WebElektronika

WPA cap file-ok analízise (alapok)

person access_time 2019.04.01.
Korábban átnéztük a WiFi hálózatunk tesztelésének alapjait, monitor módban elkészítettünk egy cap file-t, amelyből megszereztük a WiFi hálózathoz tartozó jelszót is. Most megnézzük, hogy a megszerzett jelszó ismeretében milyen lehetőségeink vannak.


Ez a cikk illeszkedik a korábban indult sorozatunkba, amelynek célja az, hogy az otthoni rendszerünk tesztelésének az alapjait megismerjük, hogy a saját számítógépünk, hálózatunk biztonságosabb legyen. Nem célunk tehát semmilyen segítséget nyújtani más rendszerek feltörésének a megismerésében!

Figyelem! Semmilyen felelősséget nem vállalunk a cikk tartalmáért!

 

Ebben a cikkben részletesen bemutattuk a WiFi hálózatunk forgalmának dump-olását. Végezzük el újra ezt a műveletet a saját WiFi hálózatunkon, majd indítsuk el a wireshark-ot és olvassuk be az előbb előállított cap file-t (1. ábra). (A cikk írásakor egy új cap file-t készítettünk, és egy publikus IP-n található DVWA-master alkalmazásba léptünk be a jól ismert admin/password párossal. Ezt a belépési azonosítót fogjuk megkeresni ebben az elkapott cap file-ban.)
Nyissuk meg az elmentett WiFi forgalmat tartalmazó cap file-t a wireshark programmal (1. ábra).

kep
1. ábra   A WiFi hálózatunk dumpolt forgalma
 

Látható a wireshark alkalmazásával, hogy a WiFi forgalmunk titkosított, csak a "802.11" protokollt láthatjuk a forgalomban. Ahhoz, hogy keresni tudjunk WiFi forgalmunkban, szükséges ezt a dumpolt file-nak a titkosítását megszüntetnünk, ehhez viszont elengedhetetlen a WPA jelszó.

Állítsunk elő egy szótárat, amelynek segítségével a WiFi hálózat jelszava megkereshető. Ha a jelszó file-unk megvan, akkor most ne az "aircrack-ng" programot alkalmazzuk, hanem a "cowpatty"-ot (2. ábra).

kep
2. ábra   WiFi hálózatunk jelszavának megkeresése a cowpatty segítségével
 

Ha megvan a WiFi kapcsolat jelszava,akkor a dump file tartalmát vissza tudjuk fejteni az airdecap-ng alkalmazás segítségével (3. ábra).

kep
3. ábra   Statisztika a kikódolt dump file-ról
 

Ezután indítsuk újra el a wireshark-ot, és olvassuk be a kikódolt *.cap file-t (4. ábra).

kep
4. ábra   A kikódolt *.cap file
 

Látható a kikódolt cap file analízisekor, hogy most már megtekinthetők a különböző protokollok, üzenetek a wireshark segítségével.

Keressük most meg a DVWA-master belépési azonosítóit ebben a kikódolt cap file-ban. Ehhez meg kell keresnünk a HTTP protokollt (filter: http) tartalmazó üzeneteket (5. ábra).

kep
5. ábra   HTTP és a TCP protokollokat alkalmazó üzenetek a visszafejtett CAP file-ban
 

Most kattintsunk az "Analyze/Follow/HTTP Stream" menüpontra, és a felbukkanó ablakban megtaláljuk a titkosítatlan HTTP folyamban a belépési azonosítót, illetve a jelszót is (6. ábra).

kep
6. ábra   Belépési név és jelszó
 

Ha nem szeretnénk használni wireshark-ot, akkor is van lehetőségünk a dumpolt (és visszafejtett) WiFi kommunikációban megtalálható belépési adatok kinyerésére.
Ehhez el kell indítanunk az ettercap-ot a következő paraméterezéssel. Meg kell adnunk a -T kapcsolót, illetve a visszafejtett cap file-t (7. ábra).

kep
7. ábra   Az ettercap futtatása
 

Az ettercap futtatása után megkapjuk (8. ábra) a belépési adatokat, illetve a token-t is.

kep
8. ábra   Belépési adatok kinyerése az ettercap segítségével
 

A belépési azonosítókat megkaphatjuk "szebb" formában is, ehhez a következő módon kell elindítani az ettercap-ot (9. ábra).

kep
9. ábra   Ettercap elindítása a belépési adatok kinyerése miatt
 

Látható. hogy ha nem használunk titkosítást a WiFi kommunikációnál, akkor az érzékeny adatok könnyen megszerezhetők.