Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 01-10-2011 11:02:40

reallife
Membre Indétronable
Inscription : 26-09-2011
Messages : 181

WPA Key sous wireshark

Salut,

Etant en train de tester les filtres wireshark, je commencer à apparaitre des choses interessantes dans tout ce foutoir!

Pouvez vous me dire exactement ce que j'ai capturé? Je pense que la passphrase est bien entendu cryptée :

capture1ki.th.png

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 01-10-2011 12:14:07

spawn
Modérateur
Inscription : 14-01-2011
Messages : 1 006

Re : WPA Key sous wireshark

Alors, évidemment, ce n'est pas la clef en clair ^^

Il apparaît que tu as chopé un morceau d'un phase d'authentification 802.11i (~WPA)
Pourrais-tu préciser les adresses MAC de l'AP et de la station ?

Il y a 6 clés EAPoL échangées au cours d'une authentification.
Seules les 5 dernières ont des MIC (Message Integrity Code) (deuxième paragraphe)

Avec plus d'informations ou le fichier de capture on pourrait t'en dire plus.


@9b0ae3c4 méric.fr
be a pro hacker : python -c "exec ''.join([chr(ord(i)^0x46) for i in '/+6)42f)5}f)5h5?52#+nd4+fk4 f8ido'])"

Hors Ligne

#3 01-10-2011 12:21:39

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : WPA Key sous wireshark

Mais avec plaisir wink

- les paquets QoS (soi-disant "Quality of Service") sont des données chifféres en WPA, tu ne sais rien en faire sans la clé
- les paquets d'association/authentication sont ceux qui sont envoyés juste avant le 4-way handshake, pour demander l'accès au réseau
- les paquets EAPOL sont le handshake en lui-même, la partie intéressante. Je reviendrai sur le "key (2/4)" dans un instant
- le paquet de "deauthentication" indique que le handshake a échoué, soit parce que la passphrase n'est pas la bonne soit à cause d'un timeout ou d'un bug. Je penche pour cette deuxième option : le paquet "key (2/4)" doit être réémis et le "key (3/4)" n'arrive jamais...

Pour les paquets EAPOL, il faut se rappeler que le WPA fonctionne sur le principe du "challenge/response". La passphrase ne circule jamais directement sur le réseau, en fait ça se passe comme ça :
- l'AP envoie une séquence aléatoire au client en lui disant "prouve-moi que tu connais la clé en me renvoyant cette séquence correctement chiffrée"
- Le client reçoit la séquence, la chiffre (on ne dit pas "crypte") en utilisant la passphrase WPA et la renvoie à l'AP.
Si la réponse est bonne, le client est accepté sur le réseau. En définitive, la seule chose à laquelle on a accès en sniffant le trafic, c'est la séquence aléatoire et son résultat chiffré.

La séquence aléatoire s'appelle, dans le jargon de la crypto, un "nonce", c'est à dire un nombre qu'on n'utilise qu'une seule fois Number ONCE). Le résultat chiffré n'est pas inversible (c-à-d qu'on ne peut pas en déduire la clé de chiffrement) à cause de l'utilisation de la fonction de hachage SHA1 en cascade (algorithme PBKDF2).
La seule chose qu'on peut faire, c'est chiffrer le nonce avec toute une série de mots de passe jusqu'à retomber sur la même réponse que celle fournie par le client, et c'est comme ça qu'aircrack-ng travaille. Tu ne peux donc rien déduire à l'oeil nu de ce que tu as capturé, et certainement pas du nonce qui est complètement aléatoire smile

Pour en savoir plus :
* Une analyse détaillée d'une connexion en WPA, paquet par paquet
--> Tutorial: WPA Packet Capture Explained [aircrack-ng.org]
* Le détail du processus de chiffrement à l'aide de PBKDF2 et HMAC-SHA1
--> Of the robustness of WPA/WPA2 authentication [sid.rstack.org]

Hors Ligne

#4 01-10-2011 12:24:00

reallife
Membre Indétronable
Inscription : 26-09-2011
Messages : 181

Re : WPA Key sous wireshark

Salut,

Je ne connais pas les adresses, je faisais juste un sniff passif sur le channel ou j'ai créé un réseau OPN, afin de me faire la main sur wireshark (que je connais deja bien) mais appliqué au protocole IEEE802.11 !

Disons que j'y vais un peu à tatons afin d'élargir au max mes connaissances!

Mais visiblement cela porte bien ses fruits, puisque j'ai partagé ma connexion filaire pour mon 2eme PC en wifi adhoc et je vois transiter tout les paquets!!!

Concernant la passphrase WPA, c'est bizarre il me semble que c'est tout le temps l'étape (2/4) qui apparait dans mon wireshark.

Hors Ligne

#5 01-10-2011 12:33:50

reallife
Membre Indétronable
Inscription : 26-09-2011
Messages : 181

Re : WPA Key sous wireshark

Vraiment terrible ton 1er lien antares!! Je garde ca sous le coude pour quand je passerai au WPA, il y a meme des fichiers de captures, c'est parfait!

C'est vraiment passionnant cette histoire je sens que je vais m'éclater smile

Par contre 2 questions :
- vu que je ne suis pas rendu à l'étude des connexion chiffrées, y a t-il un filtre spécial sur wireshark pour n'afficher que les données vraiment interessantes sur du OPN (pour l'instant j'en suis la :
wlan.fc.type_subtype != 0x08 && wlan.fc.type_subtype != 0x1d && wlan.fc.type_subtype != 0x04 && wlan.fc.type_subtype != 0x05 && wlan.fc.type_subtype != 0x24
=========
type different de : Beacons / Ack flag (FCS) / Probe request / Probe response / Null function (no data))

- quand je serais rendu aux connexions chiffrées, est-il possible dans wireshark d'afficher directement les données déchiffrées (quand on est en possession de la clé WEP ou WPA bien evidemment..) ?

Merci!

Hors Ligne

#6 01-10-2011 14:29:35

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : WPA Key sous wireshark

C'est quoi pour toi "des données intéressantes", exactement ? wink

La première chose que je ferais à ta place, c'est virer tout ce qui ne concerne que le WiFi (beacon, probes, etc...). Pour ça tu peux utiliser l'outil airdecap-ng (inclus dans la suite aircrack-ng), qui va te sortir un fichier fort semblable à de l'ethernet que tu choperais sur un câble, ça t'évitera au moins tous les filtres que tu utilises pour l'instant wink

Pour les connexions chiffrées, c'est effectivement possible via le menu Edit > Preferences > Protocols > IEEE802.11 > [x] Enable decryption. Tu peux alors spécifier les clés WEP et WPA à utiliser pour décoder les données.
Attention, pour le WPA le système utilise des "clés de sessions" différentes pour chaque station, négociées au moment du handshake. Ca veut dire que Wireshark
1) ne peut décoder du WPA que si un handshake est inclus dans le .CAP
2) ne peut décoder les données que d'une seule station à la fois
3) ne peut décoder les données que de la station associée au dernier handshake reçu

Pour plus d'infos :
--> How to decrypt 802.11 -- Wireshark Wiki
(15 secondes sur Google... wink)

Note que tu peux également utiliser airdecap-ng pour décoder un .CAP et sortir sa version en clair, que tu peux directement ouvrir avec Wireshark. Ca marche pas mal avec le WEP, c'est plus tricky avec le WPA (d'après mon expérience).
--> airdecap-ng [aircrack-ng.org]

Hors Ligne

#7 01-10-2011 14:54:17

reallife
Membre Indétronable
Inscription : 26-09-2011
Messages : 181

Re : WPA Key sous wireshark

En fait ca correspondant à ce que tu as dis, pour un réseau OPN je veux sniffer uniquement les données en clair.
Autrement dit, tout ce qui passe sauf les données propres à la gestion du IEEE802.11 !

La solution du airdecap-ng serait donc la meilleure smile je vais voir s'il peut fonctionner en live au lieu de passer par des fichiers.

Hors Ligne

#8 01-10-2011 15:23:34

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : WPA Key sous wireshark

A ma connaissance, il ne permet pas de travailler en live (même si c'est une demande qui a été faite aux développeurs).

Si tu acceptes de travailler en différé, voilà un article plus complet sur l'analyse des fichiers .CAP; via un rejeu sur "lo"
--> Airodump-ng, airdecap-ng and tcpreplay
- airodump-ng capture des données brutes dans un fichier
- airdecap-ng nettoie les données et sort un fichier très proche de l'Ethernet
- tcpreplay renvoie tous les paquets (au format ethernet) sur l'interface locale (lo), sur laquelle écoutent les sniffers.

D'expérience, cette technique donne de meilleurs résultats que de sniffer sur du 802.11 directement, mais je te laisse juge. Oui, on perd l'aspect "temps réel" mais avec un script un peu astucieux tu peux faire des copies régulières du fichier .CAP en cours de remplissage, que tu envoies à airdecap-ng puis tcpreplay wink

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Sujets similaires

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.026 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]