Pcap Inspection

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Ako želite da vidite svoju kompaniju reklamiranu na HackTricks-u ili da preuzmete HackTricks u PDF formatu proverite PLANOVE ZA PRIJAVU!
Nabavite zvanični PEASS & HackTricks swag
Otkrijte Porodicu PEASS, našu kolekciju ekskluzivnih NFT-ova
Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @hacktricks_live.
Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

RootedCON je najrelevantniji događaj u oblasti kibernetičke bezbednosti u Španiji i jedan od najvažnijih u Evropi. Sa misijom promovisanja tehničkog znanja, ovaj kongres je ključno mesto susreta tehnoloških i bezbednosnih stručnjaka u svakoj disciplini.

RootedCONRootedCON

Napomena o PCAP vs PCAPNG: postoje dve verzije PCAP formata; PCAPNG je noviji i nije podržan od svih alata. Možda ćete morati da konvertujete fajl iz PCAPNG u PCAP koristeći Wireshark ili neki drugi kompatibilni alat, kako biste radili sa njim u nekim drugim alatima.

Online alati za pcap fajlove

Ako je zaglavlje vašeg pcap fajla oštećeno, trebalo bi da pokušate da ga popravite koristeći: http://f00l.de/hacking/pcapfix.php
Izvucite informacije i tražite malver unutar pcap fajla na PacketTotal
Tražite zlonamerne aktivnosti koristeći www.virustotal.com i www.hybrid-analysis.com

Izdvajanje informacija

Sledeći alati su korisni za izdvajanje statistika, fajlova, itd.

Wireshark

Ako ćete analizirati PCAP fajl, osnovno je da znate kako koristiti Wireshark

Možete pronaći neke trikove za Wireshark u:

pageWireshark tricks

Xplico Framework

Xplico (samo za linux) može analizirati pcap fajl i izvući informacije iz njega. Na primer, iz pcap fajla Xplico izvlači svaki email (POP, IMAP i SMTP protokoli), sve HTTP sadržaje, svaki VoIP poziv (SIP), FTP, TFTP, i tako dalje.

Instalacija

sudo bash -c 'echo "deb http://repo.xplico.org/ $(lsb_release -s -c) main" /etc/apt/sources.list'
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 791C25CE
sudo apt-get update
sudo apt-get install xplico

Pokreni

/etc/init.d/apache2 restart
/etc/init.d/xplico start

Pristupite 127.0.0.1:9876 sa pristupnim podacima xplico:xplico

Zatim kreirajte novi slučaj, napravite novu sesiju unutar slučaja i učitajte pcap datoteku.

NetworkMiner

Kao i Xplico, ovo je alat za analizu i izdvajanje objekata iz pcap-ova. Ima besplatno izdanje koje možete preuzeti ovde. Radi sa Windows-om. Ovaj alat je takođe koristan za dobijanje ostalih informacija analiziranih iz paketa kako biste mogli znati šta se dešavalo na brži način.

NetWitness Investigator

Možete preuzeti NetWitness Investigator ovde (Radi na Windows-u). Ovo je još jedan koristan alat koji analizira pakete i sortira informacije na koristan način kako biste znali šta se dešava unutra.

BruteShark

Izdvajanje i enkodiranje korisničkih imena i lozinki (HTTP, FTP, Telnet, IMAP, SMTP...)
Izdvajanje autentifikacionih heševa i njihovo pucanje korišćenjem Hashcat-a (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
Izgradnja vizuelnog dijagrama mreže (Mrežni čvorovi & korisnici)
Izdvajanje DNS upita
Rekonstrukcija svih TCP & UDP sesija
Rezanje datoteka

Capinfos

capinfos capture.pcap

Ngrep

Ako tražite nešto unutar pcap datoteke, možete koristiti ngrep. Evo primera korišćenja osnovnih filtera:

ngrep -I packets.pcap "^GET" "port 80 and tcp and host 192.168 and dst host 192.168 and src host 192.168"

Rezanje

Korišćenje uobičajenih tehnika rezanja može biti korisno za izvlačenje datoteka i informacija iz pcap datoteke:

pageFile/Data Carving & Recovery Tools

Snimanje akreditacija

Možete koristiti alate poput https://github.com/lgandx/PCredz za parsiranje akreditacija iz pcap datoteke ili sa živog interfejsa.

RootedCON je najrelevantniji događaj u oblasti kibernetičke bezbednosti u Španiji i jedan od najvažnijih u Evropi. Sa misijom promovisanja tehničkog znanja, ovaj kongres je ključno mesto susreta tehnoloških i stručnjaka za kibernetičku bezbednost u svakoj disciplini.

RootedCONRootedCON

Provera Eksploatacija/Malvera

Surikata

Instalacija i podešavanje

apt-get install suricata
apt-get install oinkmaster
echo "url = http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz" >> /etc/oinkmaster.conf
oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules

Provera pcap-a

suricata -r packets.pcap -c /etc/suricata/suricata.yaml -k none -v -l log

YaraPcap

YaraPCAP je alatka koja

Čita PCAP datoteku i izvlači HTTP tokove.
gzip dekompresuje bilo koje kompresovane tokove
Skenira svaku datoteku pomoću yara
Piše izveštaj.txt
Opciono čuva podudarne datoteke u direktorijumu

Analiza Malvera

Proverite da li možete pronaći bilo kakav otisak poznatog malvera:

pageMalware Analysis

Zeek

Zeek je pasivni, open-source analizator saobraćaja na mreži. Mnogi operateri koriste Zeek kao Monitor za bezbednost mreže (NSM) kako bi podržali istrage sumnjive ili zlonamerne aktivnosti. Zeek takođe podržava širok spektar zadataka analize saobraćaja izvan domena bezbednosti, uključujući merenje performansi i rešavanje problema.

U osnovi, zapisi kreirani pomoću zeek nisu pcap datoteke. Stoga će vam biti potrebni drugi alati za analizu zapisa gde se nalaze informacije o pcap datotekama.

#Get info about longest connections (add "grep udp" to see only udp traffic)
#The longest connection might be of malware (constant reverse shell?)
cat conn.log | zeek-cut id.orig_h id.orig_p id.resp_h id.resp_p proto service duration | sort -nrk 7 | head -n 10

10.55.100.100   49778   65.52.108.225   443     tcp     -       86222.365445
10.55.100.107   56099   111.221.29.113  443     tcp     -       86220.126151
10.55.100.110   60168   40.77.229.82    443     tcp     -       86160.119664


#Improve the metrics by summing up the total duration time for connections that have the same destination IP and Port.
cat conn.log | zeek-cut id.orig_h id.resp_h id.resp_p proto duration | awk 'BEGIN{ FS="\t" } { arr[$1 FS $2 FS $3 FS $4] += $5 } END{ for (key in arr) printf "%s%s%s\n", key, FS, arr[key] }' | sort -nrk 5 | head -n 10

10.55.100.100   65.52.108.225   443     tcp     86222.4
10.55.100.107   111.221.29.113  443     tcp     86220.1
10.55.100.110   40.77.229.82    443     tcp     86160.1

#Get the number of connections summed up per each line
cat conn.log | zeek-cut id.orig_h id.resp_h duration | awk 'BEGIN{ FS="\t" } { arr[$1 FS $2] += $3; count[$1 FS $2] += 1 } END{ for (key in arr) printf "%s%s%s%s%s\n", key, FS, count[key], FS, arr[key] }' | sort -nrk 4 | head -n 10

10.55.100.100   65.52.108.225   1       86222.4
10.55.100.107   111.221.29.113  1       86220.1
10.55.100.110   40.77.229.82    134       86160.1

#Check if any IP is connecting to 1.1.1.1
cat conn.log | zeek-cut id.orig_h id.resp_h id.resp_p proto service | grep '1.1.1.1' | sort | uniq -c

#Get number of connections per source IP, dest IP and dest Port
cat conn.log | zeek-cut id.orig_h id.resp_h id.resp_p proto | awk 'BEGIN{ FS="\t" } { arr[$1 FS $2 FS $3 FS $4] += 1 } END{ for (key in arr) printf "%s%s%s\n", key, FS, arr[key] }' | sort -nrk 5 | head -n 10


# RITA
#Something similar can be done with the tool rita
rita show-long-connections -H --limit 10 zeek_logs

+---------------+----------------+--------------------------+----------------+
|   SOURCE IP   | DESTINATION IP | DSTPORT:PROTOCOL:SERVICE |    DURATION    |
+---------------+----------------+--------------------------+----------------+
| 10.55.100.100 | 65.52.108.225  | 443:tcp:-                | 23h57m2.3655s  |
| 10.55.100.107 | 111.221.29.113 | 443:tcp:-                | 23h57m0.1262s  |
| 10.55.100.110 | 40.77.229.82   | 443:tcp:-                | 23h56m0.1197s  |

#Get connections info from rita
rita show-beacons zeek_logs | head -n 10
Score,Source IP,Destination IP,Connections,Avg Bytes,Intvl Range,Size Range,Top Intvl,Top Size,Top Intvl Count,Top Size Count,Intvl Skew,Size Skew,Intvl Dispersion,Size Dispersion
1,192.168.88.2,165.227.88.15,108858,197,860,182,1,89,53341,108319,0,0,0,0
1,10.55.100.111,165.227.216.194,20054,92,29,52,1,52,7774,20053,0,0,0,0
0.838,10.55.200.10,205.251.194.64,210,69,29398,4,300,70,109,205,0,0,0,0

DNS informacije

#Get info about each DNS request performed
cat dns.log | zeek-cut -c id.orig_h query qtype_name answers

#Get the number of times each domain was requested and get the top 10
cat dns.log | zeek-cut query | sort | uniq | rev | cut -d '.' -f 1-2 | rev | sort | uniq -c | sort -nr | head -n 10

#Get all the IPs
cat dns.log | zeek-cut id.orig_h query | grep 'example\.com' | cut -f 1 | sort | uniq -c

#Sort the most common DNS record request (should be A)
cat dns.log | zeek-cut qtype_name | sort | uniq -c | sort -nr

#See top DNS domain requested with rita
rita show-exploded-dns -H --limit 10 zeek_logs

Ostale trikove analize pcap-a

pageDNSCat pcap analysis pageWifi Pcap Analysis pageUSB Keystrokes

RootedCONRootedCON

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Ako želite da vidite svoju kompaniju reklamiranu na HackTricks-u ili preuzmete HackTricks u PDF formatu proverite PLANOVE ZA PRIJAVU!
Nabavite zvanični PEASS & HackTricks swag
Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @hacktricks_live.
Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

PreviousFile/Data Carving & Recovery Tools NextDNSCat pcap analysis

Last updated 1 month ago