[CTF] Wireshark 功能備忘錄

前言

封包題臨陣磨槍練起來(更新中), 這篇基本上只會講到功能面為主, 封包細節分析再看有沒有時間寫另一篇

基本你會需要的

Wireshark + pcap 檔

CLI wireshark 使用

HEN 快

tshark -r example.pcap -R [filter] -T fields -e [output field]

備註: -T fields 是為了後面 -e 所使用, 不然一般是 format of text output

e.g. tshark -r example.pcap -T fields -e ip.addr > out.txt

Filter 使用

[not] Expression [and|or] [not] Expression

篩選相關都可以透過該方式

Expression example: ip.src == 127.0.0.1

當然也可以手動透過點擊 GUI 方式去新增 => Analyze -> Display Filter Expression

常用 filter methods

  • eth.dst
  • eth.addr
  • tcp.dstport
  • tcp.srcport
  • http.request.method == 'GET|POST'
  • http.request.uri == '/example'
  • http contains FLAG

當然你也可以用搜尋(CTRL+F)去 GUI 搜尋, regex, string, hex 都支援

Statistics 統計欄位

EndPoints & Conversations

可以看到相關 IP, macAddress, 封包大小流量等統計訊息

HTTP

  1. Packet Counter

    CTF 常常見一些 HTTP 相關的處理, 有時候要快速分析 response code 的時候可以用

  2. Request

    快速整裡封包裡訪問的 url, 可以拿來檢查, 特別是 sql injection or 攻擊 payload 時所用

IPV4/IPV6 Statistics

這邊也會有一些統計資料, 不過資料量很多, 我個人是不太愛看

Preferences

Edit -> Preferences

Protocol

這邊主要是可以針對各個 protocol 細節去做更多的設定, 或加解密相關的調校

  1. TLS/SSL 加解密

    Preferences -> Protocol -> SSL/TLS -> RSA key list

    可以協助導入 key 去解密原始加密訊息 ( 常見就是 HTTPS ), 根據對應欄位填入訊息即可

    特別注意 wireshark 3.X 以上只有 TLS 欄位, SSL 是 2.X 舊版才有的選項

  2. WPA-PSK (WIFI等)

    1. 密碼爆破 or 題目提供

      • linux: aircrack
      • 用法: aircrack-ng -w password.lst /tmp/test.pcap
    2. 密碼填入 wireshark 解析

      Preferences -> Protocols -> IEEE802.11 -> Edit 去新增

      其餘可參考 HowToDecrypt802.11

Wireshark 神奇功能

自動分析導出

File -> Export Object -> [HTTP/TFTP/IMF/...]

可以自動導出 wireshark 可以解出的檔案, 最常用的應該是 http 吧

Follow Stream

跟蹤數據 overview 很好用, 常常用來分析一連串的 http request