Pcap Inspection
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
RootedCON είναι το πιο σχετικό γεγονός κυβερνοασφάλειας στην Ισπανία και ένα από τα πιο σημαντικά στην Ευρώπη. Με αποστολή την προώθηση της τεχνικής γνώσης, αυτό το συνέδριο είναι ένα καυτό σημείο συνάντησης για επαγγελματίες της τεχνολογίας και της κυβερνοασφάλειας σε κάθε τομέα.
Μια σημείωση σχετικά με PCAP vs PCAPNG: υπάρχουν δύο εκδόσεις της μορφής αρχείου PCAP; Το PCAPNG είναι πιο νέο και δεν υποστηρίζεται από όλα τα εργαλεία. Μπορεί να χρειαστεί να μετατρέψετε ένα αρχείο από PCAPNG σε PCAP χρησιμοποιώντας το Wireshark ή κάποιο άλλο συμβατό εργαλείο, προκειμένου να εργαστείτε με αυτό σε κάποια άλλα εργαλεία.
Αν η κεφαλίδα του pcap σας είναι κατεστραμμένη, θα πρέπει να προσπαθήσετε να την διορθώσετε χρησιμοποιώντας: http://f00l.de/hacking/pcapfix.php
Εξαγάγετε πληροφορίες και αναζητήστε malware μέσα σε ένα pcap στο PacketTotal
Αναζητήστε κακόβουλη δραστηριότητα χρησιμοποιώντας www.virustotal.com και www.hybrid-analysis.com
Πλήρης ανάλυση pcap από τον περιηγητή στο https://apackets.com/
Τα παρακάτω εργαλεία είναι χρήσιμα για την εξαγωγή στατιστικών, αρχείων κ.λπ.
Αν πρόκειται να αναλύσετε ένα PCAP, πρέπει βασικά να ξέρετε πώς να χρησιμοποιείτε το Wireshark
Μπορείτε να βρείτε μερικά κόλπα του Wireshark στο:
Ανάλυση pcap από τον περιηγητή.
Xplico (μόνο linux) μπορεί να αναλύσει ένα pcap και να εξαγάγει πληροφορίες από αυτό. Για παράδειγμα, από ένα αρχείο pcap, το Xplico εξάγει κάθε email (πρωτόκολλα POP, IMAP και SMTP), όλα τα περιεχόμενα HTTP, κάθε κλήση VoIP (SIP), FTP, TFTP, κ.λπ.
Εγκαταστήστε
Εκτέλεση
Access to 127.0.0.1:9876 with credentials xplico:xplico
Then create a νέα υπόθεση, create a νέα συνεδρία inside the case and ανεβάστε το pcap file.
Like Xplico it is a tool to αναλύει και εξάγει αντικείμενα από pcaps. It has a free edition that you can κατεβάσετε εδώ. It works with Windows. This tool is also useful to get άλλες πληροφορίες που αναλύονται from the packets in order to be able to know what was happening in a ταχύτερη way.
You can download NetWitness Investigator from here (It works in Windows). This is another useful tool that αναλύει τα πακέτα and sorts the information in a useful way to γνωρίζετε τι συμβαίνει μέσα.
Extracting and encoding usernames and passwords (HTTP, FTP, Telnet, IMAP, SMTP...)
Extract authentication hashes and crack them using Hashcat (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
Build a visual network diagram (Network nodes & users)
Extract DNS queries
Reconstruct all TCP & UDP Sessions
File Carving
Αν ψάχνετε για κάτι μέσα στο pcap μπορείτε να χρησιμοποιήσετε το ngrep. Ακολουθεί ένα παράδειγμα χρησιμοποιώντας τα κύρια φίλτρα:
Η χρήση κοινών τεχνικών carving μπορεί να είναι χρήσιμη για την εξαγωγή αρχείων και πληροφοριών από το pcap:
Μπορείτε να χρησιμοποιήσετε εργαλεία όπως https://github.com/lgandx/PCredz για να αναλύσετε διαπιστευτήρια από ένα pcap ή μια ζωντανή διεπαφή.
RootedCON είναι η πιο σχετική εκδήλωση κυβερνοασφάλειας στην Ισπανία και μία από τις πιο σημαντικές στην Ευρώπη. Με αποστολή την προώθηση της τεχνικής γνώσης, αυτό το συνέδριο είναι ένα καυτό σημείο συνάντησης για επαγγελματίες της τεχνολογίας και της κυβερνοασφάλειας σε κάθε πειθαρχία.
Εγκατάσταση και ρύθμιση
Έλεγχος pcap
YaraPCAP είναι ένα εργαλείο που
Διαβάζει ένα αρχείο PCAP και εξάγει ροές Http.
gzip αποσυμπιέζει οποιεσδήποτε συμπιεσμένες ροές
Σαρώσει κάθε αρχείο με yara
Γράφει ένα report.txt
Προαιρετικά αποθηκεύει τα αρχεία που ταιριάζουν σε έναν φάκελο
Ελέγξτε αν μπορείτε να βρείτε οποιοδήποτε αποτύπωμα γνωστού κακόβουλου λογισμικού:
Zeek είναι ένας παθητικός, ανοιχτού κώδικα αναλυτής δικτυακής κίνησης. Πολλοί χειριστές χρησιμοποιούν το Zeek ως Δίκτυο Ασφαλείας Monitor (NSM) για να υποστηρίξουν έρευνες για ύποπτη ή κακόβουλη δραστηριότητα. Το Zeek υποστηρίζει επίσης μια ευρεία γκάμα εργασιών ανάλυσης κίνησης πέρα από τον τομέα της ασφάλειας, συμπεριλαμβανομένης της μέτρησης απόδοσης και της αποσφαλμάτωσης.
Βασικά, τα αρχεία καταγραφής που δημιουργούνται από το zeek
δεν είναι pcaps. Επομένως, θα χρειαστεί να χρησιμοποιήσετε άλλα εργαλεία για να αναλύσετε τα αρχεία καταγραφής όπου βρίσκονται οι πληροφορίες σχετικά με τα pcaps.
RootedCON είναι το πιο σχετικό γεγονός κυβερνοασφάλειας στην Ισπανία και ένα από τα πιο σημαντικά στην Ευρώπη. Με αποστολή την προώθηση της τεχνικής γνώσης, αυτό το συνέδριο είναι ένα καυτό σημείο συνάντησης για επαγγελματίες της τεχνολογίας και της κυβερνοασφάλειας σε κάθε πειθαρχία.
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)