El libre pensamiento para un internet libre

No estas registrado.  

Anuncio

nord_600_250

#1 20-07-2015 22:25:15

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 5,701

Limpia y arregla sus handshakes con wpaclean de aircrack-ng

wpaclean : el don limpio del WPA

wpaclean1.jpg

De nuestra "suite" aircrack-ng conocemos (y usamos) principalmente tres herramientas :

  1. airodump-ng : El escaneo wireless

  2. airapley-ng : el inyector de trafico wireless

  3. aircrack-ng : crack de contraseñas wireless

Y es que no necesitamos nada más para realizar un crack WEP o WPA.
airodump-aireplay-aircrack... Es un poco la santa trinidad del crack-wifi. wink

Esto dicho aircrack-ng tiene muchos mas "comandos" y uno de ello es wpaclean

¿A que sirve wpaclean?

  O dicho de otra forma : ¿Que se entiende con "limpiar" un handshake?
Un handshake se compone de algunos paquetes muy pequeños y no llega a pesar 1kbytes...
Si nos fijamos en nuestros paquetes de capturas, por poco que dejemos correr airodump-ng un par de minutos, ya tenemos megabytes de capturas.
(suponiendo que vivimos en ciudad dónde hay una verdadera saturación de clientes y puntos de acceso)
Puede llegar a ser un problema : aunque hemos bien capturado un handshake, si nuestras capturas son demasiadas gordas, aircrack-ng o pyrit se pueden perder y no vamos a poder usar el handshake.
Es ahí que interviene wpaclean.
Un comando que va a quitar todo los paquetes que sobran guardados en nuestra captura y que no nos interesan.

Para entender mejor lo que hace wpaclean; nada mejor que usarlo examinando lo con wireshark

Limpiando capturas con wpaclean

  Hace unos días atrás, el compadre dynyly tenía un problema con un handshake ( respuesta 11 del tema " Crack WPA: Manual paso a paso para principiante" )
En este caso no ha sido necesario mirar el handshake en detalles porque aircrack-ng en su ultima versión lo reconocía.
Si tal no hubiera sido el caso - o si hubiéramos querido echarle un ojo por curiosidad - esto es lo que hubiéramos visto con wireshark:

Antes

wpaclean2.jpg

  El paquete de captura es pequeño : 700kb.
Pero ya tenemos a muchos paquetes que no nos interesan.
Si no estamos acostumbrados a mirar en capturas o a usar filtros con wireshark, estamos ya un poco perdido:
  ¿Cuáles son los malditos paquetes que debemos mirar?¿Dónde esta el handshake ?

Don Limpio "wpaclean" lo deja todo niquelado

 

La formula para usar don limpio es

wpaclean <handshake_limpio> <paquete_captura>

Si quiero limpiar el handshake de dynyly, abro una consola en la carpeta que le contiene y escribo:

wpaclean handshake64_D9_54_87_6A_E5.cap 64_D9_54_87_6A_E5.cap

y obtengo así un archivo nuevo llamado "handshake64_D9_54_87_6A_E5.cap" : wpaclean3.jpg

Después

¡Es que con don limpio cambia la cosa!

wpaclean4.jpg

Ahora sabemos dónde hay que mirar... big_smile
No vamos ahora a mirar en detalles el handshake, porque lo haremos en un próximo tema, pero sin ir muy lejos se podría imaginar porque el handshake a podido fallar con alguna aplicación.
Como pueden ver en la captura tenemos tres paquetes.
Si miren en la columna "info" sabrán que tipo de paquete es.
En este caso el primero es un "beacon", y los que siguen son "keys".
Y pueden ver al lado de key "mesage 1 of 4" y "message 2 of 4"
  Un handshake se llama también "4 way handshake"
Porque si es completo se compone de 4 paquetes mensages.
En este caso podemos ver de inmediato después haber pasado el fichero de captura por wpaclean que nos faltan los dos últimos "ways"
  Tenemos el primero y el segundo :  faltan el tercero y el cuarto.

  Con las ultimas versiones de aircrack-ng y pyrit solo son necesarios estos dos "way" para poder usar el handshake.
Pero no fue siempre así.
  Y si usamos unas versiones un poco viejas de aircrack-ng o pyrit necesitaremos el handshake completo para que sea reconocido.
Es decir que necesitaremos tener 4 paquetes de tipo "keys", del 1 a 4.
Es probablemente lo que ha ocurrido al compañero dynyly cuando su handshake no fue reconocido
  Fin del elipse

Para volver a wpaclean, esta incluido en aircrack-ng
...Así que no tenéis nada que hacer para poder usarlo (a parte de instalar aircrack-ng si esto no esta hecho ya)
He buscado un rato y no he encontrado un pagina oficial que explique mas en detalles el comando que esta :
wpaclean manpage

Hasta la próxima wink

Desconectado

Anuncio

nord_600_250

#2 20-07-2015 22:31:52

El_P3dr0
Administrator

Registrado: 13-11-2014
Mensajes: 512

Re: Limpia y arregla sus handshakes con wpaclean de aircrack-ng

Aircrack-ng escribió:

In Wireshark, use “eapol” as a filter. This will show only handshake packets and is useful for analyzing why you don't have the full handshake.

Tutorial: WPA Packet Capture Explained

wink


logo-wifi-libre.png

Desconectado

#3 21-07-2015 02:49:57

dynyly
Usuario

Registrado: 19-04-2015
Mensajes: 315

Re: Limpia y arregla sus handshakes con wpaclean de aircrack-ng

10 de 10
sin palabras amigo .......de escuela

Desconectado

#4 21-07-2015 10:02:03

zap2003
Usuario

Registrado: 19-07-2015
Mensajes: 10

Re: Limpia y arregla sus handshakes con wpaclean de aircrack-ng

Muy interesante. esperemos por la 2ª parte.
¡¡¡Buen trabajo!!!

Desconectado

#5 29-03-2016 18:08:16

sergio1985
Usuario

Registrado: 02-03-2016
Mensajes: 24

Re: Limpia y arregla sus handshakes con wpaclean de aircrack-ng

bien explicado aqui un nuevo usuario aprendiendo gracias

Desconectado

#6 23-04-2017 20:45:15

USUARIONUEVO
Usuario

Registrado: 07-07-2015
Mensajes: 312

Re: Limpia y arregla sus handshakes con wpaclean de aircrack-ng

Bueno , voy a aprovechar que hay un hilo para exponer algo , que me he topado hoy.

He hido a convertir un .cap  en .hccap , para el uso en hashcat ,desde su utilidad web.
https://hashcat.net/cap2hccapx/

y al subir mi cap  (capturado con handshaker) ...

Zero value timestamps detected in file: in/13617_1492971233.cap.

This prevents correct EAPOL-Key timeout calculation.

Do not use preprocess the capture file with tools such as wpaclean.

Basicamente , no le gusta el cap (no vale) por que wpaclean , ha quitado partes interesantes para hashcat.

He retocado handshaker , omiti el wpaclean , y entonces el cap si fue convertido sin problemas.

Asi que cuidado.

Desconectado

#7 23-04-2017 21:20:51

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 5,701

Re: Limpia y arregla sus handshakes con wpaclean de aircrack-ng

La captura original no se borra si cambias el nombre del fichero "out"

Desconectado

#8 23-04-2017 21:35:58

USUARIONUEVO
Usuario

Registrado: 07-07-2015
Mensajes: 312

Re: Limpia y arregla sus handshakes con wpaclean de aircrack-ng

He preferido comentar las 3 lineas que aplicaban wpaclean ,y poner un mv -f  del cap original a la ruta destino , sin pasar wpaclean.

# Poceso comentado,ha hashcat no le gustan los cap pasados por wpaclean solo se moveran a la ruta.
# wpaclean "handshake/$essid ($bssidseparado).cap" "redes/$essid ($bssidseparado)-01.cap" > /dev/null 2>&1
mv -f "redes/$essid ($bssidseparado)-01.cap" "handshake/$essid ($bssidseparado).cap" > /dev/null 2>&1

el caso es omitirlo , no se si esto ha sido asi siempre , antes convertia los cap en hccap  con aircrack-ng opcion -J ,pero ahora parece usan otro formato hccapx ,y es necesario usar el convertidor online o compilar e instalas las hashcat-utils , que llevan un ejecutable

cap2hccapx

Desconectado

Anuncio

nord_600_250

Temas similares

Tema Respuestas Vistas Ultimo mensaje
26 7779 15-03-2023 16:57:32 por kcdtv
Pegado:
34 3812 12-03-2023 18:24:22 por Guybrush92
Pegado:
Pegado:: Script multiuso wifi para Kali y otras distros por v1s1t0r  [ 1 2 3 18 ]
436 63610 07-03-2023 12:35:27 por kcdtv
0 423 23-02-2023 17:09:39 por kcdtv
Pegado:
114 258650 19-02-2023 17:36:14 por chuchof

Pie de página

Información del usuario

Ultimo usuario registrado: erpini
Usuarios registrados conectados: 0
Invitados conectados: 13

Estadisticas de los foros

Número total de usuarios registrados: 2,432
Número total de temas: 1,632
Número total de mensajes: 15,528

Máx. usuarios conectados: 373 el 30-09-2019 15:04:36