hacktricks/forensics/basic-forensic-methodology/pcap-inspection/wifi-pcap-analysis.md

Aprende hacking en AWS desde cero hasta convertirte en un experto con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

• Si deseas ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF Consulta los PLANES DE SUSCRIPCIÓN!
• Obtén la merchandising oficial de PEASS & HackTricks
• Descubre The PEASS Family, nuestra colección exclusiva de NFTs
• Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
• Comparte tus trucos de hacking enviando PRs a los repositorios de HackTricks y HackTricks Cloud.

Verificar BSSIDs

Cuando recibes una captura cuyo tráfico principal es Wifi utilizando WireShark, puedes comenzar a investigar todos los SSID de la captura con Wireless --> WLAN Traffic:

Fuerza bruta

Una de las columnas de esa pantalla indica si se encontró alguna autenticación dentro del pcap. Si ese es el caso, puedes intentar forzarlo usando aircrack-ng:

aircrack-ng -w pwds-file.txt -b <BSSID> file.pcap

Por ejemplo, recuperará la frase de paso WPA que protege una PSK (clave compartida previamente), que será necesaria para descifrar el tráfico más tarde.

Datos en Beacons / Canal Lateral

Si sospecha que los datos se están filtrando dentro de los beacons de una red Wifi, puede verificar los beacons de la red utilizando un filtro como el siguiente: wlan contains <NOMBREdeRED>, o wlan.ssid == "NOMBREdeRED" buscar dentro de los paquetes filtrados cadenas sospechosas.

Encontrar Direcciones MAC Desconocidas en una Red Wifi

El siguiente enlace será útil para encontrar las máquinas que envían datos dentro de una Red Wifi:

• ((wlan.ta == e8:de:27:16:70:c9) && !(wlan.fc == 0x8000)) && !(wlan.fc.type_subtype == 0x0005) && !(wlan.fc.type_subtype ==0x0004) && !(wlan.addr==ff:ff:ff:ff:ff:ff) && wlan.fc.type==2

Si ya conoce las direcciones MAC, puede eliminarlas del resultado agregando comprobaciones como esta: && !(wlan.addr==5c:51:88:31:a0:3b)

Una vez que haya detectado direcciones MAC desconocidas comunicándose dentro de la red, puede usar filtros como el siguiente: wlan.addr==<dirección MAC> && (ftp || http || ssh || telnet) para filtrar su tráfico. Tenga en cuenta que los filtros ftp/http/ssh/telnet son útiles si ha descifrado el tráfico.

Descifrar Tráfico

Editar --> Preferencias --> Protocolos --> IEEE 802.11--> Editar

Aprende hacking de AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

• Si desea ver su empresa anunciada en HackTricks o descargar HackTricks en PDF Consulte los PLANES DE SUSCRIPCIÓN!
• Obtenga la merchandising oficial de PEASS & HackTricks
• Descubre The PEASS Family, nuestra colección exclusiva de NFTs
• Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
• Comparte tus trucos de hacking enviando PRs a los repositorios de HackTricks y HackTricks Cloud.