Wifi Pcap Analysis

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 分享黑客技巧。

检查 BSSID

当你收到一个主要流量为 Wifi 的捕获文件时，使用 WireShark 你可以开始调查捕获中的所有 SSID，方法是选择 Wireless --> WLAN Traffic：

该屏幕的其中一列指示是否在 pcap 中发现了 任何身份验证。如果是这种情况，你可以尝试使用 aircrack-ng 进行暴力破解：

aircrack-ng -w pwds-file.txt -b <BSSID> file.pcap

例如，它将检索保护PSK（预共享密钥）的WPA密码短语，这将在稍后解密流量时需要。

如果您怀疑数据在Wifi网络的信标中泄露，可以使用以下过滤器检查网络的信标：wlan contains <NAMEofNETWORK>，或wlan.ssid == "NAMEofNETWORK"，在过滤后的数据包中搜索可疑字符串。

以下链接将有助于查找在Wifi网络中发送数据的机器：

((wlan.ta == e8:de:27:16:70:c9) && !(wlan.fc == 0x8000)) && !(wlan.fc.type_subtype == 0x0005) && !(wlan.fc.type_subtype ==0x0004) && !(wlan.addr==ff:ff:ff:ff:ff:ff) && wlan.fc.type==2

如果您已经知道MAC地址，可以通过添加检查将其从输出中移除，例如：&& !(wlan.addr==5c:51:88:31:a0:3b)

一旦您检测到在网络中通信的未知MAC地址，可以使用过滤器，例如：wlan.addr==<MAC address> && (ftp || http || ssh || telnet)来过滤其流量。请注意，ftp/http/ssh/telnet过滤器在您解密流量后非常有用。

编辑 --> 首选项 --> 协议 --> IEEE 802.11--> 编辑

支持HackTricks

Last updated 1 month ago