Wifi Pcap Analysis
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Όταν λάβετε μια καταγραφή της οποίας η κύρια κίνηση είναι Wifi χρησιμοποιώντας το WireShark, μπορείτε να αρχίσετε να ερευνάτε όλα τα SSIDs της καταγραφής με Wireless --> WLAN Traffic:
Μία από τις στήλες της οθόνης αυτής υποδεικνύει αν βρέθηκε οποιαδήποτε αυθεντικοποίηση μέσα στο pcap. Αν αυτό ισχύει, μπορείτε να προσπαθήσετε να το σπάσετε χρησιμοποιώντας το aircrack-ng
:
Για παράδειγμα, θα ανακτήσει το WPA passphrase που προστατεύει ένα PSK (προκαθορισμένο κλειδί), το οποίο θα απαιτηθεί για να αποκρυπτογραφήσετε την κίνηση αργότερα.
Εάν υποψιάζεστε ότι δεδομένα διαρρέουν μέσα σε beacons ενός δικτύου Wifi, μπορείτε να ελέγξετε τα beacons του δικτύου χρησιμοποιώντας ένα φίλτρο όπως το παρακάτω: wlan contains <NAMEofNETWORK>
, ή wlan.ssid == "NAMEofNETWORK"
αναζητώντας μέσα στα φιλτραρισμένα πακέτα για ύποπτες αλυσίδες.
Ο παρακάτω σύνδεσμος θα είναι χρήσιμος για να βρείτε τις μηχανές που στέλνουν δεδομένα μέσα σε ένα Δίκτυο Wifi:
((wlan.ta == e8:de:27:16:70:c9) && !(wlan.fc == 0x8000)) && !(wlan.fc.type_subtype == 0x0005) && !(wlan.fc.type_subtype ==0x0004) && !(wlan.addr==ff:ff:ff:ff:ff:ff) && wlan.fc.type==2
Εάν ήδη γνωρίζετε διευθύνσεις MAC μπορείτε να τις αφαιρέσετε από την έξοδο προσθέτοντας ελέγχους όπως αυτόν: && !(wlan.addr==5c:51:88:31:a0:3b)
Μόλις εντοπίσετε άγνωστες διευθύνσεις MAC που επικοινωνούν μέσα στο δίκτυο, μπορείτε να χρησιμοποιήσετε φίλτρα όπως το παρακάτω: wlan.addr==<MAC address> && (ftp || http || ssh || telnet)
για να φιλτράρετε την κίνησή τους. Σημειώστε ότι τα φίλτρα ftp/http/ssh/telnet είναι χρήσιμα εάν έχετε αποκρυπτογραφήσει την κίνηση.
Edit --> Preferences --> Protocols --> IEEE 802.11--> Edit
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)