Wireshark tricks
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Наступні навчальні посібники чудові для вивчення деяких основних трюків:
Expert Information
Клацнувши на Analyze --> Expert Information, ви отримаєте огляд того, що відбувається в аналізованих пакетах:
Resolved Addresses
У Statistics --> Resolved Addresses ви можете знайти кілька інформації, яка була "розв'язана" Wireshark, наприклад, порт/транспорт до протоколу, MAC до виробника тощо. Цікаво знати, що залучено в комунікацію.
Protocol Hierarchy
У Statistics --> Protocol Hierarchy ви можете знайти протоколи, залучені в комунікацію, та дані про них.
Conversations
У Statistics --> Conversations ви можете знайти резюме розмов у комунікації та дані про них.
Endpoints
У Statistics --> Endpoints ви можете знайти резюме кінцевих точок у комунікації та дані про кожну з них.
DNS info
У Statistics --> DNS ви можете знайти статистику про захоплені DNS запити.
I/O Graph
У Statistics --> I/O Graph ви можете знайти графік комунікації.
Тут ви можете знайти фільтри Wireshark в залежності від протоколу: https://www.wireshark.org/docs/dfref/ Інші цікаві фільтри:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
HTTP та початковий HTTPS трафік
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
HTTP та початковий HTTPS трафік + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
HTTP та початковий HTTPS трафік + TCP SYN + DNS запити
Якщо ви хочете шукати вміст всередині пакетів сесій, натисніть CTRL+f. Ви можете додати нові шари до основної інформаційної панелі (No., Time, Source тощо), натиснувши праву кнопку миші, а потім редагуючи стовпець.
Практикуйтеся з безкоштовними викликами на: https://www.malware-traffic-analysis.net/
Ви можете додати стовпець, який показує заголовок Host HTTP:
І стовпець, який додає ім'я сервера з ініціюючого HTTPS з'єднання (ssl.handshake.type == 1):
У поточному Wireshark замість bootp
вам потрібно шукати DHCP
edit>preference>protocol>ssl>
Натисніть Edit і додайте всі дані сервера та приватний ключ (IP, Port, Protocol, Key file and password)
Як Firefox, так і Chrome мають можливість записувати симетричні ключі сесії TLS, які можна використовувати з Wireshark для розшифровки трафіку TLS. Це дозволяє проводити детальний аналіз захищених комунікацій. Більше деталей про те, як виконати це розшифрування, можна знайти в посібнику на Red Flag Security.
Щоб виявити це, шукайте в середовищі змінну SSLKEYLOGFILE
Файл спільних ключів виглядатиме так:
Щоб імпортувати це в Wireshark, перейдіть до _edit > preference > protocol > ssl > і імпортуйте його в (Pre)-Master-Secret log filename:
Витягніть APK з ADB комунікації, де APK був надісланий:
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)