Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2025-02-16 22:18:27 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/forensics/basic-forensic-methodology/pcap-inspection/wireshark-tricks.md

9.4 KiB
Raw Blame History

Astuces Wireshark

Astuces Wireshark

Apprenez le piratage AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)!

Autres façons de soutenir HackTricks :

WhiteIntel

WhiteIntel est un moteur de recherche alimenté par le dark web qui offre des fonctionnalités gratuites pour vérifier si une entreprise ou ses clients ont été compromis par des logiciels malveillants voleurs.

Le but principal de WhiteIntel est de lutter contre les prises de contrôle de compte et les attaques de ransomware résultant de logiciels malveillants volant des informations.

Vous pouvez consulter leur site Web et essayer leur moteur gratuitement sur :

{% embed url="https://whiteintel.io" %}

Améliorez vos compétences Wireshark

Tutoriels

Les tutoriels suivants sont excellents pour apprendre quelques astuces de base intéressantes :

Informations analysées

Informations d'expert

En cliquant sur Analyser --> Informations d'expert, vous aurez un aperçu de ce qui se passe dans les paquets analysés :

Adresses résolues

Sous Statistiques --> Adresses résolues, vous pouvez trouver plusieurs informations qui ont été "résolues" par Wireshark comme le port/transport au protocole, MAC au fabricant, etc. Il est intéressant de savoir ce qui est impliqué dans la communication.

Hiérarchie des protocoles

Sous Statistiques --> Hiérarchie des protocoles, vous pouvez trouver les protocoles impliqués dans la communication et des données à leur sujet.

Conversations

Sous Statistiques --> Conversations, vous pouvez trouver un résumé des conversations dans la communication et des données à leur sujet.

Points de terminaison

Sous Statistiques --> Points de terminaison, vous pouvez trouver un résumé des points de terminaison dans la communication et des données à leur sujet.

Infos DNS

Sous Statistiques --> DNS, vous pouvez trouver des statistiques sur la requête DNS capturée.

Graphique E/S

Sous Statistiques --> Graphique E/S, vous pouvez trouver un graphique de la communication.

Filtres

Ici, vous pouvez trouver des filtres Wireshark en fonction du protocole : https://www.wireshark.org/docs/dfref/
Autres filtres intéressants :

  • (http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
  • Trafic HTTP et HTTPS initial
  • (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
  • Trafic HTTP et HTTPS initial + SYN TCP
  • (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
  • Trafic HTTP et HTTPS initial + SYN TCP + requêtes DNS

Recherche

Si vous souhaitez rechercher du contenu à l'intérieur des paquets des sessions, appuyez sur CTRL+f. Vous pouvez ajouter de nouvelles couches à la barre d'informations principale (N°, Heure, Source, etc.) en appuyant sur le bouton droit puis sur modifier la colonne.

Laboratoires pcap gratuits

Entraînez-vous avec les défis gratuits de : https://www.malware-traffic-analysis.net/

Identification des domaines

Vous pouvez ajouter une colonne qui affiche l'en-tête Host HTTP :

Et une colonne qui ajoute le nom du serveur à partir d'une connexion HTTPS initiale (ssl.handshake.type == 1):

Identification des noms d'hôtes locaux

À partir de DHCP

Dans Wireshark actuel, au lieu de bootp, vous devez rechercher DHCP

À partir de NBNS

Décryptage TLS

Décryptage du trafic https avec la clé privée du serveur

modifier>préférence>protocole>ssl>

Appuyez sur Modifier et ajoutez toutes les données du serveur et de la clé privée (IP, Port, Protocole, Fichier clé et mot de passe)

Décryptage du trafic https avec des clés de session symétriques

Firefox et Chrome ont tous deux la capacité de journaliser les clés de session TLS, qui peuvent être utilisées avec Wireshark pour décrypter le trafic TLS. Cela permet une analyse approfondie des communications sécurisées. Plus de détails sur la façon d'effectuer ce décryptage peuvent être trouvés dans un guide sur Red Flag Security.

Pour détecter cela, recherchez à l'intérieur de l'environnement la variable SSLKEYLOGFILE

Un fichier de clés partagées ressemblera à ceci :

Pour importer cela dans Wireshark, allez à _modifier > préférence > protocole > ssl > et importez-le dans (Pré)-Nom du fichier journal secret maître :

Communication ADB

Extraire un APK à partir d'une communication ADB où l'APK a été envoyé :

from scapy.all import *

pcap = rdpcap("final2.pcapng")

def rm_data(data):
splitted = data.split(b"DATA")
if len(splitted) == 1:
return data
else:
return splitted[0]+splitted[1][4:]

all_bytes = b""
for pkt in pcap:
if Raw in pkt:
a = pkt[Raw]
if b"WRTE" == bytes(a)[:4]:
all_bytes += rm_data(bytes(a)[24:])
else:
all_bytes += rm_data(bytes(a))
print(all_bytes)

f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()

WhiteIntel

WhiteIntel est un moteur de recherche alimenté par le dark web qui offre des fonctionnalités gratuites pour vérifier si une entreprise ou ses clients ont été compromis par des malwares voleurs.

Leur objectif principal est de lutter contre les prises de contrôle de compte et les attaques de ransomware résultant de malwares volant des informations.

Vous pouvez consulter leur site Web et essayer leur moteur gratuitement sur :

{% embed url="https://whiteintel.io" %}

Apprenez le piratage AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)!

Autres façons de soutenir HackTricks :