Wireshark tricks

Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

As jy jou maatskappy geadverteer wil sien in HackTricks of HackTricks in PDF wil aflaai Kyk na die INSKRYWINGSPLANNE!
Kry die amptelike PEASS & HackTricks swag
Ontdek Die PEASS Familie, ons versameling van eksklusiewe NFTs
Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel jou haktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslag.

WhiteIntel

WhiteIntel is 'n donkerweb-aangedrewe soekenjin wat gratis funksies bied om te kyk of 'n maatskappy of sy kliënte deur steel-malware gekompromiteer is.

Die primêre doel van WhiteIntel is om rekening-oorneem te bekamp en losgeldaanvalle as gevolg van inligtingsteel-malware te voorkom.

Jy kan hul webwerf besoek en hul enjin gratis probeer by:

WhiteIntel

Verbeter jou Wireshark-vaardighede

Tutoriale

Die volgende tutoriale is wonderlik om 'n paar koel basiese truuks te leer:

Geanaliseerde Inligting

Kennerinligting

Deur te klik op Analiseer --> Kennerinligting sal jy 'n oorhoofse siening hê van wat in die geanaliseerde pakkies gebeur:

Opgeloste Adresse

Onder Statistiek --> Opgeloste Adresse kan jy verskeie inligting vind wat deur Wireshark "opgelos" is soos poort/vervoer na protokol, MAC na die vervaardiger, ens. Dit is interessant om te weet wat betrokke is by die kommunikasie.

Protokolhiërargie

Onder Statistiek --> Protokolhiërargie kan jy die protokolle vind wat betrokke is by die kommunikasie en inligting daaroor.

Gesprekke

Onder Statistiek --> Gesprekke kan jy 'n opsomming van die gesprekke in die kommunikasie vind en inligting daaroor.

Eindpunte

Onder Statistiek --> Eindpunte kan jy 'n opsomming van die eindpunte in die kommunikasie vind en inligting oor elkeen van hulle.

DNS-inligting

Onder Statistiek --> DNS kan jy statistieke vind oor die DNS-versoek wat vasgelê is.

I/O-grafiek

Onder Statistiek --> I/O-grafiek kan jy 'n grafiek van die kommunikasie vind.

Filters

Hier kan jy Wireshark-filter vind afhangende van die protokol: https://www.wireshark.org/docs/dfref/ Ander interessante filters:

(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
HTTP en aanvanklike HTTPS-verkeer
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
HTTP en aanvanklike HTTPS-verkeer + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
HTTP en aanvanklike HTTPS-verkeer + TCP SYN + DNS-versoeke

Soek

As jy wil soek vir inhoud binne die pakkies van die sessies, druk CTRL+f. Jy kan nuwe lae by die hoofinligtingstafel (Nr., Tyd, Bron, ens.) voeg deur die regterknoppie te druk en dan die kolom te wysig.

Gratis pcap-laboratoriums

Oefen met die gratis uitdagings van: https://www.malware-traffic-analysis.net/

Identifiseer Domeine

Jy kan 'n kolom byvoeg wat die Gas HTTP-kop wys:

En 'n kolom wat die Bedienernaam byvoeg van 'n inisieerende HTTPS-verbinding (ssl.handshake.type == 1):

Identifiseer plaaslike gasnaam

Vanaf DHCP

In die huidige Wireshark moet jy in plaas van bootp soek vir DHCP

Vanaf NBNS

Ontsleutel TLS

Ontsleutel https-verkeer met bedienerprivaatsleutel

wysig>voorkeur>protokol>ssl>

Druk Wysig en voeg al die data van die bediener en die privaatsleutel by (IP, Poort, Protokol, Sleutel lêer en wagwoord)

Ontsleutel https-verkeer met simmetriese sessiesleutels

Beide Firefox en Chrome het die vermoë om TLS-sessiesleutels te log, wat met Wireshark gebruik kan word om TLS-verkeer te ontsluit. Dit maak in-diepte analise van veilige kommunikasie moontlik. Meer besonderhede oor hoe om hierdie ontsleuteling uit te voer, kan gevind word in 'n gids by Red Flag Security.

Om dit op te spoor, soek binne die omgewing vir die veranderlike SSLKEYLOGFILE

'n Lêer van gedeelde sleutels sal soos volg lyk:

Om dit in Wireshark in te voer, gaan na _wysig > voorkeur > protokol > ssl > en voer dit in (Pre)-Master-Secret log-lêernaam:

ADB kommunikasie

Haal 'n APK uit 'n ADB kommunikasie waar die APK gestuur is:

from scapy.all import *

pcap = rdpcap("final2.pcapng")

def rm_data(data):
splitted = data.split(b"DATA")
if len(splitted) == 1:
return data
else:
return splitted[0]+splitted[1][4:]

all_bytes = b""
for pkt in pcap:
if Raw in pkt:
a = pkt[Raw]
if b"WRTE" == bytes(a)[:4]:
all_bytes += rm_data(bytes(a)[24:])
else:
all_bytes += rm_data(bytes(a))
print(all_bytes)

f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()

WhiteIntel

WhiteIntel is 'n dark-web aangedrewe soekenjin wat gratis funksies bied om te kontroleer of 'n maatskappy of sy kliënte deur diewe malware gekompromitteer is.

Hul primêre doel van WhiteIntel is om rekening-oorneemings en lospryse-aanvalle te beveg wat voortspruit uit inligtingsteel-malware.

Jy kan hul webwerf besoek en hul enjin vir gratis probeer by:

WhiteIntel

Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

As jy wil sien dat jou maatskappy geadverteer word in HackTricks of HackTricks aflaai in PDF-formaat Kyk na die INSKRYWINGSPLANNE!
Kry die amptelike PEASS & HackTricks swag
Ontdek Die PEASS Familie, ons versameling eksklusiewe NFTs
Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel jou haktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslag.

PreviousWifi Pcap Analysis NextSpecific Software/File-Type Tricks

Last updated 2 days ago