UnifeiCTFTime

Wireshark

Este guia é uma cheat table para uso do Wireshark em competições de CTFs. Ele aborda tópicos comuns, comandos úteis, filtros de pesquisa e dicas para análise de tráfego de rede.

Tópicos Comuns em CTFs com Wireshark

1. Recuperação de Credenciais

  • Protocolos comuns: HTTP, FTP, TELNET.

  • Dicas:

    • Para submissões de formulário em HTTP:

      http.request.method == "POST"

    • No FTP, procure por comandos USER e PASS nos pacotes.

2. Análise de Streams de Dados

  • Seguir Fluxo TCP:

    • Acesse: Analyze > Follow > TCP Stream.

    • Reconstrua conversas completas.

  • Exportar Objetos HTTP:

    • Acesse: File > Export Objects > HTTP.

    • Baixe arquivos transferidos.

3. Extração de Arquivos ou Dados Binários

  • Localize transferências em protocolos como FTP, HTTP ou SMB.

  • Use: File > Export Objects para salvar os arquivos capturados.

4. Análise de Malwares

  • Identifique conexões com domínios maliciosos (DGA).

  • Use: Statistics > Protocol Hierarchy para encontrar tráfego incomum.

5. Criptografia e TLS

  • Identifique pacotes TLS com:

ssl.handshake

Analise tráfego em portas HTTPS (443).

Dicas para Configuração Inicial

  1. Filtros Essenciais

    Por Protocolo:

http || dns || ftp

Por Endereço IP:

ip.src == X.X.X.X || ip.dst == X.X.X.X

Por Palavra-Chave:

frame contains "senha"

2. Colorização de Pacotes

Configure regras de cor para facilitar a identificação de pacotes importantes:
    Acesse:

    View > Coloring Rules

  Adicione cores para diferentes protocolos ou palavras-chave.

3. Reduzindo o Ruído

Para excluir pacotes irrelevantes e focar no tráfego necessário:
    !arp && !icmp

Comandos Essenciais no Wireshark

  1. Exportação de Dados

    Para exportar pacotes capturados: Vá até:

     File > Export Packet Dissections

    Escolha formatos como .txt ou .csv.

  2. Busca de Pacotes

    Use o atalho:

    Ctrl + F

    No menu, selecione critérios de busca como: String: Para localizar palavras específicas. Hex Value: Para encontrar valores hexadecimais no tráfego.

  3. Análise Estatística

    Resumo do Tráfego: Acesse:

    Statistics > Summary

Gráficos de I/O:

Acesse:

    Statistics > IO Graphs

Use gráficos para detectar anomalias ou picos de tráfego.

Atalhos Importantes

Pausar Captura:

Ctrl + E

Salvar Captura:

Ctrl + S

Seguir Fluxo TCP:

Ctrl + Alt + Shift + T

Resetar Filtros:

Ctrl + R

Lembretes para CTFs

  1. Tempo é Essencial

    Use filtros de forma eficiente para reduzir o escopo da análise e economizar tempo.

  2. Destaque para DNS

    Muitas pistas podem estar escondidas em consultas DNS. Utilize:

    dns && ip.src ==

  3. Erros Comuns

    Certifique-se de estar usando o formato correto de arquivo de captura:

    .pcap ou .pcapng

AnteriorRedesPróximoFerramentas

Atualizado