Pcap Inspection
Last updated
Last updated
AWS Hacking öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
RootedCON İspanya'daki en ilgili siber güvenlik etkinliği ve Avrupa'daki en önemli etkinliklerden biridir. Teknik bilgiyi teşvik etme misyonu ile bu kongre, her disiplindeki teknoloji ve siber güvenlik profesyonelleri için kaynayan bir buluşma noktasıdır.
PCAP ile PCAPNG hakkında bir not: PCAP dosya formatının iki versiyonu vardır; PCAPNG daha yenidir ve tüm araçlar tarafından desteklenmez. Bazı diğer araçlarla çalışabilmek için bir dosyayı PCAPNG'den PCAP'a dönüştürmeniz gerekebilir, bunu Wireshark veya başka bir uyumlu araç kullanarak yapabilirsiniz.
Pcap'inizin başlığı bozuksa, bunu düzeltmek için şunu deneyin: http://f00l.de/hacking/pcapfix.php
Bir pcap içindeki bilgileri çıkarın ve kötü amaçlı yazılım arayın PacketTotal içinde
Kötü niyetli etkinlik aramak için www.virustotal.com ve www.hybrid-analysis.com kullanın
Tarayıcıdan tam pcap analizi için https://apackets.com/
Aşağıdaki araçlar istatistik, dosya vb. çıkarmak için kullanışlıdır.
Bir PCAP analiz edecekseniz, temelde Wireshark'ı nasıl kullanacağınızı bilmelisiniz
Bazı Wireshark ipuçlarını burada bulabilirsiniz:
Wireshark tricksTarayıcıdan pcap analizi.
Xplico (sadece linux) bir pcap analiz edebilir ve ondan bilgi çıkarabilir. Örneğin, bir pcap dosyasından Xplico, her e-postayı (POP, IMAP ve SMTP protokolleri), tüm HTTP içeriklerini, her VoIP çağrısını (SIP), FTP, TFTP vb. çıkarır.
Kurulum
Çalıştır
127.0.0.1:9876 adresine xplico:xplico kimlik bilgileriyle erişin.
Ardından yeni bir vaka oluşturun, vaka içinde yeni bir oturum oluşturun ve pcap dosyasını yükleyin.
Xplico gibi, pcap'lerden nesneleri analiz etmek ve çıkarmak için bir araçtır. Buradan indirebileceğiniz ücretsiz bir sürümü vardır. Windows ile çalışır. Bu araç, paketlerden diğer bilgilerin analiz edilmesi için de faydalıdır, böylece ne olduğunu daha hızlı bir şekilde anlayabilirsiniz.
NetWitness Investigator'ı buradan indirin (Windows'ta çalışır). Bu, paketleri analiz eden ve bilgileri içeride ne olduğunu bilmek için faydalı bir şekilde sıralayan başka bir kullanışlı araçtır.
Kullanıcı adlarını ve şifreleri çıkarmak ve kodlamak (HTTP, FTP, Telnet, IMAP, SMTP...)
Kimlik doğrulama hash'lerini çıkarmak ve Hashcat kullanarak kırmak (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
Görsel bir ağ diyagramı oluşturmak (Ağ düğümleri ve kullanıcılar)
DNS sorgularını çıkarmak
Tüm TCP ve UDP oturumlarını yeniden oluşturmak
Dosya Kesme
Eğer pcap içinde bir şey aramak istiyorsanız ngrep kullanabilirsiniz. İşte ana filtreleri kullanan bir örnek:
Yaygın carving tekniklerini kullanmak, pcap'tan dosyaları ve bilgileri çıkarmak için faydalı olabilir:
File/Data Carving & Recovery ToolsBir pcap veya canlı arayüzden kimlik bilgilerini ayrıştırmak için https://github.com/lgandx/PCredz gibi araçları kullanabilirsiniz.
RootedCON İspanya'daki en ilgili siber güvenlik etkinliği ve Avrupa'daki en önemli etkinliklerden biridir. Teknik bilgiyi teşvik etme misyonu ile bu kongre, her disiplindeki teknoloji ve siber güvenlik profesyonelleri için kaynayan bir buluşma noktasıdır.
Kurulum ve ayar
pcap kontrol et
YaraPCAP bir araçtır
Bir PCAP Dosyasını okur ve Http Akışlarını çıkarır.
Herhangi bir sıkıştırılmış akışı gzip ile açar
Her dosyayı yara ile tarar
report.txt dosyası yazar
İsteğe bağlı olarak eşleşen dosyaları bir Dizin'e kaydeder
Bilinen bir kötü amaçlı yazılımın herhangi bir parmak izini bulup bulamayacağını kontrol edin:
Malware AnalysisZeek pasif, açık kaynaklı bir ağ trafiği analizörüdür. Birçok operatör, şüpheli veya kötü niyetli etkinliklerin araştırmalarını desteklemek için Zeek'i bir Ağ Güvenliği İzleyici (NSM) olarak kullanır. Zeek ayrıca güvenlik alanının ötesinde, performans ölçümü ve sorun giderme dahil olmak üzere geniş bir trafik analizi görev yelpazesini destekler.
Temelde, zeek
tarafından oluşturulan günlükler pcap değildir. Bu nedenle, pcaplar hakkında bilgilerin bulunduğu günlükleri analiz etmek için diğer araçlar kullanmanız gerekecektir.
RootedCON İspanya'daki en ilgili siber güvenlik etkinliği ve Avrupa'daki en önemli etkinliklerden biridir. Teknik bilgiyi teşvik etme misyonu ile bu kongre, her disiplinde teknoloji ve siber güvenlik profesyonelleri için kaynayan bir buluşma noktasıdır.
AWS Hacking öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)