Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 22-06-2011 06:42:39

Fuji
Membre Irremplaçable
Lieu : Saint Script-sur-Shell
Inscription : 13-12-2010
Messages : 783

Décodez avec Wireshark et Xplico.

Bonjour smile

Voici un tutorial tout simple montrant comment décoder le trafic capturé par Wireshark. Bien évidemment, il existe plusieurs outils Back Track permettant d’analyser et de décoder le trafic, mais je pense qu’il est préférable qu’on sache comment ces outils procèdent afin de comprendre et éventuellement écrire des scripts et des programmes automatisant cette méthode wink

On va prendre comme exemple une image JPEG.

Ouvrons Wireshark et analysons les requêtes de notre navigateur qui va chercher une image sur le web.
On peut maintenant stopper la capture et plaçons un filtre http. On remarque des paquets qui comportent des expressions de type JPEG JFIF image ou pour faire simple, allez dans la barre de menus :

File--> Export--> Objects-->HTTP

Et là vous avez une liste des requêtes http et dans la liste Content Type cliquez sur image/jpeg, la fenêtre principale de Wireshark répercute le clic directement sur le paquet correspondant avec une couleur bleue, comme ceci :

223508photo1.jpg

Appliquez maintenant un clic droit sur ce paquet et sélectionnez Follow TCP Stream, une nouvelle fenêtre s’ouvre comme ceci :

377268Photo2.jpg

Tout en bas à droit, sélectionnez Raw il y est par défaut, puis à gauche appuyez sur Save As enregistrez et donner un nom à ce nouveau fichier.
Prenons maintenant un éditeur hexadécimal et ouvrez ce fichier. Allez dans Recherche situé dans la barre de menus, puis Rechercher du texte hexadécimal, cela dépend des différents éditeurs hexadécimaux, et dans le champ mettez ce code --> FFD8FF et appuyez sur ok. L’éditeur va nous sélectionner ce code dans la partie hexadécimale de la page, comme ceci :

845226Photo3.jpg

On voit bien que ce code hexadécimal FFD8FF correspond à ŸØŸ en ASCII, en fait, ce code permet d’identifier un fichier d’extension JPEG, c’est ainsi que les logiciels et les OS identifient ces fichiers, et tous les fichiers connus ont un code d’identification.

Une dernière étape reste à supprimer tous les caractères hexadécimaux qui sont placés avant FFD8FF jusqu’à la première ligne de l’offset (ce sont des informations de capture que Wireshark a introduit) en les sélectionnant et ensuite on efface, dans l’exemple ci-dessous on commence donc avec le caractère A0 :

316530Photo4.jpg

Le code hexadécimal FFD8FF doit commencer à partir de l’offset 00000000.

Il reste maintenant qu’à enregistrer ce fichier en lui donnant comme extension JPG, et surprise ! l’image apparaît.

Le fichier JPEG n’est qu’un exemple, on peut extraire et décoder toutes les informations de capture, image, son, vidéo, page web, ….etc. Voici le site filext dans lequel vous trouvez tous les fichiers usuels avec leur code d’identification wink

Dernière modification par Fuji (22-06-2011 07:08:49)

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 22-06-2011 17:24:18

M1ck3y
Administrateur
Lieu : Lost in the darkness
Inscription : 14-02-2008
Messages : 6 354

Re : Décodez avec Wireshark et Xplico.

Merci à toi Fuji pour ce tuto très intéressant plus_un

Hors Ligne

#3 22-06-2011 17:27:25

noireaude
Membre d'honneur
Lieu : Chez le docteur
Inscription : 12-03-2010
Messages : 2 362
Site Web

Re : Décodez avec Wireshark et Xplico.

Merci pour le tuto wink

J'anticipe la suite, pas pu m'en empêcher, car une fois qu'ils auront compris, la flème vales gagner j'en suis sur hi hi. wink

Ca n'est pas toujours pratique de comprendre les informations issues de Wireshark surtout quand on ne maitrise pas les filtres qu'on ne sait pas reconnaitre la prtie intéressante d'une la trame.

Il y a un outil sympa qui se nomme Xplico qui couplé à airtun-ng et à un serveur apache va se charger d'analyser les trames de Wireshark et en extraire les infos intéressantes.

C'est le compagnon idéal de Wireshark smile

L'utilisation est très simple, on va prendre le cas d'un snif sur un réseau wifi en wep dont bien entendu nous possédons la clé.

Une fois le mode moniteur activé et le point d'accès ciblé avec airodump il suffit dans un premier temps de lancer airtun-ng.

Commande :

sudo airtun-ng -a "Bssid" -w "clé wep" mon0

Si tout se passe bien à ce moment une interface at0 est crée.

Un petit gksudo wireshark et choisissez de sniffer at0

Ensuite on va lancer apache et xplico.

Commande :

sudo /etc/init.d/apache2 start && sudo /etc/init.d/xplico start

Une fois fait, il suffit de lancer son navigateur et d'entrer l'adresse du serveur local en indiquant le port d'utilisation.
Adresse serveur : 127.0.0.1:9876

Une page similaire à celle-ci devrait alors apparaître.

Sip_22.png

Pour se loguer, le identifiants de base ne sont pas compliqués :

login=xplico
password=xplico

Il suffit ensuite de choisir dans les options de la page de choisir l'interface à renifler : at0 bien entendu smile.

100002010000068E00000374C220818E.png

Voila, rien de plus compliqué il suffit ensuite d'attendre que les infos tombent et de les consulter via les différentes catégories proposées.

J'ai fait un petit script (tout pourri) pour Ubuntu afin d'automatiser le lancement ou l'arrêt d'apache2 et d'xplico.
Avec une option pour gérer les fichiers de captures, qui peuvent très vite prendre beaucoup de place.

#!/bin/bash
VERT="\\033[1;32m"
NORMAL="\\033[0;39m"
ROUGE="\\033[1;31m"
ROSE="\\033[1;35m"
BLEU="\\033[1;34m"
BLANC="\\033[0;02m"
BLANCLAIR="\\033[1;08m"
JAUNE="\\033[1;33m"
CYAN="\\033[1;36m"

### variables :

dump=/opt/xplico/xplico_dump
rep_1=/opt/xplico/pol_1
adresse_serv=127.0.0.1:9876
login=xplico
password=xplico

{

while [[ $FLAG -eq 0 ]]
do
clear

echo -e "
        __        __          __     
  /\  |__) /\  |     |__|  |_         
/--\ |    /--\ |__  |   |  |__  V.2  \n"

echo -e "

\n------------------------------------\n
-Version 1.0 crée le 25.07.2010
-Licence GPL V.3
\n------------------------------------"

echo -e -n  "$BLEU""- PID    $$""$NORMAL\n"


           # Menu principal.

    echo -e "\n- Pressez crtl+c pour quitter le programme\n" \
    echo -e "\n1) - Aplico : Start|Stop"
    echo -e "\n2) - Supprimer les fichiers de capture"
    echo -e "\n3) - Sauvegarder les fichiers de capture"
    echo -e "\n4) - Afficher les infos serveur"
    echo -e "\nQ) -Quitter

                   \n"

    echo -n "Entrez votre choix :"
    read choix
    case "$choix" in

           # Module de Démarrage/arrêt d'apache2 et d'Xplico.

1)   

     echo $line
     echo -n "Start | Stop : "   
     read reponse
     echo $line

     if [ "$reponse" = "start" ] || [ "$reponse" = "Start" ] ||
        [ "$reponse" = "START" ] ; then

           # Lancement d'Apache2 et d'Xplico.

     echo -e "\nLancement d'apache version 2\n"
     sudo /etc/init.d/apache2 start 2>&1
     sleep 1

     sudo /etc/init.d/xplico  start 2>&1

           # Infos serveur.

     echo -e "\nTerminé Adresse du serveur $adresse_serv\n"
     echo -e "Login    : $login"
     echo -e "Password : $password\n"
     sleep 2
     fi

     if [ "$reponse" = "stop" ] || [ "$reponse" = "Stop" ] ||
     [ "$reponse" = "STOP" ] ; then

           # Arrêt d'Apache2 et d'Xplico.

     echo -e "\nArrêt d'apache version 2\n"
     sudo /etc/init.d/apache2 stop 2>&1
     sleep 1

     sudo /etc/init.d/xplico stop 2>&1
     echo -e "\nTerminé.\n"
     sleep 1

     else         
     clear       
     fi
;;

           # Module de suppression des fichiers de capture

           # et du fichier de sauvegarde.

2)
     echo $line
     echo -n "Supprimer les fichiers de cature ? (Y/N):"
     read reponse

     if [ "$reponse" = "y" ] || [ "$reponse" = "Y" ] ||
        [ "$reponse" = "o" ] || [ "$reponse" = "O" ] ; then

           # Vérification de la présence du fichier de capture.

     if [ -d "$rep_1" -a ! -L "$rep_1" ] ; then

           # Suppression du fichier de capture.

     rm -rf "$rep_1" 2>&1                           
     echo -e "\nOpération effectuée\n"
     echo -e "$rep_1 supprimé"
     sleep 1

     else

     echo -e "\nAucun fichier à supprimer.\n"
     sleep 2
     fi

           # Vérification de la présence
           # d'un fichier de sauvegarde éventuel.

     if [ -d "$dump" -a ! -L "$dump" ] ; then

     echo -e -n "\nDétruire également $dump? (Y/N):"
     read reponse

     if [ "$reponse" = "y" ] || [ "$reponse" = "Y" ] ||
        [ "$reponse" = "o" ] || [ "$reponse" = "O" ] ; then

        echo $line

           # Suppression du répertoire de sauvegarde.

     sudo rm -rf  "$dump" 2>&1 
     echo -e "Opération effectuée"
     echo -e "\n$dump supprimé" 
     fi

     else
     clear
     fi
     fi
;;

           # Module de sauvegarde des fichiers de capture.

3)
     echo $line
     echo -n "Sauvegarder les fichiers ? (Y/N):"
     read reponse

     if [ "$reponse" = "y" ] || [ "$reponse" = "Y" ] ||
        [ "$reponse" = "o" ] || [ "$reponse" = "O" ] ; then
        echo $line

           # Vérification de la présence
           # d'un répertiore de sauvegarde éventuel.

     if [ -d "$rep_1" -a ! -L "$rep_1" ] ; then

           # Si le répertoire n'est pas présent

           # Procédure de création.

     mkdir -v "$dump" && chmod -v 750 "$dump" 2>&1 
     sleep 1
     echo -e "\nDéplacement des fichiers...\n"
     sleep 1

           # Et déplacement des fichiers de capture.

     sudo mv -v $rep_1 $dump 2>&1 
     echo -e "\nTerminé"
     sleep 2

     else
     echo -e "\n$rep_1 n'existe pas, il n'y a aucun fichier à sauvegarder."
     echo -e "\nOpération terminée"

     sleep 2
     fi

     else
     clear
    fi
;;

4)
xterm -hold -e echo -e "

  INFOS SERVEUR :\n   

  Adresse du serveur $adresse_serv\n
  Login    : $login
  Password : $password\n

  Fermez la fenetre pour revenir au programme."
;;

q*|Q*)
          echo -e "\nQuitter\n"
          exit 0
    ;;

*)
          echo -e "\nOption incorrecte !!!\n"
          sleep 1     
     ;;

          esac
          done
}

229573104160856339082100002355033941384997033814n0.jpg

La page d'xplico :

xplico

Après la je donne un cas de figure spécifique, vous saurez l'adapter à vos sniffs et à votre usage de Wiresark, il ne s'agit la que du principe.


Bon test wink


L’écureuil conserve les noisettes par instinct et non par représentation, sans cela il aurait déjà bâti des congélateurs à noisettes. Karl Marx : 1818 - 1883

Ma seule certitude est d'être dans le doute. Pierre Desproges : 1939 - 1988  @lavachelibre

Hors Ligne

#4 22-06-2011 23:07:42

raylook
Membre d'Or
Lieu : dans ton disque dur !!
Inscription : 13-01-2010
Messages : 449
Site Web

Re : Décodez avec Wireshark et Xplico.

Merci Fuji pour ce tuto wink


fete.gif

Hors Ligne

#5 23-06-2011 01:32:40

Fuji
Membre Irremplaçable
Lieu : Saint Script-sur-Shell
Inscription : 13-12-2010
Messages : 783

Re : Décodez avec Wireshark et Xplico.

Merci à tous. Juste une petite précision Noireaude au sujet d'Xplico, je me suis déjà heurté contre un petit problème lors de sa configuration sous Back Track dont j'ai posté à ce sujet dans ce topic. Merci Antares145 wink

Hors Ligne

#6 23-06-2011 05:46:18

noireaude
Membre d'honneur
Lieu : Chez le docteur
Inscription : 12-03-2010
Messages : 2 362
Site Web

Re : Décodez avec Wireshark et Xplico.

C'était juste un problème de droits apparemment, mais c'est bon de le préciser au cas ou certaines personnes y seraient confronté.


L’écureuil conserve les noisettes par instinct et non par représentation, sans cela il aurait déjà bâti des congélateurs à noisettes. Karl Marx : 1818 - 1883

Ma seule certitude est d'être dans le doute. Pierre Desproges : 1939 - 1988  @lavachelibre

Hors Ligne

#7 02-08-2011 02:21:24

Fuji
Membre Irremplaçable
Lieu : Saint Script-sur-Shell
Inscription : 13-12-2010
Messages : 783

Re : Décodez avec Wireshark et Xplico.

Noireaude, peut-être qu'il faudra éditer le titre et mettre: Décodez avec Wireshark et Xplico.

Hors Ligne

#8 02-08-2011 02:59:00

noireaude
Membre d'honneur
Lieu : Chez le docteur
Inscription : 12-03-2010
Messages : 2 362
Site Web

Re : Décodez avec Wireshark et Xplico.

Si tu veux, ce n'est pas un problème, je m'en occupe de suite wink


L’écureuil conserve les noisettes par instinct et non par représentation, sans cela il aurait déjà bâti des congélateurs à noisettes. Karl Marx : 1818 - 1883

Ma seule certitude est d'être dans le doute. Pierre Desproges : 1939 - 1988  @lavachelibre

Hors Ligne

#9 19-09-2012 09:15:43

goliate
Membre Irremplaçable
Inscription : 06-12-2009
Messages : 1 413
Site Web

Re : Décodez avec Wireshark et Xplico.

Je up ce tuto, car je le l'avais oublier complétement.

En tout cas merci, et c'est vrai que sa peut être utile de savoir jouer avec wireshark, car c'est un outil Très Très puissant.


só deus podem me julgar
719895banniere3.gif
só deus podem me julgar

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Sujets similaires

Discussion Réponses Vues Dernier message
0 79 02-12-2016 21:32:19 par tit64
4 314 20-11-2016 14:31:08 par richie
Épinglée :
21 14684 20-11-2016 12:53:07 par richie
Routeur avec antenne amovible par le flibustier
0 235 07-11-2016 19:12:24 par le flibustier
wireshark par Rahimpamelo
2 398 16-10-2016 10:31:23 par Rahimpamelo

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.031 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]