HackTricksWireshark tricks
Reading time: 5 minutes
tip
Μάθετε & εξασκηθείτε στο AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Υποστηρίξτε το HackTricks
- Ελέγξτε τα σχέδια συνδρομής!
- Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
- Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.
Βελτιώστε τις δεξιότητές σας στο Wireshark
Tutorials
Τα παρακάτω tutorials είναι καταπληκτικά για να μάθετε μερικά ωραία βασικά κόλπα:
- https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/
- https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/
- https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/
- https://unit42.paloaltonetworks.com/using-wireshark-exporting-objects-from-a-pcap/
Analysed Information
Expert Information
Κάνοντας κλικ στο Analyze --> Expert Information θα έχετε μια επισκόπηση του τι συμβαίνει στα πακέτα που αναλύθηκαν:
.png)
Resolved Addresses
Κάτω από Statistics --> Resolved Addresses μπορείτε να βρείτε πολλές πληροφορίες που "έχουν επιλυθεί" από το wireshark όπως θύρα/μεταφορά σε πρωτόκολλο, MAC στον κατασκευαστή, κ.λπ. Είναι ενδιαφέρον να γνωρίζετε τι εμπλέκεται στην επικοινωνία.
.png)
Protocol Hierarchy
Κάτω από Statistics --> Protocol Hierarchy μπορείτε να βρείτε τα πρωτόκολλα που εμπλέκονται στην επικοινωνία και δεδομένα σχετικά με αυτά.
.png)
Conversations
Κάτω από Statistics --> Conversations μπορείτε να βρείτε μια σύνοψη των συνομιλιών στην επικοινωνία και δεδομένα σχετικά με αυτές.
.png)
Endpoints
Κάτω από Statistics --> Endpoints μπορείτε να βρείτε μια σύνοψη των endpoints στην επικοινωνία και δεδομένα σχετικά με το καθένα από αυτά.
.png)
DNS info
Κάτω από Statistics --> DNS μπορείτε να βρείτε στατιστικά σχετικά με το DNS αίτημα που καταγράφηκε.
.png)
I/O Graph
Κάτω από Statistics --> I/O Graph μπορείτε να βρείτε ένα γράφημα της επικοινωνίας.
.png)
Filters
Εδώ μπορείτε να βρείτε φίλτρα wireshark ανάλογα με το πρωτόκολλο: https://www.wireshark.org/docs/dfref/
Άλλα ενδιαφέροντα φίλτρα:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)- HTTP και αρχική κίνηση HTTPS
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)- HTTP και αρχική κίνηση HTTPS + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)- HTTP και αρχική κίνηση HTTPS + TCP SYN + DNS αιτήματα
Search
Αν θέλετε να αναζητήσετε περιεχόμενο μέσα στα πακέτα των συνεδριών πατήστε CTRL+f. Μπορείτε να προσθέσετε νέα επίπεδα στη βασική γραμμή πληροφοριών (No., Χρόνος, Πηγή, κ.λπ.) πατώντας το δεξί κουμπί και στη συνέχεια την επεξεργασία στήλης.
Free pcap labs
Εξασκηθείτε με τις δωρεάν προκλήσεις του: https://www.malware-traffic-analysis.net/
Identifying Domains
Μπορείτε να προσθέσετε μια στήλη που να δείχνει την κεφαλίδα Host HTTP:
.png)
Και μια στήλη που προσθέτει το όνομα του διακομιστή από μια αρχική σύνδεση HTTPS (ssl.handshake.type == 1):
%20(1).png)
Identifying local hostnames
From DHCP
Στο τρέχον Wireshark αντί για bootp πρέπει να αναζητήσετε DHCP
.png)
From NBNS
.png)
Decrypting TLS
Decrypting https traffic with server private key
edit>preference>protocol>ssl>
.png)
Πατήστε Edit και προσθέστε όλα τα δεδομένα του διακομιστή και το ιδιωτικό κλειδί (IP, Θύρα, Πρωτόκολλο, Αρχείο κλειδιού και κωδικό πρόσβασης)
Decrypting https traffic with symmetric session keys
Και οι δύο Firefox και Chrome έχουν τη δυνατότητα να καταγράφουν τα κλειδιά συνεδρίας TLS, τα οποία μπορούν να χρησιμοποιηθούν με το Wireshark για να αποκρυπτογραφήσουν την κίνηση TLS. Αυτό επιτρέπει σε βάθος ανάλυση των ασφαλών επικοινωνιών. Περισσότερες λεπτομέρειες σχετικά με το πώς να εκτελέσετε αυτήν την αποκρυπτογράφηση μπορείτε να βρείτε σε έναν οδηγό στο Red Flag Security.
Για να το ανιχνεύσετε αναζητήστε μέσα στο περιβάλλον τη μεταβλητή SSLKEYLOGFILE
Ένα αρχείο κοινών κλειδιών θα φαίνεται έτσι:
.png)
Για να το εισάγετε στο wireshark πηγαίνετε στο _edit > preference > protocol > ssl > και εισάγετε το στο (Pre)-Master-Secret log filename:
.png)
ADB communication
Εξαγάγετε ένα APK από μια επικοινωνία ADB όπου το APK στάλθηκε:
from scapy.all import *
pcap = rdpcap("final2.pcapng")
def rm_data(data):
splitted = data.split(b"DATA")
if len(splitted) == 1:
return data
else:
return splitted[0]+splitted[1][4:]
all_bytes = b""
for pkt in pcap:
if Raw in pkt:
a = pkt[Raw]
if b"WRTE" == bytes(a)[:4]:
all_bytes += rm_data(bytes(a)[24:])
else:
all_bytes += rm_data(bytes(a))
print(all_bytes)
f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()
tip
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Υποστηρίξτε το HackTricks
- Ελέγξτε τα σχέδια συνδρομής!
- Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
- Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.