Wireshark tricks
Last updated
Last updated
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Die folgenden Tutorials sind großartig, um einige coole grundlegende Tricks zu lernen:
Experteninformationen
Durch Klicken auf Analyse --> Experteninformationen erhältst du eine Übersicht darüber, was in den analysierten Paketen passiert:
Aufgelöste Adressen
Unter Statistiken --> Aufgelöste Adressen findest du mehrere Informationen, die von Wireshark "aufgelöst" wurden, wie Port/Transport zu Protokoll, MAC zu Hersteller usw. Es ist interessant zu wissen, was an der Kommunikation beteiligt ist.
Protokollhierarchie
Unter Statistiken --> Protokollhierarchie findest du die Protokolle, die an der Kommunikation beteiligt sind, sowie Daten über sie.
Gespräche
Unter Statistiken --> Gespräche findest du eine Zusammenfassung der Gespräche in der Kommunikation und Daten darüber.
Endpunkte
Unter Statistiken --> Endpunkte findest du eine Zusammenfassung der Endpunkte in der Kommunikation und Daten über jeden von ihnen.
DNS-Info
Unter Statistiken --> DNS findest du Statistiken über die erfassten DNS-Anfragen.
I/O-Diagramm
Unter Statistiken --> I/O-Diagramm findest du ein Diagramm der Kommunikation.
Hier findest du Wireshark-Filter je nach Protokoll: https://www.wireshark.org/docs/dfref/ Weitere interessante Filter:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
HTTP- und anfänglicher HTTPS-Verkehr
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
HTTP- und anfänglicher HTTPS-Verkehr + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
HTTP- und anfänglicher HTTPS-Verkehr + TCP SYN + DNS-Anfragen
Wenn du nach Inhalten innerhalb der Pakete der Sitzungen suchen möchtest, drücke CTRL+f. Du kannst neue Ebenen zur Hauptinformationsleiste (Nr., Zeit, Quelle usw.) hinzufügen, indem du mit der rechten Maustaste klickst und dann die Spalte bearbeitest.
Übe mit den kostenlosen Herausforderungen von: https://www.malware-traffic-analysis.net/
Du kannst eine Spalte hinzufügen, die den Host-HTTP-Header anzeigt:
Und eine Spalte, die den Servernamen von einer initiierenden HTTPS-Verbindung (ssl.handshake.type == 1) hinzufügt:
In der aktuellen Wireshark-Version musst du anstelle von bootp nach DHCP suchen.
edit>präferenz>protokoll>ssl>
Drücke Bearbeiten und füge alle Daten des Servers und den privaten Schlüssel (IP, Port, Protokoll, Schlüsseldatei und Passwort) hinzu.
Sowohl Firefox als auch Chrome haben die Fähigkeit, TLS-Sitzungsschlüssel zu protokollieren, die mit Wireshark verwendet werden können, um TLS-Verkehr zu entschlüsseln. Dies ermöglicht eine eingehende Analyse sicherer Kommunikation. Weitere Details zur Durchführung dieser Entschlüsselung findest du in einem Leitfaden bei Red Flag Security.
Um dies zu erkennen, suche in der Umgebung nach der Variablen SSLKEYLOGFILE.
Eine Datei mit gemeinsamen Schlüsseln sieht so aus:
Um dies in Wireshark zu importieren, gehe zu _bearbeiten > präferenz > protokoll > ssl > und importiere es in (Pre)-Master-Secret-Protokolldateinamen:
Extrahiere eine APK aus einer ADB-Kommunikation, in der die APK gesendet wurde:
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
