LabEx
ВходРегистрация

Расшифровка файла захвата WPA с помощью airdecap-ng

Beginner
Практиковаться сейчас

Введение

Добро пожаловать в эту лабораторную работу по расшифровке файлов захвата WPA. airdecap-ng — это мощный инструмент из набора Aircrack-ng, предназначенный для расшифровки беспроводного трафика. После захвата беспроводных пакетов и успешного взлома парольной фразы WPA/WPA2, следующим логическим шагом является расшифровка захваченных данных для анализа их содержимого. Именно здесь на помощь приходит airdecap-ng.

В этой лабораторной работе вы пройдете процесс использования airdecap-ng для расшифровки существующего файла захвата (.cap) с использованием известного SSID сети и парольной фразы. Это позволит вам понять рабочий процесс преобразования зашифрованных, нечитаемых сетевых данных в понятный, анализируемый формат.

Получение взломанной парольной фразы WPA

На этом этапе мы начнем с самой важной информации, необходимой для расшифровки: парольной фразы WPA. В реальном сценарии вы бы получили ее, используя такой инструмент, как aircrack-ng, для выполнения словарной атаки или атаки методом перебора по захваченному 4-стороннему рукопожатию WPA.

Для целей этой лабораторной работы мы предполагаем, что этот процесс уже был успешно завершен. Взломанный пароль был сохранен в файле с именем cracked_password.txt в вашем текущем каталоге ~/project.

Давайте посмотрим содержимое этого файла, чтобы получить парольную фразу. Используйте команду cat для отображения содержимого файла в терминале.

cat cracked_password.txt

Вы должны увидеть следующий вывод, который является парольной фразой, которую мы будем использовать для расшифровки:

password123

Запомните эту парольную фразу, так как она нам понадобится на следующем этапе для выполнения команды airdecap-ng.

Определение файла .cap, содержащего рукопожатие WPA

На этом шаге нам необходимо определить файл захвата, который содержит зашифрованный беспроводной трафик. Эти файлы обычно имеют расширение .cap или .pcap и генерируются инструментами для перехвата пакетов, такими как airodump-ng или Wireshark.

Для этой лабораторной работы в ваш каталог ~/project был помещен пример файла захвата с именем wpa_handshake.cap. Чтобы убедиться в наличии файла, вы можете вывести содержимое текущего каталога с помощью команды ls -l. Эта команда предоставляет подробный список файлов и каталогов.

Выполните следующую команду в вашем терминале:

ls -l

Ваш вывод должен выглядеть примерно так, подтверждая наличие wpa_handshake.cap:

total 12
-rw-r--r-- 1 labex labex   12 Mar 18 10:00 cracked_password.txt
-rw-r--r-- 1 labex labex    9 Mar 18 10:00 ssid.txt
-rw-r--r-- 1 labex labex    0 Mar 18 10:00 wpa_handshake.cap

Теперь, когда мы подтвердили расположение нашей парольной фразы и файла захвата, мы готовы подготовить команду для расшифровки.

Использование airdecap-ng с параметрами -e SSID и -p Passphrase

На этом шаге мы составим команду airdecap-ng. Для расшифровки захвата WPA/WPA2 airdecap-ng требует две основные части информации: имя сети (SSID) и ее парольную фразу.

Команда использует специальные флаги (опции) для приема этой информации:

  • -e <essid>: Этот флаг используется для указания ESSID (Extended Service Set Identifier) целевой сети.
  • -p <passphrase>: Этот флаг используется для предоставления парольной фразы WPA/WPA2.

Для нашей лабораторной работы SSID хранится в файле ssid.txt. Давайте сначала посмотрим его:

cat ssid.txt

Вывод будет следующим:

MyTestAP

Объединив это с парольной фразой "password123" из Шага 1, первая часть нашей команды будет выглядеть так: airdecap-ng -e MyTestAP -p password123.

Эта структура команды указывает airdecap-ng, трафик какой сети искать и какой ключ использовать для расшифровки. На следующем шаге мы завершим команду, добавив входной файл захвата.

Указание входного файла захвата для расшифровки

На этом шаге мы завершим и выполним команду airdecap-ng. У нас есть SSID (MyTestAP), парольная фраза (password123) и входной файл (wpa_handshake.cap). Теперь нам нужно объединить их в одну команду.

Последним аргументом для команды airdecap-ng является путь к файлу захвата, который вы хотите расшифровать.

Выполните следующую полную команду в вашем терминале. Это даст команду airdecap-ng прочитать wpa_handshake.cap, найти пакеты, соответствующие SSID "MyTestAP", и попытаться расшифровать их, используя "password123".

airdecap-ng -e MyTestAP -p password123 wpa_handshake.cap

После выполнения команды вы увидите вывод, похожий на следующий. Обратите внимание, что поскольку наш пример файла .cap пуст, количество пакетов будет равно нулю. Самая важная строка — последняя, которая подтверждает создание нового, расшифрованного файла.

Total number of packets read         1
Total number of WPA packets          0
Total number of WPA handshakes       0
Number of plaintext data packets     0
Number of decrypted WPA packets      0
Number of decrypted WEP packets      0
File wpa_handshake-dec.cap created.

Сообщение "File wpa_handshake-dec.cap created." указывает на успешное выполнение операции. airdecap-ng создал новый файл, содержащий расшифрованную версию трафика.

Изучение вновь созданного файла захвата с расшифрованными данными

На этом заключительном шаге мы проверим создание расшифрованного файла и узнаем, как его просмотреть. airdecap-ng не изменяет исходный файл захвата. Вместо этого он создает новый файл с расшифрованными пакетами, обычно добавляя к исходному имени файла суффикс -dec.cap.

Сначала снова используйте команду ls -l, чтобы увидеть новый файл в вашем каталоге.

ls -l

Теперь вы увидите расшифрованный файл wpa_handshake-dec.cap, перечисленный вместе с исходными файлами:

total 16
-rw-r--r-- 1 labex labex   12 Mar 18 10:00 cracked_password.txt
-rw-r--r-- 1 labex labex    9 Mar 18 10:00 ssid.txt
-rw-r--r-- 1 labex labex    0 Mar 18 10:00 wpa_handshake-dec.cap
-rw-r--r-- 1 labex labex    0 Mar 18 10:00 wpa_handshake.cap

Этот новый файл, wpa_handshake-dec.cap, содержит версию захваченных данных в открытом тексте. Теперь вы можете анализировать его с помощью инструментов сетевого анализа, таких как Wireshark или tcpdump. Для демонстрации давайте используем tcpdump с флагом -r для чтения из нашего нового файла.

tcpdump -r wpa_handshake-dec.cap

Поскольку наш исходный файл был пустым, tcpdump не покажет никаких пакетов. Однако он подтвердит, что может прочитать файл, что и является целью этого шага.

reading from file wpa_handshake-dec.cap, link-type EN10MB (Ethernet)

В реальной ситуации с заполненным файлом захвата эта команда отобразит содержимое расшифрованных пакетов, такое как HTTP-запросы, DNS-запросы и другой трафик в открытом тексте.

Резюме

В этой лабораторной работе вы успешно научились использовать airdecap-ng для расшифровки файла захвата с WPA-шифрованием.

Вы отработали полный рабочий процесс:

  1. Определение необходимой парольной фразы и SSID.
  2. Поиск целевого файла .cap.
  3. Формирование команды airdecap-ng с использованием флагов -e (SSID) и -p (парольная фраза).
  4. Выполнение команды для создания нового, расшифрованного файла захвата (-dec.cap).
  5. Проверка создания расшифрованного файла и изучение того, как его можно анализировать с помощью таких инструментов, как tcpdump.

Этот навык является фундаментальным в анализе сетевой безопасности, поскольку он устраняет разрыв между взломом пароля сети и фактическим пониманием трафика, проходящего внутри нее.