LabEx
EntrarJunte-se

Descriptografar um Arquivo de Captura WEP usando airdecap-ng

Beginner
Pratique Agora

Introdução

airdecap-ng é uma ferramenta poderosa dentro do conjunto Aircrack-ng, projetada para descriptografar arquivos de captura de tráfego sem fio. Uma vez que você tenha descriptografado com sucesso a senha de uma rede WEP, WPA ou WPA2, você pode usar airdecap-ng para converter a captura de tráfego criptografado (arquivo .cap) em uma versão descriptografada. Este novo arquivo permite analisar o conteúdo da comunicação da rede em texto puro usando ferramentas como Wireshark ou tshark.

Neste laboratório, você simulará a fase final de um teste de penetração sem fio. Assumiremos que você já capturou tráfego WEP criptografado e descriptografou com sucesso a chave. Sua tarefa é usar airdecap-ng com a chave conhecida para descriptografar o arquivo de captura e verificar o resultado.

Obter a Chave WEP Descriptografada em Hexadecimal

Nesta etapa, você localizará a chave WEP que foi previamente "descriptografada". Em um cenário do mundo real, esta chave seria a saída de uma ferramenta como aircrack-ng. Para este laboratório, simulamos esta saída e a salvamos em um arquivo de texto.

Primeiro, vamos examinar o arquivo que contém a chave. Ele está localizado em ~/project/wep_scenario/crack_result.txt. Use o comando cat para exibir seu conteúdo:

cat ~/project/wep_scenario/crack_result.txt

Você verá a seguinte saída, que imita o resultado bem-sucedido do aircrack-ng:

                        KEY FOUND! [ 1A:2B:3C:4D:5E ]

A ferramenta airdecap-ng requer que a chave WEP esteja em formato hexadecimal puro, sem quaisquer dois pontos ou outros separadores. Com base na saída acima, a chave é 1A:2B:3C:4D:5E. Você precisará usar esta chave como 1A2B3C4D5E nas próximas etapas.

Localizar o Arquivo .cap Original com Tráfego Criptografado

Nesta etapa, você localizará o arquivo de captura que contém o tráfego WEP criptografado. Este é o arquivo que forneceremos ao airdecap-ng para descriptografia.

O script de configuração para este laboratório colocou o arquivo necessário no diretório ~/project/wep_scenario. Use o comando ls -l para listar os arquivos neste diretório e identificar o arquivo de captura.

ls -l ~/project/wep_scenario

A saída mostrará os arquivos no diretório:

total 68
-rw-r--r-- 1 labex labex    44 Dec 01 12:00 crack_result.txt
-rw-r--r-- 1 labex labex 65879 Dec 01 12:00 wep_traffic.cap

Como você pode ver, o arquivo de captura chama-se wep_traffic.cap. Este é o arquivo de entrada para o nosso processo de descriptografia.

Usar airdecap-ng com o Parâmetro -w Chave WEP

Nesta etapa, você aprenderá sobre a sintaxe básica do airdecap-ng e seu parâmetro mais importante para descriptografia WEP. A sintaxe geral é airdecap-ng [opções] <arquivo de captura>.

Para descriptografar tráfego criptografado com WEP, a opção crucial é -w, que significa "WEP key" (chave WEP). Este parâmetro é usado para fornecer a chave hexadecimal que você identificou na primeira etapa.

Para facilitar a digitação dos comandos, navegue primeiro para o diretório de trabalho:

cd ~/project/wep_scenario

Agora, vamos olhar o menu de ajuda do airdecap-ng para ver a descrição oficial do parâmetro -w.

airdecap-ng --help

Você verá uma lista de todas as opções disponíveis. Procure pela opção -w na saída:

...
Common options:
      -l         : não remover o cabeçalho 802.11
      -b <bssid> : endereço MAC do ponto de acesso
      -e <essid> : ESSID da rede alvo

WEP specific options:
      -w <key>   : chave WEP da rede alvo em hexadecimal
...

Isso confirma que -w é o parâmetro correto para nossa chave WEP. Na próxima etapa, combinaremos este parâmetro com nossa chave e o arquivo de entrada para realizar a descriptografia.

Especificar o Arquivo de Captura de Entrada a ser Descriptografado

Nesta etapa, você combinará todas as partes: o comando airdecap-ng, a chave WEP com o parâmetro -w e o arquivo de captura de entrada. Isso executará o processo de descriptografia.

Certifique-se de estar no diretório ~/project/wep_scenario. Agora, execute o comando airdecap-ng com a chave 1A2B3C4D5E e o arquivo de entrada wep_traffic.cap.

airdecap-ng -w 1A2B3C4D5E wep_traffic.cap

A ferramenta processará o arquivo e exibirá um resumo de suas ações. A saída será semelhante a esta:

Total number of packets read          1236
Total number of WEP data packets       254
Total number of WPA data packets         0
Number of plaintext data packets         0
Number of decrypted WEP  packets       254
Number of decrypted WPA  packets         0
Number of packets written to file      254

O resultado mais importante é que o airdecap-ng criou um novo arquivo. Por padrão, ele anexa -dec.cap ao nome do arquivo original. Portanto, um novo arquivo chamado wep_traffic-dec.cap deve existir agora.

Verifique isso listando novamente os arquivos no diretório atual:

ls

Você deverá ver o arquivo descriptografado recém-criado na listagem:

crack_result.txt  wep_traffic.cap  wep_traffic-dec.cap

Este novo arquivo contém os mesmos pacotes do original, mas sua carga útil de dados agora está em texto plano (plaintext).

Analisar o Novo Arquivo .cap Descriptografado no Wireshark

Nesta etapa, você inspecionará o conteúdo do novo arquivo descriptografado para confirmar que o tráfego agora é legível. Embora uma ferramenta gráfica como o Wireshark seja ideal, podemos usar seu equivalente de linha de comando, tshark, para verificar rapidamente o arquivo no terminal.

Primeiro, vamos usar o tshark para visualizar os primeiros 10 pacotes do arquivo original criptografado. A opção -r instrui o tshark a ler de um arquivo.

tshark -r wep_traffic.cap | head -n 10

Observe que o protocolo para a maioria dos pacotes de dados é listado como 802.11 e a coluna de informações indica que eles estão protegidos.

    1   0.000000 00:09:5b:89:a5:e9 -> ff:ff:ff:ff:ff:ff 802.11 60 Beacon frame, SN=3296, FN=0, Flags=........, BI=100, SSID=linksys
    2   0.000013 00:14:a5:8d:fb:c8 -> 00:09:5b:89:a5:e9 802.11 114 Data, SN=2083, FN=0, Flags=...P...., WEP
    3   0.000539 00:09:5b:89:a5:e9 -> 00:14:a5:8d:fb:c8 802.11 60 ACK, SN=2083, FN=0, Flags=........
    4   0.102399 00:09:5b:89:a5:e9 -> ff:ff:ff:ff:ff:ff 802.11 60 Beacon frame, SN=3297, FN=0, Flags=........, BI=100, SSID=linksys
...

Agora, vamos fazer o mesmo para o nosso novo arquivo descriptografado, wep_traffic-dec.cap.

tshark -r wep_traffic-dec.cap | head -n 10

Observe a saída com atenção. Agora você pode ver protocolos de nível superior como ARP e DHCP. Isso significa que a camada de criptografia WEP foi removida com sucesso e os dados subjacentes estão visíveis.

    1   0.000013 00:14:a5:8d:fb:c8 -> ff:ff:ff:ff:ff:ff ARP 42 Who has 192.168.1.1? Tell 192.168.1.100
    2   0.102938 00:14:a5:8d:fb:c8 -> ff:ff:ff:ff:ff:ff ARP 42 Who has 192.168.1.1? Tell 192.168.1.100
    3   0.205337 00:14:a5:8d:fb:c8 -> ff:ff:ff:ff:ff:ff DHCP 342 DHCP Request
    4   0.307736 00:14:a5:8d:fb:c8 -> ff:ff:ff:ff:ff:ff DHCP 342 DHCP Request
...

Ao comparar as duas saídas, você confirmou que a descriptografia foi bem-sucedida. O arquivo wep_traffic-dec.cap agora pode ser usado para análise detalhada de pacotes.

Resumo

Parabéns por completar o laboratório! Você descriptografou com sucesso um arquivo de captura criptografado com WEP usando airdecap-ng.

Neste laboratório, você aprendeu a:

  • Localizar uma chave WEP pré-cracked e formatá-la para uso com airdecap-ng.
  • Identificar o arquivo de captura criptografado alvo.
  • Usar o comando airdecap-ng -w <key> <file> para realizar a descriptografia.
  • Verificar a criação do novo arquivo .cap descriptografado.
  • Usar o tshark para inspecionar e comparar os arquivos criptografado e descriptografado, confirmando o sucesso da operação.

Esta habilidade é uma parte fundamental da análise de redes sem fio e auditoria de segurança, permitindo que você transforme um fluxo capturado de dados criptografados em informações significativas e legíveis.