¿Qué ventajas trae el nuevo formato hccapx para crack con Hashcat?

kcdtv · 26-04-2017 20:14:04

Nuevo formato hccapx para paquetes de capturas de handshake y nueva herramienta de conversión: cap2hccapx

Al no tener una buena tarjeta vídeo no empleo Hashcat y tampoco sigo de muy cerca su actualidad.
Hace exactamente dos meses atrás que Atom de Hashcat ha publicado este tema para presentar un nuevo formato de captura específicamente creado para los handshakes:

New hccapx format explained by atom @ Hashcat

Los de Hashcat lo han llamado "hccapx".
Es un formato que trae algunas novedades muy interesante si se compara con los formatos *.cap al estilo aircarck-ng y el formato *.hccap, la versión anterior del formato de ficheros de capturas para hashcat
La primera característica nueva que vamos a ver ahora es la que ha llevado a lanzar el nuevo formato.

Mejor comprobación cliente

Un usuario de hashcat ha mandado un handshake valido en un paquete de captura con la llave y era imposible descifrar-la.
Al analizar el bug se dieron cuenta de que el fallo se situaba al momento de pasar el fichero de capturas en bruto al formato *hccap para crack con hashcat.
El problema puede surgir cuando tenemos una fichero de captura con varios handshakes pasados entre un mismo PA y diferentes clientes.
Si usamos una DoS aireplay-ng sin especificar cliente o si hacemos un ataque amok con mdk3, es posible recoger varios handshakes a la vez en pocos segundos.
En algunos casos aircrack-ng o cap2hcap se "mezclan los pinceles": Mezclan los "ways" que vienen de handshakes diferentes.
Y se crackea un handshake que no existe
Cada handshake tiene una "nounce", una cadena aleatoria única, y es fundamental que la nounce empelada en los ways del handshake sea la misma.
De lo contrario perderemos el tiempo porque no vamos a conseguir nada aunque nuestro diccionario contenga la llave y que los handshakes en si (antes de que se mezclen entre ellos) eran correctos
Con el nuevo formato se comprueben las nounces en los atributos y se evita la "Replay counter collisions" (mezclar los ways de handshakes provenientes de clientes distintos)

Distinción entre handshake legitimo y handshake ilegitimo

Es un gran "clásico" que ha dado lugar a más de un tema en los foros wifi.
Sobre todo si se emplea airebase-ng para crear un punto de acceso falso a la hora de hacer el ataque desaut'
Recogemos el handshake de un móvil que pasa por allí (algunos tienen tendencia a conectarse a todo lo que ven.)
Al final, después unas largas horas (o semanas) de crack conseguimos por fin la llave.... Y no es la buena. tongue
No es la llave del Punto de acceso objetivo: Aircrack-ng encuentra bien la llave pero es otra llave. La que fue empleada por el cliente
Cómo sabéis un handshake se compone de 4 "ways"
El cuarto way no es necesario para el crack WPA y podemos crackear un handshake con al mínimo dos ways
Siempre necesitaremos el segundo way.
Entonces se puede crackear un handshake con el primero + el segundo way o con el segundo + tercero way.
Si se llega al tercer way significa que la contraseña empleada por el cliente es la buena.
No hay dudas al respecto y el handshake se marca como "authenticated"

Crack doble (legitimo y ilegitimo) sin perdida de velocidad

Dos ejemplos
1: Capturamos el handshake gracias a un rogue AP y nos va a interesar el crack de handshakes ilegitimos.
Nuestro PA falso no está configurado con la llave correcta pero el cliente sí que emplea (debería) la llave correcta del PA objetivo.
2: Capturamos el handshake gracias a un ataque DoS y tenemos el handshake negociado entre un cliente y el PA.
Vamos obviamente a querer un handshake legitimo para no perder el tiempo con una contraseña errónea.
En estos ejemplos la cosa es simple.
La cosa se complica si usamos ambos métodos a la vez.
Con ciertos clientes estaremos interesados por un crack de handshake ilegitimo, con otros no y en algunos casos nos interesarán ambos..
Lo bueno es que no tenemos que elegir.
Hashcat está de rebajas: Se hace el crack sobre way 1+2 y el crack sobre way 2+3 a la misma velocidad que si se hacía un crack solo.
Esto es porque la comprobación se hace después la parte que cuesta: El paso por las funciones de hash PBKDF-HMAC-SHA1.

Reciclar antiguas capturas

Gracias a estas mejoras en la análisis de los paquetes de captura se consigue sacar handshakes validos cuando no se consigue con el formato *.cap o *.hccap
En el hilo de atom un usuario reporta que ha sacado 4 handshakes validos de ficheros en formato hccapx cuando saca uno con el formato original y aircrack-ng
Ejemplos de capturas inutilizables en hccap o cap que se pueden tratar con la nueva extensión.

Example from a .cap file I found, filtering on EAPOL:

t1. Wireshark reports Message 2 of 4 (airodump-ng picks up no handshake)
t2. Wireshark reports Message 4 of 4 (airodump-ng picks up no handshake)
t3. Wireshark reports Message 3&4 of 4 (airodump-ng pick up no handshake)
t4. Wireshark reports Message 1,2,3&4 of 4 (airodump-ng reports WPA handshake found)

So three failures and one success. Then "aircrack-ng -J" picks up the singular complete handshake "WPA (1 handshake)" as expected.
However, cap2hccapx reports 4 handshakes found:

Networks detected: 1

[*]BSSID=d0:3f:0f:d5:03:25 ESSID=TST260FF (Length: 8)
 --> STA=60:02:b4:e2:5c:a6, Authenticated=1, Replay Counter=0
 --> STA=60:02:b4:e2:5c:a6, Authenticated=0, Replay Counter=0
 --> STA=60:02:b4:e2:5c:a6, Authenticated=0, Replay Counter=0
 --> STA=60:02:b4:e2:5c:a6, Authenticated=1, Replay Counter=0

cap2hccapx: la herramienta para convertir a formato hccapx

Está integrada en las hascat-utils desde la versión 1.4.
Podemos convertir ficheros en linea (no más de 5 MB) si no tenemos aun a la versión 1.4; cap2hccapx: Convertidor en linea
Para poder trabajar con capturas hccapx se debe tener como mínimo hashcat en su versión 3.40-rc4 .
Podemos concadenar ficheros de capturas juntos para poder sacar handshake de múltiples ficheros a la vez. No es algo nuevo, lo hacía su ancestro cap2hccap, la diferencia es que ahora la cosa se hace mejor y el resultado es más seguro.
En linux se hace con un simple "cat" para abrir los ficheros y redirigir los hacía un fichero único

cat directoriohandshakes/*.hccapx > capturacombinada.hccapx

Para pasar un fichero de formato *.pcap (o *.cap) a formato *.hccapx

cap2hccapx input.pcap output.hccapx [filter by essid] [additional network essid:bssid]

Debemos poner primero el fichero original y luego atribuir un nombre al nuevo fichero hccapx,
Podemos opcionalmente indicar el eSSID y el bSSID.
Ejemplo

Veis que me saca "dos handshakes" y es por lo explicado anteriormente.
El primer handshake sale con un valor 0 en el nuevo parámetro "Message Pair" propio al nuevo formato
0 significa que es el M1+M2 y que se ha comprobado con las nounce que se trata del mismo cliente

message_pair value 	Messages of the handshake 	Source of the EAPOL 	AP message 	STA message 	Replay counter matching
        0 	                  M1 + M2 	           M2 	                   M1 	               M2 	                Yes

El segundo tiene por valor 2: Se compone del M2 y M3, también se ha comprobado que proviene del mismo cliente y además se sabe con certeza que es legitimo (el cliente y el PA usan la misma llave)

2 	M2 + M3 	M2 	M3 	M2 	Yes

Recuerdo que a nivel de velocidad de crack para hashcat es lo mismo comprobar uno o varios handshake a la vez si son negociados con el mismo PA.
En mi caso ha divido un handshake completo en dos handshakes "rompibles".
Si tendría dos handshakes completos (desaut' generalizada) con, digamos, dos clientes diferentes en mi paquete de captura tendría entonces "cuatro handshakes"
Tampoco supondría una perdida de velocidad a la hora de crackear los cuatro en lugar de uno.
Con la ventaja de tener la certeza de encontrar la llave WPA (si la tenemos en nuestro diccionario) .
Porque si tenemos una captura con dos handshake y que uno de ellos es ilegitimo; hay un 50% de posibilidad para que aircrack-ng o Hashcat haga el crack sobre el handshake ilegitimo y no se encontrará la llave
De mientras que con el nuevo formato hccapx tenemos un 100% de probabilidades de encontrar la llave ya que se hará el crack (sin despreciar velocidad) sobre todos los handshakes a la vez.
Puede ser que tengamos por aquí un handshake que no hemos craqueado en su tiempo y que craquearíamos ahora con el nuevo formato tongue
Prefiero no pensar demasiado en ello lol

Solo queda por felicitar a atom y todas las personas implicadas en la creación del nuevo formato hccapx
Es casi bello ver todo lo que se puede conseguir con "simplemente" añadir un par de cabeceras bien pensadas. smile
Fuentes (Todas en el sito de hashcat)

Colegastar · 25-11-2017 20:39:26

Que saber la diferencia entre este método y otros
También quería saber si se puede llegar a crackear contraseñas por tipo de 14 caracteres mayúsculas y números o de 10 caracteres mayúsculas y minúsculas y cuanto tiempo en crackearlos con una buena tarjeta?
Hay una página que creo que esta utilizando este método en línea
https://gpuhash.me

crash · 25-11-2017 21:52:34

haz los cálculos tu mismo y sabrás los tiempos que tardarias

ejemplo 64^14 si contiene la ñ 62^14 sin la ñ;Ñ = contraseñas totales
27^14 minusculas 26 sin ñ
27^14 mayusculas 26 sin Ñ
10^14 numeros

velocidad * segundos (1 hora=3600segundos)
sabiendo esto ya puedes hacer los cálculos
después divide las contraseñas totales por las que te salen por tiempo el resultado seria según las contraseñas por tiempo que calculastes.

si te fijas bien en la pagina, esta usando 8 tarjetas a la vez de ultima gama.
Con una solo te puedes tirar toda tu vida si no es muy potente

Ultima edición por crash (25-11-2017 22:08:34)

Colegastar · 26-11-2017 14:11:18

Gracias por tu aportación

nekue · 22-09-2018 15:48:55

Buenas estoy intentando pasar un .cap a .hccapx de una captura de handsake que hice el otro dia con el scrip de handsaker y me dice noseque de wpaclean

./cap2hccapx.bin '/home/user/Descargas/HandshakerV1_1/handshake/miCaptura.cap' miCaptura2.hccapx
Zero value timestamps detected in file: /home/user/Descargas/HandshakerV1_1/handshake/miCaptura.cap.
This prevents correct EAPOL-Key timeout calculation.
Do not use preprocess the capture file with tools such as wpaclean.

kcdtv · 22-09-2018 16:04:07

Hashcat no se lleva bien con wpa_clean y handhsaker.sh usa wpa_clean para limpiar las capturas. Vea la respuesta 5 del hilo sobre handshaker para modificarlo si quieres trabajar con hashcat.

nekue · 22-09-2018 16:24:57

kcdtv escribió:

Hashcat no se lleva bien con wpa_clean y handhsaker.sh usa wpa_clean para limpiar las capturas. Vea la respuesta 5 del hilo sobre handshaker para modificarlo si quieres trabajar con hashcat.

Ahora recuerdo aberlo leido... Gracias... comentaré la linea que dice @usuarionuevo o bien usar la opcion -j de aircrack

aircrack-ng -j .cap .cap

Ultima edición por nekue (25-09-2018 11:08:27)

Tema	Respuestas	Vistas	Ultimo mensaje
WPA2: roto con KRACK. ¿Ahora que? por Virkon [ 1 2 ]	26	7781	15-03-2023 16:57:32 por kcdtv
Pegado: Pegado:: AWITAS. Ataque a WPS con rogueAP potegido con WPA por javierbu [ 1 2 ]	34	3814	12-03-2023 18:24:22 por Guybrush92
Pegado: Pegado:: Script multiuso wifi para Kali y otras distros por v1s1t0r [ 1 2 3 … 18 ]	436	63612	07-03-2023 12:35:27 por kcdtv
iwd;¿El demonio WiFi Linux qué lo cambiara todo? por kcdtv	0	423	23-02-2023 17:09:39 por kcdtv
Pegado: Pegado:: Base de datos WPSPIN (original) open source actualizada por kcdtv [ 1 2 3 4 5 ]	114	258658	19-02-2023 17:36:14 por chuchof

Foro Wifi-libre.com

Anuncio

#1 26-04-2017 20:14:04