LabEx
EntrarJunte-se

Descriptografar um Arquivo de Captura WPA usando airdecap-ng

Beginner
Pratique Agora

Introdução

Bem-vindo a este laboratório sobre a descriptografia de arquivos de captura WPA. airdecap-ng é uma ferramenta poderosa dentro do conjunto Aircrack-ng, projetada para descriptografar tráfego sem fio. Após capturar pacotes sem fio e quebrar com sucesso a passphrase WPA/WPA2, o próximo passo lógico é descriptografar os dados capturados para analisar seu conteúdo. É aqui que o airdecap-ng entra em jogo.

Neste laboratório, você percorrerá o processo de uso do airdecap-ng para descriptografar um arquivo de captura pré-existente (.cap) usando um SSID de rede e passphrase conhecidos. Isso permitirá que você entenda o fluxo de trabalho de transformar dados de rede criptografados e ilegíveis em um formato claro e analisável.

Obter a Passphrase WPA Quebrada

Nesta etapa, começaremos com a informação mais crítica necessária para a descriptografia: a passphrase WPA. Em um cenário do mundo real, você obteria isso usando uma ferramenta como aircrack-ng para realizar um ataque de dicionário ou força bruta em um handshake WPA de 4 vias capturado.

Para fins deste laboratório, assumiremos que este processo já foi concluído com sucesso. A senha quebrada foi salva em um arquivo chamado cracked_password.txt em seu diretório atual, ~/project.

Vamos visualizar o conteúdo deste arquivo para obter a passphrase. Use o comando cat para exibir o conteúdo do arquivo no terminal.

cat cracked_password.txt

Você deverá ver a seguinte saída, que é a passphrase que usaremos para a descriptografia:

password123

Mantenha esta passphrase em mente, pois precisaremos dela em uma etapa posterior para executar o comando airdecap-ng.

Localizar o Arquivo .cap Contendo o Handshake WPA

Nesta etapa, precisamos identificar o arquivo de captura que contém o tráfego sem fio criptografado. Esses arquivos geralmente têm a extensão .cap ou .pcap e são gerados por ferramentas de captura de pacotes como airodump-ng ou Wireshark.

Para este laboratório, um arquivo de captura de exemplo chamado wpa_handshake.cap foi colocado em seu diretório ~/project. Para confirmar que o arquivo está presente, você pode listar o conteúdo do diretório atual usando o comando ls -l. Este comando fornece uma lista detalhada de arquivos e diretórios.

Execute o seguinte comando em seu terminal:

ls -l

Sua saída deve ser semelhante a esta, confirmando a existência de wpa_handshake.cap:

total 12
-rw-r--r-- 1 labex labex   12 Mar 18 10:00 cracked_password.txt
-rw-r--r-- 1 labex labex    9 Mar 18 10:00 ssid.txt
-rw-r--r-- 1 labex labex    0 Mar 18 10:00 wpa_handshake.cap

Agora que confirmamos a localização da nossa passphrase e do nosso arquivo de captura, estamos prontos para preparar o comando de descriptografia.

Usar airdecap-ng com o SSID e a Passphrase

Nesta etapa, construiremos o comando airdecap-ng. Para descriptografar uma captura WPA/WPA2, o airdecap-ng requer duas informações essenciais: o nome da rede (SSID) e sua passphrase.

O comando usa flags (opções) específicas para aceitar essas informações:

  • -e <essid>: Esta flag é usada para especificar o ESSID (Extended Service Set Identifier) da rede alvo.
  • -p <passphrase>: Esta flag é usada para fornecer a passphrase WPA/WPA2.

Para o nosso laboratório, o SSID está armazenado no arquivo ssid.txt. Vamos visualizá-lo primeiro:

cat ssid.txt

A saída será:

MyTestAP

Combinando isso com a passphrase "password123" da Etapa 1, a primeira parte do nosso comando ficará assim: airdecap-ng -e MyTestAP -p password123.

Esta estrutura de comando informa ao airdecap-ng qual tráfego da rede procurar e qual chave usar para a descriptografia. Na próxima etapa, completaremos o comando adicionando o arquivo de captura de entrada.

Especificar o Arquivo de Captura de Entrada a ser Descriptografado

Nesta etapa, finalizaremos e executaremos o comando airdecap-ng. Temos o SSID (MyTestAP), a passphrase (password123) e o arquivo de entrada (wpa_handshake.cap). Agora, só precisamos juntar tudo em um único comando.

O argumento final para o comando airdecap-ng é o caminho para o arquivo de captura que você deseja descriptografar.

Execute o seguinte comando completo em seu terminal. Isso instruirá o airdecap-ng a ler wpa_handshake.cap, encontrar pacotes que correspondam ao SSID "MyTestAP" e tentar descriptografá-los usando "password123".

airdecap-ng -e MyTestAP -p password123 wpa_handshake.cap

Após executar o comando, você verá uma saída semelhante à seguinte. Observe que, como nosso arquivo .cap de exemplo está vazio, as contagens de pacotes serão zero. A linha mais importante é a última, que confirma a criação de um novo arquivo descriptografado.

Total number of packets read         1
Total number of WPA packets          0
Total number of WPA handshakes       0
Number of plaintext data packets     0
Number of decrypted WPA packets      0
Number of decrypted WEP packets      0
File wpa_handshake-dec.cap created.

A mensagem "File wpa_handshake-dec.cap created." indica que a operação foi bem-sucedida. O airdecap-ng gerou um novo arquivo contendo a versão descriptografada do tráfego.

Examinar o Novo Arquivo de Captura Descriptografado Criado

Nesta etapa final, verificaremos se o arquivo descriptografado foi criado e aprenderemos como inspecioná-lo. O airdecap-ng não modifica o arquivo de captura original. Em vez disso, ele cria um novo arquivo com os pacotes descriptografados, geralmente anexando -dec.cap ao nome do arquivo original.

Primeiro, use o comando ls -l novamente para ver o novo arquivo em seu diretório.

ls -l

Agora você verá o arquivo descriptografado, wpa_handshake-dec.cap, listado ao lado dos arquivos originais:

total 16
-rw-r--r-- 1 labex labex   12 Mar 18 10:00 cracked_password.txt
-rw-r--r-- 1 labex labex    9 Mar 18 10:00 ssid.txt
-rw-r--r-- 1 labex labex    0 Mar 18 10:00 wpa_handshake-dec.cap
-rw-r--r-- 1 labex labex    0 Mar 18 10:00 wpa_handshake.cap

Este novo arquivo, wpa_handshake-dec.cap, contém a versão em texto simples dos dados capturados. Você pode agora analisá-lo com ferramentas de análise de rede como Wireshark ou tcpdump. Para demonstrar, vamos usar tcpdump com a flag -r para ler de nosso novo arquivo.

tcpdump -r wpa_handshake-dec.cap

Como nosso arquivo de origem estava vazio, o tcpdump não mostrará nenhum pacote. No entanto, ele confirmará que pode ler o arquivo, que é o objetivo desta etapa.

reading from file wpa_handshake-dec.cap, link-type EN10MB (Ethernet)

Em uma situação do mundo real com um arquivo de captura preenchido, este comando exibiria o conteúdo dos pacotes descriptografados, como requisições HTTP, consultas DNS e outro tráfego em texto simples.

Resumo

Neste laboratório, você aprendeu com sucesso como usar o airdecap-ng para descriptografar um arquivo de captura criptografado com WPA.

Você praticou o fluxo de trabalho completo:

  1. Identificar a passphrase e o SSID necessários.
  2. Localizar o arquivo .cap alvo.
  3. Construir o comando airdecap-ng usando as flags -e (SSID) e -p (passphrase).
  4. Executar o comando para gerar um novo arquivo de captura descriptografado (-dec.cap).
  5. Verificar a criação do arquivo descriptografado e aprender como ele pode ser analisado com ferramentas como tcpdump.

Esta habilidade é fundamental na análise de segurança de redes, pois preenche a lacuna entre a quebra da senha de uma rede e a compreensão real do tráfego que flui dentro dela.