Willkommen bei Network & Security     remoteshell-security.com
Partnerseiten
login.php?sid=752d00f3ea9b2714f55b3b1eb2509ec6 profile.php?mode=register&sid=752d00f3ea9b2714f55b3b1eb2509ec6 faq.php?sid=752d00f3ea9b2714f55b3b1eb2509ec6 memberlist.php?sid=752d00f3ea9b2714f55b3b1eb2509ec6 search.php?sid=752d00f3ea9b2714f55b3b1eb2509ec6 index.php?sid=752d00f3ea9b2714f55b3b1eb2509ec6

Foren-Übersicht » Netzwerktechnik » Messenger Gehe zu Seite Zurück  1, 2, 3  Weiter
Neues Thema eröffnen  Neue Antwort erstellen Vorheriges Thema anzeigen :: Nächstes Thema anzeigen 
BeitragVerfasst am: 03.04.2006 14:42 Antworten mit Zitat
Phara0h
Anmeldedatum: 31.12.2005
Beiträge: 357
Wohnort: /dev/RL




Für W-Lan gibte ne bessere Methode.
Nimm ein Notebook, installier hostAP drauf.
Anschließend ESSID und WEP-Key von echten AP in deinen Ap eintragen und die MAC-ID des APs spoofen.
Ethereal oder Ettercap installieren (ich bevorzuge ettercap, wenn man nur PWs haben will)
u.U noch den echten AP deaktivieren oder so...

_________________
Benutzer-Profile anzeigen Private Nachricht senden Jabber ID
BeitragVerfasst am: 03.04.2006 15:27 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beiträge: 569
Wohnort: /proc




Hi,

es ist möglich mittels ICMP ein redirect auf einen Windows XP Clienten auszuführen. Dieser trägt dann eine Neue Route in der Routing Tabelle des Opfers ein. Zu dem wird auch der Default Gateway geändert.
Dies lässt sich zum Beispiel mit dem Tool sing[1] realisieren.

Beispiel:
Code:
sing -red -S 192.168.1.1 -gw 192.168.1.2 -dest 0.0.0.0 -x host -prot tcp -psrc 100 -pdst 90 192.168.1.4

Hierbei wir die Routing Tabelle des Opers(192.168.1.4; Windows XP SP2) so geändert, das der ursprüngliche Default-Gateway 192.168.1.1 auf 192.168.1.2(Angreifer). Hierbei wird so getan als sei man 192.168.1.1(-S gespoofte Adresse).
Grundsätzlich wird hier ein ICMP echo request mit der ID 100 und der Sequenznummer mit einem ICMP redirekt an Stelle des Routers (-S gespooften)beantwortet.

Quelle:hakin9 Ausgabe 2/06



[1]
einfach in Snyapt bzw mittels apt-get install nach sing suchen oder unter
http://sourceforge.net/projects/sing runterladen.

mfg duddits

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
BeitragVerfasst am: 03.04.2006 15:59 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Wie kommt ihr alle auf WLAN? Will er nicht den Messaging-Verkehr eines Internetnutzers abfangen?

Das ist ne nette theoretische Diskussion; das sie jemand praktisch umsetzen kann bezweifle ich.

Was ihr mit den Routing-Protokollen wollt weiß ich nicht, da hier wohl kaum jemand mal eben so einen Internet-Router kontrollieren wird, um nach Quell-IP-Adresse zu filtern. Abgesehen davon, müsste das dann das Default Gateway vom Client sein - d.h. ein Zentralserver beim ISP. Sobald es ein anderer wäre, bekommt ihr wohl nur ab und zu mal Pakete, da sich Routing Tabellen dynamisch an die Gegebenheiten anpassen und der Default Gateway jedes mal eine andere Route bevorzugen wird/kann.

Ein gewöhnlicher Internetnutzern schickt seine Datenpakete, die an den ICQ-Server adressiert sind, an sein Default Gateway, da er selbst keine passende Route weiß. Ihr müsstet also, wie duddits schon geschrieben hat, das Default Gateway des Clients ändern. Wie ihr das bei einem zumeist dahinter geschalteten DSL-Router, welcher ICMP Redirects sehr wahrscheinlich verwirft, schaffen wollt, ist mir ein Rätsel.

@duddits
Hat das denn inzwischen lokal mal funktioniert?
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 03.04.2006 16:19 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beiträge: 569
Wohnort: /proc




Hi,
@Cerox
ja lokal hat es geklaptt ich habe meinem Rechner per icmp redirekt als default gateway eingetragen und uaf meinen Rechner ein ip forward zum Router gemacht somit ging der Laptop über meinen zum Cmoputer und dann zum Router dann ab ins böse böse Internet^^
Habe es aber nur mit einer normalen Verbindung ausprobiert, heißt also nur http wenn ich demnächst mal Zeit habe probiere ich es wie es mit Diensten wie smtp(ich weiß smtp protokoll) ect. funktioniert.

mfg duddits

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
BeitragVerfasst am: 03.04.2006 16:55 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Sollte eigentlich funktionieren, da dein Rechner ja nur weiterleitet und auch schon HTTP-Pakete weiterleiten kann.

Interessant wäre, ob das Ganze auch über das Internet funktioniert - dafür müsstest du allerdings die Adresse des Gateways vom Opfer kennen. Man könnte das ja mal ausprobieren - erstmal ohne Schutz von irgendwelchen Firewalls aber ob sich der Aufwand lohnt, ist die andere Frage.

1. Wie findest du das Gateway heraus? Ist mir ein Rätsel... Meine IP-Adresse liegt z.B. im Telekom-Adressraum 80.134.x.y; als Gateway habe ich allerdings 217.x.x.x eingetragen.

2. Die meisten Verbraucher haben zuhause eine hardwareseitige Firewalllösung in Form eines NAT-Routers, der wohl auch keine ICMP Redirects zulassen wird.

3. Softwarefirewalls, die sonst auch zusätzlich jeder verwendet, werden das wohl auch nicht zulassen.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 03.04.2006 17:19 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beiträge: 569
Wohnort: /proc




Hi,

das denke ich mir auch. Aber es ist anscheinend bei alten Modes möglich diese über icmp zu konfigurieren[1].
Ich denke sowieso da es da weit aus efektiviere Methoden gibt. Nur diese brauchen wahrscheinlich ein viel größeres Technischesverständnis oder Wissen welches Ich und wahrsccheinlich vielea ndere nicht haben.
Aber was noch nicht ist kann ja noch werden^^

mfg duddits

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
BeitragVerfasst am: 03.04.2006 18:10 Antworten mit Zitat
BlackLotus
Anmeldedatum: 04.01.2006
Beiträge: 717
Wohnort: www and 127.0.0.1/localhost




Im lokalen Netz kann man doch einfach ettercap nehmen?
Ist doch genauso einfach

_________________
Eine Kette ist nur so stark wie ihr schwächstes Glied.

Die Welt wird nicht von denen bedroht die böse sind,sondern von denen die das Böse zulassen.
Albert Einstein

Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das Very Happy

http://blackwiki.bl.ohost.de
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 03.04.2006 19:44 Antworten mit Zitat
Lukas
Anmeldedatum: 31.12.2005
Beiträge: 257
Wohnort: Wien




Ich denke es ist bedeutend leichter wenn man sich nur auf den messenger konzentriert oder?
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 03.04.2006 20:19 Antworten mit Zitat
BlackLotus
Anmeldedatum: 04.01.2006
Beiträge: 717
Wohnort: www and 127.0.0.1/localhost




Nein das ist genau das selbe

_________________
Eine Kette ist nur so stark wie ihr schwächstes Glied.

Die Welt wird nicht von denen bedroht die böse sind,sondern von denen die das Böse zulassen.
Albert Einstein

Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das Very Happy

http://blackwiki.bl.ohost.de
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 04.04.2006 15:23 Antworten mit Zitat
Lukas
Anmeldedatum: 31.12.2005
Beiträge: 257
Wohnort: Wien




Höhrt sich viell. dumm an aber:

Die IP/die dns -des ICQ Servers (der ICQ-Server) könnte ja aus unerwartenden Gründen verändert werden (unwahrscheinlich aber möglich).
Folglich sollte es doch eine Möglichkeit geben den clients die neue ip/die neue DNS mittzueteilen oder?
Und wenn das ein Server kann (der ja auch nur pakete versendet), könnte man doch theoretisch gefälschte Pakete senden um den icq client mittzuteilen, dass die server ip geändert wurde.
So müsste man auch keine routing tabellen manipulieren eca und einen router aufsetzen sondern macht seinen pc zu einem logischen (für den client/das opfer) Server.

Und noch eine Frage: Was passiert wenn es zwei Ziele mit der selben ip gibt (durch spoofing oder einen Fehler) ?



mfg
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 04.04.2006 17:19 Antworten mit Zitat
4lx
Anmeldedatum: 02.01.2006
Beiträge: 369
Wohnort: /offtopic




Viel Anhnung habe ich nicht, aber:

Zum Ersten denke ich, dass nicht vorgesehen ist, dass die Domian geändert wird und wenn, dann eben manuell...

Bei Zweiten würde es wahrscheinlich einfach einen Konflikt geben und der zweite Rechner hätte keinen Zugriff auf das Netzwerk.
So "intelligent" werden die Router schon sein.^^

Interessant wird es aber, wenn zwei Rechner mit der gleichen MAC und der gleichen IP im selben Moment ihr erstes Paket an den Router senden, oder?

_________________
"Das Staunen ist Anfang der Erkenntnis." -Platon

"Terrorismus ist die Zerstörung von Versorgungseinrichtungen, also Deichen, Wasserwerken, Krankenhäusern, Kraftwerken. Eben alles das, worauf die amerikanischen Bombenangriffe gegen Nordvietnam seit 1965 systematisch abzielten. Der Terrorismus operiert mit der Angst der Massen." - Ulrike Meinhof
Benutzer-Profile anzeigen Private Nachricht senden Jabber ID ICQ-Nummer
BeitragVerfasst am: 04.04.2006 18:08 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Zitat:
Folglich sollte es doch eine Möglichkeit geben den clients die neue ip/die neue DNS mittzueteilen oder?


Mal abgesehen davon, dass eine Änderung völlig unwahrscheinlich ist und dass dann immer noch eine Maschine von der "alten IP" auf einen neuen Server weiterleiten würde, ist das alles schöne Theorie.

Zitat:
könnte man doch theoretisch gefälschte Pakete senden um den icq client mittzuteilen, dass die server ip geändert wurde.


Wie soll das in der Praxis aussehen? Wie willst du solch ein Paket mit gespoofter Absenderadresse schicken? Zwischen dem ICQ-Server und Client besteht eine TCP-Verbindung? Willst du die Sequenz- und Bestätigungsnummern vielleicht erraten??? Der Client beantwortet nichts, was nicht zu dieser Verbindung gehört.

Zitat:
Was passiert wenn es zwei Ziele mit der selben ip gibt (durch spoofing oder einen Fehler) ?


Ich weiß nicht wie das mit der gespooften Absenderadresse in Gegenrichtung (d.h. Verkehr, der zurück kommt) gehen soll. Deine gespoofte Absenderadresse befindet sich nicht im richtigen Netzwerk; daher können theoretisch auch keine Pakete zugestellt werden oder der Router wird das Paket nicht an dich weiterleiten können, da er über keine passende Netzroute verfügt. Bei dem Punkt bin ich mir allerdings unsicher, wie das konkret abläuft.

Um es nochmal in zwei Wörtern zu sagen: Vergiss es^^
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 04.04.2006 19:17 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beiträge: 569
Wohnort: /proc




Hi,

Also um solche Dinge umszusetzen sollte man sich mit Themen wie DNS Spoofing und RIP Spoofing ausseinander setzen.
Damit ist möglich einem DNS server zu sagen das die ip zu www.icq.com(nur als beispiel) die des Angreifers ist.
Beim RIP Spoofing geht es adrum z.B. kommunikationsbeziehungen zwischen zwei internen RE'echnern über einen externen rechner umzuleiten.
Wenn Ihr wollt kann ich wenn jetzt in dne Ferien mal Zeit habe Tutotrials mit genauen Erklärungen zur Theorie dieser Themen machen. Wie es in der Praxis funktioniert habe ich noch nicht ergründen können, Aber ich denke wenn man die Theorie versteht hat man schon mal die halbe Miete.
Die erste Attake von DNS Spoofing wurde in Öffentlichkeit im September 1997 bekannt.(informiert euch mal über die Person Eugne Kashpureff).

mfg duddits

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
BeitragVerfasst am: 04.04.2006 20:55 Antworten mit Zitat
BlackLotus
Anmeldedatum: 04.01.2006
Beiträge: 717
Wohnort: www and 127.0.0.1/localhost




Zitat:
E. Kashpureff leitete ein Konkurrenzunternehmen zur InterNIC, und wollte mit seinem Unternehmen AlterNIC die bisherige Aufgabe der InterNIC, die Domainvergabe sicherzustellen, übernehmen. Um zu zeigen wie unfähig die InterNIC sei, nutzte er einen Fehler im Nameserver BIND, um damit ab dem 12. Juli 1997 unter anderem die Domain www.internic.net auf die Homepage der AlterNIC umzuleiten. Diese Attacke, über deren Durchführung Kashpureff lange geschwiegen hat wurde inzwischen geschlossen. Nach dieser Aktion wurde er in den USA polizeilich gesucht, flüchtete nach Kanada, wo er dann von den kanadischen Behörden aufgegriffen und an die USA ausgeliefert wurde. Dort erhielt er allerdings eine Milde Strafe von 2 Jahren auf Bewährung und 100 US-Dollar Geldbuße - den damaligen Kosten einer Domain für zwei Jahre.

Soviel zu Kashpureffs Lücke Wink
Die scheint geschlossen zu sein.
Aber wir könnten ja mal nen theoretischen "Angriffsweg" überlegen und gucken wo genau alel Schwierigkeiten liegen.
In einem Lokalen Netz eine Man in the middle ATtack durchzuführen stellt ja für keinen von uns ein Problem dar, aber wenn wir es schaffen die Technik irgendwie auf ein größeres Netz zu übertragen (was meines erachtens mehr als schwer wrid) dann wäre das doch der Hammer^^
Naja ich setz mich da heut abend mal richtig dran.

_________________
Eine Kette ist nur so stark wie ihr schwächstes Glied.

Die Welt wird nicht von denen bedroht die böse sind,sondern von denen die das Böse zulassen.
Albert Einstein

Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das Very Happy

http://blackwiki.bl.ohost.de
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 05.04.2006 13:33 Antworten mit Zitat
Lukas
Anmeldedatum: 31.12.2005
Beiträge: 257
Wohnort: Wien




Ja das fänd ich auch geil, wenn wir hier theoretische Angriffsmöglichkeiten durchgehen würden.
Benutzer-Profile anzeigen Private Nachricht senden
Messenger
Foren-Übersicht » Netzwerktechnik
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Alle Zeiten sind GMT + 1 Stunde  
Seite 2 von 3  
Gehe zu Seite Zurück  1, 2, 3  Weiter
  
  
 Neues Thema eröffnen  Neue Antwort erstellen  


Forensicherheit

Powered by phpBB © 2001-2004 phpBB Group
phpBB Style by Vjacheslav Trushkin
Deutsche Übersetzung von phpBB.de


remoteshell-security.com | Partner | Boardregeln | Impressum