Necesito ayuda con HCXDUMPTOOL ultima version

[Luisss99]

hola. escribo acá porque necesito la ayuda de alguien que me pueda responder algunas dudas sobre la captura en general con HcxDumpTool.

Soy nuevo con esta herramienta. Juro que estoy googleando mucho y aprendiendo, no es que no lo hago, lo que me pasa es que muchos tutoriales son con versiones viejas, y hay algunos cambios que con otras versiones no están y se me hace una ensalada grande.
estoy usando la última versión 6.3.4. Y la gráfica es distinta a lo que veo en tutoriales.

--¿Me pasarían una línea de comando con la que capturan ustedes a modo de ejemplo?

yo lo uso así
sudo hcxdumptool -o capturaejemplo.pcap -i wlan0
(tambien con -c 1,6,11) (no recuerdo si era -o o -w pero para el ejemplo no importa)


el tema está en que en tutoriales veo que les sale "FOUND PMKID", y yo no veo eso cuando corro hxcdumptool. Y estoy seguro que en alguna de las mas de 30 redes que salen, algun router tiene esa vulnerabilidad que se precisa, alguna vez handshaker me tiró que había un pmkid, o sea, alguno hay.

--¿Me está faltando algún comando?

Necesito saber cuándo ya capturó esos PMKID. Si no me equivoco enable status hacía eso antes, pero ahora ya no está más ese comando, y no se cómo fue reemplazado, o cómo hago para saber cuáles redes largan el pmkid y verlo en el hcxdumptool.

perdón por lo largo. y ojalá alguien me lea JA. saludos.

[notmebug]

--enable_status y "FOUND PMKID" no van más, ahora el estado se indica de la siguiente manera.

Código: php

Legend
real time display:
 R = + AP display:     AP is in TX range or under attack
 S = + AP display:     AUTHENTICATION KEY MANAGEMENT PSK
 P = + AP display:     got PMKID
 1 = + AP display:     got EAPOL M1 (CHALLENGE)
 3 = + AP display:     got EAPOL M1M2M3 (AUTHORIZATION)
 E = + CLIENT display: got EAP-START MESSAGE
 2 = + CLIENT display: got EAPOL M1M2 (ROGUE CHALLENGE)

Podés pasar --rds=1 para que los handshake y PMKID más recientes aparezcan primero.

[Luisss99]

muchas gracias nuevamente.
si no entendí mal, con --rds=1 aquellas redes que tengan el "+" en "1"  ya tengo asegurado que conseguí algo bueno. Porque, si la teoría no me falla, EAPOL M1 es quien contiene el PMKID dentro.
ok. se me había pasado de largo todo esto. ahora voy entendiendo un poco más si es que estoy en lo correcto.

una duda más, y si no me respondo a mi mismo, todo bien, siempre hay alguien que lee y le sirve;
si quisiera igualar a airodump donde se escucha una sola red puntual, en hcxdumptool puedo crear filtros para ciertos bssid. Algo así sería el equivalente, cierto? digo, para no capturar todas las redes.

bueno me voy a poner a probar las redes que nunca tienen clientes a ver cómo me va.
gracias notmebug!

[notmebug]

si la teoría no me falla, EAPOL M1 es quien contiene el PMKID dentro.

El EAPOL M1 contiene el PMKID si el AP entrega este último, lo cual no está garantizado. Por eso su presencia se marca específicamente con "P".

en hcxdumptool puedo crear filtros para ciertos bssid. Algo así sería el equivalente, cierto? digo, para no capturar todas las redes.

Correcto, pero al igual que enable_status, la sintaxis de filtros cambió completamente de como era antes debido a una reestructuración y optimización completa del programa. Ahora hay que crear un filtro en formato BPF y pasarlo en la línea de comandos (más difícil, pero mucho más flexible).

[Luisss99]

Gracias por todo. Esta y las demás respuestas.

[Luisss99]

Hola. Vuelvo con una pregunta.
¿se puede extraer una red de un Pcapng?

Escaneé con Hcxdumptool mucho tiempo y no le puse ningún filtro, o sea capturó todo al pasar durante 5 horas.
Mi duda es si:
Un archivo Pcap o Pcapng que contiene muchas redes dentro, se puede extraer una red en específico y exportar esa Red como un nuevo pcap o pcapng.
gracias de antemano

[badder]

Si, se puede.
Si pesa menos de 20 mb yo siempre lo subo You are not allowed to view links. Register or Login.
Se descarga en formato .hc22000, lo abris con el block de notas y dejas la mac que te interesa, eliminas las otras y guardas el archivo.
Como lo vas a saber si tenes varias? Simple, te van a aparecer varias lineas similares a esta.

Código: php

WPA*02*5611e8c0698671a338a19282c7f82ca4*981e19b508be*3c950972d37f*506572736f6e616c2d3842392d322e3447487a*342de53703125f579503e3eb8cb29984f80c09c878fe7bf916fb801520de167c*0103007502010a0000000000000000002bcb4e0bd98bb765a4d361357cf948993dc7fd268c105ce07807feba18385d111f000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001630140100000fac040100000fac040100000fac028000*02

A vos solo te debe interesar este '981e19b508be' que es la MAC en cuestion que queres filtrar.

Ahora si el .cap es muy grande lo paso por tshark generando un pcapng nuevo mucho mas liviano. O bien usando un GUI en windows como hashcat.launcher, que no solo lo puede convertir sino tambien crackear.

[Luisss99]

uuh buenísimo! excelente info que me has dado.  muchas gracias

[notmebug]

Un archivo Pcap o Pcapng que contiene muchas redes dentro, se puede extraer una red en específico y exportar esa Red como un nuevo pcap o pcapng.

Si abrís el archivo en Wireshark, en Wireless -> WLAN Traffic se puede ver una tabla de todas las redes almacenadas en la captura, seleccionar una de ellas y aplicarla como filtro; una vez hecho eso, ir a Edit -> Mark All Displayed y luego File -> Export Specified Packets y guardar con otro nombre, aclarando en el panel inferior que buscamos exportar los "Marked packets only". Con eso ya tenés un PCAP de la red que elegiste solamente.

[Luisss99]

You are not allowed to view links. Register or Login excelente! Algo así buscaba. Quedarme con los Pcap por si quiero subirlos por ejemplo a Stanev, o acá mismo, en el foro y que el cracker decida. Me sirve para usarlo filtrando redes.
Ambos métodos son re contra útiles saberlos.

Gracias por tanto gente. Esta info siempre le sirve a alguien más también.
saludos.