hacktricks/forensics/basic-forensic-methodology/pcap-inspection/wireshark-tricks.md

Trikovi sa Wireshark-om

Trikovi sa Wireshark-om

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

• Ako želite da vidite svoju kompaniju reklamiranu na HackTricks-u ili da preuzmete HackTricks u PDF formatu proverite PLANOVE ZA PRIJAVU!
• Nabavite zvanični PEASS & HackTricks swag
• Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
• Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @hacktricks_live.
• Podelite svoje hakovanje trikova slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

WhiteIntel

WhiteIntel je pretraživač pokretan dark web-om koji nudi besplatne funkcionalnosti za proveru da li je kompanija ili njeni korisnici kompromitovani od strane malvera za krađu podataka.

Primarni cilj WhiteIntel-a je borba protiv preuzimanja naloga i napada ransomvera koji proizilaze iz malvera za krađu informacija.

Možete posetiti njihovu veb lokaciju i isprobati njihovu mašinu za besplatno na:

{% embed url="https://whiteintel.io" %}

---

Unapredite svoje veštine sa Wireshark-om

Tutorijali

Sledeći tutorijali su sjajni za učenje nekih cool osnovnih trikova:

• https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/
• https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/
• https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/
• https://unit42.paloaltonetworks.com/using-wireshark-exporting-objects-from-a-pcap/

Analizirane informacije

Ekspertske informacije

Klikom na Analyze --> Expert Information dobićete pregled onoga što se dešava u analiziranim paketima:

Rešene adrese

Pod Statistics --> Resolved Addresses možete pronaći nekoliko informacija koje je Wireshark "rešio" kao što su port/transport do protokola, MAC do proizvođača, itd. Korisno je znati šta je uključeno u komunikaciju.

Hijerarhija protokola

Pod Statistics --> Protocol Hierarchy možete pronaći protokole koji su učestvovali u komunikaciji i podatke o njima.

Konverzacije

Pod Statistics --> Conversations možete pronaći rezime konverzacija u komunikaciji i podatke o njima.

Krajnje tačke

Pod Statistics --> Endpoints možete pronaći rezime krajnjih tačaka u komunikaciji i podatke o svakoj od njih.

DNS informacije

Pod Statistics --> DNS možete pronaći statistike o uhvaćenim DNS zahtevima.

I/O Grafikon

Pod Statistics --> I/O Graph možete pronaći grafikon komunikacije.

Filteri

Ovde možete pronaći Wireshark filtere u zavisnosti od protokola: https://www.wireshark.org/docs/dfref/
Drugi interesantni filteri:

• (http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
• HTTP i početni HTTPS saobraćaj
• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
• HTTP i početni HTTPS saobraćaj + TCP SYN
• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
• HTTP i početni HTTPS saobraćaj + TCP SYN + DNS zahtevi

Pretraga

Ako želite da pretražujete sadržaj unutar paketa sesija pritisnite CTRL+f. Možete dodati nove slojeve u glavnu informacionu traku (Br., Vreme, Izvor, itd.) pritiskom na desno dugme, a zatim na uređivanje kolone.

Besplatne pcap laboratorije

Vežbajte sa besplatnim izazovima na: https://www.malware-traffic-analysis.net/

Identifikacija domena

Možete dodati kolonu koja prikazuje Host HTTP zaglavlje:

I kolonu koja dodaje ime servera sa inicijalne HTTPS veze (ssl.handshake.type == 1):

Identifikacija lokalnih imena hostova

Iz DHCP-a

U trenutnom Wireshark-u umesto bootp treba da tražite DHCP

Iz NBNS-a

Dekriptovanje TLS-a

Dekriptovanje https saobraćaja sa privatnim ključem servera

izmeni>postavke>protokol>ssl>

Pritisnite Izmeni i dodajte sve podatke servera i privatnog ključa (IP, Port, Protokol, Datoteka ključa i lozinka)

Dekriptovanje https saobraćaja sa simetričnim sesijskim ključevima

I Firefox i Chrome imaju mogućnost da beleže TLS sesijske ključeve, koji se mogu koristiti sa Wireshark-om za dekriptovanje TLS saobraćaja. Ovo omogućava dubinsku analizu sigurnih komunikacija. Više detalja o tome kako izvršiti ovu dekripciju možete pronaći u vodiču na Red Flag Security.

Da biste ovo otkrili, pretražite okruženje za promenljivu SSLKEYLOGFILE

Datoteka deljenih ključeva će izgledati ovako:

Da biste ovo uvezali u Wireshark idite na _izmeni > postavke > protokol > ssl > i uvezite u (Pre)-Master-Secret log filename:

ADB komunikacija

Izvucite APK iz ADB komunikacije gde je APK poslat:

from scapy.all import *

pcap = rdpcap("final2.pcapng")

def rm_data(data):
splitted = data.split(b"DATA")
if len(splitted) == 1:
return data
else:
return splitted[0]+splitted[1][4:]

all_bytes = b""
for pkt in pcap:
if Raw in pkt:
a = pkt[Raw]
if b"WRTE" == bytes(a)[:4]:
all_bytes += rm_data(bytes(a)[24:])
else:
all_bytes += rm_data(bytes(a))
print(all_bytes)

f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()

WhiteIntel

WhiteIntel je pretraživač pokretan dark web-om koji nudi besplatne funkcionalnosti za proveru da li je kompanija ili njeni korisnici ugroženi od malvera koji krade informacije.

Njihov primarni cilj WhiteIntela je borba protiv preuzimanja naloga i napada ransomvera koji proizilaze iz malvera koji krade informacije.

Možete posetiti njihovu veb lokaciju i isprobati njihovu mašinu za besplatno na:

{% embed url="https://whiteintel.io" %}

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

• Ako želite da vidite svoju kompaniju reklamiranu na HackTricks-u ili preuzmete HackTricks u PDF formatu Proverite PLANOVE ZA PRIJAVU!
• Nabavite zvanični PEASS & HackTricks swag
• Otkrijte Porodicu PEASS, našu kolekciju ekskluzivnih NFT-ova
• Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @hacktricks_live.
• Podelite svoje hakovanje trikova slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.