[video tutorial] Usar tcpxtract para recuperar archivos capturados con Wireshark
Los paquetes que viajan por la red frecuentemente son trozos de archivos demasiado grandes para ser enviados completos; además, puesto que estos paquetes pueden ser de archivos binarios (imágenes, videos, ejecutables, etc.), no basta con buscar dentro del Wireshark información de los paquetes (no vamos a entender nada).
Esta entrada está acompañada con un video tutorial, en donde aprenderemos a reconstruir los paquetes capturados con Wireshark usando tcpxtract, de tal manera que podamos ver los archivos que envió y recibió el equipo víctima.
Antes de ver el video, observemos el proceso completo:
- Capturamos los paquetes necesarios con Wireshark
- Guardamos la captura en un archivo
- Usamos tcpxtract para extraer los ficheros del archivo de captura
Puedes encontrar tcpxtract en los repositorios de tu distribución, por lo que en Debian o Ubuntu basta con ejecutar el siguiente comando:
sudo apt-get install tcpxtract
O descargar el código fuente y construirlo tu mismo:
tar xvzf tcpxtract-1.0.1.tar.gz cd tcpxtract-1.0.1 ./configure make sudo make install
Uso del tcpxtract
Ahora supongamos que el fichero de captura se llama captura; para extraer los archivos de la captura y guardarlos en la carpeta archivos_capturados ejecutamos el siguiente comando:
tcpxtract --file captura --output archivos_capturados
Es todo, sencillo pero eficaz. Podemos además utilizar el tcpxtract para escuchar directamente sobre una interfaz de red, con lo que nos ahorramos el uso del Wireshark, por ejemplo:
tcpxtract --device eth0 --output archivos_capturados
Si te preguntas porqué querría capturar los paquetes que envía y recibe nuestro propio equipo, tal vez estás ignorando que: cuando realizamos un ataque Man in the middle todos los paquetes que envía y recibe el equipo víctima pasan por nuestra interfaz de red.
Veamos ahora el video del tcpxtract en acción:
Ver el video (2,6 MB)
23 Comentarios | deja el tuyo
Muy interesante todo lo de wireshark =D
saludos exelente trabajo
Que va a ser interesante! Esta de lujo!!!
Gracias por compartir tanto conocimiento
muy inteeresante, excelente aporte
muy bueno el tuto !!
pero, no existe tcpxtract para windows
Pues no sé si está para Windows, pero hay está el código. En todo caso me alegra
Un saludo!
Interesante propuesta. Pero solo reconstruye paquetes de imágenes ? Porque en la carpeta donde reconstruye con los paquetes solo aparecen imágenes. Hay algun modo de reconstruir algo legible con el resto de capturas ???
Responde a mi mail si te es más cómodo. Gracias
En lo que lo he probado son solo imagenes, archivos de texto y HTML. Para otro tipo de archivos la verdad no estoy seguro qué programa usar. Voy a investigar.
Un saludo!
hola casidiablo, la verdad tefajaste con esa informacion, es de primera, conoces si existe algun programa que haga lo mismo que tcpxtract pero en windows xp
Muchas gracias
No, no conozco… pero podrías compilarlo en Windows
Un saludo.
Que tal me esta de poca este tutorial, pero tengo una pregunta. En la primera capura que hice no elegi ningun formato para guardar el archivo, y al ejecutar el tcpxtrac al final hay un mensaje de error que dice “fallo de segmentacion” que puedo hacer?
tcpxtract es un programa un poquito buggy…. muchas veces arroja fallo de segmentación.
Intenta correrlo varias veces, de pronto funciona. O instalate otra versión.
Muchas gracias Cristian, respondiste muy pronto. Soy aficionado a tus tutoriales, Sigue asi…
Hola muy bueno el tutorial, y muy bien explicado y ameno. Por cierto me podrías decir como puedo ver el vídeo en mi PC(lo he descargado) ? un saludo, cornelia
Hola cornelia…
Una vez lo descargues lo puedes ver con un navegador web cualquiera.
un saludo.
Muy buena demostracion.
Gracias por mostrarnos, CASI DIABLO.
Espero que sigas asi con los tutos