mirror of https://github.com/carlospolop/hacktricks synced 2024-11-24 05:33:33 +00:00

History

Translator 50c79cd279 Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md		2024-07-18 18:28:58 +00:00
..
dnscat-exfiltration.md	Translated ['crypto-and-stego/hash-length-extension-attack.md', 'forensi	2024-04-18 03:37:19 +00:00
README.md	Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md	2024-07-18 18:28:58 +00:00
usb-keyboard-pcap-analysis.md	Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md	2024-07-18 18:28:58 +00:00
usb-keystrokes.md	Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md	2024-07-18 18:28:58 +00:00
wifi-pcap-analysis.md	Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md	2024-07-18 18:28:58 +00:00
wireshark-tricks.md	Translated ['crypto-and-stego/hash-length-extension-attack.md', 'forensi	2024-04-18 03:37:19 +00:00

README.md

Inspekcja plików Pcap

{% hint style="success" %} Dowiedz się i ćwicz hakowanie AWS:HackTricks Training AWS Red Team Expert (ARTE)
Dowiedz się i ćwicz hakowanie GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wesprzyj HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Udostępniaj sztuczki hakerskie, przesyłając PR-y do HackTricks i HackTricks Cloud na GitHubie.

{% endhint %}

RootedCON to najważniejsze wydarzenie z zakresu cyberbezpieczeństwa w Hiszpanii i jedno z najważniejszych w Europie. Mając misję promowania wiedzy technicznej, ten kongres jest gorącym punktem spotkań dla profesjonalistów technologii i cyberbezpieczeństwa we wszystkich dziedzinach.

{% embed url="https://www.rootedcon.com/" %}

{% hint style="info" %} Informacja o PCAP vs PCAPNG: istnieją dwie wersje formatu pliku PCAP; PCAPNG jest nowszy i nie jest obsługiwany przez wszystkie narzędzia. Może być konieczne przekonwertowanie pliku z PCAPNG na PCAP za pomocą Wiresharka lub innego kompatybilnego narzędzia, aby móc pracować z nim w innych narzędziach. {% endhint %}

Narzędzia online do plików pcap

Jeśli nagłówek twojego pliku pcap jest uszkodzony, spróbuj go naprawić za pomocą: http://f00l.de/hacking/pcapfix.php
Wyodrębnij informacje i szukaj złośliwego oprogramowania w pliku pcap na stronie PacketTotal
Szukaj działalności złośliwej za pomocą www.virustotal.com i www.hybrid-analysis.com

Wyodrębnianie informacji

Następujące narzędzia są przydatne do wyodrębniania statystyk, plików, itp.

Wireshark

{% hint style="info" %} Jeśli zamierzasz analizować plik PCAP, musisz w zasadzie umieć korzystać z Wiresharka {% endhint %}

Możesz znaleźć kilka sztuczek Wiresharka w:

{% content-ref url="wireshark-tricks.md" %} wireshark-tricks.md {% endcontent-ref %}

Xplico Framework

Xplico (tylko linux) może analizować plik pcap i wyodrębniać z niego informacje. Na przykład, z pliku pcap Xplico wyodrębnia każdy e-mail (protokoły POP, IMAP i SMTP), wszystkie treści HTTP, każde połączenie VoIP (SIP), FTP, TFTP, itp.

Instalacja

sudo bash -c 'echo "deb http://repo.xplico.org/ $(lsb_release -s -c) main" /etc/apt/sources.list'
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 791C25CE
sudo apt-get update
sudo apt-get install xplico

Uruchom

/etc/init.d/apache2 restart
/etc/init.d/xplico start

Dostęp do 127.0.0.1:9876 z danymi uwierzytelniającymi xplico:xplico

Następnie utwórz nowe zdarzenie, utwórz nową sesję wewnątrz zdarzenia i załaduj plik pcap.

NetworkMiner

Podobnie jak Xplico, jest to narzędzie do analizy i wyodrębniania obiektów z plików pcap. Posiada darmową wersję, którą można pobrać tutaj. Działa z systemem Windows.
To narzędzie jest również przydatne do analizy innych informacji z pakietów, aby móc szybciej zrozumieć, co działo się w sieci.

NetWitness Investigator

Możesz pobrać NetWitness Investigator stąd (Działa w systemie Windows).
To kolejne przydatne narzędzie, które analizuje pakiety i sortuje informacje w użyteczny sposób, aby zrozumieć, co dzieje się wewnątrz.

BruteShark

Wyodrębnianie i kodowanie nazw użytkowników i haseł (HTTP, FTP, Telnet, IMAP, SMTP...)
Wyodrębnianie skrótów uwierzytelniania i ich łamanie za pomocą Hashcat (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
Budowanie wizualnego diagramu sieci (węzły sieci i użytkownicy)
Wyodrębnianie zapytań DNS
Odtwarzanie wszystkich sesji TCP i UDP
Wycinanie plików

Capinfos

capinfos capture.pcap

Ngrep

Jeśli szukasz czegoś wewnątrz pliku pcap, możesz użyć ngrep. Oto przykład użycia głównych filtrów:

ngrep -I packets.pcap "^GET" "port 80 and tcp and host 192.168 and dst host 192.168 and src host 192.168"

Wycinanie

Korzystanie z powszechnych technik wycinania może być przydatne do wyodrębniania plików i informacji z pliku pcap:

{% content-ref url="../partitions-file-systems-carving/file-data-carving-recovery-tools.md" %} file-data-carving-recovery-tools.md {% endcontent-ref %}

Przechwytywanie poświadczeń

Możesz użyć narzędzi takich jak https://github.com/lgandx/PCredz do analizy poświadczeń z pliku pcap lub interfejsu na żywo.

RootedCON to najbardziej istotne wydarzenie z zakresu cyberbezpieczeństwa w Hiszpanii i jedno z najważniejszych w Europie. Mając misję promowania wiedzy technicznej, ten kongres jest wrzącym punktem spotkań dla profesjonalistów technologii i cyberbezpieczeństwa we wszystkich dziedzinach.

{% embed url="https://www.rootedcon.com/" %}

Sprawdź Wykorzystania/Malware

Suricata

Instalacja i konfiguracja

apt-get install suricata
apt-get install oinkmaster
echo "url = http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz" >> /etc/oinkmaster.conf
oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules

Sprawdź plik pcap

suricata -r packets.pcap -c /etc/suricata/suricata.yaml -k none -v -l log

YaraPcap

YaraPCAP to narzędzie, które

Odczytuje plik PCAP i wyodrębnia strumienie HTTP.
Rozpakowuje skompresowane strumienie gzip.
Skanuje każdy plik za pomocą yara.
Tworzy plik raportu report.txt.
Opcjonalnie zapisuje pasujące pliki do katalogu.

Analiza złośliwego oprogramowania

Sprawdź, czy można znaleźć jakikolwiek odcisk palca znanego złośliwego oprogramowania:

{% content-ref url="../malware-analysis.md" %} malware-analysis.md {% endcontent-ref %}

Zeek

Zeek to pasywny, otwartoźródłowy analizator ruchu sieciowego. Wielu operatorów używa Zeeka jako Monitora Bezpieczeństwa Sieciowego (NSM) do wspierania dochodzeń w sprawie podejrzanej lub złośliwej aktywności. Zeek obsługuje również szeroki zakres zadań analizy ruchu poza dziedziną bezpieczeństwa, w tym pomiar wydajności i rozwiązywanie problemów.

W zasadzie, dzienniki utworzone przez zeek nie są pcapami. Dlatego będziesz musiał użyć innych narzędzi do analizy dzienników, gdzie znajdują się informacje o pcapach.

#Get info about longest connections (add "grep udp" to see only udp traffic)
#The longest connection might be of malware (constant reverse shell?)
cat conn.log | zeek-cut id.orig_h id.orig_p id.resp_h id.resp_p proto service duration | sort -nrk 7 | head -n 10

10.55.100.100   49778   65.52.108.225   443     tcp     -       86222.365445
10.55.100.107   56099   111.221.29.113  443     tcp     -       86220.126151
10.55.100.110   60168   40.77.229.82    443     tcp     -       86160.119664


#Improve the metrics by summing up the total duration time for connections that have the same destination IP and Port.
cat conn.log | zeek-cut id.orig_h id.resp_h id.resp_p proto duration | awk 'BEGIN{ FS="\t" } { arr[$1 FS $2 FS $3 FS $4] += $5 } END{ for (key in arr) printf "%s%s%s\n", key, FS, arr[key] }' | sort -nrk 5 | head -n 10

10.55.100.100   65.52.108.225   443     tcp     86222.4
10.55.100.107   111.221.29.113  443     tcp     86220.1
10.55.100.110   40.77.229.82    443     tcp     86160.1

#Get the number of connections summed up per each line
cat conn.log | zeek-cut id.orig_h id.resp_h duration | awk 'BEGIN{ FS="\t" } { arr[$1 FS $2] += $3; count[$1 FS $2] += 1 } END{ for (key in arr) printf "%s%s%s%s%s\n", key, FS, count[key], FS, arr[key] }' | sort -nrk 4 | head -n 10

10.55.100.100   65.52.108.225   1       86222.4
10.55.100.107   111.221.29.113  1       86220.1
10.55.100.110   40.77.229.82    134       86160.1

#Check if any IP is connecting to 1.1.1.1
cat conn.log | zeek-cut id.orig_h id.resp_h id.resp_p proto service | grep '1.1.1.1' | sort | uniq -c

#Get number of connections per source IP, dest IP and dest Port
cat conn.log | zeek-cut id.orig_h id.resp_h id.resp_p proto | awk 'BEGIN{ FS="\t" } { arr[$1 FS $2 FS $3 FS $4] += 1 } END{ for (key in arr) printf "%s%s%s\n", key, FS, arr[key] }' | sort -nrk 5 | head -n 10


# RITA
#Something similar can be done with the tool rita
rita show-long-connections -H --limit 10 zeek_logs

+---------------+----------------+--------------------------+----------------+
|   SOURCE IP   | DESTINATION IP | DSTPORT:PROTOCOL:SERVICE |    DURATION    |
+---------------+----------------+--------------------------+----------------+
| 10.55.100.100 | 65.52.108.225  | 443:tcp:-                | 23h57m2.3655s  |
| 10.55.100.107 | 111.221.29.113 | 443:tcp:-                | 23h57m0.1262s  |
| 10.55.100.110 | 40.77.229.82   | 443:tcp:-                | 23h56m0.1197s  |

#Get connections info from rita
rita show-beacons zeek_logs | head -n 10
Score,Source IP,Destination IP,Connections,Avg Bytes,Intvl Range,Size Range,Top Intvl,Top Size,Top Intvl Count,Top Size Count,Intvl Skew,Size Skew,Intvl Dispersion,Size Dispersion
1,192.168.88.2,165.227.88.15,108858,197,860,182,1,89,53341,108319,0,0,0,0
1,10.55.100.111,165.227.216.194,20054,92,29,52,1,52,7774,20053,0,0,0,0
0.838,10.55.200.10,205.251.194.64,210,69,29398,4,300,70,109,205,0,0,0,0

Informacje DNS

#Get info about each DNS request performed
cat dns.log | zeek-cut -c id.orig_h query qtype_name answers

#Get the number of times each domain was requested and get the top 10
cat dns.log | zeek-cut query | sort | uniq | rev | cut -d '.' -f 1-2 | rev | sort | uniq -c | sort -nr | head -n 10

#Get all the IPs
cat dns.log | zeek-cut id.orig_h query | grep 'example\.com' | cut -f 1 | sort | uniq -c

#Sort the most common DNS record request (should be A)
cat dns.log | zeek-cut qtype_name | sort | uniq -c | sort -nr

#See top DNS domain requested with rita
rita show-exploded-dns -H --limit 10 zeek_logs

Inne sztuczki analizy plików pcap

{% content-ref url="dnscat-exfiltration.md" %} dnscat-exfiltration.md {% endcontent-ref %}

{% content-ref url="wifi-pcap-analysis.md" %} wifi-pcap-analysis.md {% endcontent-ref %}

{% content-ref url="usb-keystrokes.md" %} usb-keystrokes.md {% endcontent-ref %}

{% embed url="https://www.rootedcon.com/" %}

{% hint style="success" %} Dowiedz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Dowiedz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wesprzyj HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud github repos.

{% endhint %}

README.md Unescape Escape

Inspekcja plików Pcap

Narzędzia online do plików pcap

Wyodrębnianie informacji

Wireshark

Xplico Framework

NetworkMiner

NetWitness Investigator

BruteShark

Capinfos

Ngrep

Wycinanie

Przechwytywanie poświadczeń

Sprawdź Wykorzystania/Malware

Suricata

YaraPcap

Analiza złośliwego oprogramowania

Zeek

Informacje DNS

Inne sztuczki analizy plików pcap

README.md