Bu notta uygulamalı olarak WEP kullanılarak şifrelenmiş kablosuz bir ağ iletişimine ait pcap dosyası kullanılarak WEP parolasının elde edilmesi, bu parolanın kullanılarak pcap dosyasının şifresinin çözülmesi ve içerisindeki tcp akışındaki dosyasının çıkartılması ele alınacaktır. Öncelikle gerekli pcap dosyası bağlantıdan temin edilebilir.tcpdump aracı ile pcap dosyasının içeriğine bakıldığı WEP ile şifrelenmiş bir iletişime ait olduğu ve içerisinde IV paketleri içerdiği görülebilir.
# tcpdump -nvr hc3.pcap-04.cap -c10
reading from file hc3.pcap-04.cap, link-type IEEE802_11 (802.11)
16:19:41.145465 0us Beacon (home) [1.0* 2.0* 5.5* 11.0* 18.0 24.0 36.0 54.0 Mbit] ESS CH: 6, PRIVACY
16:19:43.507896 0us Acknowledgment RA:e0:f8:47:2e:93:3e
16:19:44.468986 0us Acknowledgment RA:e0:f8:47:2e:93:3e
16:19:54.341047 0us Acknowledgment RA:e4:ce:8f:3e:91:68
16:19:54.348727 WEP Encrypted 48us Data IV:6804a7 Pad 0 KeyID 0
16:19:54.485431 0us Acknowledgment RA:e4:ce:8f:3e:91:68
16:19:54.485431 0us Acknowledgment RA:e4:ce:8f:3e:91:68
16:19:54.487991 WEP Encrypted 48us Data IV:6804a9 Pad 0 KeyID 0
16:19:56.359991 WEP Encrypted 48us Data IV:6804ab Pad 0 KeyID 0
16:19:57.491514 0us Acknowledgment RA:e0:f8:47:2e:93:3e
Dosya içerisinde hangi SSID değerlerine sahip ağların bulunduğunun tespiti için tcpdump, tshark veya pyrit araçları aşağıdaki şekillerde kullanılabilir:
# tcpdump -nnr hc3.pcap-04.cap '((type mgt subtype beacon) or (type mgt subtype probe-req))' | head
# tshark -r hc3.pcap-04.cap | grep SSID
# pyrit -r hc3.pcap-04.cap analyze | grep AccessPoint | cut -d \' -f2 | sort
50,000 ve üzeri IV paketinin toplanması ile herhangi bir WEP parolası saniyeler içerisinde kırılabilir. Bunun için aircrack aracından faydalanılabilir.# aircrack-ng hc3.pcap-04.cap
Opening hc3.pcap-04.cap
Read 208428 packets.
# BSSID ESSID Encryption
1 00:1A:70:4C:BB:76 home WEP (50757 IVs)
Choosing first network as target.
Opening hc3.pcap-04.cap
Attack will be restarted every 5000 captured ivs.
Starting PTW attack with 50757 ivs.
Aircrack-ng 1.1 r2178
[00:00:00] Tested 861 keys (got 50459 IVs)
KB depth byte(vote)
0 0/ 13 28(63744) A8(60928) 86(58880) C7(58880) 3D(58624) A4(58112) 53(57856) 5B(57856)
1 0/ 1 57(76544) 0F(60928) 34(59392) 5B(58880) D4(57856) DF(57856) 4D(57344) 66(57344)
2 1/ 2 1E(61952) A8(59648) 67(59136) 03(58624) 5F(58368) 61(58368) 91(58368) 3A(58112)
3 0/ 1 B4(75264) 31(61184) 7F(60416) 66(58112) 83(57856) 9F(57856) A2(57600) D6(57600)
4 9/ 4 F9(58368) 07(57856) EF(57856) FF(57856) 3B(57600) 6E(57344) 93(57344) E7(57088)
KEY FOUND! [ 28:E6:6B:E9:D3:B6:20:95:DD:E9:2F:BE:37 ]
Decrypted correctly: 100%
Mevcut pcap dosyasının şifresinin çözülmüş halini elde etmek için airdecap uygulaması kullanılabilir.
# airdecap-ng hc3.pcap-04.cap -w 28:E6:6B:E9:D3:B6:20:95:DD:E9:2F:BE:37
Total number of packets read 208428
Total number of WEP data packets 96367
Total number of WPA data packets 0
Number of plaintext data packets 0
Number of decrypted WEP packets 96367
Number of corrupted WEP packets 0
Number of decrypted WPA packets 0
airdecap ile şifresi çözülen pcap dosyası sonucunda aynı dizin altında hc3.pcap-04-dec.cap adı altında decrypt edilmiş yeni bir dosya oluşacaktır.
# ls hc3.pcap-04*
hc3.pcap-04.cap hc3.pcap-04-dec.cap
Wireshark uygulamasındaki "follow tcp stream" seçeneği ile pcap içerisinde dosya görülebileceği ve çıkartılabileceği gibi Backtrack içerisindeki tcpxtract uygulaması ile de hedef dosya elde edilebilir.
# tcpxtract -f hc3.pcap-04-dec.capFound file of type "zip" in session [192.168.0.122:26817 -> 2.2.2.2:20228], exporting to 00000000.zip
# file 00000000.zip
00000000.zip: Zip archive data, at least v1.0 to extract
Yine aynı pcap dosyası içerisindeki e-posta içeriğindeki base64 kodlanmış parolanın aşağıdaki şekilde geri elde edilmesi ile zip dosyasının da açılması mümkündür.
0 comments:
Post a Comment