Tema destacado: Recuperar cuenta de Google, GMail, Youtube
 Autor
|
Tema: Wireshark ¿com se interpretan o decodifican datos? (Leído 5,429 veces)
|
|
rockeropasiempre
|
Hola. Primero decir que no se si el tema va aquí, e imaginado que si, pero bueno ya me direis. A ver si me explico bien. Vereis siempre estoy enredando con algo nuevo, y llevo un par de semanas trasteando con el wireshark para poder entenderlo un poco. Para ello uso un solo pc que es este. Cuando me logueo por ejemplo en el hacker, intento saber si se puede descifrar la contraseña. He aprendido a filtrar algún protocolo que otro, y una vez tengo localizada la que me interesa, puedo leer claramente el nombre con el que me logueo, sin embargo la parte del pass está cifrada y ese es el tema que quiero tratar. Llevo como digo bastantes días buscando por google y dando mil vueltas intentando entender que es y como se descifra, buscando tablas, y en definitiva saber como puedo pasar ese montón de numeros y letras a algo legible. No es necesario nada masticado, pues no me gusta, pero si agradecería la punta del hilo por el que poder empezar a tirar, pues como digo no consigo entender ni darle sentido al tema este.
Gracias de antemano y un saludo
|
|
|
|
|
En línea
|
|
|
|
rockernault
 Desconectado
Mensajes: 2.045
Linux User!!!
|
para sniffar no le veo mucha utilidad al Wireshark...
te recomiendo ettercap para ese fin..
si quieres capturar la pass del foro, dejame decirte que no creo que sea posible... no entiendo porque... pero no es posible
sale:
userID: rockernault pass: ********
y es lo que yo no entiendo tampoco,
1- cifrada no esta, porque no es https o SSL v2, o puede que si, pero no sabemos como
2.-es como algo "magico"
3.-Wireshark no es muy util a la hora de las passwords, para eso esta ettercap o dsniff
|
|
|
|
|
En línea
|
|
|
|
miguel86
Desconectado
Mensajes: 258
|
El wireshark es un sniffer muy completo (antes llamado ethereal). Capturar la pass al entrar al foro claro que puedes hacerlo (es un simple formulario html con POST), no estarás mirando bien pero tienes que poder verla búscala.
Salu2
|
|
|
|
|
En línea
|
|
|
|
|
kamsky
|
La verdad es que no se realmente como está codeado el proceso de login y quizás meta la pata, pero creo que los tiros pueden ir por aqui: user=kamsky&passwrd=******&cookielength=90&hash_passwrd=554a585... como se observa, en el momento de loguearse se pasa un hash, lo que puede indicarnos que realmente no se pasa la password en sí, si no su Hash, que se calcula obviamente antes de enviarlo... y además, si miras el fuente de la página de login, en el momento de mandarse el formulario se llama a una función, que puede ser la que haga este cálculo... repito que estos son suposiciones mias, y no se si será verdad o no lo que es obvio es que los asteriscos que se mandan, son realmente asteriscos, y no la contraseña ocultada... salu2 |
|
|
|
|
En línea
|
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---
hack 4 free!!
|
|
|
rockernault
Desconectado
Mensajes: 2.045
Linux User!!!
|
yo tambien pienso igual que tu kamsky..
no te preocupes si metes la pata.. para eso estamos por aqui
el hash me imagino que sera el MD5 o SHA-1 de la password
|
|
|
|
|
En línea
|
|
|
|
|
kamsky
|
md5 no creo, o por lo menos no debería
salu2
|
|
|
|
|
En línea
|
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---
hack 4 free!!
|
|
|
rockernault
Desconectado
Mensajes: 2.045
Linux User!!!
|
hmm... tienes razon, pero si no es MD5 no tiene caso molestarse
segun tengo entenido SHA-1 no tiene vulnerabilidades
|
|
|
|
|
En línea
|
|
|
|
Og.
Desconectado
Mensajes: 819
Aprendiendo de la vida
|
La verdad es que no se realmente como está codeado el proceso de login y quizás meta la pata, pero creo que los tiros pueden ir por aqui: user=kamsky&passwrd=******&cookielength=90&hash_passwrd=554a585... como se observa, en el momento de loguearse se pasa un hash, lo que puede indicarnos que realmente no se pasa la password en sí, si no su Hash, que se calcula obviamente antes de enviarlo... y además, si miras el fuente de la página de login, en el momento de mandarse el formulario se llama a una función, que puede ser la que haga este cálculo... repito que estos son suposiciones mias, y no se si será verdad o no lo que es obvio es que los asteriscos que se mandan, son realmente asteriscos, y no la contraseña ocultada... salu2 orita lo checo, si es un "cifrado" del lado del cliente entonces se puede descifrar o simplemente imitar.
|
|
|
|
|
En línea
|
|-
|
|
|
|
kamsky
|
bueno, no creo que sea tan fácil, supongo que no puedes mandar directamente el hash sin antes haber pasado por la función que te lo hashea...
|
|
|
|
|
En línea
|
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---
hack 4 free!!
|
|
|
rockernault
Desconectado
Mensajes: 2.045
Linux User!!!
|
yo creo que si..
ya que la funcion hashear es a nivel local y no en los servidores
el problema reside en que tipo de cifrado es y como se genera...
|
|
|
|
|
En línea
|
|
|
|
Og.
Desconectado
Mensajes: 819
Aprendiendo de la vida
|
<form action="http://foro.elhacker.net/login2.html" method="post" accept-charset="ISO-8859-1" name="frmLogin" id="frmLogin" style="margin-top: 4ex;" onsubmit="hashLoginPassword(this, '451dfb7de8a33388c8212ae1aad11eb1');">
eso es lo q genera el hash, no encuentro la funcion xD supongo que esta aqui http://foro.elhacker.net/Themes/converted/sha1.jsaunque ya nos desiamos del tema principal xD
Volviendo al tema, cuando snifeo primero enveneno la tabla arp con ettercap, cierro el msn, el firefox etc... y despues empiezo a escanear con wireshark 
|
|
|
|
|
En línea
|
|-
|
|
|
miguel86
Desconectado
Mensajes: 258
|
Si, no me había fijao teneis razón, al enviar en el submit se llama a una función javascript mirando el código ( http://foro.elhacker.net/Themes/converted/js/script.js) se ve que la función hashLoginPassword hace el sha-1 (suponiendo que hex_sha1 haga sha1 (no me he puesto a mirar el sha1.js) pero por el nombre se supone que hace sha-1), y remplaza el valor metido en password por asteriscos. Así que no capturando el tráfico no puedes obtener la pass (no directamente). Salu2 |
|
|
|
« Última modificación: 14 Septiembre 2009, 00:26 por miguel86 »
|
En línea
|
|
|
|
rockernault
Desconectado
Mensajes: 2.045
Linux User!!!
|
function [b]hashLoginPassword[/b](doForm, cur_session_id)
{
// Compatibility.
if (cur_session_id == null)
cur_session_id = smf_session_id;
[b]if (typeof(hex_sha1) == "undefined")
return;[/b]
// Are they using an email address?
if (doForm.user.value.indexOf("@") != -1)
return;
// [b]Unless the browser is Opera, the password will not save properly[/b].
if (typeof(window.opera) == "undefined")
doForm.passwrd.autocomplete = "off";
doForm.hash_passwrd.value = hex_sha1(hex_sha1(doForm.user.value.php_to8bit().php_strtolower() + doForm.passwrd.value.php_to8bit()) + cur_session_id);
// [b]It looks nicer to fill it with asterisks, but Firefox will try to save that.[/b]
if (navigator.userAgent.indexOf("Firefox/") != -1)
doForm.passwrd.value = "";
else
doForm.passwrd.value = doForm.passwrd.value.replace(/./g, "*");
}
|
|
|
|
|
En línea
|
|
|
|
|
kamsky
|
pues eso, que tenía/mos razón, más o menos se hace así el asuntillo
|
|
|
|
|
En línea
|
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---
hack 4 free!!
|
|
|
|
rockeropasiempre
|
Buenas. Me alegro y me divierte el que se haya creado un post con discusión (de buen rollo) sobre el tema posteado. Gracias a todos por responder. Ahora entrando en el tema, si es verdad que los tiros van por donde posteas kamsky, en mi caso veo claramente mi nombre de user, que obviamente es rockeropasiempre, y despues en password, sale tal y como lo posteas tu, es decir una cantidad de números y letras que evidencio sea mi contraseña codificada de alguna manera. Mi pregunta es como darle el sentido lógico a ese cifrado de letras y números, que tengo o debo o necesito usar para poder identificarlo o como compararlo. Por ejemplo si mi pass fuera "mariaychema", que valor obtendría la m,a,r,i,a,y....... Es decir, como llego a esa conclusión, no se si me he explicado con claridad (para mi si  ). En fin a ver si podeis echarme una mano, porque ya hoy me quedé totalmente bloqueado y buscando en google, no encuentro nada por donde empezar, tablas, etc. Gracias nuevamente y un saludo |
|
|
|
|
En línea
|
|
|
|
|
 |
