Wireshark tricks
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Aşağıdaki eğitimler bazı harika temel ipuçlarını öğrenmek için mükemmeldir:
Uzman Bilgisi
Analyze --> Expert Information seçeneğine tıkladığınızda, analiz edilen paketlerde neler olduğunu görebilirsiniz:
Çözülmüş Adresler
Statistics --> Resolved Addresses altında, wireshark tarafından "çözülen" çeşitli bilgiler bulabilirsiniz; örneğin, port/taşıyıcıdan protokole, MAC'tan üreticiye vb. İletişimde nelerin yer aldığını bilmek ilginçtir.
Protokol Hiyerarşisi
Statistics --> Protocol Hierarchy altında, iletişimde yer alan protokolleri ve bunlarla ilgili verileri bulabilirsiniz.
Görüşmeler
Statistics --> Conversations altında, iletişimdeki görüşmelerin bir özetini ve bunlarla ilgili verileri bulabilirsiniz.
Uç Noktalar
Statistics --> Endpoints altında, iletişimdeki uç noktaların bir özetini ve her biriyle ilgili verileri bulabilirsiniz.
DNS bilgisi
Statistics --> DNS altında, yakalanan DNS isteği hakkında istatistikler bulabilirsiniz.
G/Ç Grafiği
Statistics --> I/O Graph altında, iletişimin bir grafiğini bulabilirsiniz.
Burada protokole bağlı olarak wireshark filtrelerini bulabilirsiniz: https://www.wireshark.org/docs/dfref/ Diğer ilginç filtreler:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
HTTP ve başlangıç HTTPS trafiği
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
HTTP ve başlangıç HTTPS trafiği + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
HTTP ve başlangıç HTTPS trafiği + TCP SYN + DNS istekleri
Eğer oturumların paketleri içinde içerik aramak istiyorsanız, CTRL+f tuşlarına basın. Ana bilgi çubuğuna (No., Zaman, Kaynak vb.) yeni katmanlar eklemek için sağ tıklayıp ardından sütunu düzenleyebilirsiniz.
Ücretsiz zorluklarla pratik yapın: https://www.malware-traffic-analysis.net/
HTTP başlığını gösteren bir sütun ekleyebilirsiniz:
Ve bir HTTPS bağlantısını başlatan sunucu adını ekleyen bir sütun (ssl.handshake.type == 1):
Mevcut Wireshark'ta bootp
yerine DHCP
aramanız gerekiyor.
edit>preference>protocol>ssl>
Sunucu ve özel anahtarın tüm verilerini (IP, Port, Protokol, Anahtar dosyası ve şifre) eklemek için Edit seçeneğine tıklayın.
Hem Firefox hem de Chrome, TLS oturum anahtarlarını kaydetme yeteneğine sahiptir; bu anahtarlar Wireshark ile TLS trafiğini şifre çözmek için kullanılabilir. Bu, güvenli iletişimlerin derinlemesine analizine olanak tanır. Bu şifre çözme işlemini nasıl gerçekleştireceğinizle ilgili daha fazla ayrıntı Red Flag Security kılavuzunda bulunabilir.
Bunu tespit etmek için ortamda SSLKEYLOGFILE
değişkenini arayın.
Paylaşılan anahtarların bir dosyası şöyle görünecektir:
Bunu wireshark'a aktarmak için edit > preference > protocol > ssl > ve (Pre)-Master-Secret log filename kısmına aktarın:
APK'nin gönderildiği bir ADB iletişiminden bir APK çıkarın:
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)