HackTricks
Wireshark trikovi
Reading time: 4 minutes
tip
Učite i vežbajte AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.
Poboljšajte svoje veštine u Wireshark-u
Tutorijali
Sledeći tutorijali su sjajni za učenje nekih cool osnovnih trikova:
- https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/
- https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/
- https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/
- https://unit42.paloaltonetworks.com/using-wireshark-exporting-objects-from-a-pcap/
Analizirane informacije
Stručne informacije
Klikom na Analiziraj --> Stručne informacije dobićete pregled onoga što se dešava u analiziranim paketima:
.png)
Rešene adrese
Pod Statistika --> Rešene adrese možete pronaći nekoliko informacija koje je wireshark "rešio", kao što su port/transport do protokola, MAC do proizvođača itd. Zanimljivo je znati šta je uključeno u komunikaciju.
.png)
Hijerarhija protokola
Pod Statistika --> Hijerarhija protokola možete pronaći protokole uključene u komunikaciju i podatke o njima.
.png)
Razgovori
Pod Statistika --> Razgovori možete pronaći rezime razgovora u komunikaciji i podatke o njima.
.png)
Krajnje tačke
Pod Statistika --> Krajnje tačke možete pronaći rezime krajnjih tačaka u komunikaciji i podatke o svakoj od njih.
.png)
DNS informacije
Pod Statistika --> DNS možete pronaći statistiku o uhvaćenim DNS zahtevima.
.png)
I/O graf
Pod Statistika --> I/O graf možete pronaći graf komunikacije.
.png)
Filteri
Ovde možete pronaći wireshark filtere u zavisnosti od protokola: https://www.wireshark.org/docs/dfref/
Ostali zanimljivi filteri:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)- HTTP i inicijalni HTTPS saobraćaj
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)- HTTP i inicijalni HTTPS saobraćaj + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)- HTTP i inicijalni HTTPS saobraćaj + TCP SYN + DNS zahtevi
Pretraga
Ako želite da pretražujete sadržaj unutar paketa sesija pritisnite CTRL+f. Možete dodati nove slojeve u glavnu informativnu traku (Br., Vreme, Izvor itd.) pritiskom desnog dugmeta i zatim uređivanjem kolone.
Besplatni pcap laboratoriji
Vežbajte sa besplatnim izazovima: https://www.malware-traffic-analysis.net/
Identifikacija domena
Možete dodati kolonu koja prikazuje Host HTTP zaglavlje:
.png)
I kolonu koja dodaje ime servera iz inicijalne HTTPS veze (ssl.handshake.type == 1):
%20(1).png)
Identifikacija lokalnih imena hostova
Iz DHCP
U trenutnom Wireshark-u umesto bootp treba da tražite DHCP
.png)
Iz NBNS
.png)
Dekriptovanje TLS
Dekriptovanje https saobraćaja sa privatnim ključem servera
edit>preference>protocol>ssl>
.png)
Pritisnite Edit i dodajte sve podatke o serveru i privatnom ključu (IP, Port, Protokol, Datoteka ključa i lozinka)
Dekriptovanje https saobraćaja sa simetričnim sesijskim ključevima
I Firefox i Chrome imaju mogućnost da beleže TLS sesijske ključeve, koji se mogu koristiti sa Wireshark-om za dekriptovanje TLS saobraćaja. Ovo omogućava dubinsku analizu sigurnih komunikacija. Više detalja o tome kako izvršiti ovo dekriptovanje može se naći u vodiču na Red Flag Security.
Da biste to otkrili, pretražujte unutar okruženja za promenljivu SSLKEYLOGFILE
Datoteka deljenih ključeva će izgledati ovako:
.png)
Da biste to uvezli u wireshark idite na _edit > preference > protocol > ssl > i uvezite to u (Pre)-Master-Secret log filename:
.png)
ADB komunikacija
Izvucite APK iz ADB komunikacije gde je APK poslat:
from scapy.all import *
pcap = rdpcap("final2.pcapng")
def rm_data(data):
splitted = data.split(b"DATA")
if len(splitted) == 1:
return data
else:
return splitted[0]+splitted[1][4:]
all_bytes = b""
for pkt in pcap:
if Raw in pkt:
a = pkt[Raw]
if b"WRTE" == bytes(a)[:4]:
all_bytes += rm_data(bytes(a)[24:])
else:
all_bytes += rm_data(bytes(a))
print(all_bytes)
f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()
tip
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.