Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 30-12-2010 11:15:56

iautran
Membre Radioactif
Inscription : 01-07-2010
Messages : 85

Wifizoo v1.3 "black edition" - Interprétation du fichier PCAP ?

Salut à tous,

je suis dans une configuration ultra simple.
Deux postes en ethernet, un arpspoof sur le poste victime.
Là je récupère bien la navigation du pc victime et donc mon fichier de capture.

Sur le PC Victime je surf sur le net sur FB et crack-wifi."Logiquement" donc les cookies de sessions ont été sniffés.

Je lance ensuite wifizoo (v1.3 black edition; je n'ai pas trouvé la 1.4 car même si des tutos sont présents, vraisemblablement cela reste une version "privée").

Donc je lance

python wifizoo.py -c /root/Destktop/macapture.pcap

Wifizoo m'indique alors bien "using capture file "macapture.pcap" mais ensuite via l'interface web (http://127.0.0.1:8000), je ne vois rien du toooout (même dans la colonne "stats", je ne vois pas de paquets capturés (je ne sais pas si je devrais en voir dans ce mode  de lecture en même temps).

J'ai encore droit à une "exclue" sur ma plateforme ou vous rencontrez également ce souci ?

Merci

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 30-12-2010 11:52:34

iautran
Membre Radioactif
Inscription : 01-07-2010
Messages : 85

Re : Wifizoo v1.3 "black edition" - Interprétation du fichier PCAP ?

Alors en fait j'ai l'impression que c'est une spécificité de mon environnement actuel (dommage que le titre ne soit pas modifiable !).

Là je me trouve dans un réseau qui utilise un serveur proxy et je ne sais pas si ca a un rapport mais dans Wireshark, je ne vois pas de trames "HTTP" mais uniquement des trames TCP (si je fais un filtre "HTTP" je n'ai rien du tout).

Si je fais un "Follow TCP Stream", j'arrive pourtant bien à retrouver ma trame HTTP avec le POST contenant mon login/pass du forum mais cette trame n'est pas vu en tant que protocole HTTP.

En fait, j'ai deux proxy dans l'environnement où je me trouve actuellement. Le 1er est récupéré via un fichier pac et le second entré en dur dans le navigateur (je choisis soit l'un soit l'autre à chaque fois). Avec celui entré en dur, je vois bien les trames HTTP séparées; avec celui du .pac, tout passe dans une trame TCP comme expliqué plus haut. Je ne pense pas que cela vienne de la conf IE mais j'avoue ne pas avoir d'explication en fait ! Je précise que je n'ai pas de logiciel type "client winsock" qui encapsule toutes les données avant de les rebalancer au travers du proxy (ce qui aurait pu expliquer ce que je constatais).

Bref pour l'instant mon chemin est semé d'embuches ! lol

Je pense que cela pourrait expliquer pourquoi Wifizoo/Dsniff etc... ne sont pas capables d'interpréter les trames et récupérer mon mot de passe dans le flow de données snifées, vous en pensez quoi ?

Dernière modification par iautran (30-12-2010 14:08:02)

Hors Ligne

#3 30-12-2010 14:58:50

iautran
Membre Radioactif
Inscription : 01-07-2010
Messages : 85

Re : Wifizoo v1.3 "black edition" - Interprétation du fichier PCAP ?

Bon ben; j me prends la tête mais j'avance ! big_smile

Je poste mes "découvertes" en me disant que cela pourrait servir à d'autres dans la mesure où je ne suis pas forcément dans un cas de figure super "classique" (puisque, je le rappelle pour ceux qui ne suivent pas mes problèmes ;p, je fais mes tests avec un poste client qui utilise un proxy.

Et donc c'est super bête une fois qu'on a trouvé la solution, mais il faut que je configure mon port d'écoute sur le port du proxy !
Concrètement mon proxy est sur le réseau local et en écoute sur le port 8082.
Ca signifie donc que je dois écouter le trafic émis par ma victime vers ce port et non vers les ports par défaut (type 80 etc...)

je m'en suis rendu compte en utilisant MSN Shadow.
Je n'arrivais rien à capturer mais en changeant le port d'écoute du soft de 80/tcp à 8082/tcp, ca a fonctionné.

On sent cependant que l'outil n'est pas du tout optimisé pour ca car du coup il considère que je ne dialogue qu'avec un seul "client" qui a pour IP mon proxy.

Mais bon ! Ca va me permettre déjà d'aborder les autres problèmes de façon différente smile

Hors Ligne

#4 30-12-2010 15:13:26

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Wifizoo v1.3 "black edition" - Interprétation du fichier PCAP ?

[EDIT] J'avais pas vu ton 3ème message, donc tout ce qui suit concerne le précédent :S
C'est clair que quand on écoute sur le bon port ça va tout de suite mieux big_smile

En parlant de ton "environnement actuel", précise aussi quel système tu utilises tongue On peut supposer que c'est BT4-R2, mais pas certain donc bon... smile

Pour le reste, je pense sans en être sûr qu'un des 2 proxys (celui qui fait des trames TCP bizarres) utilise le protocole SOCKS : c'est courant parmi les proxys, et tu n'as pas spécialement besoin d'un client supplémentaire, je l'utilise tous les jours pour des tunnels SSH et c'est intégré dans Firefox. Pour en être sûr faudrait disséquer le .CAP à coup de Wireshark, si tu me le mets en ligne je peux y jeter un oeil si tu veux smile

Après, c'est clair que si t'es pas en "vrai" HTTP, tous les outils qui se basent dessus vont se casser les dents... Façon simple de vérifier si Wifizoo trouvera des cookies dans le .cap, tu l'ouvres vec wireshark et dans la barre de filtrage tu tapes "http.cookie".
Accessoirement, tu peux aussi utiliser Wireshark pour récupérer les cookies, et utiliser d'autres scripts/extensions/astuces/rituels sorciers pour les injecter dans le browser mais c'est un peu fastidieux... hmm
Un exemple au hasard --> Cookie Injection Using Greasemonkey

<Colombo>
Encore une dernière petite chose... t'as l'air d'être sur un réseau professionnel, je peux donc supposer que tu as l'accord du proprio/admin pour faire tes expérimentations, hmmm ? smile
</Colombo>

Hors Ligne

#5 30-12-2010 15:21:51

iautran
Membre Radioactif
Inscription : 01-07-2010
Messages : 85

Re : Wifizoo v1.3 "black edition" - Interprétation du fichier PCAP ?

Yes en fait mon environnement actuel est un poste attaquant en BT4 R2; et un poste victime sous XP SP3.
Les deux sont connectés à Internet au travers d'un proxy.

Je te confirme que le proxy n'est pas un proxy Socks(d'ailleurs dans mon cas le navigateur utilisé est IE8, sans client intégré donc big_smile)

Par contre, du coup ca explique justement pourquoi je me prends la tete depuis 2 jours sans comprendre pourquoi les outils comme Dsniff, wifizoo etc ne fonctionnaient pas.

Vu que tout est envoyé sur le port 8082 et non les ports spécifiques aux services (80,1863,443 etc...) les outils sont un peu perdus.

Pour le fun je vais essayer tes techniques voodos avec Greasemonkey, thanks smile

Je vais essayer de refaire des captures pas trop degueu si j trouve un moment et te les envoyer pour que tu me confirmes que ca n'utilise pas de SOCKS (je pourrai t'envoyer l'URL en MP stp ? j'aimerai éviter de rendre ces infos publiques smile)

Thanks

Hors Ligne

#6 30-12-2010 15:38:43

iautran
Membre Radioactif
Inscription : 01-07-2010
Messages : 85

Re : Wifizoo v1.3 "black edition" - Interprétation du fichier PCAP ?

En fait je pense avoir compris pourquoi Wireshark est capable de parser correctement mes flux et voit bien qu'avec mon 2nd proxy c'est du HTTP. Je pense tout simplement que c'est parce que le 2nd proxy est en coute sur le port 80. Du coup ma victime envoit ses données sur le port 80 du proxy et Wireshark intercepte et sait interpréter (parser) les données qu'il recoit.

Lorsque ces mêmes données arrivent sur le port 8082 de mon 1er proxy, Wireshark ne voit arriver qu'un flux TCP (même si au final c'est le même flux que celui reçu par le proxy d'avant; sauf que cette fois-ci WS n'a pas été capable de parser les données.

Si je fais une recherche sur le string http.cookie sur le 1er proxy (celui du port 8082), il ne me trouve rien mais une recherche sur le mot "cookie" me permet de retrouver le flux HTTp et donc le cookie en question.

Ca me fait donc penser que c'est WS qui ajoute l'info nommée (http.cookie), tu me le confirmes ?
Je ne sais pas s'il est possible de dire à Wireshark de traiter le flux venant du port 8082 comme il traite du flux lui arrivant sur le port 80; je vais regarder de ce coté.

Merci!

Hors Ligne

#7 30-12-2010 15:46:40

iautran
Membre Radioactif
Inscription : 01-07-2010
Messages : 85

Re : Wifizoo v1.3 "black edition" - Interprétation du fichier PCAP ?

Youhoou, je confirme ma théorie du dessus !

Je suis allé dans Edit/Préférences/Protocols/HTTP et j'ai ajouté mon port 8082.

Mon flux auparavant vu en "TCP" est devenu tout vert et vu en tant  que HTTP.
Un filtre sur le string http.cookie fonctionne même ! smile

Ca ne règle pas le problème de tous les outils tiers genre dsniff, etc... qui continuent d'écouter sur le port 80 et non mon port 8082, par contre.

Coté Linux, d'un point de vue système, il n'y a pas moyen de trouver une solution par hasard en disant par exemple que le flux arrivant sur le port 8082 est redirigé "en interne" sur le port 80 (ouais je sais c'est tordu) ?

Hors Ligne

#8 30-12-2010 16:11:46

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Wifizoo v1.3 "black edition" - Interprétation du fichier PCAP ?

iautran a écrit :

Yes en fait mon environnement actuel est un poste attaquant en BT4 R2; et un poste victime sous XP SP3.

Merci !

Je te confirme que le proxy n'est pas un proxy Socks(d'ailleurs dans mon cas le navigateur utilisé est IE8, sans client intégré donc big_smile)

Vu la suite, je pense qu'on est fixés, c'est sans doute pas du SOCKS wink

Pour le fun je vais essayer tes techniques voodos avec Greasemonkey, thanks smile

Y a + simple, avec des extensions de firefox notamment, elles sont peut-être même déjà intégrées à BackTrack. Mais ca reste dans le domaine de la curiosité technique wink

Je vais essayer de refaire des captures pas trop degueu si j trouve un moment et te les envoyer pour que tu me confirmes que ca n'utilise pas de SOCKS (je pourrai t'envoyer l'URL en MP stp ? j'aimerai éviter de rendre ces infos publiques smile)

Si tu veux (même si je pense que ce n'est plus nécessaire, c'est quasi-sûr que c'est du HTTP simple), mais après que tu aies soulagé mes angoisses métaphysiques sur le fait que tu aies le droit de chipoter sur ce réseau !

Ca me fait donc penser que c'est WS qui ajoute l'info nommée (http.cookie), tu me le confirmes ?

Wireshark n'ajoute aucune info, simplement il interprète les paquets en fonction du contenu (un paquet TCP sur port  80 qui contient "cookie" dedans, par exemple). Ceci explique qu'il soit perdu dès que tu joues sur un port non-standard, et aussi qu'il retrouve la lumière quand tu le guides un peu !

Coté Linux, d'un point de vue système, il n'y a pas moyen de trouver une solution par hasard en disant par exemple que le flux arrivant sur le port 8082 est redirigé "en interne" sur le port 80 (ouais je sais c'est tordu) ?

Le problème n'est pas tellement de rediriger du trafic en internet (netcat/ncat feraient ça très bien) mais de copier tout le trafic vers un autre port, sans couper le "flux" principal. C'est un peu tordu mais très dans l'esprit pentest ! big_smile A première vue je vois pas trop comment faire (peut-être via un tun/tap ?), mais si je trouve quelque chose je posterai ici wink

Hors Ligne

#9 30-12-2010 16:19:47

iautran
Membre Radioactif
Inscription : 01-07-2010
Messages : 85

Re : Wifizoo v1.3 "black edition" - Interprétation du fichier PCAP ?

Alors pour GreaseMonkey + script User : effectivement ca marche nickel.
En script "plus simple" sous Firefox j'allais te dire "Firesheep" mais en fait ... non je sors smile

Pour soulager tes angoisses métaphysiques, j'ai bien le droit de chipoter sur le réseau en question; et je ne le fais dans un aucun but malsain ou illégal; juste le plaisir d'apprendre (et de galérer).

Concernant la redirection du flux, si tu trouves quelque chose n'hésites pas, oui ! Comme je te l'expliquais je ne suis pas super à l'aise sur les environnements Linux; au pire je regarderai via Google smile

Thanks again !

Hors Ligne

#10 30-12-2010 17:05:46

iautran
Membre Radioactif
Inscription : 01-07-2010
Messages : 85

Re : Wifizoo v1.3 "black edition" - Interprétation du fichier PCAP ?

Concernant la redirection de flux, est-ce que justement l'équivalent de la commande tapée pour SSLSTrip ne fait pas cela ?

Je parle de la commande

iptables -t nat -A PREROUTING -p tcp --destination-port 8082 -j REDIRECT --to-port 80

?

D'ailleurs quelqu'un sait comment afficher la configuration en cours de cette commande ? (car mon SSLStrip ne marche plus; via wireshark je vois bien le flux arriver mais il n'est pas "converti" par SSLStrip (aucun log dans sslstrip); du coup , comme j'ai alncé plusieurs fois une commande iptables différente, j'aurai bien voulu identifier laquelle était prise en compte (un iptables -L ne me renvoit rien d'intéressant).

Merci

Hors Ligne

#11 30-12-2010 21:35:22

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Wifizoo v1.3 "black edition" - Interprétation du fichier PCAP ?

iautran a écrit :

En script "plus simple" sous Firefox j'allais te dire "Firesheep" mais en fait ... non je sors smile

J'ai pas osé t'en parler, t'avais l'air au dessus de ça, mais si t'abordes la question... big_smile

Pour soulager tes angoisses métaphysiques, j'ai bien le droit de chipoter sur le réseau en question; et je ne le fais dans un aucun but malsain ou illégal; juste le plaisir d'apprendre (et de galérer).

Merci, le petit modo qui sommeille en moi s'endort apaisé (mais il ne dort que d'un oeil, faut pas croire !)
Plus sérieusement, j'ai déjà l'habitude de voir (chercher ?) le mal partout, mais sur le genre de réseau que tu utilises y a pas beaucoup de gens qui ont autant de "libertés", donc je vérifie quand même au cas où wink

Concernant la redirection de flux, est-ce que justement l'équivalent de la commande tapée pour SSLSTrip ne fait pas cela ?

Comme je le disais plus haut, le but ici n'est pas de faire une redirection (détournement complet du flux) mais bien une "copie", ce qui est plus complexe. Là, ce que tu fais renvoie tout le trafic vers ton port 80 (très bien), mais une fois arrivé sur ton port 80 il ne repart jamais, donc il n'atteint jamais le proxy, donc en fait t'as aucune connexion smile Il faudrait au moins ajouter une règle identique dans l'autre sens, mais c'est tellement bancal que j'y crois pas tongue

D'ailleurs quelqu'un sait comment afficher la configuration en cours de cette commande ? [...] comme j'ai alncé plusieurs fois une commande iptables différente, j'aurai bien voulu identifier laquelle était prise en compte (un iptables -L ne me renvoit rien d'intéressant).

Par défaut, "iptables -L" n'affiche que les règles principales. Ici, comme tu ajoutes une règle à la table nat, tu dois la spécifier si tu veux voir son état :

iptables -t nat --list   #je suppose que --list peut être remplacé par -L
iptables -t nat -F   # pour effacer (flush) toutes les règles de ta table nat

mon SSLStrip ne marche plus; via wireshark je vois bien le flux arriver mais il n'est pas "converti" par SSLStrip (aucun log dans sslstrip

Tu travailles avec ou sans proxy ? Parce que sinon tu dois adapter ta règle iptables (intercepter sur le 8082 et remballer sur le 10000) ; de plus SSLStrip (qui doit s'occuper de la connexion avec le serveur en SSL) ne devine sans doute pas tout seul qu'il doit passer par le 8082 au lieu des classiques 80 ou 443... J'ai pas regardé le code (c'est du python, donc lisible) mais c'est à mon avis une piste. Tu dis qu'il ne logue rien, mais est-ce que la victime peut encore surfer de façon "transparente" ? Vérifie que ton MITM est bien en place aussi, sinon c'est normal que SSLStrip ne fasse rien smile

En ce qui concerne le "transfert de port" pour utiliser Dsniff et ses copains, j'ai pas trouvé grand chose hmm 2 pistes :
- il y a une option "tee" dans iptables qui permet d'envoyer une copie des paquets vers un autre hôte, en le renvoyant vers 127.0.0.1 ça peut marcher mais j'ai pas regardé si on sait changer le port
--> Howto: Copy/Tee/Clone network traffic using iptables
(tu peux zapper la partie "patching" du début, tout ça est désormais intégré)
- Mode MacGyver : tu peux utiliser tcpdump pour capturer ton trafic dans un .CAP (ou bien Wireshark, au choix), puis utiliser tcpreplay-edit pour le réémettre sur ta loopback (interface "lo") en changeant les ports, et mettre Dsniff (ou un autre) en écoute sur "lo". En théorie ça peut même marcher "en direct", c-à-d que tu utilises tcpdump pour créer un .cap, et juste après tu rejoues ce .cap avec tcpreplay, si le rejeu est plus lent que la capture (il devrait) tu peux obtenir un effet quasi-temps réel smile
--> tcprewrite -- TCPreplay wiki (regarde la section "rewriting layer 4")

Bonne chance ! tongue

Hors Ligne

#12 30-12-2010 23:27:47

iautran
Membre Radioactif
Inscription : 01-07-2010
Messages : 85

Re : Wifizoo v1.3 "black edition" - Interprétation du fichier PCAP ?

J te réponds court parce que je suis en même temps en train de faire une version "usb persistent" mais à cause de toi j'ai la chanson de Mac Gyver dans la tête, merci ! :p

Je réponds un peu plus tard et de façon plus constructive sur tout ce que tu viens de me dire, merci ! smile

Hors Ligne

#13 31-12-2010 00:20:44

iautran
Membre Radioactif
Inscription : 01-07-2010
Messages : 85

Re : Wifizoo v1.3 "black edition" - Interprétation du fichier PCAP ?

Pour répondre à ta question, oui les tests se faisaient via proxy mais comme j'en ai un qui est accessible sur le port 80 et l'autre sur le 8082, ca peut expliquer pourquoi mon SSLStrip "a marché" mais ne marchait plus ensuite (vu que j'ai trouvé cette explication dans la journée);par ocntre en tout cas au moment où ca ne marchait plus, ca ne marchait vraiment plus (j'étais vraiment redirigé vers le site https; je n'avais pas le favicon etc..).

Pour le transfert de port, merci pour toutes tes pistes, je vais essayer de creuser ca dans un 2nd temps. En attendant, je vais essayer de focaliser mes tests sur le proxy utilisant le port 80, histoire de ne pas m'égarer dans mes tests en passant du temps sur le cas particulier du proxy sur le port 8082 (n'empêche bon à savoir que ce type d'attaque soient plus complexes à grande échelle dans un réseau possédant un proxy écoutant sur un port non standard smile)

Dernière modification par iautran (31-12-2010 00:22:34)

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Sujets similaires

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.037 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]