Wireshark tricks
Last updated
Last updated
学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
以下教程非常适合学习一些酷炫的基本技巧:
专家信息
点击 分析 --> 专家信息 你将获得一个 概述,了解在 分析 的数据包中发生了什么:
已解析地址
在 统计 --> 已解析地址 下,你可以找到 Wireshark "已解析" 的多种 信息,如端口/传输到协议、MAC 到制造商等。了解通信中涉及的内容是很有趣的。
协议层次
在 统计 --> 协议层次 下,你可以找到通信中涉及的 协议 及其相关数据。
对话
在 统计 --> 对话 下,你可以找到通信中的 对话摘要 及其相关数据。
端点
在 统计 --> 端点 下,你可以找到通信中的 端点摘要 及其相关数据。
DNS 信息
在 统计 --> DNS 下,你可以找到捕获的 DNS 请求的统计信息。
I/O 图
在 统计 --> I/O 图 下,你可以找到 通信图。
在这里你可以找到根据协议的 Wireshark 过滤器:https://www.wireshark.org/docs/dfref/ 其他有趣的过滤器:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
HTTP 和初始 HTTPS 流量
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
HTTP 和初始 HTTPS 流量 + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
HTTP 和初始 HTTPS 流量 + TCP SYN + DNS 请求
如果你想在会话的 数据包 中 搜索 内容,请按 CTRL+f。你可以通过右键单击并编辑列来添加新的层到主信息栏(编号、时间、源等)。
通过以下免费挑战进行练习: https://www.malware-traffic-analysis.net/
你可以添加一个显示 Host HTTP 头的列:
以及一个添加发起 HTTPS 连接的服务器名称的列 (ssl.handshake.type == 1):
在当前的 Wireshark 中,你需要搜索 DHCP 而不是 bootp
edit>preference>protocol>ssl>
按 编辑 并添加服务器和私钥的所有数据 (IP、端口、协议、密钥文件和密码)
Firefox 和 Chrome 都具有记录 TLS 会话密钥的能力,这可以与 Wireshark 一起使用以解密 TLS 流量。这允许对安全通信进行深入分析。有关如何执行此解密的更多详细信息,请参阅 Red Flag Security 的指南。
要检测此内容,请在环境中搜索变量 SSLKEYLOGFILE
共享密钥的文件看起来像这样:
要在 Wireshark 中导入此文件,请转到 _edit > preference > protocol > ssl > 并将其导入 (Pre)-Master-Secret 日志文件名:
从 ADB 通信中提取 APK,其中 APK 被发送:
学习与实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
