Pcap — различия между версиями
Drakylar (обсуждение | вклад) м |
Drakylar (обсуждение | вклад) м (→HTTP) |
||
| (не показана 1 промежуточная версия этого же участника) | |||
| Строка 43: | Строка 43: | ||
===HTTP=== | ===HTTP=== | ||
| + | ====Cookie==== | ||
| + | |||
| + | Проверяем наличие куки в Wireshark: | ||
| + | |||
| + | http.cookie | ||
| + | |||
| + | |||
| + | ====Files/Pages==== | ||
| + | |||
| + | Скачиваем все файлы: | ||
| + | |||
| + | [[File:httpdownload.png]] | ||
===SMB=== | ===SMB=== | ||
| Строка 100: | Строка 112: | ||
[[File: PIDKeyboard-new.png]] | [[File: PIDKeyboard-new.png]] | ||
| + | |||
| + | =====Райтапы===== | ||
| + | |||
| + | http://countersite.org/articles/net/111-intercepted-conversations-pt1.html | ||
Текущая версия на 17:33, 1 сентября 2016
Сетевой дамп чаще всего предоставляется как .pcap или .pcapng файл.
Открыть его можно с помощью следующих программ:
- Wireshark
- CocoaPacketAnalyser
- Scapy(библиотека python)
Рассмотрим классификацию тасков на анализирование сетевого дампа.
Для начала разделим все задания по количеству пакетов.
Несколько пакетов (не более 20)
Данные таски сводятся к примитивны вещам, рассмотрим самые популярные.
Один пакет
Обычно требуется повторить отсылку пакета
HTTP
PING(ICMP)
Socket
Множество пакетов
Для примера
Bittorrent
HTTP
Cookie
Проверяем наличие куки в Wireshark:
http.cookie
Files/Pages
Скачиваем все файлы:
SMB
HTTPS
SSH
USB
Чаще всего предоставляется дамп в виде pcapng файла.
Вначале найдем id device, у которого было больше всего пакетов. Далее найдем GET DESCRIPTOR Response DEVICE для данного устройства. Смотрим на описание пакета и во вкладке DEVICE DESCRIPTOR узнаем что за устройство. Далее действуем по ситуации.
USB-Mouse
Чаще требуется составить картинку из координат мышки.
Пример таска можете посмотреть с google ctf: https://amritabi0s.wordpress.com/2016/06/15/google-ctf-for2/
Код программы постить тут нецелесообразно тк он меняется в зависимости от таска.
USB-Keyboard
В данном случае требуется следующее (Wireshark):
1. Выделить нужное устройство фильтром usb.data_flag == "present (0)" && usb.device_address == 21
2. Создать колонку Leftover Capture Data
3. Убрать все остальные колонки
4. Экспортировать пакеты как csv
5. .cvs -> .txt
6. Оставить в файле только значения Leftover Capture Data
7. Первый байт - shift и тд, третий байт - нажатая клавиша
8. По таблицам USB HID расшифровать нажатия.
Клавиши расшифровка
Обыкновенная клавиатура
Таблица в документации(10 глава)
MPC (разделенная клавиатура)
Суть в том, чтобы расшифровать текст используя коды для обыкновенной клавиатуры и с помощью данной картинки перевести в читабельный вид.
Райтапы
http://countersite.org/articles/net/111-intercepted-conversations-pt1.html
