Pcap Inspection
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
RootedCON은 스페인에서 가장 관련성이 높은 사이버 보안 이벤트이며 유럽에서 가장 중요한 행사 중 하나입니다. 기술 지식을 촉진하는 임무를 가지고 있는 이 회의는 모든 분야의 기술 및 사이버 보안 전문가들이 모이는 뜨거운 만남의 장소입니다.
PCAP와 PCAPNG에 대한 주의: PCAP 파일 형식에는 두 가지 버전이 있습니다; PCAPNG는 더 최신이며 모든 도구에서 지원되지 않습니다. 다른 도구에서 작업하기 위해 Wireshark 또는 다른 호환 도구를 사용하여 PCAPNG에서 PCAP로 파일을 변환해야 할 수도 있습니다.
pcap의 헤더가 손상된 경우 다음을 사용하여 수정해 보십시오: http://f00l.de/hacking/pcapfix.php
PacketTotal에서 pcap 내의 정보를 추출하고 악성 소프트웨어를 검색하십시오.
www.virustotal.com 및 www.hybrid-analysis.com에서 악의적인 활동을 검색하십시오.
https://apackets.com/에서 브라우저를 통한 전체 pcap 분석.
다음 도구는 통계, 파일 등을 추출하는 데 유용합니다.
PCAP을 분석할 예정이라면 Wireshark를 사용하는 방법을 기본적으로 알아야 합니다.
Wireshark 팁을 찾을 수 있습니다:
브라우저에서 pcap 분석.
Xplico _(리눅스 전용)_는 pcap을 분석하고 그로부터 정보를 추출할 수 있습니다. 예를 들어, pcap 파일에서 Xplico는 각 이메일(POP, IMAP 및 SMTP 프로토콜), 모든 HTTP 콘텐츠, 각 VoIP 통화(SIP), FTP, TFTP 등을 추출합니다.
설치
실행
Access to 127.0.0.1:9876 with credentials xplico:xplico
그런 다음 새 사례를 만들고, 사례 내에서 새 세션을 만들고 pcap 파일을 업로드합니다.
Xplico와 마찬가지로 pcap에서 객체를 분석하고 추출하는 도구입니다. 무료 버전이 있으며 여기서 다운로드할 수 있습니다. Windows에서 작동합니다. 이 도구는 패킷에서 분석된 다른 정보를 얻는 데 유용하여 더 빠르게 무슨 일이 일어나고 있는지 알 수 있습니다.
여기서 NetWitness Investigator를 다운로드할 수 있습니다 (Windows에서 작동합니다). 이것은 패킷을 분석하고 정보를 유용한 방식으로 정리하여 내부에서 무슨 일이 일어나고 있는지 알 수 있는 또 다른 유용한 도구입니다.
사용자 이름과 비밀번호 추출 및 인코딩 (HTTP, FTP, Telnet, IMAP, SMTP...)
인증 해시 추출 및 Hashcat을 사용하여 크랙 (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
시각적 네트워크 다이어그램 구축 (네트워크 노드 및 사용자)
DNS 쿼리 추출
모든 TCP 및 UDP 세션 재구성
파일 조각화
pcap 안에서 무언가를 찾고 있다면 ngrep을 사용할 수 있습니다. 다음은 주요 필터를 사용한 예입니다:
일반적인 조각 기술을 사용하면 pcap에서 파일과 정보를 추출하는 데 유용할 수 있습니다:
pcap 또는 라이브 인터페이스에서 자격 증명을 구문 분석하려면 https://github.com/lgandx/PCredz와 같은 도구를 사용할 수 있습니다.
RootedCON은 스페인에서 가장 관련성이 높은 사이버 보안 이벤트이며 유럽에서 가장 중요한 행사 중 하나입니다. 기술 지식을 촉진하는 임무를 가지고 이 회의는 모든 분야의 기술 및 사이버 보안 전문가들이 모이는 뜨거운 만남의 장소입니다.
설치 및 설정
pcap 확인
YaraPCAP는 다음과 같은 도구입니다.
PCAP 파일을 읽고 Http 스트림을 추출합니다.
압축된 스트림을 gzip으로 해제합니다.
모든 파일을 yara로 스캔합니다.
report.txt를 작성합니다.
선택적으로 일치하는 파일을 디렉토리에 저장합니다.
알려진 악성코드의 지문을 찾을 수 있는지 확인하세요:
Zeek는 수동적이고 오픈 소스인 네트워크 트래픽 분석기입니다. 많은 운영자들이 Zeek를 네트워크 보안 모니터(NSM)로 사용하여 의심스러운 또는 악의적인 활동에 대한 조사를 지원합니다. Zeek는 보안 도메인을 넘어 성능 측정 및 문제 해결을 포함한 다양한 트래픽 분석 작업도 지원합니다.
기본적으로 zeek
에 의해 생성된 로그는 pcap이 아닙니다. 따라서 pcap에 대한 정보가 있는 로그를 분석하기 위해 다른 도구를 사용해야 합니다.
RootedCON은 스페인에서 가장 관련성이 높은 사이버 보안 이벤트이며 유럽에서 가장 중요한 행사 중 하나입니다. 기술 지식을 촉진하는 임무를 가지고 있는 이 회의는 모든 분야의 기술 및 사이버 보안 전문가들이 모이는 뜨거운 만남의 장소입니다.
AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)