Extraire un Handshake WPA d’une capture réseau

Date de publication: 31/10/2019

Bonjour à toutes et à tous !

Aujourd’hui, une astuce toute simple qui vous permettra de gagner du temps lors de vos tests de réseaux sans-fil.

En effet, lors d’un audit de réseau wifi, il arrive parfois de capturer de grosses traces réseau dans le but d’intercepter un Handshake WPA. Le problème est que certains services de “récupération de mot de passe” en ligne sont assez capricieux quand à la taille des traces réseau. Si vous lancez un crack de manière locale, épurer vos fichiers de capture est une bonne pratique d’optimisation du processus.

Pour ce faire, vous n’avez besoin que de l’outil tshark, disponible dans tous les repositories officiels des distributions Linux courantes (Basées sur Debain, RHEL, Arch, etc). Une fois tshark installé, il vous suffit simplement de lancer la commande suivante en veillant à bien remplacer les noms de fichiers :

tshark -r grossesource.cap -Y "eapol || wlan.fc.type_subtype == 0x08" -w petitesortie.cap

Cette commande va lancer tshark en lui important votre fichier source de grande taille, et lui demander de générer un fichier de sortie contenant uniquement le résultat du filtre passé en argument. Ce dernier va permettre d’extraire simplement les trames de type handshake de votre capture réseau.

Cet article est sûrement le plus court que j’ai jamais écrit, mais j’espère qu’il vous aidera lors de vos prochains audits sans-fils :D