Pcap — различия между версиями

Материал из InformationSecurity WIKI
Перейти к: навигация, поиск
м (USB-Keyboard)
м (HTTP)
 
Строка 43: Строка 43:
 
===HTTP===
 
===HTTP===
  
 +
====Cookie====
 +
 +
Проверяем наличие куки в Wireshark:
 +
 +
    http.cookie
 +
 +
 +
====Files/Pages====
 +
 +
Скачиваем все файлы:
 +
 +
[[File:httpdownload.png]]
  
 
===SMB===
 
===SMB===

Текущая версия на 17:33, 1 сентября 2016

Сетевой дамп чаще всего предоставляется как .pcap или .pcapng файл.

Открыть его можно с помощью следующих программ:

  • Wireshark
  • CocoaPacketAnalyser
  • Scapy(библиотека python)

Рассмотрим классификацию тасков на анализирование сетевого дампа.

Для начала разделим все задания по количеству пакетов.

Несколько пакетов (не более 20)

Данные таски сводятся к примитивны вещам, рассмотрим самые популярные.

Один пакет

Обычно требуется повторить отсылку пакета


HTTP

PING(ICMP)

Socket

Множество пакетов

Для примера


Bittorrent

HTTP

Cookie

Проверяем наличие куки в Wireshark:

    http.cookie


Files/Pages

Скачиваем все файлы:

Httpdownload.png

SMB

HTTPS

SSH

USB

Чаще всего предоставляется дамп в виде pcapng файла.

Вначале найдем id device, у которого было больше всего пакетов. Далее найдем GET DESCRIPTOR Response DEVICE для данного устройства. Смотрим на описание пакета и во вкладке DEVICE DESCRIPTOR узнаем что за устройство. Далее действуем по ситуации.

USB-Mouse

Чаще требуется составить картинку из координат мышки.

Пример таска можете посмотреть с google ctf: https://amritabi0s.wordpress.com/2016/06/15/google-ctf-for2/

Код программы постить тут нецелесообразно тк он меняется в зависимости от таска.


USB-Keyboard

В данном случае требуется следующее (Wireshark):

    1. Выделить нужное устройство фильтром usb.data_flag == "present (0)" && usb.device_address == 21
    2. Создать колонку Leftover Capture Data
    3. Убрать все остальные колонки
    4. Экспортировать пакеты как csv
    5. .cvs -> .txt
    6. Оставить в файле только значения Leftover Capture Data
    7. Первый байт - shift и тд, третий байт - нажатая клавиша
    8. По таблицам USB HID расшифровать нажатия.
Клавиши расшифровка
Обыкновенная клавиатура

KeyboardHID.gif

Большая таблица кодов

Таблица в документации(10 глава)


MPC (разделенная клавиатура)

Суть в том, чтобы расшифровать текст используя коды для обыкновенной клавиатуры и с помощью данной картинки перевести в читабельный вид.

PIDKeyboard-new.png

Райтапы

http://countersite.org/articles/net/111-intercepted-conversations-pt1.html