[CTF] Wireshark 功能備忘錄
前言
封包題臨陣磨槍練起來(更新中), 這篇基本上只會講到功能面為主, 封包細節分析再看有沒有時間寫另一篇
基本你會需要的
Wireshark + pcap 檔
CLI wireshark 使用
HEN 快
tshark -r example.pcap -R [filter] -T fields -e [output field]
備註: -T fields 是為了後面 -e 所使用, 不然一般是 format of text output
e.g. tshark -r example.pcap -T fields -e ip.addr > out.txt
Filter 使用
[not] Expression [and|or] [not] Expression
篩選相關都可以透過該方式
Expression example: ip.src == 127.0.0.1
當然也可以手動透過點擊 GUI 方式去新增 => Analyze -> Display Filter Expression
常用 filter methods
- eth.dst
- eth.addr
- tcp.dstport
- tcp.srcport
- http.request.method == 'GET|POST'
- http.request.uri == '/example'
- http contains FLAG
當然你也可以用搜尋(CTRL+F)去 GUI 搜尋, regex, string, hex 都支援
Statistics 統計欄位
EndPoints & Conversations
可以看到相關 IP, macAddress, 封包大小流量等統計訊息
HTTP
-
Packet Counter
CTF 常常見一些 HTTP 相關的處理, 有時候要快速分析 response code 的時候可以用
-
Request
快速整裡封包裡訪問的 url, 可以拿來檢查, 特別是 sql injection or 攻擊 payload 時所用
IPV4/IPV6 Statistics
這邊也會有一些統計資料, 不過資料量很多, 我個人是不太愛看
Preferences
Edit -> Preferences
Protocol
這邊主要是可以針對各個 protocol 細節去做更多的設定, 或加解密相關的調校
-
TLS/SSL 加解密
Preferences -> Protocol -> SSL/TLS -> RSA key list
可以協助導入 key 去解密原始加密訊息 ( 常見就是 HTTPS ), 根據對應欄位填入訊息即可
特別注意 wireshark 3.X 以上只有 TLS 欄位, SSL 是 2.X 舊版才有的選項
-
WPA-PSK (WIFI等)
-
密碼爆破 or 題目提供
- linux:
aircrack
- 用法:
aircrack-ng -w password.lst /tmp/test.pcap
- linux:
-
密碼填入 wireshark 解析
Preferences -> Protocols -> IEEE802.11 -> Edit
去新增其餘可參考 HowToDecrypt802.11
-
Wireshark 神奇功能
自動分析導出
File -> Export Object -> [HTTP/TFTP/IMF/...]
可以自動導出 wireshark 可以解出的檔案, 最常用的應該是 http 吧
Follow Stream
跟蹤數據 overview 很好用, 常常用來分析一連串的 http request