Как конвертировать рукопожатие (хендшейк) в новый формат Hashcat. Решение проблемы «Old hccap file format detected! You need to update»


Если вы взламываете пароль Wi-Fi в Hashcat, то вы знаете, что Hashcat не может работать напрямую с файлами сетевого захвата (.cap или .pcap), эти файлы нужно конвертировать в специальный формат Hashcat. Для конвертации в формат в формат .hccap обычно использовалась связка из программ wpaclean (для очистки лишних данных) и aircrack-ng (для самой конвертации). Но в новых версия Hashcat при попытке подобрать пароль к файлу .hccap нас встречает ошибка:

Old hccap file format detected! You need to update:

Начнём с небольшой предыстории. Обычно используемые для конвертации файлов рукопожатий в формат Hashcat программы aircrack-ng и cap2hcap не проверяют атрибут счетчика повторов, который используется для различения разных рукопожатий WPA для одной и той же точки доступа и станции. По крайней мере, они не делают это правильно. Результатом становится то, что может получиться .hccap файл, который выглядит корректным, но никогда не будет взломам, даже если в вашем словаре имеется верный пароль.

Особенно если вы запускаете атаку деаутентификации для ускорения процесса захвата рукопожатия, то возможен параллельный запуск нескольких одновременных WPA рукопожатий (и их захват) от одной и той же ТД и Станции. Каждое из них будет иметь различные nonce (случайные данные), которые являются частью расчёта, которые выполняет hashcat для верификации, является ли кандидат в пароли корректным или нет. Для осуществления успешной верификации важно использовать корректный nonce , а чтобы это было так, важно правильно проверить соответствие пакетов рукопожатия.

Об этой проблеме atom (автор hashcat) сообщил команде Aircrack-NG: http://trac.aircrack-ng.org/ticket/651

Поскольку этот тикет открыт 8 лет назад и последние изменения в cap2hccap делались 3 года назад, atom решил написать его собственный конвертер. В данный момент конвертер закончен и называется "cap2hccapx". Он добавлен в качестве нового инструмента в hashcat-utils.

cap2hccapx делает проверку, не было ли составлено рукопожатие из нескольких.

Для взлома пароля, как известно, применяется захваченное т.н. четырёхэтапное рукопожатие (хендшейк). Оно состоит из четырёх элементов. Но не все эти элементы являются обязательным для взлома пароля. Теперь hashcat умеет взламывать и неполные хендшейки (так называемые WPA2 Half Handshake).

Эти новые возможности (точнее, новая информация) заставили создать новый формат захвата для hashcat. Разработчики назвали его "hccapx". Подробности о нём вы найдёте здесь: https://hashcat.net/wiki/hccapx (и если хотите, вы можете сравнить его со старым форматом hccap https://hashcat.net/wiki/hccap).

В общем, было добавлено несколько новых записей, позволяющих hashcat определить, является ли файл рукопожатия валидным (добавлена "HCPX" в начало файла), добавлена версия о формате и, конечно, информация о том, была ли аутентификация успешной и, следовательно, было ли захвачено третье сообщение (третий элемент рукопожатия). Если рукопожатие является полным, то hashcat будет взламывать два типа записей из рукопожатия. Это не потребует дополнительных затрат, поскольку вся верификация делается после медленной части PBKDF-HMAC-SHA1.

Формат hccapx является новым. Конечно у вас в архивах много файлов .hccap. Но без сделанных изменений нельзя было быть уверенным даже в том, что конвертированные в хеш данные вообще поддаются взлому из-за отсутствующих проверок и неправильных алгоритмов сопоставления. По этой причине абсолютно не имеет смысла конвертировать из hccap в hccapx.

Если вы использовали старый онлайн конвертер, обновите вашу ссылку на: https://hashcat.net/cap2hccapx/


Если вы предпочитаете конвертировать файлы захвата (рукопожатия) в формат hashcat у себя на компьютере, то давайте познакомимся поближе с утилитой cap2hccapx. Как уже было сказано, она является частью пакета hashcat-utils.

Инструмент используется для генерации файлов .hccapx из файлов сетевого захвата (.cap или .pcap) для взлома WPA/WPA2 аутентификаций. Файлы .hccapx используются как ввод для типа хеша -m 2500 = WPA/WPA2.

Дополнительные опции позволяют вам указать имя сети (ESSID) для фильтрации нежелательных сетей и для предоставления cap2hccapx подсказки о имени сети (ESSID) и MAC адресе точки доступа (BSSID) если не было захвачено маячков (beacon).

Использование:

./cap2hccapx.bin input.pcap output.hccapx [фильтрация по essid] [дополнительная сеть essid:bssid]

В Kali Linux и в BlackArch hashcat-utils утилиты имеются в стандартных репозиториях и даже предустановлены в системы. Тем не менее, на момент написания там присутствуют старые версии, в которых программа cap2hccapx ещё не добавлена.

Пакет hashcat-utils является портативным и кроссплатформенным.

Можно скачать бинарные файлы здесь: https://github.com/hashcat/hashcat-utils/releases

После скачивания достаточно распаковать архив и запускать требуемые файлы *.bin или .exe для Windows.

Либо установить из исходных кодов.


git clone https://github.com/hashcat/hashcat-utils.git
cd hashcat-utils/src/
make
sudo mv *.bin /usr/local/bin/
sudo cp -a *.pl /usr/local/bin/

Если в файле захвата (сохранён с именем RT-726940.cap) содержится только одно рукопожатие и я хочу конвертировать его в формат hashcat для взлома Wi-Fi пароля в файл с именем output.RT-726940.hccapx, то моя команда выглядит:

cap2hccapx.bin RT-726940.cap output.RT-726940.hccapx

Программа напишет что-то вроде:

Networks detected: 1

[*] BSSID=c4:a8:1d:64:24:38 ESSID=RT-726940 (Length: 9)
 --> STA=40:45:da:b9:3a:eb, Message Pair=0, Replay Counter=6

Written 1 WPA Handshakes to: output.RT-726940.hccapx

Рассмотрим другой случай – когда в файле захвата (/home/mial/autopwner.cap) присутствует несколько рукопожатий

pyrit -r "/home/mial/autopwner.cap" analyze

Можно увидеть, что имеется рукопожатия для точек доступа RT-714241 и для RT-727674.

Если меня интересует рукопожатие только для точки доступа RT-714241 и я хочу сохранить хеш для взлома пароля в файл output.RT-714241.hccapx, то моя команда будет выглядеть так:

cap2hccapx.bin /home/mial/autopwner.cap output.RT-714241.hccapx RT-714241

Соответственно, если меня интересуют рукопожатия только для RT-727674, то команда превращается в:

cap2hccapx.bin /home/mial/autopwner.cap output.RT-714241.hccapx RT-727674

Если мне нужны все хеши рукопожатий, то это можно сделать так:

cap2hccapx.bin /home/mial/autopwner.cap all.hccapx

Как в aircrack-ng конвертировать в формат Hashcat

aircrack-ng имеет две опции для конвертации в старый и новый формат Hashcat:

      -j <ФАЙЛ>  : создаёт файл Hashcat v3.6+ (HCCAPX)
      -J <ФАЙЛ>  : создаёт файл Hashcat (HCCAP)

Команда для конвертации имеет вид:

aircrack-ng -j ХЕШ ХЕНДШЕЙК

Обратите внимание, что первым идёт имя хеша, в который будет сконвертирован хендшейк. Причём указывать расширение .hccapx не нужно — оно будет добавлено автоматически.

Следующая команда конвертирует захваченное рукопожатие RT-725140.pcap в носовую версию хеша для взлома в последних Hashcat и сохранит его в файл с именем RT-725140.hccapx:

sudo aircrack-ng -j RT-725140 RT-725140.pcap



Рекомендуется Вам:

15 комментариев to Как конвертировать рукопожатие (хендшейк) в новый формат Hashcat. Решение проблемы «Old hccap file format detected! You need to update»

  1. Cord:
    /cap2hccapx.bin capture-02.cap output.capture-02.hccapx
    bash:/cap2hccapx.bin: No such file or directory

    привет, помоги почему не получаеться??

    в чём я ошибся

  2. Cord:

    hashcat-utils/ - находится в корне ,

    если хочу конвертировать в папке bin , не видит capture-02cap

    • Alexey:

      Я подправил инструкцию. Удалите каталог hashcat-utils. После этого для установки выполните:

      git clone https://github.com/hashcat/hashcat-utils.git
      cd hashcat-utils/src/
      make
      sudo mv *.bin /usr/local/bin/
      sudo cp -a *.pl /usr/local/bin/

      После этого cap2hccapx.bin можно запускать из любого места. Не нужно переходить в каталог ~/bin и не нужно ставить ./

      Если не будет видеть файл с рукопожатием (capture-02cap), то или перейдите в папку с этим файлом, либо в строке команды укажите абсолютный путь до него, например, /root/capture-02cap или /home/user/capture-02cap и т.д.

  3. Cord:

    Спасибо

     

  4. Mover:

    У меня в cap файле 15 рукопожатий. Как вычленить 13 из них в 1 файл?

  5. Lexa:

    привет , есть файл q.cap в нем не указано имя сети.  "для предоставления cap2hccapx подсказки о имени сети (ESSID) и MAC адресе точки доступа (BSSID) если не было захвачено маячков (beacon)."  покажите пример как скормить программе имя сети и мак адресс . интересует синтаксис

  6. Alexey:

    Там же дальше всё написано:

    ./cap2hccapx.bin input.pcap output.hccapx [фильтрация по essid] [дополнительная сеть essid:bssid]

    Здесь:

    • essid — имя сети
    • bssid — MAC-адрес сети

    Квадратные скобки означают, что данные в них являются опциональными (их можно пропустить).

    Таким образом, эта запись означает, что возможны 3 варианта синтаксиса:

    ./cap2hccapx.bin input.pcap output.hccapx

    ./cap2hccapx.bin input.pcap output.hccapx ESSID

    ./cap2hccapx.bin input.pcap output.hccapx ESSID:BSSID

    Поскольку в вашем файле отсутствует и имя сети (ESSID) и MAC-адрес (BSSID), то вам нужно использовать третий вариант. После файлов ввода и вывода, нужно указать имя и MAC разделив их двоеточием. Причём формат должен быть таким: MyESSID:d110391a58ac. Допустим, имя сети MiAl, а её MAC это 00:11:22:33:44:55, тогда команда будет выглядеть так:

    ./cap2hccapx.bin input.pcap output.hccapx MiAl:001122334455

    То есть из MAC-адреса нужно убрать двоеточия.

  7. saroman:

    Я перехватил хндшейк wpa2. В нем четыре пакета данных, сохранен в файл xxx.cap, хендшейк прекрасно расшифровывается в aircrack-ng, но почему-то не могу его конвертировать ни одной утилитой, пишет что сетей не обнаружено. Для хешката нужны какие-то другие хеши? нигде не описано как добывать хеш впа2 для хешкета.

    • Alexey:

      Если aircrack-ng «прекрасно расшифровывает», то эта же самая aircrack-ng сможет прекрасно конвертировать, в том числе в новый формат Hashcat. К этой статье я добавил новый раздел «Как в aircrack-ng конвертировать в формат Hashcat», в нём написано, как это сделать.

  8. Eduard:

    добрый день,

    как объединить несколько .hccapx в один? что бы в одном файле были все хеши. 

    инструкция есть тут:

     https://hashcat.net/wiki/doku.php?id=frequently_asked_questions#how_can_i_crack_multiple_wpa_handshakes_at_once

    у меня не получилось правельно прописать эти команды. 

    • Alexey:

      Приветствую, что именно не получается, какие ошибки?

      Команда для Linux:

      cat single_hccapxs/*.hccapx > all_in_one/multi.hccapx

      Команда для Windows:

      copy /b single_hccapxs\*.hccapx all_in_one\multi.hccapx

      В этих командах:

      • single_hccapxs — название папки, где лежат хеши (если вы перешли в папку, где они находятся, то можно не указывать)
      • *.hccapx — означает все файлы с расширением .hccapx
      • > — символ перенаправления
      • all_in_one — название папки, куда будет помещён новый файл со всеми хешами. Эта папка должна существовать, поэтому создайте её заранее
      • multi.hccapx — имя нового файла, где будут собраны хеши

      Отредактируйте название папок, создайте папку для нового файла и, думаю, всё получится, команды элементарные, даже не знаю, что ещё по ним сказать.

  9. VAN4K:

    Привет, не могу никак конвертировать, можешь пожалуйста подсказать что я не так делаю.

    Вот команда: MacBook-Air-admin:src admin$ ./cap2hccapx.bin /var/tmp/MacBook Air — admin_ch11_2022-01-03_11.15.39.060.pcap /var/tmp/output.hccapx TP-LINK_3A0789:10feed3a0789

    А вот что выводит в итоге: usage: ./cap2hccapx.bin input.pcap output.hccapx [filter by essid] [additional network essid:bssid]

    Насколько я понял у меня не правильный синтаксис, подскажи пожалуйста где ошибка.

    • Alexey:

      Приветствую! Попробуйте поместить пути до файлов в кавычки, например так:

      ./cap2hccapx.bin '/var/tmp/MacBook Air — admin_ch11_2022-01-03_11.15.39.060.pcap' '/var/tmp/output.hccapx TP-LINK_3A0789:10feed3a0789'

      Или переименуйте файлы так, чтобы их имена и пути до них не содержали пробелы и другие специальные символы.

  10. Аноним:

    Здравствуйте, у меня проблема. Что делать, если hashcat пишет  Hashfile 'mac.hccapx' on line 1 (HCPX): Separator unmatched несколько раз, а потом No hashes loaded. и закрывается. Всё было до этого нормально, ловил хендшейки через airgeddon.

Добавить комментарий для Mover Отменить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *