RawCap: Sniffer Tattico per Windows

Durante un penetration test, una volta effettuata un’intrusione su di  una macchina target, può tornare utile sniffare il traffico in transito sulla macchina stessa per poter intercettare credenziali per poter elevare i privilegi o per accedere ad altri host più preziosi. Per svolgere questo compito ci vuole  uno sniffer.

Esistono diversi potenti sniffer, commerciali e gratuiti, che però in genere necessitano di essere installati e necessitano pure driver aggiuntivi. Un penetration tester, oppure chi abbia l’esigenza di effettuare attività di incident response in condizioni critiche o difficili, ha bisogno di uno strumento tattico, facile da dispiegare e da impiegare.

RawCap è un network sniffer free per Windows, ha dimensioni ridotte (17K) e non necessita di installazione. Si tratta di un ideale tool tattico, da utilizzare durante un penetration test o in un’attività di incident response.

Tra i punti di forza:

  • Può intercettare anche localhost (127.0.0.1)
  • Non necessita di DLL esterne e non è necessario installarlo
  • Può intercettare anche le interfacce Wifi e PPP
  • Impiega poca memoria
  • E’ semplice da usare

La semplicità è forse la caratteristica più evidente di RawCap. Per iniziare ad intercettare traffico basta eseguire il programma invocandolo da linea di comando e specificando l’indirizzo IP dell’interfaccia da sottoporre a controllo e il file dove memorizzare i pacchetti sniffati:

RawCap.exe 192.168.13.37 dumpfile.pcap

Una volta terminata la sessione sarà possibile decodificare il dump file con Wireshark. In alternativa è possibile anche avviare il programma senza specificare parametri; apparirà la lista numerata delle interfacce disponibili e successivamente verrà chiesto il nome del file di dump. Tutto qui.

Ho parlato degli aspetti positivi, ma naturalmente esistono anche i contro. Intanto, è vero che non necessita DLL e installazione, ma è anche vero che è basato su framework .NET2.0; certo,oggi dovrebbe essere disponibile su praticamente tutti i Windows in circolazione, però è corretto segnalarlo.

Altro limite, a detta dell’autore stesso, è l’affidabilità: se funziona perfettamente su XP, la stessa cosa non si può dire per Vista e Win7, a causa della tecnica utilizzata dal programma per effettuare lo sniffing, ovvero le raw socket, che nelle ultime versioni di Windows non sarebbero affidabili come nelle versioni precedenti.

Tirando le somme, RawCap è un ottimo strumento semplice e leggero (e gratuito) da usare in condizioni difficili o critiche, meglio se su Windows XP.

RawCap può essere scaricato dal sito ufficiale:  http://www.netresec.com/

3 Commenti

I commenti sono bloccati.