İpucu: Uygulamalı WEP Parolası Kırma, Şifre Çözme ve PCAP içerisinden Dosya Çıkarma

Uygulamalı WEP Parolası Kırma, Şifre Çözme ve PCAP içerisinden Dosya Çıkarma

Bu notta uygulamalı olarak WEP kullanılarak şifrelenmiş kablosuz bir ağ iletişimine ait pcap dosyası kullanılarak WEP parolasının elde edilmesi, bu parolanın kullanılarak pcap dosyasının şifresinin çözülmesi ve içerisindeki tcp akışındaki dosyasının çıkartılması ele alınacaktır. Öncelikle gerekli pcap dosyası bağlantıdan temin edilebilir.

tcpdump aracı ile pcap dosyasının içeriğine bakıldığı WEP ile şifrelenmiş bir iletişime ait olduğu ve içerisinde IV paketleri içerdiği görülebilir.

# tcpdump -nvr hc3.pcap-04.cap -c10
reading from file hc3.pcap-04.cap, link-type IEEE802_11 (802.11)
16:19:41.145465 0us Beacon (home) [1.0* 2.0* 5.5* 11.0* 18.0 24.0 36.0 54.0 Mbit] ESS CH: 6, PRIVACY
16:19:43.507896 0us Acknowledgment RA:e0:f8:47:2e:93:3e
16:19:44.468986 0us Acknowledgment RA:e0:f8:47:2e:93:3e
16:19:54.341047 0us Acknowledgment RA:e4:ce:8f:3e:91:68
16:19:54.348727 WEP Encrypted 48us Data IV:6804a7 Pad 0 KeyID 0
16:19:54.485431 0us Acknowledgment RA:e4:ce:8f:3e:91:68
16:19:54.485431 0us Acknowledgment RA:e4:ce:8f:3e:91:68
16:19:54.487991 WEP Encrypted 48us Data IV:6804a9 Pad 0 KeyID 0
16:19:56.359991 WEP Encrypted 48us Data IV:6804ab Pad 0 KeyID 0
16:19:57.491514 0us Acknowledgment RA:e0:f8:47:2e:93:3e

Dosya içerisinde hangi SSID değerlerine sahip ağların bulunduğunun tespiti için tcpdump, tshark veya pyrit araçları aşağıdaki şekillerde kullanılabilir:

# tcpdump -nnr hc3.pcap-04.cap '((type mgt subtype beacon) or (type mgt subtype probe-req))' | head
# tshark -r hc3.pcap-04.cap | grep SSID
#  pyrit -r hc3.pcap-04.cap analyze | grep AccessPoint | cut -d \' -f2 | sort

50,000 ve üzeri IV paketinin toplanması ile herhangi bir WEP parolası saniyeler içerisinde kırılabilir. Bunun için aircrack aracından faydalanılabilir.

# aircrack-ng hc3.pcap-04.cap
Opening hc3.pcap-04.cap
Read 208428 packets.
   #  BSSID                      ESSID                     Encryption
   1  00:1A:70:4C:BB:76  home                      WEP (50757 IVs)
Choosing first network as target.
Opening hc3.pcap-04.cap
Attack will be restarted every 5000 captured ivs.
Starting PTW attack with 50757 ivs.
                                                  Aircrack-ng 1.1 r2178
                                  [00:00:00] Tested 861 keys (got 50459 IVs)
   KB    depth   byte(vote)
    0    0/ 13   28(63744) A8(60928) 86(58880) C7(58880) 3D(58624) A4(58112) 53(57856) 5B(57856)
    1    0/  1   57(76544) 0F(60928) 34(59392) 5B(58880) D4(57856) DF(57856) 4D(57344) 66(57344)
    2    1/  2   1E(61952) A8(59648) 67(59136) 03(58624) 5F(58368) 61(58368) 91(58368) 3A(58112)
    3    0/  1   B4(75264) 31(61184) 7F(60416) 66(58112) 83(57856) 9F(57856) A2(57600) D6(57600)
    4    9/  4   F9(58368) 07(57856) EF(57856) FF(57856) 3B(57600) 6E(57344) 93(57344) E7(57088)
             KEY FOUND! [ 28:E6:6B:E9:D3:B6:20:95:DD:E9:2F:BE:37 ]
        Decrypted correctly: 100%

Mevcut pcap dosyasının şifresinin çözülmüş halini elde etmek için airdecap uygulaması kullanılabilir.

# airdecap-ng hc3.pcap-04.cap -w 28:E6:6B:E9:D3:B6:20:95:DD:E9:2F:BE:37
Total number of packets read        208428
Total number of WEP data packets     96367
Total number of WPA data packets         0
Number of plaintext data packets         0
Number of decrypted WEP  packets     96367
Number of corrupted WEP  packets         0
Number of decrypted WPA  packets         0

airdecap ile şifresi çözülen pcap dosyası sonucunda aynı dizin altında hc3.pcap-04-dec.cap adı altında decrypt edilmiş yeni bir dosya oluşacaktır.

# ls hc3.pcap-04*
hc3.pcap-04.cap  hc3.pcap-04-dec.cap

Wireshark uygulamasındaki "follow tcp stream" seçeneği ile pcap içerisinde dosya görülebileceği ve çıkartılabileceği gibi Backtrack içerisindeki tcpxtract uygulaması ile de hedef dosya elde edilebilir.

# tcpxtract -f hc3.pcap-04-dec.cap
Found file of type "zip" in session [192.168.0.122:26817 -> 2.2.2.2:20228], exporting to 00000000.zip
# file 00000000.zip

00000000.zip: Zip archive data, at least v1.0 to extract
Yine aynı pcap dosyası içerisindeki e-posta içeriğindeki base64 kodlanmış parolanın aşağıdaki şekilde geri elde edilmesi ile zip dosyasının da açılması mümkündür.

# echo "dGhlIHBhc3N3b3JkIGlzIGJvc3Rvbk1BMTk3Nwo=" | base64 -d

Kaynak:
http://www.agguvenligi.net/2013/01/uygulamal-wep-parolas-krma-sifre-cozme.html
https://sickbits.net/hack3rcon3-the-xrg-ctf-challenge-4-solution-decrypt-pcap-wep-extract-file/