Wifi Pcap Analysis

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

BSSIDを確認する

WireSharkを使用してWifiの主要なトラフィックをキャプチャした場合、_Wireless --> WLAN Traffic_を使用してキャプチャのすべてのSSIDを調査し始めることができます：

ブルートフォース

その画面の1つの列は、pcap内に認証が見つかったかどうかを示しています。もしそうであれば、aircrack-ngを使用してブルートフォースを試みることができます：

aircrack-ng -w pwds-file.txt -b <BSSID> file.pcap

例えば、PSK（事前共有キー）を保護するWPAパスフレーズを取得し、後でトラフィックを復号化するために必要です。

ビーコン / サイドチャネルのデータ

Wifiネットワークのビーコン内でデータが漏洩していると疑う場合、次のようなフィルターを使用してネットワークのビーコンを確認できます：wlan contains <NAMEofNETWORK>、またはwlan.ssid == "NAMEofNETWORK"フィルタリングされたパケット内で疑わしい文字列を検索します。

Wifiネットワーク内の不明なMACアドレスを見つける

次のリンクは、Wifiネットワーク内でデータを送信しているマシンを見つけるのに役立ちます：

((wlan.ta == e8:de:27:16:70:c9) && !(wlan.fc == 0x8000)) && !(wlan.fc.type_subtype == 0x0005) && !(wlan.fc.type_subtype ==0x0004) && !(wlan.addr==ff:ff:ff:ff:ff:ff) && wlan.fc.type==2

すでにMACアドレスを知っている場合は、出力からそれらを削除するために、次のようなチェックを追加できます：&& !(wlan.addr==5c:51:88:31:a0:3b)

ネットワーク内で通信している不明なMACアドレスを検出したら、次のようなフィルターを使用できます：wlan.addr==<MAC address> && (ftp || http || ssh || telnet)トラフィックをフィルタリングします。ftp/http/ssh/telnetフィルターは、トラフィックを復号化した場合に便利です。

トラフィックを復号化する

Edit --> Preferences --> Protocols --> IEEE 802.11--> Edit