Pcap Inspection
Last updated
Last updated
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
RootedCON ist die relevanteste Cybersecurity-Veranstaltung in Spanien und eine der wichtigsten in Europa. Mit der Mission, technisches Wissen zu fördern, ist dieser Kongress ein brodelnder Treffpunkt für Technologie- und Cybersecurity-Profis in jeder Disziplin.
Eine Anmerkung zu PCAP vs PCAPNG: Es gibt zwei Versionen des PCAP-Dateiformats; PCAPNG ist neuer und wird nicht von allen Tools unterstützt. Möglicherweise müssen Sie eine Datei von PCAPNG in PCAP mit Wireshark oder einem anderen kompatiblen Tool konvertieren, um sie in einigen anderen Tools verwenden zu können.
Wenn der Header Ihres pcaps beschädigt ist, sollten Sie versuchen, ihn mit http://f00l.de/hacking/pcapfix.php zu reparieren.
Extrahieren Sie Informationen und suchen Sie nach Malware in einem pcap in PacketTotal.
Suchen Sie nach bösartiger Aktivität mit www.virustotal.com und www.hybrid-analysis.com.
Vollständige pcap-Analyse im Browser unter https://apackets.com/.
Die folgenden Tools sind nützlich, um Statistiken, Dateien usw. zu extrahieren.
Wenn Sie ein PCAP analysieren möchten, müssen Sie im Grunde wissen, wie man Wireshark verwendet.
Sie finden einige Wireshark-Tricks in:
Wireshark tricksPcap-Analyse im Browser.
Xplico (nur Linux) kann ein pcap analysieren und Informationen daraus extrahieren. Zum Beispiel extrahiert Xplico aus einer pcap-Datei jede E-Mail (POP, IMAP und SMTP-Protokolle), alle HTTP-Inhalte, jeden VoIP-Anruf (SIP), FTP, TFTP usw.
Installieren
Ausführen
Zugriff auf 127.0.0.1:9876 mit den Anmeldeinformationen xplico:xplico
Erstellen Sie dann einen neuen Fall, erstellen Sie eine neue Sitzung innerhalb des Falls und laden Sie die pcap-Datei hoch.
Wie Xplico ist es ein Tool, um pcaps zu analysieren und Objekte zu extrahieren. Es hat eine kostenlose Edition, die Sie hier herunterladen können hier. Es funktioniert mit Windows. Dieses Tool ist auch nützlich, um andere Informationen aus den Paketen zu analysieren, um zu wissen, was in einer schnelleren Weise passiert ist.
Sie können NetWitness Investigator von hier herunterladen (Es funktioniert unter Windows). Dies ist ein weiteres nützliches Tool, das die Pakete analysiert und die Informationen auf nützliche Weise sortiert, um zu wissen, was im Inneren passiert.
Extrahieren und Kodieren von Benutzernamen und Passwörtern (HTTP, FTP, Telnet, IMAP, SMTP...)
Authentifizierungshashes extrahieren und mit Hashcat knacken (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
Erstellen eines visuellen Netzwerkdiagramms (Netzwerkknoten & Benutzer)
DNS-Abfragen extrahieren
Alle TCP- und UDP-Sitzungen rekonstruieren
File Carving
Wenn Sie nach etwas im pcap suchen, können Sie ngrep verwenden. Hier ist ein Beispiel mit den Hauptfiltern:
Die Verwendung gängiger Carving-Techniken kann nützlich sein, um Dateien und Informationen aus dem pcap zu extrahieren:
File/Data Carving & Recovery ToolsSie können Tools wie https://github.com/lgandx/PCredz verwenden, um Anmeldeinformationen aus einem pcap oder einer Live-Schnittstelle zu parsen.
RootedCON ist die relevanteste Cybersecurity-Veranstaltung in Spanien und eine der wichtigsten in Europa. Mit der Mission, technisches Wissen zu fördern, ist dieser Kongress ein brodelnder Treffpunkt für Technologie- und Cybersecurity-Profis in jeder Disziplin.
Installieren und einrichten
Überprüfen Sie pcap
YaraPCAP ist ein Tool, das
Eine PCAP-Datei liest und Http-Streams extrahiert.
gzip komprimierte Streams deflate.
Jede Datei mit yara scannt.
Einen report.txt schreibt.
Optional übereinstimmende Dateien in ein Verzeichnis speichert.
Überprüfen Sie, ob Sie einen Fingerabdruck einer bekannten Malware finden können:
Malware AnalysisZeek ist ein passiver, Open-Source-Netzwerkverkehrsanalysator. Viele Betreiber verwenden Zeek als Netzwerk-Sicherheitsmonitor (NSM), um Untersuchungen zu verdächtigen oder böswilligen Aktivitäten zu unterstützen. Zeek unterstützt auch eine Vielzahl von Verkehrsanalysaufgaben über den Sicherheitsbereich hinaus, einschließlich Leistungsbewertung und Fehlersuche.
Im Grunde genommen sind die von zeek
erstellten Protokolle keine pcaps. Daher müssen Sie andere Tools verwenden, um die Protokolle zu analysieren, in denen die Informationen über die pcaps enthalten sind.
RootedCON ist die relevanteste Cybersecurity-Veranstaltung in Spanien und eine der wichtigsten in Europa. Mit der Mission, technisches Wissen zu fördern, ist dieser Kongress ein brodelnder Treffpunkt für Technologie- und Cybersecurity-Profis in jeder Disziplin.
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)