Pcap Inspection
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
RootedCON є найважливішою подією в сфері кібербезпеки в Іспанії та однією з найважливіших в Європі. З метою популяризації технічних знань, цей конгрес є гарячою точкою зустрічі для професіоналів у сфері технологій та кібербезпеки в усіх дисциплінах.
Примітка про PCAP та PCAPNG: існує дві версії формату файлів PCAP; PCAPNG є новішим і не підтримується всіма інструментами. Вам може знадобитися конвертувати файл з PCAPNG в PCAP за допомогою Wireshark або іншого сумісного інструменту, щоб працювати з ним в деяких інших інструментах.
Якщо заголовок вашого pcap пошкоджений, ви повинні спробувати виправити його за допомогою: http://f00l.de/hacking/pcapfix.php
Витягніть інформацію та шукайте шкідливе ПЗ всередині pcap в PacketTotal
Шукайте шкідливу активність за допомогою www.virustotal.com та www.hybrid-analysis.com
Повний аналіз pcap з браузера в https://apackets.com/
Наступні інструменти корисні для витягування статистики, файлів тощо.
Якщо ви збираєтеся аналізувати PCAP, ви в основному повинні знати, як користуватися Wireshark
Ви можете знайти деякі трюки Wireshark у:
Wireshark tricksАналіз pcap з браузера.
Xplico (тільки linux) може аналізувати pcap та витягувати інформацію з нього. Наприклад, з файлу pcap Xplico витягує кожен електронний лист (протоколи POP, IMAP та SMTP), весь HTTP контент, кожен VoIP дзвінок (SIP), FTP, TFTP тощо.
Встановіть
Запустити
Доступ до 127.0.0.1:9876 з обліковими даними xplico:xplico
Потім створіть нову справу, створіть нову сесію всередині справи та завантажте pcap файл.
Як і Xplico, це інструмент для аналізу та вилучення об'єктів з pcaps. Він має безкоштовну версію, яку ви можете завантажити тут. Він працює на Windows. Цей інструмент також корисний для отримання іншої інформації, проаналізованої з пакетів, щоб мати можливість швидше зрозуміти, що відбувається.
Ви можете завантажити NetWitness Investigator звідси (Працює на Windows). Це ще один корисний інструмент, який аналізує пакети та сортує інформацію у зручний спосіб, щоб знати, що відбувається всередині.
Вилучення та кодування імен користувачів і паролів (HTTP, FTP, Telnet, IMAP, SMTP...)
Вилучення хешів аутентифікації та їх зламування за допомогою Hashcat (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
Створення візуальної мережевої діаграми (мережеві вузли та користувачі)
Вилучення DNS запитів
Відновлення всіх TCP та UDP сесій
Вилучення файлів
Якщо ви шукаєте щось всередині pcap, ви можете використовувати ngrep. Ось приклад з використанням основних фільтрів:
Використання загальних технік карвінгу може бути корисним для витягування файлів та інформації з pcap:
File/Data Carving & Recovery ToolsВи можете використовувати інструменти, такі як https://github.com/lgandx/PCredz, для парсингу облікових даних з pcap або живого інтерфейсу.
RootedCON є найважливішою подією в сфері кібербезпеки в Іспанії та однією з найважливіших в Європі. З метою просування технічних знань, цей конгрес є гарячою точкою зустрічі для професіоналів у сфері технологій та кібербезпеки в усіх дисциплінах.
Встановлення та налаштування
Перевірте pcap
YaraPCAP - це інструмент, який
Читає файл PCAP і витягує HTTP потоки.
Розпаковує будь-які стиснуті потоки за допомогою gzip.
Сканує кожен файл за допомогою yara.
Пише report.txt.
За бажанням зберігає відповідні файли в директорію.
Перевірте, чи можете ви знайти будь-які відбитки відомого шкідливого ПЗ:
Malware AnalysisZeek - це пасивний, відкритий аналізатор мережевого трафіку. Багато операторів використовують Zeek як монітор безпеки мережі (NSM) для підтримки розслідувань підозрілої або шкідливої діяльності. Zeek також підтримує широкий спектр завдань аналізу трафіку поза межами домену безпеки, включаючи вимірювання продуктивності та усунення неполадок.
В основному, журнали, створені zeek
, не є pcaps. Тому вам потрібно буде використовувати інші інструменти для аналізу журналів, де міститься інформація про pcaps.
RootedCON є найактуальнішою подією в сфері кібербезпеки в Іспанії та однією з найважливіших в Європі. З метою просування технічних знань, цей конгрес є гарячою точкою зустрічі для професіоналів у сфері технологій та кібербезпеки в усіх дисциплінах.
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)