Wireshark. Extracción ficheros binarios y Objetos HTTP.

Wireshark Logo

Cuando en Wireshark realizamos una captura de paquetes relacionada con el protocolo HTTP, podemos ver, e incluso guardar, todos los objetos transmitidos durante la conexión. También es posible extraer ficheros binarios de una captura determinada.

Extracción binarios en Wireshark.

Lo vemos con un ejemplo muy básico y sencillo. Tenemos una captura .pcap de una sesión FTP en la que se ha descargado un archivo:

wireshark extaccion ficheros binarios raw

Si nos situamos en el paquete 44 y hacemos un Follow TCP Stream, obtenemos:

wireshark extaccion ficheros binarios raw follow tcp stream

Tenemos marcada la opción Raw. Salvamos el archivo con estensión .jpg ya que hemos visto que se trata de un fichero .jpg (JFIF).

Vemos el contenido del archivo que se trata de, como hemos visto, una imagen jpg:

nmap

.

Export Selected Packet Bytes.

Otra forma es usando la exportación de Bytes del campo DATA.

Si nos situamos en el campo DATA y Botón derecho ratónExport Selected Packet Bytes:

wireshark extaccion ficheros binarios raw export select bytes DATA

Lo hacemos con los dos paquetes con datos en DATA y lo unimos, de esta forma obtenemos tambíen:

nmap

.

Extracción objetos HTTP en Wireshark.

Durante la transmisión de datos en una captura bajo el protocolo HTTP, podemos visutalizar objetos  HTTP y exportarlos.

Esto lo podemos hacer desde File> Export > Objects > HTTP y nos paparece una ventana:

wireshark extaccion ficheros objetos http

Tan solo nos queda situarnos sobre el objeto que nos interese y Save As o Save All.

Esta entrada fue publicada en Seguridad y redes, Wireshark . Tshark. Guarda el enlace permanente.

4 respuestas a Wireshark. Extracción ficheros binarios y Objetos HTTP.

  1. DESE dijo:

    Disculpa, hace como un anho realize la extraccion con exito de una sesion de snif con wireshark con tcpxtract, pude comprobar como archivos de imagen jpg y gif entre otros eran facilmente extraidos, no asi cuando se trataban de archivos pdf y doc, para ser precisos los “doc” si los extraia pero con errores que no permitian su correcta apertura, y los “pdf” ni siquiera los identificaba. Me quede con la duda si con wireshark se pueden extraer distintos tipos de archivos como el caso de PDF que no pude con tcpxtract. Saludos y sigan asi con este blog, lo acabo de descubrir.

  2. Alfon dijo:

    Gracias por tu comentario.

    sigan asi con este blog,

    Bueno, el blog, de momento, solo lo llevo yo.
    Probaré lo que dices y ya te cuento. De todas formas hay otros programitas que pueden hacer lo que quieres. Por ejemplo NetworkMiner. Prébalo.

  3. Alfon dijo:

    DESE, existe un plugin para tal cometido aquí: http://www.taddong.com/en/lab.html.
    Marcando sobre uno de los paqutes con transacciones SMB, tan solo tendras que ir a File > Export.

  4. cesar dijo:

    cual seria el esquema de conexion de http en wireshark

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s