用Wireshark提取WPA握手包

1、用 Wireshark 提取 WPA!手包進入正文前，先來看一張截圖，如圖1,使用"aircrack -ng wpa.cap - wpassword.lst "命令后，程序會提示輸入待破解網(wǎng)絡(luò)的序號，此時只要提供一個序號即可。注意：1：命令中不需要輸入麻煩的 ESSID; 2:存在一個非 WP所日密的ESSID。當你想把含有WP熊手包的CA以件分享給別人的時候，你可能會發(fā)現(xiàn)CA電是如此的巨大， 實際上，對于aircrack-ng 程序而言，CA電中實際需要的信息可能還不超過10KB,如何將這些信息提取出來呢？從CAP文件中提取WPA勺握手包實際上就是提取EAPOL( LAN

2、上的EAR 協(xié)議包，在 Wireshark的Filter 中輸入“ eapol ”即可獲得，如圖 2：箕傍昌I R申徐益客丑盲日做0紋曰» 0eapolEdit Vi e* Go Capture Mtalyift Statistics Helpm_J Chwxtel OffseT FCS Filter：Decryption Mode；Hone802 ： £ 1 ChsimelTimeSourceDestinationProtocolInfo4530 4533 4555 4 5bl71117113 711571179581 95829597 9593 齡OQ 5602166,

3、137372166.258042 167.204779 167*209413 259.979512260.002039260.005635 260.009726 347.894021 347.895556348,607291348.611395 346*61457 348,617540Tp-LinkT_'m Azure/av_ Tp-LlnkT_ Azurewav_ 00b0：0c： Azurwav_ Azurewav_ A2urewav_ Azurewv_ Azur ewav_ Tp-LinkT_ Azurewav_ Tp-Li nkT_& Azurewav_I 卜-L I

4、if I .EAFULstart： Azurewav_ 中 Tp-LinkT Aurewav, Tp-LlnkT_ . Azurewav ooibo：o< 00:bo:Og 00:bo :0c Tp-Link T. Tp-LinkT Azurev/av Tp-Li nkT Azurewav, Tp-LinkT-1 IHI1 ' .4H «.npmH.癡.，,EAPOLEAPOLEAPOLEAPOLEAPOLEAPOLEAPOLEAPOLEAPOLEAPOLEAPOLEAPOLEAPOLEAPOLKeyKeyKeyKeyKey startKeyKey start star

5、t KeyKeyKeyKey+ Frame 4528 (37 bytas on wire, 37 bytes captured)+ IEEE 802.11 Data, Flags: t+ Logical-Link controlyir f C<，f二=_1il IFro£il«: Default但這樣獲得的 CAP文件用aircrack-ng打開會發(fā)現(xiàn)丟失了 ESSID,注意：那個非 WPAm密的ESSID已經(jīng)消失了，如圖 3:解決的方法：保留 CAP包中的Beacon frame，更改Filter 為："eapol orwlan.fc.type_subty

6、pe = 0x08,其中，"0x08”為 Subtype ,即："Beacon framevpa. cap - Vireshark如圖4:File Edi. t ¥i ew Gd Capture Analyze Statistics HelpX 8*仲幼辱殳,IB®1似0我巳！ a國陋喘|eapol or wl an.fc.type_$ubtype = 0x08802. 11 Ch孫n叫 Chaiutel Offse | | FCS Filter：Decrypt!on Mode； HoneSourceDestinationProtocolInfo4 52

7、8 4530 45翌4 5 5 D4 561 G72S 7111711371157117854 9 9581 9S829597 riE r>&166,159233187372166.258042167*204779167.209413232.285686259*979512260.002039260.005635260*009725311,611376347.894021347.895556348,607291口 si i 7 n i;Azureww Tp-LinkT_ ， Azurewv_ : Tp-LinkT_ Azurewav. Od:bO:Oc: 00:bo :0c: A

8、2urewav_ Azurewav_ Azur ewav_ Tp-Lir»kT_ Azurewav_ Azurewav_ Tp-LinkT_ « A F IH- f W ' 1 fJ。 TALThBr oacicasrIEEEBeacon frame. SN<Tp-LinkT_I Azurev/av. 叩心nkT_ Azurewav_ Tp-LlnkT. Br oadcast Azurewav_ 00:bO:0c： OOibO:Oc: 00; t)O :0c: Broadcast Tp-LinkT_ Tp-LinkT_ Asurev/av_ - "F

9、n I -1 T/TEAPOL EAPOL EAPOLEAPOLEAPOLIEEE 802EAPOLEAPOLEAPOLEAPOLIEEE 802EAPOLEAPOL EAPOL l a n/%1startKeyKeyKeyKeyBeacon frame, 5N=1KeyStartKeyKeyBeacon frame, SNCstartstartKeyI-再次運行aircrack-ng，發(fā)現(xiàn)已經(jīng)恢復(fù)了ESSID,如圖5:此時CA電的體積已經(jīng)小了很多了。當然，也可以進一步將 EAPOL-STA電去掉，更改Filter為： "(eapol and eapol.type != 1) or

10、wlan.fc.type_subtype = 0x08”, 其中，"type !=1”意思是丟掉 STAR包，但這樣寫 Wireshark會給出一個警告，解決方法：只保留包含KEY信息的包，更改 Filter 為："eapol.type = 3 or wlan.fc.type_subtype = 0x08其中,“3”為KEY信息包的 Subtype。如圖6:TimeProtocolInfoEr LdEcLn ;I ttE ou2 Ei.d.uri rint,三NDestinationSotir ce4530 4533 4555 4 561 6728 7111 7115711

11、7 8549 9597 95 98 9600 9602166,137372 1.258042 167.204779 167*209413 232.285686 259.979512 26C.005635 260.009726 311.611376 346*607291 348.611395 348.614457 346*617510一 IM,，Tp-Li nkT_ Azurewav. Tp-Li nkT_ Azurewav. 00:b0：0cj oo：bo：oc： Azurewav. Azurewav. Tp-LinkT_ Tp-Li nkT_ Azurev/av. Tp-LinkT_ Azu

12、rewav.Azurewav_ ，Tp-LinkT_Tp-LlnkT_Broadcast Azurwav, 00:bO:0c:ao：bo：0ciBroadcastAzurewav_ Tp-LinkT_ Azurewav,Tp-LinkT_MHEAPOLEAPOLEAPOLEAPOLIEEE 802EAPOLEAPOLEAPOLIEEE 802EAPOLEAPOLEAPOLEAPOL十 Frame 1 (173 bytes on *ire? 173 bytes captured)+ IEEE 802.11 Beacon frame, Ea.qs:S!KeyKeyKeyKeyGeacon frame, SN-1KeyKeyKeyBeacon frame, sm=CKeyKeyKeyKey0000n ht nr if- - im m0010.1 心 m V h h L HE j0020v U Uaf _"J_ , _ nywiGnL.，J