Uso de hardware compatible con modo monitor, en mi caso utilizo una tarjeta de red TP-Link modelo TL-WN722N.
Primer paso:
Ejecutar el comando para activar el modo monitor en la tarjeta de red wlan2:
root@kali: # airmon-ng start wlan2
Realizamos una captura global de redes cercanas para localizar la nuestra:
root@kali: # airodump-ng wlan2mon
Segundo paso:
Seleccionamos nuestra red y hacemos una captura de paquetes sobre ella, con sus respectivos datos de canal "-c 6" y BSSID. y lo guardamos con el parametro "-w"en un archivo llamado "captura_40D8":
root@kali: # airodump-ng -c 6 --bssid E2:41:36:XX:40:D8 -w captura_40D8 wlan2mon
Dejamos pasar unos minutos hasta capturar el handshake producido por algún cliente que se re-autentifica (aparecerá en la parte superior izqueirda de la pantalla) y paramos la captura (Ctl+C):
Tercer paso:
Una vez logrado el handshake, procedemos a ejecutar el comando de desencriptado facilitando nuestras credenciales conocidas con el parámetro "-p" y el archivo de captura generado por airodump-ng:
root@kali: # airdecap-ng -e 'MOVISTAR_40D8' -p 3F7Rv9XXXXXXXXXXXXXX capura_40D8-01.cap
Cuarto paso: A continuación vamos a leer el archivo descrifrado:
root@kali: # tshark -r captura_40D8-01-dec.cap
y podemos comprobar que nos devuelve resoluciones de DNS entre otras cosas que antes estaban encriptadas:
Posible fitro a aplicar para ver sólo trafico IP (filtros modo display):
root@kali: # tshark -r captura_5a_50.cap ip.addr
Ejemplo filtro para filtrar por direcciones de dominio:root@kali: # tshark -r captura_5a_50.cap tcp.port eq 53 or dns
Para volver al modo managed: airmon-ng stop wlan2mon
ResponderEliminar