Как конвертировать рукопожатие (хендшейк) в новый формат Hashcat. Решение проблемы «Old hccap file format detected! You need to update»

Если вы взламываете пароль Wi-Fi в Hashcat, то вы знаете, что Hashcat не может работать напрямую с файлами сетевого захвата (.cap или .pcap), эти файлы нужно конвертировать в специальный формат Hashcat. Для конвертации в формат в формат .hccap обычно использовалась связка из программ wpaclean (для очистки лишних данных) и aircrack-ng (для самой конвертации). Но в новых версия Hashcat при попытке подобрать пароль к файлу .hccap нас встречает ошибка:

Old hccap file format detected! You need to update:

Начнём с небольшой предыстории. Обычно используемые для конвертации файлов рукопожатий в формат Hashcat программы aircrack-ng и cap2hcap не проверяют атрибут счетчика повторов, который используется для различения разных рукопожатий WPA для одной и той же точки доступа и станции. По крайней мере, они не делают это правильно. Результатом становится то, что может получиться .hccap файл, который выглядит корректным, но никогда не будет взломам, даже если в вашем словаре имеется верный пароль.

Особенно если вы запускаете атаку деаутентификации для ускорения процесса захвата рукопожатия, то возможен параллельный запуск нескольких одновременных WPA рукопожатий (и их захват) от одной и той же ТД и Станции. Каждое из них будет иметь различные nonce (случайные данные), которые являются частью расчёта, которые выполняет hashcat для верификации, является ли кандидат в пароли корректным или нет. Для осуществления успешной верификации важно использовать корректный nonce , а чтобы это было так, важно правильно проверить соответствие пакетов рукопожатия.

Об этой проблеме atom (автор hashcat) сообщил команде Aircrack-NG: http://trac.aircrack-ng.org/ticket/651

Поскольку этот тикет открыт 8 лет назад и последние изменения в cap2hccap делались 3 года назад, atom решил написать его собственный конвертер. В данный момент конвертер закончен и называется "cap2hccapx". Он добавлен в качестве нового инструмента в hashcat-utils.

cap2hccapx делает проверку, не было ли составлено рукопожатие из нескольких.

Для взлома пароля, как известно, применяется захваченное т.н. четырёхэтапное рукопожатие (хендшейк). Оно состоит из четырёх элементов. Но не все эти элементы являются обязательным для взлома пароля. Теперь hashcat умеет взламывать и неполные хендшейки (так называемые WPA2 Half Handshake).

Эти новые возможности (точнее, новая информация) заставили создать новый формат захвата для hashcat. Разработчики назвали его "hccapx". Подробности о нём вы найдёте здесь: https://hashcat.net/wiki/hccapx (и если хотите, вы можете сравнить его со старым форматом hccap https://hashcat.net/wiki/hccap).

В общем, было добавлено несколько новых записей, позволяющих hashcat определить, является ли файл рукопожатия валидным (добавлена "HCPX" в начало файла), добавлена версия о формате и, конечно, информация о том, была ли аутентификация успешной и, следовательно, было ли захвачено третье сообщение (третий элемент рукопожатия). Если рукопожатие является полным, то hashcat будет взламывать два типа записей из рукопожатия. Это не потребует дополнительных затрат, поскольку вся верификация делается после медленной части PBKDF-HMAC-SHA1.

Формат hccapx является новым. Конечно у вас в архивах много файлов .hccap. Но без сделанных изменений нельзя было быть уверенным даже в том, что конвертированные в хеш данные вообще поддаются взлому из-за отсутствующих проверок и неправильных алгоритмов сопоставления. По этой причине абсолютно не имеет смысла конвертировать из hccap в hccapx.

Если вы использовали старый онлайн конвертер, обновите вашу ссылку на: https://hashcat.net/cap2hccapx/

Если вы предпочитаете конвертировать файлы захвата (рукопожатия) в формат hashcat у себя на компьютере, то давайте познакомимся поближе с утилитой cap2hccapx. Как уже было сказано, она является частью пакета hashcat-utils.

Инструмент используется для генерации файлов .hccapx из файлов сетевого захвата (.cap или .pcap) для взлома WPA/WPA2 аутентификаций. Файлы .hccapx используются как ввод для типа хеша -m 2500 = WPA/WPA2.

Дополнительные опции позволяют вам указать имя сети (ESSID) для фильтрации нежелательных сетей и для предоставления cap2hccapx подсказки о имени сети (ESSID) и MAC адресе точки доступа (BSSID) если не было захвачено маячков (beacon).

Использование:

./cap2hccapx.bin input.pcap output.hccapx [фильтрация по essid] [дополнительная сеть essid:bssid]

В Kali Linux и в BlackArch hashcat-utils утилиты имеются в стандартных репозиториях и даже предустановлены в системы. Тем не менее, на момент написания там присутствуют старые версии, в которых программа cap2hccapx ещё не добавлена.

Пакет hashcat-utils является портативным и кроссплатформенным.

Можно скачать бинарные файлы здесь: https://github.com/hashcat/hashcat-utils/releases

После скачивания достаточно распаковать архив и запускать требуемые файлы *.bin или .exe для Windows.

Либо установить из исходных кодов.

git clone https://github.com/hashcat/hashcat-utils.git
cd hashcat-utils/src/
make
sudo mv *.bin /usr/local/bin/
sudo cp -a *.pl /usr/local/bin/

Если в файле захвата (сохранён с именем RT-726940.cap) содержится только одно рукопожатие и я хочу конвертировать его в формат hashcat для взлома Wi-Fi пароля в файл с именем output.RT-726940.hccapx, то моя команда выглядит:

cap2hccapx.bin RT-726940.cap output.RT-726940.hccapx

Программа напишет что-то вроде:

Networks detected: 1

[*] BSSID=c4:a8:1d:64:24:38 ESSID=RT-726940 (Length: 9)
 --> STA=40:45:da:b9:3a:eb, Message Pair=0, Replay Counter=6

Written 1 WPA Handshakes to: output.RT-726940.hccapx

Рассмотрим другой случай – когда в файле захвата (/home/mial/autopwner.cap) присутствует несколько рукопожатий

pyrit -r "/home/mial/autopwner.cap" analyze

Можно увидеть, что имеется рукопожатия для точек доступа RT-714241 и для RT-727674.

Если меня интересует рукопожатие только для точки доступа RT-714241 и я хочу сохранить хеш для взлома пароля в файл output.RT-714241.hccapx, то моя команда будет выглядеть так:

cap2hccapx.bin /home/mial/autopwner.cap output.RT-714241.hccapx RT-714241

Соответственно, если меня интересуют рукопожатия только для RT-727674, то команда превращается в:

cap2hccapx.bin /home/mial/autopwner.cap output.RT-714241.hccapx RT-727674

Если мне нужны все хеши рукопожатий, то это можно сделать так:

cap2hccapx.bin /home/mial/autopwner.cap all.hccapx

Рекомендуется Вам:

6 комментариев to Как конвертировать рукопожатие (хендшейк) в новый формат Hashcat. Решение проблемы «Old hccap file format detected! You need to update»

  1. Cord:
    /cap2hccapx.bin capture-02.cap output.capture-02.hccapx
    bash:/cap2hccapx.bin: No such file or directory

    привет, помоги почему не получаеться??

    в чём я ошибся

  2. Cord:

    hashcat-utils/ - находится в корне ,

    если хочу конвертировать в папке bin , не видит capture-02cap

    • Alexey Alexey:

      Я подправил инструкцию. Удалите каталог hashcat-utils. После этого для установки выполните:

      git clone https://github.com/hashcat/hashcat-utils.git
      cd hashcat-utils/src/
      make
      sudo mv *.bin /usr/local/bin/
      sudo cp -a *.pl /usr/local/bin/

      После этого cap2hccapx.bin можно запускать из любого места. Не нужно переходить в каталог ~/bin и не нужно ставить ./

      Если не будет видеть файл с рукопожатием (capture-02cap), то или перейдите в папку с этим файлом, либо в строке команды укажите абсолютный путь до него, например, /root/capture-02cap или /home/user/capture-02cap и т.д.

  3. Cord:

    Спасибо

     

  4. Mover:

    У меня в cap файле 15 рукопожатий. Как вычленить 13 из них в 1 файл?

Добавить комментарий

Ваш e-mail не будет опубликован.