iT邦幫忙

2025 iThome 鐵人賽

DAY 16
0

🧂 前言

今天會介紹 Wireshark 的兩個特別的功能,一個是可以匯入key 去解密封包內容,另一個是可以將http的傳輸物件下載下來。


🍘 仙貝工具

Wireshark

下載連結:https://www.wireshark.org/download.html

Wireshark是目前最受歡迎的開源網路協定分析器。

這款功能強大的軟體不僅能夠即時監控網路流量,更能深入分析各種網路協定的詳細內容,為網路故障排除、協定開發和安全分析提供全方位的支援,

另外也能夠識別和解析超過2000種不同的網路協定,從常見的TCP/IP協定族到專用的工業控制協定,幾乎涵蓋了所有可能遇到的網路通訊場景。這種全面的協定支援不僅包括即時協定解析,還允許用戶根據需要添加自定義協定支援。


🔐 解密封包

Wireshark 支援可以匯入key ,將加密過後的HTTPS 流量還原成明文

因為HTTPS 多了一層SSL/TLS,他會將封包進行加密保護傳輸內容不被竊聽

解密流程如下:

假設我們要分析一個HTTPS網站的登入過程,將加解密的key 先存在一個檔案中

export SSLKEYLOGFILE="/home/user/ssl-keys.log"

然後再Preferences-> Prorocols 裡面找到TLS ,接下來把剛剛儲存的key 路徑丟進去最底下(Pre)-Master-Screct log filename裡面

例子:CyberDefender - WireDive Lab

在 https.pcap 題目組底下的問題會需要先匯入加解密key 才能回答

首先先看一下原本加密過後的樣子

題目有提供解密的key

接下來將這個檔案匯入到wireshark 當中

OK 之後就可以看到解密過後的封包內容並且也跑出了HTTP2

另外wireshark 支援的解密為

  1. SSL/TLS解密:最常見的HTTPS流量解密
  2. WEP/WPA/WPA2解密:WiFi加密流量
  3. IPsec解密:VPN流量
  4. Kerberos解密:Windows認證流量
  5. 自定義加密:透過Lua腳本支援

📦 匯出物件

wireshark 提供了可以將封包傳輸的物件(如:圖片、檔案、網頁......) dump 下來的功能

例子:CyberDefender-SolarDisruption Lab

這個題目其中有一題問:

Q10 The PLC's configuration webserver enables engineers to configure and monitor various parameters of the PLC device. This access can also allow an attacker to identify the I/O points or the registers/coils numbers and their mappings. How many I/O points were in use on the PLC?

而這題的解法會需要把整個網站檔案都載下來查看才會得知

接下來按Save all 後選擇其中一個資料夾放所有Object

去到那個資料夾後會看到所有的東西都存在裡面了

點開dashboard.html後發現會正常顯示當時網頁的dashboard 頁面

點開Monitoring 後即可回答答案


結論

今天介紹了兩個特別的功能,當初接觸到的時候有被驚艷到,Wireshark 的功能真的挺強大的,接下來會介紹其他Network fornesic 工具


上一篇
Day15 🦈
下一篇
Day17 ZED USER INTERFACE
系列文
Blue 了 Blue 了!只會看封包與log的我錯了嗎!17
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言