hacktricks/forensics/basic-forensic-methodology/pcap-inspection/wifi-pcap-analysis.md

{% hint style="success" %} Μάθετε & εξασκηθείτε στο AWS Hacking: Εκπαίδευση HackTricks AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: Εκπαίδευση HackTricks GCP Red Team Expert (GRTE)

Υποστηρίξτε το HackTricks

• Ελέγξτε τα σχέδια συνδρομής!
• Συμμετέχετε 💬 στην ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Κοινοποιήστε τεχνικές χάκερ καταθέτοντας PRs στα αποθετήρια HackTricks και HackTricks Cloud στο GitHub.

{% endhint %}

Έλεγχος BSSIDs

Όταν λάβετε ένα αρχείο καταγραφής του οποίου η κύρια κίνηση είναι Wifi χρησιμοποιώντας το WireShark μπορείτε να αρχίσετε την έρευνα όλων των SSIDs της καταγραφής με Wireless --> WLAN Traffic:

Επίθεση Brute Force

Ένα από τα πεδία αυτής της οθόνης υποδεικνύει εάν βρέθηκε κάποια ταυτοποίηση μέσα στο αρχείο καταγραφής. Αν αυτό ισχύει, μπορείτε να δοκιμάσετε να το αποκρυπτογραφήσετε χρησιμοποιώντας το aircrack-ng:

aircrack-ng -w pwds-file.txt -b <BSSID> file.pcap

Για παράδειγμα, θα ανακτήσει τον κωδικό πρόσβασης WPA που προστατεύει ένα PSK (κοινόχρηστο κλειδί), ο οποίος θα απαιτηθεί για να αποκρυπτογραφήσετε την κίνηση αργότερα.

# Δεδομένα στα Beacons / Πλευρικό Κανάλι

Εάν υποψιάζεστε ότι **δεδομένα διαρρέουν μέσα στα beacons ενός δικτύου Wifi** μπορείτε να ελέγξετε τα beacons του δικτύου χρησιμοποιώντας ένα φίλτρο όπως το εξής: `wlan contains <ΟΝΟΜΑτουΔΙΚΤΥΟΥ>`, ή `wlan.ssid == "ΟΝΟΜΑτουΔΙΚΤΥΟΥ"` αναζητήστε μέσα στα φιλτραρισμένα πακέτα για ύποπτες συμβολοσειρές.

# Εύρεση Άγνωστων Διευθύνσεων MAC σε Ένα Δίκτυο Wifi

Ο παρακάτω σύνδεσμος θα είναι χρήσιμος για να βρείτε τις **συσκευές που στέλνουν δεδομένα μέσα σε ένα Δίκτυο Wifi**:

* `((wlan.ta == e8:de:27:16:70:c9) && !(wlan.fc == 0x8000)) && !(wlan.fc.type_subtype == 0x0005) && !(wlan.fc.type_subtype ==0x0004) && !(wlan.addr==ff:ff:ff:ff:ff:ff) && wlan.fc.type==2`

Εάν γνωρίζετε ήδη **διευθύνσεις MAC** μπορείτε να τις αφαιρέσετε από την έξοδο προσθέτοντας ελέγχους όπως αυτόν: `&& !(wlan.addr==5c:51:88:31:a0:3b)`

Αφού ανιχνεύσετε **άγνωστες διευθύνσεις MAC** που επικοινωνούν μέσα στο δίκτυο μπορείτε να χρησιμοποιήσετε **φίλτρα** όπως το ακόλουθο: `wlan.addr==<Διεύθυνση MAC> && (ftp || http || ssh || telnet)` για να φιλτράρετε την κίνησή τους. Σημειώστε ότι τα φίλτρα ftp/http/ssh/telnet είναι χρήσιμα εάν έχετε αποκρυπτογραφήσει την κίνηση.

# Αποκρυπτογράφηση Κίνησης

Επεξεργασία --> Προτιμήσεις --> Πρωτόκολλα --> IEEE 802.11--> Επεξεργασία

![](<../../../.gitbook/assets/image (426).png>)