Wifi Pcap Analysis
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
WireSharkを使用してWifiの主要なトラフィックをキャプチャした場合、_Wireless --> WLAN Traffic_を使用してキャプチャのすべてのSSIDを調査し始めることができます:
その画面の1つの列は、pcap内に認証が見つかったかどうかを示しています。もしそうであれば、aircrack-ng
を使用してブルートフォースを試みることができます:
例えば、トラフィックを後で復号化するために必要なPSK(事前共有キー)を保護するWPAパスフレーズを取得します。
Wifiネットワークのビーコン内でデータが漏洩していると疑う場合、次のようなフィルターを使用してネットワークのビーコンを確認できます:wlan contains <NAMEofNETWORK>
、またはwlan.ssid == "NAMEofNETWORK"
フィルタリングされたパケット内で疑わしい文字列を検索します。
次のリンクは、Wifiネットワーク内でデータを送信しているマシンを見つけるのに役立ちます:
((wlan.ta == e8:de:27:16:70:c9) && !(wlan.fc == 0x8000)) && !(wlan.fc.type_subtype == 0x0005) && !(wlan.fc.type_subtype ==0x0004) && !(wlan.addr==ff:ff:ff:ff:ff:ff) && wlan.fc.type==2
MACアドレスをすでに知っている場合は、出力からそれらを削除できます。次のようなチェックを追加します:&& !(wlan.addr==5c:51:88:31:a0:3b)
ネットワーク内で通信している不明なMACアドレスを検出したら、次のようなフィルターを使用できます:wlan.addr==<MAC address> && (ftp || http || ssh || telnet)
トラフィックをフィルタリングします。ftp/http/ssh/telnetフィルターは、トラフィックを復号化した場合に便利です。
Edit --> Preferences --> Protocols --> IEEE 802.11--> Edit
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)