Wireshark tricks

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

WhiteIntel

WhiteIntel to silnik wyszukiwania zasilany przez dark-web, który oferuje darmowe funkcje do sprawdzenia, czy firma lub jej klienci zostali skompromentowani przez złośliwe oprogramowanie kradnące.

Głównym celem WhiteIntel jest zwalczanie przejęć kont i ataków ransomware wynikających z złośliwego oprogramowania kradnącego informacje.

Możesz sprawdzić ich stronę internetową i wypróbować ich silnik za darmo pod adresem:

Improve your Wireshark skills

Tutorials

Następujące samouczki są świetne do nauki kilku fajnych podstawowych trików:

Analysed Information

Expert Information

Klikając na Analyze --> Expert Information uzyskasz przegląd tego, co dzieje się w analizowanych pakietach:

Resolved Addresses

Pod Statistics --> Resolved Addresses możesz znaleźć kilka informacji, które zostały "rozwiązane" przez Wireshark, takich jak port/transport do protokołu, MAC do producenta itp. Interesujące jest wiedzieć, co jest zaangażowane w komunikację.

Protocol Hierarchy

Pod Statistics --> Protocol Hierarchy możesz znaleźć protokoły zaangażowane w komunikację oraz dane o nich.

Conversations

Pod Statistics --> Conversations możesz znaleźć podsumowanie rozmów w komunikacji oraz dane o nich.

Endpoints

Pod Statistics --> Endpoints możesz znaleźć podsumowanie punktów końcowych w komunikacji oraz dane o każdym z nich.

DNS info

Pod Statistics --> DNS możesz znaleźć statystyki dotyczące przechwyconego zapytania DNS.

I/O Graph

Pod Statistics --> I/O Graph możesz znaleźć wykres komunikacji.

Filters

Tutaj możesz znaleźć filtry Wireshark w zależności od protokołu: https://www.wireshark.org/docs/dfref/ Inne interesujące filtry:

(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
HTTP i początkowy ruch HTTPS
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
HTTP i początkowy ruch HTTPS + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
HTTP i początkowy ruch HTTPS + TCP SYN + zapytania DNS

Search

Jeśli chcesz wyszukiwać treść wewnątrz pakietów sesji, naciśnij CTRL+f. Możesz dodać nowe warstwy do głównego paska informacji (Nr, Czas, Źródło itp.) naciskając prawy przycisk i następnie edytując kolumnę.

Free pcap labs

Ćwicz z darmowymi wyzwaniami: https://www.malware-traffic-analysis.net/

Identifying Domains

Możesz dodać kolumnę, która pokazuje nagłówek Host HTTP:

I kolumnę, która dodaje nazwę serwera z inicjującego połączenia HTTPS (ssl.handshake.type == 1):

Identifying local hostnames

From DHCP

W obecnym Wireshark zamiast bootp musisz szukać DHCP

From NBNS

Decrypting TLS

Decrypting https traffic with server private key

edit>preference>protocol>ssl>

Naciśnij Edit i dodaj wszystkie dane serwera oraz klucz prywatny (IP, Port, Protokół, Plik klucza i hasło)

Decrypting https traffic with symmetric session keys

Zarówno Firefox, jak i Chrome mają możliwość rejestrowania kluczy sesji TLS, które można wykorzystać z Wireshark do odszyfrowania ruchu TLS. Umożliwia to szczegółową analizę zabezpieczonej komunikacji. Więcej informacji na temat tego, jak przeprowadzić to odszyfrowanie, można znaleźć w przewodniku na stronie Red Flag Security.

Aby to wykryć, przeszukaj środowisko pod kątem zmiennej SSLKEYLOGFILE

Plik z kluczami współdzielonymi będzie wyglądał tak:

Aby zaimportować to do Wireshark, przejdź do _edit > preference > protocol > ssl > i zaimportuj to w (Pre)-Master-Secret log filename:

ADB communication

Wyodrębnij APK z komunikacji ADB, gdzie APK został wysłany:

from scapy.all import *

pcap = rdpcap("final2.pcapng")

def rm_data(data):
splitted = data.split(b"DATA")
if len(splitted) == 1:
return data
else:
return splitted[0]+splitted[1][4:]

all_bytes = b""
for pkt in pcap:
if Raw in pkt:
a = pkt[Raw]
if b"WRTE" == bytes(a)[:4]:
all_bytes += rm_data(bytes(a)[24:])
else:
all_bytes += rm_data(bytes(a))
print(all_bytes)

f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()

WhiteIntel

WhiteIntel to wyszukiwarka zasilana dark-web, która oferuje darmowe funkcje sprawdzania, czy firma lub jej klienci zostali skompromentowani przez malware kradnące.

Głównym celem WhiteIntel jest zwalczanie przejęć kont i ataków ransomware wynikających z malware kradnącego informacje.

Możesz sprawdzić ich stronę internetową i wypróbować ich silnik za darmo pod adresem:

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie HackTricks