Limpia y arregla sus handshakes con wpaclean de aircrack-ng

kcdtv · 20-07-2015 22:25:15

wpaclean : el don limpio del WPA

De nuestra "suite" aircrack-ng conocemos (y usamos) principalmente tres herramientas :

airodump-ng : El escaneo wireless
airapley-ng : el inyector de trafico wireless
aircrack-ng : crack de contraseñas wireless

Y es que no necesitamos nada más para realizar un crack WEP o WPA.
airodump-aireplay-aircrack... Es un poco la santa trinidad del crack-wifi. wink

Esto dicho aircrack-ng tiene muchos mas "comandos" y uno de ello es wpaclean

¿A que sirve wpaclean?

O dicho de otra forma : ¿Que se entiende con "limpiar" un handshake?
Un handshake se compone de algunos paquetes muy pequeños y no llega a pesar 1kbytes...
Si nos fijamos en nuestros paquetes de capturas, por poco que dejemos correr airodump-ng un par de minutos, ya tenemos megabytes de capturas.
(suponiendo que vivimos en ciudad dónde hay una verdadera saturación de clientes y puntos de acceso)
Puede llegar a ser un problema : aunque hemos bien capturado un handshake, si nuestras capturas son demasiadas gordas, aircrack-ng o pyrit se pueden perder y no vamos a poder usar el handshake.
Es ahí que interviene wpaclean.
Un comando que va a quitar todo los paquetes que sobran guardados en nuestra captura y que no nos interesan.

Para entender mejor lo que hace wpaclean; nada mejor que usarlo examinando lo con wireshark

Limpiando capturas con wpaclean

Hace unos días atrás, el compadre dynyly tenía un problema con un handshake ( respuesta 11 del tema " Crack WPA: Manual paso a paso para principiante" )
En este caso no ha sido necesario mirar el handshake en detalles porque aircrack-ng en su ultima versión lo reconocía.
Si tal no hubiera sido el caso - o si hubiéramos querido echarle un ojo por curiosidad - esto es lo que hubiéramos visto con wireshark:

Antes

El paquete de captura es pequeño : 700kb.
Pero ya tenemos a muchos paquetes que no nos interesan.
Si no estamos acostumbrados a mirar en capturas o a usar filtros con wireshark, estamos ya un poco perdido:
¿Cuáles son los malditos paquetes que debemos mirar?¿Dónde esta el handshake ?

Don Limpio "wpaclean" lo deja todo niquelado

La formula para usar don limpio es

wpaclean <handshake_limpio> <paquete_captura>

Si quiero limpiar el handshake de dynyly, abro una consola en la carpeta que le contiene y escribo:

wpaclean handshake64_D9_54_87_6A_E5.cap 64_D9_54_87_6A_E5.cap

y obtengo así un archivo nuevo llamado "handshake64_D9_54_87_6A_E5.cap" :

Después

¡Es que con don limpio cambia la cosa!

Ahora sabemos dónde hay que mirar... big_smile
No vamos ahora a mirar en detalles el handshake, porque lo haremos en un próximo tema, pero sin ir muy lejos se podría imaginar porque el handshake a podido fallar con alguna aplicación.
Como pueden ver en la captura tenemos tres paquetes.
Si miren en la columna "info" sabrán que tipo de paquete es.
En este caso el primero es un "beacon", y los que siguen son "keys".
Y pueden ver al lado de key "mesage 1 of 4" y "message 2 of 4"
Un handshake se llama también "4 way handshake"
Porque si es completo se compone de 4 paquetes mensages.
En este caso podemos ver de inmediato después haber pasado el fichero de captura por wpaclean que nos faltan los dos últimos "ways"
Tenemos el primero y el segundo : faltan el tercero y el cuarto.

Con las ultimas versiones de aircrack-ng y pyrit solo son necesarios estos dos "way" para poder usar el handshake.
Pero no fue siempre así.
Y si usamos unas versiones un poco viejas de aircrack-ng o pyrit necesitaremos el handshake completo para que sea reconocido.
Es decir que necesitaremos tener 4 paquetes de tipo "keys", del 1 a 4.
Es probablemente lo que ha ocurrido al compañero dynyly cuando su handshake no fue reconocido
Fin del elipse

Para volver a wpaclean, esta incluido en aircrack-ng
...Así que no tenéis nada que hacer para poder usarlo (a parte de instalar aircrack-ng si esto no esta hecho ya)
He buscado un rato y no he encontrado un pagina oficial que explique mas en detalles el comando que esta :
wpaclean manpage

Hasta la próxima wink

El_P3dr0 · 20-07-2015 22:31:52

Aircrack-ng escribió:

In Wireshark, use “eapol” as a filter. This will show only handshake packets and is useful for analyzing why you don't have the full handshake.

Tutorial: WPA Packet Capture Explained

wink

dynyly · 21-07-2015 02:49:57

10 de 10
sin palabras amigo .......de escuela

zap2003 · 21-07-2015 10:02:03

Muy interesante. esperemos por la 2ª parte.
¡¡¡Buen trabajo!!!

sergio1985 · 29-03-2016 18:08:16

bien explicado aqui un nuevo usuario aprendiendo gracias

USUARIONUEVO · 23-04-2017 20:45:15

Bueno , voy a aprovechar que hay un hilo para exponer algo , que me he topado hoy.

He hido a convertir un .cap en .hccap , para el uso en hashcat ,desde su utilidad web.
https://hashcat.net/cap2hccapx/

y al subir mi cap (capturado con handshaker) ...

Zero value timestamps detected in file: in/13617_1492971233.cap.

This prevents correct EAPOL-Key timeout calculation.

Do not use preprocess the capture file with tools such as wpaclean.

Basicamente , no le gusta el cap (no vale) por que wpaclean , ha quitado partes interesantes para hashcat.

He retocado handshaker , omiti el wpaclean , y entonces el cap si fue convertido sin problemas.

Asi que cuidado.

kcdtv · 23-04-2017 21:20:51

La captura original no se borra si cambias el nombre del fichero "out"

USUARIONUEVO · 23-04-2017 21:35:58

He preferido comentar las 3 lineas que aplicaban wpaclean ,y poner un mv -f del cap original a la ruta destino , sin pasar wpaclean.

# Poceso comentado,ha hashcat no le gustan los cap pasados por wpaclean solo se moveran a la ruta.
# wpaclean "handshake/$essid ($bssidseparado).cap" "redes/$essid ($bssidseparado)-01.cap" > /dev/null 2>&1
mv -f "redes/$essid ($bssidseparado)-01.cap" "handshake/$essid ($bssidseparado).cap" > /dev/null 2>&1

el caso es omitirlo , no se si esto ha sido asi siempre , antes convertia los cap en hccap con aircrack-ng opcion -J ,pero ahora parece usan otro formato hccapx ,y es necesario usar el convertidor online o compilar e instalas las hashcat-utils , que llevan un ejecutable

cap2hccapx

Tema	Respuestas	Vistas	Ultimo mensaje
WPA2: roto con KRACK. ¿Ahora que? por Virkon [ 1 2 ]	26	7779	15-03-2023 16:57:32 por kcdtv
Pegado: Pegado:: AWITAS. Ataque a WPS con rogueAP potegido con WPA por javierbu [ 1 2 ]	34	3812	12-03-2023 18:24:22 por Guybrush92
Pegado: Pegado:: Script multiuso wifi para Kali y otras distros por v1s1t0r [ 1 2 3 … 18 ]	436	63610	07-03-2023 12:35:27 por kcdtv
iwd;¿El demonio WiFi Linux qué lo cambiara todo? por kcdtv	0	423	23-02-2023 17:09:39 por kcdtv
Pegado: Pegado:: Base de datos WPSPIN (original) open source actualizada por kcdtv [ 1 2 3 4 5 ]	114	258650	19-02-2023 17:36:14 por chuchof

Foro Wifi-libre.com

Anuncio

#1 20-07-2015 22:25:15