Encontre nome de usuário e senha no arquivo pcap

6

Estou completando uma tarefa onde recebo um arquivo pcap para extrair dados. A pergunta é: Localize o nome de usuário e a senha no arquivo pcap. Isso é o que eu tenho até agora.

$ tshark -r assign1.pcap -R 'smtp' -2 | awk '{if($9=="334") print $10}' | base64 -d

tshark torna legível o arquivo pcap e selecionará apenas linhas que tenham a palavra SMTP na linha.

Eu então canalizo essa informação para o awk, o awk seleciona as linhas que eu preciso e então canaliza essa informação para a base64 para decodificar os campos.

A saída que estou recebendo é

Masnãoseicomoselecionaronomedeusuárioesenhaatuaisedecodificá-los.Aquiestáoqueoarquivonormalmenteparece,oscampossublinhadossãoonomedeusuárioesenhasqueeuprecisoencontraredecodificar.Euprecisodescobrircomoencontraredecodificaroscampossublinhadosnalinha6elinha8.

NOTA:Oarquivopcap: link

    
por DisplayName9 07.07.2018 / 22:16

1 resposta

10

Precisa de um getline . Exemplo

$ tshark -r assign1.pcap -R 'smtp' -2 2>&1 | awk '$9=="334"{print $10;getline;print $9}' | base64 -d && echo
Username:abcPassword:def
$

Referência

por 07.07.2018 / 23:27