Pwnagotchi cihazımı 3 saat boyunca farklı güzergahlarda dolaştırdım ve sonuç olarak 96 adet handshake yakaladım. Bu videoda, elde edilen pcap dosyalarının nasıl analiz edildiğini, kaç dosyada handshake, kaç dosyada PMKID bulunduğunu ve Wireshark’da bu paketlerin nasıl incelendiğini adım adım anlatacağım.

1. Pwnagotchi’den Kali Linux’a PCAP Dosyalarının Aktarılması

Pwnagotchi, yakaladığı handshake ve PMKID bilgilerini pcap formatında depolar. Bu dosyalar genellikle cihaz üzerinde /pi/home/handshakes/ klasöründe yer alır. Kali Linux gibi bir analiz ortamına bu dosyaları aktarmak için birkaç yöntem kullanılabilir. Ben burada, Pwnagotchi’nin IP’si 10.0.0.2 olduğunda SCP (Secure Copy Protocol) ile dosya aktarımını anlatacağım.

Dosyaları Kali Linux’a kopyalamak için terminalde şu komutu kullanabilirsiniz:

 scp pi@10.0.0.2:/home/pi/handshakes/* ./

2. PCAP Dosyalarını Otomatik Analiz Eden Script

Yakalanan dosyalar arasında handshake, PMKID ya da boş dosyaları ayırt etmek için basit bir Python scripti hazırladım. Script, klasördeki tüm pcap dosyalarını analiz edip, her dosyada handshake veya PMKID bulunup bulunmadığını kontrol eder. Sonuçları özet olarak verir.

Script Açıklaması:

• scapy kütüphanesi ile pcap dosyalarını okur.

• Handshake için EAPOL (802.1X) paketlerini arar.

• PMKID içeren paketleri filtreler.

• Dosya boş ise bunu da raporlar.

3. Wireshark’da 4-Way Handshake ve PMKID İncelemesi

Yakalanan handshake ve PMKID paketlerini Wireshark ile detaylı incelemek hem protokolü anlamak hem de kırma çalışmalarına hazırlık için çok önemlidir.

4-Way Handshake Nedir?

• Wi-Fi ağına bağlanan istemci ile erişim noktası arasında kimlik doğrulama için 4 aşamalı bir el sıkışma (handshake) sürecidir.

• Bu handshake, WPA/WPA2 şifreleme anahtarlarının değiş tokuşunu sağlar.

• Wireshark’da EAPOL paketleri şeklinde görünür ve her biri 4 paketten oluşur.

• 4 paket başarılı şekilde yakalandığında, bu handshake kırma araçları için kullanılabilir hale gelir.

Wireshark’da 4-Way Handshake Görüntüleme:

• Filtre olarak: eapol yazabilirsiniz.

• 4 ayrı EAPOL paketi sırasıyla görünür.

• Paket detaylarında “Key (Message 1 of 4)”, “Message 2 of 4” gibi notlar yer alır.

• Buradan paketlerin başarılı yakalanıp yakalanmadığı kontrol edilir.

PMKID Nedir?

• PMKID (Pairwise Master Key Identifier), WPA3 ve bazı WPA2 ağlarında kimlik doğrulama bilgisi taşıyan ve erişim noktası tarafından gönderilen bir değer.

• PMKID yakalanırsa, 4-way handshake olmadan bile kırma işlemi yapılabilir.

• Wireshark’da PMKID, RSN Information Element içinde görünür.

• Filtre için: wlan.rsn.pmkid.list veya paket detaylarında RSN IE içinde aranabilir.

Wireshark’da PMKID Görüntüleme:

• PMKID paketleri genellikle “RSN Information Element” başlığı altında bulunur.

• PMKID içeren paketleri tespit etmek için wlan.rsn.pmkid.list filtresi kullanılabilir (Wireshark versiyonuna bağlı olarak).

• PMKID genellikle anahtar doğrulama için kritik bilgi içerir.