Wireshark tricks
Last updated
Last updated
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
Los siguientes tutoriales son increíbles para aprender algunos trucos básicos geniales:
Información Experta
Al hacer clic en Analizar --> Información Experta tendrás una visión general de lo que está sucediendo en los paquetes analizados:
Direcciones Resueltas
Bajo Estadísticas --> Direcciones Resueltas puedes encontrar varias informaciones que fueron "resueltas" por Wireshark como puerto/transporte a protocolo, MAC al fabricante, etc. Es interesante saber qué está implicado en la comunicación.
Jerarquía de Protocolos
Bajo Estadísticas --> Jerarquía de Protocolos puedes encontrar los protocolos involucrados en la comunicación y datos sobre ellos.
Conversaciones
Bajo Estadísticas --> Conversaciones puedes encontrar un resumen de las conversaciones en la comunicación y datos sobre ellas.
Puntos Finales
Bajo Estadísticas --> Puntos Finales puedes encontrar un resumen de los puntos finales en la comunicación y datos sobre cada uno de ellos.
Información DNS
Bajo Estadísticas --> DNS puedes encontrar estadísticas sobre la solicitud DNS capturada.
Gráfico I/O
Bajo Estadísticas --> Gráfico I/O puedes encontrar un gráfico de la comunicación.
Aquí puedes encontrar filtros de Wireshark dependiendo del protocolo: https://www.wireshark.org/docs/dfref/ Otros filtros interesantes:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
Tráfico HTTP y HTTPS inicial
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
Tráfico HTTP y HTTPS inicial + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
Tráfico HTTP y HTTPS inicial + TCP SYN + solicitudes DNS
Si deseas buscar contenido dentro de los paquetes de las sesiones presiona CTRL+f. Puedes agregar nuevas capas a la barra de información principal (No., Hora, Origen, etc.) presionando el botón derecho y luego editando la columna.
Practica con los desafíos gratuitos de: https://www.malware-traffic-analysis.net/
Puedes agregar una columna que muestre el encabezado Host HTTP:
Y una columna que agregue el nombre del servidor de una conexión HTTPS iniciadora (ssl.handshake.type == 1):
En la versión actual de Wireshark en lugar de bootp
necesitas buscar DHCP
edit>preferencia>protocolo>ssl>
Presiona Editar y agrega todos los datos del servidor y la clave privada (IP, Puerto, Protocolo, Archivo de clave y contraseña)
Tanto Firefox como Chrome tienen la capacidad de registrar claves de sesión TLS, que se pueden usar con Wireshark para desencriptar tráfico TLS. Esto permite un análisis profundo de las comunicaciones seguras. Más detalles sobre cómo realizar esta desencriptación se pueden encontrar en una guía en Red Flag Security.
Para detectar esto, busca dentro del entorno la variable SSLKEYLOGFILE
Un archivo de claves compartidas se verá así:
Para importar esto en Wireshark ve a _editar > preferencia > protocolo > ssl > e impórtalo en (Pre)-Master-Secret log filename:
Extrae un APK de una comunicación ADB donde se envió el APK:
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)