Перехват файлов в Wireshark

Tipper

Tipper

Member
Joined
Feb 11, 2018
Messages
624
Reaction score
244
Что-ж, приступим. На просторах интернета я нашел файлик перехваченого трафика и сегодня покажу Вам как происходит кража файлов с уже сдампленого файла.

Заходим в Wireshark и открываем файл c ранее перехваченым трафиком FTP.

iKggo3WIgzs.jpg


Далее переходим в TCP-поток. Правой кнопкой на первый пакет. Follow->TCP Stream, то есть собрать воедино всю сессию:

XXDPfgatDAk.jpg


Получим такое:

5_1v1QAArE4.jpg


Здесь мы увидим окно, в котором отражены все FTP-команды и ответы, которые передавались в этой сессии. Обратим внимание на участки с упоминанием *.zip файла. Это явно то что мы ищем.

  • SIZE OS Fingerprinting with ICMP.zip – запрос размера файла.
  • RETR OS Fingerprinting with ICMP.zip – ответ сервера.
  • 610078 байт – размер файла
Этот файл нас заинтересовал. Теперь попробуем его найти. Нажимаем левой кнопкой мыши на RETR-пакет и попадаем в такое место (не забываем очистить полоску-фильтр сверху):

YD_I3TqkpBw.jpg


Ищем ближайший к нам FTP-DATA пакет. Кто не знал, FTP-DATA как-раз предназначен для передачи данных и файлов по протколу FTP.

bNyXGEaVJNU.jpg


На этом пакете правой кнопкой мыши. Follow->TCP Stream.

dW200u67A68.jpg


Получаем вывод в виде загогулин. Видим Show and save data as. ВыбираемRAW. Получаем такое:

HaomVO06PyE.jpg


Тыкаем на Save as… Попадаем в диалоговое окно сохранения. Сохраняем файл name.zip

Закрываем Wireshark.

Открываем архив и видим:

k04JABA61Z0.jpg


Вы теперь знакомы с одним из основных способов поиска информации в сдампленом TCP-трафике.
 
You must log in or register to reply here.
Top