Durante un penetration test, una volta effettuata un’intrusione su di una macchina target, può tornare utile sniffare il traffico in transito sulla macchina stessa per poter intercettare credenziali per poter elevare i privilegi o per accedere ad altri host più preziosi. Per svolgere questo compito ci vuole uno sniffer.
Esistono diversi potenti sniffer, commerciali e gratuiti, che però in genere necessitano di essere installati e necessitano pure driver aggiuntivi. Un penetration tester, oppure chi abbia l’esigenza di effettuare attività di incident response in condizioni critiche o difficili, ha bisogno di uno strumento tattico, facile da dispiegare e da impiegare.
RawCap è un network sniffer free per Windows, ha dimensioni ridotte (17K) e non necessita di installazione. Si tratta di un ideale tool tattico, da utilizzare durante un penetration test o in un’attività di incident response.
Tra i punti di forza:
- Può intercettare anche localhost (127.0.0.1)
- Non necessita di DLL esterne e non è necessario installarlo
- Può intercettare anche le interfacce Wifi e PPP
- Impiega poca memoria
- E’ semplice da usare
La semplicità è forse la caratteristica più evidente di RawCap. Per iniziare ad intercettare traffico basta eseguire il programma invocandolo da linea di comando e specificando l’indirizzo IP dell’interfaccia da sottoporre a controllo e il file dove memorizzare i pacchetti sniffati:
RawCap.exe 192.168.13.37 dumpfile.pcap
Una volta terminata la sessione sarà possibile decodificare il dump file con Wireshark. In alternativa è possibile anche avviare il programma senza specificare parametri; apparirà la lista numerata delle interfacce disponibili e successivamente verrà chiesto il nome del file di dump. Tutto qui.
Ho parlato degli aspetti positivi, ma naturalmente esistono anche i contro. Intanto, è vero che non necessita DLL e installazione, ma è anche vero che è basato su framework .NET2.0; certo,oggi dovrebbe essere disponibile su praticamente tutti i Windows in circolazione, però è corretto segnalarlo.
Altro limite, a detta dell’autore stesso, è l’affidabilità: se funziona perfettamente su XP, la stessa cosa non si può dire per Vista e Win7, a causa della tecnica utilizzata dal programma per effettuare lo sniffing, ovvero le raw socket, che nelle ultime versioni di Windows non sarebbero affidabili come nelle versioni precedenti.
Tirando le somme, RawCap è un ottimo strumento semplice e leggero (e gratuito) da usare in condizioni difficili o critiche, meglio se su Windows XP.
RawCap può essere scaricato dal sito ufficiale: http://www.netresec.com/
interessante anche se credo siano pochi i pentester ad usare xp
RawCap dovrebbe essero messo sulla macchina target, non tanto sulla piattaforma dell’attaccante
buahh leggo una cosa e capisco un’altra!! nn andiamo bene