Wireshark tricks

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

• 구독 계획 확인하기!
• **💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
• HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.

Wireshark 기술 향상

튜토리얼

다음 튜토리얼은 멋진 기본 기술을 배우기에 훌륭합니다:

• https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/
• https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/
• https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/
• https://unit42.paloaltonetworks.com/using-wireshark-exporting-objects-from-a-pcap/

분석된 정보

전문가 정보

_Analyze –> Expert Information_을 클릭하면 패킷 분석에서 발생하는 일에 대한 개요를 볼 수 있습니다:

해결된 주소

Statistics –> Resolved Addresses 아래에서 wireshark에 의해 “해결된” 여러 정보를 찾을 수 있습니다. 예를 들어 포트/전송 프로토콜, MAC에서 제조사 등입니다. 통신에 관련된 내용을 아는 것은 흥미롭습니다.

프로토콜 계층

Statistics –> Protocol Hierarchy 아래에서 통신에 관련된 프로토콜과 그에 대한 데이터를 찾을 수 있습니다.

대화

Statistics –> Conversations 아래에서 통신의 대화 요약과 그에 대한 데이터를 찾을 수 있습니다.

엔드포인트

Statistics –> Endpoints 아래에서 통신의 엔드포인트 요약과 각 엔드포인트에 대한 데이터를 찾을 수 있습니다.

DNS 정보

Statistics –> DNS 아래에서 캡처된 DNS 요청에 대한 통계를 찾을 수 있습니다.

I/O 그래프

Statistics –> I/O Graph 아래에서 통신 그래프를 찾을 수 있습니다.

필터

여기에서 프로토콜에 따라 wireshark 필터를 찾을 수 있습니다: https://www.wireshark.org/docs/dfref/
기타 흥미로운 필터:

• (http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
• HTTP 및 초기 HTTPS 트래픽
• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
• HTTP 및 초기 HTTPS 트래픽 + TCP SYN
• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
• HTTP 및 초기 HTTPS 트래픽 + TCP SYN + DNS 요청

검색

세션의 패킷 내에서 내용을 검색하려면 _CTRL+f_를 누르십시오. 오른쪽 버튼을 눌러 새 레이어를 주 정보 바(No., Time, Source 등)에 추가할 수 있습니다.

무료 pcap 실습

무료 챌린지로 연습하세요: https://www.malware-traffic-analysis.net/

도메인 식별

Host HTTP 헤더를 보여주는 열을 추가할 수 있습니다:

그리고 시작 HTTPS 연결에서 서버 이름을 추가하는 열(ssl.handshake.type == 1)을 추가할 수 있습니다:

로컬 호스트 이름 식별

DHCP에서

현재 Wireshark에서는 bootp 대신 DHCP를 검색해야 합니다.

NBNS에서

TLS 복호화

서버 개인 키로 https 트래픽 복호화

edit>preference>protocol>ssl>

서버와 개인 키의 모든 데이터를 추가하려면 _Edit_를 누르십시오 (IP, Port, Protocol, Key file 및 password)

대칭 세션 키로 https 트래픽 복호화

Firefox와 Chrome 모두 TLS 세션 키를 기록할 수 있는 기능이 있으며, 이를 사용하여 Wireshark에서 TLS 트래픽을 복호화할 수 있습니다. 이를 통해 보안 통신에 대한 심층 분석이 가능합니다. 이 복호화를 수행하는 방법에 대한 자세한 내용은 Red Flag Security의 가이드에서 확인할 수 있습니다.

이를 감지하려면 환경 내에서 변수 SSLKEYLOGFILE을 검색하십시오.

공유 키 파일은 다음과 같이 보일 것입니다:

이 파일을 wireshark에 가져오려면 _edit > preference > protocol > ssl > (Pre)-Master-Secret 로그 파일 이름에 가져오십시오:

ADB 통신

APK가 전송된 ADB 통신에서 APK를 추출합니다:

from scapy.all import *

pcap = rdpcap("final2.pcapng")

def rm_data(data):
splitted = data.split(b"DATA")
if len(splitted) == 1:
return data
else:
return splitted[0]+splitted[1][4:]

all_bytes = b""
for pkt in pcap:
if Raw in pkt:
a = pkt[Raw]
if b"WRTE" == bytes(a)[:4]:
all_bytes += rm_data(bytes(a)[24:])
else:
all_bytes += rm_data(bytes(a))
print(all_bytes)

f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

• 구독 계획 확인하기!
• **💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
• HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.