Wireshark tricks

Μάθετε το χάκινγκ AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι υποστήριξης του HackTricks:

Αν θέλετε να δείτε την εταιρεία σας διαφημισμένη στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
Αποκτήστε το επίσημο PEASS & HackTricks swag
Ανακαλύψτε την Οικογένεια PEASS, τη συλλογή μας από αποκλειστικά NFTs
Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα τηλεγραφήματος ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στα HackTricks και HackTricks Cloud αποθετήρια του github.

WhiteIntel

WhiteIntel είναι μια μηχανή αναζήτησης που τροφοδοτείται από το dark web και προσφέρει δωρεάν λειτουργίες για να ελέγξετε αν μια εταιρεία ή οι πελάτες της έχουν διαρρεύσει από κλέφτες κακόβουλων λογισμικών.

Ο βασικός στόχος του WhiteIntel είναι η καταπολέμηση των αναλήψεων λογαριασμών και των επιθέσεων ransomware που προκύπτουν από κλοπή πληροφοριών.

Μπορείτε να ελέγξετε τον ιστότοπό τους και να δοκιμάσετε τη μηχανή τους δωρεάν στο:

WhiteIntel

Βελτιώστε τις δεξιότητές σας στο Wireshark

Οδηγοί

Οι ακόλουθοι οδηγοί είναι εκπληκτικοί για να μάθετε μερικά ψυχαγωγικά βασικά κόλπα:

Αναλυμένες Πληροφορίες

Ειδικές Πληροφορίες

Κάνοντας κλικ σε Ανάλυση --> Ειδικές Πληροφορίες θα έχετε μια επισκόπηση του τι συμβαίνει στα αναλυμένα πακέτα:

Επιλυμένες Διευθύνσεις

Κάτω από Στατιστικά --> Επιλυμένες Διευθύνσεις μπορείτε να βρείτε πολλές πληροφορίες που έχουν "επιλυθεί" από το wireshark όπως θύρα/μεταφορά σε πρωτόκολλο, MAC στον κατασκευαστή, κλπ. Είναι ενδιαφέρον να γνωρίζετε τι εμπλέκεται στην επικοινωνία.

Ιεραρχία Πρωτοκόλλου

Κάτω από Στατιστικά --> Ιεραρχία Πρωτοκόλλου μπορείτε να βρείτε τα πρωτόκολλα που εμπλέκονται στην επικοινωνία και δεδομένα σχετικά με αυτά.

Συνομιλίες

Κάτω από Στατιστικά --> Συνομιλίες μπορείτε να βρείτε ένα σύνολο των συνομιλιών στην επικοινωνία και δεδομένα σχετικά με αυτές.

Ακραίες Σημεία

Κάτω από Στατιστικά --> Ακραία Σημεία μπορείτε να βρείτε ένα σύνολο των ακραίων σημείων στην επικοινωνία και δεδομένα για καθένα από αυτά.

Πληροφορίες DNS

Κάτω από Στατιστικά --> DNS μπορείτε να βρείτε στατιστικά σχετικά με τα καταγεγραμμένα αιτήματα DNS.

Γράφημα I/O

Κάτω από Στατιστικά --> Γράφημα I/O μπορείτε να βρείτε ένα γράφημα της επικοινωνίας.

Φίλτρα

Εδώ μπορείτε να βρείτε φίλτρα wireshark ανάλογα με το πρωτόκολλο: https://www.wireshark.org/docs/dfref/ Άλλα ενδιαφέροντα φίλτρα:

(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
Κίνηση HTTP και αρχική κίνηση HTTPS
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
Κίνηση HTTP και αρχική κίνηση HTTPS + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
Κίνηση HTTP και αρχική κίνηση HTTPS + TCP SYN + αιτήσεις DNS

Αναζήτηση

Αν θέλετε να αναζητήσετε περιεχόμενο μέσα στα πακέτα των συνεδριών πατήστε CTRL+f. Μπορείτε να προσθέσετε νέα επίπεδα στην κύρια γραμμή πληροφοριών (Αρ., Χρόνος, Πηγή, κλπ.) πατώντας το δεξί κουμπί και στη συνέχεια την επεξεργασία στήλης.

Δωρεάν εργαστήρια pcap

Εξάσκηση με τις δωρεάν προκλήσεις του: https://www.malware-traffic-analysis.net/

Αναγνώριση Domain

Μπορείτε να προσθέσετε μια στήλη που εμφανίζει τον Κεφαλίδα Κεφαλίδας HTTP:

Και μια στήλη που προσθέτει το όνομα Διακομιστή από μια αρχική σύνδεση HTTPS (ssl.handshake.type == 1):

Αναγνώριση τοπικών ονομάτων υπολογιστή

Από DHCP

Στο τρέχον Wireshark αντί για bootp πρέπει να αναζητήσετε το DHCP

Από NBNS

Αποκρυπτογράφηση TLS

Αποκρυπτογράφηση κίνησης https με ιδιωτικό κλειδί διακομιστή

επεξεργασία>προτίμηση>πρωτόκολλο>ssl>

Πατήστε Επεξεργασία και προσθέστε όλα τα δεδομένα του διακομιστή και το ιδιωτικό κλειδί (IP, Θύρα, Πρωτόκολλο, Αρχείο κλειδιού και κωδικό πρόσβασης)

Αποκρυπτογράφηση κίνησης https με συμμετρικά κλειδιά συνεδρίας

Τόσο ο Firefox όσο και ο Chrome έχουν τη δυνατότητα να καταγράφουν τα κλειδιά συνεδρίας TLS, τα οποία μπορούν να χρησιμοποιηθούν με το Wireshark για την αποκρυπτογράφηση της κίνησης TLS. Αυτό επιτρέπει την ανάλυση των ασφαλών επικοινωνιών. Περισσότερες λεπτομέρειες για το πώς να εκτελέσετε αυτήν την αποκρυπτογράφηση μπορείτε να βρείτε σε οδηγό στο Red Flag Security.

Για να ανιχνεύσετε αυτό αναζητήστε μέ

ADB επικοινωνία

Εξαγωγή ενός APK από μια ADB επικοινωνία όπου το APK στάλθηκε:

from scapy.all import *

pcap = rdpcap("final2.pcapng")

def rm_data(data):
splitted = data.split(b"DATA")
if len(splitted) == 1:
return data
else:
return splitted[0]+splitted[1][4:]

all_bytes = b""
for pkt in pcap:
if Raw in pkt:
a = pkt[Raw]
if b"WRTE" == bytes(a)[:4]:
all_bytes += rm_data(bytes(a)[24:])
else:
all_bytes += rm_data(bytes(a))
print(all_bytes)

f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()

WhiteIntel

WhiteIntel είναι ένας μηχανισμός αναζήτησης που τροφοδοτείται από το dark web και προσφέρει δωρεάν λειτουργίες για να ελέγξετε αν μια εταιρεία ή οι πελάτες της έχουν διαρρεύσει από κλέφτες κακόβουλων λογισμικών.

Ο κύριος στόχος του WhiteIntel είναι η καταπολέμηση των αναλήψεων λογαριασμών και των επιθέσεων ransomware που προκύπτουν από κακόβουλα λογισμικά που κλέβουν πληροφορίες.

Μπορείτε να ελέγξετε την ιστοσελίδα τους και να δοκιμάσετε τον μηχανισμό τους δωρεάν στο:

WhiteIntel

Μάθετε το χάκινγκ στο AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι υποστήριξης του HackTricks:

Αν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
Αποκτήστε το επίσημο PEASS & HackTricks swag
Ανακαλύψτε την Οικογένεια PEASS, τη συλλογή μας από αποκλειστικά NFTs
Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα τηλεγραφήματος ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στα αποθετήρια του HackTricks και του HackTricks Cloud.

PreviousWifi Pcap Analysis NextSpecific Software/File-Type Tricks

Last updated 21 days ago