Wireshark truuks

Reading time: 5 minutes

tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Ondersteun HackTricks

Verbeter jou Wireshark vaardighede

Tutorials

Die volgende tutorials is wonderlik om 'n paar koel basiese truuks te leer:

Geanaliseerde Inligting

Deskundige Inligting

Deur te klik op Analyse --> Deskundige Inligting sal jy 'n oorsig hê van wat in die geanaliseerde pakkette gebeur:

Opgeloste Adresse

Onder Statistieke --> Opgeloste Adresse kan jy verskeie inligting vind wat deur wireshark "opgelos" is soos poort/transport na protokol, MAC na die vervaardiger, ens. Dit is interessant om te weet wat betrokke is in die kommunikasie.

Protokol Hiërargie

Onder Statistieke --> Protokol Hiërargie kan jy die protokolle betrokke in die kommunikasie en data oor hulle vind.

Gesprekke

Onder Statistieke --> Gesprekke kan jy 'n opsomming van die gesprekke in die kommunikasie en data oor hulle vind.

Eindpunte

Onder Statistieke --> Eindpunte kan jy 'n opsomming van die eindpunte in die kommunikasie en data oor elkeen van hulle vind.

DNS inligting

Onder Statistieke --> DNS kan jy statistieke oor die DNS versoek wat gevang is vind.

I/O Grafiek

Onder Statistieke --> I/O Grafiek kan jy 'n grafiek van die kommunikasie vind.

Filters

Hier kan jy wireshark filter vind afhangende van die protokol: https://www.wireshark.org/docs/dfref/
Ander interessante filters:

  • (http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
  • HTTP en aanvanklike HTTPS verkeer
  • (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
  • HTTP en aanvanklike HTTPS verkeer + TCP SYN
  • (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
  • HTTP en aanvanklike HTTPS verkeer + TCP SYN + DNS versoeke

Soek

As jy wil soek vir inhoud binne die pakkette van die sessies, druk CTRL+f. Jy kan nuwe lae by die hoofinligtingsbalk (No., Tyd, Bron, ens.) voeg deur die regterknoppie te druk en dan die kolom te wysig.

Gratis pcap laboratoriums

Oefen met die gratis uitdagings van: https://www.malware-traffic-analysis.net/

Identifisering van Domeine

Jy kan 'n kolom byvoeg wat die Host HTTP koptekst wys:

En 'n kolom wat die Bediener naam van 'n inisiërende HTTPS verbinding byvoeg (ssl.handshake.type == 1):

Identifisering van plaaslike gasheernames

Van DHCP

In die huidige Wireshark moet jy in plaas van bootp soek vir DHCP

Van NBNS

Ontsleuteling van TLS

Ontsleuteling van https verkeer met bediener se privaat sleutel

edit>voorkeur>protokol>ssl>

Druk Wysig en voeg al die data van die bediener en die privaat sleutel (IP, Poort, Protokol, Sleutel lêer en wagwoord)

Ontsleuteling van https verkeer met simmetriese sessiesleutels

Sowel Firefox as Chrome het die vermoë om TLS sessiesleutels te log, wat met Wireshark gebruik kan word om TLS verkeer te ontsleutel. Dit stel in-diepte analise van veilige kommunikasies moontlik. Meer besonderhede oor hoe om hierdie ontsleuteling uit te voer, kan in 'n gids by Red Flag Security gevind word.

Om dit te detecteer, soek binne die omgewing vir die veranderlike SSLKEYLOGFILE

'n Lêer van gedeelde sleutels sal soos volg lyk:

Om dit in wireshark te invoer, gaan na _wysig > voorkeur > protokol > ssl > en voer dit in (Pre)-Master-Secret log lêernaam:

ADB kommunikasie

Onthaal 'n APK uit 'n ADB kommunikasie waar die APK gestuur is:

python
from scapy.all import *

pcap = rdpcap("final2.pcapng")

def rm_data(data):
splitted = data.split(b"DATA")
if len(splitted) == 1:
return data
else:
return splitted[0]+splitted[1][4:]

all_bytes = b""
for pkt in pcap:
if Raw in pkt:
a = pkt[Raw]
if b"WRTE" == bytes(a)[:4]:
all_bytes += rm_data(bytes(a)[24:])
else:
all_bytes += rm_data(bytes(a))
print(all_bytes)

f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()

tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Ondersteun HackTricks