Extraer cookies de pcap

5

¿Existe alguna herramienta para extraer cookies de los sniffs de red generados por tcpdump (archivos .pcap)?

Sé que puedo abrirlo en wireshark pero tomará un tiempo hasta que encuentre el dominio en el que estoy interesado y las cookies (¿hay un filtro que pueda usar?)

Gracias

    
pregunta opc0de 05.04.2013 - 15:51
fuente

2 respuestas

6

Parece que deberías poder extraer fácilmente las cookies de tus pcaps con Wireshark o tshark usando filtros basados en las cookies HTTP.

Debería poder coincidir con http.cookie como una cadena de acuerdo con la referencia del protocolo de los filtros: enlace

Aquí hay más información general sobre la sintaxis del filtro (incluidos los operadores): enlace

Encendería Wireshark en tu pcap y utilizaría Buscar paquete con una cadena conocida y luego utilizaría los menús de clic derecho para que Wireshark te hiciera el filtro (como se describe en la sección 6.2.2 del manual). menú del panel "Lista de paquetes" en enlace

Luego, puedes usar ese filtro (copiar y pegar) en una consola con tshark para buscar rápidamente grandes pcaps o escribir las búsquedas de forma trivial.

    
respondido por el adric 05.04.2013 - 16:02
fuente
1

La mejor solución es probablemente cargar el archivo PCAP en NetworkMiner . NetworkMiner extraerá automáticamente todas las cookies y las mostrará en la pestaña "Credenciales".

Esto ya se ha sugerido en la lista de correo de usuarios de Wireshark: enlace

    
respondido por el netresec 02.04.2014 - 20:57
fuente

Lea otras preguntas en las etiquetas