Como descriptografar pacotes criptografados WPA2 usando o Wireshark?

14

Estou tentando descriptografar meus dados WLAN com o Wireshark. Eu já li e tentei tudo nesta página, mas sem sucesso (bem, tentei o exemplo de despejo nessa página e consegui, mas falhei com meus próprios pacotes).

Peguei o handshake de quatro direções de outro cliente conectado à rede.

Minhas informações de rede são as seguintes:

  • WPA2-PSK Personal com criptografia AES
  • SSID: teste
  • Senha: mypass
  • As informações acima dariam essa chave pré-compartilhada: 58af7d7ce2e11faeab2278a5ef45de4944385f319b52a5b2d82389faedd3f9bf

No Wireshark, em Preferências -> IEEE 802.11, configurei esta linha como Chave 1:

wpa-psk:58af7d7ce2e11faeab2278a5ef45de4944385f319b52a5b2d82389faedd3f9bf

Eu tentei as diferentes opções de "Ignorar o bit de proteção", mas nenhuma funciona.

O que eu poderia ter perdido?

EDITAR
Isso é realmente uma coisa estranha! Agora posso descriptografar os pacotes que estão indo de / para meu outro laptop. Mas os pacotes que vão do / para o meu iPad NÃO são descriptografados. Por que os pacotes do meu iPad não podem ser descriptografados? Está na mesma rede.

Rox
fonte
1
Que tipo de cabeçalho da camada de link você usou ao capturar os pacotes?
Spiff
Correndo o risco de fazer uma pergunta idiota, você tem certeza de que a rede está configurada para o modo pré-compartilhado? De acordo com a página vinculada "A descriptografia do modo corporativo WPA / WPA2 ainda não é suportada".
Wayne Johnston
@ Spiff: Presumo que seja Ethernet porque posso capturar pacotes, mas todos são descriptografados. Vou dar uma olhada mais tarde neste dia e retornar aqui com a resposta.
Rox
@WayneJohnston: NÃO é uma pergunta idiota. :-) Estou usando o WPA2 Personal com o AES, portanto ele está no modo pré-compartilhado.
Rox
4
@Rox tem certeza de que está visualizando pacotes HTTP brutos, e não material enviado por HTTPS? Além disso, você pode descriptografar os pacotes usando aircrack-ng? IIRC, você poderá usar os pacotes obtidos com Wireshark(em vez de usar airmon-ngnovamente).
Breakthrough

Respostas:

3

O WPA usa um nonce (número aleatório usado apenas para esta sessão) para fornecer atualização (para que a mesma chave não seja usada sempre). Ao contrário do WEP, as mensagens para diferentes hosts são criptografadas usando uma chave diferente. Seu iPad está usando uma chave completamente diferente do seu laptop para descriptografar os pacotes (essas chaves são geradas a partir da chave mestra permanente e de outras informações sempre que você se conectar à rede). Veja este artigo da Wikipedia para mais detalhes e como ponto de partida.

Drooling_Sheep
fonte
1

Você precisa capturar especificamente o handshake EAPOL da sessão que deseja descriptografar. Você não pode capturar o handshake de um dispositivo e descriptografar o tráfego de outro dispositivo. Então, meu palpite é que, quando você pode descriptografar o tráfego do seu laptop, mas não do iPad, o Wireshark captura apenas o aperto de mão em quatro direções do laptop.

Per Knytt
fonte