hacktricks/forensics/basic-forensic-methodology/pcap-inspection/wireshark-tricks.md

Trucos de Wireshark

Trucos de Wireshark

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!
• Descubre The PEASS Family, nuestra colección exclusiva de NFTs
• Obtén el swag oficial de PEASS y HackTricks
• Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦@carlospolopm.
• Comparte tus trucos de hacking enviando PR al repositorio de hacktricks y al repositorio de hacktricks-cloud.

Mejora tus habilidades de Wireshark

Tutoriales

Los siguientes tutoriales son excelentes para aprender algunos trucos básicos interesantes:

• https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/
• https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/
• https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/
• https://unit42.paloaltonetworks.com/using-wireshark-exporting-objects-from-a-pcap/

Información analizada

Información de expertos

Al hacer clic en Analyze --> Expert Information tendrás una visión general de lo que está sucediendo en los paquetes analizados:

Direcciones resueltas

En Statistics --> Resolved Addresses puedes encontrar varias informaciones que fueron "resueltas" por Wireshark, como el puerto/transporte al protocolo, la MAC al fabricante, etc. Es interesante saber qué está implicado en la comunicación.

Jerarquía de protocolos

En Statistics --> Protocol Hierarchy puedes encontrar los protocolos involucrados en la comunicación y datos sobre ellos.

Conversaciones

En Statistics --> Conversations puedes encontrar un resumen de las conversaciones en la comunicación y datos sobre ellas.

Puntos finales

En Statistics --> Endpoints puedes encontrar un resumen de los puntos finales en la comunicación y datos sobre cada uno de ellos.

Información de DNS

En Statistics --> DNS puedes encontrar estadísticas sobre la solicitud de DNS capturada.

Gráfico de E/S

En Statistics --> I/O Graph puedes encontrar un gráfico de la comunicación.

Filtros

Aquí puedes encontrar filtros de Wireshark según el protocolo: https://www.wireshark.org/docs/dfref/
Otros filtros interesantes:

• (http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
  • Tráfico HTTP e inicial de HTTPS
• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
  • Tráfico HTTP e inicial de HTTPS + TCP SYN
• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
  • Tráfico HTTP e inicial de HTTPS + TCP SYN + solicitudes DNS

Búsqueda

Si deseas buscar contenido dentro de los paquetes de las sesiones, presiona CTRL+f. Puedes agregar nuevas capas a la barra de información principal (No., Tiempo, Origen, etc.) presionando el botón derecho y luego el botón de editar columna.

Práctica: https://www.malware-traffic-analysis.net/

Identificación de dominios

Puedes agregar una columna que muestre el encabezado Host HTTP:

Y una columna que agregue el nombre del servidor desde una conexión HTTPS iniciada (ssl.handshake.type == 1):

Identificación de nombres de host locales

Desde DHCP

En la versión actual de Wireshark, en lugar de bootp, debes buscar DHCP

Desde NBNS

Descifrado de TLS

Descifrado de tráfico https con clave privada del servidor

editar>preferencia>protocolo>ssl>

Presiona Editar y agrega todos los datos del servidor y la clave privada (IP, Puerto, Protocolo, Archivo de clave y contraseña)

Descifrado de tráfico https con claves de sesión simétricas

Resulta que tanto Firefox como Chrome admiten registrar la clave de sesión simétrica utilizada para cifrar el tráfico TLS en un archivo. Luego puedes apuntar Wireshark a dicho archivo y listo, tráfico TLS descifrado. Más en: https://redflagsecurity.net/2019/03/10/decrypting-tls-wireshark/
Para detectar esto, busca dentro del entorno la variable SSLKEYLOGFILE

Un archivo de claves compartidas se verá así:

Para importar esto en Wireshark, ve a _editar > preferencia > protocolo > ssl > e impórtalo en (Pre)-Master-Secret log filename:

Comunicación ADB

Extrae un APK de una comunicación ADB donde se envió el APK:

from scapy.all import *

pcap = rdpcap("final2.pcapng")

def rm_data(data):
    splitted = data.split(b"DATA")
    if len(splitted) == 1:
        return data
    else:
        return splitted[0]+splitted[1][4:]

all_bytes = b""
for pkt in pcap:
    if Raw in pkt:
        a = pkt[Raw]
        if b"WRTE" == bytes(a)[:4]:
            all_bytes += rm_data(bytes(a)[24:])
        else:
            all_bytes += rm_data(bytes(a))
print(all_bytes)

f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!
• Descubre The PEASS Family, nuestra colección exclusiva de NFTs
• Obtén la oficial PEASS & HackTricks swag
• Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦@carlospolopm.
• Comparte tus trucos de hacking enviando PRs al repositorio de hacktricks y al repositorio de hacktricks-cloud.