LabEx
EntrerRejoindre

Décrypter un fichier de capture WPA avec airdecap-ng

Beginner
Pratiquer maintenant

Introduction

Bienvenue dans ce laboratoire sur le décryptage des fichiers de capture WPA. airdecap-ng est un outil puissant de la suite Aircrack-ng conçu pour décrypter le trafic sans fil. Après avoir capturé des paquets sans fil et réussi à cracker la passphrase WPA/WPA2, l'étape logique suivante consiste à décrypter les données capturées pour en analyser le contenu. C'est là qu'intervient airdecap-ng.

Dans ce laboratoire, vous parcourrez le processus d'utilisation de airdecap-ng pour décrypter un fichier de capture préexistant (.cap) en utilisant un SSID de réseau et une passphrase connus. Cela vous permettra de comprendre le flux de travail consistant à transformer des données réseau cryptées et illisibles en un format clair et analysable.

Obtenir la Passphrase WPA Crackée

Dans cette étape, nous allons commencer par l'élément d'information le plus critique nécessaire au décryptage : la passphrase WPA. Dans un scénario réel, vous l'obtiendriez en utilisant un outil tel que aircrack-ng pour effectuer une attaque par dictionnaire ou par force brute sur un handshake WPA à 4 voies capturé.

Dans le cadre de ce laboratoire, nous supposerons que ce processus a déjà été mené à bien. Le mot de passe cracké a été enregistré dans un fichier nommé cracked_password.txt dans votre répertoire actuel, ~/project.

Visualisons le contenu de ce fichier pour obtenir la passphrase. Utilisez la commande cat pour afficher le contenu du fichier dans le terminal.

cat cracked_password.txt

Vous devriez voir la sortie suivante, qui est la passphrase que nous utiliserons pour le décryptage :

password123

Gardez cette passphrase à l'esprit, car nous en aurons besoin à une étape ultérieure pour exécuter la commande airdecap-ng.

Localiser le Fichier .cap Contenant le Handshake WPA

Dans cette étape, nous devons identifier le fichier de capture qui contient le trafic sans fil crypté. Ces fichiers ont généralement une extension .cap ou .pcap et sont générés par des outils de reniflage de paquets tels que airodump-ng ou Wireshark.

Pour ce laboratoire, un fichier de capture d'exemple nommé wpa_handshake.cap a été placé dans votre répertoire ~/project. Pour confirmer que le fichier est présent, vous pouvez lister le contenu du répertoire actuel en utilisant la commande ls -l. Cette commande fournit une liste détaillée des fichiers et répertoires.

Exécutez la commande suivante dans votre terminal :

ls -l

Votre sortie devrait ressembler à ceci, confirmant l'existence de wpa_handshake.cap :

total 12
-rw-r--r-- 1 labex labex   12 Mar 18 10:00 cracked_password.txt
-rw-r--r-- 1 labex labex    9 Mar 18 10:00 ssid.txt
-rw-r--r-- 1 labex labex    0 Mar 18 10:00 wpa_handshake.cap

Maintenant que nous avons confirmé l'emplacement de notre passphrase et de notre fichier de capture, nous sommes prêts à préparer la commande de décryptage.

Utiliser airdecap-ng avec le SSID et la Passphrase

Dans cette étape, nous allons construire la commande airdecap-ng. Pour décrypter une capture WPA/WPA2, airdecap-ng nécessite deux informations essentielles : le nom du réseau (SSID) et sa passphrase.

La commande utilise des indicateurs (options) spécifiques pour accepter ces informations :

  • -e <essid> : Cet indicateur est utilisé pour spécifier l'ESSID (Extended Service Set Identifier) du réseau cible.
  • -p <passphrase> : Cet indicateur est utilisé pour fournir la passphrase WPA/WPA2.

Pour notre laboratoire, le SSID est stocké dans le fichier ssid.txt. Visualisons-le d'abord :

cat ssid.txt

La sortie sera :

MyTestAP

En combinant cela avec la passphrase "password123" de l'Étape 1, la première partie de notre commande ressemblera à ceci : airdecap-ng -e MyTestAP -p password123.

Cette structure de commande indique à airdecap-ng quel trafic réseau rechercher et quelle clé utiliser pour le décryptage. Dans la prochaine étape, nous compléterons la commande en ajoutant le fichier de capture d'entrée.

Spécifier le Fichier de Capture d'Entrée à Décrypter

Dans cette étape, nous allons finaliser et exécuter la commande airdecap-ng. Nous avons le SSID (MyTestAP), la passphrase (password123) et le fichier d'entrée (wpa_handshake.cap). Il ne nous reste plus qu'à tout assembler en une seule commande.

Le dernier argument de la commande airdecap-ng est le chemin d'accès au fichier de capture que vous souhaitez décrypter.

Exécutez la commande complète suivante dans votre terminal. Cela indiquera à airdecap-ng de lire wpa_handshake.cap, de trouver les paquets correspondant au SSID "MyTestAP" et de tenter de les décrypter en utilisant "password123".

airdecap-ng -e MyTestAP -p password123 wpa_handshake.cap

Après avoir exécuté la commande, vous verrez une sortie similaire à la suivante. Notez que comme notre fichier .cap d'exemple est vide, les comptes de paquets seront à zéro. La ligne la plus importante est la dernière, qui confirme la création d'un nouveau fichier décrypté.

Total number of packets read         1
Total number of WPA packets          0
Total number of WPA handshakes       0
Number of plaintext data packets     0
Number of decrypted WPA packets      0
Number of decrypted WEP packets      0
File wpa_handshake-dec.cap created.

Le message "File wpa_handshake-dec.cap created." indique que l'opération a réussi. airdecap-ng a généré un nouveau fichier contenant la version décryptée du trafic.

Examiner le Nouveau Fichier de Capture Décrypté Créé

Dans cette dernière étape, nous allons vérifier que le fichier décrypté a été créé et apprendre comment l'inspecter. airdecap-ng ne modifie pas le fichier de capture original. Au lieu de cela, il crée un nouveau fichier avec les paquets décryptés, généralement en ajoutant -dec.cap au nom du fichier original.

Tout d'abord, utilisez à nouveau la commande ls -l pour voir le nouveau fichier dans votre répertoire.

ls -l

Vous verrez maintenant le fichier décrypté, wpa_handshake-dec.cap, listé à côté des fichiers originaux :

total 16
-rw-r--r-- 1 labex labex   12 Mar 18 10:00 cracked_password.txt
-rw-r--r-- 1 labex labex    9 Mar 18 10:00 ssid.txt
-rw-r--r-- 1 labex labex    0 Mar 18 10:00 wpa_handshake-dec.cap
-rw-r--r-- 1 labex labex    0 Mar 18 10:00 wpa_handshake.cap

Ce nouveau fichier, wpa_handshake-dec.cap, contient la version en texte clair des données capturées. Vous pouvez maintenant l'analyser avec des outils d'analyse réseau tels que Wireshark ou tcpdump. Pour démontrer, utilisons tcpdump avec l'indicateur -r pour lire à partir de notre nouveau fichier.

tcpdump -r wpa_handshake-dec.cap

Étant donné que notre fichier source était vide, tcpdump n'affichera aucun paquet. Cependant, il confirmera qu'il peut lire le fichier, ce qui est l'objectif de cette étape.

reading from file wpa_handshake-dec.cap, link-type EN10MB (Ethernet)

Dans une situation réelle avec un fichier de capture rempli, cette commande afficherait le contenu des paquets décryptés, tels que les requêtes HTTP, les requêtes DNS et d'autres trafics en texte clair.

Résumé

Dans ce laboratoire, vous avez appris avec succès à utiliser airdecap-ng pour décrypter un fichier de capture chiffré WPA.

Vous avez pratiqué le flux de travail complet :

  1. Identifier la passphrase et le SSID requis.
  2. Localiser le fichier .cap cible.
  3. Construire la commande airdecap-ng en utilisant les indicateurs -e (SSID) et -p (passphrase).
  4. Exécuter la commande pour générer un nouveau fichier de capture décrypté (-dec.cap).
  5. Vérifier la création du fichier décrypté et apprendre comment il peut être analysé avec des outils tels que tcpdump.

Cette compétence est fondamentale dans l'analyse de la sécurité réseau, car elle comble le fossé entre le craquage du mot de passe d'un réseau et la compréhension effective du trafic qui y circule.