Wireshark

Downloaden
http://www.wireshark.org/

Bei SuSE gibt es Probleme bei der Kompilierung deshalb bei SuSE ein rpm Packet verwenden
Bei Debian am besten via “apt-get install wireshark” installieren.

Installation:

Pcap:
“wget http://www.tcpdump.org/release/libpcap-0.9.8.tar.gz”
“tar -xvzf libpcap-0.9.8.tar.gz”
“cd libpcap-0.9.8”
“./configure” oder bei SuSE “./configure –bindir=/usr/bin –sbindir=/usr/sbin –libdir=/usr/lib –includedir=/usr/include”
“make”
“make install”

QT muss auch installiert sein. Siehe dazu QT Doks.

Bei Debian “cp -frv /usr/bin/dumpcap /usr/lib/” trotz “apt-get install wireshark” 🙁 .

wireshark:
“./configure” oder bei SuSE “./configure –bindir=/usr/bin –sbindir=/usr/sbin –sysconfdir=/etc –libdir=/usr/lib –includedir=/usr/include –with-ssl=/usr/local/ssl”
“make”
“make install”

 

tshark

"wget https://1.eu.dl.wireshark.org/src/wireshark-2.4.4.tar.xz"
"tar -xf wireshark-2.4.4.tar.xz 
"cd wireshark-2.4.4/"
"./configure --bindir=/usr/bin --sbindir=/usr/sbin --libdir=/usr/lib64 --includedir=/usr/include --enable-tshark=yes --enable-wireshark=no"
"make"
"make install"

 
#Capture File Filter 

"tshark -r smb_3.pcap -Y ntlmssp.challenge.target_info -T jsonraw | grep -i ntlmssp.ntlmserverchallenge_raw" = NTLM Server Challenge
"tshark -r smb_3.pcap -Y ntlmssp.ntlmv2_response -T jsonraw | grep ntlmssp.ntlmv2_response_raw" = NTLMv2 Response mit Hex Output
"tshark -r smb_3.pcap -Y "ntlmssp.ntlmv2_response" -T json | grep -i ntlmssp.auth.username | awk -F'\"' '{print $4}' " 	= User Name
"tshark -r smb_3.pcap -Y "ntlmssp.ntlmv2_response" -T json | grep -w ntlmssp.auth.domain |  awk -F'\"' '{print $4}' "= Domain Name

#########################
"tshark -r smb_3.pcap -Y "ntlmssp.ntlmv2_response || ntlmssp.challenge.target_info" -T jsonraw | grep -iE "ntlmssp.ntlmserverchallenge_raw|ntlmssp.ntlmv2_response_raw|NetBIOS domain name|ntlmssp.auth.username_raw"  "
Den "ntlmssp.auth.username_raw" muss man noch umwandeln in ASCII . " echo "44006f00670077006100740063006800" | xxd -r -p "

String aufbauen für hashcat und john the ripper, siehe die jeweiligen Dokus


 

Post Revisions: