¿Existe alguna herramienta para extraer cookies de los sniffs de red generados por tcpdump (archivos .pcap)?
Sé que puedo abrirlo en wireshark pero tomará un tiempo hasta que encuentre el dominio en el que estoy interesado y las cookies (¿hay un filtro que pueda usar?)
Gracias
Parece que deberías poder extraer fácilmente las cookies de tus pcaps con Wireshark o tshark usando filtros basados en las cookies HTTP.
Debería poder coincidir con http.cookie como una cadena de acuerdo con la referencia del protocolo de los filtros: enlace
Aquí hay más información general sobre la sintaxis del filtro (incluidos los operadores): enlace
Encendería Wireshark en tu pcap y utilizaría Buscar paquete con una cadena conocida y luego utilizaría los menús de clic derecho para que Wireshark te hiciera el filtro (como se describe en la sección 6.2.2 del manual). menú del panel "Lista de paquetes" en enlace
Luego, puedes usar ese filtro (copiar y pegar) en una consola con tshark para buscar rápidamente grandes pcaps o escribir las búsquedas de forma trivial.
La mejor solución es probablemente cargar el archivo PCAP en NetworkMiner . NetworkMiner extraerá automáticamente todas las cookies y las mostrará en la pestaña "Credenciales".
Esto ya se ha sugerido en la lista de correo de usuarios de Wireshark: enlace
Lea otras preguntas en las etiquetas wireshark