Wireshark tricks
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
以下のチュートリアルは、いくつかのクールな基本的なトリックを学ぶのに素晴らしいです:
Expert Information
_Analyze --> Expert Information_をクリックすると、分析されたパケットで何が起こっているかの概要が得られます:
Resolved Addresses
_Statistics --> Resolved Addresses_の下には、wiresharkによって「解決された」いくつかの情報(ポート/トランスポートからプロトコル、MACから製造元など)を見つけることができます。通信に何が関与しているかを知るのは興味深いです。
Protocol Hierarchy
_Statistics --> Protocol Hierarchy_の下には、通信に関与するプロトコルとそれに関するデータを見つけることができます。
Conversations
_Statistics --> Conversations_の下には、通信の会話の概要とそれに関するデータを見つけることができます。
Endpoints
_Statistics --> Endpoints_の下には、通信のエンドポイントの概要とそれぞれに関するデータを見つけることができます。
DNS info
_Statistics --> DNS_の下には、キャプチャされたDNSリクエストに関する統計を見つけることができます。
I/O Graph
_Statistics --> I/O Graph_の下には、通信のグラフを見つけることができます。
ここでは、プロトコルに応じたwiresharkフィルターを見つけることができます:https://www.wireshark.org/docs/dfref/ 他の興味深いフィルター:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
HTTPおよび初期HTTPSトラフィック
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
HTTPおよび初期HTTPSトラフィック + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
HTTPおよび初期HTTPSトラフィック + TCP SYN + DNSリクエスト
セッションのパケット内のコンテンツを検索したい場合は、_CTRL+f_を押します。右ボタンを押してから列を編集することで、メイン情報バー(No.、Time、Sourceなど)に新しいレイヤーを追加できます。
無料のチャレンジで練習する: https://www.malware-traffic-analysis.net/
Host HTTPヘッダーを表示する列を追加できます:
そして、開始HTTPS接続からサーバー名を追加する列(ssl.handshake.type == 1):
現在のWiresharkでは、bootp
の代わりにDHCP
を検索する必要があります。
edit>preference>protocol>ssl>
サーバーとプライベートキーのすべてのデータを追加するために_Edit_を押します(IP、Port、Protocol、Key fileおよびpassword)
FirefoxとChromeの両方には、TLSセッションキーをログに記録する機能があり、これをWiresharkで使用してTLSトラフィックを復号化できます。これにより、安全な通信の詳細な分析が可能になります。この復号化を実行する方法の詳細は、Red Flag Securityのガイドにあります。
これを検出するには、環境内で変数SSLKEYLOGFILE
を検索します。
共有キーのファイルは次のようになります:
これをwiresharkにインポートするには、_edit > preference > protocol > ssl >_に移動し、(Pre)-Master-Secretログファイル名にインポートします:
APKが送信されたADB通信からAPKを抽出します:
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)