Pcap Inspection
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
RootedCON to najważniejsze wydarzenie związane z cyberbezpieczeństwem w Hiszpanii i jedno z najważniejszych w Europie. Z misją promowania wiedzy technicznej, ten kongres jest gorącym punktem spotkań dla profesjonalistów z dziedziny technologii i cyberbezpieczeństwa w każdej dyscyplinie.
Uwaga na temat PCAP vs PCAPNG: istnieją dwie wersje formatu pliku PCAP; PCAPNG jest nowszy i nie jest obsługiwany przez wszystkie narzędzia. Może być konieczne przekształcenie pliku z PCAPNG na PCAP za pomocą Wireshark lub innego kompatybilnego narzędzia, aby móc z nim pracować w niektórych innych narzędziach.
Jeśli nagłówek twojego pcap jest uszkodzony, powinieneś spróbować go naprawić używając: http://f00l.de/hacking/pcapfix.php
Wyciągnij informacje i szukaj złośliwego oprogramowania w pcap w PacketTotal
Szukaj złośliwej aktywności używając www.virustotal.com i www.hybrid-analysis.com
Pełna analiza pcap z przeglądarki w https://apackets.com/
Następujące narzędzia są przydatne do wyciągania statystyk, plików itp.
Jeśli zamierzasz analizować PCAP, musisz zasadniczo wiedzieć, jak używać Wireshark
Możesz znaleźć kilka sztuczek Wireshark w:
Wireshark tricksAnaliza pcap z przeglądarki.
Xplico (tylko linux) może analizować pcap i wyciągać z niego informacje. Na przykład, z pliku pcap Xplico wyciąga każdą wiadomość e-mail (protokół POP, IMAP i SMTP), wszystkie treści HTTP, każde połączenie VoIP (SIP), FTP, TFTP itd.
Zainstaluj
Uruchom
Dostęp do 127.0.0.1:9876 z danymi uwierzytelniającymi xplico:xplico
Następnie utwórz nową sprawę, utwórz nową sesję w ramach sprawy i prześlij plik pcap.
Podobnie jak Xplico, jest to narzędzie do analizowania i wyodrębniania obiektów z pcapów. Ma darmową edycję, którą możesz pobrać tutaj. Działa na Windows. To narzędzie jest również przydatne do uzyskania innych analizowanych informacji z pakietów, aby móc szybciej zrozumieć, co się działo.
Możesz pobrać NetWitness Investigator stąd (Działa w Windows). To kolejne przydatne narzędzie, które analizuje pakiety i sortuje informacje w użyteczny sposób, aby wiedzieć, co się dzieje wewnątrz.
Wyodrębnianie i kodowanie nazw użytkowników i haseł (HTTP, FTP, Telnet, IMAP, SMTP...)
Wyodrębnianie hashy uwierzytelniających i łamanie ich za pomocą Hashcat (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
Budowanie wizualnego diagramu sieci (Węzły i użytkownicy sieci)
Wyodrębnianie zapytań DNS
Rekonstrukcja wszystkich sesji TCP i UDP
File Carving
Jeśli szukasz czegoś wewnątrz pcap, możesz użyć ngrep. Oto przykład użycia głównych filtrów:
Użycie powszechnych technik carvingu może być przydatne do wydobywania plików i informacji z pcap:
File/Data Carving & Recovery ToolsMożesz użyć narzędzi takich jak https://github.com/lgandx/PCredz do analizy poświadczeń z pcap lub z aktywnego interfejsu.
RootedCON to najważniejsze wydarzenie związane z cyberbezpieczeństwem w Hiszpanii i jedno z najważniejszych w Europie. Z misją promowania wiedzy technicznej, ten kongres jest gorącym punktem spotkań dla profesjonalistów z dziedziny technologii i cyberbezpieczeństwa w każdej dyscyplinie.
Zainstaluj i skonfiguruj
Sprawdź pcap
YaraPCAP to narzędzie, które
Odczytuje plik PCAP i wyodrębnia strumienie Http.
Rozpakowuje wszelkie skompresowane strumienie gzip
Skanuje każdy plik za pomocą yara
Pisze report.txt
Opcjonalnie zapisuje pasujące pliki do katalogu
Sprawdź, czy możesz znaleźć jakiekolwiek odciski palców znanego złośliwego oprogramowania:
Malware AnalysisZeek to pasywny, otwartoźródłowy analizator ruchu sieciowego. Wielu operatorów używa Zeeka jako Monitor Sieciowy (NSM) do wspierania dochodzeń w sprawie podejrzanej lub złośliwej aktywności. Zeek wspiera również szeroki zakres zadań analizy ruchu poza domeną bezpieczeństwa, w tym pomiar wydajności i rozwiązywanie problemów.
Zasadniczo, logi tworzone przez zeek nie są pcapami. Dlatego będziesz musiał użyć innych narzędzi, aby analizować logi, w których znajdują się informacje o pcapach.
RootedCON to najważniejsze wydarzenie związane z cyberbezpieczeństwem w Hiszpanii i jedno z najważniejszych w Europie. Z misją promowania wiedzy technicznej, ten kongres jest gorącym punktem spotkań dla profesjonalistów z dziedziny technologii i cyberbezpieczeństwa w każdej dyscyplinie.
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
