Wireshark. Extracción ficheros binarios y Objetos HTTP.

Publicado el 22 marzo, 2010 por Alfon

Wireshark Logo

Cuando en Wireshark realizamos una captura de paquetes relacionada con el protocolo HTTP, podemos ver, e incluso guardar, todos los objetos transmitidos durante la conexión. También es posible extraer ficheros binarios de una captura determinada.

Extracción binarios en Wireshark.

Lo vemos con un ejemplo muy básico y sencillo. Tenemos una captura .pcap de una sesión FTP en la que se ha descargado un archivo:

wireshark extaccion ficheros binarios raw

Si nos situamos en el paquete 44 y hacemos un Follow TCP Stream, obtenemos:

wireshark extaccion ficheros binarios raw follow tcp stream

Tenemos marcada la opción Raw. Salvamos el archivo con estensión .jpg ya que hemos visto que se trata de un fichero .jpg (JFIF).

Vemos el contenido del archivo que se trata de, como hemos visto, una imagen jpg:

nmap

.

Export Selected Packet Bytes.

Otra forma es usando la exportación de Bytes del campo DATA.

Si nos situamos en el campo DATA y Botón derecho ratónExport Selected Packet Bytes:

wireshark extaccion ficheros binarios raw export select bytes DATA

Lo hacemos con los dos paquetes con datos en DATA y lo unimos, de esta forma obtenemos tambíen:

nmap

.

Extracción objetos HTTP en Wireshark.

Durante la transmisión de datos en una captura bajo el protocolo HTTP, podemos visutalizar objetos  HTTP y exportarlos.

Esto lo podemos hacer desde File> Export > Objects > HTTP y nos paparece una ventana:

wireshark extaccion ficheros objetos http

Tan solo nos queda situarnos sobre el objeto que nos interese y Save As o Save All.

Esta entrada fue publicada en Seguridad y redes, Wireshark . Tshark. Guarda el enlace permanente.

4 respuestas a Wireshark. Extracción ficheros binarios y Objetos HTTP.

  1. DESE dijo:
    3 junio, 2010 en 9:59 pm

    Disculpa, hace como un anho realize la extraccion con exito de una sesion de snif con wireshark con tcpxtract, pude comprobar como archivos de imagen jpg y gif entre otros eran facilmente extraidos, no asi cuando se trataban de archivos pdf y doc, para ser precisos los «doc» si los extraia pero con errores que no permitian su correcta apertura, y los «pdf» ni siquiera los identificaba. Me quede con la duda si con wireshark se pueden extraer distintos tipos de archivos como el caso de PDF que no pude con tcpxtract. Saludos y sigan asi con este blog, lo acabo de descubrir.

    Responder
  2. Alfon dijo:
    4 junio, 2010 en 7:34 am

    Gracias por tu comentario.

    sigan asi con este blog,

    Bueno, el blog, de momento, solo lo llevo yo.
    Probaré lo que dices y ya te cuento. De todas formas hay otros programitas que pueden hacer lo que quieres. Por ejemplo NetworkMiner. Prébalo.

    Responder
  3. Alfon dijo:
    7 junio, 2010 en 7:22 pm

    DESE, existe un plugin para tal cometido aquí: http://www.taddong.com/en/lab.html.
    Marcando sobre uno de los paqutes con transacciones SMB, tan solo tendras que ir a File > Export.

    Responder
  4. cesar dijo:
    18 septiembre, 2014 en 8:19 am

    cual seria el esquema de conexion de http en wireshark

    Responder

Deja un comentario