HackTricksTrucos de Wireshark
Reading time: 5 minutes
tip
Aprende y practica AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Apoya a HackTricks
- Revisa los planes de suscripci贸n!
- 脷nete al 馃挰 grupo de Discord o al grupo de telegram o s铆guenos en Twitter 馃惁 @hacktricks_live.
- Comparte trucos de hacking enviando PRs a HackTricks y HackTricks Cloud repos de github.
Mejora tus habilidades en Wireshark
Tutoriales
Los siguientes tutoriales son incre铆bles para aprender algunos trucos b谩sicos geniales:
- https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/
- https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/
- https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/
- https://unit42.paloaltonetworks.com/using-wireshark-exporting-objects-from-a-pcap/
Informaci贸n Analizada
Informaci贸n Experta
Al hacer clic en Analizar --> Informaci贸n Experta tendr谩s una visi贸n general de lo que est谩 sucediendo en los paquetes analizados:
.png)
Direcciones Resueltas
Bajo Estad铆sticas --> Direcciones Resueltas puedes encontrar varias informaciones que fueron "resueltas" por Wireshark, como puerto/transporte a protocolo, MAC al fabricante, etc. Es interesante saber qu茅 est谩 implicado en la comunicaci贸n.
.png)
Jerarqu铆a de Protocolos
Bajo Estad铆sticas --> Jerarqu铆a de Protocolos puedes encontrar los protocolos involucrados en la comunicaci贸n y datos sobre ellos.
.png)
Conversaciones
Bajo Estad铆sticas --> Conversaciones puedes encontrar un resumen de las conversaciones en la comunicaci贸n y datos sobre ellas.
.png)
Puntos Finales
Bajo Estad铆sticas --> Puntos Finales puedes encontrar un resumen de los puntos finales en la comunicaci贸n y datos sobre cada uno de ellos.
.png)
Informaci贸n DNS
Bajo Estad铆sticas --> DNS puedes encontrar estad铆sticas sobre la solicitud DNS capturada.
.png)
Gr谩fico I/O
Bajo Estad铆sticas --> Gr谩fico I/O puedes encontrar un gr谩fico de la comunicaci贸n.
.png)
Filtros
Aqu铆 puedes encontrar filtros de Wireshark dependiendo del protocolo: https://www.wireshark.org/docs/dfref/
Otros filtros interesantes:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)- Tr谩fico HTTP y HTTPS inicial
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)- Tr谩fico HTTP y HTTPS inicial + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)- Tr谩fico HTTP y HTTPS inicial + TCP SYN + solicitudes DNS
B煤squeda
Si deseas buscar contenido dentro de los paquetes de las sesiones, presiona CTRL+f. Puedes agregar nuevas capas a la barra de informaci贸n principal (No., Hora, Origen, etc.) presionando el bot贸n derecho y luego editando la columna.
Laboratorios pcap gratuitos
Practica con los desaf铆os gratuitos de: https://www.malware-traffic-analysis.net/
Identificaci贸n de Dominios
Puedes agregar una columna que muestre el encabezado HTTP del Host:
.png)
Y una columna que agregue el nombre del Servidor de una conexi贸n HTTPS iniciada (ssl.handshake.type == 1):
%20(1).png)
Identificaci贸n de nombres de host locales
Desde DHCP
En la versi贸n actual de Wireshark, en lugar de bootp, necesitas buscar DHCP
.png)
Desde NBNS
.png)
Desencriptaci贸n de TLS
Desencriptaci贸n del tr谩fico https con la clave privada del servidor
edit>preferencia>protocolo>ssl>
.png)
Presiona Editar y agrega todos los datos del servidor y la clave privada (IP, Puerto, Protocolo, Archivo de clave y contrase帽a)
Desencriptaci贸n del tr谩fico https con claves de sesi贸n sim茅tricas
Tanto Firefox como Chrome tienen la capacidad de registrar claves de sesi贸n TLS, que se pueden usar con Wireshark para desencriptar el tr谩fico TLS. Esto permite un an谩lisis profundo de las comunicaciones seguras. M谩s detalles sobre c贸mo realizar esta desencriptaci贸n se pueden encontrar en una gu铆a en Red Flag Security.
Para detectar esto, busca dentro del entorno la variable SSLKEYLOGFILE
Un archivo de claves compartidas se ver谩 as铆:
.png)
Para importar esto en Wireshark, ve a _editar > preferencia > protocolo > ssl > e imp贸rtalo en (Pre)-Master-Secret log filename:
.png)
Comunicaci贸n ADB
Extrae un APK de una comunicaci贸n ADB donde se envi贸 el APK:
from scapy.all import *
pcap = rdpcap("final2.pcapng")
def rm_data(data):
splitted = data.split(b"DATA")
if len(splitted) == 1:
return data
else:
return splitted[0]+splitted[1][4:]
all_bytes = b""
for pkt in pcap:
if Raw in pkt:
a = pkt[Raw]
if b"WRTE" == bytes(a)[:4]:
all_bytes += rm_data(bytes(a)[24:])
else:
all_bytes += rm_data(bytes(a))
print(all_bytes)
f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()
tip
Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apoya a HackTricks
- Revisa los planes de suscripci贸n!
- 脷nete al 馃挰 grupo de Discord o al grupo de telegram o s铆guenos en Twitter 馃惁 @hacktricks_live.
- Comparte trucos de hacking enviando PRs a HackTricks y HackTricks Cloud repos de github.