Corroborando el Handshake Auditando WPA2

Iniciado por AXCESS, Enero 14, 2020, 11:42:30 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Enero 14, 2020, 11:42:30 PM Ultima modificación: Enero 14, 2020, 11:49:33 PM por AXCESS
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Este post está destinado a todos aquellos que recién comienzan auditando redes WPA/WPA2, y que les será de mucha ayuda.
Es un paso sencillo, pero del mismo modo muy importante. De hecho, muchos "experimentados" que llevan tiempo usando scripts y "crackeando" claves, se saltan este paso, a veces por desconocimiento. Son innumerables los tutoriales para el hacking del WPA/WPA2, que describen el proceso de captura del handshake, pero omiten el revisarlo; abrir el paquete para corroborar que está íntegro en su estructura.

Ello es fuente de comunes errores en hallar la clave, pues si dicho paquete no está íntegro en sus componentes (cosa muy frecuente), pueden pasarle todos los diccionarios habidos y por haber, e incluso con la clave que lleva, que no lograrán el éxito en el proceso, por no concordar.

Otros scripts, que usan ingeniería social, como Linset o Fluxion, hacen uso del handshake.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y es importante, para tener éxito, que dicho handshake sea previamente capturado y revisado en integridad, siendo válido para que el script puedan comparar las claves que les brinda el usuario.

Un poco de teoría

El handshake es un proceso que se da entre el AP y el cliente, para así establecer la autenticidad y los respectivos permisos de establecer las comunicaciones entre ambos.

En dicho proceso hay un intercambio de paquetes, por parte de ambos dispositivos, que de manera escalonada, establece la autenticidad y corroboración de la clave de acceso.

Por ello, uno de los métodos de auditorías a dichas redes, con ese sistema de seguridad, consiste en capturar esos paquetes iniciales encriptados, que contienen la clave de acceso, para así poder "crackearla", ya sea a través de diccionarios, fuerza bruta, etc.

Capturado el Handshake

No me centraré en cómo capturar el handshake, pues para ello hay tutoriales en demasía, y sería redundante. Y sí, en el momento en que ya está capturado, y se obtiene un archivo ".CAP", o ". PCAP".

Existen muchas herramientas para abrir, o analizar tráfico capturado. La más íntegra por excelencia, y que se usará en los ejemplos, es el prestigioso programa, analizador de protocolos de redes: Wireshark.

Desde el programa, abrimos el archivo capturado, buscando el directorio dónde el programa que se usó, lo depositó.
Se verá algo como esto:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Como se puede observar, hay demasiada información, ociosa para lo que se pretende.

Se deben filtrar los paquetes, para poder ver los que contienen la clave.
Dichos paquetes son cuatro. Ni más, ni menos.

Si se filtra el anterior ejemplo se puede ver cómo falta un paquete (el número 4).

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Como mencioné, esto es muy común, pues se debe a disímiles factores, como la distancia, las interferencias externas (llamado ruidos), los clientes en uso que ofrecen el handshake (ya sea de uno o de varios al unísono), etc. En el ejemplo nunca se hallaría la clave. Y muy importante, es transparente para el programa que gestiona el diccionario; dicho de otro modo, no emite errores.

Otro ejemplo:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se puede apreciar que ya abierto el handshake, presenta paquetes repetidos (también llamados ecos). Esto es muy frecuente, e irrelevante, siempre que estén presentes los cuatro paquetes que lo conforman. De igual forma es irrelevante su posición.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Filtrando el Handshake

Una vez abierto el archivo ".CAP":

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se escribe en la casilla de filtro ("filter") "eapol", y le damos a aplicar "Apply" o sencillamente Enter.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

De este modo habremos filtrado los paquetes que nos interesan y que contienen la clave.

Un proceso muy sencillo, pero obviado por muchos, y origen primario de los errados intentos por hallar la deseada clave.

Y recuerden: el uso correcto de las herramientas, destinadas a complementar las auditorías, en este caso las de wireless, diferencian a un amateur principiante de un profesional.

Suerte.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Muy buen post AXCESS.
PGP :: <D82F366940155CB043147178C4E075FC4403BDDC>

~ DtxdF

Gracias.

Como mencioné, es algo muy sencillo (y básico), pero que se desconoce y se salta; he notado en muchos Foros, que se plantean problemas que, pudieran estar relacionados con este paso, y nadie lo pregunta, o lo sugiere en las respuestas.

Muchas gracias por la apreciación.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Tienes razón, por eso es muy importante tener cuidado con lo que se enseña, ya que puedes dejar pasar algo por alto al estudiante y éste seguro desee compartir sus conocimientos con otros y así sucesivamente cometiendo falacias u olvidos.

Por eso es un excelente aporte...

~ DtxdF
PGP :: <D82F366940155CB043147178C4E075FC4403BDDC>

~ DtxdF

salu2

gracias por la info desde que pyrit quedo obsoleto y la nueva manera de cazar aircrack-ng   ahi cosas que cambian

pero aun asi no soy capaz de resolver hanskake malo



hay muchos apretones de manos de varios dispositivos aircrack-ng lo da bueno pero no

Código: bash
~ # aircrack-ng /root/Desktop/EC:F4:51:XXXXXX-01.cap -w /root/Desktop/dic.txt
Opening /root/Desktop/EC:F4:51:XXXXX.cap
Read 3136 packets.

   #  BSSID              ESSID                     Encryption
                                                                               
   1  EC:F4:51:XXXXX  MiFibra-XXXX             WPA (1 handshake)           
                                                                               
Choosing first network as target.                                               
                                                                               
Opening /root/Desktop/EC:F4:51:XXXXXX-01.cap                                           
Read 3136 packets.
                                                                                         
1 potential targets                                                                                   
                                                                                                     

                              Aircrack-ng 1.5.2

                 5/4 keys tested

      Time left: 0 seconds                                     125.00%

                                KEY NOT FOUND


es mi red y meto la clave pero a veces se coge hanskake malo y quisiera detectar cuando esta malo
¿hay mas maneras? sabiendo que pyrit ya no vale por usar libreria python 2 y no se actualizara  y aircrack-ng tambien a veces falla
¿que otra manera nos  quedaria?

Enero 29, 2020, 02:06:31 AM #5 Ultima modificación: Enero 29, 2020, 02:10:52 AM por AXCESS
Por lo que plantea, su problema radica en capturar el handshake. Esto es diferente de corroborarlo, o lo que es lo mismo, abrir el archivo y filtrarlo, para comprobar que, efectivamente, posee sus cuatro paquetes.

Capturar el handshake no es complicado. En Wifislax existen varios script para ello exclusivamente.
Otras herramientas lo llevan integrado y de manera opcional.
Menciono Wifislax, por ser el más fácil para aquellos que inician y no se complicarían con comandos.

Le sugeriría interactuar un tanto con las disímiles herramientas y consultar los muchos tutoriales que poseen.
Pero tenga en cuenta la diferencia primaria que le menciono y el objetivo de este post: comprobar el handshake, no cómo capturarlo.

El ejemplo que pone de la imagen, es el handshake íntegro, pero de varios clientes, debido a que no seleccionó uno en específico previamente.

Suerte.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Abril 21, 2020, 07:48:03 AM #6 Ultima modificación: Abril 21, 2020, 08:02:41 AM por balderg0d
Gracias por el aporte, justamente estaba buscando cómo verificar un handshake para mi proyecto. Estoy auditando mi red y capturo el handshake sin problemas hasta que llega la hora de crackearlo con fluxion. En ese momento, cuando me pide la ruta del archivo handshake me da un error de corrupted handshake. He analizado el handshake con wireshark con el filtro y contiene los 4 mensajes pero aun así sigue saltando el mismo error.

Un saludo!

Edito: el problema era el handshake capturado por la distancia con el AP. Error mío. Va haciendo falta una buena antena.

Solucionado!!

hola buenas.. muy bueno el post.. en caso de que el archivo .cap posea PMKID al analizarlo con wireshark  además de poder verificar si posee la autentificación de los 4 pasos .. se pude extraer el PMKID?