Wireshark tricks
Last updated
Last updated
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Sledeći tutorijali su sjajni za učenje nekih cool osnovnih trikova:
Expert informacije
Klikom na Analiziraj --> Expert informacije dobićete pregled onoga što se dešava u analiziranim paketima:
Rešene adrese
Pod Statistika --> Rešene adrese možete pronaći nekoliko informacija koje je wireshark "rešio", kao što su port/transport do protokola, MAC do proizvođača, itd. Zanimljivo je znati šta je uključeno u komunikaciju.
Hijerarhija protokola
Pod Statistika --> Hijerarhija protokola možete pronaći protokole uključene u komunikaciju i podatke o njima.
Razgovori
Pod Statistika --> Razgovori možete pronaći rezime razgovora u komunikaciji i podatke o njima.
Krajnje tačke
Pod Statistika --> Krajnje tačke možete pronaći rezime krajnjih tačaka u komunikaciji i podatke o svakoj od njih.
DNS info
Pod Statistika --> DNS možete pronaći statistiku o uhvaćenim DNS zahtevima.
I/O graf
Pod Statistika --> I/O graf možete pronaći graf komunikacije.
Ovde možete pronaći wireshark filtere u zavisnosti od protokola: https://www.wireshark.org/docs/dfref/ Ostali zanimljivi filteri:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
HTTP i inicijalni HTTPS saobraćaj
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
HTTP i inicijalni HTTPS saobraćaj + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
HTTP i inicijalni HTTPS saobraćaj + TCP SYN + DNS zahtevi
Ako želite da pretražujete sadržaj unutar paketa sesija pritisnite CTRL+f. Možete dodati nove slojeve u glavnu informativnu traku (Br., Vreme, Izvor, itd.) pritiskom desnog dugmeta i zatim uređivanjem kolone.
Vežbajte sa besplatnim izazovima na: https://www.malware-traffic-analysis.net/
Možete dodati kolonu koja prikazuje Host HTTP zaglavlje:
I kolonu koja dodaje ime servera iz inicijalne HTTPS veze (ssl.handshake.type == 1):
U trenutnom Wireshark-u umesto bootp
trebate pretraživati DHCP
edit>preference>protocol>ssl>
Pritisnite Edit i dodajte sve podatke o serveru i privatnom ključu (IP, Port, Protokol, Ključna datoteka i lozinka)
I Firefox i Chrome imaju mogućnost da beleže TLS sesijske ključeve, koji se mogu koristiti sa Wireshark-om za dekriptovanje TLS saobraćaja. Ovo omogućava dubinsku analizu sigurnih komunikacija. Više detalja o tome kako izvršiti ovo dekriptovanje možete pronaći u vodiču na Red Flag Security.
Da biste to otkrili, pretražujte unutar okruženja za promenljivu SSLKEYLOGFILE
Datoteka deljenih ključeva će izgledati ovako:
Da biste to uvezli u wireshark idite na _edit > preference > protocol > ssl > i uvezite to u (Pre)-Master-Secret log filename:
Izvucite APK iz ADB komunikacije gde je APK poslat:
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)