Wireshark tricks
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
I seguenti tutorial sono fantastici per imparare alcuni trucchi di base:
Informazioni esperte
Cliccando su Analizza --> Informazioni esperte avrai una panoramica di ciò che sta accadendo nei pacchetti analizzati:
Indirizzi risolti
Sotto Statistiche --> Indirizzi risolti puoi trovare diverse informazioni che sono state "risolte" da wireshark come porta/trasporto a protocollo, MAC al produttore, ecc. È interessante sapere cosa è implicato nella comunicazione.
Gerarchia dei protocolli
Sotto Statistiche --> Gerarchia dei protocolli puoi trovare i protocolli coinvolti nella comunicazione e dati su di essi.
Conversazioni
Sotto Statistiche --> Conversazioni puoi trovare un riassunto delle conversazioni nella comunicazione e dati su di esse.
Punti finali
Sotto Statistiche --> Punti finali puoi trovare un riassunto dei punti finali nella comunicazione e dati su ciascuno di essi.
Informazioni DNS
Sotto Statistiche --> DNS puoi trovare statistiche sulla richiesta DNS catturata.
Grafico I/O
Sotto Statistiche --> Grafico I/O puoi trovare un grafico della comunicazione.
Qui puoi trovare filtri wireshark a seconda del protocollo: https://www.wireshark.org/docs/dfref/ Altri filtri interessanti:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
Traffico HTTP e HTTPS iniziale
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
Traffico HTTP e HTTPS iniziale + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
Traffico HTTP e HTTPS iniziale + TCP SYN + richieste DNS
Se vuoi cercare contenuti all'interno dei pacchetti delle sessioni premi CTRL+f. Puoi aggiungere nuovi livelli alla barra delle informazioni principali (No., Tempo, Sorgente, ecc.) premendo il tasto destro e poi modificando la colonna.
Pratica con le sfide gratuite di: https://www.malware-traffic-analysis.net/
Puoi aggiungere una colonna che mostra l'intestazione Host HTTP:
E una colonna che aggiunge il nome del server da una connessione HTTPS iniziale (ssl.handshake.type == 1):
Nell'attuale Wireshark invece di bootp devi cercare DHCP
edit>preference>protocol>ssl>
Premi Edit e aggiungi tutti i dati del server e la chiave privata (IP, Porta, Protocollo, File chiave e password)
Sia Firefox che Chrome hanno la capacità di registrare le chiavi di sessione TLS, che possono essere utilizzate con Wireshark per decrittare il traffico TLS. Questo consente un'analisi approfondita delle comunicazioni sicure. Maggiori dettagli su come eseguire questa decrittazione possono essere trovati in una guida su Red Flag Security.
Per rilevare questo cerca all'interno dell'ambiente la variabile SSLKEYLOGFILE
Un file di chiavi condivise apparirà così:
Per importarlo in wireshark vai su _edit > preference > protocol > ssl > e importalo in (Pre)-Master-Secret log filename:
Estrai un APK da una comunicazione ADB dove l'APK è stato inviato:
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
