8.8 KiB
Dicas do Wireshark
Dicas do Wireshark
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Verifique os PLANOS DE ASSINATURA!
- Descubra A Família PEASS, nossa coleção exclusiva de NFTs
- Adquira o swag oficial do PEASS & HackTricks
- Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-me no Twitter 🐦@carlospolopm.
- Compartilhe suas dicas de hacking enviando PRs para o repositório hacktricks e hacktricks-cloud repo.
Melhore suas habilidades no Wireshark
Tutoriais
Os seguintes tutoriais são incríveis para aprender alguns truques básicos legais:
- https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/
- https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/
- https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/
- https://unit42.paloaltonetworks.com/using-wireshark-exporting-objects-from-a-pcap/
Informações analisadas
Informação de especialista
Clicando em Analisar --> Informação de especialista você terá uma visão geral do que está acontecendo nos pacotes analisados:
Endereços resolvidos
Em Estatísticas --> Endereços resolvidos você pode encontrar várias informações que foram "resolvidas" pelo wireshark, como porta/transporte para protocolo, MAC para o fabricante, etc. É interessante saber o que está implicado na comunicação.
Hierarquia de protocolo
Em Estatísticas --> Hierarquia de protocolo você pode encontrar os protocolos envolvidos na comunicação e dados sobre eles.
Conversas
Em Estatísticas --> Conversas você pode encontrar um resumo das conversas na comunicação e dados sobre elas.
Pontos finais
Em Estatísticas --> Pontos finais você pode encontrar um resumo dos pontos finais na comunicação e dados sobre cada um deles.
Informações DNS
Em Estatísticas --> DNS você pode encontrar estatísticas sobre a solicitação DNS capturada.
Gráfico de E/S
Em Estatísticas --> Gráfico de E/S você pode encontrar um gráfico da comunicação.
Filtros
Aqui você pode encontrar filtros do wireshark dependendo do protocolo: https://www.wireshark.org/docs/dfref/
Outros filtros interessantes:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
- Tráfego HTTP e HTTPS inicial
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
- Tráfego HTTP e HTTPS inicial + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
- Tráfego HTTP e HTTPS inicial + TCP SYN + solicitações DNS
Busca
Se você quiser procurar por conteúdo dentro dos pacotes das sessões, pressione CTRL+f. Você pode adicionar novas camadas à barra de informações principais (No., Hora, Origem, etc.) pressionando o botão direito e, em seguida, a edição da coluna.
Prática: https://www.malware-traffic-analysis.net/
Identificando Domínios
Você pode adicionar uma coluna que mostra o cabeçalho Host HTTP:
E uma coluna que adiciona o nome do servidor de uma conexão HTTPS iniciada (ssl.handshake.type == 1):
Identificando nomes de host locais
Do DHCP
No Wireshark atual, em vez de bootp
, você precisa procurar por DHCP
Do NBNS
Descriptografando TLS
Descriptografando tráfego https com chave privada do servidor
editar>preferência>protocolo>ssl>
Pressione Editar e adicione todos os dados do servidor e a chave privada (IP, Porta, Protocolo, Arquivo de chave e senha)
Descriptografando tráfego https com chaves de sessão simétricas
Acontece que o Firefox e o Chrome suportam o registro da chave de sessão simétrica usada para criptografar o tráfego TLS em um arquivo. Você pode então apontar o Wireshark para esse arquivo e pronto! tráfego TLS descriptografado. Mais em: https://redflagsecurity.net/2019/03/10/decrypting-tls-wireshark/
Para detectar isso, procure dentro do ambiente pela variável SSLKEYLOGFILE
Um arquivo de chaves compartilhadas parecerá com isso:
Para importar isso no wireshark, vá para _editar > preferência > protocolo > ssl > e importe-o em (Pre)-Master-Secret log filename:
Comunicação ADB
Extraia um APK de uma comunicação ADB onde o APK foi enviado:
from scapy.all import *
pcap = rdpcap("final2.pcapng")
def rm_data(data):
splitted = data.split(b"DATA")
if len(splitted) == 1:
return data
else:
return splitted[0]+splitted[1][4:]
all_bytes = b""
for pkt in pcap:
if Raw in pkt:
a = pkt[Raw]
if b"WRTE" == bytes(a)[:4]:
all_bytes += rm_data(bytes(a)[24:])
else:
all_bytes += rm_data(bytes(a))
print(all_bytes)
f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Verifique os PLANOS DE ASSINATURA!
- Descubra A Família PEASS, nossa coleção exclusiva de NFTs
- Adquira o swag oficial do PEASS & HackTricks
- Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-me no Twitter 🐦@carlospolopm.
- Compartilhe seus truques de hacking enviando PRs para o repositório hacktricks e para o repositório hacktricks-cloud.