hacktricks/generic-methodologies-and-resources/basic-forensic-methodology/pcap-inspection/wifi-pcap-analysis.md

Wifi Pcap Analysis

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

• Check the subscription plans!
• Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
• Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

{% endhint %}

Check BSSIDs

Όταν λάβετε μια καταγραφή της οποίας η κύρια κίνηση είναι Wifi χρησιμοποιώντας το WireShark, μπορείτε να αρχίσετε να ερευνάτε όλα τα SSIDs της καταγραφής με το Wireless --> WLAN Traffic:

Brute Force

Μία από τις στήλες της οθόνης αυτής υποδεικνύει αν βρέθηκε οποιαδήποτε αυθεντικοποίηση μέσα στο pcap. Αν αυτό ισχύει, μπορείτε να προσπαθήσετε να το σπάσετε χρησιμοποιώντας το aircrack-ng:

aircrack-ng -w pwds-file.txt -b <BSSID> file.pcap

Για παράδειγμα, θα ανακτήσει το WPA passphrase που προστατεύει ένα PSK (προκαθορισμένο κλειδί), το οποίο θα απαιτηθεί για να αποκρυπτογραφήσετε την κίνηση αργότερα.

Δεδομένα σε Beacons / Παράπλευρη Διάσταση

Εάν υποψιάζεστε ότι δεδομένα διαρρέουν μέσα σε beacons ενός Wifi δικτύου, μπορείτε να ελέγξετε τα beacons του δικτύου χρησιμοποιώντας ένα φίλτρο όπως το παρακάτω: wlan contains <NAMEofNETWORK>, ή wlan.ssid == "NAMEofNETWORK" αναζητώντας μέσα στα φιλτραρισμένα πακέτα για ύποπτες αλυσίδες.

Βρείτε Άγνωστες Διευθύνσεις MAC σε Ένα Wifi Δίκτυο

Ο παρακάτω σύνδεσμος θα είναι χρήσιμος για να βρείτε τις μηχανές που στέλνουν δεδομένα μέσα σε ένα Wifi Δίκτυο:

• ((wlan.ta == e8:de:27:16:70:c9) && !(wlan.fc == 0x8000)) && !(wlan.fc.type_subtype == 0x0005) && !(wlan.fc.type_subtype ==0x0004) && !(wlan.addr==ff:ff:ff:ff:ff:ff) && wlan.fc.type==2

Εάν ήδη γνωρίζετε διευθύνσεις MAC μπορείτε να τις αφαιρέσετε από την έξοδο προσθέτοντας ελέγχους όπως αυτόν: && !(wlan.addr==5c:51:88:31:a0:3b)

Μόλις εντοπίσετε άγνωστες διευθύνσεις MAC που επικοινωνούν μέσα στο δίκτυο, μπορείτε να χρησιμοποιήσετε φίλτρα όπως το παρακάτω: wlan.addr==<MAC address> && (ftp || http || ssh || telnet) για να φιλτράρετε την κίνησή τους. Σημειώστε ότι τα φίλτρα ftp/http/ssh/telnet είναι χρήσιμα εάν έχετε αποκρυπτογραφήσει την κίνηση.

Αποκρυπτογράφηση Κίνησης

Edit --> Preferences --> Protocols --> IEEE 802.11--> Edit

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

• Check the subscription plans!
• Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
• Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

{% endhint %}