Wireshark tricks
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Τα παρακάτω tutorials είναι καταπληκτικά για να μάθετε μερικά βασικά κόλπα:
Expert Information
Κάνοντας κλικ στο Analyze --> Expert Information θα έχετε μια επισκόπηση του τι συμβαίνει στα πακέτα που αναλύθηκαν:
Resolved Addresses
Κάτω από Statistics --> Resolved Addresses μπορείτε να βρείτε πολλές πληροφορίες που "έχουν επιλυθεί" από το wireshark όπως θύρα/μεταφορά σε πρωτόκολλο, MAC στον κατασκευαστή, κ.λπ. Είναι ενδιαφέρον να γνωρίζετε τι εμπλέκεται στην επικοινωνία.
Protocol Hierarchy
Κάτω από Statistics --> Protocol Hierarchy μπορείτε να βρείτε τα πρωτόκολλα που εμπλέκονται στην επικοινωνία και δεδομένα σχετικά με αυτά.
Conversations
Κάτω από Statistics --> Conversations μπορείτε να βρείτε μια σύνοψη των συνομιλιών στην επικοινωνία και δεδομένα σχετικά με αυτές.
Endpoints
Κάτω από Statistics --> Endpoints μπορείτε να βρείτε μια σύνοψη των endpoints στην επικοινωνία και δεδομένα σχετικά με το καθένα από αυτά.
DNS info
Κάτω από Statistics --> DNS μπορείτε να βρείτε στατιστικά σχετικά με το DNS αίτημα που καταγράφηκε.
I/O Graph
Κάτω από Statistics --> I/O Graph μπορείτε να βρείτε ένα γράφημα της επικοινωνίας.
Εδώ μπορείτε να βρείτε φίλτρα wireshark ανάλογα με το πρωτόκολλο: https://www.wireshark.org/docs/dfref/ Άλλα ενδιαφέροντα φίλτρα:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
HTTP και αρχική κίνηση HTTPS
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
HTTP και αρχική κίνηση HTTPS + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
HTTP και αρχική κίνηση HTTPS + TCP SYN + DNS αιτήματα
Αν θέλετε να αναζητήσετε περιεχόμενο μέσα στα πακέτα των συνεδριών πατήστε CTRL+f. Μπορείτε να προσθέσετε νέα επίπεδα στη βασική γραμμή πληροφοριών (No., Χρόνος, Πηγή, κ.λπ.) πατώντας το δεξί κουμπί και στη συνέχεια την επεξεργασία στήλης.
Εξασκηθείτε με τις δωρεάν προκλήσεις του: https://www.malware-traffic-analysis.net/
Μπορείτε να προσθέσετε μια στήλη που να δείχνει την κεφαλίδα Host HTTP:
Και μια στήλη που προσθέτει το όνομα του διακομιστή από μια αρχική σύνδεση HTTPS (ssl.handshake.type == 1):
Στην τρέχουσα έκδοση του Wireshark αντί για bootp πρέπει να αναζητήσετε DHCP
edit>preference>protocol>ssl>
Πατήστε Edit και προσθέστε όλα τα δεδομένα του διακομιστή και το ιδιωτικό κλειδί (IP, Θύρα, Πρωτόκολλο, Αρχείο κλειδιού και κωδικό πρόσβασης)
Και οι δύο Firefox και Chrome έχουν τη δυνατότητα να καταγράφουν τα κλειδιά συνεδρίας TLS, τα οποία μπορούν να χρησιμοποιηθούν με το Wireshark για να αποκρυπτογραφήσουν την κίνηση TLS. Αυτό επιτρέπει σε βάθος ανάλυση των ασφαλών επικοινωνιών. Περισσότερες λεπτομέρειες σχετικά με το πώς να εκτελέσετε αυτήν την αποκρυπτογράφηση μπορείτε να βρείτε σε έναν οδηγό στο Red Flag Security.
Για να το ανιχνεύσετε αναζητήστε μέσα στο περιβάλλον τη μεταβλητή SSLKEYLOGFILE
Ένα αρχείο κοινών κλειδιών θα φαίνεται έτσι:
Για να το εισάγετε στο wireshark πηγαίνετε στο _edit > preference > protocol > ssl > και εισάγετε το στο (Pre)-Master-Secret log filename:
Εξαγάγετε ένα APK από μια επικοινωνία ADB όπου το APK στάλθηκε:
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
