hacktricks/generic-methodologies-and-resources/basic-forensic-methodology/pcap-inspection/wireshark-tricks.md

208 lines
9 KiB
Markdown
Raw Normal View History

# Truques do Wireshark
2024-04-06 19:38:49 +00:00
{% hint style="success" %}
Aprenda e pratique Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Aprenda e pratique Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
2024-04-06 19:38:49 +00:00
<details>
2024-04-06 19:38:49 +00:00
<summary>Suporte ao HackTricks</summary>
2024-04-06 19:38:49 +00:00
* Confira os [**planos de assinatura**](https://github.com/sponsors/carlospolop)!
* **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-nos no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
2024-04-06 19:38:49 +00:00
</details>
{% endhint %}
2024-04-06 19:38:49 +00:00
### [WhiteIntel](https://whiteintel.io)
<figure><img src="../../../.gitbook/assets/image (1227).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um motor de busca alimentado pela **dark-web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater a tomada de contas e ataques de ransomware resultantes de malware que rouba informações.
Você pode conferir o site deles e experimentar o motor **gratuitamente** em:
{% embed url="https://whiteintel.io" %}
***
2024-04-06 19:38:49 +00:00
## Melhore suas habilidades no Wireshark
### Tutoriais
Os seguintes tutoriais são incríveis para aprender alguns truques básicos legais:
* [https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/](https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/)
* [https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/](https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/)
* [https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/](https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/)
* [https://unit42.paloaltonetworks.com/using-wireshark-exporting-objects-from-a-pcap/](https://unit42.paloaltonetworks.com/using-wireshark-exporting-objects-from-a-pcap/)
2024-04-06 19:38:49 +00:00
### Informações Analisadas
**Informações de Especialista**
2024-04-06 19:38:49 +00:00
Clicando em _**Analisar** --> **Informações de Especialista**_ você terá uma **visão geral** do que está acontecendo nos pacotes **analisados**:
2024-04-06 19:38:49 +00:00
![](<../../../.gitbook/assets/image (256).png>)
2024-04-06 19:38:49 +00:00
**Endereços Resolvidos**
Em _**Estatísticas --> Endereços Resolvidos**_ você pode encontrar várias **informações** que foram "**resolvidas**" pelo wireshark, como porta/transporte para protocolo, MAC para o fabricante, etc. É interessante saber o que está implicado na comunicação.
2024-04-06 19:38:49 +00:00
![](<../../../.gitbook/assets/image (893).png>)
2024-04-06 19:38:49 +00:00
**Hierarquia de Protocolos**
2024-04-06 19:38:49 +00:00
Em _**Estatísticas --> Hierarquia de Protocolos**_ você pode encontrar os **protocolos** **envolvidos** na comunicação e dados sobre eles.
2024-04-06 19:38:49 +00:00
![](<../../../.gitbook/assets/image (586).png>)
2024-04-06 19:38:49 +00:00
**Conversas**
Em _**Estatísticas --> Conversas**_ você pode encontrar um **resumo das conversas** na comunicação e dados sobre elas.
2024-04-06 19:38:49 +00:00
![](<../../../.gitbook/assets/image (453).png>)
2024-04-06 19:38:49 +00:00
**Pontos Finais**
Em _**Estatísticas --> Pontos Finais**_ você pode encontrar um **resumo dos pontos finais** na comunicação e dados sobre cada um deles.
2024-04-06 19:38:49 +00:00
![](<../../../.gitbook/assets/image (896).png>)
2024-04-06 19:38:49 +00:00
**Informações DNS**
2024-04-06 19:38:49 +00:00
Em _**Estatísticas --> DNS**_ você pode encontrar estatísticas sobre a solicitação DNS capturada.
2024-04-06 19:38:49 +00:00
![](<../../../.gitbook/assets/image (1063).png>)
2024-04-06 19:38:49 +00:00
**Gráfico de I/O**
2024-04-06 19:38:49 +00:00
Em _**Estatísticas --> Gráfico de I/O**_ você pode encontrar um **gráfico da comunicação.**
2024-04-06 19:38:49 +00:00
![](<../../../.gitbook/assets/image (992).png>)
2024-04-06 19:38:49 +00:00
### Filtros
Aqui você pode encontrar filtros do wireshark dependendo do protocolo: [https://www.wireshark.org/docs/dfref/](https://www.wireshark.org/docs/dfref/)\
2024-04-06 19:38:49 +00:00
Outros filtros interessantes:
* `(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)`
* Tráfego HTTP e HTTPS inicial
* `(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)`
* Tráfego HTTP e HTTPS inicial + TCP SYN
* `(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)`
* Tráfego HTTP e HTTPS inicial + TCP SYN + solicitações DNS
2024-04-06 19:38:49 +00:00
### Pesquisa
Se você quiser **pesquisar** por **conteúdo** dentro dos **pacotes** das sessões, pressione _CTRL+f_. Você pode adicionar novas camadas à barra de informações principal (No., Hora, Fonte, etc.) pressionando o botão direito e depois a edição da coluna.
2024-04-06 19:38:49 +00:00
### Laboratórios pcap gratuitos
**Pratique com os desafios gratuitos de:** [**https://www.malware-traffic-analysis.net/**](https://www.malware-traffic-analysis.net)
2024-04-06 19:38:49 +00:00
## Identificando Domínios
Você pode adicionar uma coluna que mostra o cabeçalho HTTP Host:
2024-04-06 19:38:49 +00:00
![](<../../../.gitbook/assets/image (639).png>)
2024-04-06 19:38:49 +00:00
E uma coluna que adiciona o nome do Servidor de uma conexão HTTPS iniciada (**ssl.handshake.type == 1**):
2024-04-06 19:38:49 +00:00
![](<../../../.gitbook/assets/image (408) (1).png>)
## Identificando nomes de host locais
### Do DHCP
No Wireshark atual, em vez de `bootp`, você precisa procurar por `DHCP`
![](<../../../.gitbook/assets/image (1013).png>)
2024-04-06 19:38:49 +00:00
### Do NBNS
![](<../../../.gitbook/assets/image (1003).png>)
2024-04-06 19:38:49 +00:00
## Decriptando TLS
2024-04-06 19:38:49 +00:00
### Decriptando tráfego https com a chave privada do servidor
2024-04-06 19:38:49 +00:00
_editar>preferência>protocolo>ssl>_
2024-04-06 19:38:49 +00:00
![](<../../../.gitbook/assets/image (1103).png>)
2024-04-06 19:38:49 +00:00
Pressione _Editar_ e adicione todos os dados do servidor e a chave privada (_IP, Porta, Protocolo, Arquivo de chave e senha_)
2024-04-06 19:38:49 +00:00
### Decriptando tráfego https com chaves de sessão simétricas
2024-04-06 19:38:49 +00:00
Tanto o Firefox quanto o Chrome têm a capacidade de registrar chaves de sessão TLS, que podem ser usadas com o Wireshark para decriptar tráfego TLS. Isso permite uma análise aprofundada das comunicações seguras. Mais detalhes sobre como realizar essa decriptação podem ser encontrados em um guia na [Red Flag Security](https://redflagsecurity.net/2019/03/10/decrypting-tls-wireshark/).
2024-04-06 19:38:49 +00:00
Para detectar isso, procure dentro do ambiente pela variável `SSLKEYLOGFILE`
2024-04-06 19:38:49 +00:00
Um arquivo de chaves compartilhadas terá a seguinte aparência:
2024-04-06 19:38:49 +00:00
![](<../../../.gitbook/assets/image (820).png>)
2024-04-06 19:38:49 +00:00
Para importar isso no wireshark, vá para \_editar > preferência > protocolo > ssl > e importe-o no nome do arquivo de log (Pre)-Master-Secret:
2024-04-06 19:38:49 +00:00
![](<../../../.gitbook/assets/image (989).png>)
2024-04-06 19:38:49 +00:00
## Comunicação ADB
Extraia um APK de uma comunicação ADB onde o APK foi enviado:
2024-04-06 19:38:49 +00:00
```python
from scapy.all import *
pcap = rdpcap("final2.pcapng")
def rm_data(data):
splitted = data.split(b"DATA")
if len(splitted) == 1:
return data
else:
return splitted[0]+splitted[1][4:]
all_bytes = b""
for pkt in pcap:
if Raw in pkt:
a = pkt[Raw]
if b"WRTE" == bytes(a)[:4]:
all_bytes += rm_data(bytes(a)[24:])
else:
all_bytes += rm_data(bytes(a))
print(all_bytes)
f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()
```
### [WhiteIntel](https://whiteintel.io)
<figure><img src="../../../.gitbook/assets/image (1227).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um motor de busca alimentado pela **dark-web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares ladrões**.
O principal objetivo do WhiteIntel é combater a tomada de contas e ataques de ransomware resultantes de malware que rouba informações.
Você pode verificar o site deles e experimentar o motor **gratuitamente** em:
{% embed url="https://whiteintel.io" %}
{% hint style="success" %}
Aprenda e pratique Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Aprenda e pratique Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
2024-04-06 19:38:49 +00:00
<details>
2024-04-06 19:38:49 +00:00
<summary>Support HackTricks</summary>
2024-04-06 19:38:49 +00:00
* Confira os [**planos de assinatura**](https://github.com/sponsors/carlospolop)!
* **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-nos no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe truques de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
2024-04-06 19:38:49 +00:00
</details>
{% endhint %}