descifrar *cap con wpa

[Absu]

Hola un saludo antes que nada decirles si posteo es por que busque en san google y encontre mas para linux el problema es el siguiente tengo unas capturas en formato*cap de una red wpa el cual tengo la clave pero quiero pasarle wireshark o ethereal que viene con el erw para descifrar pero nada tambien intente con airdecap algo estare haciendo mal .

Saludos.

[maripuri]

Para WPA es necesario un 4 way-handshake en la captura para que sea válida, luego solo tienes que pasar esta por Aircrack-ng + un diccionario para que busque allí la contraseña:

aircrack-ng -a 2 -w diccionario.txt caputura.cap

muevo el tema a Auditoria WPA

[Absu]

hola maripuri gracias por responder creo que no me explique bien.

Tengo unos datas(capturas de una red en formato *.cap la contraseña wpa ya la conozco lo que quiero es analizar el *cap con wireshark o ethereal o algun analizador de red.

[maripuri]

@Absu

Disculpa, tal vez fui yo quien interpreté erronamente. Desde el botón CMD puedes llamar a Airdecap y te arrojará la ayuda del programa.

airdecap-ng -w clave *.cap



Con ethereal desde FILE > OPEN y seleccionas el *.cap para abrirlo. No uso Wireshack pero imagino que será de forma similar. No te puedo ayudar mas porque no suelo usar estos programas. Un saludo.

[Absu]

hola mairupuri he intentado lo que me dices

suponiendo que la clave sea en  11223344
y el ss id de la red "te conecta"
he puesto

airdecap-ng -w 11223344   teconecta.cap

y me sale invalid wep key  length

[maripuri]

La síntaxis está bien pero está introduciendo una longitud de clave inválida, eso es lo que te dice. Deben ser de 5, 13, 16, 29 o 61 dígitos   

[maripuri]

@Absu

Disculpa pero he cometido un 'gazapo' cuando ayer te dije que la sintaxis estaba correcta. En realidad cometí un despiste y escribí la de WEP en vez de la de WPA que por tanto la opción es:

-p   pass         target network WPA/WPA2 passphrase
-p   pass         Clave WPA/WPA2

airdecap-ng -p clave *.cap

Lo puedes leer en la documentación de Aircrack-ng:

Description

Descripción

Siento que el error haya podido causarte trastornos.

[ppp222ppp]

Hola. He puesto la contraseña en un archivo.tx y tengo un handshake de la red pero el aircrack 1.1 no me la encuentra.

[maripuri]

ppp222ppp




¿No te das cuenta que de la manera en que expones tu problema solo das opción a adivinar?  ¿Has comprobado que La contraseña está bien escrita? ¿Que sintaxis has usado?  ¿Exactamente que te devuelve aircrack-ng? Una captura de pantalla no estaría de mas.

[ppp222ppp]

Ok disculpa por no ser mas claro. La contraseña es la correcta y la he puesto en un achivo *.txt. Aircrack me dice parphase is not in diccionary o algo asi. He utilizado la gui de aircrack 1.1 y he puesto el archivo. cap con el handshake y el txt con la conraseña. Tambien he probado en linux con aircrack-ng archivo.cap -w dic.txt. Lo unico que se me ocurre que el handshake no sea correcto aunque el aircrak me dice que si lo tengo.

muchas gracias un saludo.

[kcdtv]

Si has hecho tu diccionario bajo windows tendras un problema al nivel de la codificación, con las vueltas de liña que seran dos caracteres (no me recuerdo cuales) cuando los usas bajo linux. Asi que tu lista de pass será corrupta.
 Si usas Notepad++ desde windows (gratis y muy bueno) tienes la opción de hacer el texto para linux y tendras el pass en tu diccionario bajo linux como ha de salir.

[ppp222ppp]

He probado a crear el archivo con block de notas con los distintos tipos que me deja guardar en windows. En linux he provado a crear un archivo de texto y no he tenido exito. Lo siguente que quiero provar a capturar de nuevo el handsake. No se me ocurre nada mas.

[lampi]

Para el que quieia ver el contenido de una captura wpa con wireshark, solo se podran ver los datos apartir del saludo entre el ap y la sta.

[maripuri]

ppp222ppp

Aircrack me dice parphase is not in diccionary

Si aircrack-ng te devuelve este mensaje está diciendo que no encuentra la contraseña en el diccionario, por tanto lee el diccionario que has creado. ¿La contraseña es hexadecimal? Lo digo porque igual van por ahí los tiros.. en ese caso deberá llevar un formato con ":" en el diccionario de esta forma:

72:48:34:32:49:18:58:00:32:40:19:40:50    (en este caso son 13 dígitos hexadecimales)

Por el contrario una contraseña ASCCI de 10 dígitos seria así  Z1A913BB1F

Aclarado esto haz la prueba abriendo un documento de texto enriquecido de Windows y escribes en el 5 o 6 contraseñas variando algún dígito de la buena y por último la buena. Le das a guardar como, le escribes un nombre como por ejemplo 'key' y lo guardas como .txt   ..verás que se crea un documento normal de texto (no enriquecido).

Copia este 'diccionario' key.txt donde tengas los ejecutables de aircrack-ng y el .cap y usa la siguiente sintaxis:

aircrack-ng -a 2 -w key.txt .cap   

Si la contraseña es buena deberá encontrarla

[ppp222ppp]

Gracias Maripuri.
Acabo de probar poniendo la correcta y consecutivas, tanto tal cual como con los : por si acaso. He puesto los archivos .cap y .txt donde estan los ejecutables de aircrack y no me la encuentra. Creo que aunque aircrack me dice que tiene el wpa hanshake, se capturo mal. La key la copio tal cual sin : en la red y me conecto sin problemas.

[maripuri]

como con los :

NO es cuestión de hacer las cosas al 'tun tun' para esto debes de convertir la key ASCCI a hexadecimal si es el caso (yo lo digo, no se si tu lo sabes o no). Pero vamos por partes.. ¿porque no describes que tipo de contraseña es? Te digo lo que mi primer respuesta, si no nos aportas datos mal podremos intentar ayudarte.

¿Es ASCCI o es hexadecimal? ¿que longitud tiene? En cuanto al handshake vamos a probar esto que te dirá si el cap contiene el handshake:

aircrack-ng *.cap

[pepito]

ppp222ppp

Prueba la version de aircrack 0.9.3 con la sintaxis que te comenta maripuri y di si te reconoce el handshake. Si no te lo reconoce ya tienes la respuesta. Si te lo reconoce seguramente como comentas la captura no es corrrecta.

Un saludo

[ppp222ppp]

Tenias razón pepito el aircrack 0.9.3 me dice que no tengo el handshake y el 1.1 si.
Muchas gracias a todos, voy a intentar volver a capturar de nuevo el handshake.

maripuri la key es JAZZTEL_XXXX

[maripuri]

Está claro que la 1.1 tiene mas de un bug que solucionar, aunque de esto algo ya habíamos hablado algo pepito.

ppp222ppp

For WPA handshakes, a full handshake is composed of four packets. However, aircrack-ng is able to work successfully with just 2 packets. EAPOL packets (2 and 3) or packets (3 and 4) are considered a full handshake.

Para WPA apretones de manos, un apretón de manos total se compone de cuatro paquetes. Sin embargo, aircrack-ng es capaz de trabajar con éxito con sólo dos paquetes. Paquetes EAPOL (2 y 3) o paquetes (3 y 4) se consideran un apretón de manos por completo.

aircrack-ng 1.1 debe interpretar que al menos tienes dos de estos paquetes y lo considera tal, la 0.93 've' que efectivamente la captura no llega a tener los dos mínimos. ¿Te importaría hacer una prueba mas por simple curiosidad? new ONO'GUI v2 contiene una versión modificada de aircrack-ng que llamamos para diferenciarla aricrackhex.exe ¿te importaría pasar el cap por ella y comentar el resultado?

un saludo.

[ppp222ppp]

He descargado la gui del post GUI ONO WPA supongo que es la v2. Tampoco me encuentra el handshake. El handshake esta capturado con el *** 2.0.1. Si el problema fuera causa de la version del aircrack en este caso el 1.1 que me recomendais para uditar wpa.

un saludo

[maripuri]

ppp222ppp

Solo quería hacer una comprobación a título personal con aircrackhex.exe nada mas, pero te agradezco que hallas probado. Cuando obtengas el 4 way-handshake completo sea una u otra versión aircrack-ng recuperará la contraseña sin problema.

[ppp222ppp]

Voy a probar a capturar el handshake con el *** 1.0 final a ver que resultado me da. Tengo una rtl 8187l y no tengo mas remedio que usar linux.

[ppp222ppp]

Tema resuelto al capturar el handshake con *** 1.0 final, me lo recocen todas la versiones de aircrack y me encuentra la clave. Muchas gracias a todos ahora ya puedo hacer auditorias wpa.

[maripuri]

En ocasiones sucede esto y aunque determinadas versiones de aircrack-ng creen ver el handshake en realidad no fue capturado completo como fue tu caso. Un saludo.

[ppp222ppp]

hola. Ahora el problema que tengo es que no capturo el hanshake. Estoy cerca del cliente y Ap. Utilizo:  airodump-ng -c canal --bssid macap wlan0 y aireplay-ng -0 1 -a mac_ap -c mac_cliente wlan0 . He probado envinadole en vez de 1, 10, 20 , 30 o la opcion 0. Tambien he probado variando el rate (1, 11, etc). Viendo la captura con Whireshark veo que el cliente se autentifica y despues asocia y despues EAPOL KEY pero a continuacion caputara unos flags. ¿esto significa que tiro al cliente, se asocia pero no capturo bien el handsake? o que realmente no llego a desasociarlo correctamente?.