TShark – Write Up – Fr – TryHackMe

Vous en avez assez d’essayer d’extraire des paquets à la main? Besoin d’obtenir des informations à partir d’un fichier pcap qui ne s’extrait pas facilement de Wireshark? Les interfaces graphiques sont-elles pour les perdants, mais maintenant vous avez réalisé que vous ne pouvez pas ouvrir Wireshark? Eh bien mon ami, TShark est la solution à tous vos problèmes.

Task 1 Pre-Reqs

Généralement, tshark est installé avec Wireshark. Mais vérifions quand même qu’il est installé. Exécutez la commande ci-dessous pour déterminer s’il est installé ou non.

apt list tshark

Dans ma sortie ci-dessus, nous pouvons voir qu’il est installé. S’il n’est pas installé, sudo apt install tshark fera l’affaire.

Le programme tshark est également disponible dans une installation Windows sous le nom tshark.exe dans le répertoire d’installation de Wireshark.

Pour installer Tshark sur Windows, il faut télécharger Wireshark à partir de ce lien, et lors de l’installation vous avez la possibilité de choisir si vous souhaitez installer Wireshark ou tshark ou les deux.

Vous trouverez la page  « man » a cette adresse wireshark.org

 

Task 2 Reading PCAP Files

Dans cette section, il n’y a qu’a suivre les indications et réutiliser les commandes expliquées en préambule. 

Ouvrir un fichier de capture:

tshark -r dns.cap

Compter le nombre de paquet

tshark -r dns.cap | wc -l

Ajouter des filters avec l’option -Y

tshark -r dns.cap -Y « dns.qry.type == 1 »

Ajouter des champs avec l’option -T

tshark -r dns.cap -Y « dns.qry.type == 1 » -T fields -e dns.qry.name

  • How many packets are in the dns.cap file?

38

Commande :

tshark -r cap | wc -l

  • How many A records are in the capture? (Including responses)

6

Commande :

tshark -r cap -Y « dns.qry.type == 1 » | wc -l

  • Which A record was present the most?

GRIMM.utelsystems.local

Commande :

tshark -r cap -Y « dns.qry.type == 1 » -T fields -e dns.qry.name

Task 3 DNS Exfil

Dans cette section, les choses se corsent un peu ( mais pas trop quand même ). Il faut réutiliser les commandes du préambule et en modifiant les champs.

  • How many packets are in this capture?

125

Commande :

tshark -r pcap | wc -l

  • How many DNS queries are in this pcap? (Not responses!)

56

Commande :

tshark -r pcap -Y « dns.flags.response == 0 » | wc -l

  • What is the DNS transaction ID of the suspicious queries (in hex)?

0xbeef

Commande :

tshark -r pcap -Y « dns.id »

  • What is the string extracted from the DNS queries?

MZWGCZ33ORUDC427NFZV65BQOVTWQX3XNF2GQMDVG5PXI43IGRZGWIL5

Commande :

tshark -r pcap -Y « dns.flags.response == 0 » -T fields -e dns.qry.name > cap2

Il faut supprimer  “.m4lwhere.org”  de toutes les lignes et mettre la chaine sur cyberchef ou utiliser cette commande.

Commande :

 echo ‘MZWGCZ33ORUDC427NFZV65BQOVTWQX3XNF2GQMDVG5PXI43IGRZGWIL5’ | base32 -d

  • What is the flag?

flag{th1s_is_t0ugh_with0u7_tsh4rk!}

0 0 votes
Évaluation de l'article
S’abonner
Notifier de
0 Commentaires
le plus ancien
le plus récent le plus populaire
Inline Feedbacks
View all comments