Wireshark tricks

Astuces Wireshark

Apprenez le piratage AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)!

Autres façons de soutenir HackTricks :

Améliorez vos compétences Wireshark

Tutoriels

Les tutoriels suivants sont excellents pour apprendre quelques astuces de base intéressantes :

Informations analysées

Informations d'expert

En cliquant sur Analyser --> Informations d'expert, vous aurez un aperçu de ce qui se passe dans les paquets analysés :

Adresses résolues

Sous Statistiques --> Adresses résolues, vous pouvez trouver plusieurs informations qui ont été "résolues" par Wireshark comme le port/transport vers le protocole, l'adresse MAC vers le fabricant, etc. Il est intéressant de savoir ce qui est impliqué dans la communication.

Hiérarchie des protocoles

Sous Statistiques --> Hiérarchie des protocoles, vous pouvez trouver les protocoles impliqués dans la communication et des données à leur sujet.

Conversations

Sous Statistiques --> Conversations, vous pouvez trouver un résumé des conversations dans la communication et des données à leur sujet.

Points d'extrémité

Sous Statistiques --> Points d'extrémité, vous pouvez trouver un résumé des points d'extrémité dans la communication et des données sur chacun d'eux.

Infos DNS

Sous Statistiques --> DNS, vous pouvez trouver des statistiques sur la requête DNS capturée.

Graphique E/S

Sous Statistiques --> Graphique E/S, vous pouvez trouver un graphique de la communication.

Filtres

Ici, vous pouvez trouver des filtres Wireshark en fonction du protocole : https://www.wireshark.org/docs/dfref/ Autres filtres intéressants :

  • (http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)

  • Trafic HTTP et HTTPS initial

  • (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)

  • Trafic HTTP et HTTPS initial + SYN TCP

  • (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)

  • Trafic HTTP et HTTPS initial + SYN TCP + requêtes DNS

Recherche

Si vous souhaitez rechercher du contenu à l'intérieur des paquets des sessions, appuyez sur CTRL+f. Vous pouvez ajouter de nouvelles couches à la barre d'informations principale (N°, Temps, Source, etc.) en appuyant sur le bouton droit, puis sur modifier la colonne.

Laboratoires pcap gratuits

Entraînez-vous avec les défis gratuits de : https://www.malware-traffic-analysis.net/

Identification des domaines

Vous pouvez ajouter une colonne qui affiche l'en-tête Host HTTP :

Et une colonne qui ajoute le nom du serveur à partir d'une connexion HTTPS initiale (ssl.handshake.type == 1):

Identification des noms d'hôtes locaux

À partir de DHCP

Dans Wireshark actuel, au lieu de bootp, vous devez rechercher DHCP

À partir de NBNS

Décryptage TLS

Décrypter le trafic https avec la clé privée du serveur

modifier>préférence>protocole>ssl>

Appuyez sur Modifier et ajoutez toutes les données du serveur et de la clé privée (IP, Port, Protocole, Fichier de clé et mot de passe)

Décrypter le trafic https avec des clés de session symétriques

Firefox et Chrome ont tous deux la capacité de journaliser les clés de session TLS, qui peuvent être utilisées avec Wireshark pour décrypter le trafic TLS. Cela permet une analyse approfondie des communications sécurisées. Plus de détails sur la façon d'effectuer ce décryptage peuvent être trouvés dans un guide sur Red Flag Security.

Pour détecter cela, recherchez à l'intérieur de l'environnement la variable SSLKEYLOGFILE

Un fichier de clés partagées ressemblera à ceci :

Pour importer cela dans Wireshark, allez à _modifier > préférence > protocole > ssl > et importez-le dans (Pré)-Master-Secret log filename :

Communication ADB

Extraire un APK d'une communication ADB où l'APK a été envoyé :

from scapy.all import *

pcap = rdpcap("final2.pcapng")

def rm_data(data):
splitted = data.split(b"DATA")
if len(splitted) == 1:
return data
else:
return splitted[0]+splitted[1][4:]

all_bytes = b""
for pkt in pcap:
if Raw in pkt:
a = pkt[Raw]
if b"WRTE" == bytes(a)[:4]:
all_bytes += rm_data(bytes(a)[24:])
else:
all_bytes += rm_data(bytes(a))
print(all_bytes)

f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()
Apprenez le piratage AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)!

D'autres façons de soutenir HackTricks:

Last updated