Wireshark tricks

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Improve your Wireshark skills

Tutorials

以下のチュートリアルは、いくつかのクールな基本的なトリックを学ぶのに素晴らしいです：

Analysed Information

Expert Information

_Analyze --> Expert Information_をクリックすると、分析されたパケットで何が起こっているかの概要が得られます：

Resolved Addresses

_Statistics --> Resolved Addresses_の下には、wiresharkによって「解決された」いくつかの情報（ポート/トランスポートからプロトコル、MACから製造元など）を見つけることができます。通信に関与しているものを知ることは興味深いです。

Protocol Hierarchy

_Statistics --> Protocol Hierarchy_の下には、通信に関与するプロトコルとそれに関するデータがあります。

Conversations

_Statistics --> Conversations_の下には、通信の会話の概要とそれに関するデータがあります。

Endpoints

_Statistics --> Endpoints_の下には、通信のエンドポイントの概要とそれぞれに関するデータがあります。

DNS info

_Statistics --> DNS_の下には、キャプチャされたDNSリクエストに関する統計があります。

I/O Graph

_Statistics --> I/O Graph_の下には、通信のグラフがあります。

Filters

ここでは、プロトコルに応じたwiresharkフィルターを見つけることができます：https://www.wireshark.org/docs/dfref/ 他の興味深いフィルター：

(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
HTTPおよび初期HTTPSトラフィック
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
HTTPおよび初期HTTPSトラフィック + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
HTTPおよび初期HTTPSトラフィック + TCP SYN + DNSリクエスト

Search

セッションのパケット内のコンテンツを検索したい場合は、_CTRL+f_を押します。メイン情報バー（No.、Time、Sourceなど）に新しいレイヤーを追加するには、右ボタンを押してから列を編集します。

Free pcap labs

無料のチャレンジで練習する： https://www.malware-traffic-analysis.net/

Identifying Domains

Host HTTPヘッダーを表示する列を追加できます：

そして、開始HTTPS接続からサーバー名を追加する列（ssl.handshake.type == 1）：

Identifying local hostnames

From DHCP

現在のWiresharkでは、bootpの代わりにDHCPを検索する必要があります。

From NBNS

Decrypting TLS

Decrypting https traffic with server private key

edit>preference>protocol>ssl>

_サーバーとプライベートキーのすべてのデータを追加するには、_Edit_を押します（IP、Port、Protocol、Key fileおよびpassword）

Decrypting https traffic with symmetric session keys

FirefoxとChromeの両方は、TLSセッションキーをログに記録する機能があり、これを使用してWiresharkでTLSトラフィックを復号化できます。これにより、安全な通信の詳細な分析が可能になります。この復号化を実行する方法の詳細は、Red Flag Securityのガイドにあります。

これを検出するには、環境内で変数SSLKEYLOGFILEを検索します。

共有キーのファイルは次のようになります：

これをwiresharkにインポートするには、_edit > preference > protocol > ssl >_に移動し、(Pre)-Master-Secretログファイル名にインポートします：

ADB communication

APKが送信されたADB通信からAPKを抽出します：

from scapy.all import *

pcap = rdpcap("final2.pcapng")

def rm_data(data):
splitted = data.split(b"DATA")
if len(splitted) == 1:
return data
else:
return splitted[0]+splitted[1][4:]

all_bytes = b""
for pkt in pcap:
if Raw in pkt:
a = pkt[Raw]
if b"WRTE" == bytes(a)[:4]:
all_bytes += rm_data(bytes(a)[24:])
else:
all_bytes += rm_data(bytes(a))
print(all_bytes)

f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
ハッキングトリックを共有するには、HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出してください。

PreviousWifi Pcap Analysis NextSpecific Software/File-Type Tricks

Last updated 2 months ago