LabEx
EntrarJunte-se

Limpar um Arquivo de Captura para Hashcat usando wpaclean

Beginner
Pratique Agora

Introdução

Ao realizar avaliações de segurança Wi-Fi, você frequentemente captura tráfego de rede em um arquivo, tipicamente com a extensão .cap ou .pcap. Esses arquivos de captura bruta contêm todos os pacotes sem fio vistos pela sua placa de rede, incluindo beacon frames, probe requests e pacotes de dados. No entanto, para quebrar senhas, você só precisa dos pacotes específicos que compõem o handshake de 4 vias do WPA/WPA2.

Manter todos os pacotes extras e desnecessários torna o arquivo de captura grande e pode desacelerar o processamento por ferramentas como o Hashcat. wpaclean é uma utilidade do conjunto aircrack-ng projetada para resolver este problema. Ele "limpa" um arquivo de captura removendo todos os pacotes que não fazem parte de um handshake, resultando em um arquivo muito menor e mais eficiente.

Neste laboratório, você aprenderá a usar o wpaclean para limpar um arquivo de captura de amostra e, em seguida, converter o arquivo limpo para o formato correto para o Hashcat.

Compreender o Propósito de Limpar Arquivos de Captura

Nesta etapa, você aprenderá por que é importante limpar arquivos de captura antes de processá-los.

Conforme mencionado na introdução, um arquivo de captura bruta contém muito tráfego de rede que é irrelevante para quebrar uma senha WPA/WPA2. A única informação necessária é o handshake de 4 vias trocado entre um cliente e um ponto de acesso.

Os benefícios de limpar um arquivo de captura são:

  • Tamanho de Arquivo Reduzido: Remover milhares de pacotes desnecessários pode reduzir drasticamente o tamanho do arquivo, especialmente para capturas de longa duração. Isso economiza espaço em disco e torna o arquivo mais fácil de gerenciar e transferir.
  • Processamento Mais Rápido: Ferramentas de quebra de senha como o Hashcat precisam analisar o arquivo de captura para encontrar o handshake. Ao fornecer um arquivo limpo, você elimina a sobrecarga de analisar dados irrelevantes, levando a tempos de inicialização mais rápidos.
  • Confiabilidade Aprimorada: Um arquivo limpo isola os dados essenciais do handshake, reduzindo o potencial de erros de análise ou problemas com pacotes malformados que não fazem parte do handshake.

A ferramenta wpaclean automatiza este processo filtrando inteligentemente o arquivo de captura e gravando apenas os pacotes relacionados ao handshake em um novo arquivo. Este ambiente de laboratório já possui a suíte aircrack-ng instalada, que inclui o wpaclean.

Localizar um Arquivo .cap de Handshake Bruto

Nesta etapa, você localizará o arquivo de captura de amostra com o qual trabalharemos durante este laboratório.

Para este laboratório, um arquivo de captura de amostra chamado wpa.cap foi baixado automaticamente para o seu diretório ~/project durante o processo de configuração. Em um cenário do mundo real, você geraria este arquivo usando uma ferramenta como airodump-ng.

Vamos verificar se o arquivo existe. Use o comando ls -l para listar o conteúdo do diretório atual.

ls -l

Você deverá ver o arquivo wpa.cap na saída, juntamente com suas permissões, proprietário, tamanho e data de modificação.

total 4
-rw-r--r-- 1 labex labex 634 Mar 20 10:30 wpa.cap

Este pequeno arquivo contém um handshake WPA de amostra e é perfeito para nossa demonstração.

Executar wpaclean com um Arquivo de Saída e Entrada

Nesta etapa, você usará o comando wpaclean para limpar o arquivo de captura bruta.

A sintaxe para wpaclean é direta. Você fornece o nome para o novo arquivo de saída limpo, seguido pelo nome do arquivo de entrada original.

A sintaxe básica é:
wpaclean <arquivo_saida.cap> <arquivo_entrada.cap>

Agora, vamos executar este comando em nosso arquivo wpa.cap. Daremos ao arquivo de saída limpo o nome wpa_cleaned.cap.

Execute o seguinte comando em seu terminal:

wpaclean wpa_cleaned.cap wpa.cap

A ferramenta processará o arquivo de entrada e mostrará um resumo do seu trabalho.

Reading wpa.cap ...
Writing wpa_cleaned.cap ...

Done.
Total packets read:      6
Total packets written:   4 (handshake)

Como você pode ver na saída, wpaclean leu 6 pacotes do arquivo original wpa.cap, mas gravou apenas os 4 pacotes essenciais do handshake no novo arquivo wpa_cleaned.cap.

Comparar os Tamanhos dos Arquivos Original e Limpo

Nesta etapa, você comparará os tamanhos dos arquivos de captura original e limpo para ver o efeito do wpaclean. Isso demonstrará o principal benefício da limpeza do arquivo.

Podemos usar o comando ls com as flags -lh para obter uma listagem "longa" em formato "legível por humanos" (human-readable), o que torna os tamanhos dos arquivos fáceis de interpretar.

Execute o seguinte comando para exibir os tamanhos de ambos os arquivos wpa.cap e wpa_cleaned.cap:

ls -lh wpa.cap wpa_cleaned.cap

Você verá uma saída semelhante à seguinte:

-rw-r--r-- 1 labex labex 424 Mar 20 10:35 wpa_cleaned.cap
-rw-r--r-- 1 labex labex 634 Mar 20 10:30 wpa.cap

Observe a diferença de tamanho. O arquivo original tinha 634 bytes, enquanto o arquivo limpo tem apenas 424 bytes. Embora a redução pareça pequena para este pequeno arquivo de exemplo, a porcentagem de redução é significativa. Para capturas do mundo real que podem ter muitos megabytes ou até gigabytes, este processo de limpeza resulta em economias de espaço e ganhos de desempenho substanciais.

Converter o Arquivo .cap Limpo para o Formato Hashcat 22000

Nesta etapa, você converterá o arquivo .cap limpo para um formato que o Hashcat possa usar para cracking.

O Hashcat não pode usar arquivos .cap diretamente. Ele requer que os dados do handshake sejam extraídos e formatados de uma maneira específica. Para WPA/WPA2, este é o modo 22000 do Hashcat. Usaremos uma ferramenta do conjunto hcxtools, o hcxpcapngtool, para realizar esta conversão.

A sintaxe do comando é:
hcxpcapngtool -o <arquivo_hash_saida> <input_cleaned.cap>

Vamos converter nosso arquivo wpa_cleaned.cap em um arquivo compatível com Hashcat chamado wpa.hc22000.

hcxpcapngtool -o wpa.hc22000 wpa_cleaned.cap

A ferramenta exibirá um resumo da conversão:

reading from wpa_cleaned.cap
summary:
file name....................: wpa_cleaned.cap
file type....................: pcap
file hardware information....: 802.11
file network type............: DLT_IEEE802_11 (105)
packets inside...............: 4
skipped packets..............: 0
packets with FCS.............: 0
beacons (with ESSID inside)..: 0
probe requests...............: 0
probe responses..............: 0
association requests.........: 0
association responses........: 0
reassociation requests.......: 0
reassociation responses......: 0
authentications (OPEN SYSTEM): 2
authentications (BROADCOM)...: 0
EAPOL packets................: 2
EAPOL PMKIDs.................: 0
EAPOL M1s....................: 1
EAPOL M2s....................: 1
EAPOL M3s....................: 0
EAPOL M4s....................: 0
best handshakes..............: 1 (ap-less: 0)

1 handshake(s) written to wpa.hc22000

Um novo arquivo, wpa.hc22000, foi criado. Vamos visualizar seu conteúdo com o comando cat.

cat wpa.hc22000

A saída será uma única linha longa de texto. Este é o hash que o Hashcat pode entender.

WPA*02*...long string of characters...

Este arquivo está agora pronto para ser usado com o Hashcat para uma tentativa de cracking de senha.

Resumo

Parabéns por completar o laboratório! Você preparou com sucesso um arquivo de captura Wi-Fi bruto para uso com o Hashcat.

Neste laboratório, você aprendeu a:

  • Compreender a importância de limpar arquivos de captura para melhorar a eficiência e reduzir o tamanho do arquivo.
  • Usar a ferramenta wpaclean para remover pacotes desnecessários de um arquivo .cap bruto.
  • Verificar a eficácia do processo de limpeza comparando os tamanhos dos arquivos original e limpo.
  • Usar o hcxpcapngtool para converter o arquivo de captura limpo para o formato hc22000 exigido pelo Hashcat.

Você agora possui uma habilidade fundamental para o fluxo de trabalho de avaliação de segurança Wi-Fi. O próximo passo lógico seria pegar o arquivo .hc22000 gerado e usá-lo com o Hashcat e uma wordlist para tentar recuperar a senha original.