Cuando en Wireshark realizamos una captura de paquetes relacionada con el protocolo HTTP, podemos ver, e incluso guardar, todos los objetos transmitidos durante la conexión. También es posible extraer ficheros binarios de una captura determinada.
Extracción binarios en Wireshark.
Lo vemos con un ejemplo muy básico y sencillo. Tenemos una captura .pcap de una sesión FTP en la que se ha descargado un archivo:
Si nos situamos en el paquete 44 y hacemos un Follow TCP Stream, obtenemos:
Tenemos marcada la opción Raw. Salvamos el archivo con estensión .jpg ya que hemos visto que se trata de un fichero .jpg (JFIF).
Vemos el contenido del archivo que se trata de, como hemos visto, una imagen jpg:
.
Export Selected Packet Bytes.
Otra forma es usando la exportación de Bytes del campo DATA.
Si nos situamos en el campo DATA y Botón derecho ratón > Export Selected Packet Bytes…:
Lo hacemos con los dos paquetes con datos en DATA y lo unimos, de esta forma obtenemos tambíen:
.
Extracción objetos HTTP en Wireshark.
Durante la transmisión de datos en una captura bajo el protocolo HTTP, podemos visutalizar objetos HTTP y exportarlos.
Esto lo podemos hacer desde File> Export > Objects > HTTP y nos paparece una ventana:
Tan solo nos queda situarnos sobre el objeto que nos interese y Save As o Save All.
Disculpa, hace como un anho realize la extraccion con exito de una sesion de snif con wireshark con tcpxtract, pude comprobar como archivos de imagen jpg y gif entre otros eran facilmente extraidos, no asi cuando se trataban de archivos pdf y doc, para ser precisos los «doc» si los extraia pero con errores que no permitian su correcta apertura, y los «pdf» ni siquiera los identificaba. Me quede con la duda si con wireshark se pueden extraer distintos tipos de archivos como el caso de PDF que no pude con tcpxtract. Saludos y sigan asi con este blog, lo acabo de descubrir.
Gracias por tu comentario.
Bueno, el blog, de momento, solo lo llevo yo.
Probaré lo que dices y ya te cuento. De todas formas hay otros programitas que pueden hacer lo que quieres. Por ejemplo NetworkMiner. Prébalo.
DESE, existe un plugin para tal cometido aquí: http://www.taddong.com/en/lab.html.
Marcando sobre uno de los paqutes con transacciones SMB, tan solo tendras que ir a File > Export.
cual seria el esquema de conexion de http en wireshark