Esta entrada está acompañada con un video tutorial, en donde aprenderemos a reconstruir los paquetes capturados con Wireshark usando tcpxtract, de tal manera que podamos ver los archivos que envió y recibió el equipo víctima.
Antes de ver el video, observemos el proceso completo:
- Capturamos los paquetes necesarios con Wireshark
- Guardamos la captura en un archivo
- Usamos tcpxtract para extraer los ficheros del archivo de captura
Puedes encontrar tcpxtract en los repositorios de tu distribución, por lo que en Debian o Ubuntu basta con ejecutar el siguiente comando:
sudo apt-get install tcpxtract
O descargar el código fuente y construirlo tu mismo:
tar xvzf tcpxtract-1.0.1.tar.gz
cd tcpxtract-1.0.1
./configure
make
sudo make install
Uso del tcpxtract
Ahora supongamos que el fichero de captura se llama captura; para extraer los archivos de la captura y guardarlos en la carpeta archivos_capturados ejecutamos el siguiente comando:
tcpxtract --file captura --output archivos_capturados
Es todo, sencillo pero eficaz. Podemos además utilizar el tcpxtract para escuchar directamente sobre una interfaz de red, con lo que nos ahorramos el uso del Wireshark, por ejemplo:
tcpxtract --device eth0 --output archivos_capturados
Si te preguntas porqué querría capturar los paquetes que envía y recibe nuestro propio equipo, tal vez estás ignorando que: cuando realizamos un ataque Man in the middle todos los paquetes que envía y recibe el equipo víctima pasan por nuestra interfaz de red.
Veamos ahora el video del tcpxtract en acción:
Ver el video (2,6 MB)
Entradas
No hay comentarios:
Publicar un comentario