Mirrors/hacktricks

Fork 0

mirror of https://github.com/carlospolop/hacktricks synced 2024-11-26 14:40:37 +00:00

Translator 534d768096 Translated ['crypto-and-stego/hash-length-extension-attack.md', 'forensi

2024-04-18 03:34:48 +00:00

8.9 KiB

Raw Blame History

Trucchi di Wireshark

Impara l'hacking AWS da zero a eroe con htARTE (Esperto Red Team AWS di HackTricks)!

Altri modi per supportare HackTricks:

Se desideri vedere la tua azienda pubblicizzata in HackTricks o scaricare HackTricks in PDF Controlla i PIANI DI ABBONAMENTO!
Ottieni il merchandising ufficiale di PEASS & HackTricks
Scopri La Famiglia PEASS, la nostra collezione di NFT esclusivi
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi i tuoi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repository di Github.

WhiteIntel

WhiteIntel è un motore di ricerca alimentato dal dark web che offre funzionalità gratuite per verificare se un'azienda o i suoi clienti sono stati compromessi da malware ruba-informazioni.

Il loro obiettivo principale di WhiteIntel è combattere i takeover di account e gli attacchi ransomware derivanti da malware che rubano informazioni.

Puoi controllare il loro sito web e provare il loro motore gratuitamente su:

{% embed url="https://whiteintel.io" %}

Migliora le tue abilità di Wireshark

Tutorial

I seguenti tutorial sono fantastici per imparare alcuni trucchi di base interessanti:

Informazioni Analizzate

Informazioni Esperte

Cliccando su Analyze --> Expert Information avrai una panoramica di ciò che sta accadendo nei pacchetti analizzati:

Indirizzi Risolti

Sotto Statistics --> Resolved Addresses puoi trovare diverse informazioni che sono state "risolte" da Wireshark come porta/trasporto a protocollo, MAC al produttore, ecc. È interessante sapere cosa è coinvolto nella comunicazione.

Gerarchia dei Protocolli

Sotto Statistics --> Protocol Hierarchy puoi trovare i protocolli coinvolti nella comunicazione e dati su di essi.

Conversazioni

Sotto Statistics --> Conversations puoi trovare un riassunto delle conversazioni nella comunicazione e dati su di esse.

Endpoint

Sotto Statistics --> Endpoints puoi trovare un riassunto degli endpoint nella comunicazione e dati su ciascuno di essi.

Informazioni DNS

Sotto Statistics --> DNS puoi trovare statistiche sulla richiesta DNS catturata.

Grafico I/O

Sotto Statistics --> I/O Graph puoi trovare un grafico della comunicazione.

Filtri

Qui puoi trovare filtri di Wireshark in base al protocollo: https://www.wireshark.org/docs/dfref/
Altri filtri interessanti:

(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
Traffico HTTP e HTTPS iniziale
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
Traffico HTTP e HTTPS iniziale + SYN TCP
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
Traffico HTTP e HTTPS iniziale + SYN TCP + richieste DNS

Ricerca

Se desideri cercare contenuti all'interno dei pacchetti delle sessioni premi CTRL+f. Puoi aggiungere nuovi livelli alla barra delle informazioni principali (No., Tempo, Sorgente, ecc.) premendo il pulsante destro e quindi modifica colonna.

Laboratori pcap gratuiti

Pratica con le sfide gratuite di: https://www.malware-traffic-analysis.net/

Identificazione dei Domini

Puoi aggiungere una colonna che mostra l'intestazione Host HTTP:

E una colonna che aggiunge il nome del server da una connessione HTTPS iniziale (ssl.handshake.type == 1):

Identificazione dei nomi host locali

Da DHCP

Nel Wireshark attuale invece di bootp devi cercare DHCP

Da NBNS

Decrittazione TLS

Decrittazione del traffico https con chiave privata del server

modifica>preferenze>protocollo>ssl>

Premi Modifica e aggiungi tutti i dati del server e della chiave privata (IP, Porta, Protocollo, File chiave e password)

Decrittazione del traffico https con chiavi di sessione simmetriche

Sia Firefox che Chrome hanno la capacità di registrare le chiavi di sessione TLS, che possono essere utilizzate con Wireshark per decrittare il traffico TLS. Questo consente un'analisi approfondita delle comunicazioni sicure. Ulteriori dettagli su come eseguire questa decrittazione possono essere trovati in una guida su Red Flag Security.

Per individuare questo cerca all'interno dell'ambiente la variabile SSLKEYLOGFILE

Un file di chiavi condivise apparirà così:

Per importarlo in Wireshark vai a _modifica > preferenze > protocollo > ssl > e importalo in (Pre)-Master-Secret log filename:

Comunicazione ADB

Estrarre un APK da una comunicazione ADB in cui l'APK è stato inviato:

from scapy.all import *

pcap = rdpcap("final2.pcapng")

def rm_data(data):
splitted = data.split(b"DATA")
if len(splitted) == 1:
return data
else:
return splitted[0]+splitted[1][4:]

all_bytes = b""
for pkt in pcap:
if Raw in pkt:
a = pkt[Raw]
if b"WRTE" == bytes(a)[:4]:
all_bytes += rm_data(bytes(a)[24:])
else:
all_bytes += rm_data(bytes(a))
print(all_bytes)

f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()

WhiteIntel

Il loro obiettivo principale di WhiteIntel è combattere i takeover di account e gli attacchi ransomware derivanti da malware che rubano informazioni.

Puoi visitare il loro sito web e provare il loro motore gratuitamente su:

{% embed url="https://whiteintel.io" %}

Impara l'hacking di AWS da zero a eroe con htARTE (HackTricks AWS Red Team Expert)!

Altri modi per supportare HackTricks:

Se desideri vedere la tua azienda pubblicizzata su HackTricks o scaricare HackTricks in PDF Controlla i PIANI DI ABBONAMENTO!
Ottieni il merchandising ufficiale di PEASS & HackTricks
Scopri The PEASS Family, la nostra collezione di NFT esclusivi
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi i tuoi trucchi di hacking inviando PR a HackTricks e HackTricks Cloud github repos.

8.9 KiB Raw Blame History

Trucchi di Wireshark