Wireshark tricks
Last updated
Last updated
学习和实践AWS黑客技术:HackTricks培训AWS红队专家(ARTE) 学习和实践GCP黑客技术:HackTricks培训GCP红队专家(GRTE)
以下教程非常适合学习一些酷炫的基本技巧:
专家信息
点击 分析 --> 专家信息 你将获得一个概述,了解在分析的数据包中发生了什么:
已解析地址
在 统计信息 --> 已解析地址 下,你可以找到Wireshark“解析”的多条信息,如端口/传输到协议、MAC到制造商等。了解通信中涉及的内容是很有趣的。
协议层次
在 统计信息 --> 协议层次 下,你可以找到通信中涉及的协议及其相关数据。
对话
在 统计信息 --> 对话 下,你可以找到通信中的对话摘要及其相关数据。
端点
在 统计信息 --> 端点 下,你可以找到通信中的端点摘要及其相关数据。
DNS信息
在 统计信息 --> DNS 下,你可以找到捕获的DNS请求的统计信息。
I/O图
在 统计信息 --> I/O图 下,你可以找到通信图。
在这里你可以找到根据协议的Wireshark过滤器:https://www.wireshark.org/docs/dfref/ 其他有趣的过滤器:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
HTTP和初始HTTPS流量
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
HTTP和初始HTTPS流量 + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
HTTP和初始HTTPS流量 + TCP SYN + DNS请求
如果你想在会话的数据包中搜索****内容,请按 CTRL+f。你可以通过右键点击并编辑列来添加新的层到主信息栏(编号、时间、源等)。
通过以下免费挑战进行练习: https://www.malware-traffic-analysis.net/
你可以添加一个显示Host HTTP头的列:
以及一个添加发起HTTPS连接的服务器名称的列(ssl.handshake.type == 1):
在当前的Wireshark中,你需要搜索DHCP而不是bootp
edit>preference>protocol>ssl>
按 Edit 并添加服务器和私钥的所有数据(IP、端口、协议、密钥文件和密码)
Firefox和Chrome都能够记录TLS会话密钥,这些密钥可以与Wireshark一起使用以解密TLS流量。这允许对安全通信进行深入分析。有关如何执行此解密的更多详细信息,请参阅Red Flag Security中的指南。
要检测此内容,请在环境中搜索变量SSLKEYLOGFILE
共享密钥的文件看起来像这样:
要在Wireshark中导入此文件,请转到 _edit > preference > protocol > ssl > 并将其导入到(Pre)-Master-Secret日志文件名中:
从ADB通信中提取APK,其中APK被发送:
学习与实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
