Banner 1

Assniffer. Extracción de tipos MIME / objetos HTTP desde ficheros captura tráfico red.

Ya hemos hablado en varias ocasiones de la forma que tenemos de extraer ficheros de datos Binarios / Objetos HTTP a partir de una captura de tráfico de red, e incluso la forma de extraer fichero de impresión en red. También la forma de hacerlo con Tcpxtract, Justniffer, con Xplico, etc. Mencionar también el artículo de Sergio Hernando ”5 métodos para la extracción forense de ficheros en capturas de tráfico de red“  con otras aplicaciones/métodos.
En esta ocasión vamos a ver la herramienta assniffer, un sniffer HTTP para sistemas Windows, que tomando como fuente una interface de red o un fichero de captura tráfico de red en formato .pcap, vuelca toda la información por carpetas según los dominios visitados. Lo vemos.

Instalación de assniffer.

Es muy sencilla la instalación. Solo tenemos que descargar un archivo comprimido desde http://www.cockos.com/assniffer/assniffer02.zip, descomprimir y usar.

Uso básico de assniffer.

Creamos una carpeta para el volcado de los datos extraidos. Una vez realizado esto, ya podemos usar assniffer:
assniffer c:\as\volcado -r c:\pcap\fichero_captura.pcap
Indicamos primero el lugar a volcar los datos, fuente de los datos (-r para fichero .pcap o -d para interface de red).
De esta forma extrae todos los ficheros binarios, imagenes, video, css, js, archivos comprimidos, etc que estén involucrados en la captura. Se volcará nen la carpeta que indiquemos bajo una estructura ordenada para mejor identificación del contenido:
Por defecto crea carpetas según dominios, pero también podemos indicar que lo haga por IP (-splitbyclient).
También la ejecución por defecto extraerá todos los tipos MIME, pero podemos indicar que tipo quetremos con -mimetype que puede ser image, text, application, video, etc.

Por ejemplo:
assniffer c:\as\volcado -r c:\pcap50608.cap -splitbyclient -mimetype image
Como he dicho, crea una estructura de carpetas, pero las podemos obviar con -nosubdirs
assniffer c:\as\volcado -r c:\pcap\captura.pcap -splitbyclient -nosubdirs
El resultado:

———-
Y hasta aquí por hoy. Hasta la próxima.

Fuente:https://seguridadyredes.wordpress.com/2011/11/10/assniffer-extraccion-de-tipos-mime-objetos-http-desde-ficheros-captura-trafico-red/

No hay comentarios:

Powered by Bad Robot
Helped by Blackubay