HackTricksWiresharkのトリック
Reading time: 7 minutes
tip
AWSハッキングを学び、実践する:
HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:
HackTricks Training GCP Red Team Expert (GRTE)
Azureハッキングを学び、実践する:
HackTricks Training Azure Red Team Expert (AzRTE)
HackTricksをサポートする
- サブスクリプションプランを確認してください!
- **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。
Wiresharkスキルの向上
チュートリアル
以下のチュートリアルは、いくつかのクールな基本的なトリックを学ぶのに素晴らしいです:
- https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/
- https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/
- https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/
- https://unit42.paloaltonetworks.com/using-wireshark-exporting-objects-from-a-pcap/
分析された情報
エキスパート情報
_Analyze --> Expert Information_をクリックすると、分析されたパケットで何が起こっているかの概要が得られます:
.png)
解決されたアドレス
_Statistics --> Resolved Addresses_の下には、wiresharkによって「解決された」いくつかの情報(ポート/トランスポートからプロトコル、MACから製造元など)を見つけることができます。通信に何が関与しているかを知るのは興味深いです。
.png)
プロトコル階層
_Statistics --> Protocol Hierarchy_の下には、通信に関与するプロトコルとそれに関するデータを見つけることができます。
.png)
会話
_Statistics --> Conversations_の下には、通信の会話の要約とそれに関するデータを見つけることができます。
.png)
エンドポイント
_Statistics --> Endpoints_の下には、通信のエンドポイントの要約とそれぞれに関するデータを見つけることができます。
.png)
DNS情報
_Statistics --> DNS_の下には、キャプチャされたDNSリクエストに関する統計を見つけることができます。
.png)
I/Oグラフ
_Statistics --> I/O Graph_の下には、通信のグラフを見つけることができます。
.png)
フィルター
ここでは、プロトコルに応じたwiresharkフィルターを見つけることができます:https://www.wireshark.org/docs/dfref/
他の興味深いフィルター:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)- HTTPおよび初期HTTPSトラフィック
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)- HTTPおよび初期HTTPSトラフィック + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)- HTTPおよび初期HTTPSトラフィック + TCP SYN + DNSリクエスト
検索
セッションのパケット内のコンテンツを検索したい場合は、_CTRL+f_を押します。右ボタンを押してから列を編集することで、メイン情報バー(No.、Time、Sourceなど)に新しいレイヤーを追加できます。
無料のpcapラボ
無料のチャレンジで練習する: https://www.malware-traffic-analysis.net/
ドメインの特定
Host HTTPヘッダーを表示する列を追加できます:
.png)
そして、開始HTTPS接続からサーバー名を追加する列(ssl.handshake.type == 1):
%20(1).png)
ローカルホスト名の特定
DHCPから
現在のWiresharkでは、bootpの代わりにDHCPを検索する必要があります。
.png)
NBNSから
.png)
TLSの復号化
サーバーの秘密鍵を使用したhttpsトラフィックの復号化
edit>preference>protocol>ssl>
.png)
_サーバーと秘密鍵のすべてのデータ(IP、Port、Protocol、Key file、password)を追加するために_編集_を押します。
対称セッションキーを使用したhttpsトラフィックの復号化
FirefoxとChromeの両方は、TLSセッションキーをログに記録する機能があり、これを使用してWiresharkでTLSトラフィックを復号化できます。これにより、安全な通信の詳細な分析が可能になります。この復号化を実行する方法の詳細は、Red Flag Securityのガイドにあります。
これを検出するには、環境内で変数SSLKEYLOGFILEを検索します。
共有キーのファイルは次のようになります:
.png)
これをwiresharkにインポートするには、_edit > preference > protocol > ssl >_に移動し、(Pre)-Master-Secretログファイル名にインポートします:
.png)
ADB通信
APKが送信されたADB通信からAPKを抽出します:
from scapy.all import *
pcap = rdpcap("final2.pcapng")
def rm_data(data):
splitted = data.split(b"DATA")
if len(splitted) == 1:
return data
else:
return splitted[0]+splitted[1][4:]
all_bytes = b""
for pkt in pcap:
if Raw in pkt:
a = pkt[Raw]
if b"WRTE" == bytes(a)[:4]:
all_bytes += rm_data(bytes(a)[24:])
else:
all_bytes += rm_data(bytes(a))
print(all_bytes)
f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()
tip
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
Azureハッキングを学び、実践する:HackTricks Training Azure Red Team Expert (AzRTE)
HackTricksをサポートする
- サブスクリプションプランを確認してください!
- **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。