Pcap Inspection
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Opleiding AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Opleiding GCP Red Team Expert (GRTE)
RootedCON is die mees relevante kuberveiligheid gebeurtenis in Spanje en een van die belangrikste in Europa. Met die missie om tegniese kennis te bevorder, is hierdie kongres 'n bruisende ontmoetingspunt vir tegnologie en kuberveiligheid professionele in elke dissipline.
'n Nota oor PCAP teen PCAPNG: daar is twee weergawes van die PCAP lêerformaat; PCAPNG is nuwer en word nie deur alle gereedskap ondersteun nie. Jy mag dalk 'n lêer van PCAPNG na PCAP moet omskakel met Wireshark of 'n ander kompatible gereedskap, om daarmee in sommige ander gereedskap te werk.
As die kop van jou pcap gebroke is, moet jy probeer om dit te herstel met: http://f00l.de/hacking/pcapfix.php
Trek inligting uit en soek vir malware binne 'n pcap in PacketTotal
Soek vir kwaadaardige aktiwiteit met www.virustotal.com en www.hybrid-analysis.com
Volledige pcap analise vanaf die blaaier in https://apackets.com/
Die volgende gereedskap is nuttig om statistieke, lêers, ens. uit te trek.
As jy 'n PCAP gaan analiseer, moet jy basies weet hoe om Wireshark te gebruik
Jy kan 'n paar Wireshark truuks vind in:
Wireshark tricksPcap analise vanaf die blaaier.
Xplico (slegs linux) kan analiseer 'n pcap en inligting daaruit onttrek. Byvoorbeeld, uit 'n pcap lêer onttrek Xplico elke e-pos (POP, IMAP, en SMTP protokolle), al HTTP-inhoud, elke VoIP oproep (SIP), FTP, TFTP, ensovoorts.
Installeer
Hardloop
Toegang tot 127.0.0.1:9876 met inligting xplico:xplico
Skep dan 'n nuwe saak, skep 'n nuwe sessie binne die saak en laai die pcap lêer op.
Soos Xplico is dit 'n hulpmiddel om te analiseer en voorwerpe uit pcaps te onttrek. Dit het 'n gratis weergawe wat jy kan aflaai hier. Dit werk met Windows. Hierdie hulpmiddel is ook nuttig om ander inligting te analiseer uit die pakkette om te weet wat gebeur het op 'n sneller manier.
Jy kan NetWitness Investigator hier aflaai (Dit werk in Windows). Dit is 'n ander nuttige hulpmiddel wat die pakkette analiseer en die inligting op 'n nuttige manier sorteer om te weet wat binne gebeur.
Onttrek en kodeer gebruikersname en wagwoorde (HTTP, FTP, Telnet, IMAP, SMTP...)
Onttrek verifikasie-hashes en kraak dit met Hashcat (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
Bou 'n visuele netwerkdiagram (Netwerk nodes & gebruikers)
Onttrek DNS versoeke
Herbou alle TCP & UDP Sessies
Lêer Carving
As jy soek na iets binne die pcap kan jy ngrep gebruik. Hier is 'n voorbeeld wat die hooffilters gebruik:
Die gebruik van algemene carving-tegnieke kan nuttig wees om lêers en inligting uit die pcap te onttrek:
File/Data Carving & Recovery ToolsJy kan gereedskap soos https://github.com/lgandx/PCredz gebruik om kredensiale uit 'n pcap of 'n lewendige koppelvlak te ontleed.
RootedCON is die mees relevante kuberveiligheid gebeurtenis in Spanje en een van die belangrikste in Europa. Met die missie om tegniese kennis te bevorder, is hierdie kongres 'n bruisende ontmoetingspunt vir tegnologie- en kuberveiligheidprofessionals in elke dissipline.
Installeer en stel op
Kontroleer pcap
YaraPCAP is 'n hulpmiddel wat
'n PCAP-lêer lees en Http-strome onttrek.
gzip ontplof enige gecomprimeerde strome
Skandeer elke lêer met yara
Skryf 'n report.txt
Opsioneel stoor ooreenstemmende lêers in 'n gids
Kyk of jy enige vingerafdruk van 'n bekende malware kan vind:
Malware AnalysisZeek is 'n passiewe, oopbron netwerkverkeeranaliseerder. Baie operateurs gebruik Zeek as 'n Netwerk Sekuriteitsmoniter (NSM) om ondersoeke van verdagte of kwaadwillige aktiwiteite te ondersteun. Zeek ondersteun ook 'n wye reeks verkeeranalise take buite die sekuriteitsdomein, insluitend prestasiemeting en probleemoplossing.
Basies, logs wat deur zeek
geskep word, is nie pcaps nie. Daarom sal jy ander hulpmiddels moet gebruik om die logs te analiseer waar die inligting oor die pcaps is.
RootedCON is die mees relevante kuberveiligheid gebeurtenis in Spanje en een van die belangrikste in Europa. Met die missie om tegniese kennis te bevorder, is hierdie kongres 'n bruisende ontmoetingspunt vir tegnologie en kuberveiligheid professionele in elke dissipline.
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)