ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
03.06.2015, 13:56
|
|
Новичок
Регистрация: 02.06.2015
Сообщений: 10
Провел на форуме:
3301
Репутация:
0
|
|
Сообщение от frank
↑
Ну zodiaX выше писал сделать tcpdump запроса к серверу, а потом тем же шарком посмотреть.. вы клиента трафик хотите попробовать перехватить? или все-таки через браузерное подключение?
UPD хотя... можно и не заморачиваться. Если рассматривать классическую цепочку user->proxy->server. То мы можем любой SSL серт испоьзовать между user->proxy вне зависимости какой он идет реально, с этим реальным будет работать прокси, мы собираем расшифрованный трафик на прокси в обе стороны. Ну это конечно если работаем через браузер. а не через клиента. у которого могут быт вшиты настройки проверки валидности сертификата.
Клиент PokerStars работает через tcp.
И конечно могут быть вшиты настройки проверки валидности сертификата.
Тогда прийдется декомпилировать клиента, искать функции которые используют API для работы с SSL или с сертификатами, и перехватывать их...
Конечно это будет немного геморно
|
|
|
03.06.2015, 14:28
|
|
Познавший АНТИЧАТ
Регистрация: 09.05.2015
Сообщений: 1,066
Провел на форуме:
238786
Репутация:
40
|
|
Сообщение от justcoolgeo
↑
Клиент PokerStars работает через tcp.
И конечно могут быть вшиты настройки проверки валидности сертификата.
Тогда прийдется декомпилировать клиента, искать функции которые используют API для работы с SSL или с сертификатами, и перехватывать их...
Конечно это будет немного геморно
То что вы задумали не очень то и легко. Можно узнать ваш план осуществление. Допустим я жертва, ваши действия?!
|
|
|
|
03.06.2015, 14:33
|
|
Участник форума
Регистрация: 08.05.2015
Сообщений: 200
Провел на форуме:
56887
Репутация:
28
|
|
Сообщение от BabaDook
↑
То что вы задумали не очень то и легко. Можно узнать ваш план осуществление. Допустим я жертва, ваши действия?!
В помощь justcoolgeo в ответе тебе, сложно когда задача с анализим чужого трафика... а так, если поснифить от себя это опыт в настройке, развертывании на своем стенде, перехвате и анализе трафика, возможно даже и реверс Короче скилы себе прокачать тоже норм задачка
|
|
|
|
03.06.2015, 14:41
|
|
Новичок
Регистрация: 07.05.2009
Сообщений: 14
Провел на форуме:
44902
Репутация:
0
|
|
Сообщение от BabaDook
↑
То что вы задумали не очень то и легко. Можно узнать ваш план осуществление. Допустим я жертва, ваши действия?!
Не совсем так, жертва в данном случае клиент PokerStar установленный у себя же
Цель я так понимаю разобраться какие параметры он передает на сервер и попытаться ими манипулировать.
|
|
|
|
03.06.2015, 14:46
|
|
Познавший АНТИЧАТ
Регистрация: 09.05.2015
Сообщений: 1,066
Провел на форуме:
238786
Репутация:
40
|
|
Сообщение от frank
↑
В помощь justcoolgeo в ответе тебе, сложно когда задача с анализим чужого трафика... а так, если поснифить от себя это опыт в настройке, развертывании на своем стенде, перехвате и анализе трафика, возможно даже и реверс
Короче скилы себе прокачать тоже норм задачка
Сообщение от ZodiaX
↑
Не совсем так, жертва в данном случае клиент PokerStar установленный у себя же
Цель я так понимаю разобраться какие параметры он передает на сервер и попытаться ими манипулировать.
В научных целях самое то. Поддерживаю такую идею. Или мир изменился, или я что-то перестал его понимать. Всё, начинаю спать по ночам со следующей недели
|
|
|
|
03.06.2015, 16:05
|
|
Участник форума
Регистрация: 07.09.2010
Сообщений: 224
Провел на форуме:
82581
Репутация:
1
|
|
Сообщение от BabaDook
↑
В научных целях самое то. Поддерживаю такую идею. Или мир изменился, или я что-то перестал его понимать. Всё, начинаю спать по ночам со следующей недели
Или коспирация
|
|
|
|
04.06.2015, 17:56
|
|
Новичок
Регистрация: 02.06.2015
Сообщений: 10
Провел на форуме:
3301
Репутация:
0
|
|
Сообщение от frank
↑
В помощь justcoolgeo в ответе тебе, сложно когда задача с анализим чужого трафика... а так, если поснифить от себя это опыт в настройке, развертывании на своем стенде, перехвате и анализе трафика, возможно даже и реверс
Короче скилы себе прокачать тоже норм задачка
Уважаемый frank, просто проснифить трафик в данном случае не поможет т.к. трафик зашифрован (SSL)
|
|
|
|
04.06.2015, 18:08
|
|
Участник форума
Регистрация: 08.05.2015
Сообщений: 200
Провел на форуме:
56887
Репутация:
28
|
|
Сообщение от justcoolgeo
↑
Уважаемый frank, просто проснифить трафик в данном случае не поможет т.к. трафик зашифрован (SSL)
Там что, двусторонний SSL? Сильно сомневаюсь. А значит есть открытый трафик в виде обмена hello пакетами и первичного сертификата от сервера, вот его поля и серт вы можете изучить.
Дальше уже идет шифрованный трафик...
|
|
|
|
04.06.2015, 18:13
|
|
Новичок
Регистрация: 02.06.2015
Сообщений: 10
Провел на форуме:
3301
Репутация:
0
|
|
Сообщение от BabaDook
↑
То что вы задумали не очень то и легко. Можно узнать ваш план осуществление. Допустим я жертва, ваши действия?!
Уважаемый BabaDook, план таков:
Если проверки сертификата в клиенте pokerStars нет - то можно перехватить трафик и парсить его налету.
Если защита всё же есть, то прийдется заняться реверс-инженеренгом (крэкингом).
Нужно будет декомпилировать клиент pokerStars, найти функцию(и) которые осуществляют эту проверку (защиту).
Потом или пропатчить клиента OllyDbg-ром или написать библиотеку (dll) с перехватом и модификацией этой(х) функции(й),
которую нужно будет заинжектить в процесс клиента pokerStars.
Чтобы использовать OllyDbg - нужно очень хорошо знать assembler (я его практически не знаю )
Перехват функций с инжектом dll - нужно знать C++, и пользоваться декомпилятором ida hex rays, где hex rays - это почти удачная попытка преобразования
кода Assembler в C++
ida hex rays мне более понятна и мне с ней проще так что я буду не патчить клиента, а перехватывать и модифицировать функции...
|
|
|
|
04.06.2015, 21:52
|
|
Участник форума
Регистрация: 08.05.2015
Сообщений: 200
Провел на форуме:
56887
Репутация:
28
|
|
Сообщение от justcoolgeo
↑
Уважаемый BabaDook, план таков:
Если проверки сертификата в клиенте pokerStars нет - то можно перехватить трафик и парсить его налету.
Если защита всё же есть, то прийдется заняться реверс-инженеренгом (крэкингом).
Нужно будет декомпилировать клиент pokerStars, найти функцию(и) которые осуществляют эту проверку (защиту).
Потом или пропатчить клиента OllyDbg-ром или написать библиотеку (dll) с перехватом и модификацией этой(х) функции(й),
которую нужно будет заинжектить в процесс клиента pokerStars.
Чтобы использовать OllyDbg - нужно очень хорошо знать assembler (я его практически не знаю
)
Перехват функций с инжектом dll - нужно знать C++, и пользоваться декомпилятором ida hex rays, где hex rays - это почти удачная попытка преобразования
кода Assembler в C++
ida hex rays мне более понятна и мне с ней проще так что я буду не патчить клиента, а перехватывать и модифицировать функции...
А можно подробнее про послденее предложение, я просто в реверсе совсем не силен, так, на уровне примитива. Т.е., я правильно понимаю что в клиента внедряется некая функция, на не котором этапе обработки кода, отдает функции и код в программу, модифицирует на лету и возвращает в клиента уже где-то на другом этапе обработки?
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
