Расшифровка файла захвата WEP с помощью airdecap-ng

RedisBeginner
Практиковаться сейчас

Введение

airdecap-ng — это мощный инструмент из набора Aircrack-ng, предназначенный для расшифровки файлов захвата беспроводного трафика. После успешного взлома пароля сети WEP, WPA или WPA2 вы можете использовать airdecap-ng для преобразования зашифрованного файла захвата трафика (.cap файл) в расшифрованную версию. Этот новый файл позволяет анализировать содержимое сетевой связи в открытом тексте с помощью таких инструментов, как Wireshark или tshark.

В этой лабораторной работе мы симулируем финальный этап тестирования на проникновение в беспроводные сети. Мы предполагаем, что вы уже захватили зашифрованный WEP-трафик и успешно взломали ключ. Ваша задача — использовать airdecap-ng с известным ключом для расшифровки файла захвата и проверки результата.

Получение взломанного WEP-ключа в шестнадцатеричном формате

На этом шаге вы найдете WEP-ключ, который был ранее "взломан". В реальном сценарии этот ключ будет результатом работы такого инструмента, как aircrack-ng. Для этой лабораторной работы мы симулировали этот результат и сохранили его в текстовый файл.

Сначала давайте изучим файл, содержащий ключ. Он находится по пути ~/project/wep_scenario/crack_result.txt. Используйте команду cat для отображения его содержимого:

cat ~/project/wep_scenario/crack_result.txt

Вы увидите следующий вывод, который имитирует успешный результат от aircrack-ng:

                        KEY FOUND! [ 1A:2B:3C:4D:5E ]

Инструмент airdecap-ng требует, чтобы WEP-ключ был в чистом шестнадцатеричном формате, без двоеточий или других разделителей. Исходя из приведенного выше вывода, ключ имеет вид 1A:2B:3C:4D:5E. Вам нужно будет использовать этот ключ в формате 1A2B3C4D5E на следующих шагах.

Определение исходного файла .cap с зашифрованным трафиком

На этом шаге вы найдете файл захвата, содержащий зашифрованный WEP-трафик. Именно этот файл мы будем передавать в airdecap-ng для расшифровки.

Скрипт настройки для этой лабораторной работы поместил необходимый файл в каталог ~/project/wep_scenario. Используйте команду ls -l для вывода списка файлов в этом каталоге и определения файла захвата.

ls -l ~/project/wep_scenario

Вывод покажет файлы в каталоге:

total 68
-rw-r--r-- 1 labex labex    44 Dec 01 12:00 crack_result.txt
-rw-r--r-- 1 labex labex 65879 Dec 01 12:00 wep_traffic.cap

Как вы можете видеть, файл захвата называется wep_traffic.cap. Это входной файл для нашего процесса расшифровки.

Использование airdecap-ng с параметром -w для WEP-ключа

На этом шаге вы ознакомитесь с базовым синтаксисом airdecap-ng и его наиболее важным параметром для расшифровки WEP. Общий синтаксис: airdecap-ng [options] <capture file>.

Для расшифровки WEP-зашифрованного трафика ключевой опцией является -w, что означает "WEP key" (WEP-ключ). Этот параметр используется для предоставления шестнадцатеричного ключа, который вы определили на первом шаге.

Чтобы упростить ввод команд, сначала перейдите в рабочий каталог:

cd ~/project/wep_scenario

Теперь давайте посмотрим меню справки airdecap-ng, чтобы увидеть официальное описание параметра -w.

airdecap-ng --help

Вы увидите список всех доступных опций. Найдите опцию -w в выводе:

...
Common options:
      -l         : don't remove 802.11 header
      -b <bssid> : access point MAC address
      -e <essid> : target network ESSID

WEP specific options:
      -w <key>   : target network WEP key in hex
...

Это подтверждает, что -w является правильным параметром для нашего WEP-ключа. На следующем шаге мы объединим этот параметр с нашим ключом и входным файлом для выполнения расшифровки.

Указание входного файла захвата для расшифровки

На этом шаге вы объедините все компоненты: команду airdecap-ng, WEP-ключ с параметром -w и входной файл захвата. Это запустит процесс расшифровки.

Убедитесь, что вы находитесь в каталоге ~/project/wep_scenario. Теперь выполните команду airdecap-ng с ключом 1A2B3C4D5E и входным файлом wep_traffic.cap.

airdecap-ng -w 1A2B3C4D5E wep_traffic.cap

Инструмент обработает файл и отобразит сводку своих действий. Вывод будет выглядеть примерно так:

Total number of packets read          1236
Total number of WEP data packets       254
Total number of WPA data packets         0
Number of plaintext data packets         0
Number of decrypted WEP  packets       254
Number of decrypted WPA  packets         0
Number of packets written to file      254

Самым важным результатом является то, что airdecap-ng создал новый файл. По умолчанию к исходному имени файла добавляется -dec.cap. Таким образом, теперь должен существовать новый файл с именем wep_traffic-dec.cap.

Проверьте это, снова выведя список файлов в текущем каталоге:

ls

Теперь вы должны увидеть новый созданный расшифрованный файл в списке:

crack_result.txt  wep_traffic.cap  wep_traffic-dec.cap

Этот новый файл содержит те же пакеты, что и оригинал, но полезная нагрузка данных теперь представлена в открытом тексте.

Анализ нового расшифрованного файла .cap в Wireshark

На этом шаге вы изучите содержимое нового расшифрованного файла, чтобы убедиться, что трафик теперь читаем. Хотя графический инструмент, такой как Wireshark, является идеальным, мы можем использовать его эквивалент командной строки, tshark, чтобы быстро проверить файл в терминале.

Сначала давайте используем tshark для просмотра первых 10 пакетов исходного зашифрованного файла. Опция -r указывает tshark читать из файла.

tshark -r wep_traffic.cap | head -n 10

Обратите внимание, что для большинства пакетов данных в качестве протокола указан 802.11, а в столбце info указано, что они защищены.

    1   0.000000 00:09:5b:89:a5:e9 -> ff:ff:ff:ff:ff:ff 802.11 60 Beacon frame, SN=3296, FN=0, Flags=........, BI=100, SSID=linksys
    2   0.000013 00:14:a5:8d:fb:c8 -> 00:09:5b:89:a5:e9 802.11 114 Data, SN=2083, FN=0, Flags=...P...., WEP
    3   0.000539 00:09:5b:89:a5:e9 -> 00:14:a5:8d:fb:c8 802.11 60 ACK, SN=2083, FN=0, Flags=........
    4   0.102399 00:09:5b:89:a5:e9 -> ff:ff:ff:ff:ff:ff 802.11 60 Beacon frame, SN=3297, FN=0, Flags=........, BI=100, SSID=linksys
...

Теперь сделаем то же самое для нашего нового расшифрованного файла, wep_traffic-dec.cap.

tshark -r wep_traffic-dec.cap | head -n 10

Внимательно изучите вывод. Теперь вы можете видеть протоколы более высокого уровня, такие как ARP и DHCP. Это означает, что слой WEP-шифрования был успешно удален, и нижележащие данные стали видимыми.

    1   0.000013 00:14:a5:8d:fb:c8 -> ff:ff:ff:ff:ff:ff ARP 42 Who has 192.168.1.1? Tell 192.168.1.100
    2   0.102938 00:14:a5:8d:fb:c8 -> ff:ff:ff:ff:ff:ff ARP 42 Who has 192.168.1.1? Tell 192.168.1.100
    3   0.205337 00:14:a5:8d:fb:c8 -> ff:ff:ff:ff:ff:ff DHCP 342 DHCP Request
    4   0.307736 00:14:a5:8d:fb:c8 -> ff:ff:ff:ff:ff:ff DHCP 342 DHCP Request
...

Сравнив два вывода, вы убедились, что расшифровка прошла успешно. Файл wep_traffic-dec.cap теперь может быть использован для детального анализа пакетов.

Итоги

Поздравляем с завершением лабораторной работы! Вы успешно расшифровали файл захвата с WEP-шифрованием, используя airdecap-ng.

В этой лабораторной работе вы научились:

  • Находить предварительно взломанный WEP-ключ и форматировать его для использования с airdecap-ng.
  • Определять целевой зашифрованный файл захвата.
  • Использовать команду airdecap-ng -w <key> <file> для выполнения расшифровки.
  • Проверять создание нового расшифрованного файла .cap.
  • Использовать tshark для проверки и сравнения зашифрованных и расшифрованных файлов, подтверждая успешность операции.

Этот навык является фундаментальной частью анализа беспроводных сетей и аудита безопасности, позволяя вам превращать захваченный поток зашифрованных данных в осмысленную, читаемую информацию.