Jak odszyfrować zaszyfrowane pakiety WPA2 za pomocą Wireshark?

14

Próbuję odszyfrować moje dane WLAN za pomocą Wireshark. Przeczytałem już i wypróbowałem wszystko na tej stronie, ale bez powodzenia (cóż, wypróbowałem przykładowy zrzut na tej stronie i udało się, ale nie udało mi się z własnymi pakietami).

Złapałem czterokierunkowy uścisk dłoni od innego klienta łączącego się z siecią.

Informacje o mojej sieci są następujące:

  • WPA2-PSK Personal z szyfrowaniem AES
  • SSID: test
  • Hasło: mypass
  • Powyższe informacje dałyby ten wstępny klucz: 58af7d7ce2e11faeab2278a5ef45de4944385f319b52a5b2d82389faedd3f9bf

W Wireshark w Preferencjach -> IEEE 802.11 ustawiłem tę linię jako klucz 1:

wpa-psk:58af7d7ce2e11faeab2278a5ef45de4944385f319b52a5b2d82389faedd3f9bf

Próbowałem różnych opcji „Ignoruj ​​bit ochronny”, ale żadna nie działa.

Co mogłem przeoczyć?

EDYCJA
To jest naprawdę NIESAMOWITE! Mogę teraz odszyfrować pakiety, które idą z / do mojego drugiego laptopa. Ale pakiety przesyłane z / do mojego iPada NIE są odszyfrowywane. Dlaczego nie można odszyfrować pakietów z mojego iPada? Jest w tej samej sieci.

Rox
źródło
1
Jakiego typu nagłówka warstwy łącza użyłeś podczas przechwytywania pakietów?
Spiff
Czy istnieje ryzyko zadawania głupich pytań, czy jesteś pewien, że sieć jest skonfigurowana do trybu wstępnego udostępniania? Według połączonej strony „Tryb korporacyjny odszyfrowywania WPA / WPA2 nie jest jeszcze obsługiwany”.
Wayne Johnston
@Spiff: Zakładam, że jest to Ethernet, ponieważ mogę przechwytywać pakiety, ale wszystkie są odszyfrowane. Zobaczę później tego dnia i wrócę tutaj z odpowiedzią.
Rox
@WayneJohnston: To NIE jest głupie pytanie. :-) Używam WPA2 Personal z AES, więc jest w trybie wstępnego udostępniania.
Rox
4
@ Rox, czy na pewno przeglądasz nieprzetworzone pakiety HTTP, a nie rzeczy przesyłane przez HTTPS? Czy możesz także odszyfrować pakiety za pomocą aircrack-ng? IIRC, powinieneś być w stanie korzystać z pakietów uzyskanych za pomocą Wireshark(w przeciwieństwie do airmon-ngponownego używania ).
Przełom

Odpowiedzi:

3

WPA używa nonce (liczba losowa używana tylko w tej sesji), aby zapewnić świeżość (więc ten sam klucz nie jest używany za każdym razem). W przeciwieństwie do WEP wiadomości dla różnych hostów są szyfrowane przy użyciu innego klucza. Twój iPad używa zupełnie innego klucza niż laptop do szyfrowania / deszyfrowania pakietów (klucze te są generowane na podstawie stałego klucza głównego i innych informacji przy każdym połączeniu z siecią). Zobacz ten artykuł na Wikipedii, aby uzyskać więcej informacji i jako punkt wyjścia.

Drooling_Sheep
źródło
1

Musisz szczególnie uchwycić uścisk dłoni EAPOL sesji, którą chcesz odszyfrować. Nie można przechwycić uścisku dłoni jednego urządzenia, a następnie odszyfrować ruch innego urządzenia. Domyślam się, że kiedy możesz odszyfrować ruch z laptopa, ale nie z iPada, Wireshark przechwycił tylko czterokierunkowy uścisk dłoni laptopa.

Per Knytt
źródło