hacktricks/forensics/basic-forensic-methodology/pcap-inspection/wifi-pcap-analysis.md

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!

• Descubre The PEASS Family, nuestra colección exclusiva de NFTs

• Consigue el swag oficial de PEASS y HackTricks

• Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦@carlospolopm.

• Comparte tus trucos de hacking enviando PRs al repositorio de hacktricks y al repositorio de hacktricks-cloud.

Verificar BSSIDs

Cuando recibes una captura cuyo tráfico principal es Wifi usando WireShark, puedes comenzar a investigar todos los SSID de la captura con Wireless --> WLAN Traffic:

Fuerza Bruta

Una de las columnas de esa pantalla indica si se encontró alguna autenticación dentro del pcap. Si ese es el caso, puedes intentar hacer fuerza bruta con aircrack-ng:

aircrack-ng -w pwds-file.txt -b <BSSID> file.pcap

Datos en Beacons / Canal Lateral

Si sospechas que se están filtrando datos dentro de los beacons de una red Wifi, puedes verificar los beacons de la red utilizando un filtro como el siguiente: wlan contains <NOMBREdeRED>, o wlan.ssid == "NOMBREdeRED" para buscar cadenas sospechosas dentro de los paquetes filtrados.

Encontrar direcciones MAC desconocidas en una red Wifi

El siguiente enlace será útil para encontrar las máquinas que envían datos dentro de una red Wifi:

• ((wlan.ta == e8:de:27:16:70:c9) && !(wlan.fc == 0x8000)) && !(wlan.fc.type_subtype == 0x0005) && !(wlan.fc.type_subtype ==0x0004) && !(wlan.addr==ff:ff:ff:ff:ff:ff) && wlan.fc.type==2

Si ya conoces las direcciones MAC, puedes eliminarlas de la salida agregando comprobaciones como esta: && !(wlan.addr==5c:51:88:31:a0:3b)

Una vez que hayas detectado direcciones MAC desconocidas que se comunican dentro de la red, puedes usar filtros como el siguiente: wlan.addr==<dirección MAC> && (ftp || http || ssh || telnet) para filtrar su tráfico. Ten en cuenta que los filtros ftp/http/ssh/telnet son útiles si has descifrado el tráfico.

Descifrar tráfico

Editar --> Preferencias --> Protocolos --> IEEE 802.11--> Editar

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!

• Descubre The PEASS Family, nuestra colección exclusiva de NFTs

• Obtén el swag oficial de PEASS y HackTricks

• Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦@carlospolopm.

• Comparte tus trucos de hacking enviando PR al repositorio de hacktricks y al repositorio de hacktricks-cloud.