народ, еще вопрос по той же программе (из соседней темы)
есть шифрованный трафик и желанием в нем разобраться
трафик я вырежу из HTTP , а вот мне бы программу бы типа брутфорсера,
которая бы определила метод шифрования данного трафика

существует такая никто не в курсе ?
спасибо.

| Сообщение посчитали полезным:

Мне кажется проще копать клиент/сервер чем разбирать пакеты

| Сообщение посчитали полезным:

Вряд-ли ты такое ломанешь, да и не к крякерам надо обращаться.. Кевину Митнику удалось нечто подобное, но за этим - к Гуглю.
В общем, если, как я понял, тебе надо просто определить "чем шифрован" траффик и ты собрался его "вырезать", то это подразумевает, что у тебя есть как минимум IP жертвы. Значит, зная IP тебе ничего не стоит прицепить проксей и посканить адрес чем только найдешь. Имея инфу о портах и открытых на них сервисах, а она у тебя появится в лучшем случае (в худшем - сервер ничего тебе не ответит и придется тусовать лапу или идти к веб-хацкерам), далее - учимся пользоваться поисковиком и ищем любую инфу по всем нестандартным сервисам и открытым портам, найденным на машине. Пару суток придется помудится т.к очень мала вероятность, что что-то в глаза бросится, и получаем из кипы инфы от Гугля оч. простую вещь - софт, которым пользуется жертва. Лезем обратно в Гугль, ищем инфу о софте и.. вот ты и получил инфу о методах шифрования трафика.
На этом, как я понял, вопрос исчерпан, или в нем подразумевалось, что "еще бы и сломать"? если "да" - читай доки и ][akepа, зная, что трафик расшифровать не удасться т.к самые примитивные алгоритмы шифрования причинят слишком много проблем. Если интересно - могу рассказать, а еще есть поисковик для этих целей. -;)

| Сообщение посчитали полезным:

я смотрел в первую очередь сервер снаружи.
там крутой веб-хостинг )) поэтому мимо.

ок покопаюсь я в памяти клиента, метод шифрования трафика оттуда главное выудить

фишка в том, что я хочу поднять свой сервер для этой dll,
потому что буржуйский сервер вдург хотят сделать платным за евро.
у меня есть и железо и желание сделать бесплатный сервер для всех русских пользователей.
лицензионного соглашения у dll - нет , поэтому ничего не нарушаем.

| Сообщение посчитали полезным:

shishkin пишет:
ок покопаюсь я в памяти клиента, метод шифрования трафика оттуда главное выудить
Если ассиметричное шифрование, то брутфорс мощность которого зависит от ума авторов
Но если критических данных на сервере нет или они "угадываются", то можно поменять ключ на клиенте и фальшивом сервере и наслаждаться. Китайцы ведь сделали что-то подобное ?!

| Сообщение посчитали полезным:

народ , нувот я разобрал пакеты, трафик идет методом POST на 80-й порт сервера.
после логина сразу идет вот такой пакет, лишнее убрал:

Content-Type: application/octet-stream
ь­Ѕгыц-ЇєesХъпK:уѓCћ

То есть бинарные данные блин.
На BASE64 непохоже )))))

И дальше общение сервера и клиента идет в таком же духе.
На стороне сервера апач и php.

что это за шифрование может кто сталкивался?
или как определить

| Сообщение посчитали полезным:

Ах да! Еще один нюанс! Итак хронология:

1.Сначала логинимся в открытом виде пароль и логин (так же методом POST).
2.Сервер отвечает пустым сообщением HTTP 302 (то есть логин ОК).
3.Клиент передает строчку в предыдущем сообщении.

tundra37 пишет:
Что самое странное сервер после логина не передает вообще ничего, просто говорит HTTP 302.
и куки.
Но! Я пробовал три раза логиниться, и делать запрос на сервер. И каждый раз
строчка из предыдущего сообщения разная (которая шифрованная)!!

Странно ведь ключа клиент не получил , а шифрует по разному один и тот же запрос??
Почему??

| Сообщение посчитали полезным:

shishkin пишет:
Странно ведь ключа клиент не получил , а шифрует по разному один и тот же запрос??
Проще все-таки программу смотреть. Может клиент использует время, которое в ответе сервера присутствует, как параметр для построения ключа.
Может 302 для отвода глаз или при действительно OK передают ключ - можно гадать долго.

| Сообщение посчитали полезным:

да, скорее всего использует куки или время.
перенаправил ее на свой апач + php с помощью виндового /etc/hosts
смастерил похожие php-скрипты - щас она у меня авторизуется и засылает эту строчку (шифр).
сейчас буду давать ей либо одинаковое время , либо одинаковые куки - header("Date:") и тд.
и смотреть меняется ли шифр )

кстати внутри dll есть сигнатуры библиотеки zlib1 , а там функции inflate / deflate (сжатие потока).
но zlib1 нету в импорте... хм видимо вкомпилировано
как вот к этим функциям поставить бряк в отладчике?

| Сообщение посчитали полезным:

Трейсю потихоньку в олли , и смотрю как плагин делает HTTP-запросы.
И вижу такую работу.
Сначала используются функции: yaxpax@z , yapaxi@z из библиотеки msvcr80.dll.
затем формируется заголовок (Header) и вызывается HTTPOPENREQUESTA
и полученный из этих функций результат вставляется в тело пакета.

Что за функции yaxpax@z , yapaxi@z ???? В гугле ссылок тьма, но разобраться не могу что они делают.

| Сообщение посчитали полезным:

shishkin пишет:
кстати внутри dll есть сигнатуры библиотеки zlib1
zlib.dll есть в Виндах.

shishkin пишет:
yaxpax@z , yapaxi@z
Возможно замангленные имена (правда слишком короткие) Но ax и @z очень характерны.

| Сообщение посчитали полезным:

алгоритм zlib в эту библиотеку вкомпилирован , в отладчике я нашел
он используется для открытия файлов "zip" в папке с игрой и как я сразу не догадался

с шифрованием пока не закончил, читаю про структуру PE , DLL и таблиц.

Moonglow пишет:
Вряд-ли ты такое ломанешь, да и не к крякерам надо обращаться.. Кевину Митнику удалось нечто подобное, но за этим - к Гуглю.

хм, ну вообще я года четыре назад начинал программить и
делал снифер для перехвата https-трафика с выдачей левых сертификатов
для всяких делишек (правда в реале не пригодилось, но с IE работало на ура).
в то время packetstorm был основной сайт по секюрити (ух было время !!)

| Сообщение посчитали полезным: