Tcpxtract. Extrayendo ficheros del tráfico de red.

Ya hemos hablado en varias ocasiones de la forma que tenemos de extraer ficheros de datos Binarios / Objetos HTTP a partir de una captura de tráfico de red, e incluso la forma de extraer fichero de impresión en red. Lo repasaremos en este artículo y añadiremos una nueva forma implementada en los últimas versiones de Wireshark.

Veremos también una herramienta distinta para la extracción de ficheros desde un archivo de captura de tráfico de red: tcpxtract.

Recordando la extracción de Objetos HTML y extracción de binarios con Wireshark.

Como repaso, recordad que a tavés de Wireshark, podemos capturar y extraer diversos tipos de datos, por ejemplo:

  • Interceptar tráfico de red correspondiente a impresión de hosts a través de un servidor de impresión. De esta forma podemos extraer archivos .pdf / ps, etc.  En su momento usamos el filtro tcp.dstport == 9100 para ver las comunicaciones del servidor de impresión hacia una determinada impresora, realizábamos un Follow TCP Stream, salvábamos el resultado en un fichero con extensión .ps,etc, lo vimos aquí: Wireshark / Tshark. Capturando impresiones en red.

Capturando objetos / ficheros SMB a través de Wireshark.

Como os he apuntado al principio, con Wireshark, existe otra forma de extracción de objetos / ficheros, en este caso objetos SMB.

Gracias a Tadding Security Blog, disponemos ya de una nueva opción. La captura de objetos / ficheros SMB. Esta opción nos permite capturar y visualizar los archivos involucrados en transacciones SMB. De momento está solo disponible para sistemas Windows.

SMB (Server Message Block), es, muy básicamente, un protocolo que permite compartir archivos, impresoras, puertos serie, etc entre hosts conectados en red. Pertenece a la capa de aplicación OSI y es un protocolo del tipo cliente servidor. SMB se encuentra por encima de NETBIOS, que es la que se encarga de la resolución de Nombre Host / IP. Mucha más información sobre SMB / CIFS y NETBIOS.

Esta nueva opción la tenemos gracias a un plugin desarrollado por Tadding Security Blog: http://blog.taddong.com/2010/05/capturing-smb-files-with-wireshark.html. Para disponer de esta opción tan solo instalar o actualizar a la última versión disponible para Wireshark.

Cómo funciona.

Si realizamos una captura de red, en la que tengamos tráfico SMB, una vez terminada solo tenemos que ir a File > Export > Object > SMB… y obtendremos una ventana con una lista de objetos o ficheros recopilados con su ubicación, tamaño, etc. Podemos abrir los ficheros directamente o guardarlos:

Wireshark. Extracción de objetos SMB,

Tcpxtrac. Extrayendo ficheros del tráfico de red.

En este caso hablamos de una herramienta para linux (http://tcpxtract.sourceforge.net/ ). Instalamos el programa y listo para empezar.

Podemos extraer ficheros a través de una captura normal mediante una determinada interfaz de red (-d) ó a través de un fichero .pcap (-f).

La forma de identificación de los ficheros es a través de huellas o firmas. Tcpxtrack identifica hasta 26 formatos de archivos conocidos. con lo que nos puede servir como herramietna de análisis forense.

La sintáxis: tcpxtract [OPTIONS] [[-d ] [-f ]]

Su uso es muy sencillo.  En el caso de una captura a través de la interfaz de red, por ejemplo eth0:

Tcpxtrac. Extrayendo ficheros del tráfico de red.

En este caso, ha capturado, extraído y exportado ficheros .jpg, .tf, .pdf y .doc

Para el caso de extraer a partir de un fichero .pcap:

Tcpxtrac. Extrayendo ficheros del tráfico de red. pcap

Solo encontró un fichero .bmp

Como véis todo muy sencillo con esta  herramienta.

Dónde exportar los ficheros extraídos.

Con la opción -o podemos indicar a tcpxtrack la carpeta donde serán exportados los archivos.

Capacidad de identificación de formatos de ficheros.

Tcpxtract es capaz, incluso, de extraer ficheros ejecutables .exe, .zip, .avi, etc, etc.

En el fichero de configuración tcpxtract.conf, tenemos  algunas firmas para la identificación de los distintos formatos. algunos ejemplos:

# MPEG Video
mpg(4000000, \x00\x00\x01\xba, \x00\x00\x01\xb9);
mpg(4000000, \x00\x00\x01\xb3, \x00\x00\x01\xb7);

# Word documents
doc(12500000, \xd0\xcf\x11\xe0\xa1\xb1);

#———————————————————————
# ADOBE PDF
#———————————————————————

pdf(5000000, \x25PDF, \x25EOF\x0d);

#———————————————————————
# HTML
#———————————————————————

html(50000, \x3chtml, \x3c\x2fhtml\x3e);

# wav will be captured as avi.

# Real Audio Files
ra(1000000, \x2e\x72\x61\xfd);
ra(1000000, \x2eRMF);

Con lo que es posible ir añadiendo otros.

————–

Y hasta aquí por hoy… hasta la próxima.

Esta entrada fue publicada en Auditoría, Herramientas, Interpretación capturas tráfico red. pcap, Seguridad y redes. Guarda el enlace permanente.

3 respuestas a Tcpxtract. Extrayendo ficheros del tráfico de red.

  1. Pingback: Assniffer. Extracción de tipos MIME / objetos HTTP desde ficheros captura tráfico red. | Seguridad y Redes

  2. Pingback: Suricata IDS/IPS 1.2.1 Extracción de ficheros de sesiones HTTP tráfico de red. | Seguridad y Redes

  3. Pingback: Tcpick un sniffer que realiza seguimiento y reensamblado de flujos tcp. Mostrando datos payload. | Seguridad y Redes

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s