Vous en avez assez d’essayer d’extraire des paquets à la main? Besoin d’obtenir des informations à partir d’un fichier pcap qui ne s’extrait pas facilement de Wireshark? Les interfaces graphiques sont-elles pour les perdants, mais maintenant vous avez réalisé que vous ne pouvez pas ouvrir Wireshark? Eh bien mon ami, TShark est la solution à tous vos problèmes.
Task 1 Pre-Reqs
Généralement, tshark est installé avec Wireshark. Mais vérifions quand même qu’il est installé. Exécutez la commande ci-dessous pour déterminer s’il est installé ou non.
apt list tshark
Dans ma sortie ci-dessus, nous pouvons voir qu’il est installé. S’il n’est pas installé, sudo apt install tshark fera l’affaire.
Le programme tshark est également disponible dans une installation Windows sous le nom tshark.exe dans le répertoire d’installation de Wireshark.
Pour installer Tshark sur Windows, il faut télécharger Wireshark à partir de ce lien, et lors de l’installation vous avez la possibilité de choisir si vous souhaitez installer Wireshark ou tshark ou les deux.
Vous trouverez la page « man » a cette adresse wireshark.org
Task 2 Reading PCAP Files
Dans cette section, il n’y a qu’a suivre les indications et réutiliser les commandes expliquées en préambule.
Ouvrir un fichier de capture:
tshark -r dns.cap
Compter le nombre de paquet
tshark -r dns.cap | wc -l
Ajouter des filters avec l’option -Y
tshark -r dns.cap -Y « dns.qry.type == 1 »
Ajouter des champs avec l’option -T
tshark -r dns.cap -Y « dns.qry.type == 1 » -T fields -e dns.qry.name
- How many packets are in the dns.cap file?
38
Commande :
tshark -r cap | wc -l
- How many A records are in the capture? (Including responses)
6
Commande :
tshark -r cap -Y « dns.qry.type == 1 » | wc -l
- Which A record was present the most?
GRIMM.utelsystems.local
Commande :
tshark -r cap -Y « dns.qry.type == 1 » -T fields -e dns.qry.name
Task 3 DNS Exfil
Dans cette section, les choses se corsent un peu ( mais pas trop quand même ). Il faut réutiliser les commandes du préambule et en modifiant les champs.
- How many packets are in this capture?
125
Commande :
tshark -r pcap | wc -l
- How many DNS queries are in this pcap? (Not responses!)
56
Commande :
tshark -r pcap -Y « dns.flags.response == 0 » | wc -l
- What is the DNS transaction ID of the suspicious queries (in hex)?
0xbeef
Commande :
tshark -r pcap -Y « dns.id »
- What is the string extracted from the DNS queries?
MZWGCZ33ORUDC427NFZV65BQOVTWQX3XNF2GQMDVG5PXI43IGRZGWIL5
Commande :
tshark -r pcap -Y « dns.flags.response == 0 » -T fields -e dns.qry.name > cap2
Il faut supprimer “.m4lwhere.org” de toutes les lignes et mettre la chaine sur cyberchef ou utiliser cette commande.
Commande :
echo ‘MZWGCZ33ORUDC427NFZV65BQOVTWQX3XNF2GQMDVG5PXI43IGRZGWIL5’ | base32 -d
- What is the flag?
flag{th1s_is_t0ugh_with0u7_tsh4rk!}