 0.102399 00:09:5b:89:a5:e9 -> ff:ff:ff:ff:ff:ff 802.11 60 Beacon frame, SN=3297, FN=0, Flags=........, BI=100, SSID=linksys
...
Maintenant, faisons de même pour notre nouveau fichier décrypté, wep_traffic-dec.cap.
tshark -r wep_traffic-dec.cap | head -n 10
Observez attentivement la sortie. Vous pouvez maintenant voir des protocoles de niveau supérieur tels que ARP et DHCP. Cela signifie que la couche de chiffrement WEP a été supprimée avec succès et que les données sous-jacentes sont visibles.
1 0.000013 00:14:a5:8d:fb:c8 -> ff:ff:ff:ff:ff:ff ARP 42 Who has 192.168.1.1? Tell 192.168.1.100
2 0.102938 00:14:a5:8d:fb:c8 -> ff:ff:ff:ff:ff:ff ARP 42 Who has 192.168.1.1? Tell 192.168.1.100
3 0.205337 00:14:a5:8d:fb:c8 -> ff:ff:ff:ff:ff:ff DHCP 342 DHCP Request
4 0.307736 00:14:a5:8d:fb:c8 -> ff:ff:ff:ff:ff:ff DHCP 342 DHCP Request
...
En comparant les deux sorties, vous avez confirmé que le décryptage a réussi. Le fichier wep_traffic-dec.cap peut maintenant être utilisé pour une analyse détaillée des paquets.
Résumé
Félicitations pour avoir terminé le laboratoire ! Vous avez réussi à décrypter un fichier de capture chiffré WEP en utilisant airdecap-ng.
Dans ce laboratoire, vous avez appris à :
- Localiser une clé WEP déjà crackée et la formater pour l'utilisation avec
airdecap-ng. - Identifier le fichier de capture chiffré cible.
- Utiliser la commande
airdecap-ng -w <clé> <fichier>pour effectuer le décryptage. - Vérifier la création du nouveau fichier
.capdécrypté. - Utiliser
tsharkpour inspecter et comparer les fichiers chiffré et décrypté, confirmant ainsi le succès de l'opération.
Cette compétence est un élément fondamental de l'analyse des réseaux sans fil et de l'audit de sécurité, vous permettant de transformer un flux de données chiffrées capturé en informations significatives et lisibles.