Wireshark tricks
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Die volgende tutorials is wonderlik om 'n paar koel basiese truuks te leer:
Deskundige Inligting
Deur op Analiseer --> Deskundige Inligting te klik, sal jy 'n oorsig hê van wat in die pakkette geanaliseer word:
Opgeloste Adresse
Onder Statistieke --> Opgeloste Adresse kan jy verskeie inligting vind wat deur wireshark "opgelos" is, soos poort/transport na protokol, MAC na die vervaardiger, ens. Dit is interessant om te weet wat betrokke is in die kommunikasie.
Protokol Hiërargie
Onder Statistieke --> Protokol Hiërargie kan jy die protokolle betrokke in die kommunikasie en data daaroor vind.
Gesprekke
Onder Statistieke --> Gesprekke kan jy 'n opsomming van die gesprekke in die kommunikasie en data daaroor vind.
Eindpunte
Onder Statistieke --> Eindpunte kan jy 'n opsomming van die eindpunte in die kommunikasie en data oor elk van hulle vind.
DNS inligting
Onder Statistieke --> DNS kan jy statistieke oor die DNS versoek wat gevang is, vind.
I/O Grafiek
Onder Statistieke --> I/O Grafiek kan jy 'n grafiek van die kommunikasie vind.
Hier kan jy wireshark filter vind afhangende van die protokol: https://www.wireshark.org/docs/dfref/ Ander interessante filters:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
HTTP en aanvanklike HTTPS verkeer
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
HTTP en aanvanklike HTTPS verkeer + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
HTTP en aanvanklike HTTPS verkeer + TCP SYN + DNS versoeke
As jy wil soek vir inhoud binne die pakkette van die sessies, druk CTRL+f. Jy kan nuwe lae by die hoofinligtingbalk (No., Tyd, Bron, ens.) voeg deur die regterknoppie te druk en dan die kolom te redigeer.
Oefen met die gratis uitdagings van: https://www.malware-traffic-analysis.net/
Jy kan 'n kolom byvoeg wat die Host HTTP koptekst wys:
En 'n kolom wat die Bediener naam van 'n inisierende HTTPS verbinding byvoeg (ssl.handshake.type == 1):
In die huidige Wireshark moet jy in plaas van bootp
soek na DHCP
edit>voorkeur>protokol>ssl>
Druk Edit en voeg al die data van die bediener en die private sleutel (IP, Poort, Protokol, Sleutel lêer en wagwoord)
Sowel Firefox as Chrome het die vermoë om TLS sessiesleutels te log, wat gebruik kan word met Wireshark om TLS verkeer te ontsleutel. Dit stel in staat tot diepgaande analise van veilige kommunikasies. Meer besonderhede oor hoe om hierdie ontsleuteling uit te voer, kan in 'n gids by Red Flag Security gevind word.
Om dit te ontdek, soek binne die omgewing na die veranderlike SSLKEYLOGFILE
'n Lêer van gedeelde sleutels sal soos volg lyk:
Om dit in wireshark te importeer, gaan na _edit > voorkeur > protokol > ssl > en importeer dit in (Pre)-Master-Secret log lêernaam:
Onthaal 'n APK uit 'n ADB kommunikasie waar die APK gestuur is:
Leer & oefen AWS Hacking:HackTricks Opleiding AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Opleiding GCP Red Team Expert (GRTE)