CapTipper — Исследуйте вредоносный HTTP-трафик


CapTipper — это инструмент Python для изучения вредоносного HTTP-трафика, он также помогает анализировать и восстанавливать захваченные сеансы из файлов PCAP.

Он устанавливает веб-сервер, который действует точно так же, как сервер в файле PCAP,, и содержит внутренние инструменты с мощной интерактивной консолью для анализа и проверки найденных хостов, объектов и цепочек.

Этот инструмент предоставляет исследователю безопасности легкий доступ к файлам и понимание сетевого потока, и он полезен при попытке исследования эксплойтов, предварительных условий, версий, обфускаций, плагинов и шелл кодов.

Использование CapTipper

Подача CapTipper с захватом трафика на диске (например, набора эксплойтов) отображает пользователю с запрошенными URI, которые были отправили  на метаданные.

Пользователь может в этот момент перейти нп http://127.0.0.1/[host]/[URI] и получить ответ обратно в браузер.

Кроме того, для более глубокого изучения запускается интерактивная оболочка с использованием различных команд, таких как: hosts, hexdump, info, ungzip, body, client, dump и многое другое.

Ипспользование:

 ./CapTipper.py <PCAP_file> [-p] [web_server_port=80]

пример

Анализ следующего заражения EK PCP: 2014-11-06-Nuclear-EK-traffic.pcap

 C:\CapTipper> CapTipper.py "C:\NuclearFiles\2014-11-06-Nuclear-EK-traffic.pcap"

CapTipper v0.1 - Malicious HTTP traffic explorer tool
Copyright 2015 Omri Herscovici <omriher@gmail.com>

[A] Analyzing PCAP: C:\NuclearFiles\2014-11-06-Nuclear-EK-traffic.pcap

[+] Traffic Activity Time: Thu, 11/06/14 17:02:35
[+] Conversations Found:

0: / -> text/html (0.html) [5509 B]
1: /wp-includes/js/jquery/jquery.js?ver=1.7.2 -> application/javascript (jquery.js) [39562 B]
2: /seedadmin17.html -> text/html (seedadmin17.html) [354 B]
3: /15c0b14drr9f_1_08282d03fb0251bbd75ff6dc6e317bd9.html -> text/html (15c0b14drr9f_1_08282d03fb0251bbd75ff6dc6e317bd9.html) [113149 B]
4: /wp-content/uploads/2014/01/MetroWest_COVER_Issue2_Feb2014.jpg -> image/jpeg (MetroWest_COVER_Issue2_Feb2014.jpg) [350008 B]
5: /images/footer/3000melbourne.png -> image/png (3000melbourne.png) [2965 B]
6: /images/footer/3207portmelbourne.png -> image/png (3207portmelbourne.png) [3092 B]
7: /wp-content/uploads/2012/09/background1.jpg -> image/jpeg (background1.jpg) [33112 B]
8: /00015d76d9b2rr9f/1415286120 -> application/octet-stream (00015d76.swf) [31579 B]
9: /00015d766423rr9f/1415286120 -> application/pdf (XykpdWhZZ2.pdf) [9940 B]
10: /00015d76rr9f/1415286120/5/x00809070554515d565b010b03510053535c0505;1;6 -> application/octet-stream (5.exe) [139264 B]
11: /00015d76rr9f/1415286120/5/x00809070554515d565b010b03510053535c0505;1;6;1 -> application/octet-stream (5.exe) [139264 B]
12: /00015d76rr9f/1415286120/7 -> application/octet-stream (7.exe) [139264 B]
13: /00015d761709rr9f/1415286120 -> application/octet-stream (00015d76.swf) [8064 B]
14: /00015d76rr9f/1415286120/8 -> application/octet-stream (8.exe) [139264 B]


[+] Started Web Server on http://localhost:80
[+] Listening to requests...

CapTipper Interpreter
Type 'open <conversation id>' to open address in browser
type 'hosts' to view traffic flow
Type 'help' for more options

CT>

Вы можете скачать CapTipper здесь:

CapTipper-master.zip

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *