2024-04-07 05:33:57 +00:00
# Wireshark truuks
2024-04-06 18:08:38 +00:00
< details >
2024-04-07 05:33:57 +00:00
< summary > < strong > Leer AWS-hacking vanaf nul tot held met< / strong > < a href = "https://training.hacktricks.xyz/courses/arte" > < strong > htARTE (HackTricks AWS Red Team Expert)< / strong > < / a > < strong > !< / strong > < / summary >
2024-04-06 18:08:38 +00:00
Ander maniere om HackTricks te ondersteun:
2024-04-07 05:33:57 +00:00
* As jy jou **maatskappy geadverteer wil sien in HackTricks** of **HackTricks in PDF wil aflaai** Kyk na die [**INSKRYWINGSPLANNE** ](https://github.com/sponsors/carlospolop )!
2024-04-06 18:08:38 +00:00
* Kry die [**amptelike PEASS & HackTricks swag** ](https://peass.creator-spring.com )
2024-05-05 22:31:04 +00:00
* Ontdek [**Die PEASS Familie** ](https://opensea.io/collection/the-peass-family ), ons versameling van eksklusiewe [**NFTs** ](https://opensea.io/collection/the-peass-family )
2024-04-07 05:33:57 +00:00
* **Sluit aan by die** 💬 [**Discord-groep** ](https://discord.gg/hRep4RUj7f ) of die [**telegram-groep** ](https://t.me/peass ) of **volg** ons op **Twitter** 🐦 [**@hacktricks\_live** ](https://twitter.com/hacktricks\_live )**.**
2024-05-05 22:31:04 +00:00
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks** ](https://github.com/carlospolop/hacktricks ) en [**HackTricks Cloud** ](https://github.com/carlospolop/hacktricks-cloud ) github-opslag.
2024-04-06 18:08:38 +00:00
< / details >
2024-04-18 04:05:40 +00:00
### [WhiteIntel](https://whiteintel.io)
2024-05-05 22:31:04 +00:00
< figure > < img src = "../../../.gitbook/assets/image (1227).png" alt = "" > < figcaption > < / figcaption > < / figure >
2024-04-18 04:05:40 +00:00
2024-05-05 22:31:04 +00:00
[**WhiteIntel** ](https://whiteintel.io ) is 'n **donkerweb** -aangedrewe soekenjin wat **gratis** funksies bied om te kyk of 'n maatskappy of sy kliënte deur **steel-malware** **gekompromiteer** is.
2024-04-18 04:05:40 +00:00
2024-05-05 22:31:04 +00:00
Die primêre doel van WhiteIntel is om rekening-oorneem te bekamp en losgeldaanvalle as gevolg van inligtingsteel-malware te voorkom.
2024-04-18 04:05:40 +00:00
Jy kan hul webwerf besoek en hul enjin **gratis** probeer by:
{% embed url="https://whiteintel.io" %}
2024-05-05 22:31:04 +00:00
***
2024-04-18 04:05:40 +00:00
2024-04-06 18:08:38 +00:00
## Verbeter jou Wireshark-vaardighede
### Tutoriale
2024-04-07 05:33:57 +00:00
Die volgende tutoriale is wonderlik om 'n paar koel basiese truuks te leer:
2024-04-06 18:08:38 +00:00
* [https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/ ](https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/ )
* [https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/ ](https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/ )
* [https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/ ](https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/ )
* [https://unit42.paloaltonetworks.com/using-wireshark-exporting-objects-from-a-pcap/ ](https://unit42.paloaltonetworks.com/using-wireshark-exporting-objects-from-a-pcap/ )
2024-04-07 05:33:57 +00:00
### Geanaliseerde Inligting
2024-04-06 18:08:38 +00:00
2024-05-05 22:31:04 +00:00
**Kennerinligting**
2024-04-06 18:08:38 +00:00
2024-05-05 22:31:04 +00:00
Deur te klik op _**Analiseer** --> **Kennerinligting**_ sal jy 'n **oorhoofse siening** hê van wat in die **geanaliseerde** pakkies gebeur:
2024-04-06 18:08:38 +00:00
2024-05-05 22:31:04 +00:00
 . png > )
2024-04-06 18:08:38 +00:00
2024-04-07 05:33:57 +00:00
**Opgeloste Adresse**
2024-04-06 18:08:38 +00:00
2024-05-05 22:31:04 +00:00
Onder _**Statistiek --> Opgeloste Adresse**_ kan jy verskeie **inligting** vind wat deur Wireshark "**opgelos**" is soos poort/vervoer na protokol, MAC na die vervaardiger, ens. Dit is interessant om te weet wat betrokke is by die kommunikasie.
2024-04-06 18:08:38 +00:00
2024-05-05 22:31:04 +00:00
 . png > )
2024-04-06 18:08:38 +00:00
2024-04-18 04:05:40 +00:00
**Protokolhiërargie**
2024-04-06 18:08:38 +00:00
2024-04-18 04:05:40 +00:00
Onder _**Statistiek --> Protokolhiërargie**_ kan jy die **protokolle** vind wat betrokke is by die kommunikasie en inligting daaroor.
2024-04-06 18:08:38 +00:00
2024-05-05 22:31:04 +00:00
 . png > )
2024-04-06 18:08:38 +00:00
**Gesprekke**
2024-04-07 05:33:57 +00:00
Onder _**Statistiek --> Gesprekke**_ kan jy 'n **opsomming van die gesprekke** in die kommunikasie vind en inligting daaroor.
2024-04-06 18:08:38 +00:00
2024-05-05 22:31:04 +00:00
 . png > )
2024-04-06 18:08:38 +00:00
**Eindpunte**
2024-04-07 05:33:57 +00:00
Onder _**Statistiek --> Eindpunte**_ kan jy 'n **opsomming van die eindpunte** in die kommunikasie vind en inligting oor elkeen van hulle.
2024-04-06 18:08:38 +00:00
2024-05-05 22:31:04 +00:00
 . png > )
2024-04-06 18:08:38 +00:00
**DNS-inligting**
2024-04-07 05:33:57 +00:00
Onder _**Statistiek --> DNS**_ kan jy statistieke vind oor die DNS-versoek wat vasgelê is.
2024-04-06 18:08:38 +00:00
2024-05-05 22:31:04 +00:00
 . png > )
2024-04-06 18:08:38 +00:00
2024-04-18 04:05:40 +00:00
**I/O-grafiek**
2024-04-06 18:08:38 +00:00
2024-04-18 04:05:40 +00:00
Onder _**Statistiek --> I/O-grafiek**_ kan jy 'n **grafiek van die kommunikasie** vind.
2024-04-06 18:08:38 +00:00
2024-05-05 22:31:04 +00:00
 . png > )
2024-04-06 18:08:38 +00:00
2024-04-07 05:33:57 +00:00
### Filters
2024-04-06 18:08:38 +00:00
2024-05-05 22:31:04 +00:00
Hier kan jy Wireshark-filter vind afhangende van die protokol: [https://www.wireshark.org/docs/dfref/ ](https://www.wireshark.org/docs/dfref/ )\
2024-04-07 05:33:57 +00:00
Ander interessante filters:
2024-04-06 18:08:38 +00:00
* `(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)`
2024-04-07 05:33:57 +00:00
* HTTP en aanvanklike HTTPS-verkeer
2024-04-06 18:08:38 +00:00
* `(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)`
2024-04-07 05:33:57 +00:00
* HTTP en aanvanklike HTTPS-verkeer + TCP SYN
2024-04-06 18:08:38 +00:00
* `(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)`
2024-04-07 05:33:57 +00:00
* HTTP en aanvanklike HTTPS-verkeer + TCP SYN + DNS-versoeke
2024-04-06 18:08:38 +00:00
### Soek
2024-04-07 05:33:57 +00:00
As jy wil **soek** vir **inhoud** binne die **pakkies** van die sessies, druk _CTRL+f_ . Jy kan nuwe lae by die hoofinligtingstafel (Nr., Tyd, Bron, ens.) voeg deur die regterknoppie te druk en dan die kolom te wysig.
2024-04-06 18:08:38 +00:00
### Gratis pcap-laboratoriums
2024-04-07 05:33:57 +00:00
**Oefen met die gratis uitdagings van:** [**https://www.malware-traffic-analysis.net/** ](https://www.malware-traffic-analysis.net )
2024-04-06 18:08:38 +00:00
2024-04-07 05:33:57 +00:00
## Identifiseer Domeine
2024-04-06 18:08:38 +00:00
2024-04-07 05:33:57 +00:00
Jy kan 'n kolom byvoeg wat die Gas HTTP-kop wys:
2024-04-06 18:08:38 +00:00
2024-05-05 22:31:04 +00:00
 . png > )
2024-04-06 18:08:38 +00:00
2024-05-05 22:31:04 +00:00
En 'n kolom wat die Bedienernaam byvoeg van 'n inisieerende HTTPS-verbinding (**ssl.handshake.type == 1**):
2024-04-06 18:08:38 +00:00
 ( 1 ) . png > )
2024-04-07 05:33:57 +00:00
## Identifiseer plaaslike gasnaam
2024-04-06 18:08:38 +00:00
### Vanaf DHCP
In die huidige Wireshark moet jy in plaas van `bootp` soek vir `DHCP`
2024-05-05 22:31:04 +00:00
 . png > )
2024-04-06 18:08:38 +00:00
### Vanaf NBNS
2024-05-05 22:31:04 +00:00
 . png > )
2024-04-06 18:08:38 +00:00
## Ontsleutel TLS
### Ontsleutel https-verkeer met bedienerprivaatsleutel
2024-04-07 05:33:57 +00:00
_wysig>voorkeur>protokol>ssl>_
2024-04-06 18:08:38 +00:00
2024-05-05 22:31:04 +00:00
 . png > )
2024-04-06 18:08:38 +00:00
2024-04-07 05:33:57 +00:00
Druk _Wysig_ en voeg al die data van die bediener en die privaatsleutel by (_IP, Poort, Protokol, Sleutel lêer en wagwoord_)
2024-04-06 18:08:38 +00:00
### Ontsleutel https-verkeer met simmetriese sessiesleutels
2024-05-05 22:31:04 +00:00
Beide Firefox en Chrome het die vermoë om TLS-sessiesleutels te log, wat met Wireshark gebruik kan word om TLS-verkeer te ontsluit. Dit maak in-diepte analise van veilige kommunikasie moontlik. Meer besonderhede oor hoe om hierdie ontsleuteling uit te voer, kan gevind word in 'n gids by [Red Flag Security ](https://redflagsecurity.net/2019/03/10/decrypting-tls-wireshark/ ).
2024-04-06 18:08:38 +00:00
2024-04-07 05:33:57 +00:00
Om dit op te spoor, soek binne die omgewing vir die veranderlike `SSLKEYLOGFILE`
2024-04-06 18:08:38 +00:00
2024-05-05 22:31:04 +00:00
'n Lêer van gedeelde sleutels sal soos volg lyk:
2024-04-06 18:08:38 +00:00
2024-05-05 22:31:04 +00:00
 . png > )
2024-04-06 18:08:38 +00:00
2024-05-05 22:31:04 +00:00
Om dit in Wireshark in te voer, gaan na \_wysig > voorkeur > protokol > ssl > en voer dit in (Pre)-Master-Secret log-lêernaam:
2024-04-06 18:08:38 +00:00
2024-05-05 22:31:04 +00:00
 . png > )
2024-04-07 05:33:57 +00:00
## ADB kommunikasie
2024-04-06 18:08:38 +00:00
2024-04-18 04:05:40 +00:00
Haal 'n APK uit 'n ADB kommunikasie waar die APK gestuur is:
2024-04-06 18:08:38 +00:00
```python
from scapy.all import *
pcap = rdpcap("final2.pcapng")
def rm_data(data):
splitted = data.split(b"DATA")
if len(splitted) == 1:
return data
else:
return splitted[0]+splitted[1][4:]
all_bytes = b""
for pkt in pcap:
if Raw in pkt:
a = pkt[Raw]
if b"WRTE" == bytes(a)[:4]:
all_bytes += rm_data(bytes(a)[24:])
else:
all_bytes += rm_data(bytes(a))
print(all_bytes)
f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()
```
2024-04-18 04:05:40 +00:00
### [WhiteIntel](https://whiteintel.io)
2024-05-05 22:31:04 +00:00
< figure > < img src = "../../../.gitbook/assets/image (1227).png" alt = "" > < figcaption > < / figcaption > < / figure >
2024-04-18 04:05:40 +00:00
2024-05-05 22:31:04 +00:00
[**WhiteIntel** ](https://whiteintel.io ) is 'n **dark-web** aangedrewe soekenjin wat **gratis** funksies bied om te kontroleer of 'n maatskappy of sy kliënte deur **diewe malware** gekompromitteer is.
2024-04-18 04:05:40 +00:00
2024-05-05 22:31:04 +00:00
Hul primêre doel van WhiteIntel is om rekening-oorneemings en lospryse-aanvalle te beveg wat voortspruit uit inligtingsteel-malware.
2024-04-18 04:05:40 +00:00
2024-05-05 22:31:04 +00:00
Jy kan hul webwerf besoek en hul enjin vir **gratis** probeer by:
2024-04-18 04:05:40 +00:00
{% embed url="https://whiteintel.io" %}
2024-04-06 18:08:38 +00:00
< details >
2024-05-05 22:31:04 +00:00
< summary > < strong > Leer AWS-hacking vanaf nul tot held met< / strong > < a href = "https://training.hacktricks.xyz/courses/arte" > < strong > htARTE (HackTricks AWS Red Team Expert)< / strong > < / a > < strong > !< / strong > < / summary >
2024-04-06 18:08:38 +00:00
Ander maniere om HackTricks te ondersteun:
2024-04-18 04:05:40 +00:00
* As jy wil sien dat jou **maatskappy geadverteer word in HackTricks** of **HackTricks aflaai in PDF-formaat** Kyk na die [**INSKRYWINGSPLANNE** ](https://github.com/sponsors/carlospolop )!
2024-04-06 18:08:38 +00:00
* Kry die [**amptelike PEASS & HackTricks swag** ](https://peass.creator-spring.com )
2024-04-18 04:05:40 +00:00
* Ontdek [**Die PEASS Familie** ](https://opensea.io/collection/the-peass-family ), ons versameling eksklusiewe [**NFTs** ](https://opensea.io/collection/the-peass-family )
2024-05-05 22:31:04 +00:00
* **Sluit aan by die** 💬 [**Discord-groep** ](https://discord.gg/hRep4RUj7f ) of die [**telegram-groep** ](https://t.me/peass ) of **volg** ons op **Twitter** 🐦 [**@hacktricks\_live** ](https://twitter.com/hacktricks\_live )**.**
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks** ](https://github.com/carlospolop/hacktricks ) en [**HackTricks Cloud** ](https://github.com/carlospolop/hacktricks-cloud ) github-opslag.
2024-04-06 18:08:38 +00:00
< / details >
