HOME    FORUMS    MEMBERS    RECENT POSTS    LOG IN  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница
Перезагрузить страницу Атака Man-In-The-Middle на PokerStars (перехват ssl трафика покерного клиента)
   
Ответ
Страница 1 из 4 1 2 3 4 >
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 02.06.2015, 17:28
justcoolgeo
Guest
Сообщений: n/a
Провел на форуме:
3301

Репутация: 0
По умолчанию
Привет форумчане!

Прочел блог на хабре http://habrahabr.ru/post/213397/

Хочу сделать ssl (tcp) proxy для перехвата трафика, но загвоздка в следующем, клиент PokerStars коннектится на сервак 77.87.178.74:26002, на этом серваке отключен ping!!!

Вопрос к знатокам:

1. как мне узнать его dns имя?

2. или как-нибудь можно замутить атаку MitM ssl(tcp) без dns имени?

Заранее спасибо!!!
 
Ответить с цитированием

  #2  
Старый 02.06.2015, 19:41
Mister_Bert0ni
Guest
Сообщений: n/a
Провел на форуме:
35015

Репутация: 57
По умолчанию
Если я не ошибаюсь то MITM актуальна в одном сегменте сети...Если все было так просто то все бы были богачами))
 
Ответить с цитированием

  #3  
Старый 02.06.2015, 20:53
BabaDook
Guest
Сообщений: n/a
Провел на форуме:
238786

Репутация: 40
По умолчанию
неее. mitm не только арп спуф, речь наверное может идти о том как попасть в сессию
 
Ответить с цитированием

  #4  
Старый 03.06.2015, 08:36
frank
Guest
Сообщений: n/a
Провел на форуме:
56887

Репутация: 28
По умолчанию
1. у этого сервера может и не быть днс имени, т.е. ситуация, когда идет обращение на покер стар, сервак к которому обращаются является просто балансировщиком нагрузки и он редеректит на другие фронты, которые уже и обрабатывают запросы.А так, сервис whois вам в помощь...по ip вытаскиваете всю информацию.

2. про проксю посередине или MITM. уже частично я объяснял тонкость вот тут

PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]http[/COLOR][COLOR="#007700"]:[/COLOR][COLOR="#FF8000"]/threads/425286/#post-3853231[/COLOR][/COLOR] 
если нужно что-то про митм подробнее, спрашивайте.

И про не которые заблуждения, прокся не обязательно должна быть в одной локале с жертвой (в одной подсети), но так проще конечно.

Дружище BabaDook, и все-таки согласись, что арп спуфинг, это не митм как таковой А просто разновидность и даже скорее способ достижения man-in-the-middle Ваше мнение , сэр?
 
Ответить с цитированием

  #5  
Старый 03.06.2015, 10:32
M_script
Новичок
Регистрация: 04.11.2004
Сообщений: 5
Провел на форуме:
4512

Репутация: 0
По умолчанию
Можно использовать ProxyCap и Fiddler/Charles. Но клиент может не использовать http(s), а работать по своему собственному протоколу. Также может использоваться Certificate Pinning для защиты от подмены сертификата и перехвата трафа, в этом случае придется патчить клиент.
 
Ответить с цитированием

  #6  
Старый 03.06.2015, 12:01
ZodiaX
Новичок
Регистрация: 07.05.2009
Сообщений: 14
Провел на форуме:
44902

Репутация: 0
По умолчанию
А будет ли в этом смысл? Маловероятно, что сервер слепо доверяет данным клиента.

Для начала хорошо бы wireshark/tcpdump'ом снять трафик, попробовать его проанализировать и от это уже отталкиваться для организации 'mitm'.
 
Ответить с цитированием

  #7  
Старый 03.06.2015, 12:05
justcoolgeo
Guest
Сообщений: n/a
Провел на форуме:
3301

Репутация: 0
По умолчанию
Цитата:
Сообщение от frank  
frank said:

1. у этого сервера может и не быть днс имени, т.е. ситуация, когда идет обращение на покер стар, сервак к которому обращаются является просто балансировщиком нагрузки и он редеректит на другие фронты, которые уже и обрабатывают запросы.А так, сервис whois вам в помощь...по ip вытаскиваете всю информацию.
2. про проксю посередине или MITM. уже частично я объяснял тонкость вот тут
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]http[/COLOR][COLOR="#007700"]:[/COLOR][COLOR="#FF8000"]/threads/425286/#post-3853231[/COLOR][/COLOR] 
если нужно что-то про митм подробнее, спрашивайте.
И про не которые заблуждения, прокся не обязательно должна быть в одной локале с жертвой (в одной подсети), но так проще конечно.
Дружище
BabaDook
, и все-таки согласись, что арп спуфинг, это не митм как таковой
А просто разновидность и даже скорее способ достижения man-in-the-middle
Ваше мнение , сэр?
Уважаемый frank, на счет dns имени - у любой тачки хоть у сервера, хоть у обычного АРМ есть имя!

Просто стоит защита, например, я работаю в организации у которой есть корпоративная сеть между 55-ти организациями, так вот

когда проходили переаттестацию по степени защищенности нам настроили VipNet Coordinator HW 1000 так, чтобы web-сервер из локальной сети не пинговался!

Ведь ping - это просто посылается сообщение hello на сервак на определённый порт, на которое сервак в свою очередь здоровается и

в итоге замеряется скорость обмена...

А сервер PokerStars не культурный - не здоровается в ответ
 
Ответить с цитированием

  #8  
Старый 03.06.2015, 12:06
frank
Guest
Сообщений: n/a
Провел на форуме:
56887

Репутация: 28
По умолчанию
Цитата:
Сообщение от ZodiaX  
ZodiaX said:

А будет ли в этом смысл? Маловероятно, что сервер слепо доверяет данным клиента.
Для начала хорошо бы wireshark/tcpdump'ом снять трафик, попробовать его проанализировать и от это уже отталкиваться для организации 'mitm'.
Это да...или понять хотя бы, а реально завернуть трафик жертвы на себя (ну так, отбросим остальные тех аспекты. как SSL, отличные от HTTP(s) протоколы, дампинг SSL, Certificate Pinning). А в целом все эти достаточно давно существующие ресурсы типа pokerstar очень хорошо закрыты.
 
Ответить с цитированием

  #9  
Старый 03.06.2015, 12:11
justcoolgeo
Guest
Сообщений: n/a
Провел на форуме:
3301

Репутация: 0
По умолчанию
Цитата:
Сообщение от ZodiaX  
ZodiaX said:

А будет ли в этом смысл? Маловероятно, что сервер слепо доверяет данным клиента.
Для начала хорошо бы wireshark/tcpdump'ом снять трафик, попробовать его проанализировать и от это уже отталкиваться для организации 'mitm'.
Уважаемый ZodiaX, можете подробнее описать какую информацию я могу получить wireshark/tcpdump'ом?

У меня есть Kali linux и wireshark, если я не ошибаюсь, я использовал для хака соседской вафельки
 
Ответить с цитированием

  #10  
Старый 03.06.2015, 12:11
frank
Guest
Сообщений: n/a
Провел на форуме:
56887

Репутация: 28
По умолчанию
Цитата:
Сообщение от justcoolgeo  
justcoolgeo said:

Уважаемый frank, на счет dns имени - у любой тачки хоть у сервера, хоть у обычного АРМ есть имя!
Просто стоит защита, например, я работаю в организации у которой есть корпоративная сеть между 55-ти организациями, так вот
когда проходили переаттестацию по степени защищенности нам настроили VipNet Coordinator HW 1000 так, чтобы web-сервер из локальной сети не пинговался!
Ведь ping - это просто посылается сообщение hello на сервак на определённый порт, на которое сервак в свою очередь здоровается и
в итоге замеряется скорость обмена...
А сервер PokerStars не культурный - не здоровается в ответ
Имя машины в сети и публичное днс имя это разные вещи. А HW1000 просто у вас скорее всего стоит сетевым интерфейсом в режиме 3 или выше, Эти режимы блокируют icmp запросы, если не создавать правила исключения. По факту это просто аттестованый на требования фсб и фстэк фаервол с функцией маршрутизации и шифрования(если используется режим полутунель) Я знаю что такое випнетовский координатор, работал с ними Я вообще очень хорошо знаю линейку по и железа випнет и не только випнета ну а раз между 55-ти организациями и випнет, не ПФР часом ли или РЖД ?
 
Ответить с цитированием
Ответ
Страница 1 из 4 1 2 3 4 >



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ