Acho que o tcpextract é o que você está procurando.
Como o título diz, estou procurando uma maneira de extrair binários do PCAP usando a linha de comando. Eu percebo que é possível usar o Wireshark - > Arquivo - > Exportar - > Objetos http etc. Mas tshark não parece suportar isso.
Existe uma maneira de fazer isso ou codificar isso, preferencialmente usando python ou bash . Ou alguém sabe de ferramentas que podem fazer isso que eu não conheço.
Eu prefiro que o método seja automatizável / scriptável.
Acho que o tcpextract é o que você está procurando.
A partir do Wireshark 2.3.0, você pode exportar objetos HTTP com tshark. (O Wireshark 2.3.0 ainda não foi lançado, então você pode pegar uma versão diária de aqui .)
Para extrair objetos HTTP da linha de comando, execute o seguinte comando:
tshark -r mypcap.pcap --export-objects "http,destdir"
Tags networking bash linux scripting