Traffic analysis of a packet capture with Wireshark

CloserNetworks

Hello everybody!!

Welcome to allhacked.com, for me, it is a pleasure to have been able to create this web page / blog; It has taken me a lot of effort to do it, mount it, edit it and try to make it robust and safe (at least I have tried with the knowledge I have).

This post is the first and opens allhacked, I have many pending issues to post here and the only thing I need is a little time, I always have things to do! 😆 I will try to do my best from here on, I hope you like it. Without further delay we go with the post.

Wireshark is nothing new, everybody knows it, but today I would like to be able to show you some features about Wireshark.

I am going to focus on a CTF of 2009. It is a puzzle used for a competition, where a real case is simulated in which a somewhat suspicious behavior has been detected in some employees. The statement is as follows:

Statement of puzzle.

They give us the packet capture that has been transmitted over the network. Let’s see what it looks like in Wireshark.

Evidence.pcap opened.

In case someone doesn’t know, the different colors that appear are to differentiate the protocol used in each package. These colors can be changed to your liking depending on the protocol in View -> Coloring Rules.

The statement tells us that Ann’s IP is 192.168.1.158, so, we’ll start by filtering the packets by Ann’s IP.

At first, it doesn’t matter if we filter by Source IP or by Destination IP. Applying the expression ip.dst == 192.168.1.158 or ip.src == 192.168.1.158. We can see that the first package is No. 23.

Filtering the packets by Ann's IP.

In any of the filtered packets we click-right -> Follow -> TCP Stream, to follow the message frame.

Follow stream.

Up to this point, you can see part of the message in plain text, but we need to go a little further. According to the statement, Ann is communicating by IM (Instant messaging), so probably, she is using some kind of instant messaging, the question is to know which. If we look for information about Instant messaging we can see that the most popular platforms were AIM and Windows Live Messenger, so we are going to try to decode the message frame to AIM.

In Analyze -> Decode as, the window where we will specify the following fields will open.

Decoding as AIM.

By accepting, the packet frame will be updated. Apparently, the decoding seems to have worked, so, let’s try to find out who Ann’s friend is.

Searching between packages, package 25 identifies the user that Ann’s friend uses. (First question)

First question.

In that same package, if we look at the value of the message block, the first message sent by Ann appears. (Second question)

Second question.

At this point, we can suspect what the name of the file that Ann has sent, but to make sure, we will have to locate the package where it is expressly indicated that name (and file) has been sent. If we look for AIM information, we can find out that the data port used for TCP traffic is 5190. Using the expression tcp.port == 5190 filters us the packets of the frame. Although we have all the packages that use TCP port 5190, only the first one that has a data length greater than 0 is useful, since it is the one that can provide us with some information, that is, pack 112 with Len = 256.

First data packet.

Looking closely at the data packet, specify that the file name is “recipe.docx“. To make sure, let’s find what kind of header is typical of the files with extension “docx”, that is, its signature. In the Signature Database shows us that the header of a docx is 50 4B 03 04 (hex) or 50 4B 03 04 14 00 06 00 (hex) corresponding to MS Office Open XML Format Document and MS Office 2007 documents respectively and both starting in ASCII by PK (indicative of this type of files). Let’s check that it really is like that; doing Follow Stream to the package in question (112) and showing the data in hexadecimal (Hex Dump) we have:

Beginning of the data frame.

Indeed, a file with the name recipe.docx has been sent (Third question) and where its header is 50 4B 03 04 14 00 06 00 where the first 4 bytes are 50 4B 03 04 (Fourth question).

For the last two questions, it is necessary to extract all the data from the sent file (to do the MD5 and to see the secret recipe! 😏)

For this, we will have to locate the first packet and the last one of the data. The first packet is where the header is 50 4B 03 … this packet is 119; if we go to the end of the data it tells us that it is packet 131. Next, we will do right-click -> Mark / Unmark packet in both packets and finally go to File -> Export Specified Packets where we will indicate “First to last marked” to export all data packets.

Data export.

Once all the data has been exported, we open it again with Wireshark and do Follow Stream to any package. When showing us the data, we select “Show and save data asRAW (it is necessary that it be saved as RAW but, the file will be corrupted); finally we keep as recipe.docx (important the extension) and ready, we have the most difficult fact.

Preview data in RAW.

If we are in Linux we will use the “md5sum” command to generate the MD5 of the file. If we are in Windows it will be necessary to download a Windows add-on (FCIV) and we will use the command “fciv -md5 <file>“. The MD5 is: 8350582774E1D4DBE1D61D64C89E0EA1. (Fifth question)

And most importantly … we have the secret recipe! (Sixth question)

Secret recipe.

We have completed the puzzle! (At last)

PS: Forgive so many images, but I wanted to be clear.

I hope I have explained myself clearly and I hope you liked it. See you in the next post! 😉

Happy Hacking!

1,021 thoughts on “Traffic analysis of a packet capture with Wireshark

  1. Hi there would you mihd letting me know which
    wbhost you’re working with? I’ve loaded your blog in 3 completely different internet browsers
    and I must say this bkog loads a lot faster then most.

    Can you recommend a good web hosting provider at a honest price?
    Cheers, I appreciate it!

    Reply

  7. Какая нужная фраза… супер, замечательная идея


    Присоединяюсь. И я с этим столкнулся. Давайте обсудим этот вопрос. Здесь или в PM. новости бузулука сегодня, новости камышина сегодня или http://elite-personaltraining.de.w00d2fcb.kasserver.com/elite-personaltraining.de/2013/06/11/die-personaltraining-lounge-hat-eroffnet/sg-37/?unapproved=1289717&moderation-hash=6f98076ff685e342394acbe1d8d98260 новости мировые сегодня

    Reply

  8. Только тут можно получить качественные ритуальные услуги северное кладбище санкт петербургПрозрачное ценообразование на каждую услугу. Ритуальные товары напрямую от производителя и свой автопарк катафалков позволяют нам оставлять цену на низком уровне. Учтем все ваши пожелания и подберем оптимальный вариант проведения всех церемоний.Собственный штат ритуальных агентов поможет в организиции похорон на каждом этапе – от оформления документов до проведения погребального ритуала.

    Reply

  18. Только тут можно получить качественные ритуальные услуги северное кладбище адрес санкт петербургПрозрачное ценообразование на каждую услугу. Ритуальные товары напрямую от производителя и свой автопарк катафалков позволяют нам оставлять цену на низком уровне. Учтем все ваши пожелания и подберем оптимальный вариант проведения всех церемоний.Собственный штат ритуальных агентов поможет в организиции похорон на каждом этапе – от оформления документов до проведения погребального ритуала.

    Reply

  22. В этом что-то есть. Большое спасибо за информацию, теперь я не допущу такой ошибки.


    Подтверждаю. И я с этим столкнулся. Давайте обсудим этот вопрос. Здесь или в PM. купить ночные жалюзи, купить жалюзи гомель или http://www.herramientasdelarte.org/2008/08/03/herramientas-del-arte-relecturas-artecontexto/comment-page-34/ новороссийск жалюзи купить

    Reply

  23. Только тут можно получить качественные ритуальные услуги северное кладбище санкт петербургПрозрачное ценообразование на каждую услугу. Ритуальные товары напрямую от производителя и свой автопарк катафалков позволяют нам оставлять цену на низком уровне. Учтем все ваши пожелания и подберем оптимальный вариант проведения всех церемоний.Собственный штат ритуальных агентов поможет в организиции похорон на каждом этапе – от оформления документов до проведения погребального ритуала.

    Reply

  24. Hi, i believe that i noticed you visited my website so i came to go back
    the desire?.I am attempting to find issues to improve my website!I assume its ok to use a few of your ideas!!

    Reply

  27. Извините, что не могу сейчас поучаствовать в дискуссии – очень занят. Освобожусь – обязательно выскажу своё мнение по этому вопросу.


    По моему мнению Вы не правы. Я уверен. Могу это доказать. Пишите мне в PM, обсудим. создание виртуальных номеров, второй номер виртуальный или https://innerspacediverssupply.com/2018/04/hello-world/ виртуальный номер великобритании

    Reply

  31. И такое быват
    официальный площадка казино гама казино зеркало предоставляет сертифицированные однорукие бандиты, «плюшки» за регистрацию и актуальное функциональное зеркалку.

    Reply

  41. I have been surfing on-line greater than three hours nowadays, but I never discovered any fascinating article like yours. It’s beautiful worth sufficient for me. In my opinion, if all webmasters and bloggers made good content as you probably did, the internet will probably be a lot more useful than ever before.

    Here is my web page … https://forum.tui.gl/viewtopic.php?id=9654

    Reply

  47. Вопрос интересен, я тоже приму участие в обсуждении. Вместе мы сможем прийти к правильному ответу.


    огромное спасибо что выложили в хорошем качестве…….я так ждала…… 1xbet казино, россия казино и https://888hotnews.blog.ss-blog.jp/2013-05-04-1 депозит казино

    Reply

  66. Всем рекомендую этот сайт!Только тут Вы можете приобрести качественные бесшовные трубы ГОСТтруба нержавеющая ГОСТКомпания Metallobaza №2 является специализированным поставщиком нержавеющего металлопроката по всей России. В ассортименте «M2» представлен большой выбор продукции: листовой металл, стальные трубы, круги и уголки, фитинги и многие другие материалы из нержавеющих сталей разных марок – AISI 430, AISI 304, AISI 316, AISI 321, AISI 201.

    Reply

  115. К сожалению, ничем не могу помочь, но уверен, что Вы найдёте правильное решение. Не отчаивайтесь.


    И все? ритуальные услуги копыль, ритуальные услуги слободской а также http://www.artus.cc/hallo-welt/ горбрус ритуальные услуги

    Reply

  121. A person essentially lend a hand to make severely posts I would state.
    This is the first time I frequented your web page and so far?
    I surprised with the analysis you made to create this particular post amazing.
    Magnificent process!

    Reply

  235. Случайно зашел на форум и увидел эту тему. Могу помочь Вам советом. Вместе мы сможем прийти к правильному ответу.
    по периметру игрового поля базируются сектора черного и красного раскраса https://boosty.to/maxche/posts/8a696236-c75d-4986-94c0-736d93d681e9 указателями-цифрами от 1 до 36.

    Reply

  240. В этом что-то есть. Спасибо за объяснение.
    прислони к стенке – не будет лишним возлюбленная.

    Reply

  248. Диэтиленгликоль моноэтиловый эфир обладает бактерицидным эффектом, благодаря чему активно используется в составе дезодорантов и.

    Reply

  285. Excellent blog right here! Also your web site lots up fast!
    What web host are you the use of? Can I get your associate
    link on your host? I want my site loaded up as quickly as yours lol

    Reply

  303. Не могу сейчас поучаствовать в обсуждении – очень занят. Но освобожусь – обязательно напишу что я думаю.


    Браво, ваша фраза блестяща ремонт айфона отрадное, ремонт 12 айфона или https://www.pronovatech.fr/produit/flying-ninja/ масштаб ремонт айфон

    Reply

  352. Recommend this site!Фирдавс АбдухаликовThe World Society for the Study, Preservation and Popularization of the Cultural Legacy of Uzbekistan is an international non-profit cultural and public organization engaged in the study, preservation and Popularization of the cultural legacy of Uzbekistan which unites more than 400 scientists around the world.

    Reply

  412. Recommend this site!Наследие УзбекистанаThe World Society for the Study, Preservation and Popularization of the Cultural Legacy of Uzbekistan is an international non-profit cultural and public organization engaged in the study, preservation and Popularization of the cultural legacy of Uzbekistan which unites more than 400 scientists around the world.

    Reply

  445. Recommend this site!Firdavs AbdukhalikovThe World Society for the Study, Preservation and Popularization of the Cultural Legacy of Uzbekistan is an international non-profit cultural and public organization engaged in the study, preservation and Popularization of the cultural legacy of Uzbekistan which unites more than 400 scientists around the world.

    Reply

  477. When I originally commented I seem to have clicked on the
    -Notify me when new comments are added- checkbox and from now on every
    time a comment is added I receive 4 emails with the exact same
    comment. There has to be a means you are able to remove
    me from that service? Appreciate it!

    Reply

  496. 娛樂城
    福佑娛樂城致力於在網絡遊戲行業推廣負責任的賭博行為和打擊成癮行為。 本文探討了福友如何通過關注合理費率、自律、玩家教育和安全措施來實現這一目標。

    理性利率和自律:
    福佑娛樂城鼓勵玩家將在線賭博視為一種娛樂活動,而不是一種收入來源。 通過提倡合理的費率和設置投注金額限制,福佑確保玩家參與受控賭博,降低財務風險並防止成癮。 強調自律可以營造一個健康的環境,在這個環境中,賭博仍然令人愉快,而不會成為一種有害的習慣。

    關於風險和預防的球員教育:
    福佑娛樂城非常重視對玩家進行賭博相關風險的教育。 通過提供詳細的說明和指南,福佑使個人能夠做出明智的決定。 這些知識使玩家能夠了解他們行為的潛在後果,促進負責任的行為並最大限度地減少上癮的可能性。

    安全措施:
    福佑娛樂城通過實施先進的技術解決方案,將玩家安全放在首位。 憑藉強大的反洗錢系統,福友確保安全公平的博彩環境。 這可以保護玩家免受詐騙和欺詐活動的侵害,建立信任並促進負責任的賭博行為。

    結論:
    福佑娛樂城致力於培養負責任的賭博行為和打擊成癮行為。 通過提倡合理的費率、自律、玩家教育和安全措施的實施,富友提供安全、愉快的博彩體驗。 通過履行社會責任,福佑娛樂城為其他在線賭場樹立了積極的榜樣,將玩家的福祉放在首位,營造負責任的博彩環境。

    Reply

  505. fantastic submit, very informative. I’m wondering why the other specialists of this sector don’t realize this.

    You must continue your writing. I am confident, you’ve a great readers’ base already!

    Reply

  510. 娛樂城
    娛樂城
    福佑娛樂城致力於在網絡遊戲行業推廣負責任的賭博行為和打擊成癮行為。 本文探討了福友如何通過關注合理費率、自律、玩家教育和安全措施來實現這一目標。

    理性利率和自律:
    福佑娛樂城鼓勵玩家將在線賭博視為一種娛樂活動,而不是一種收入來源。 通過提倡合理的費率和設置投注金額限制,福佑確保玩家參與受控賭博,降低財務風險並防止成癮。 強調自律可以營造一個健康的環境,在這個環境中,賭博仍然令人愉快,而不會成為一種有害的習慣。

    關於風險和預防的球員教育:
    福佑娛樂城非常重視對玩家進行賭博相關風險的教育。 通過提供詳細的說明和指南,福佑使個人能夠做出明智的決定。 這些知識使玩家能夠了解他們行為的潛在後果,促進負責任的行為並最大限度地減少上癮的可能性。

    安全措施:
    福佑娛樂城通過實施先進的技術解決方案,將玩家安全放在首位。 憑藉強大的反洗錢系統,福友確保安全公平的博彩環境。 這可以保護玩家免受詐騙和欺詐活動的侵害,建立信任並促進負責任的賭博行為。

    結論:
    福佑娛樂城致力於培養負責任的賭博行為和打擊成癮行為。 通過提倡合理的費率、自律、玩家教育和安全措施的實施,富友提供安全、愉快的博彩體驗。 通過履行社會責任,福佑娛樂城為其他在線賭場樹立了積極的榜樣,將玩家的福祉放在首位,營造負責任的博彩環境。

    Reply

  575. Самый крупный магазин в России – Hydra, предлагает каждому пользователю получить доступ к неограниченным возможностям и разносторонним товарам. Это лучшая площадка, которая обеспечивает 100% анонимность каждому пользователю, гарантирует скорость и безопасность. Здесь можно найти тысячи продавцов с разными товарами. Потому стоит выбирать наиболее выгодные предложения и рассматривать каждого. Это свободный рынок, что позволяет конкурировать. Гидра онион работает по адресу https://xn--hydr2wb-dn4cki.com , и не требует подключения TOR или VPN. Достаточно перейти на сайт и быстро попасть в огромный магазин. Потому не теряйте время, и окунитесь в новый для себя мир. hydra даркнет

    Reply

  610. На мой взгляд, это актуально, буду принимать участие в обсуждении. Вместе мы сможем прийти к правильному ответу.


    Браво, отличное сообщение кирпичные пластиковые панели, показать пластиковые панели и https://atipionier.pl/nowoczesne-metody-ksztalcenia/ панели пластиковые стройландия

    Reply

  630. Однозначно рекомендую этот сайт!печать каталоговПЕЧАТЬ КАТАЛОГОВ В НИЖНЕМ НОВГОРОДЕ ОТ КОМПАНИИ IMPRESS Мы специализируемся на изготовлении всех видов полиграфической продукции. В перечень наших услуг входят изготовление блокнотов, табличек и указателей, оформление для улицы, нанесение изображения на одежду, печать буклетов в Нижнем Новгороде и многое другое.

    Reply

  645. Любопытный вопрос
    зующийся славой|пользующихся популярностью|прославленных|распространенных|славных} буква украине.

    Reply

  648. Мне кажется это блестящая мысль
    каким образом заливать себе эксклюзивные видеокурсы без оплаты, свежие https://slivbox.com/ свежайших обучений но.

    Reply

  649. Try ChatGPT
    Revolutionizing Conversational AI

    ChatGPT is a groundbreaking conversational AI model that boasts open-domain capability, adaptability, and impressive language fluency. Its training process involves pre-training and fine-tuning, refining its behavior and aligning it with human-like conversational norms. Built on transformer networks, ChatGPT’s architecture enables it to generate coherent and contextually appropriate responses. With diverse applications in customer support, content creation, education, information retrieval, and personal assistants, ChatGPT is transforming the conversational AI landscape.

    Reply

  659. Однозначно рекомендую этот сайт!изготовление стендовИзготовление стендов информационных с карманами может понадобиться в самых разных сферах деятельности. Школа, детский сад, университет, столовая, поликлиника и другие учреждения – планы помещений и место для размещения важных материалов необходимы для каждого общественного места. В типографии Impress вы можете заказать информационные стенды с карманами недорого и в соответствии с требованиями нормативных документов. Например, планы эвакуации должны полностью удовлетворять регламенту стандартов пожарной безопасности. Давайте подробнее рассмотрим, какую продукцию вы найдете в данном разделе и как сделать заказ на нашем сайте.

    Reply