CapTipper – это инструмент Python для изучения вредоносного HTTP-трафика, он также помогает анализировать и восстанавливать захваченные сеансы из файлов PCAP.
Он устанавливает веб-сервер, который действует точно так же, как сервер в файле PCAP,, и содержит внутренние инструменты с мощной интерактивной консолью для анализа и проверки найденных хостов, объектов и цепочек.
Этот инструмент предоставляет исследователю безопасности легкий доступ к файлам и понимание сетевого потока, и он полезен при попытке исследования эксплойтов, предварительных условий, версий, обфускаций, плагинов и шелл кодов.
Использование CapTipper
Подача CapTipper с захватом трафика на диске (например, набора эксплойтов) отображает пользователю с запрошенными URI, которые были отправили на метаданные.
Пользователь может в этот момент перейти нп http://127.0.0.1/[host]/[URI] и получить ответ обратно в браузер.
Кроме того, для более глубокого изучения запускается интерактивная оболочка с использованием различных команд, таких как: hosts, hexdump, info, ungzip, body, client, dump и многое другое.
Ипспользование:
./CapTipper.py <PCAP_file> [-p] [web_server_port=80]
пример
Анализ следующего заражения EK PCP: 2014-11-06-Nuclear-EK-traffic.pcap
C:\CapTipper> CapTipper.py "C:\NuclearFiles\2014-11-06-Nuclear-EK-traffic.pcap" CapTipper v0.1 - Malicious HTTP traffic explorer tool Copyright 2015 Omri Herscovici <omriher@gmail.com> [A] Analyzing PCAP: C:\NuclearFiles\2014-11-06-Nuclear-EK-traffic.pcap [+] Traffic Activity Time: Thu, 11/06/14 17:02:35 [+] Conversations Found: 0: / -> text/html (0.html) [5509 B] 1: /wp-includes/js/jquery/jquery.js?ver=1.7.2 -> application/javascript (jquery.js) [39562 B] 2: /seedadmin17.html -> text/html (seedadmin17.html) [354 B] 3: /15c0b14drr9f_1_08282d03fb0251bbd75ff6dc6e317bd9.html -> text/html (15c0b14drr9f_1_08282d03fb0251bbd75ff6dc6e317bd9.html) [113149 B] 4: /wp-content/uploads/2014/01/MetroWest_COVER_Issue2_Feb2014.jpg -> image/jpeg (MetroWest_COVER_Issue2_Feb2014.jpg) [350008 B] 5: /images/footer/3000melbourne.png -> image/png (3000melbourne.png) [2965 B] 6: /images/footer/3207portmelbourne.png -> image/png (3207portmelbourne.png) [3092 B] 7: /wp-content/uploads/2012/09/background1.jpg -> image/jpeg (background1.jpg) [33112 B] 8: /00015d76d9b2rr9f/1415286120 -> application/octet-stream (00015d76.swf) [31579 B] 9: /00015d766423rr9f/1415286120 -> application/pdf (XykpdWhZZ2.pdf) [9940 B] 10: /00015d76rr9f/1415286120/5/x00809070554515d565b010b03510053535c0505;1;6 -> application/octet-stream (5.exe) [139264 B] 11: /00015d76rr9f/1415286120/5/x00809070554515d565b010b03510053535c0505;1;6;1 -> application/octet-stream (5.exe) [139264 B] 12: /00015d76rr9f/1415286120/7 -> application/octet-stream (7.exe) [139264 B] 13: /00015d761709rr9f/1415286120 -> application/octet-stream (00015d76.swf) [8064 B] 14: /00015d76rr9f/1415286120/8 -> application/octet-stream (8.exe) [139264 B] [+] Started Web Server on http://localhost:80 [+] Listening to requests... CapTipper Interpreter Type 'open <conversation id>' to open address in browser type 'hosts' to view traffic flow Type 'help' for more options CT>
Вы можете скачать CapTipper здесь: