Очистка cap файла от мусора
Этичный хакинг и тестирование на проникновение, информационная безопасность
В одном файле захвата сетевых данных (формат pcap) может содержаться более чем одно рукопожатие (handshake). Такое можно происходить, например, при продолжительной работе Airodump-ng, в результате чего она может перехватить несколько рукопожатий от одной или разных точек доступа. Рукопожатия из файлов, захваченных в «шумных» условиях нуждаются в дополнительной проверке и очистке.
Несколько рукопожатий в одном файле можно получить искусственно, просто объединяя их в один файл. К примеру, программа Besside-ng (автоматически захватывает рукопожатия от всех дочек доступа в пределах досягаемости, для этого проводит атаку деаутентификация) создаёт единый файл .cap для всех захваченных пакетов рукопожатий.
Т.е. это не редкая ситуация, и для проведения атаки на сети, чьи рукопожатия находятся в одном файле, может потребоваться извлечь каждое рукопожатие.
Установка Hashcat
Программа предустановлена в Kali Linux.
Когда не нужно разделять файл на отдельные рукопожатия
Вам необязательно предварительно разделять файл на отдельные хендшейки, если вы собираетесь использовать программу aircrack-ng. Для выбора цели вы можете воспользоваться опциями:
Программа cap2hccapx запишет все хеши (для взлома в Hashcat) в один файл .hccapx.
Чтобы записать хеш только для одной ТД, укажите её ESSID:
Ручное разбитие файлов рукопожатий с помощью Wireshark
Если вы работаете с файлом из слитых рукопожатий, то с ним не должно быть особых проблем. Открываем файл в Wireshark:
Можно использовать фильтр
Но он может оказаться и не нужным, поскольку и без того имеются только нужные пакеты.
Чтобы отфильтровать пакеты для определённой точки доступа, укажите её BSSID со следующим фильтром:
Теперь с помощью CTRL+m выделите нужные пакеты:
И в меню File выберите Export Specified Packets:
Введите имя файла и поставьте переключатель на Marked packets only:
Проверяем наш файл:
Всё отлично. Можно сделать ещё одну проверку с помощью coWPAtty, запустив команду вида:
Например, в моём случае:
Фраза «Collected all necessary data to mount crack against WPA2/PSK passphrase» означает, что собраны все необходимые данные для взлома пароля.
Для вычленения рукопожатия из захвата, выполненного в шумных условиях, необходимо приложить некоторые усилия. Начинам с фильтрации (замените 84:C9:B2:52:F6:37 на BSSID интересующей вас сети):
Хендшейк подходит для взлома пароля если:
- обязательно включает в себя второй элемент (M2), а также третий (M3) (гарантирует, что было сделано подключение к сети) или вместо третьего элемента содержит первый элемент (M1) (рукопожатие подходит для взлома пароля, но нет гарантий, что было выполнено подключение и что вообще был введён верный пароль). Лучше, если удалось захватить все четыре элемента;
- элементы рукопожатия должны следовать в нужном порядке;
- между ними не должно быть слишком большого интервала времени (измеряется миллисекундами и микросекундами).
Смотрим следующий пример.
Выделяем и сохраняем нужные фреймы (я также выделил фрейм Beacon):
Наш файл проходит проверки:
Скриншоты Hashcat
Установка в Windows
Скачайте архив с официального сайта, распакуйте его.
Для запуска используйте файл hashcat64.exe или hashcat32.exe в зависимости от битности вашей системы.
Программу нужно запускать в командной строке. Для этого откройте окно командной строки (Win+X – выберите «Командная строка») и перетащите туда исполняемый файл.
Либо в открывшемся окне командой строки перейдите в требуемую папку:
И в ней запустите требуемый файл:
The .cap and .hccapx
Use of the original .cap and .hccapx formats is discouraged.
Other references
This page was partially adapted from this forum post, which also includes some details for developers.
Связанные статьи:
факультете информационной безопасности от GeekBrains? Комплексная годовая программа практического обучения с охватом всех основных тем, а также с дополнительными курсами в подарок. По итогам обучения выдаётся свидетельство установленного образца и сертификат. По этой ссылке специальная скидка на любые факультеты и курсы!
Aircrack-ng служит для обнаружения беспроводных сетей, атаки на Wi-Fi и перехвата передаваемого трафика. Часто используется для пентеста (Penetration test), то есть, для аудита безопасности беспроводной сети. Работает с технологиями WPA/WPA2-PSK. С ее помощью можно произвести брутфорс и получить пароль от сети. Что собственно мы сегодня и сделаем, будем взламывать Wi-Fi сеть. Но, есть одно, но, а именно, для возможности брутфорса нужна Wi-Fi карта с возможностью мониторинга. Об одной такой уже писалось в статье под названием “Режим мониторинга в Kali Linux для Wi-Fi адаптера TP-LINK TL-WN722N V2 / V3“. Aircrack-ng по умолчанию уже имеется в дистрибутиве Kali Linux, при необходимости, можно установить в DEB ориентированных системах командой “sudo apt install aircrack-ng”. Сам же дистрибутив Kali Linux можно скачать с официального сайта.
Brute-Force attack
This will pipe digits-only strings of length 8 to hashcat. Replace the ?d as needed.
It would be wise to first estimate the time it would take to process using a calculator.
TBD: add some example timeframes for common masks / common speed
Attack examples
hashcat is very flexible, so I'll cover three most common and basic scenarios:
Расшифровываем Handshake
Вот и настало время, когда понадобятся словари паролей для брутфорса. На самом деле, это может быть весьма продолжительный шаг для получения заветного пароля от Wi-Fi, но, без него не обойтись. И так, приступим, что бы расшифровать хендшейк и вытащить из него пароль, выполним команду “aircrack-ng -w” затем указываем путь к словарю, пишем атрибут -b и вписываем MAC адрес точки доступа, и указываем путь до нашего чистого хендшейка:
И при удачном сочетании обстоятельств, мы получим долгожданный пароль от точки доступа, или, от сети Wi-Fi которую атаковали. Пароль будет в строке “KEY FOUND!”:
Для более удачной работы с Aircrack-ng и брутфорсом в целом лучше иметь несколько словарей, так как не известно какой пароль будет задан хозяином сети. Для этого можно воспользоваться например социальной инженерией, а на основе полученных знаний, уже составить словари. Но, это совсем иная тема, и она явно выходит за рамки данной статьи.
Заключение
Даже если вы не занимаетесь аудитом безопасности, и не помышляете об этом, вам все же стоит проверить свою сеть на устойчивость от взлома. Почему? Все просто, никто не застрахован от проникновения и взлома, а ваша Wi-Fi сеть может стать точкой выхода в сеть для злоумышленника. И кто знает, что он там будет делать через ваш Wi-Fi. Данная инструкция приведена лишь для ознакомления, помните, что подобные действия могут повлечь за собой уголовную ответственность, в случае применения этих знаний во вред. Применяйте полученные знания лишь для защиты собственной Wi-Fi сети.
P.S.
Как-нибудь в одной из следующих статей напишу еще об одном инструменте для атаки на беспроводную сеть, и в отличие от Aircrack-ng, она более автоматизирована. Но, об этом как нибудь в следующий раз.
А на этом сегодня все. Надеюсь данная статья будет вам полезна.
Журнал Cyber-X
hashcat Forum › Support › hashcat
Clean up CAP and Convert to HCCAPX for use with Hashcat
CellToolz
Junior Member
Clean up CAP and Convert to HCCAPX for use with Hashcat: Crack WPA Handshake with Hashcat using Wordlist
Open captured handshake file with Wireshark and apply the following filter.
eapol || wlan.fc.type_subtype == 0x04 || wlan.fc.type_subtype == 0x08 > Filter Out Complete 4 way Handshake using Wireshark
> Using right click menu mark the 4 handshake packets aswell as the top broadcast packet
- then export. File > Export > Select Marked Packets and save with .cap file extension
Ready to start cracking using Hashcat. Open a CMD or Terminal prompt, run as Admin/Root and issue the following command (I used windows version of Hashcat hints the .exe in the below hashcat command)
> hashcat64.exe -m 2500 CapturedHandshake.hccapx wordlists/rockyou.txt
NOTES:
When cleaning up CAP file with Wireshark you want to make sure that you
select the correct packets. There will be 5 selected packets in total
Here is what the finished Wireshark output will look like if done properly
No. Tine Source Destination Protocol Length Info
1 0.000000 Actionte_29:79:75 Broadcast 802.11 261 Beacon frame, SN=2579, FN=0, Flags= . , BI=100, SSID=NAMEofWIFI
2 141.783428 Actionte_29:79:75 Apple_59:67:41 EAPOL 155 Key (Message 1 of 4)
3 141.810056 Apple_59:67:41 Actionte_29:79:75 EAPOL 155 Key (Message 2 of 4)
4 141.822340 Actionte_29:79:75 Apple_59:67:41 EAPOL 213 Key (Message 3 of 4)
5 141.825929 Apple_59:67:41 Actionte_29:79:75 EAPOL 133 Key (Message 4 of 4)
I believe the Key Message packets 1 thru 4 must be in order starting at 1 and ending in 4.
You cannot select the packets out of order or it will not work
This is a quick write up that I hope will help some people who are having trouble. I also hope that im not reposting something that has already been covered multiple times. Like i said i hope this helps out
philsmd
I'm phil
the main question that comes to my mind here is: why do you need to clean it at all?
doesn't it work also without cleaning it? The output should be 100% the same one.
soxrok2212
Member
(09-12-2017, 08:08 AM) philsmd Wrote: the main question that comes to my mind here is: why do you need to clean it at all?
doesn't it work also without cleaning it? The output should be 100% the same one.
I clean every cap manually, the reason being is that sometimes multiple handshakes are converted and hashcat speed drops by over 50%. I would also be sure to check timestamps and make sure they are from the same client AP handshake.
undeath
Sneaky Bastard
Since version 6.0.0, hashcat accepts the new hash mode 22000:
Benefits of hash mode 22000:
Having all the different handshake types in a single file allows for efficient reuse of PBKDF2 to save GPU cycles
It is no longer a binary format that allows various standard tools to be used to filter or process the hashes
The best tools for capturing and filtering WPA handshake output in hash mode 22000 format (see tools below)
Difference between hash mode 22000 and hash mode 22001:
Use hash mode 22001 to verify an existing (pre-calculated) Plain Master Key (PMK). Length of a PMK is always 64 xdigits
In order to be able to use the hash mode 22000 to the full extent, you need the following tools:
If you choose the online converter, you may need to remove some data from your dump file if the file size is too large. Most of the time, this happens when data traffic is also being recorded.
You can reduce the size with tshark:
Do not clean up the cap / pcap file (e.g. with wpaclean), as this will remove useful and important frames from the dump file. Do not use filtering options while collecting WiFi traffic.
The hcxdumptool / hcxlabtool offers several attack modes that other tools do not.
It also includes AP-less client attacks and a lot more.
The traffic is saved in pcapng format. This format is used by Wireshark / tshark as the standard format. Additional information (NONCE, REPLAYCOUNT, MAC, hash values calculated during the session) are stored in pcapng option fields. The hcxpcapngtool uses these option fields to calculate the best hash values in order to avoid unbreakable hashes at best.
In addition, Hashcat is told how to handle the hash via the message pair field. When hcxdumptool is connected to a GPS device, it also saves the GPS coordinates of the frames.
Словарь для брутфорса
Для успешной атаки на Wi-Fi сеть необходимо иметь не только подходящий адаптер, но и так же словари с паролями, которые можно скачать из интернета или составить самому утилитой Crunch. В Kali Linux правда уже присутствует один словарь и расположен он по адресу: /usr/share/wordlists/rockyou.txt.gz. Можно воспользоваться им, что собственно для данной статьи я и сделаю. И так, что бы воспользоваться данным словарем, сначала его надо распаковать, давайте переместим его в директорию пользователя и распакуем:
Так же выложу на всякий случай архив с паролями, в нем содержаться такие словари как:
- 3insidePRO_WPA
- 9mil
- cain
- wordlist
- Тот самый из Kali Linux – rockyou
Это на тот случай если вы сами не хотите составлять словари для брутфорса. Описывать их не стану, при желании вы сами можете найти по ним информацию в сети:
Dictionary attack
Execute the attack using the batch file, which should be changed to suit your needs.
Инструкции по Hashcat
Близкие программы:
факультете информационной безопасности от GeekBrains? Комплексная годовая программа практического обучения с охватом всех основных тем, а также с дополнительными курсами в подарок. По итогам обучения выдаётся свидетельство установленного образца и сертификат. По этой ссылке специальная скидка на любые факультеты и курсы!
Скрипт для разделения рукопожатий
Для автоматизации разделения одного файла на рукопожатия, я написал скрипт. Помните, что если вы разбиваете файл полученный с помощью Besside-ng или искусственно при слиянии хендшейков, то скрипт отработает без проблем.
Если вы разделяете на отдельные хендшейки файл захвата, полученный в шумных условиях (например, во время длительной работы Airodump-ng), то скрипт будет работать так:
- если для какой-либо точки доступа не найдено ни одного рабочего хендшейка, то все данные для неё будут отброшены (не будет создаваться файл вывода)
- если для точки доступа найдено хотя бы одно рабочее рукопожатие, то все фреймы EAPOL будут сохранены в один файл.
Т.е. вам нужно будет самостоятельно открыть файлы вывода и проверить, нет ли в них лишних данных.
Хотя aircrack-ng вроде бы правильно находит нужный хендшейк, но с cap2hccapx (из набора hashcat-utils, используется для конвертации в формат хеша Hashcat) замечены проблемы, если предварительно не почищены ненужные фреймы EAPOL от непригодных хендшейков.
Создайте файл handshakes_extractor.sh:
И скопируйте туда:
Для запуска укажите .(p)cap файл, из которого нужно извлечь рукопожатия.
Пример работы программы:
Выводится информация об имени файла с сохранёнными фреймами, а также информация о самих сохранённых фреймах.
Как разделить рукопожатия по разным файлам
Важно понимать разницу между файлом, в котором просто слито несколько рукопожатий, и файлом захвата в шумной среде. Пример анализа файла первого типа (с помощью aircrack-ng):
Пример файла второго типа:
Видно, что во втором файле имеется много мусора, и во всём файле всего два пригодных для взлома рукопожатия. Среди мусора много отдельных фреймов EAPOL (составляющих хендшейка), которые непригодны для подбора пароля.
Для просмотра содержимого файла можно использовать Wireshark. После открытия файла установите фильтр:
Список инструментов для тестирования на проникновение и их описание
Hashcat — это самый быстрый в мире восстановитель (взломщик) паролей.
В настоящее время, Hashcat объединила в себе две ранее существовавшие отдельные ветки программы. Одна так и называлась Hashcat, а вторая называлась oclHashcat (а ещё раньше oclHashcat была разделена на собственно oclHashcat и cudaHashcat). В настоящее время абсолютно все версии слиты в одну, которая при восстановлении паролей использует центральный процессор и видеокарту.
- Самый быстрый в мире взломщик
- Первый и единственный в мире внутриядерный движок правил
- Бесплатная
- Открытый исходный код (лицензия MIT)
- Мультиплатформенная (Linux, Windows и OSX)
- Мультиплатформенная (CPU, GPU, DSP, FPGA и т.д., всё, что поставляется со средой выполнения OpenCL)
- Множество хешей (одновременный взлом множества хешей)
- Задействует несколько устройств (использует множество устройств на одной системе)
- Задействует устройства разных типов (использует устройства разных типов на одной системе)
- Поддержка распределённых систем взлома (с помощью дополнительного сегмента)
- Поддерживает распределённый взлом по сети (используя оверлей)
- Интерактивная поддержка паузы / возобновления
- Поддержка сессий
- Поддержка восстановления
- Поддержка чтения кандидатов в пароли из файла и стандартного ввода
- Поддержка шестнадцатеричных солей и шестнадцатеричных наборов символов
- Поддержка автоматической тонкой настройки производительности
- Поддержка автоматического поорядка пространства ключей цепей Маркова
- Встроенная система бенчмарков
- Интегрированный тепловой сторож
- 350+ реализованных с мыслью о производительности типов хешей
- … и многое другое
Руководство по Hashcat
Выделение рукопожатия с помощью tshark
tshark – это Wireshark, но без графического интерфейса. Эту программу можно также использовать для разделения большого файла захвата на отдельные рукопожатия. Для этого команда запускается следующим образом:
В ней нужно вставить свои значения для:
- ИСХОДНЫЙ_ФАЙЛ.cap – файл с несколькими хендшейками
- BSSID – MAC-адрес интересующей точки доступа
- ИТОГОВЫЙ_ФАЙЛ.cap – файл, куда будет сохранено выделенное рукопожатие
Пример реальной команды:
Справка по Hashcat
Опции и справочная информация:
Атакуем Wi-Fi сеть
Для статьи был создан словарь с паролями под названием “key-list.txt” все той же утилитой Crunch. Да и саму атаку на Wi-Fi сеть буду производить из Parrot OS, по большому счету, разницы нет, будь то Kali или Parrot OS, это дело личных предпочтений. Просто Parrot OS мне больше симпатизирует, вот и все, вы же, можете воспользоваться любой из этих систем. И так, переходим к атаке, первым делом необходимо выяснить какие сетевые устройства у нас имеются, это можно выяснить несколькими способами, рассмотри парочку. Первый способ, это команда “ifconfig”, а вторая “ip a”, нам необходимо выяснить название нашей Wi-Fi карты:
У меня Wi-Fi карта определилась как “wlxd03745710fa4”. У вас же она будет называться иначе, чаще всего она имеет название что-то вроде “wlp4s0” или “wlan0”. И так, после того как выяснили название сетевой карты, копируем название нашего устройства, и переходим к следующему шагу, а именно, нам необходимо убить лишние процессы, которые могут помешать при атаке:
Переводим нашу Wi-Fi карту в режим монитора командой “airmon-ng star” и вот тут нам необходимо указать название Wi-Fi карты, как помним, она у меня умеет название “wlxd03745710fa4”, у вас же оно будет иным:
Если обратите внимание, то появилась надпись, которая говорит о том, что Wi-Fi карта перешла в режим мониторинга “monitor mode enable”, а так же на сколько я помню, в Kali Linux меняется название сетевого устройства, оно приобретает приставку “mon”, то есть, будет называться как “wlan0mon”. Это новое название и надо вводить в следующей команде:
Данной командой мы запускаем сканирование сетей, когда произведем сканирование и выберем сеть, которую хотим взломать, нажимаем сочетание клавиш “ctrl + c”:
Нам нужен MAC адрес устройства, он находится в столбце “BSSID”, в столбце “PWR” указывается мощность принимаемого сигнала, чем сильней сигнал, тем лучше. В столбце “CH” указывается канал, в “ENC” указывается технология защиты WPA или WPA2, в “ESSID” – название сети. Для атаки нам понадобиться только MAC адрес и канал, все остальное по сути необязательно. Для атаки на выбранную Wi-Fi сеть вводим команду:
–bssid указываем MAC
–channel канал
-w указываем путь, куда будет записан хендшейк
wlxd03745710fa4 название Wi-Fi адаптера
После запуска команды, дожидаемся когда кто-нибудь подключиться к сети, но, можно выбрать устройство, которое уже подключено и заставить его переподключиться. Что собственно ускорит процесс получения хендшейка. Узнать какие устройства подключены можно из списка, который выводиться в самом низу:
Как видно из скриншота, у меня к сети подключено два устройства, для того что бы заставить одно из них переподключиться, копируем MAC адреса из “BSSID” и “STATION”. А затем открываем новую вкладку терминала и выполняем команду:
sudo aireplay-ng –deauth 20 -a 64:00:00:00:44:E1 -с 00:00:00:00:00:7F wlxd03745710fa4
–deauth 20 количество пакетов Деаутентификации (повторной авторизации, если можно так выразиться)
-a MAC адрес точки доступа (BSSID)
-c MAC адрес подключенного клиента (STATION)
wlxd03745710fa4 Wi-Fi интерфейс
В это время смотрим на первый терминал, нас интересует надпись “handshake” которая появиться при удачном переподключении устройства:
Когда словили хендшейк, можно останавливать сканированию сочетанием клавиш “ctrl + x”. Теперь, если вы посмотрите в папку, которую указывали, то увидите там файлы. Нам нужен всего один, в котором и храниться тот самый хендшейк, данный файл будет иметь расширение “.cap”:
Теперь необходимо очистить этот файл от мусора, который в нем имеется, так как в нем имеются все пакеты, которые собрались за все время что производилась атака. Очистить данный файл можно командой “- wpaclean”, затем указываем название нового файла хендшейка, и указываем старое название хендшейка. К примеру, старый файл имеет название “wifihand-01.cap”, а новый назовем “wifihand-01_new.cap”, ну и конечно не забываем указать путь к этим файлам:
Capture example
Examples of the target and how traffic is captured:
1.Stop all services that are accessing the WLAN device (e.g .: NetworManager and wpa_supplicant.service)
2. Start the attack and wait for you to receive PMKIDs and / or EAPOL message pairs, then exit hcxdumptool
Do not set monitor mode by third party tools.
Do not run hcxdumptool on a virtual interface.
Do not run hcxdudmptool at the same time in combination with tools that take access to the interface (except Wireshark, tshark).
3. Restart stopped services to reactivate your network connection
4. Convert the traffic to hash format 22000
5. Run Hashcat on the list of words obtained from WPA traffic
For more options, see the tools help menu (-h or –help) or this thread.
Get more examples from here.
Run Hashcat on an excellent WPA word list or check out their free online service:
Примеры запуска Hashcat
Запуск бенчмарка -b
Решение ошибки Unsupported file format (not a pcap or IVs file). Read 0 packets. No networks found, exiting.
У некоторых пользователей при использовании tshark, а затем последующем открытии полученного файла в aircrack-ng возникает ошибка:
Чтобы этой ошибки не было, во время сохранения программой tshark к ней нужно указывать опцию -F pcap, которая задаёт правильный формат файла.
Установка Hashcat в другие Linux
Далее перейдите на официальный сайт и скачайте архив.
Запустите файл hashcat64.bin или hashcat32.bin в зависимости от битности вашей системы.
Working with hash files
Explanation of the hc22000 hash line
Explanation of the MESSAGEPAIR field
Examples to work on hc22000 hash files:
Filter hash file by PMKID
Filter hash file by EAPOL
Filter by authorized EAPOL MESSAGEPAIR
Filter by challenge EAPOL MESSAGEPAIR
Взлом WPA2 WPA рукопожатий с Hashcat
Очистка ваших файлов .cap программой wpaclean
Конвертируем файл .cap в формат, который будет понятен oclHashcat. Для ручной конвертации .cap используйте следующие команды в Kali Linux.
Обратите внимание, что, вопреки логике, сначала идёт выходной файл, а потом входной . Казалось бы, логичнее было . Запомните это, чтобы не терять время на выяснение проблемы.
В моём случае команда выглядит так:
Конвертация файлов .cap в формат .hccap
Нам нужно конвертировать этот файл в формат, понятный oclHashcat.
Для его конвертирования в формат .hccap с помощью aircrack-ng нам нужно использовать опцию -J
Обратите внимание -J это заглавная J, а не маленькая j.
В моём случае команда следующая:
Атака по словарю на рукопожатие:
Атака брутфорсом на рукопожатие:
Rule-based attack
This is similar to a Dictionary attack, but the commands look a bit different:
This will mutate the wordlist with best 64 rules, which come with the hashcat distribution.
Change as necessary and remember, the time it will take the attack to finish will increase proportionally with the amount of rules.
Читайте также: