Os pacotes de rede que desejo descriptografar usam nome de usuário e senha para fazer login com EAP-PEAP. Não em um portal cativo. Onde eu colocaria o nome de usuário ao descriptografar pacotes de rede. Eu posso obter os apertos de mão.
AskOverflow.Dev
Lugar algum.
Capturar o handshake PEAP é inútil, pois a chave de sessão para EAP-TLS , EAP-PEAP , EAP-TTLS é derivada do segredo mestre TLS, que é protegido pelo handshake TLS - é o mesmo que nas conexões HTTPS e fornece o mesmo nível de segurança contra monitoramento. 1
O handshake TLS não tem relação com o nome de usuário ou a senha, portanto, conhecê-los também não ajuda.
(Em casos raros, pode ser descriptografado usando o certificado/chave do servidor RADIUS, mas provavelmente a maioria dos handshakes TLS usa apenas a troca de chaves DH.)
Portanto, sua única opção é obter a chave do próprio servidor RADIUS (por exemplo, ativar o registro detalhado - as chaves são entregues ao ponto de acesso e, portanto, podem ser encontradas em
MS-MPPE-*-Keyatributos. Em seguida, você pode adicionar as chaves como PSK bruto .As chaves "Raw" EAP-MSCHAPv2 (sem proteção EAP-TLS) são derivadas do hash da senha e do 'NtResponse' encontrado no handshake. (Mas não o nome de usuário.) Você provavelmente pode calcular o PSK resultante usando várias ferramentas do Linux e adicioná-lo ao Wireshark (novamente como wpa-psk), mas o próprio Wireshark não é capaz de fazer isso.
(Não que você deva ver WPA-Enterprise sem EAP-TLS em primeiro lugar, mas...)
1 (Desde que o cliente verifique o certificado. Caso contrário, ele estará vulnerável a ataques MITM ativos (pontos de acesso não autorizados), mas ainda não à interceptação passiva.)