Auteur Sujet: [en cours] Wireshark et WPA handshake  (Lu 11711 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne blackndoor

  • Membre Junior
  • *
  • Messages: 15
  • +0/-0
[en cours] Wireshark et WPA handshake
« le: 06 décembre 2014 à 16:11:59 »
Bonjour,

Je tente de faire mumuse avec wireshark sur mon réseau personnel pour analyser les trames.

Je n'arrive pas avec wireshark depuis ma Kali à récupérer les 4 handshake d'une connexion WPA alors que sur mon macbook je les récupères sans problème.

Voici mes infos :

Macbook pro retina avec wireshark 1.10.6
Type de carte :   AirPort Extreme  (0x14E4, 0x112)
Version du programme interne :   Broadcom BCM43xx 1.0 (6.30.223.154.65)

Kali 3.14-kali1-686-pae avec wireshark 1.12.2
type de carte: Alpha AWUS036H

J'ai tout d'abord utilisé la version de wireshark fournie avec Kali qui était là 1.10.11 (je crois..). J'obtenais les 4 handshake mais je n'arrivais pas à décrypter les trames. Je passe donc des heures sur le web pour trouver une solution puis j'installe finalement wireshark sur mon macbook pro afin de faire un test et boom tout fonctionne.

J'installe donc sur ma kali la même version que sur mon macbook et cela fonctionne à moitié.
Je récupérais bien les 4 handshake, décryptais les trames mais il me manquait plein de paquets. Par exemple, je récupérais les echo reply de mon routeur mais pas les echo request de ma machine (lors d'un ping non-stop)

J'ai donc tenté d'installer d'autre version, réinstaller x fois pour au final être aujourd'hui impossible de récupérer les handshake de mon propre réseau sous ma kali alors que depuis mon mac tout est ok.. Je précise que je récupère les handshake d'autre réseau que le mien.

J'ai un peu peur d'une réponse type, réinstall ta kali ;) car j'y ai passé des heures en suivant le bouquin : Penetration testing de Georgia Weidman

Merci d'avance de votre aide
« Modifié: 06 décembre 2014 à 23:07:50 par admin »

Hors ligne coyotus

  • Contributeur de Kali-linux.fr
  • Membre Elite
  • *****
  • Messages: 3798
  • +266/-30
  • IN GNU WE TRUST
    • Groupe d'Utilisateurs de GNU/Linux...
Re : Wireshark et WPA handshake
« Réponse #1 le: 06 décembre 2014 à 16:58:51 »
Comment tu fait pour obtenir les handshake ?

je ne connais pas mac mais explique également la procédure avec MAC

Hors ligne blackndoor

  • Membre Junior
  • *
  • Messages: 15
  • +0/-0
Re : Wireshark et WPA handshake
« Réponse #2 le: 06 décembre 2014 à 17:17:17 »
Je lance wireshark sur mon macbook pro, j'active le mode monitor sur ma carte wifi (en0) puis je démarre le scan. Je filtre pour afficher que les trames eapol

Je fais la même chose sur ma kali avec ma carte wifi alpha (wlan0).

Avec mon iphone ou  imac, je me connecte à mon wifi puis je me déconnecte, puis reconnecte etc...

Sur mon macbook, wireshark m'affiche tous les handshakes alors que sur ma kali j'en ai aucun.

Hors ligne coyotus

  • Contributeur de Kali-linux.fr
  • Membre Elite
  • *****
  • Messages: 3798
  • +266/-30
  • IN GNU WE TRUST
    • Groupe d'Utilisateurs de GNU/Linux...
Re : Wireshark et WPA handshake
« Réponse #3 le: 06 décembre 2014 à 17:34:28 »
Sous Kali tu met ta carte en mode monitor comment ?

et tu utilise Wireshark sur quelle interface ?

si tu utilise airmon-ng il créera une interface mon0 alors si tu utilise wlan0 avec wireshark forcément que n'aura pas de handshake.

Hors ligne blackndoor

  • Membre Junior
  • *
  • Messages: 15
  • +0/-0
Re : Wireshark et WPA handshake
« Réponse #4 le: 06 décembre 2014 à 17:53:53 »
Deux exemples :

Dans wireshark je vais dans capture->option, je coche ma carte wlan0 puis je double clic dessus pour ensuite cocher la case capture packet in monitor mode.
Je fais validé puis start et c'est après que j'applique le filtre : eapol.

J'ai également tenté de faire :
airmon-ng start wlan0 => ce qui me donne mon interface mon0 (monitor)
Dans wireshark, je vais dans caputre->option, je coche ma carte mon0 puis je double clic dessus pour ensuite cocher la case capture packet in monitor mode.
Je fais validé puis start

Hors ligne Checkfx

  • Contributeur de Kali-linux.fr
  • Membre sérieux
  • *****
  • Messages: 401
  • +28/-3
  • ! Bazinga
    • Kali Québec
Re : Wireshark et WPA handshake
« Réponse #5 le: 06 décembre 2014 à 18:12:31 »
Est ce que il t'est nécéssaire que ca soit avec wireshark que tu capturere les handshakes ?

Parce que ya toujours la méthode via deauth avec aireplay et airodump pour sauvegarder.

Jdit ca ...jdit rien !

je tenterais dans un terminal et avec wireshark ouvert :

aireplay-ng -0 5 -a BSSID -c mac pc victime mon0

ca va faire déconnecté la station que elle soit mac ou autres ...tu peut aussi ne pas inclure le -c  et  la mac du pc victime...ca déconnectera tous les pc !

Ca devrais facilité ta capture de handshake !
« Modifié: 06 décembre 2014 à 18:17:38 par Checkfx »

Hors ligne coyotus

  • Contributeur de Kali-linux.fr
  • Membre Elite
  • *****
  • Messages: 3798
  • +266/-30
  • IN GNU WE TRUST
    • Groupe d'Utilisateurs de GNU/Linux...
Re : Wireshark et WPA handshake
« Réponse #6 le: 06 décembre 2014 à 18:12:58 »
Essaye ceci avant de lancer ton scan

iw dev wlan0 set monitor

Hors ligne blackndoor

  • Membre Junior
  • *
  • Messages: 15
  • +0/-0
Re : Wireshark et WPA handshake
« Réponse #7 le: 06 décembre 2014 à 18:32:09 »
J'ai tenté de faire la commande indiquée par coyotus mais il faut ajouter un paramètre supplémentaire <flag>

J'ai donc essayé
iw dev wlan0 set monitor none
Error ressource busy

J'ai donc fait :
ifconfig wlan0 down
iw dev wlan0 set monitor none
ifconfig wlan0 up

Lancé wireshark, puis capture - options, sélectionné la carte wlan0 et coché la case capture packet in monitor mode
Lancé le scan mais toujours rien pour mon réseau.

@Checkfx : j'ai également tenté de le faire tel que tu l'indiques mais idem rien, mon mac ne se déconnecte pas du réseau. J'ai beau regarder/reregarder la configuration de ma livebox, je ne vois pas ce qui peut bloquer.

J'abandonne, je réinstalle ma kali :(

Merci pour votre aide

Hors ligne Checkfx

  • Contributeur de Kali-linux.fr
  • Membre sérieux
  • *****
  • Messages: 401
  • +28/-3
  • ! Bazinga
    • Kali Québec
Re : Wireshark et WPA handshake
« Réponse #8 le: 06 décembre 2014 à 18:34:38 »
aucun besoins de réinstaller je doute en ... #$"!%?$& que kali est la cause !

Si tu désire le handshake pour ce que je crois ..... j'utiliserais pas wireshark pour cela ;-)
« Modifié: 06 décembre 2014 à 18:37:43 par Checkfx »

Hors ligne Checkfx

  • Contributeur de Kali-linux.fr
  • Membre sérieux
  • *****
  • Messages: 401
  • +28/-3
  • ! Bazinga
    • Kali Québec
Re : Wireshark et WPA handshake
« Réponse #9 le: 06 décembre 2014 à 18:39:25 »
sur ce tuto que je viens de trouver ... ils utlisent aireplay-ng et une déauthentification comme j'ai indiqué tantot !

http://www.smallnetbuilder.com/wireless/wireless-howto/30278-how-to-crack-wpa-wpa2?showall=&start=2
« Modifié: 07 décembre 2014 à 03:49:03 par Checkfx »

Hors ligne blackndoor

  • Membre Junior
  • *
  • Messages: 15
  • +0/-0
Re : Wireshark et WPA handshake
« Réponse #10 le: 06 décembre 2014 à 18:50:26 »
J'utilise Wireshark pour me familiariser avec. Je fais mumuse.
je me balade sur le net, je me connecte à mes comptes et je décrypte mes trames pour inspecter les communications et voir ce que je peux récupérer comme informations.

Je peux effectivement utiliser airodump et aireplay mais comme indiqué dans mon message précédent, je ne récupère pas le hanshake malgré une deauth total avec aireplay ou un deauth avec cible (-c).

Je ne pense pas que le problème vient de kali car j'arrive à récupérer le handshake d'autre réseau wifi, il n'y a que le mien ou je ne récupère plus le handshake. J'ai beau regarder les filtres actifs de wireshark (tout supprimé) et autres réglages, je ne vois rien..

Hors ligne Checkfx

  • Contributeur de Kali-linux.fr
  • Membre sérieux
  • *****
  • Messages: 401
  • +28/-3
  • ! Bazinga
    • Kali Québec
Re : [en cours] Wireshark et WPA handshake
« Réponse #11 le: 07 décembre 2014 à 03:50:37 »
Tout bêtement ...redémarrer la station Mac change quelque chose ?

C'est biz que ca capte rien !

Hors ligne blackndoor

  • Membre Junior
  • *
  • Messages: 15
  • +0/-0
Re : [en cours] Wireshark et WPA handshake
« Réponse #12 le: 07 décembre 2014 à 11:59:25 »
Oui bien sur, je redémarre le tout à chaque essai.

Ce matin nouveau test :

je lance wireshark sur mon mac avec ma carte wifi en mode monitor.
je lance wireshark sur ma kali avec ma carte alpha en mode monitor.

Puis avec mon iphone, je me connecte au réseau et là bingo j'ai les quatre messages eapol sur mon mac et sur ma kali (incompréhensible d’ailleurs car rien fait de plus qu'hier...)

depuis mon iphone, je me connecte à un ftp, je ping mon routeur etc

Je stoppe wireshark sur mon mac puis sur ma kali.

Je tente de décrypter les trames wireshark sur mon mac => ok, je vois tout
Je tente de décrypter les trames wireshark sur ma kali => rien n'est décrypté..

J'enregistre mes captures wireshark de ma kali dans un fichier : out.pcap
Je transfert le fichier sur mon mac pour l'ouvrir avec wireshark, je tente de décrypter => rien n'est décrypté..

Je n'y comprends plus rien..

Il me reste deux tests à faire :
- enregistrer mes captures wireshark de mon mac, les transférer sur ma kali et tenter de décrypter.
- comparer les captures eapol de mon mac et de ma kali.


Hors ligne c20xh2

  • Membre Junior
  • *
  • Messages: 20
  • +5/-0
Re : [en cours] Wireshark et WPA handshake
« Réponse #13 le: 07 décembre 2014 à 20:37:22 »
Je comprend que tu veut t'amuser avec Wireshark et malheureusement je ne vois pas pourquoi tu as ce problème la.

Par contre si ton but est de capture un handshake sa se fait super facilement avec airodump...


Hors ligne blackndoor

  • Membre Junior
  • *
  • Messages: 15
  • +0/-0
Re : [en cours] Wireshark et WPA handshake
« Réponse #14 le: 07 décembre 2014 à 22:27:28 »
C'est vrai que airodump permet de récupérer le handshake très simplement mais là mon but est de décrypter des trames wifi afin d'analyser le traffic HTTP, FTP etc
Le handshake est nécessaire pour visualiser les trames en clair.

Je m'arrache les cheveux sur ce problème.. Au final je pense que le problème vient soit :
- du routeur qui n’établit pas ce traffic pour toutes les connexions déjà existantes ?
- la perte de trame, qui arrive souvent.