Joke Snelders
RSS
Overzicht van artikelen >
Je kunt de sample capture file test.pcap hier downloaden.
Als je de file test.pcap opent met Wireshark zie je dit:
WPA Pre-shared Key Generator
Op de eerste plaats moet je de WPA passphrase en het SSID converteren naar de pre-shared key.
Op de Wireshark Online Tools pagina staat een WPA PSK Generator.
De WPA passphrase voor het bestand test.pcap is:
subnet16121930
Het SSID is:
dd-wrt2
Copy en paste de passphrase en het SSID.
Klik Generate PSK.
Het duurt even om de volgende key te genereren:
55f8e415485dd9a272060ca558d3db184be51b3cb6d4a048b064c7aaca335df2
De volgende stap is het invoeren van de key in Wireshark. Je kunt dit doen via het Wireshark Preferences dialoog venster of via de Wireshark Wireless Toolbar.
Wireshark Preferences
Ga naar Edit -> Preferences om het Preferences dialoog venster te openen.
Klik op + voor Protocols en selecteer IEEE 802.11.
Selecteer: Enable decryption
Key #1: paste
wpa-psk:55f8e415485dd9a272060ca558d3db184be51b3cb6d4a048b064c7aaca335df2
Klik Apply en OK.
Als alles goed gegaan is, zie je dit:
Wireshark Wireless Toolbar
Als je een AirPcap adapter hebt, dan kun je decryption keys ook toevoegen via de Wireless Toolbar.
Ga naar View -> selecteer Wireless Toolbar
Selecteer Decryptions Keys... ->
Decryption Key Management venster:
Selecteer: New
Add Decryption Key venster:
- Type: selecteer WPA-PSK
- Key: paste: 55f8e415485dd9a272060ca558d3db184be51b3cb6d4a048b064c7aaca335df2
Klik OK
Decryption Key Management venster:
Selecteer Decryption Mode ->Selecteer: Wireshark
Klik Apply en OK
Note
Verwijder de WPA-PSK key, voordat je verdergaat TShark. Op deze manier ben je er zeker van, dat je de settings in TShark gebruikt om de packets te decrypten (en niet de settings in het bestand Preferences).
Ga naar Edit -> Preferences om het Preferences dialoog venster te openen.
Klik op + voor Protocols en selecteer IEEE 802.11.
- deselecteer: Enable decryption
- verwijder Key #1
TShark
• Gebruik eerst de opties -r (input file) en -R (display filter) om enkele ge-encrypte packets te bekijken:
$ tshark -r test.pcap -R "frame.number==8 || frame.number==9 || frame.number==10 || frame.number==11"
8 1.014623 00:25:9c:74:95:92 -> 00:02:44:94:24:7b IEEE 802.11 Data, SN=2098, FN=0, Flags=.p.....TC
9 1.014987 00:25:9c:74:95:92 -> 00:02:44:94:24:7b IEEE 802.11 Data, SN=2098, FN=0, Flags=.p..R..TC
10 1.015487 00:25:9c:74:95:92 -> 00:02:44:94:24:7b IEEE 802.11 Data, SN=2098, FN=0, Flags=.p..R..TC
11 1.025502 00:02:44:94:24:7b -> 00:25:9c:74:95:92 IEEE 802.11 Data, SN=1416, FN=0, Flags=.p....F.C
• Om de packets te decrypten moet je decryptie toepassen en de wpa-psk key toevoegen met behulp van de optie -o:
$ tshark -r test.pcap -o wlan.enable_decryption:TRUE -o wlan.wep_key1:wpa-psk:55f8e415485dd9a272060ca558d3db184be51b3cb6d4a048b064c7aaca335df2 -R "frame.number==8 || frame.number==9 || frame.number==10 || frame.number==11"
8 1.014623 192.168.1.12 -> 212.54.40.25 DNS Standard query A www.wi-fiplanet.com
9 1.014987 192.168.1.12 -> 212.54.40.25 DNS Standard query A www.wi-fiplanet.com
10 1.015487 192.168.1.12 -> 212.54.40.25 DNS Standard query A www.wi-fiplanet.com
11 1.025502 212.54.40.25 -> 192.168.1.12 DNS Standard query response A 63.236.18.119
• Om het hele bestand te decrypten en de output weg te laten schrijven naar een tekstbestand:
$ tshark -r test.pcap -o wlan.enable_decryption:TRUE -o wlan.wep_key1:wpa-psk:55f8e415485dd9a272060ca558d3db184be51b3cb6d4a048b064c7aaca335df2 > test_decrypt.txt
• Je kunt ook nog de opties -V (add output of packet tree [Packet Details]) en/of -x (add output of hex and ASCII dump [Packet Bytes]) toevoegen:
$ tshark -r test.pcap -o wlan.enable_decryption:TRUE -o wlan.wep_key1:wpa-psk:55f8e415485dd9a272060ca558d3db184be51b3cb6d4a048b064c7aaca335df2 -Vx > test_decrypt2.txt
$ tshark -r test.pcap -o wlan.enable_decryption:TRUE -o wlan.wep_key1:wpa-psk:55f8e415485dd9a272060ca558d3db184be51b3cb6d4a048b064c7aaca335df2 -Vx -R "frame.number==8"
Frame 8 (137 bytes on wire, 137 bytes captured)
Arrival Time: Dec 5, 2009 16:35:31.937748000
[Time delta from previous captured frame: 0.088853000 seconds]
[Time delta from previous displayed frame: 1.014623000 seconds]
[Time since reference or first frame: 1.014623000 seconds]
Frame Number: 8
Frame Length: 137 bytes
Capture Length: 137 bytes
[Frame is marked: False]
[Protocols in frame: radiotap:wlan:llc:ip:udp:dns]
Radiotap Header v0, Length 20
Header revision: 0
Header pad: 0
Header length: 20
Present flags: 0x000018ee
.... .... .... .... .... .... .... ...0 = TSFT: False
.... .... .... ....
Tot slot
Je kunt Wireshark ook starten vanaf de command line.
$ wireshark -r test.pcap
De packets zijn ge-encrypt.
$ wireshark -r test.pcap -o wlan.enable_decryption:TRUE -o wlan.wep_key1:wpa-psk:55f8e415485dd9a272060ca558d3db184be51b3cb6d4a048b064c7aaca335df2
De packets zijn gedecrypt.
Je vindt meer informatie in de Wireshark Wiki.
Wireshark en TShark: Decrypt Sample Capture File
Geplaatst op 3-5-2010 15:23 door Joke SneldersIn dit artikel geef ik een beschrijving van het decrypten van packets in een sample capture file. De packets zijn ge-encrypt met behulp van de WPA pre-shared key. Aan de hand van een gedetailleerde beschrijving leer je verschillende manieren om de packets te decrypten.Je kunt de sample capture file test.pcap hier downloaden.
Als je de file test.pcap opent met Wireshark zie je dit:
WPA Pre-shared Key Generator
Op de eerste plaats moet je de WPA passphrase en het SSID converteren naar de pre-shared key.
Op de Wireshark Online Tools pagina staat een WPA PSK Generator.
De WPA passphrase voor het bestand test.pcap is:
subnet16121930
Het SSID is:
dd-wrt2
Copy en paste de passphrase en het SSID.
Klik Generate PSK.
Het duurt even om de volgende key te genereren:
55f8e415485dd9a272060ca558d3db184be51b3cb6d4a048b064c7aaca335df2
De volgende stap is het invoeren van de key in Wireshark. Je kunt dit doen via het Wireshark Preferences dialoog venster of via de Wireshark Wireless Toolbar.
Wireshark Preferences
Ga naar Edit -> Preferences om het Preferences dialoog venster te openen.
Klik op + voor Protocols en selecteer IEEE 802.11.
Selecteer: Enable decryption
Key #1: paste
wpa-psk:55f8e415485dd9a272060ca558d3db184be51b3cb6d4a048b064c7aaca335df2
Klik Apply en OK.
Als alles goed gegaan is, zie je dit:
Wireshark Wireless Toolbar
Als je een AirPcap adapter hebt, dan kun je decryption keys ook toevoegen via de Wireless Toolbar.
Ga naar View -> selecteer Wireless Toolbar
Selecteer Decryptions Keys... ->
Decryption Key Management venster:
Selecteer: New
Add Decryption Key venster:
- Type: selecteer WPA-PSK
- Key: paste: 55f8e415485dd9a272060ca558d3db184be51b3cb6d4a048b064c7aaca335df2
Klik OK
Decryption Key Management venster:
Selecteer Decryption Mode ->Selecteer: Wireshark
Klik Apply en OK
Note
Verwijder de WPA-PSK key, voordat je verdergaat TShark. Op deze manier ben je er zeker van, dat je de settings in TShark gebruikt om de packets te decrypten (en niet de settings in het bestand Preferences).
Ga naar Edit -> Preferences om het Preferences dialoog venster te openen.
Klik op + voor Protocols en selecteer IEEE 802.11.
- deselecteer: Enable decryption
- verwijder Key #1
TShark
• Gebruik eerst de opties -r (input file) en -R (display filter) om enkele ge-encrypte packets te bekijken:
$ tshark -r test.pcap -R "frame.number==8 || frame.number==9 || frame.number==10 || frame.number==11"
8 1.014623 00:25:9c:74:95:92 -> 00:02:44:94:24:7b IEEE 802.11 Data, SN=2098, FN=0, Flags=.p.....TC
9 1.014987 00:25:9c:74:95:92 -> 00:02:44:94:24:7b IEEE 802.11 Data, SN=2098, FN=0, Flags=.p..R..TC
10 1.015487 00:25:9c:74:95:92 -> 00:02:44:94:24:7b IEEE 802.11 Data, SN=2098, FN=0, Flags=.p..R..TC
11 1.025502 00:02:44:94:24:7b -> 00:25:9c:74:95:92 IEEE 802.11 Data, SN=1416, FN=0, Flags=.p....F.C
• Om de packets te decrypten moet je decryptie toepassen en de wpa-psk key toevoegen met behulp van de optie -o:
$ tshark -r test.pcap -o wlan.enable_decryption:TRUE -o wlan.wep_key1:wpa-psk:55f8e415485dd9a272060ca558d3db184be51b3cb6d4a048b064c7aaca335df2 -R "frame.number==8 || frame.number==9 || frame.number==10 || frame.number==11"
8 1.014623 192.168.1.12 -> 212.54.40.25 DNS Standard query A www.wi-fiplanet.com
9 1.014987 192.168.1.12 -> 212.54.40.25 DNS Standard query A www.wi-fiplanet.com
10 1.015487 192.168.1.12 -> 212.54.40.25 DNS Standard query A www.wi-fiplanet.com
11 1.025502 212.54.40.25 -> 192.168.1.12 DNS Standard query response A 63.236.18.119
• Om het hele bestand te decrypten en de output weg te laten schrijven naar een tekstbestand:
$ tshark -r test.pcap -o wlan.enable_decryption:TRUE -o wlan.wep_key1:wpa-psk:55f8e415485dd9a272060ca558d3db184be51b3cb6d4a048b064c7aaca335df2 > test_decrypt.txt
• Je kunt ook nog de opties -V (add output of packet tree [Packet Details]) en/of -x (add output of hex and ASCII dump [Packet Bytes]) toevoegen:
$ tshark -r test.pcap -o wlan.enable_decryption:TRUE -o wlan.wep_key1:wpa-psk:55f8e415485dd9a272060ca558d3db184be51b3cb6d4a048b064c7aaca335df2 -Vx > test_decrypt2.txt
$ tshark -r test.pcap -o wlan.enable_decryption:TRUE -o wlan.wep_key1:wpa-psk:55f8e415485dd9a272060ca558d3db184be51b3cb6d4a048b064c7aaca335df2 -Vx -R "frame.number==8"
Frame 8 (137 bytes on wire, 137 bytes captured)
Arrival Time: Dec 5, 2009 16:35:31.937748000
[Time delta from previous captured frame: 0.088853000 seconds]
[Time delta from previous displayed frame: 1.014623000 seconds]
[Time since reference or first frame: 1.014623000 seconds]
Frame Number: 8
Frame Length: 137 bytes
Capture Length: 137 bytes
[Frame is marked: False]
[Protocols in frame: radiotap:wlan:llc:ip:udp:dns]
Radiotap Header v0, Length 20
Header revision: 0
Header pad: 0
Header length: 20
Present flags: 0x000018ee
.... .... .... .... .... .... .... ...0 = TSFT: False
.... .... .... ....
Tot slot
Je kunt Wireshark ook starten vanaf de command line.
$ wireshark -r test.pcap
De packets zijn ge-encrypt.
$ wireshark -r test.pcap -o wlan.enable_decryption:TRUE -o wlan.wep_key1:wpa-psk:55f8e415485dd9a272060ca558d3db184be51b3cb6d4a048b064c7aaca335df2
De packets zijn gedecrypt.
Je vindt meer informatie in de Wireshark Wiki.
Reacties
Reageer op dit artikel |
